viernes, octubre 19, 2018

Movistar Home: Lanzamiento en Late Motiv #DiHolaAMovistarHome

Ayer a las once de la mañana, como estaba marcado en nuestro calendario desde hacía muchos meses, hicimos el evento de lanzamiento de Movistar Home, donde desvelamos algunas cosas más que tendrá el producto, además de dar información de los precios y la forma de conseguirlo para nuestros clientes.

Figura 1: Movistar Home: Lanzamiento en Late Motiv #DiHolaAMovistarHome

Quisimos hacer un evento distinto, como empresa líder en el hogar que somos y líder en contenidos de televisión en España, habíamos decidido hacerlo con nuestros compañeros de Movistar Plus, para lo que disfrutamos con Andreu Buenafuente como maestro de ceremonias.


No quisimos centrarnos mucho en todas las funcionalidades que ya habíamos presentado en el Mobile World Congress, así que nos centramos en las que no habíamos enseñado aún, con unas demos sencillas de lo que estamos construyendo con terceros, y en la parte de entretenimiento.


Figura 3: Anuncio de Movistar Home con Rafa Nadal

Per lo más importante, era comunicar el precio que tendrá el dispositivo para la campaña navideña. Después de que se acabaran todos los que teníamos para la fase de "Early Adopters", en diciembre saldrá el dispositivo a 79 € de precio si se quiere pagar de una vez, o metido en factura en un pago fraccionado de 3,68 €/mes o 6,98 €/mes si lo quieres pagar en 24 o 12 meses.

Figura 4: Nota de lanzamiento de Movistar Home

Esto ha sido una autentica apuesta de Telefónica de España por democratizar el acceso a la tecnología de AI en el hogar para todos los clientes. Toda esta información la tenéis en la Nota de Prensa del lanzamiento de Movistar Home que publicamos ayer.


Figura 5: Evento de Lanzamiento en Late Motiv

Además, para el evento contamos con Iberia, El Corte Inglés y Twitter, con los que hemos desarrollado algunas experiencias que son la muestra de lo que estamos trabajando con muchos partners para mejorar las experiencias que se pueden vivir en el salón de tu casa a través de Movistar Home.


Y para completar el lanzamiento, estuvimos jugando a un juego Rafa Nafal y yo de preguntas y respuestas. Esto fue solo un bosquejo de lo que hemos construido para la creación continua de juegos en Movistar Home, que iremos desvelando poco a poco. Rafa Nadal, que es nuestro padrino del proyecto, nos ayudó también en la construcción de un nuevo anuncio que os hemos dejado publicado ayer mismo. Os iré contando más cosas.

Saludos Malignos!

jueves, octubre 18, 2018

Docker Distroless Images: Cómo crear imágenes sin SO sistema ni shell de comandos (2 de 2)

Ya que tenemos los dos entornos tal y como vimos en la primera parte de este artículo, vamos a comenzar a jugar primero con el servicio de Alpine primero utilizando curl para ir guardando las repuestas a las pruebas básicas, como haría un buen pentester en un entorno de Hacking Web Technologies.

Figura 8: Docker Distroless Images.
Cómo crear imágenes sin SO sistema ni shell de comandos (2 de 2)

Hay que recordar que tenemos dos entornos, uno Distroless en Docker y el otro utilizando Alpine, que es el primero al que vamos a atacar con curl:
$ curl http://192.168.99.100:32446 
Hello my friend!%
Utilizamos el parámetro cmd  de nuestra Aplicación Vulnerable Java para ejecutar comandos:
$ curl "http://192.168.99.100:32446/?cmd=ls" 
app.jar
bin
dev
Como vemos nos muestra el listado del directorio raíz. Hagamos un ejecución del comando id:
$ curl "http://192.168.99.100:32446/?cmd=id" 
uid=0(root) gid=0(root)
groups=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel),11(floppy),20(dialout),26(tape),27(video)
En kubernetes a la hora de pasar credenciales a nuestra aplicación se usan los secretos. Estos se montan cómo volúmenes dentro del contenedor. Veamos qué hay montado:
$ curl "http://192.168.99.100:32446/?cmd=mount" … 
tmpfs on /etc/secret type tmpfs (ro,relatime)
Cómo podemos ver hay un volumen montado en /etc/secret. Veamos que se esconde:
$ curl "http://192.168.99.100:32446/?cmd=ls%20/etc/secret" 
password
username
Si accedemos al contenido de ambos ficheros:
$ curl "http://192.168.99.100:32446/?cmd=cat%20/etc/secret/username" 
admin%
$ curl "http://192.168.99.100:32446/?cmd=cat%20/etc/secret/password" 
super-secret-password%
Podemos incluso jugar con apk (manejador de paquetes en Alpine), en caso que necesitemos instalar algún paquete que necesitemos:
$ curl "http://192.168.99.100:32446/?cmd=apk%20list" 
libxext-1.3.3-r2 x86_64 {libxext} (custom) [installed]
libxau-1.0.8-r2 x86_64 {libxau} (custom) [installed]
Pensamos que esta pequeña demo es más que su suficiente para demostrar la idea principal. Alguno se preguntará que también es buena práctica no correr un contenedor como root, y lo es, pero mira en GTFOBins la de cosas que se pueden hacer con los comandos comunes de una distro  si no has hecho el pertinente proceso de Hardening de tu GNU/Linux

Figura 9: GTFOBins

Ahora veamos que ocurre si conseguimos un RCE (Remote Code Execution) en una aplicación basada en una imagen Distroless. En nuestro caso recuerda la dirección asignada a nuestro contenedor Distroless: http://192.168.99.100:31735.
$ curl "http://192.168.99.100:31735" 
Hello my friend!%
Cómo vemos responde bien. Hagamos uso de un comando ls:
$ curl "http://192.168.99.100:31735/?cmd=ls" 
{"timestamp":"2018-10-11T00:18:36.752+0000","status":500,"error":"Internal Server Error","message":"Cannot run program \"sh\": error=2, No such file or directory”,"path":"/"}%
Recibimos un error interno diciendo que no puede correr el programa sh. No hay shell. Por consiguiente, si invocamos un comando id:
$ curl "http://192.168.99.100:31735/?cmd=id" 
{"timestamp":"2018-10-11T00:20:12.405+0000","status":500,"error":"Internal Server Error","message":"Cannot run program \"sh\": error=2, No such file or directory”,"path":"/"}%
Recibimos el mismo error, y así con cualquier otro comando. Para poder realmente explotar esta aplicación habría que poder subir un payload que fuéramos capaces de ejecutar en el mismo intérprete, en este caso algún código que entendiera la JVM. En fin, un verdadero exploiting de Linux para un McGiver que sea capaz de acceder con un clip, sin ordenador y con una copa de orujo en una mano ;)

Conclusiones finales

Para que podáis ver mejor todo lo que hemos descrito, os dejamos un par de vídeos que recogen las pruebas realizadas en ambos entornos, en los que se ve de manifiesto la importancia de hacer un hardening completo de todo el sistema. Primero en un entorno con Alpine y minikube.

Figura 10: PoC de hacking Aplicación Web Vulnerable montada con Alpine y minikube

Y las mismas pruebas completas que hemos hecho a lo largo de este artículo, pero ahora con contenedores Distroless de Docker que tienen la Aplicación Web Vulnerable Java.

Figura 11: PoC de hacking Aplicación Web Vulnerable montada con Distroless Docker

Si para hacer estas pruebas tú mismo no quieres usar kubernetes, también puedes arrancar los contenedores localmente con Docker. Sólo tendríamos que ejecutar:
$ docker container run -d -p 8080:8080 tuxotron/vulnj:alpine
8431a2397bc84701235c37b43949b6b56d6f177e240e16b4595bc4afc163d76e
~/projects/vulnej
$ docker container run -d -p 8081:8080 tuxotron/vulnj:distrolessa7ad491c7fc01e39b75f952c42290e4cc437c6521a4d67c440f31a32744dbea6
De esta forma tu Aplicación Vulnerable Java basada en Alpine estará disponible en: http://localhost:8080 y la Distroless en http://localhost:8081, tal y cómo puedes ver en las siguientes invocaciones con curl:
$ curl "http://localhost:8081/?cmd=ls" 
{"timestamp":"2018-10-11T00:28:50.788+0000","status":500,"error":"Internal Server Error","message":"Cannot run program \"sh\": error=2, No such file or directory","path":"/"}%
$ curl "http://localhost:8080/?cmd=id" 
uid=0(root) gid=0(root)
groups=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel),11(floppy),20(dialout),26(tape),27(video)
Si quieres aprender más cosas sobre Docker, ademas de leerte todos los post que hemos publicado y de seguir por aquí los próximos artículos ;) te recomendamos nuestro libro Docker: SecDevOps que puedes encontrar en la web de la editorial 0xWord.
Happy Hacking!!

Autores:

Fran Ramírez, (@cyberhadesblog) miembro del equipo de Crazy Ideas en CDO en Telefónica, co-autor del libro "Microhistorias: Anécdotas y Curiosidades de la historia de la informática (y los hackers)", del libro "Docker: SecDevOps" y del blog Cyberhades.

Rafael Troncoso (@tuxotron) es DevOps Tech Lead en USCIS/DHS, co-autor del libro "Microhistorias: Anécdotas y Curiosidades de la historia de la informática (y los hackers)", del libro "Docker: SecDevOps" y del blog Cyberhades.

miércoles, octubre 17, 2018

Late Motiv Especial 18-Oct: Apúntate al streaming del evento de lanzamiento de Movistar Home #OKAura #DiHolaAMovistarHome #MovistarHome

Ayer cerramos la web de pre-reservas para "early adopters" de Movistar Home. Realmente deberíamos haberla cerrado la semana pasada, pero como teníamos un poco más de stock, queríamos ver si aguantábamos hasta el día del evento de lanzamiento de mañana sin tener que cerrar la web, pero no ha sido posible debido a las limitaciones de stock para este programa.

Figura 1: Late Motiv Especial 18-Oct: Apúntate al streaming del evento de lanzamiento de Movistar Home
#OKAura #DiHolaAMovistarHome #MovistarHome

A los que lo habéis solicitado, lo comenzaréis a recibir en el plazo previsto, y a los que queráis solicitarlo os iremos desvelando las fórmulas para conseguirlo. Pero de momento, mañana teneos el evento de lanzamiento con un programa especial de Late Motiv al que puedes asistir participando en el sorteo de Movistar Likes.

Figura 2: Consigue dos entradas para el evento de lanzamiento de Movistar Home

Pero si no puedes asistir al programa presencialmente, no te preocupes porque hemos abierto una web de registro para verlo en streaming desde donde quieras, mañana jueves 18 de Octubre a partir de las 11:00 a.m. Solo debes apuntarte a esta web que hemos abierto.

En este evento vamos a tener a Emilio Gayo, nuestro Presidente de Telefónica de España, a Andreu Buenafuente como presentador del programa, estaré yo por allí, y algún invitado más, pero la estrella será Movistar Home.


Figura 4: Promo del evento de lanzamiento de Movistar Home

Y luego, a continuar trabajando en todo lo que os estamos preparando ya para el próximo Mobile World Congress, que aunque parezca mentira, ya estamos pensando en lo que os contaremos allí y en cómo os lo contaremos. 

Saludos Malignos!

PD: El Viernes a partir de las 19:30, además, tengo una charla en Madrid con Salvador Larroca y Javier Sierra que es abierta al público, y que no os la había anunciado antes. Tienes la info en este cartel, por si te apetece venirte.

martes, octubre 16, 2018

Docker Distroless Images: Cómo crear imágenes sin SO sistema ni shell de comandos (1 de 2)

Al par que escribimos este artículo nos encanta Docker, por eso hemos hablado aquí de sus aplicaciones y bondades más de una vez, como por ejemplo "Cómo montar con Docker un entorno de pentesting parte 1" y parte 2 y nuestro querido WPM (WordPress in Paranoid Mode) montado sobre una instalación Docker, WPM en Docker parte 1 y parte 2, además de que nos animamos a escribir el libro de "Docker: SecDevOps" que tenéis disponible en 0xWord. Esta vez vamos a hablaros de las imágenes sin sistema operativo, una forma más limpia y segura de desplegar tus aplicaciones con Docker.

Figura 1: Docker Distroless Images:
Cómo crear imágenes sin SO sistema ni shell de comandos

Las imágenes son la base fundamental de un contenedor, de hecho, un contenedor es una “imagen viva”, por lo que la optimización de la misma es crucial, no sólo por motivos de recursos, sino también, como veremos, por motivos de seguridad.

Introducción

Como ya sabemos, el fichero Dockerfile es clave ya que éste será utilizado por Docker usar para la creación de imágenes. Por eso aquí se centran las buenas prácticas a la hora de conseguir optimizar, tanto en tamaño como en seguridad, nuestra imagen base.

Figura 2: Imagen Docker de WordPress in Paranoid Mode en GitHub

Por ejemplo, el orden de las instrucciones dentro de este fichero es realmente importante a la hora de aprovechar la caché de las capas que Docker mantiene. Así como el número de instrucciones dentro del fichero Dockerfile, ya que Docker crea una capa para cada instrucción. Por eso, si las colocamos de forma ordenada y optimizada (cuantas menos instrucciones mejor) dentro del Dockerfile, esto afectará positivamente tanto a la ejecución como al tamaño final de la imagen. En este enlace puedes encontrar más información y buenas prácticas.

Figura 3: Capas Docker y contenedores

Otra buena práctica es la exclusión de ficheros innecesarios dentro del contexto de Docker cuando creamos una imagen. Para ello se utiliza el fichero .dockerignore, en el cual indicamos los ficheros que no necesitamos incluir en dicho contexto. Por supuesto, evitar instalar paquetes que no necesitemos es otra buena práctica básica a la hora de crear una imagen Docker. En los repositorios oficiales de Docker puedes encontrar ejemplos “ejemplares” (valga la redundancia) de ficheros Dockerfile totalmente optimizados, como por ejemplo este para la imagen de Go o este otro para Ruby.

¿Y qué tiene que ver esto con la seguridad?

Pues si conseguimos imágenes pequeñas y especializadas, centradas en sólo una función o aplicación, se reducen los vectores de ataque, así como el tráfico de red y por lo tanto el riesgo. Un atacante en nuestro sistema lo primero que intentará conseguir es una shell, para desde aquí ejecutar lo que le interese, pivotar o ejecutar movimientos laterales (para obtener la máxima información posible del sistema), exfiltración de datos, buscar persistencia, etcétera. Es decir, las técnicas habituales de las que tantas veces han escrito nuestros compañeros Chema Alonso y Palbo González, y que tenéis descritas en el libro de Ethical Hacking.

Además, de esta forma también conseguimos reducir los CVEs, al no tener sistema evitamos vulnerabilidades, excepto claro está, aquellas relacionadas con el intérprete o el runtime. Esto también reduce de manera drástica las actualizaciones del sistema y, por tanto, el mantenimiento completo de toda la arquitectura montada. Y es aquí donde entra en juego las imágenes sin sistema o “Distroless Images”.

Figura 4: Google Container Tools "Distroless"

El proyecto Google Container Tools nos ofrece imágenes Docker centradas en lenguajes de programación como Java, Python, Go, Node.js, .Net, Rust o Lenguaje D, pero sin contener ningún sistema operativo.  Sólo contienen el intérprete o runtime con las dependencias necesarias para poder ejecutar la aplicación, además de las librerías necesarias para el uso de SSL. Es más, estas no contienen ni siquiera una shell del sistema (ya hemos eliminado el primer vector de ataque que hemos descrito antes, acceso a una shell). A día de hoy, estas son las imágenes disponibles:
· gcr.io/distroless/python2.7
· gcr.io/distroless/python3
· gcr.io/distroless/nodejs
· gcr.io/distroless/java
· gcr.io/distroless/java/jetty
· gcr.io/distroless/cc
(incluye versión mínima de glibc para los lenguajes D o Rust)· gcr.io/distroless/dotnet
Alpine es la distribución GNU/Linux más utilizada a la hora de conseguir crear imágenes de un tamaño lo más reducido posible, llegando incluso a menos de 5MB. Si comparamos las imágenes de la versión oficial por ejemplo de Python con las ofrecidas por Google Container Tools vemos que existen una diferencia de unos casi 30MB entre ellas (que no es poco):

Figura 5: Comparación entre Pyhton Distrolesss y Pyhton oficial Alpine

Pero ahora vamos a ver un ejemplo práctico comparativo entre un contenedor corriendo una aplicación Java vulnerable sobre una imagen Alpine vs otra imagen Distroless.

Un ejemplo Vulnerable App en Distroless Docker

La aplicación vulnerable será https://github.com/tuxotron/vulnj, una aplicación Java construida con Spring Boot. Tiene un parámetro “secreto”, cmd, que nos permite la ejecución de comandos en el sistema.

Figura 6: Aplicación Vulnerable Java en GitHub

Por otro lado hemos creado dos imágenes Docker: tuxotron/vulnj:alpine y tuxotron/vulnj:distroless. La primera cómo su etiqueta indica está creado sobre una imagen Alpine y la segunda sobre gcr.io/distroless/java. Para hacer las pruebas vamos a desplegar ambos contenedores en un entorno kubernetes (minikube), crearemos también un secreto con las credenciales súper secretas que usa la aplicación.

Lo primero es tener instalado minikube y arrancado tal y cómo se explica en este enlace: (https://kubernetes.io/docs/tasks/tools/install-minikube/) Por cierto, si tienes minikube en ejecución dentro de una máquina virtual, puedes ejecutarlo con el siguiente comando, así evitarás el error de "VBoxManage not found":
sudo minikube --vm-driver none start
Comprobemos el estado:
$ minikube status 
minikube: Running
cluster: Running
kubectl: Correctly Configured: pointing to minikube-vm at 192.168.99.100
A continuación, crearemos el secreto, dos deployments (uno para cada contenedor) y dos servicios (uno para cada deployment):
$ kubectl create -f kube/secret.yaml \
-f kube/alpine-deployment.yaml \
-f kube/distroless-deployment.yaml \
-f kube/alpine-service.yaml \
-f kube/distroless-service.yaml
secret/mysecret created
deployment.apps/vulnj-alpine-deployment created
deployment.apps/vulnj-distroless-deployment created
service/vulnj-alpine-service created
service/vulnj-distroless-service created
Esto debería habernos creado 2 pods, 2 deployments, 2 servicios y el secreto. Para ver la dirección a las que kubernetes ha asignado a nuestros servicios:
$minikube service list
Figura 7: Comprobación de las direcciones IP asignadas por kubernetes a los servicios

Cómo podemos ver, al servicio de Alpine le asignado la dirección: http://192.168.99.100:32446 y al Distroless http://192.168.99.100:31735.

Una vez que están montados los dos servicios toca hacer las pruebas de seguridad e intentar explotar las vulnerabilidades de nuestra Aplicación Vulnerable en ambos entornos, en el entorno Alpine y en el entorno Distroless. Si te animas, ves probando tú antes de leer la segunda parte del artículo.

Autores:

Fran Ramírez, (@cyberhadesblog) miembro del equipo de Crazy Ideas en CDO en Telefónica, co-autor del libro "Microhistorias: Anécdotas y Curiosidades de la historia de la informática (y los hackers)", del libro "Docker: SecDevOps" y del blog Cyberhades.

Rafael Troncoso (@tuxotron) es DevOps Tech Lead en USCIS/DHS, co-autor del libro "Microhistorias: Anécdotas y Curiosidades de la historia de la informática (y los hackers)", del libro "Docker: SecDevOps" y del blog Cyberhades.

lunes, octubre 15, 2018

LUCA Innovation Day 2018: (3 de 3) Generative Adversarial Networks

La última parte del LUCA Innovation Day 2018 la dedicamos a un tema concreto muy específico que tiene que ver con la Inteligencia Artificial. En concreto, al uso de las Generative Adversarial Networks para ver como una AI puede crear contenido propio, siendo entrenada por otra AI y generando nuevos valores.

Figura 1: LUCA Innovation Day 2018: (3 de 3) Generative Adversarial Networks

La idea de las GANs es tan sencilla como enfrentar a dos AIs, una con una red neuronal entrenada con datos que son ciertos, y otra que está intentando engañar a la primera. Es decir, una AI está entrenada, la otra AI debe generar contenido que engañe a la primera haciéndole creer que el contenido que le envía es de verdad y no creado por ellas.

Figura 2: Esquema de las GANs

De ello hemos hablado en varios artículos ya en este blog, ya que se pueden utilizar para engañar a AIs entrenadas para reconocer ficheros no maliciosos o maliciosos, o para sustituir las caras de celebrities en vídeos de contenido sexual, haciendo que la realidad se transforme. Es decir, se pueden utilizar GANs para creen contenido que parezca real, ya que la AI Generadora es capaz de engañar a la AI Discriminadora.
- Cómo la AI ayuda a detectar personas ocultas en fotos pixeladas o difuminadas 
- DeepFakeApp: Una AI de Face-Swapping al servicio de fantasías sexuales 
- GANs: Inteligencia Artificial y Ciberseguridad Parte I 
- GANs: Inteligencia Artificial y Ciberseguridad Parte II
El concepto es sencillo, la AI Generadora se inicializa con ruido y se la envía a la AI Discriminadora. Esta le dice que no le ha engañado y cuál es el porcentaje de acierto que ha tenido. La AI Generadora aprende y genera otro contenido que vuelve a enviar a la AI Discriminadora que le vuelve a responder.


Figura 3: ¿Qué sucede si las AI se vuelven creativas?

La iteración de todos enfrentamientos lleva a que la AI Generadora, en el futuro, es capaz de crear un contenido capaz de engañar a la AI Discriminadora, que había sido entrenada con la realidad, y hace que la AI Generadora haya llegado a un nivel de conocimiento capaz de engañar... ¿a un humano?

El vídeo que ves en la Figura 4 es un vídeo falso creado por una GAN. En ella, la cara de la actriz de Star Wars ha sido puesta en el cuerpo de una actriz porno. Para ello se entrena a la AI Discriminadora con vídeos de la actriz de verdad, y la AI Generadora tiene que hacer uno a partir del vídeo de una actriz porno que engañe a la AI Discriminadora. Debe crear una realidad aceptable para la AI Discriminadora que ha sido entrenada con la realidad, y probablemente engañaría a todos los humanos.

Figura 4: Ejemplo de la cara de la actriz de Star Wars en el cuerpo de una actriz porno

De todo esto habló nuestro compañero David del Val, CEO de nuestra unidad de Telefónica I+D en el pasado LUCA innovation Day 2018, en una charla que tienes en la Figura 3 y merece la pena que veas por lo impactante que es.

Al final, en LUCA Innovation Day 2018 intentamos hablar de cómo usamos en Telefónica los datos y la AI en la primera parte, dedicamos una segunda parte a la transformación del negocio con los datos y la AI y una última parte la dedicamos al futuro que nos viene con las GANs, para que nuestros clientes vieran en lo que estamos trabajando ya. Espero que os gustara el trabajo que hicimos para este evento, que le pusimos mucho cariño.

Saludos Malignos!

domingo, octubre 14, 2018

LUCA Innovation Day 2018: (2 de 3) Data-Driven Decisions

Continuando la historia de nuestro LUCA Innovation Day 2018, la segunda parte del evento estuvo marcada por el core de negocio de nuestra unidad LUCA Data-Driven Decisions. Han sido ya dos años desde que comenzamos con esta unidad, y el avance ha sido enorme.

Figura 1: LUCA Innovation Day 2018: (2 de 3) Data-Driven Decisions

Tanto, que no han sido solo los más de 150 proyectos realizados en más de 20 países para más de 200 clientes diferentes, es haber sido reconocido como líder en Business Insights de Big Data por analistas como Forrester.

Figura 2: Números de LUCA en estos dos años

LUCA nació hace dos, en Noviembre de 2016, con la idea de acompañar a nuestros clientes en el camino de madurez que se necesita recorrer para convertirse en una empresa Data-Centric. La misión de la compañía la contaba Elena Gil en un vídeo de 1 minuto hace un par de meses.


Figura 3: Entrevista a Elena Gil sobre LUCA

De todo lo que ha supuesto para Telefónica la construcción de esta unidad, habló Adrian García Nevado al principio del evento, donde recorría desde la percepción de nuestros equipos comerciales digitales qué ha sido para la casa y nuestros clientes el trabajo hecho por LUCA.


Figura 4: Adrian García Nevado

Durante nuestro evento de LUCA Innovation Day 2018, nuestra CEO hizo un recorrido más largo para contar lo que ha sido en términos de construcción de la oferta, proyectos, productos y servicios ofrecidos durante este tiempo.


Figura 5: Elena Gil hablando de Transformación del negocio

Pero además nos sentamos con dos de nuestros más importantes clientes que vinieron a compartir con todos los asistentes su visión sobre las decisiones tomadas en datos dentro de sus organizaciones. Nos acompañaron Alejandro Valladares de BBVA que vino a hablarnos de Business Transformation.


Figura 6: Alejandro Valladares (BBVA): Business Transformation

Y también estuvo Juan José Casado, que ocupa la responsabilidad de ser el Data & Analytics Director en Repsol y que nos habló de lo que significa esto para su compañía hoy en día. Y cómo han trabajado con LUCA en algunos de sus proyectos principales.


Figura 7: Juan José Casado, Data & Analytics Director en Repsol

Por último, tras todas estas sesiones, Carlos Martínez, nuestro Director Global de Go-To Market en LUCA, hizo un recorrido de menos de quince minutos por los principales productos, tecnologías y servicios que hemos construido durante este periodo, y que si no conoces bien tal vez te sorprendan.


Figura 8: Productos, Tecnologías y Servicios de LUCA

El resto de esta parte del evento se pudo disfrutar en los booths que montamos en la sala del catering, donde nuestros clientes pudieron ver, probar y experimentar en cada uno de ellos diferentes tecnologías de LUCA. Y como no, hablar con todos los que hacen la tecnología en nuestro equipo.


Figura 9: Entrevista a Álvaro Sánchez en 1 minuto

Al final, de lo que se trata con las tecnologías que desarrollamos en LUCA es que los datos se pongan al servicio de la toma de decisiones, como decía nuestro compañero Álvaro Sánchez en otra entrevista de un minuto.

Saludos Malignos!

sábado, octubre 13, 2018

LUCA Innovation Day 2018: (1 de 3) From Big Data to AI

El pasado 4 de Octubre tuvo lugar nuestro LUCA Innovation Day 2018, en el que el auditorio estuvo totalmente lleno, además de tener que habilitar un segundo auditorio y las conexiones por streaming para todos los que se quedaron sin plaza o estaban en ubicaciones remotas. El evento contó también con una serie de booths en los que se podían ver los productos de LUCA en funcionamiento, lo que permitió a los asistentes palpar y conocer bien todo lo que estamos haciendo en esta unidad.

Figura 1: LUCA Innovation Day 2018 (1 de 3) From Big Data to AI

El contenido del evento ya está siendo post-procesado, por lo que os traigo la información del evento ya, pero como hubo tres partes claramente diferentes durante la presentación, he querido detenerme a explicaros más detalles de ellas en cada una de las partes. Antes, os dejo el vídeo resumen del evento.


Figura 2: LUCA Innovation Day 2018 - Resumen

La primera de las partes es la que me tocó llevar a mí junto a mi compañero Julia Llanos. Es la parte en la que intentamos recoger cómo nuestra estrategia de ser una compañía Data-Centric con la 4ª Plataforma fue evolucionando para llevarnos después a utilizar Artificial Intelligence e integrar Cognitive Services en la construcción de AURA para terminar construyendo Movistar Home.


Al final, la construcción de la 4ª Plataforma viene de una visión interna que teníamos de normalizar todo nuestro ecosistema de datos con unos valores, para después empezar a ejecutarlo en diferentes fases. Yo os he contado muchas fases en la serie de posts que le dediqué a este trabajo - y que aún tengo que ampliar un poco -.
En la segunda parte de esta presentación, lo que hicimos fue una demostración de cómo construir, mezclando tres fuentes de datos distintas, como son los datos de contaminación de las estaciones de medición en la ciudad de Madrid, los datos del tiempo y la previsión metereológica, y los datos de los desplazamientos de vehículos de Madrid desde nuestra plataforma SmartSteps, un modelo analítico de predicción de calidad del aire.


Figura 4: The road from Big Data to AI

Con técnicas de BigData construimos un dashboard que aplicaba Analítica Descriptiva para mostrarnos toda la información pasada y presente, Analítica Predictiva para saber cuál iba a ser la calidad del aire de Madrid los próximos días en cada zona, y Analítica Prescriptiva que nos decía cuáles deberían ser las medidas a aplicar para conseguir mantener los resultados dentro de los parámetros aceptables.


Figura 5: Building an AI from the scratch

Por supuesto, para terminar Julia Llanos - que entró como una de nuestras Mujeres Hacker en los inicios de ElevenPaths y hoy en día es la Data Scientist Manager de AURA -, nos enseñó como conectar esos datos con servicios cognitivos configurando LUIS y Bot Framework de Microsoft Azure, para llevar el acceso a esa información por un canal tan común como un bot de Facebook, una app, o como hicimos en la demo, un smart display como Movistar Home.

Al final fue una sesión centrada en mostrar cómo una buena estrategia de datos puede habilitarte desarrollar sistemas de Inteligencia Artificial de manera sencilla, mientras que de lo contrario vas a tener siempre un salto que dar, y como en LUCA estamos ayudando a las empresas a construir "su propia AURA".

Saludos Malignos!

viernes, octubre 12, 2018

Conferencias, charlas y eventos del 14 al 20 de Octubre #MovistarHome @ElevenPaths @Telefonica @LUCA_d3 @0xWord

Si esta semana que hoy termina con día festivo en España tenía pocas citas, la que viene está cargada de ellas y yo tengo varios compromisos en los que participaré, pero además mis compañeros también están presentes en muchos sitios.

Figura 1: Conferencias, charlas y eventos del 14 al 20 de Octubre

Os dejo la lista completa, con las citas presenciales, y las que se pueden seguir online, que son muchas.

15 a 18 de Octubre: Futurecom [Sao Paulo] [*]
Durante estos días en Brasil tiene lugar uno de los mayores eventos de tecnología, y me voy a mover allí para ser parte de la representación de Telefónica y Vivo para compartir los proyectos en los que estamos involucrados. Yo estaré dando mi charla el día 16 de Octubre, pero habrá compañeros participando todos los días. Toda la info en la web.
Figura 2: Futurecom en Sao Paulo

16 de Octubre: LUCA Store"Digitalizando tiendas físicas" [Online] [G]
Este día, de 16:00 a 17:00 horas de España, tendrá lugar una nueva sesión online de nuestras LUCA Talks. En esta ocasión centrada en cómo digitalizar tiendas con nuestro producto LUCA Store. Si tienes un retail y quieres saber cómo incrementar su potencial por medio del mundo del IoT y el BigData, esta es tu sesión.
Figura 3: Webinar de LUCA Store

17 y 18 de Octubre: Data Leaders Summit Europe [Barcelona]
Estas jornadas centradas en sacar lo máximo de los datos de la forma más beneficiosa para las empresas y particulares contará con la participación de nuestra compañera Elena Gil, CEO de LUCA D3, para hablar de cómo en Telefónica estamos trabajando con los datos, y qué ha llevado a Forrester a situar a LUCA como líder en la categoría de Business Insights. Toda la agenda en la web de las jornadas.

Figura 4: Data Leaders Summit Europe

17 de Octubre: Curso Oline Profesional de Hacking con Python [Online]

Este día márcalo en el calendario si quieres dedicarte profesionalmente al mundo del pentesting, ya que comienza una formación, el Curso Online Profesional de Hacking con Python - fundamental para cualquier profesional que quiera entrar a trabajar en una empresa que haga auditorias de seguridad - como por ejemplo acceder a alguna de nuestras plazas de ElevenPaths Professional Services que tenemos abiertas -.

Figura 5: Curso Online Profesional de Hacking con Python
Esta formación de 90 horas con contenido online, dudas con el profesor que te acompaña durante todas las semanas que dura el curso. Además, todos los alumnos recibirán como complemento el libro de Hacking con Python de nuestra editorial 0xWord.
Figura 6: Libro de Hacking con Python
Al final, una oportunidad de formarse en serio para adentrarse en el mundo del pentesting profesional y empezar a trabajar de ello.
17 de Octubre: Fear the FOCA [Online][G]
Este día, por la tarde, tendréis disponible nuestra nueva CodeTalk for Developers, dedicada a explicar cómo hacer un plugin para FOCA que extienda las funcionalidades de la herramienta. Para ello, nuestro compañero de ElevenPaths Buenos Aires, José Sperk nos enseñará los internals de la herramienta: Fear the FOCA!

Figura 7: Cómo crear un plugin de FOCA

17 de Octubre: El Futuro X Venir [Madrid] [G]
Y para terminar las actividades del día 17, una jornada más que interesante con el prestigioso divulgador alemán Ranga Yogeshwar, que será entrevistado sobre su último trabajo "Próxima Estación: Futuro" en el que hablar de los grandes cambios a los que estamos sometidos y los dilemas éticos y morales a los que nos vamos a enfrentar. Será en el Espacio de la Fundación Telefónica a partir de las 19:00 horas.
Figura 8: El Futuro X Venir en Madrid

18 de Octubre: Movistar Home [Madrid] [*]
Nada más regresar de Brasil me meteré de lleno en la preparación del programa de Late Motiv en el que junto con Andreu Buenafuente, Emilio Gayo - nuestro presidente de Telefónica de España - y algunos amigos y compañeros sorpresa más, lanzaremos Movistar Home que ahora está abierto solo para Early Adopters - hemos ampliado algunas unidades más para atender todas las pre-reservas pero la web se va a cerrar en breve -. A este evento, puedes venir si eres cliente de Movistar y tienes toda la información en este artículo
Figura 9: Late Motiv con Movistar Home

18 y 19 de Octubre: AI & Data Analytics [Madrid]
Estos dos días, en Madrid, tendrá lugar este congreso en el que nuestro Chief AI Ambassador de la unidad LUCA, el Dr. Richard Benjamins, participará en un debate el primer día sobre la ética del uso de la Inteligencia Artificial. La agenda tocará muchos temas diversos que afectan tanto a la parte técnica, como a la evolución de los retos a los que nos vamos a enfrentar cuando el uso de la IA se masifique. Toda la agenda en la web del evento.
Figura 10: AI & Data Analytics

18 y 19: Congreso sobre Vulnerabilidad y Cultura Digital [Madrid]
Los mismos días, y también en Madrid, tendrá lugar el Congreso de Cultura Digital y que ahondará en el tema de la Vulnerabilidad y la Cultura Digital. Un tema más que interesante en el mundo en el que nos movemos hoy en día y en el que nuestro compañero, el Dr. Richard Benjamins, participará el día de cierre. La agenda completa en la web.
Figura 11: Congreso Internacional sobre Vulnerabilidad y Cultura Digital

19 y 20 de Octubre: Hack & Sec [Santander]
El viernes y el sábado se han organizado estas jornadas de ciberseguridad con dos sabores: técnico y familiar. Así, los asistentes podrán ampliar su conocimiento técnico en ciberseguridad pero para los grupos familiares habrá sesiones de concienciación y entendimiento de este mundo. Entre los ponentes está nuestro compañero Fran Ramírez de mi equipo de Ideas Locas en la unidad CDO de Telefónica que hablará de algunos de nuestros proyectos del día a día, además de bañarlo con anécdotas de los primeros hackers de esas que escribió en su libro de "Microhistorias: Anécdotas y Curiosidades de la Historia de la Informática y los Hackers".  Toda la información en la web:
Figura 12: Hack & Sec en Santander

Y esto es todo lo que tengo en el radar para la semana que viene, que como veis es variado y amplio. Y además de todo esto intentaré teneros al día con los posts del blog, aunque viendo lo que se me viene encima con viajes y eventos - y alguna cosa más que tengo en la agenda de mucha importancia -, tal vez me tenga que saltar algún día.

Saludos Malignos!

Entrada destacada

Seis recomendaciones personales de libros de @0xWord para disfrutar y aprender

Este verano pude disfrutar de la lectura de un libro que me encantó. El libro de Factfulness que me había regalado mi compañera Beatriz Ce...

Entradas populares