sábado, diciembre 15, 2018

Cuatro Seminarios en Youtube: AI, ChatBots, Cine y SMS Stack

Esta semana ha habido algunos seminarios interesantes sobre las cosas en las que hemos estado trabajando esta segunda mitad del año. Como os podéis imaginar, mucho tiene que ver con servicios de Inteligencia Artificial, Aura y nuestras cosas de BigData y Seguridad, todas dentro del equipo de Ideas Locas. Hoy os he recogido 4 seminarios en Youtube, para que no os perdáis nada de lo que hacemos.

Figura 1: Cuatro Seminarios en Youtube: AI, ChatBots, Cine y SMS Stack

El primero de ellos tiene que ver con AURA y Movistar Home. Cómo los hemos ido construyendo en Telefónica y cuáles eran las motivaciones detrás de las decisiones que hemos ido tomando. Es una charla pequeña de media hora que di yo en la Thinking Party 2018 de la Fundación Telefónica.


Figura 2: Thinking Party 2018 @ Fundación Telefónica

El siguiente vídeo es un seminario sobre la construcción de chatbots con Microsoft Bot Framework que ha hecho nuestro compañero en mi equipo de Ideas Locas Enrique Blanco. Se trata de explicar cómo se pueden crear chatbots con esta tecnología, que está detrás de AURA y que la utilizamos para la construcción de la demo que hice yo en mi charla del LUCA Innovation Day 2018.


Figura 3: Cómo construir Chatbots con MS Bot Framework

La tercera charla tiene que ver con otra locura que llevaba tiempo queriendo hacer. Se trata de aplicar la idea de usar los SMS como canal de datos para conexiones de apps, tal y como hicimos con Pigram hace tiempo. Para ello, el equipo de Ideas Locas ha trabajado en un SDK que implementa un Stack SMS que puedes utilizar en apps, aquí más información de la idea esta CodeTalk 4 Developers.

Figura 4: CodeTalk 4 Devs "SDK Stack SMS"

Y por último, la última sesión es de Fran Ramírez - autor de los libros de "Microhistorias: Anécdotas y curiosidades de la historia de la informática y los hackers" & "Docker:SecDevOps" - y también de Enrique Blanco, halando de algo mucho más lúdico: "La IA y el Cine". Sí, ambos son de mi equipo de Ideas Locas.

Figura 5: La IA y el Cine

En esta sesión se habla de muchas cosas curiosas. De algunas de ellas, yo también he hablado por aquí, en los artículos de "La Inteligencia Artificial y la Etica del Ratón" o en "La AI que no quería morir, que quería matar y que no sabía amar". Seguro que disfrutas con esta charla.

Saludos Malignos!

viernes, diciembre 14, 2018

VolunTrivial: Ciberseguridad en familia para educar a los más jóvenes

Hoy día estamos expuestos a muchas amenazas relacionadas con el uso de las nuevas tecnologías, sobre todo en lo referente a menores de edad y adolescentes, pero que en definitiva, es un tema que afecta a toda la familia en general. Es necesario conocer y saber cómo enfrentarse a estas nuevas amenazas, como por ejemplo las sextorsiones, comportamiento en Redes Sociales, utilización del smartphone de manera segura, etcétera. Para ello, en 0xWord tienes el libro de "Cómo Protegerse de los peligros en Internet" que recoge de manera amplia todos estos temas.

Figura 1: VolunTrivial. Ciberseguridad en familia para educar a los más jóvenes

Pero lo mejor para hacer llegar estos mensajes a los más jóvenes, es hacer que esto sea divertido, como por ejemplo hacerlo desde un juego que además se puede disfrutar en familia. Así que con motivo del Día Mundial de la Ciberseguridad, el programa de Voluntarios Telefónica (en colaboración con Pantallas Amigas) han desarrollado un juego educativo en formato app para Android (se puede encontrar en Google Play para smartphones o tablets) llamado VolunTrivial.

Figura 2: VolunTrivial en Google Play

Este juego promueve y educa a los usuarios precisamente en los temas de ciberseguridad que hemos hablado al principio de este artículo. Está orientado para todos los públicos a partir de 10 años y está basado en el popular juego SmartPRIVIAL, pero utilizando la temática de la privacidad y la protección de datos personales. Incluye los siguientes temas de relevancia:
• Privacidad en general 
• Uso de la Webcam 
• Retos del Sexting 
• Seguridad de smartphones 
• Gestión de Redes Sociales 
• Variedades (aquí se añaden dos temas de máximo interés relacionados con la educación como son la igualdad y la violencia de género).
Figura 3: Categorías de preguntas en el juego VolunTrivial

Pueden jugar hasta 4 jugadores simultáneamente (perfecto para la familia) y las puntaciones obtenidas y los porcentajes de acierto se almacenarán ordenados por temáticas para que el jugador pueda tener su propio registro de juego. Además, ofrece contenido exclusivo si se superan ciertos retos incluidos en juegos que nos ofrecen desde animaciones hasta pequeños juegos.

La instalación es sencilla desde Google Play. La primera pantalla solicita un código que se puede obtener desde la web de Voluntarios de Telefónica. Para conseguirlo es necesario registrarse y una vez finalizado el registro obtendremos nuestro código de acceso. Podemos ir la página de registro pulsando en “OBTENER CÓDIGO”:

Figura 4: Petición de código de acceso a la aplicación.
Y también desde la URL siguiente:

Figura 5: Proceso de registro para obtener el código de la aplicación.

En la pantalla principal tenemos las diferentes opciones como instrucciones, créditos, opciones de configuración y jugar:

Figura 6: Opciones principales del juego

El siguiente paso será elegir nuestro avatar de participante:

Figura 7: Elección del avatar del usuario

Una vez comenzado el juego, tenemos que girar una ruleta la cual nos asignará un color que corresponde a una de las características que hemos comentado anteriormente.

Figura 8: Tablero principal y casillas con las diferentes características

En este ejemplo, se muestra una pregunta relacionada con la categoría “Webcam”:

Figura 9: Pregunta relacionada con Webcam

Tenemos un tiempo máximo de 60 segundos para responder, si hemos acertado obtendremos una puntuación y además podremos ver un vídeo con más información sobre este tema.

Figura 10: Pantalla de acierto en casilla especial con vídeo extra de recompensa

En cambio, si hemos fallado, se nos restará un punto y volvemos a girar la ruleta. El objetivo final es conseguir acertar las preguntas de las casillas especiales (aquellas que tienen un hueco, similar a las casillas centrales del Trivial Pursuit). El primero de los jugadores que lo consiga será el ganador de la partida.

Figura 11: Pantalla de respuesta errónea, con -1 en la puntuación.

En definitiva, el objetivo es hacer llegar la importancia de saber utilizar y compartir contenido en Internet con el máximo de seguridad, y si es jugando, pues mucho mejor. Una herramienta educativa que además de divertir enseña los principios básicos de uso seguro y responsable de Internet. ¡A disfrutar!

Fran Ramírez, (@cyberhadesblog) miembro del equipo de Crazy Ideas en CDO en Telefónica, co-autor del libro "Microhistorias: Anécdotas y Curiosidades de la historia de la informática (y los hackers)", del libro "Docker: SecDevOps" y del blog Cyberhades.

jueves, diciembre 13, 2018

Nuevo póster del "Profesor Alonso" del Universo Fanhunter en @0xWord #Cómics

Hace ya algún tiempo que me convertí en un narizotas. Primero gracias al personaje de "Maligno" dentro de las aventuras de Fan Letal, y luego como el Profesor Alonso dentro de la historia de "Las Montañas de la Locura". Y me encanta verme siendo un narizotas.

Figura 1: Nuevo póster del "Profesor Alonso" del Universo Fanhunter en 0xWord Cómics

Diferenciar a los personajes es sencillo. En el caso de Maligno el pelo va más en modo "dando una conferencia o hackeando el mundo" y listo para las fotos, en el caso del Profesor Alonso, el personaje está en otro tiempo y pertrechado para la aventura. 

Figura 2: "Maligno" en Fan Letal

En el caso concreto del Profesor Alonso, el personaje sale dentro de una aventura muy especial que como os he dicho se llama "Las Montañas de la Locura", del que además hay un juego de mesa para entretenerse con los datos y los personajes.
Entre las fichas que existen, está la de este personaje que tanto adoro (¿Por qué será?) con el que puedes jugar y pasar el rato.


Pues bien, después de haber hecho el póster de Fear the FOCA, el segundo póster de la colección tan particular de pósters que estamos sacando en 0xWord, el gran Cels Piñol me ha hecho uno que hemos publicado en el que el Profesor Alonso está en plena acción.


No hay mucho más. Desde siempre he adorado los cómics, y los pósters son algo que llena mi vida. Me gusta decorar mi portátil con pegatinas, mi oficina con pósters y dibujos, así que tener este póster en mi oficina es otro de mis alegrías personales. Y se han hecho una veintena de ellos por si alguno quiere tenerlo también.

Figura 6: Póster oficial de Profesor Alonso

Para los que queráis leer más de Las Montañas de la Locura, he encontrado el currículo del Profesor Alonso que salé en una de las viñetas. Como podéis ver, tiene mejor historial que yo.


Saludos Malignos!

miércoles, diciembre 12, 2018

Tu tarjeta de visita filtra tu Instagram... o viceversa

Hace no mucho que os hable del proyecto de mi equipo de Ideas Locas llamado "Dirty Business Card" en el que intentamos sacar mediante Info-Leaks de servicios de Internet, si una dirección de correo electrónico o un número de teléfono estaba asociado a un determinado servicio. Al final, el leak del que se toma ventaja en las pruebas es el de Crear un cuenta o Recuperar una contraseña en la que se dice al que usa esas opciones si la cuenta existe o no.

Figura 1: Tu tarjeta de visita filtra tu Instagram... o viceversa

El funcionamiento tan básico de este leak lo expliqué en el artículo de "Cómo evitar fugas de información en la creación y recuperación de cuentas en aplicaciones web que pueda usar cualquier Cambridge Analytica" y fundamentalmente se debe evitar tener cualquier comportamiento que pueda permitir a un visitante saber si esa cuenta existe o no en ese servicio.


Figura 2: Dirty Business Card Reader

Para poner algunos ejemplo, ya usé el caso de Grindr y de Follamigos, pero el número de sitios que son vulnerables a este bug es todavía muy alto, por lo que es sencillo a partir de una dirección de correo electrónico o un número de teléfono perfilar a cualquier persona, incluso con detalles que el usuario no desearía que se conocieran.

El caso de Instagram

Uno de los sitios que también tiene ese "leak" es instagram, que filtra si una cuenta existe o no existe en la web de manera muy directa. Por ejemplo, si intentamos recuperar una cuenta con un correo electrónico que no está en el sistema, obtendremos un "User Not Found".

Figura 3: El correo electrónico probado no tiene cuenta en Instagram

Por el contrario, si cualquier intenta recuperar una contraseña de una cuenta que sí existe asociada una dirección de correo electrónico dado, obtendremos un mensaje totalmente distinto que nos deja saber que la cuenta existe.

Figura 4: Sí que existe una cuenta en Instagram asociada a esa dirección de e-mail

Y esta situación se repite de la misma forma con el número de teléfono que está asociado a la cuenta de Instagram, así que con tener cualquier número se puede comprobar si tiene cuenta en esta red social.

Figura 5: Ninguna cuenta de Instagram asociada a ese número de teléfono

Y de nuevo, por el contrario, si existiera una cuenta asociada a ese número de teléfono tenemos una respuesta desde Instagram que nos deja ver a las claras que ese número está asociado a una cuenta de la red social ya que nos informa de que le ha enviado un SMS.

Figura 6: Existe una cuenta asociada a ese número de teléfono

Hasta el momento se consigue con este leak saber si tiene o no cuenta en la red social, pero no qué cuenta en concreto. Para sacar la cuenta, hay que utilizar otros leaks, como probar posibles usernames en función de los datos que se tienen y generar un diccionario para usar la recuperación de contraseña pero probando posibles usernames y viendo si los datos de e-mail que se obtienen encajan con la cuenta que ya se ha obtenido.

Figura 7: Datos parciales de la cuenta de e-mail asociada a un e-mail

Al final, viviendo en los tiempos de Cambridge Analytica, todos estos leaks deberían ser eliminados de las webs, ya que hemos visto que los algoritmos de Inteligencia Artificial que tenemos hoy en día pueden hacer magia en ataques complejos, como los de Fake News de los que hemos hablado tantas veces.

Saludos Malignos!

martes, diciembre 11, 2018

Conexión Segura y SmartWiFi: Gestiona tu seguridad en tu red WiFi y en Internet

Se ha hablado mucho de estos servicios que hemos lanzando en Telefónica de España, y la verdad es que la acogida por el público está siendo espectacular, así que os voy a hablar un poco de ellos para que podáis conocerlos y entender algo mejor cómo funcionan.

Figura 1: Conexión Segura y SmartWiFi: Gestiona tu seguridad en tu red WiFi y en Internet

Para que los tengáis en la mente, son cuatro servicios que se recogen en la idea de "Vivir OMMMMLine" en lugar de "Vivir Online" y son: Conexión Segura, Movistar Cloud, Movistar Junior y SmartWiFi.


Figura 2: Di Hola a Vivir OMMMMLine

El servicio principal se llama Conexión Segura, y tal y como explicamos en el blog de ElevenPaths, su principal misión es bloquear ataques desde la red. Es decir, se han instalado servicios Antimalware y Antiphishing en los nodos de red de Telefónica para escanear el tráfico de aquellos usuarios que lo activen.

Figura 3: Opciones de Conexión Segura en Movistar

Es decir, cuando los usuarios naveguen por Internet a través de su red WiFi o a través de la línea móvil en su smartphone, si han activado este servicio, se procederá a escanear con los servicios de AntiPhishing y Antimalware el tráfico que llegue a ellos. Los servicios que hemos instalado son McAfee y Allot, y los hemos integrado en los nodos de nuestra red para que el tráfico llegue sin consumir ancho de banda con todo lo malicioso que se detecte.


Figura 4: Conexión Segura y SmartWifi


Clean Pipes y Anti-DDOS para empresas

Esto mismo que hacemos ahora en Conexión Segura es un servicio que desde hace muchos años en Telefónica ofrecemos en todo el mundo a las empresas, bajo el nombre de Clean Pipes. Este servicio empresarial, que es uno de los más demandado, utiliza otras tecnologías pero sigue los mismos principios, no solo da una mayor protección a la empresa, sino que además permite que el ancho de banda que tiene contratado un usuario o una empresa no se vea ocupado innecesariamente con el malware que se detecta, lo que da mejor velocidad y más seguridad.

Figura 5: Características del servicio CleanPipes para empresas

Y ambos, siguen también los mismos principios que los servicios Anti-DDOS que ofrecemos desde la red, que al final evitan que el tráfico del atacante colapse el ancho de banda, por eso poner un antimalware y un antiphishing en la red para proteger las conexiones de los usuarios y empresas  tiene todo el sentido.

¿Se está haciendo un man in the middle al tráfico cifrado HTTP-s?

Por supuesto que no. Las conexiones HTTP-s no se están abriendo. Los motores antimalware y antiphishing utilizan una gran variedad de técnicas para marcar una conexión como maliciosa, mirando las cabeceras DNS y por supuesto analizando el tráfico no cifrado.


Figura 6: Conexión Segura: Sé un héroe digital en tu familia activando este servicio gratuito

Pero también utilizan técnicas avanzadas para bloquear tráfico malicioso utilizando información que viene directamente de la base de datos que se genera con los motores de antimalware en el end-point. Estos reportan malware desde conexiones, que ayuda posteriormente a generar más conocimiento y firmas a aplicar en la red.

Figura 7: Conexión Segura en SmartWifi

Para eso, el servicio cuenta además con 5 licencias de antimalware de end-point que se pueden gestionar desde la app de SmartWiFi  o el portal de Conexión Segura. Así, no es necesario abrir el tráfico HTTP-s para inspeccionar el posible tráfico malicioso. ¿Se detecta así el 100% del malware o el phishing? Ya sabéis los que sois de este mundo que alcanzar el 100% de seguridad es algo imposible, pero mejora significativamente la seguridad de la navegación por Internet. Definitivamente Y de hecho, en el sistema de reporte puedes ver el número de bloqueos que se producen en tu día a día.

SmartWiFi

La app SmartWiFi [versión Android] [Versión iOS] está disponible desde 2017 pero en la nueva versión se actualiza con nuevas funciones que permiten, entre otras cosas, la gestión y control de la red WiFi del hogar, tanto dentro como desde fuera de casa. En ella, como se contaba en los vídeos de Internet Heavy en Movistar Chile, se pueden gestionar todos los dispositivos de la casa.


Figura 8: Campaña de Internet Heavy para explicar SmartWifi en Chile

Además, se pueden hacer tests de velocidad, se puede gestionar todo el servicio de Conexión Segura, se pueden crear redes WiFi de invitados, etcétera. Es totalmente gratuita, pero necesitas tener el router Smart WiFi (que internamente llamamos HGU - el blanco y gris cuadradito -.

Figura 9: Funcionalidades de SmartWifi 2.0

Las funciones de esta app se resumen en esta imagen de arriba que hemos utilizado para contar a todo el mundo qué se puede hacer en la gestión de la red WiFi.

Movistar Cloud y Movistar Junior

Además, se han añadido dos servicios más en forma de app al paquete, que son Movistar Cloud y Movistar Junior. La primera, da almacenamiento gratis e ilimitado a todos los clientes de Movistar Fusión para guardar fotos, vídeos y documentos desde tu terminal móvil, y la segunda es una app para que los niños puedan ver los contenidos de Movistar+ adaptados a su edad. Para disfrutarlos, debes tener el paquete Movistar Fusión y bajarte las apps.

Saludos Malignos!

lunes, diciembre 10, 2018

Battle Royale: WordPress infectados atacando otros WordPress #Wordpress #hardening

Una de las noticias de la semana pasada fue el descubrimiento de una botnet de sistemas Wordpress que intentaban atacar a otros Wordpress no infectados. El número de instalaciones infectadas superaba los 20.000, aunque no se descarta un aumento en los días que han transcurrido. El ataque que los Wordpress infectados realizaban contra los otros sistemas Wordpress NO infectados no era un ataque complejo, pero al fin y al cabo, sí efectivo por lo que parece.

Figura 1: Battle Royale: WordPress infectados atacando otros WordPress

La empresa del Wordfence, propietaria de un plugin de Wordpress que implementa un sistema de firewall para la aplicación, fue la que descubrió el ataque y ha publicado un reporte muy profundo sobre el ataque, incluyendo desde dónde se enviaban las instrucciones mediante los C2 o Command and Control.

¿Cómo detectaron los ataques?

Según explican en su reporte detectaron, en el último mes, más de cinco millones de intentos de acceso. Estos intentos de acceso iban desde instalaciones de Wordpress infectadas, o supuestamente infectadas, contra otras instalaciones de Wordpress que no lo estarían.

Figura 2: Informe de Wordfence

¿Cómo se realiza el ataque?

El ataque es básico, es lo que se llama un ataque de diccionario. Es decir, los sitios infectados van probando ciertas credenciales. Si el ataque tiene acceso se consigue acceso al sistema, por lo que se podrá infectar y ser parte de la botnet. El investigador Mikey Veenstra comentó que la empresa de Wordfence identificó cuatro servidores C2 o Command and Control que son los encargados de enviar las instrucciones al resto de instalaciones infectadas.


Figura 3: Cómo proteger WordPress con Latch

Este es un ataque muy común, y por supuesto ya hablamos de cómo prevenir este tipo de ataques a través del uso de Latch.

¿Cómo envían las instrucciones de ataque a las instalaciones infectadas?

Los C&C envían las instrucciones a través de un conjunto de máquinas o red de más de 14.000 proxies. Estos proxies están alquilados al servicio Best Proxies, los cuales transmiten la información a scripts maliciosos ubicados en las instalaciones de Wordpress infectadas.

Figura 4: Estructura del ataque con proxies
¿Cómo funcionan los scripts maliciosos?

Sencillo. Leen una lista de destinos que reciben desde los servidores C2, crean una lista de credenciales basándose en patrones de contraseñas y luego intentan utilizar dichas contraseñas para iniciar sesión como administrador. Como se puede ver el funcionamiento es sencillo, pero potente.

En otras palabras, si el script malicioso tiene que intentar iniciar sesión en peligro.com con el usuario admin, se genera una contraseña como peligro, admin, admin1, admin2018, etcétera. Por lo que el patrón identificado es una contraseña para la cuenta similar al nombre de usuario o que derive de él. Es un ataque de diccionario que genera credenciales dinámicas en función del contexto del dominio y del usuario. Nada nuevo.

Figura 5: Peticiones de autenticación en el ataque

Según parece en la investigación de Defiant, la empresa de Wordfence, comenta que la gente que está detrás de esta botnet cometió algunos errores en la implementación de los scripts maliciosos. De esta forma se ha podido conocer el detalle y exponer toda la infraestructura de backend de la botnet.

Incluso, parece que los investigadores pudieron evitar el sistema de acceso al panel del C2 y echar un vistazo a la operación. Parece que los errores no solo estaban en la implementación de los scripts, si no que también se implementó de forma incorrecta los sistemas de autenticación del panel de administración. Al menos con algunos bugs.

Figura 6: Logs de los ataques

Aunque se ha compartido toda esta información en este reporte, los C2 han seguido activos debido a que el proveedor donde están alojados no satisface solicitudes de retirada. Hay que tener en cuenta que los intentos de inicio de sesión automatizados no van dirigidos al panel de inicio de sesión de Wordpress, y sí al mecanismo de autenticación XML-RPC de Wordpress. No intentemos cambiar la URL del panel de inicio de sesión, ya que eso no servirá. Es importante utilizar un plugin que bloquee los ataques de fuerza bruta o de diccionario que se pueden realizar contra el servicio XML-RPC.

¿Qué más podemos hacer?

Aparte de instalar un plugin que permita bloquear ataques de fuerza bruta, es importante disponer de un 2FA de autenticación. Se puede instalar el plugin oficial de Latch para Wordpress para no permitir autenticar, mientras no abramos el cerrojo Por otro lado, otra opción muy recomendado es proteger Wordpress con Latch Cloud TOTP para generar un token una vez se valide el usuario, y se introduzca como un 2FA.


Figura 7: Proteger WordPress con Latch Cloud TOTP

A modo de evitar la modificación o alteración de la base de datos se puede instalar nuestra herramienta Wordpress in Paranoid Mode. Esta herramienta permite ‘congelar’ la base de datos en caso de incidente de seguridad o darnos el poder de decidir qué tablas se pueden modificar y cuando. Con tres modos de funcionamiento: Administración, Edición y Read-Only permite al usuario utilizar una granularidad suficiente para controlar inserciones, actualizaciones y borrado de datos.

Figura 8: Hardening WordPress like a Hacker

En la conferencia de la Figura 8 hay un montón más de trucos de hardening de WordPress que puedes aprender en los diferentes posts y artículos enlazados en la referencia, pero el libro de nuestro colega Daniel Maldonado en 0xWord dedicado a "Máxima Seguridad Wordpress" ayuda a entender las necesidades que tienen este tipo de aplicaciones para garantizar la seguridad de tus sitios.

Figura 9: Libro de "Máxima Seguridad en WordPress"

Por supuesto, si quieres tener siempre auditado y controlado tu servicio WordPress, en ElevenPaths desarrollamos un servicio que puedes contratar cuando desees que se llama Faast For WordPress y que hace Pentesting Persistente a tu servidor desde Internet para que tengas un reporte continuo de las vulnerabilidades que te afectan en el momento en que se descubren.


Figura 10: Faast for WordPress demo

Os dejo un listado de las referencias que os pueden ayudar a mejorar la seguridad de vuestras instancias de Wordpress:

[Libro] Máxima Seguridad en WordPress
[Libro] Hardening GNU/Linux
[Paper] WordPress in Paranoid Mode (Parte 1)
[Paper] WordPress in Paranoid Mode (Parte 2)
[Vídeo] Proteger WordPress con Latch
[Vídeo] Proteger WordPress con Latch Cloud TOTP
[Vídeo] MyWordPress in Paranoid Mode (conferencia Chema Alonso)
[Vídeo] MyWordPress in Paranoid Mode (ElevenPaths Talks de Pablo González)
[Vídeo] MyWordPress in Paranoid Mode for Developers
[Vídeo] Ejemplo de uso de Latch en WordPress
[Vídeo] Hardening WordPress like a hacker
[Vídeo] WordPress Demo XSS en WP-UserAgent
[BlogPost] My WordPress in Paranoid Mode
[BlogPost] Máxima Seguridad en WordPress
[BlogPost] Hackear un WordPress con Network Packet Manipulation
[BlogPost] Fortificar comunicación entre WordPress y MySQL
[BlogPost] WordPress Latch Enforcement
[BlogPost] WordPress aún más seguro con Latch Lock After Request
[BlogPost] Fortificar WordPress frente a ataques de fuerza bruta
[BlogPost] Ataques (al corazón) de tu WordPress
[BlogPost] Cómo robarle las contraseñas a los administradores de WordPress
[BlogPost] Agrupar el control de varios WordPress con un solo Latch
[BlogPost] WordPress: Time-Based XSPA (Cross-Site Port Attack)
[BlogPost] Cómo debería ser un WordPress un poco más seguro
[BlogPost] WPHardening: Automatizar fortificación de WordPress
[BlogPost] Protege los borradores de los artículos de tu WordPress
[BlogPost] Registro de cuentas en WordPress públicos
[BlogPost] Riesgos en la ejecución de tareas de Cron
[BlogPost] WordPres: XSS en plugin WP-UserAgent
[BlogPost] Listar los plugins de WordPress en un pentest
[BlogPost] WordPress: SQL Injection en Scarcity Builder Plugin
[BlogPost] Docker WordPress in Paranoid Mode
[BlogPost] Faast for WordPress

Autor: Pablo González Pérez (@pablogonzalezpe), escritor de los libros "Metasploit para Pentesters", "Hacking con Metasploit: Advance Pentesting" "Hacking Windows", "Ethical Hacking", "Got Root" y “Pentesting con Powershell”, Microsoft MVP en Seguridad y Security Researcher en el equipo de "Ideas Locas" de la unidad CDO de Telefónica.

domingo, diciembre 09, 2018

Mi charla en BigData Spain y unos seminarios de Ciberseguridad y BigData en Vídeo

Para hoy domingo, día en el que finaliza el puente de diciembre este que muchos hemos aprovechado en España para descansar o disfrutar de la montaña, os dejo una serie de charlas y seminarios en Youtube, comenzando por mi charla en Big Data Spain en la que hablé de lo que hemos hecho en Telefónica durante estos tres años de vida de la unidad CDO (Chief Data Office).

Figura 1: Mi charla en BigData Spain y unos seminarios de Ciberseguridad y BigData en Vídeo

Pero también os dejo una ElevenPaths Talk sobre la "Gestión de seguridad en los dispositivos móviles de la empresa" - que puedes completar con las lecturas de los libros de "Hacking iOS: iPhone & iPad [2ª Edición]" & "Malware en Android: Discovering, Forensics and Reversing" - , y una LUCA Talk sobre los perfiles profesionales en el sector del BigData. Aquí van todos.


Figura 2: From BigData to AI @Telefonica by Chema Alonso [Eng]


Figura 3: ElevenPaths Talk: Gestión de seguridad en dispositivos móviles


Figura 4: LUCA Talk 20: Perfiles profesionales en BigDa

Y no os pongo más trabajo para hoy, que es domingo, pero no olvidéis que hay que seguir aprendiendo todos los días. Así que, además de hacer deporte para cuidar el cuerpo, hay que hacer gimnasia mental para cuidar la cabeza. 

Saludos Malignos!

sábado, diciembre 08, 2018

Actividades del 10 al 16 de Diciembre

Quedan ya solo tres semanas para que termine el año, pero hasta casi el final tendremos actividades. Además, por ser un momento tan especial del año, tenemos algunas cosas totalmente diferentes. Aquí va la lista de lo que tenemos por delante.

Figura 1: Actividades del 10 al 16 de Diciembre

Lunes, 10 de Diciembre:
- Curso de Hacking Experto [Online] Desde The Security Sentinel lanzan la última edición de esta formación de 240 horas centrada en formar profesionales que puedan ejercer su actividad laboral dentro del mundo de Ethical Hacking. Tienes todos los contenidos en la web del curso.
Figura 2: Curso Online de Hacking nivel Experto
Además, los asistentes a ella recibirán como material de apoyo el libro de 0xWord de Pentesting con Powershell que escribió nuestro compañero Pablo González, con el que tantas PocS & Hacks hemos publicado por aquí.
Figura 3: Pentesting con Powershell
Martes, 11 de Diciembre
- LUCA Talk: Creando un Chatbot con MS Bot Framework [Online] [G] Los chatbots cada vez son más populares y están aportando nuevas formas de cómo las empresas se dirigen a los usuarios. En este webinar se describirá el proceso a seguir para construir y desplegar un sencillo chatbot a través de diferentes canales haciendo uso de Microsoft Azure Bot Service.
Figura 4: Creando un Chatbot con MS Bot Framework
Este entorno de desarrollo, el cual destaca por su flexibilidad, nos permitirá desarrollar un chatbot en Node.js en poco tiempo en local haciendo uso del SDK Bot Builder para JavaScript y del emulador de Bot Framework. Nuestro compañero del departamento de Ideas Locas, Enrique Blanco, dará esta sesión.
Miércoles, 12 de Diciembre
- Entrega de Premios Game Jam Junior 2.0 [Madrid] [G] En el auditorio del edificio central de Telefónica tendrá lugar la entrega de premios y la presentación de los 10 proyectos hechos por los jóvenes ganadores en la pasada Game Jam Junior de Talentum. Como sabéis, Talentum es el primer proyecto que tuve en Telefónica, y sigo muy ligado emocionalmente a él. Además de ver los proyectos, habrá una charla de nuestra compañera Yaiza Rubio, así que seguro que es una jornada de lo más inspiradora.
Figura 5: Entrega de premios de Game Jam Jr. II
Jueves, 13 de Diciembre
- Inteligencia Artificial en el cine [Madrid] [G] En esta charla, los expertos Fran Ramírez - autor del libro de Microhistorias: Anécdotas y curiosidades de la historia de la informática y lo hackers -  y Enrique Blanco, ambos del equipo de Ideas Locas de CDO, explorarán de una forma amena los posibles escenarios del futuro de la IA a través de las películas de ciencia ficción.
Figura 6: Inteligencia Artificial en el Cine
Esta sesión es gratuita y es la que no te debes perder si te gusta la Ciencia Ficción y la tecnología. Entretenimiento garantizado en el Espacio de la Fundación Telefónica. Y si quieres un libro entretenido que regalar, éste es uno de los que quieres envolver.
Figura 7: Libro Microhistorias: Anécdotas y Curiosidades de
la historia de la informática (y los hackers)

Sábado, 15 de Diciembre
- Taller "Programa tu propia radio FM con Arduino" [Madrid] [G] Para los que quieren ser Hackers sacando el máximo de Arduino, hay un taller gratuito que admite desde los 9 hasta los 18 años y que durante 4 horas enseña a hacer un proyecto completo.
Figura 8: Taller de Arduino
Merece la pena que asistas si tienes menos de 19 o que lleves a tu hijo si entra en edad. Toma nota, que hay pocas plazas.
- Curso de Seguridad en WordPress [Online] El Sábado dará comienzo una formación online en The Security Sentinel centrada en fortificar al máximo los entornos de WordPress. Es una formación con 15 horas de explicaciones en vídeo, más 45 horas de prácticas. Tienes toda la información del curso en la web.
Figura 9: Curso Online de Seguridad en WordPress
Además, se entregará como material de apoyo nuestro libro de 0xWord que titulamos "Máxima Seguridad en WordPress" que escribió Daniel Maldonado, y que además tiene muchos de nuestros trabajos para configurar WordPress in Paranoid Mode. Recomendado si no quieres sustos como el que hemos vivido esta semana con una nueva botnet de WordPress.
Figura 10: Máxima Seguridad en WordPress
Viernes, 14 de Diciembre


- LUCA Challenge [Online] Éste es el último día para que puedas entregar tus propuestas del Data Transparency Lab sobre AI y BigData Challenges. En la web tienes todas las bases de la competición y los premios.
Figura 11: LUCA Challenge
Domingo, 16 de Diciembre
- Curso Hardening Windows Server 2016 [Online] Incluso en domingo hay actividades a realizar, en este caso una nueva edición del curso de Hardening de servidores Windows Server 2016 de The Security Sentinel en el que los asistentes tendrán, además, el libro de Windows Server 2016: Administración y Seguridad de nuestra editorial 0xWord.
Y esto es todo, que como veis hay muchas cosas. Además de estas actividades, tendremos esta semana una nueva edición del Girls in Tech para niñas de 10 a 16 años que esperamos poder abrir a más durante el año que viene, que este ya lo tenemos repleto de niñas "Ready to hack the world".

Saludos Malignos! 

Entrada destacada

Seis recomendaciones personales de libros de @0xWord para disfrutar y aprender

Este verano pude disfrutar de la lectura de un libro que me encantó. El libro de Factfulness que me había regalado mi compañera Beatriz Ce...

Entradas populares