lunes, enero 18, 2021

Cómo "Klingonizar" un iPhone y tenerlo troyanizado con Control de Voz (3 de 6)

En la parte anterior de este artículo vimos cuáles eran las utilidades del sistema que podríamos utilizar para hacer scripts. Ahora hay que ver cómo se puede hacer una batería de scripts que puedan construir la base de comandos para controlar el terminal. Para ello, tenemos que automatizar algunas opciones, como son, como crear scripts de exfiltración con los Accesos Directos por Voz usando Grabación de Comandos de Voz o con los Gestos Personalizados utilizando Plantillas de Programación y el pseudolenguaje de codificación VOWEL que definimos para esta prueba de concepto. 

Figura 21: Cómo "Klingonizar" un iPhone y tenerlo troyanizado con Control de Voz (3 de 6)

Este último tenía un reto bastante complejo en su uso, ya que permite hacer cualquier cosa sobre la pantalla que hagas con tus dedos en el uso normal del dispositivo iPhone, pero el número de acciones por gesto es muy pequeño y, además, tienes que grabarlos a ciegas. Para el ejemplo de teclear el PIN de desbloqueo se puede hacer más o menos bien, y más o menos rápidamente, pero es un autentico reto si se quiere hacer, por ejemplo, para algo más complicado como escribir en el teclado una palabra - aunque sea un Atajo de Teclado - para poner una dirección de correo electrónico. Vamos a ver qué opciones tenemos para codificar los comandos y cuándo es mejor usar una u otra.

Grabación de Comandos de Voz

Lo primero que vamos a hacer es centrarnos en los Accesos Directos por voz. Como hemos visto en la parte anterior, se pueden hacer muchas cosas ellos. Desde mostrar una cuadrícula y pulsar en un icono con la voz, hasta abrir una app sin saber dónde se encuentra esta. Por ello van a ser muy útiles en su uso. Pensad que queremos abrir WhatsApp y no sabemos donde está en la pantalla del iPhone del objetivo. Pues ahí, lo mejor es utilizar un Acceso Directo de los comandos por voz que vienen en el sistema.

Figura 22: Accesos Directos disponibles por defecto en iOS

Para poder enlazar varios comandos por voz, se puede utilizar la opción de grabar el script con una grabación de comandos de voz. Para hacerlo, tenemos que tener activado el Control de Voz en el terminal iPhone (sale el icono del micrófono azul), y luego decir el comando de voz "Start Recording Commands". En ese momento se pondrá el icono en color azul y podremos hacer acciones en el terminal iPhone con la voz, que se irán grabando. Aquí tenemos un ejemplo.

Figura 23: Grabación de Comandos por Voz

Es importante entender que solo se pueden hacer cosas con la voz. Si tocas la pantalla con el dedo para hacer un Scroll-up o un "Swipe up", o cualquier otro gesto que no esté preparado para voz, no será grabado. Solo se graban comandos con la voz. Además, verás que controlar la zona de pantalla tendrás que ir haciendo uso de "Show Numbers", "Show Grid" o "Show Names" continuamente.

Figura 24: Show Numbers te numera dónde puedes hacer "tap"

Al principio es un poco engorroso, pero si te acostumbras a saber que debes utilizar "Show grid" cuando sean interfaces grandes y con pocos sitios donde tocar, a usar "Show names" en la zona de apps y "Show numbers" cuando quieras seleccionar un control dentro de una app cuando haya muchos o sean pequeños. Irás haciéndote con él. Además, teclear no es necesario ya que puedes usar la voz para decir textos cuando estés en cuadro de entrada de texto e incluso puedes decir direcciones de e-mail con la voz y deletreando "c-h-e-m-a-at-gmail-dot-com" en inglés.

Figura 25: Cuando grabes el comando de voz, se le pone un nombre para invocarlo

Cuando terminemos de hacer todas las acciones, bastará con decir "Stop Recording Commands" y poner como palabra para invocar ese gesto uno de nuestros queridos nombres en Klingon, para que quede ya programado ese script dentro de la lista de comandos disponibles a utilizar. Así, cuando hayas definido una acción, la debes codificar como la lista de acciones que debe utilizarse, poniendo algo como:

Command (Comando-Klingon)
- Start Recording Command
- Open WhatsApp
- Show Grip
- Seven
- Show Numbers
- Eighteen
- Show Numbers
- Thirteen
- m-y-e-m-a-i-l-at-myserver-dot-com
- ...
- Stop Recording Command

De esa forma dejarás grabado un script en Klingon grabado con comandos de voz que podrás utilizar en el resto de acciones de exfiltración que vamos a crear. 

Plantillas de Programación de Gestos Personalizados

Los gestos personalizados nos van a permitir hacer acciones que no están disponibles en los Accesos Directos ni en los scripts disponibles de los Atajos (Shortcuts). Son para cosas puntuales, pero al igual que con la Grabación de Comandos de Voz, vamos a poder crear un sistema para codificar acciones con los Gestos Personalizados, haciéndolo a ciegas, que es como se hace la grabación de estos gestos.

Cuando comenzamos con este trabajo, si queríamos poder "programar" scripts con Gestos Personalizados a ciegas, de manera eficiente, necesitábamos resolver este problema, así que construimos una serie de Plantillas de Programación de gestos en papel cebolla para que pudiéramos saber exactamente en qué lugar tocábamos, y cuál era el gesto que había que realizar, y la solución fue bastante sencilla. Necesitábamos crear un sistema de coordenadas para la pantalla de un terminal iPhone al que referirnos. Es decir, como los nombres de las casillas en un tablero de ajedrez al que referirnos.

Figura 26: Construyendo las Plantillas de Programación de iPhone

Estas plantillas nos permitían ir anotando en un cuaderno los comandos, como si fuera la lista de movimientos de una partida de ajedrez, que nos ayudarían después, a la hora de la creación de los Gestos Personalizados, a hacerlo con eficacia sobre una pantalla ciega en la que podríamos replicar los movimientos con exactitud, usando la Plantilla de Programación de gestos.

Figura 27: Usando las Plantillas de Programación de Gestos
para codificar los movimientos y acciones sobre un iPhone

Tras usarlas un poco, nos dimos cuenta rápidamente que la granularidad que necesitábamos para hacer determinadas acciones, como por ejemplo pulsar la letra "a" del teclado, no era la misma que para abrir una aplicación haciendo clic en el icono de la app en la pantalla principal, así que nos dimos cuenta de que la mejor solución era crear plantillas personalizadas para determinadas apps o necesidades, como esta que tenéis aquí que es para codificar posiciones en el teclado.

Con estas pantallas, codificar los gestos que hay que grabar en Gestos Personalizados es tan sencillo como ir apuntando el punto de aplicación del gesto, el gesto en sí, y el punto final del gesto, si fuera necesario. Tienes un mapa, al estilo de la codificación de las jugadas de una partida de ajedrez, para anotar los movimientos.

Figura 28: Uso de diferentes Plantillas de Programación

Por supuesto, al igual que se sucede a los diseñadores de experiencias de usuario en las pantallas de un terminal iPhone, los modelos y versiones del sistema operativo hacen que la codificación de las acciones sea distinta, y es necesario realizar Pantallas de Programación de gestos adaptadas a las características detalladas de cada terminal iPhone y de cada versión iOS con cambios relevantes. 

Con todo estos elementos, es decir, los Atajos de Teclado, los Accesos Directos por Voz, la Grabación de comandos de Voz, los Gestos Personalizados y los Atajos de Workflow, ya tenemos suficientes elementos para programar scripts de exfiltración de datos  en el terminal iPhone que necesite una R.A.T. (Remote Administration Tool) para ser invocada por uno o varios Comandos de Voz en Klingon. Es decir, vamos a poder dejar totalmente troyanizado un iPhone para controlarlo usando el Klingon. Por supuesto, siempre en los escenarios que describimos en la primera parte del artículo.

VOWEL (Voice Orders for Weaponizing Exfiltration Language)

Para poder dejar codificados los scripts de control remoto para la exfiltración de datos - que fue el cometido inicial de nuestro trabajo -, comenzamos anotar lo que había que ir haciendo en una lista de acciones donde definimos qué hay que grabar en el terminal. Esa lista de acciones está basada en el uso de unas primitivas de un pseudolenguaje de programación que llamamos VOWEL

Es decir,  una lista de actividades que se deben hacer para conseguir que un script concreto de control remote quede activado y disponible para su uso en el terminal que se quiere configurar. Nuestro propio lenguaje. Las primitivas que utilizamos para la lista de scripts que creamos fueron las siguientes, que son las vamos a ver en cada uno de los ejemplos.
  • Command  (cadena): Es el comando de voz que se ha definido para ejecutar esta acción. Aquí es donde utilizaremos, para los scripts finales, el lenguaje Klingon (que deberá estar instalado en terminal como se explicó en la primera parte de este artículo). Es igual que en el caso anterior donde utilizamos Grabación de Comandos de Voz basada en AccesosDirectos, pero con otra lista de acciones automáticas.
  • Template(X): Para Gestos Personalizados será la plantilla, de las que tenemos creadas, que hemos utilizado. Esta podrá ser la de la Pantalla Principal, la Pantalla de Teclado, la Pantalla de una App concreta, etcétera.
  • KeyboardShortcut ("xy","cadena"): Para Atajos de Teclado indica qué atajo debe ser creado en el sistema. "xy" serán las teclas que se pulsarán, y la "cadena" la palabra, URL, dirección de e-mail etcétera, por que será sustituida.
  • Tap (Secuencia de posiciones): Lista de posiciones donde se deberá hacer Tap - inicialmente pusimos Touch pero lo hemos cambiado a Tap - en la plantilla para grabar una secuencia de clics. Hay que tener en cuenta que entre cada Tap o Clic se debe dejar un tempo razonable para que de tiempo a que el terminal iPhone o la App respondan a ello. 
No utilizamos ninguna codificación especial para nuestros scripts, pero hay que tenerlo en cuenta a la hora de hacer la anotación. Nosotros dejábamos 1 segundo entre cada Tap, pero si hubiera que dejar más se podría dejar notado como:  
 
Tap (A1, B2[2], C1, A1[2],C3)  
 
donde estaríamos indicando que después de hacer Tap en la posición B2 de la plantilla que estamos utilizando hay que dejar una pausa de 2 segundos, y después de la posición A1 hay que dejar 3 segundos.
  • Scroll(Posición,Forma,Fuerza): En este caso identificamos el punto de inicio del gesto en la plantilla que se está utilizando, el movimiento de scroll a realizar, que puede ser algo como Up, Down, Upright, Upleft, DownRight, Downleft, Right, Left, etcétera, y la Fuerza es la cantidad de cuadrículas en la plantilla a desplazarse. 
Por supuesto, existen situaciones y gestos concretos en los que la codificación con este comando no es lo suficientemente ajustada, pero para las primeras versiones no sirvió sin necesidad de realizar primitivas más complejas.
  • Atajos(Script de Shortcut- workflow -): La última primitiva sería el uso de un automatismo hecho por un script de "Atajos" o "Shorcuts" que es como ha renombrado Apple al sistema de Workflow que viene en el sistema. No entramos a definir los Workflow, ya que ellos tiene su propia forma de codificar acciones en scripts que se puede compartir entre distintos terminales. En nuestro trabajo no hicimos uso de ningún script de Atajos para los ejemplos que vamos a ver en este artículo.
Lo bueno de esto es que, la codificación de un Atajo de Teclado también se puede hacer con una Grabación de Comandos de Voz, y una vez que tengamos un Gesto Personalizado grabado con sus Plantillas de Programación de gestos también podremos invocarlo con un comando de voz. Así que una vez que tengamos todos los elementos podremos hacer un script de acciones enorme que sea invocado con un único Comando Klingon hecho con Grabación de Comandos de Voz. Pero vamos a ver las pruebas que hicimos en la siguiente parte de este artículo.

Saludos Malignos!

*********************************************************************
- Cómo "Klingonizar" un iPhone y tenerlo troyanizado con Control de Voz (4 de 6)
- Cómo "Klingonizar" un iPhone y tenerlo troyanizado con Control de Voz (5 de 6)
- Cómo "Klingonizar" un iPhone y tenerlo troyanizado con Control de Voz (6 de 6)
*********************************************************************

Autor:

domingo, enero 17, 2021

Jinetes en la Tormenta: ¡Qué difícil es escribir "Thrillers" sin hackers y black hackers!

¿Te habías dado cuenta de que hoy en día cualquier "thriller" que se precie debe contar con la presencia de un hacker? Creo que es un asunto que merece una reflexión para encontrar una explicación al fenómeno. Permíteme ponerte en antecedentes e intentaré dar con la respuesta. Aunque el "thriller", suspense, suspenso o, sencillamente, la intriga, es un género muy vinculado a la novela negra, los puristas los distinguen estableciendo una serie de elementos que consideran exclusivos del género negro (no entraré en detalles para no alargarme innecesariamente, ya que no es el objetivo de este artículo). En los últimos años la línea que los separa se va haciendo cada vez más fina, provocando que en muchas ocasiones un género se superponga al otro y cada vez estén más relacionados, más fusionados.

Figura 1: Jinetes en la Tormenta: ¡Qué difícil es escribir "Thrillers" sin hackers y black hackers!

¿Pero por qué esa obsesión con los hackers? Desde el punto de vista del creador, escritor, guionista o, simplemente espectador, los mundos oscuros, ocultos al resto de la sociedad, se convierten en irresistibles. Todo lo que no conocemos nos despierta temor, y no hay nada más literario que la combinación de miedo y misterio.

Antes de que llegarán los hackers

Durante el Siglo XIX el interés en el espiritismo y las ciencias ocultas nos trajo las grandes obras de la literatura gótica y de terror (Drácula, Frankenstein y muchas más). La explosión de la novela negra americana, con autores como Raymond Chandler o Dashiell Hammett, nos proporcionó el estereotipo del detective privado que huele a whisky, sabe a tabaco y se mueve como pez en el agua en los bajos fondos de las ciudades norteamericanas.

A partir de los años 40 del año pasado, la Guerra Fría entre norteamericanos y soviéticos propició la aparición de los grandes espías del thriller, capaces de internarse en solitario en lo más profundo del territorio enemigo. Autores como el recientemente fallecido John Le Carré o el ex espía británico Ian Fleming, padre de James Bond, son una buena muestra de ello. La Guerra Fría también nos trajo la carrera espacial y el surgimiento de la amenaza extraterrestre o el fenómeno OVNI. La literatura, el cine o la incipiente consolidación de la televisión como medio de masas nos dejaron joyas como Star Trek y en último término, La Guerra de las Galaxias de George Lucas (así es como los viejunos nos referimos a Star Wars).

Los últimos años del Siglo XX vieron aparecer psicópatas capaces de merendarse a sus vecinos o acabar con medio barrio sólo por placer, así como sectas secretas con extraños rituales en los que participan los amos del mundo. ¿Qué tienen todos estos perfiles en común? Que se trata de historias en las que los héroes son capaces de zambullirse en lo más recóndito de los temores y las angustias que nos preocupan a las personas normales. Y aquí es donde aparece el "Hacker" y el "Black Hacker" como símbolo del miedo en nuestro tiempo, por ser desconocido lo que hace o puede hacer. 

Llegan los Hackers y los Black Hackers

La irrupción de Internet y el desarrollo de las comunicaciones suponen una nueva era para la Humanidad. El teléfono ha dejado de ser un aparato con el que llamar para convertirse en el complemento más importante de nuestras vidas, por encima de la cartera y las llaves de casa. Nuestra necesidad de conexión ha alcanzado límites inimaginables hace sólo unos años. Y si no me crees, apaga el router durante 30 minutos e intenta trabajar con el ordenador. Nos conectamos con la misma naturalidad con la que respiramos. ¿Y cuál es nuestro principal miedo? Efectivamente. Que alguien se cuele en nuestro móvil o nuestro portátil.

Figura 2: Novela Thriller "Jinetes en la Tormenta" de JM Ferri

La imagen asociada al Black hacker en el imaginario colectivo nos presenta a un tipo antisocial, encerrado en un cuarto oscuro mientras idea mil formas de suplantar nuestra identidad, de acceder a nuestras cuentas bancarias, de robar y enviar fotografías incómodas a nuestros allegados. El perfil ideal del criminal del Siglo XXI: Ese Black Hacker convertido en ciberextorsionador ¿Cómo no va a resultar interesante para un escritor?

Pues echémosle un poco más de picante: las noticias nos dicen que las multinacionales y los servicios de espionaje nos controlan gracias a nuestros teléfonos móviles y que monitorizan nuestra actividad en redes sociales. Así que perfecto, también tenemos "hackers" como ciberespías en las tramas de espionaje y/o conspiranoicas.

El toque final nos lo da la Deep Web. Podría llamarse el contenido no indexado, pero no, se llama Deep Web, que mola mucho, porque si la red se convierte en profunda, llama más la atención. Pero resulta que en las profundidades también hay un rincón que es oscuro (Darknet), en el que se cometen toda clase de delitos y fraudes con una criptomoneda como el BitCoin tan atrayente: un terreno de juego irresistible para cualquier trama en el que contar con un Black Hacker convertido en cibercriminal.

Figura 3: El Thriller de Hacker Épico de Alejandro Ramos y Rodrigo Yepes.
Más de 2.000 copias. 2 premios. Adaptación en cómic deluxe por Eve Mae.

Y como tenemos al criminal, tenemos los resortes más oscuros del poder y el campo de batalla ideal, sólo necesitamos a los héroes que sean capaces de entrar en este mundo virtual para defendernos de semejante catálogo de peligros. ¿Se te ocurre un escenario mejor que este? Si lo tienes, por favor, dímelo para mi próxima novela.

Los no iniciados, como el que escribe, nos aproximamos al mundo del hacking y los hackers con una mezcla de curiosidad, fascinación y temor: curiosidad, por los motivos expuestos en los párrafos anteriores; fascinación, por descubrir un mundo oculto y prohibido; temor, porque cuando nos ponemos a experimentar no tenemos ni idea de lo que estamos haciendo.

Así que el sufrido autor de thriller, que ya ha tenido que aprender (o al menos debería haberlo hecho) el funcionamiento de los cuerpos policiales y procedimientos judiciales, se ve en la obligación de aprender acerca del hacking. Porque si hay criminales hay cibercriminales, hay black hackers y hackers luchando contra ellos. Si hay terroristas, ciberterroristas o hacktivistas también hay hackers. Si hay espías, hay ciberespias y hackers. Y si quiere escribir cualquier thriller que esté ubicado temporalmente dentro de los últimos 25 años, tiene que haber un White y/o Black Hacker. Y es que si hay un Black Hacker, necesariamente tiene que aparecer su némesis, es decir, un hacker.

¿Y cómo se aprende esto del hacking? Bueno, tranquilo que no vas a tener que estudiar la carrera de Informática para ello. Recuerda que esto va de aprender cómo funciona, no de dedicarse a ello profesionalmente. Bien, en primer lugar, hay multitud de documentales, reportajes y tutoriales disponibles en la web. Pero ojo, que te va a tocar separar el grano de la paja, como en cualquier labor de documentación.

Figura 4: Sinopsis de Jinetes en la Tormenta de JM Ferri

A mí, para escribir mi novela "Jinetes en la Tormentame ha venido muy bien localizar las conferencias de un tal Chema Alonso. Si estás en esta web, probablemente el nombre te sonará de algo. De Chema hay mucho material tanto en Youtube como en podcast. Para mí la segunda opción es la más práctica, ya que lo enchufo y voy aprendiendo mientras pongo la lavadora, cargo el lavavajillas o me doy una ducha. Aunque no es el mejor momento para las conferencias, ten en cuenta de que cada vez hay más webinars en los que muchos expertos hablan sobre el tema (y a los que cada vez acudimos más escritores). 


Por último, también contamos con publicaciones especializadas en las que aprender las bases. De libros, te recomiendo la editorial 0xWord (también la conocerás si sueles pasarte por esta página) donde además puedes consultar dudas a sus autores a través de MyPublicInbox, y donde además de manuales súper técnicos, también puedes encontrar novelas de hackers en 0xWord Pocket como Hacker Épico, Got Root, A Hack for the Destiny o Cluster y material para “dummies”. El mejor ejemplo es su libro Crime Investigation: Historias de Investigación Forense de Felipe Colorado, pero tienen muchos más. Espero que el artículo te haya gustado y que te sirva para escribir thrillers súper adictivos.

¡Un abrazo!

Autor: JM Ferri  es un especialista en comercio internacional reconvertido en escritor de novela negra y suspense. Su primera novela, Jinetes en la Tormenta, es una combinación de estos géneros con una trama que implica a policías, espías y hackers.

sábado, enero 16, 2021

iPhone: El "bypass" del acceso guiado que lleva a tus fotos íntimas ocultas y cómo protegerlo

Hoy os quiero hablar de un conjunto de características de privacidad en iPhone que tenemos disponibles en la última versión de iOS que si no configuramos correctamente nos pueden dar una falsa sensación de seguridad y llevar a que tus fotos más íntimas queden en manos de quién no quieres, así que dejadme que os cuente la historia completa, el problema y cómo debes configurar tu sistema operativo iOS, tus fotos y tu privacidad. Vamos a ello.

Figura 1: iPhone: El "bypass" del acceso guiado que lleva
a tus fotos íntimas ocultas y cómo protegerlo

Para ponernos en situación, lo que vamos a meter en esta coctelera son los siguientes elementos de privacidad en iPhone que debes conocer antes para luego ver el problema en su conjunto, hasta que lleguemos a la solución.

1- Album de Fotos Ocultas 
 
2.- Acceso Guiado 
 
3.- Permisos de acceso a fotografías en Apps

Estas tres opciones están incluidas en el sistema operativo iOS para que se cumpla eso que decía el anuncio de iPhone de: "Lo que pasa en tu iPhone se queda en tu iPhone", al menos hasta que haya un 0day que diga lo contrario. Vamos a verlas en detalle.

Album de fotos ocultas

En el carrete de fotos de iOS se pueden marcar fotografías como "hidden" u "ocultas" para que no salgan mezcladas entre las demás fotografías del álbum de fotos. Si has hecho algún análisis forense de un smartphone - tal y como se explica en el libro de Hacking iOS (iPhone & iPad) 2ª Edición - sabrás que en esa carpeta suelen estar las fotos más sugerentes y personales.

Figura 2: Libro de Hacking iOS (iPhone & iPad) 2ª Edición

Para ocultar una fotografía solo hay que seleccionarla y darle al icono de opciones, y seleccionar la de "Ocutar" o "Hide" en inglés. Automáticamente esta fotografía dejará de estar disponible en el carrete y solo podrá estar en la carpeta de "Ocultas" o "Hidden".

Figura 3: Ocuttar fotos en iOS de iPhone

Por supuesto, los usuarios acostumbrados a iPhone lo primero que hacen es mirar cuántas fotos ocultas hay en esa carpeta cuando tienen la ocasión de ver el carrete de alguien al que quieren controlar o espiar, ya que dice si hay alguna o no en él.

Figura 4: 3 Fotos en el album Hidden

Como eso era un problema de privacidad para la gente, Apple decidió añadir una opción de privacidad en las Settings del sistema que permite ocultar la carpeta "Oculta" o "Hidden" en el carrete de fotos, de tal manera que si está activada y alguien va al carrete verá que no existe esa carpeta. Hay que irse a las Settings para volver a visualizarla.

Figura 5: Ocultar la carpeta Hidden en la lista de álbumes

Por supuesto, si vas al carrete y no ves la carpeta de fotos ocultas en la lista, ya sabes que se ha ocultado, así que podrías ir a las Settings y volver a activarla y ver lo que hay.

Figura 6: A la izquierda carpeta Hidden sin ocultar a la derecha oculta

Es decir, con estas opciones de privacidad se nos queda corto. Y por eso de metió la siguiente opción de privacidad.

Acceso Guiado

Con esta opción se puede activar un modo "mono-app" para iPhone que no permite cambiar de app mientras esté activo. La idea es tan sencilla como que tú quieres enseñarle una fotografía, o una cosa de una app a alguien y le vas a dejar el iPhone (sudores fríos). 

Figura 7: Activación del Acceso Guiado en iPhone

Entonces lo que haces es activar el Acceso Guiado. Para ello, primero debes tenerlo habilitado en las opciones de Accesibilidad. Luego, cuando activas el acceso guiado en cualquier app abierta (pulsando tres -3- veces en el botón de encendido), se bloquea esa app en pantalla, y ya no se puede salir de ella. 

Figura 8: Bloqueo de WhatsApp con Acceso Guiado

Pero las apps son muy peligrosas y tienen acceso a muchas cosas, entre otras cosas a fotografías. Así que si bloqueas con Acceso Guiado WhatsApp y la persona pulsa en el teclado, selecciona fotografía, podrá entrar en el carrete al que tenga acceso.

Figura 9: Desde WhatsApp se puede acceder a todos los álbumes
(incluido Hidden incluso si la carpeta está oculta en las Settings)

Y lo curioso de todo esto es que, si le da arriba a la izquierda a Álbumes dentro de la propia App de WhatsApp, podrá ver todos los álbumes. Y cuando digo todos, son todos, incluyendo el de fotos ocultas. Es decir, podrá hacer un "bypass" de tu Acceso Guiado para ir al carrete de fotos, y no solo a las fotografías, sino también a las Fotografías Ocultas aunque hubieras ocultado esa carpeta. Y cuando digo el de Fotos Ocultas quiero decir incluyendo el de Fotos Ocultas aunque hayas Ocultado el álbum de Fotos Ocultas en la Configuración del sistema operativo.

Figura 10: WhatsApp con acceso restringido a fotos

Así que todas tus Apps que tengan acceso a las fotos, y todos los usuarios que tengan acceso a una app que tenga acceso a tus fotos, podrán entrar a ver las Fotos Ocultas de esta forma.Y por eso es fundamental aplicar bien la siguiente y última opción de seguridad y privacidad, de la que ya hemos hablado hace no demasiado. 

Permisos Granulares en fotografías

Cuando Apple actualizó el sistema operativo iOS con esta opción yo me quejaba de lo incómodo que era dar permisos sobre fotografías a una determinada app. Las opciones para dar permisos a las fotos son tres: 1) Acceso a todas las fotografías. 2) Acceso a ninguna fotografía. 3) Acceso a algunas fotos seleccionadas. 4) Add Photos Only - para algunas apps como permiso más granular-.

Figura 11: Permisos de acceso al carrete para apps

Esto lo puedes configurar desde las opciones de configuración del sistema operativo iOS, pero ir a configurar cada vez que quieres añadir una nueva foto a una app los permisos es un dolor. Así que ahora lo han arreglado y está mejor.

aa
Figura 12: Instagram sin acceso a fotos.
(Aparece la opción de Manage)

Por ejemplo, en el caso de Instagram yo seleccionada la opción de "Selected Photos", pero realmente no tengo ninguna seleccionada. Cuando quiero publicar algo, puedo utilizar la opción que Facebook ha incluido en la app de Instagram para llamar a la herramienta de iOS para configurar los permisos de esa app, lo que me permite añadir la foto que quiero en ese momento y usarla en la app.

Figura 13: Desde la App se puede acceder a la gestión
de permisos sobre las fotos de forma granular.

Después, cuando quiera publicar otra foto, puedo darle de nuevo a la opción de "Manage" y quitar el permisos sobre la anterior y darle permiso sobre la nueva. Así, de forma sencilla das acceso a cada app a una solo fotografía cuando la vayas a utilizar.

Figura 14: Desde la app se pueden seleccionar las fotos

Visto todo esto, y pensando no solo en que sea un usuario malicioso el que vulnere tu privacidad - que ya podrá buscar otros muchos medios y momentos - sino que una app se convierta en una Gremlin App, mi recomendación es que dejes todas las apps con permiso solo a "Selected Photos" y le des acceso una a una cuando vayas a utilizar esa fotografía. Y el resto, protegidas lejos de las apps.

Figura 15: Reduce los permisos de acceso a fotos a todas las apps

Si las apps no tienen acceso a las fotografías más que a las seleccionadas, y le dejas una app con Acceso Guiado, no podrá gestionar el acceso a nuevas fotografías, ni irse al carrete de fotografías por fuera, ni a la configuración del sistema, así que, los accesos de las Apps a tus fotografías no serán un agujero de privacidad para llegar a tus Fotos Ocultas.

Saludos Malignos!

viernes, enero 15, 2021

Proyecto Maquet: Una IA para escribir un relato del Capitán Alatriste al estilo de Arturo Pérez-Reverte

Ya os he dicho muchas veces eso de que tener ideas es molón, pero que solo cuenta si las ejecutas, y es de esto de lo que va el "Proyecto Maquet". De tener una idea curiosa y ejecutarla. Y tampoco era una idea tan extraña en los tiempos que corren hoy. Es de esas cosas que se te meten en la cabeza y tienes que hacerlas sí o sí. La idea en sí que se metió en mi cabeza fue. ¿Seríamos capaces de entrenar una Inteligencia Artificial para que nos ayudara a escribir un texto como si fuéramos Arturo Pérez-Reverte

Figura 1: Proyecto Maquet: Una IA para escribir un relato del Capitán Alatriste al estilo de Arturo Pérez-Reverte

¿Pasaría el filtro del propio escritor? Poder hacer este experimento con uno de los escritores universales más importantes de nuestro tiempo como es Arturo Pérez-Reverte era una idea tan atrayente como retadora. 

Comenzamos con este proyecto a principios de septiembre de 2020. Aprovechando todo lo que estábamos haciendo dentro del Proyecto Leia quise hacer este trabajo. Así que llamé a Arturo Pérez-Reverte, y le pedí permiso para llevar a cabo esta idea de entrenar la Inteligencia Artificial para hacer un pasaje en forma de mini-relato dentro del universo del Capitán Alatriste, del que soy gran aficionado. Y... Arturo dijo: "Adelante, chaval."


Después, reuní a mi equipo de Ideas Locas, y le dije a Fran Ramírez y a Pablo González lo que quería hacer. Cómo debíamos hacer el entrenamiento y la herramienta. Y dicho y hecho. Con varias iteraciones y muchas horas de trabajo.... pero.... un momento. Esto no os lo voy a contar ahora, esto os lo voy a contar el próximo día 3 de Febrero en el Encuentro Zenda Libros que vamos a hacer en la Fundación Telefónica donde Arturo Pérez-Reverte, Karina Sainz Borgó y yo tendremos un debate sobre cómo se hizo el este Proyecto Maquet, y los debates que abre en el mundo de la escritura con Inteligencia Artificial para el futuro.

Figura 3: Obras completas de El Capitán Alatriste

En el evento estará el gran Salvador Larroca, que cuando le llamé para contarle lo que estábamos haciendo, él, que es gran admirador de Arturo Pérez-Reverte, se quiso sumar al proyecto haciendo unos grabados que ilustrarán el trabajo final, que estamos viendo para ver si hacemos en un mini-libro bello conmemorativo de este trabajo en "La cama sol", la editorial de libros bellos más bonita que tenemos en España de la que cuida Javier Santiso, que además de ser uno de los grandes Business Angel de este país y de Europa, es un amante del arte en general, la literatura en particular y los libros bellos en singular.
He de decir que cuando le conté este proyecto a todos, se sumaron con gran interés e ilusión desde el principio. La idea de fusionar tecnología y cultura en forma de dibujos al estilo de los grabados y libros bellos, que son los temas que me reservo para mi sección de El futuro está por hackear de Zenda libros, es algo que no encantó a todos. 

He de confesar que la idea me enamoró desde el principio, y a mis compañeros del equipo de Ideas Locas después, a Arturo como escritor sujeto al experimento que cuando vio el trabajo dijo...[Spoiler Block], a los compañeros de la Fundación Telefónica, a Leandro Pérez de Zenda Libros que dijo sí a todo, a  Karina Sainz que dijo sí a ser la directora de orquesta en el debate, a Salvador Larroca que en medio de una vorágine de trabajo dibujando Aliens en el futuro, sacó tiempo de su vida personal para hacer unos grabados maravillosos que quería que quedaran como han quedado, a Javier Santiso que está deseando ver todo en un mini-libro bello y a Isaac Hernández, que se puso muy contento cuando le dijimos que habíamos usado Google Cloud AI para hace este prueba y quiso estar.

Figura 6: Los dibujos y retratos son del gran Salvador Larroca

Además de ver el evento, y seguirlo por Twitter con el hashtag #UnaIAEscritora los que participamos en este evento estamos todos en MyPublicInbox para estar fácilmente contactables, si queréis saber algo más de este proyecto en concreto o proponer alguna cosa al respecto. Eso sí, por motivos de seguridad, en el auditorio de la Fundación Telefónica estaremos solos nosotros, y haremos la retransmisión vía Youtube, completamente a través de Internet a las 19:00 horas de España para que se pueda seguir bien desde América.

Saludos Malignos!

jueves, enero 14, 2021

Un ”trick” para forzar a que un usuario deje de seguirte Twitter

Éste es un pequeño truco que utilizamos en nuestra herramienta Sappo para silenciar cuentas de Twitter, y que si habéis visto la conferencia al respecto, que os voy a dejar por aquí, lo podéis ver en funcionamiento. Pero como me lo han preguntado varias veces recientemente, os lo dejo en un pequeño y rápido post para que lo refresquéis o lo conozcáis los que no lo tuvierais en mente.

Figura 1: Un ”trick” para forzar a que un usuario deje de seguirte Twitter

En la red social Twitter hay algunos usuarios que, dejados llevar por la inmediatez de la red en la difusión de información y tendencias informativas, en lo frenético que es el seguimiento de la actualidad, en la ola de lo que es tendencia o en algún que otro estímulo, dan rienda suelta a tuits que puede que no estén pensados para agradarte. 

Herramientas de Twitter para gestionar usuarios

Yo soy un usuario activo en la red desde hace ya bastante tiempo, y he tenido encuentros de todo tipo en ella. Pero para lidiar con esas situaciones, Twitter te da una serie de herramientas, que os paso  contar por aquí para llegar a la del título de este artículo.

Figura 2: Mi cuenta (@chemaalonso). Llevo 11 años en Twitter

La primera de las herramientas es tener una Cuenta Privada. Solo los seguidores que tú hayas aprobado podrán ver tus mensaje de Twitter. Es la opción más drástica y más privada, y desconecta tu cuenta un poco del funcionamiento de esta red social que está pensada mucho más para el movimiento rápido de información por el mundo.

La segunda de las herramientas es Bloquear al Usuario. A partir de ese momento ese usuario no podrá ver ningún mensaje tuyo cuando esté conectado con su cuenta a Twiter y a ti no te llegará ninguno suyo. Es como si no vivierais en la misma red social. Recomendable con todos aquellos que tienen un comportamiento de insultar o abusar de la gente. Ya lo expliqué, tengo tolerancia cero con los abusones activos y pasivos en las redes sociales

(usando el truco siguiente)

La tercera herramienta es Silenciar al Usuario. Tan sencillo como que él puede ver tus mensajes, te puede decir lo que quiera, pero Twitter no te los muestra. Es una forma elegante de ignorar masivamente al usuario. Una utilidad muy usada en la plataforma que ayuda a reducir conflictos sin tener debate. 

Figura 4: Opciones de Silenciar, Bloquear o Denunciar
a Pablo González nunca (que es buena gente)

Pero a estas opciones le falta una cuarta herramienta que no está en Twitter, pero que se puede conseguir fácilmente, que es la de Forzar que un usuario deje de seguirte. Y para conseguirlo es tan sencillo como ir a la cuenta que te sigue (Lo voy a hacer con la cuenta de mi querido amigo Pablo González que es quién lo metió en nuestro Sappo) y ver que te sigue.

Figura 5: La cuenta te sigue

Después le bloqueas. En ese momento se rompe el vínculo de que te sigue en la red social porque tú has desaparecido del todo de Twitter para su cuenta.

Figura 6: Se bloquea al usuario
(Solo para la demo, Pablo)

Y para dejar las cosas tranquilas, le desbloqueas otra vez, con lo que todo volverá a la normalidad a excepción de que ya no te sigue.

Figura 7: Desbloqueamos a la cuenta

Esto es un pequeño truco para dar esquinazo durante un tiempo a algunas cuentas. Como decía un amigo mío es como un "échate p'allá anda un rato" para que puedas darle un respiro de ti a una cuenta de esas que solo funcionan en el momento. Puede que tarde un tiempo en darse cuenta, o incluso que no sé dé cuanta nunca...

Figura 8: Todo volverá a la normalidad pero ya no te sigue

Por último, Twitter también deja la opción de Denunciar a un Usuario para pedir que un usuario sea expulsado de la plataforma, pero ese es otro tipo de debates que ya se están generando en la propia red, o en artículos de opinión en periódicos como el de Borja Adsuara en su Tribuna en El País, y creo que es sano que como sociedad los tengamos.

Saludos Malignos!

miércoles, enero 13, 2021

Cinco mujeres hacker que posiblemente no conoces y su gran aportación al mundo de la Ciencia y la Tecnología (Parte 5 de 5): Elizabeth J. Feinler

Hoy llegamos al final de este artículo donde hemos hablado de cinco mujeres hacker que probablemente mucha gente no conoce. Hemos hablado de su impacto en el mundo de la inteligencia artificial, de la seguridad de protocolos de comunicaciones remotos, de su trabajo como criptoanalistas o como creadoras de la protocolos de comunicaciones que permitieran crear la red de redes. Hoy terminamos con una de ellas que hizo trabajo de fondo, creando el sistema de comunicación y gestión de las redes. A ella se le atribuye haber sido la creadora del primer buscado de Internet, aunque fuera un buscador técnico para profesionales y expertos.

Figura 30: Cinco mujeres hacker que posiblemente no conoces y su gran aportación al mundo de la Ciencia y la Tecnología (Parte 5 de 5): Elizabeth J. Feinler 

Elizabeth J. Feinler Mientras estudiaba para sacarse el doctorado en bioquímica, Elizabeth decidió irse a trabajar para ganar algo de dinero antes de empezar con tu tesis (de acuerdo con la propia Elizabeth tenía tan poco dinero que comía ardillas o que compraba los restos de los pollos que se usaban para experimentos en la universidad en la que estaba estudiando, Perdue), y acabó trabajando para Chemical Abtract Services, una empresa situada en Columbus, Ohio


Allí fue asistente en un proyecto bastante importante (uno de los más grandes del mundo por la época sobre el manejo de datos) el cual trataba de indexar los componentes químicos del mundo. Fue aquí donde Elizabeth se interesó por la creación y manejo de grandes cantidades de datos. De hecho, fue tan grande su interés, que dejó la bioquímica (nunca hizo su tesis) y después de dos años, en 1960, se fue a California para trabajar en el Instituto de Investigación de la Información de Stanford (Stanford Research Institute - SRI).

En SRIElizabeth trabajaba en un equipo el cual se encargaba de buscar información sobre proyectos de investigación académica que se estaban haciendo, para asegurarse que dicho tipo de investigación no había sido hecha ya, o que no hubiera patentes registradas sobre las funcionalidades que se estaban implementando. 

Figura 32: Una joven Elizabeth en el SRI

Una de las personas que más acudía a este equipo era Doug Engelbart (inventor entre otras cosas, del ratón) con el que acabó teniendo una buena relación profesional.  Fue más tarde, cuando Doug empezó a trabajar en un proyecto para DARPA, este proyecto no era nada más y nada menos que ARPANET, la primera versión de lo que hoy conocemos como Internet.

En 1972, Doug le dijo a Elizabeth que estaba buscando a alguien para crear una Guía de Recursos (Resource Handbook) de Internet y si estaba interesada en hacer dicho trabajo. Elizabeth sin saber muy bien lo que eso significaba, aceptó y se unió al equipo de Doug, al que ellos mismos llamaban: Augmentation Research Center Group. Este grupo aún seguía perteneciendo al Instituto de Investigación de la Información de Stanford


El trabajo de Elizabeth consistió en dirigir el Centro de Información de Redes (Network Information Center – NIC). El objetivo de este centro era recolectar y organizar la información que existía en ARPANET. Por aquel entonces había unas 30 redes interconectadas y dichas redes debían de proveer información de los proyectos que se encontraban en las mismas, aunque no todas lo hacían.


Figura 34: Mapa Lógico de ARPANET en 1977

Cada una de esas redes tenían dos personas de contacto, el agente de la estación (Station Agent) y un coordinador técnico (Technical Liaison). Una de las tareas del agente de estación era el archivar la copia de los documentos que el NIC le enviaba, muchas veces en papel porque algunas de esas redes no disponían de servicios del tipo FTP (el cual aún no existía), aunque existían otras formas de transferencia de datos, aunque no muy fiables.

El NIC no sólo recopilaba lo que cada red almacenaba, sino que redistribuía dicha información entre las mismas, para que cualquiera que necesitara buscar a través de dicha información pudiera hacerlo. Como se puede ver esto una forma muy primitiva de lo que hoy se conoce como un buscador. Por ello es que, a Elizabeth Feinler, se le atribuye la creación del primer buscador de Internet.


En 1989 Elizabeth dejó SRI y se fue a trabajar a la NASA, allí entre otras cosas trabajó en la creación de las guías del NASA Science Internet (NSI), el “NIC” de la NASA hasta 1996 cuando acabo jubilándose. Hoy en día, está por mérito propio en el Internet Hall of Fame.

Reflexión final

Estas cinco mujeres hackers no son más que una pequeña muestra de la gran aportación de la mujer al mundo de la Ciencia y de la Tecnología. y esperamos que las niñas puedan tener muchos ejemplos de que esta profesión es un lugar perfecto para ellas a la hora de desarrollar su carrera profesional. 

Figura 36: Mujeres Hacker

Nuestras niñas de hoy pueden ser nuestras mujeres hacker del futuro y como esas cinco grandes mujeres lo han sido en el pasado. Estamos seguros que volveremos con más historias de estas heroínas que merecen ser reconocidas y puestas en el lugar que se merecen en la historia juntos a los/las grandes fundadores/as del mundo (no sólo tecnológico) que hoy conocemos.

*************************************************************************************
- Cinco Mujeres Hacker que posiblemente no conoces: Arianna Wright Rosenbluth 
- Cinco Mujeres Hacker que posiblemente no conoces: Hedy Lamarr
- Cinco Mujeres Hacker que posiblemente no conoces: Elizebeth S. Friedman
- Cinco Mujeres Hacker que posiblemente no conoces: Radia Perlman
- Cinco Mujeres Hacker que posiblemente no conoces: Elizabeth Jake Feinler 
*************************************************************************************

Happy Hacking Hackers!!!

Autores:

Fran Ramírez, (@cyberhadesblog) es investigador de seguridad y miembro del equipo de Ideas Locas en CDO en Telefónica, co-autor del libro "Microhistorias: Anécdotas y Curiosidades de la historia de la informática (y los hackers)", del libro "Docker: SecDevOps", también de "Machine Learning aplicado a la Ciberseguridad” además del blog CyberHades. Puedes contactar con Fran Ramirez en MyPublicInbox.

 Contactar con Fran Ramírez en MyPublicInbox

Rafael Troncoso
(@tuxotron) es Senior Software Engineer en SAP Concur, co-autor del libro "Microhistorias: Anécdotas y Curiosidades de la historia de la informática (y los hackers)", del libro "Docker: SecDevOps" además del blog CyberHades. Puedes contactar con Rafael Troncoso en MyPublicInbox.

Entrada destacada

ESET te consigue 100 Tempos de MyPublicInbox para consultar con los expertos de seguridad informática @eset_es @mypublicinbox1

La compañía de seguridad ESET , especializada en soluciones de seguridad personal y empresarial, ha puesto activa una campaña de concienciac...

Entradas populares