viernes, enero 28, 2022

Cómo la app “SaludAndalucía” generó y subsanó un problema de niveles de seguridad de acceso a datos

Adaptar la usabilidad y la universalidad de las apps que usan la mayoría de los ciudadanos es siempre un reto para la seguridad. Incrementar los mecanismos de seguridad implica aumentar la barrera de entrada y dejar atrás a los menos digitalizados, y al contrario, primar la facilidad de uso y el acceso universal, algunas veces puede llevar a tomar decisiones que, haciendo más fácil su uso y dando más acceso, generan problemas de seguridad.

Figura 1: Cómo la app “SaludAndalucía”  generó y subsanó un problema
de niveles de seguridad de acceso a datos

En este artículo os voy a contar cómo la app de "Salud Andalucía" tenía un problema de privacidad al permitir escalar desde el acceso a los datos de primer nivel a los datos de segundo nivel, y cómo lo han subsanado. 

Figura 2: Acceso a SaludAndalucia

Para poder acceder a la app, después de descargarla y abrirla en nuestro terminal, necesitamos autenticarnos haciendo clic en el botón de ClicSalud+ que está en el medio de la pantalla con forma de engranaje.

Figura 3: Acceso por Datos personales sin tarjeta sanitaria de Analucía

En esta segunda parte es donde viene la "usabilidad" frente a la "seguridad", ya que se ofrecen cuatro niveles de seguridad diferentes, y el último de ellos es simplemente "Datos Personales sin tarjeta de sanitaria de Andalucía", que es el que vamos a elegir para la prueba.

Figura 4: Acceso con Datos Personales

Los datos que se solicitan son DNI y Fecha de Nacimiento, información que por desgracia no es difícil de localizar en la red haciendo un poco de OSINT. Muchos de estos datos se encuentran directamente en el Boletín Oficial de la Junta de Andalucía, y la Fecha de Nacimiento en redes sociales con las felicitaciones de amigos y conocidos, en la propia Wikipedia, etcétera. Vamos, que no parecen datos difíciles de conseguir para muchas personas.

Figura 5: Accediendo con DNI y Fecha de Nacimiento

Para hacer esta prueba he usado datos personales míos, porque no necesitamos usar los de nadie para probar esta primera fase. Lo relevante es que este nivel de seguridad, con los datos que hay en la red, no es ninguna barrera para proteger la información y los datos de las personas, pero lo importante viene ahora, ya que si pulsamos en ClicSalud+ nos salen las opciones de seguridad avanzadas para acceder a datos más sensibles.

Figura 6: Para acceder a las citas nos piden aumentar el nivel de seguridad

Ahora, como vemos en la siguiente pantalla nos piden tres datos, que son el DNI y la Fecha de Nacimiento - que ya nos habían pedido antes - más el Número de la tarjeta sanitaria, que como vamos a ver, la propia app nos lo va a dar.

Figura 7: El único dato extra es el Número de Tarjeta Sanitaria

Como ya hemos entrado en la app, pulsando sobre el icono superior derecho, accedemos desde el mismo nivel en el que estamos a los datos del usuario, y como podemos ver, en ellos está el Número de la Tarjeta Sanitaria, así que resuelto la elevación de seguridad, lo que nos permite, con solo tener el número de DNI y la Fecha de Nacimiento llegar a información sensible.

Figura 8: En la información de usuario está el Nº de la tarjeta Sanitaria

Como el fallo parecía bastante sensible, decidí reportarlo y lo hice vía la Guardia Civil, y ahora la app de SaludAndalucía ha subsanado este fallo de seguridad. ¿Cómo lo ha hecho? Pues muy sencillo. El acceso de menor seguridad es para personas que "de verdad" no tienen tarjeta sanitaria. Así pues, si alguien que tiene tarjeta sanitaria de Andalucía utiliza este acceso con solo DNI y Fecha de Nacimiento recibe el siguiente mensaje.

Figura 9: Se deshabilita el nivel de acceso de
menor seguridad si tienes tarjeta sanitaria

Este es un ejemplo donde querer dar universalidad de acceso rebajando el nivel de requisitos de seguridad, si no se hace correctamente, puede generar un problema de privacidad. Ahora se ha aplicado una corrección que fortifica la seguridad y sigue permitiendo la universalidad de acceso, lo que demuestra que no siempre hay que sacrificar seguridad para conseguir usabilidad o universalidad.

Saludos,

Autor: Vicente de la Varga (Contactar con Vicente de la Varga - Ch3nt3)  





jueves, enero 27, 2022

De profesión "Programador de Frontales React en Aplicaciones Web". El mundo quiere cada vez menos "Yo sé de todo un poco". #HackYourCareer

El mundo de la tecnología se ha profesionalizado mucho. Esa profesionalización, con la aparición de un volumen de tecnologías enorme, conlleva una especialización. Un entendimiento cada vez más amplio de tecnologías y ecosistemas paralelos, y un entendimiento cada vez más profundo de una disciplina concreta. Como ejemplo, cuando creamos Singularity Hackers, documentamos 50 roles y profesiones distintos, con diferentes niveles de espcialización diferentes, que van desde CSO, a QA Seguridad, pasando por pentester, ciberinvestigador en CERT, auditor en BlueTeam, ethical hacker en Red Team, forense y analista de malware en el CSIRT, etcétera. Especializarse para encontrar el punto concreto donde tus habilidades son más valoradas, y donde puedes ser mucho mejor profesional porque te va a gustar.

Figura 1: De profesión "Programador de Frontales React en Aplicaciones Web".
El mundo quiere cada vez menos "Yo sé de todo un poco".

Esto sucede en todas las ramas tecnológicas hoy en día, y cuando tengo alguna charla con alguien para orientarle en su carrera profesional - algo que me piden cada vez más, algo que siempre le digo es que haga algo que le guste. Que si hace algo que no le gusta, nunca va a dedicarle todo el tiempo que será necesario para dejar de ser "uno más del montón" en ese trabajo. Y es especialmente sensible con la programación y los profesionales DEVELOPERS. Ser un buen programador exige conocer profundamente un área de disciplina hoy en día, ya que en solo un área de disciplina, hay mucho que saber.
 
Una anécdota personal sobre este ejemplo que os voy a contar. En el año 1996, cuando yo tenía 21 años, había comenzado a trabar ya, y me asignaron ser profesor de un curso de Programación de Aplicaciones Web, y el universo completo para hacer aquello consistía en saber:
  • Para el frontend:
    • HTML 3.2 (con especificaciones no completos de HTML 4 que cada uno hacía como le daba la gana)
    • Javacript recién sacado del horno que iba en unos navegadores sí en otros regular.
    • Herramientas para formatos gráficos: GIF, GIF89a, JPG, Mapas de imágenes.
  • Para el backend
    • Perl
    • PHP (Perl Host Script)
    • ASP
  • Bases de datos
    • SQL
Y más o menos con todo esto, con saber algo de redes y servicios de Internet, te contratabas un ISP, un Hosting, y te hacías tu .COM para triunfar en el boom del año 2.000, donde muchos de los que se subieron a esa ola triunfaron, otros no tanto.

Hoy en día, para ser un buen Front-End Developer, o un buen Back-End Developer, debes conocer otras - y muchas - disciplinas. Los patrones de diseño han cambiado. Antes hablábamos de Programación de páginas web reactivas, en la que se sucedía la lógica de negocio cuando había una petición desde el Front-End por parte del usuario, para luego pasar a Programación Reactiva, entendido que las aplicaciones debían comunicarse, podrían ser distribuidas, y debían tener sistemas de paso de mensajes entre ellas. La Programación Orientada a Componentes aceleró la construcción de este tipo de aplicaciones, y con el paso del tiempo, las Aplicaciones Reactivas con lógica de negocio en Front-End basada en eventos y mensajes fue haciéndose más popular, junto con las necesidades de apps en Tiempo-Real que reaccionaran tanto en situaciones de cliente como en datos de servicios en forma de Datos en Stream. Y el mundo sigue cambiando. 
Es decir, que de aquella arquitectura de tecnologías que alguien podía conocer en suficiente profundidad como para montarse una .COM, hemos pasado a un nivel de especialización enorme, en todas las áreas tecnológicas. En el caso de las aplicaciones con Front-End Reactivo este cambio ha sido mucho más importante. El cuidado con que debe construir sus interfaces tiene una importancia brutal en el negocio. 

De sus decisiones arquitectónicas, del cuidado de su código, y de la optimización de sus componentes depende el negocio. El SEO, el SEM, la hiper-personalización, el buen funcionamiento Responsive en los diferentes end-points, etcétera, es vital para que un sistema funcione o no. Los Front-End Developers son joyas de la corona, junto con el equipo e User eXperience y User Interaction para que la aplicación web funcione o no funcione en su interacción con el cliente. Sin dejar de lado la importancia del BackEnd, claro está. Pero un gran Backend no luce sin un buen FrontEnd y un Backend bueno, puede parecer espectacular con un gran FrontEnd.
Son profesionales muy demandados, que deben conocer muchas tecnologías que han surgido en los últimos años desde la irrupción de React en 2013, la biblioteca Redux, la aparición de frameworks como Angular, los nuevos entornos de trabajo con GitHub, las apps en Node, o las necesidades del despliegue continuo de Apps donde es necesario entender el mundo DevOPs, DevSecOps, las herramientas de mocking para testing Apps y conocer los ataques client-side y APIs, etcétera. Es decir, muy lejos de todo lo que era necesario antes.

Si tienes en mente emprender en el mundo tecnológico, y vas a tener una WebApp Responsive, que va a ser clave en tu negocio, vas a necesitar a estos especialistas, y si quieres aprender de estas tecnologías, puedes hacerte un BootCamp Online en FrontEnd React Developer que te pongas al día con todas ellas. Verás que son hoy en día son muy demandadas. En Telefónica, siempre tenemos ofertas de profesionales especializados en Frontend, y en la zona de Talento Tech de GeeksHubs Academy, verás que también las tienes.
Así que si quieres que tu futuro pase por la creación de tecnología para hacer servicios y/o webapps, ponte las pilas en las nuevas tecnologías, y haz una especialización profunda, que el mundo de la tecnología cada vez demanda menos perfiles de "yo sé un poco de todo".

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


miércoles, enero 26, 2022

Hoy "El lado del mal" cumple 17 años

Se dice pronto esa cifra. Diecisiete años hace que comencé a escribir en este blog. Antes, como sabéis los más viejos del lugar, escribía unos textos en unas listas privadas con el título de "Un informático en el lado del mal", pero solo a amigos y conocidos cercanos. Después, el 26 de Enero del año 2006 comencé a escribir en este blog, que se convirtió en mi piel digital en la red.

Figura 1: Hoy "El lado del mal" cumple 17 años

En aquel día no tenía un objetivo claro. Lo usaba para recordar y registrar lo que iba aprendiendo, lo que iba descubriendo, lo que iba viviendo. Sin ninguna pretensión. En aquel entonces, aunque es verdad que llevaba años dando charlas por España en multitud de eventos, ferias y congresos, aún no había usado nunca mi gorro de rayas. En aquel entonces simplemente comencé a escribir.

Con el tiempo, este blog fue creciendo en importancia y en relevancia para mi vida. Fue ocupando más lugar y tiempo, porque me fue dando mucho más de lo que esperaba inicialmente. Porque este blog se convirtió en muchas cosas para mí. Mi lugar de pasar resumen de mi día. Qué voy a publicar hoy, qué aprendí ayer, qué viví, qué voy a hacer mañana. Mi punto de control en el mundo digital para lo que ha sido, es, y espero que siga siendo mi vida. La tecnología.

Por el camino en este blog ha cabido de todo. Los artículos de muchos amigos. La agenda de muchos eventos, charlas, congresos, conferencias, cursos, másters. Mis intereses e investigaciones en el mundo del hacking. Los retos de hacking. La publicación de cuentos y relatos. El anuncio de hitos y nuevos proyectos. Los cambios y evoluciones profesionales. Mis anécdotas personales. Mis textos reflexivos e intimistas. El recuerdo de personas. Los tutoriales para compartir lo aprendido. Mis pequeños aportes al mundo de la tecnología. Mis gustos. Mis fobias. Mi concienzuda e inexorable transformación provocada por el tiempo. 

No pensé nunca que escribir y exhibir públicamente letras en modo "quick & dirty" pudiera ser tan reconfortante, darte tanto, exigirte tanto. Como cuando consigues la redención por haber sufrido mucho en la consecución de un objetivo. Para mí, levantarme y preguntarme qué publico hoy en "el lado del mal" es tan natural, que es parte de las tareas esas que me fiscaliza "el demonio cabrón". Y me compensa. 

Siento, además, que el día que deje de querer publicar, será el día que habré dejado de querer ser parte de la vida. Que me habré convertido en otra persona. Que ya no seré Chema Alonso. Ni Josemaricariño. Seré alguien distinto. Una persona mayor que se ha dejado llevar fuera del hoy. Que se ha implantado en la resistencia al cambio. En querer hacer algo que no sea crear tecnología. Disfrutar la evolución. Emprender nuevos proyectos. 

Así que, a todos los que venís aquí a diario. A los que os habéis tenido que operar la vista. A los que ahora usáis gafas o habéis configurado la resolución más grande. A todos los que venís a ver cómo estoy. De qué habla hoy Chema Alonso. Qué ha puesto éste en su blog. A los que chequeáis que estoy vivo solo porque sigo publicando. A los que me habéis ayudado a hacer pruebas, hacks, e inventar locuras. A los que habéis cruzado vuestras vidas con las mías un rato del camino solo porque caisteis, tropezasteis, u os encontrasteis un día leyendo un post. Y habéis venido más. A todos los que habéis compartido algo más allá en mi vida después.  A los que habéis venido a verme hablar. Gracias por venir a verme.

Yo seguiré escribiendo para que vuelvas, para que regreses, para que te animes a estar cerca de este lado maligno mío. Al final, queramos o no, el tiempo que tenemos en la vida para hacer cosas es limitado, pero mientras tenga un minuto que gastar en vivir, publicaré por aquí, con la esperanza de que vuelvas otra vez.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


martes, enero 25, 2022

Cada día nuevas criptomonedas. Cada día nuevos ups & downs

Si habéis visto que últimamente estoy hablando más de Blockchain, BitCoin, SmartContracts, Criptomonedas "Proff-of-Work", NFTs, Fan Tokens o los Mundos Virtuales, es porque creo que esta evolución de la Web 3.0 es imparable, como sucedió con la Web 2.0 y la llegada antes de la WWW. Eppur Si Muove, y disfruto con este caos loco de evolución tecnológica. Pero no os vayáis a tomar este interés en todas las tecnologías, modelos de negocio y creación de valor en el mundo digital, que van a sostener el Metaverso, como que Chema Alonso está invirtiendo en criptomonedas y lo recomienda.

Figura 1: Cada día nuevas criptomonedas. Cada día nuevos ups & downs.

No, Chema Alonso ni lo recomienda ni lo deja de recomendar. Estas formas de creación de modelos de valor son evolución de la economía digital como reacción y solución a problemas que tienen las economías de nuestras sociedades, pero distan mucho de ser perfectas, y tienen, como en la "economía" clásica de acciones que surgió en la Europa de las Empresas Marítimas y la bolsa de Amsterdam a principios del Siglo XVII, mucho riesgo, fraude y estafas.

Las bolsas de las criptomonedas

Pero también muchas cosas buenas, que son las que hay que aprender, utilizar, y evolucionar. Por eso, últimamente me dedico a revisar qué nuevas empresas han llegado a la economía de la Web 3.0 con nuevas criptomonedas, que son muchas. Es suficiente con irse a un Exchanger y ver las nuevas monedas que se han listado, donde no son pocas. Por ejemplo, en CoinMarket se han listado en el último día ha habido 12 nuevas monedas dadas de alta.
Cada uno de ella con una historia detrás que hay que entender. Con una propuesta de empresa, con una forma de construir la moneda, con un modelo de negocio detrás para sostener el valor que puedes creerte o no. En el caso de Metania Games, parece que es una plataforma de PlayToEarn, con un market de NFTs y objetos, niveles, etcétera para los gamers. ¿Hay que invertir en Metania? Pues no tengo la respuesta, evidentemente, por mucho que haya una evolución de cotización. No lo sé.
A partir de aquí, hay una fase en la que la moneda va a ser sostenida en su valor por los inversores, que compran emitiendo órdenes de compra en el Exchanger la moneda que se genere en las plataformas, pero después deberá existir un motivo económico para que alguien quiere emitir órdenes de compra a un valor concreto. Es decir, será la ley de oferta y demanda en función del valor que haya detrás de ese bien. Y por supuesto, también cuenta con el factor especulativo, donde una criptomoneda que no tiene ningún valor detrás, alguien se lo quiera atribuir.
Por supuesto, se parece mucho al mercado de bolsa de valores de empresas, donde alguien invierte porque le van a dar beneficios a final de año, porque especulativamente puede crecer, o porque va a sostentar mucho valor en el futuro el uso de esa criptomoneda porque será necesaria para muchas actividades económicas de valor de compra y venta. Por ejemplo, si quieres firmar en la cadena de bloques de Ehtereum necesitas Gas, si hay mucha demanda de firmas en la cadena de bloques subirá el precio del Gas por firmar. 

Reflexión final

Pero... como decía el gran Linus Torvalds en el año 2006 en una entrevista, "el tiempo para soluciones sencillas a problemas sencillos hace mucho que pasó", y por supuesto, como esto es ley de oferta y demanda, compra y venta, alguien compra, alguien vende. Y las cosas pueden pasar. La empresa puede dejar de funcionar, la cadena de bloques que utiliza puede desaparecer, la moneda de esa empresa se puede diluir por un error de control en su generación, y por supuesto, también muchos otros inversores pueden tirar las cotizaciones, subirlas artificialmente para sacar tu avaricia, etc....

Figura 5: Libro dedicado a "Bitcoin: La tecnología Blockchain y su investigación"
de Yaiza Rubio y Félix Brezo

En definitiva, es muy similar a jugar en la bolsa, pero sin tanto control, y a veces según mi experiencia, con muchos inversores que compran y venden criptomonedas en función de tendencias en plazos de tiempo que pueden llevarlos a tomar decisiones desinformadas y de riesgo. Por eso, en el último año he estado prestando mucha atención a todo este "Tsunami 3.0" que ha llegado, para entenderlo mejor. Nada más. No recomiendo ni dejo de recomendar invertir, pero sí que os recomiendo muy mucho, entender cómo funciona.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


lunes, enero 24, 2022

Máster en Fundamentos de Ciberseguridad para comenzar en Ciberseguridad desde cero

En el Campus Internacional de Ciberseguridad, donde yo soy el Mentor del programa de Másters, hemos estado trabajando en crear un Máster de Fundamentos de Ciberseguridad pensando para que los estudiantes puedan empezar desde cero. Es decir, que no es necesario cumplir ningún requisito previo. Solo tener ganas de aprender mucho. Y comenzará el próximo mes de abril, con un programa ambicioso.
El Máster de Fundamentos de Ciberseguridad tiene una estructura muy especial, y un acompañamiento muy cercano, además de contar con muchas actividades y material de formación. Los asistentes tendrán incluidos Tempos de MyPublicInbox para contactar con profesionales de Seguridad Informática o con Hackers en la plataforma.


Tendrán también incluidos un total de 7 libros de 0xWord para formarse al mismo tiempo que asisten a las formaciones, ayudando a cerrar todas las carencias en las diferencias materias que puedan ir apareciendo, lo que ayudará a completar las explicaciones con tiempo de lectura y práctica en casa. 
Y para poder orientar mucho mejor profesionalmente a cada uno de los estudiantes, el Máster de Fundamentos de Ciberseguridad incluye la prueba de Singularity Hackers para poder conocer mejor cuáles son las características, capacidades y habilidades personales de cada uno de los alumnos para poder encaminarle mejor hacia una carrera profesional en ciberseguridad u otra.
El temario, por supuesto, cubre los Fundamentos de Ciberseguridad que son necesarios conocer para poder trabajar en este campo, donde hay tantas oportunidades laborales hoy en día, y, donde si los alumnos superan los requisitos de aprendizaje, seguro que encontrarán oportunidades de trabajo en este campo de ciberseguridad.
Por último, no quiero olvidarme de los profesores de este Máster de Fundamentos de Ciberseguridad, donde está Juanjo Salvador, como director académico y profesor, y los grandes Pablo González, Daniel Echevarri, Eduardo Sánchez e Ivan Portillo. Todos ellos profesionales de este campo y con grandes dotes didácticas. 
Así que, si quieres comenzar en este mundo de la ciberseguridad desde cero - sin tener que cumplir ningún requisito previo - hemos diseñado esta formación para ti. No será fácil. Tendrás que trabajar mucho. Tendrás que escuchar, estudiar y hacer muchos trabajos, pero el premio al final de este Máster de Fundamentos de Ciberseguridad tiene que valerlo. 

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


domingo, enero 23, 2022

Los Fan Tokens vs. las Criptomonedas y los NFTs: Level 101

Dentro del mercado "cripto", aparte de los NFTs y las cripomonedas "Proof-of-Work", se encuentran también los "Fan Tokens" que se parecen más a las tarjetas "VIP", de "Socios", "Amigos", "Aficionados" o similares, que a una criptomoneda, aunque,  como cualquier otro bien, cotiza en el mercado de capitales. Y ayer, dos equipos de fútbol de la primera división española de La Liga, como son el Atlético de Madrid y el Valencia C.F., que se enfrentaron en un partido fraticida, tienen sus Fan Tokens.

Figura 1: Los Fan Tokens vs. las Criptomonedas y los NFTs. Level 101

La principal diferencia que hay que entender es que, mientras una criptomoneda "Proof-of-Work" tiene un respaldo contra el capital que genera, o ha generado, una empresa vendiendo servicios gracias a que una persona - o una máquina que también puede ser generado mediante infraestructura - haya hecho un trabajo, en los Fan Tokens es solo por la posibilidad de tener algún derecho especial con la marca, famoso u organización que emita el Fan Token.
Es decir, cuando hablamos de una criptomoneda Proof-of-Work es que la generación viene porque alguien ha hecho un trabajo que tiene valor, y por el que alguien está dispuesto a pagar por detrás $ o o cualquier otra moneda de una valor similar.  En el caso de los Fan Token es distinto, es porque el poseer ese Token te da algún derecho. Por ejemplo, en el Valencia C.F. y en el Atlético de Madrid te da derecho a participar en encuestas, en sorteos, en promociones especiales, etcétera. Es decir, los clubs dan algunas ventajas a los poseedores de estos Fan Tokens.
A diferencia de los NFTs, donde el valor está en el propio objeto y el uso que de él se pueda hacer, el Fan Token sirve para acceder a un "reducido" club de poseedores que tendrán algún trato especial. En el caso del Valencia C.F. y Atlético de Madrid, que basan su Fan Token en Chilliz, son 1.000.000 de poseedores como máximo. Y se pueden comprar y vender.
De hecho, los Fan Tokens cotizan igual que los NFTs y las criptomonedas "Proof-of-work", y para los especuladores es una "cripto" más, pero tú debes entender, cuando decidas en qué quieres poner tu dinero, que cada uno es distinto.  En los ejemplos del Atlético de Madrid y Valencia C.F. sus Fan Tokens se vendieron a una cotización inicial de 2€ cada uno. El del Valencia se cotiza por debajo, el del Atlético se ha duplicado.

En el casto de las criptomonedas "Proof-of-Work" es en el soporte de un negocio que genera valor (y dinero), en el caso de los NFTs en los derechos que tengas o no tengas con la posesión única de un activo y lo que valga ese activo. Y en el caso de un Fan Token, en lo que valga para la gente poder presumir o usar ese Fan Token en lo que permite.
Para que os hagáis una comparación sencilla en el mundo real - y tomando como ejemplo un equipo de fútbol - el Fan Token sería como tener un "carnet de aficionado limitado" que permite acceder a algunos beneficios especiales, el NFT sería como poseer una foto o una camiseta firmada que solo puedes tener y usar tú, y la criptomeda sería como tener un asiento comprado que el club necesita para vender entradas y que genera beneficio para ti y para el club.

Figura 7: Libro dedicado a "Bitcoin: La tecnología Blockchain y su investigación"
de Yaiza Rubio y Félix Brezo

Supongo que para los más entendidos del mundo cripto conocéis muy bien estas diferencias, pero ayer, viendo el partido del Valencia C.F. en un grupo de WhatsApp preguntando por el Fan Token #VCF que los jugadores del equipo, así que les hice esta pequeña explicación, y como hoy es domingo de relax, os la dejo también por aquí. Y como os he dicho muchas veces, si queréis conocer mucho más de este mundo, que tanto las criptomonedas como Bitcoin, los NFTs y los Fan Tokens se basan en arquitecturas Blockchain & Smart Contracts os recomiendo el libro de "BitCoin: Blockchain y su investigación" de Felix Brezo y Yaiza Rubio que a mí me enseñó muchísimo.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


sábado, enero 22, 2022

MyPublicInbox: Todas las campañas para generar Tempos en @mypublicinbox

En la actualización que hemos hecho esta semana en la plataforma de MyPublicInbox, no solo hemos incluido todas las opciones de Twitter en el panel de "Mi Impacto en Internet" - que son ya muchas como promocionar cuentas de Twitter para conseguir followers, promocionar Tweets para conseguir Retweets & Likes, apoyos automáticos para tweets promocionados, apoyos plus para dar más apoyo a un tweet patrocinado, más el wizzard de fortificación de cuentas de Twitter y poder convertirse en Perfil Público de MyPublicInbox con tu cuenta de Twitter   - sino que además hemos puesto a los usuarios de la plataforma un menú nuevo para acceder a todas las promociones para generar Tempos.
Ahora, en el menú de la izquierda tendrás un nodo para "Ganar Tempos" donde podrás encontrar todas las formas en las que se pueden generar Tempos. Por supuesto, la opción de apoyar a perfiles públicos en su relevancia en Twitter, con todas las opciones que hemos visto anteriormente, pero además tienes las promociones de GeeksHubs Academy, de ESET, de Hispasec y Una-al-día y de HackBySecurity, donde puedes conseguir Tempos en sus diferentes promociones.
En ese menú, irán apareciendo todas las nuevas promociones y opciones de generar Tempos en la plataforma de MyPublicInbox, para que puedas utilizarlos luego cómo quieras. Así que, si quieres contactar con algún Perfil Público de MyPublicInbox, puedes conseguir algunos Tempos gratis.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


viernes, enero 21, 2022

MyPublicInbox: Tempos x Follow en Twitter @mypublicinbox

La plataforma Twitter es un lugar fantástico para canalizar la información. Saber lo que está sucediendo al instante y contar al mundo en lo que estas trabajando. Para mí, en los últimos años, ha pasado a ser un canal de comunicación espectacular y necesario en mi actividad diaria, por lo que en todas mis proyectos tenemos en cuenta cómo vamos a interaccionar y usar Twitter.

Figura 1: MyPublicInbox "Tempos x Follow en Twitter"

En MyPublicInbox le hemos prestado mucha atención desde el primer día. De hecho, todos los usuarios de Twitter que tenga más de 1.000 followers pueden solicitar su buzón público en MyPublicInbox, como se explica en la web. Por supuesto, en todos los perfiles de MyPublicInbox, - como en el mío - una de las redes sociales que se puede configurar es la de Twitter, que para nosotros y para muchos de los perfiles públicos es muy relevante. De hecho, es la red social más configurada entre todos los perfiles públicos de MyPublicInbox.

El año pasado comenzamos a construir más tecnología de MyPublicInbox sobre Twitter y uno de los primeros servicios que diseñamos junto con ESET fue el Wizzard de fortificación de cuentas de Twitter, para ayudarte a que tu configuración sea mucho más robusta. 
Después, a finales de año, lanzamos el servicio de Tempos x Tweets, donde dejamos a los perfiles públicos que promocionen sus Tweets y que el resto de usuarios - sean perfiles públicos o no - puedan ganar Tempos con apoyos en forma de retweet o Like. Yo, personalmente, saco todos los tweets con los artículos de El lado del mal, promocionados con Tempos en MyPublicInbox. Y para que los usuarios pudieran apoyar a los perfiles públicos automáticamente, sacamos los Apoyos Automáticos que generan Tempos de forma automatizada.

Figura 4: Panel de Impacto en Internet -> Twitter

Ahora hemos hecho nuevas herramientas para que los perfiles públicos puedan usar MyPublicInbox y lograr tener más impacto en Twitter, dentro del panel de "Mi impacto en Internet", por medio de utilizar sus Tempos y entregarlos no solo a los usuarios que los apoyan en tweets concretos, sino también por medio de que le sigan. Es decir, no solo un Tempos x Tweets que teníamos ya, sino un Tempos x Follow.

Figura 5: Tempos por Follows

Así los Perfiles Públicos pueden seleccionar qué cuentas de Twitter desean promocionar para tener más followers, eligiendo un paquete concreto, o que mientras que tengan Tempos estos se usen para conseguir followers. Yo he elegido este último paquete para patrocinar con Tempos a la gente que siga las cuentas de Twitter de @CalicoOficial , de @MyPublicInbox , de @0xWord y, por supuesto, la mía de @chemaalonso.

Figura 6: Selección de paquetes de promoción de cuentas Twitter

Así, desde ya, todos los usuarios de MyPublicInbox que entren en la zona de Tempos x Tweets & Follows podrán apoyar Tweets, y ganar Tempos siguiendo a las cuentas de Twitter que son importantes para los perfiles públicos. Es decir, para nosotros tiene valor que alguien siga una de nuestras cuentas de Twitter, igual que lo tiene el tiempo que usamos para contestar una comunicación, y por tanto, merece ser premiada con Tempos.

Figura 7: Apoyar Plus en Twitter desde MyPublicInbox

Además de todo esto, hemos añadido también una nueva opción en Twitter, que se llama "Apoyo Plus", donde una persona que apoya un Tweet de alguien, decide apoyarlo y publicarlo con promoción, para que todos los que le apoyan automáticamente a él, también apoyen ese Tweet, lo que genera un efecto amplificador y permite llegar más lejos la comunicación.

Figura 8: Más servicios para Twitter en MyPublicInbox

Y por supuesto, Twitter es muy relevante en MyPublicInbox, y si tienes algún problema, el equipo está dispuesto a ayudarte con Suplantadores, Protección anti-robo o Recuperación de cuentas robadas, que en este caso son problemas que nadie quiere tener en ninguna plataforma, pero que por desgracia pasan.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


jueves, enero 20, 2022

Safari Leaks: Apple Safari tiene un bug en IndexDB API que se salta Same-Origin Policy y deja tus datos de navegación abiertos a cualquier sitio web

La medida de seguridad de Same-Origin Policy en los sitios web hace que, los datos de un sitio que se almacenan en local en un navegador de Internet solo puedan ser accesibles por Scripts descargados desde URLs que están en el mismo dominio. Es decir, que están en el Same-Origin. Esto permite proteger cookies, información de Referer y datos cacheados en local. 

Figura 1: Apple Safari tiene un bug en IndexDB API que
se salta Same-Origin Policy y deja tus datos de
navegación abiertos a cualquier sitio web

Apple Safari, como todos los navegadores de Internet implementa esta medida de seguridad, que debe ser forzada por el navegador en todos los componentes para garantizar que no hay ninguna forma de acceder a datos que han sido definidos por un sitio web como accesibles solo para "Same-Origin". Esta es una de las principales medidas de seguridad que cualquier atacante debe saltarse en un Client-Side Attack, así que su impacto en la seguridad y privacidad de los usuarios en Internet es muy alta.

Figura 2: Libro de "Hacking Web Applications: Client-Side Attacks"
de Enrique Rando en la editorial 0xWord.

Pero como ha demostrado un investigador, una mala implementación del API de IndexDB en Apple Safari, se puede saber a qué sitios estás navegando en otras pestañas e información extra, como qué usuario de Google es el que has utilizado en local.

Figura 3: Demo en vídeo de Safari Leaks

La demo de Safari Leaks la puedes hacer tu mismo. Vete a la demo en una instancia nueva de Apple Safari y comienza a probarlo. Para ello, deja la pestaña de la demo abierta todo el tiempo.
Después, abre otra pestaña en la misma instancia de Apple Safari, abre la web de Youtube y no inicies sesión con tu usuario de Google.

Figura 5: Abrimos Youtube en otra pestaña

Vuelve a la pestaña de Apple Safari donde tienes abierta la demo y verás que esta pestaña, accediendo a la API de IndexDB local del navegador ya sabe que has navegado por Youtube, pero no sabe qué usuario estás utilizando.

Figura 6: Safari Leaks detecta que has ido a Youtube

Regresa a la pestaña de Youtube e inicia sesión con tu cuenta de Google, para que entres dentro de tu sesión en la plataforma de vídeos. Si vas luego a la pestaña de la demo, verás que no solo ha sido capaz de acceder a qué URL estás navegando sino con qué usuario lo estás haciendo.

Figura 7: Iniciamos sesión en Youtube

Esto permite a sitios que quieran espiar tu navegación para poder perfilarte mejor, saber qué te gusta, dónde tienes cuenta, cuál es tu usuario de Google, etcétera, espiarte desde una pestaña de otro navegador. Así que, cualquier script cargado en cualquier página podría sacar información personal de ti solo por usar Apple Safari

Figura 8: URL e ID del usuario de Google que usas

Apple debe arreglar esto lo más rápido que se pueda, así que por el momento, si no quieres que te espíen los datos de navegación, ten mucho cuidado por dónde navegas si lo haces con Apple Safari, porque esto abre infinidad de ataques efectivos de Client-Side
Estas políticas de seguridad son mucho más importantes de lo que te imaginas y se usan en muchos rincones, como vimos en los plugins tiempo atrás, así que tómate en serio tener cuidado. Tienes el código de la demo en el repositorio de GitHub.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


Entrada destacada

Máster en Fundamentos de Ciberseguridad para comenzar en Ciberseguridad desde cero

En el Campus Internacional de Ciberseguridad, donde yo soy el Mentor del programa de Másters , hemos estado trabajando en crear un Máster de...

Entradas populares