miércoles, noviembre 30, 2022

Una entrevista en CEPECEROS podcats para hablar de juegos #AmstradCPC #CPC #Juegos

La semana pasada me liaron para hablar de una de mis aficiones de niño, que no era otra que jugar con mi Amstrad CPC 6128 con monitor a color. El mismo modelo que años más tarde regalaría a mi jefe para que aprendiera a programar un poco. Ese fue el ordenador con el que yo comencé a programar en mi casa, así que me parece perfecto para cualquiera que quiera aprender a hacer sus primeros algoritmos. Pero también pasé muchas horas jugando a juegos que en aquel entonces medíamos por el nivel de "adictividad" que generaban.
Sobre todo esto hablé con José María Velo la semana pasada en su CEPECEROS podcast que puedes escuchar en Ivoox y en todas las plataformas de streaming de podcasts. Está también Spotify. Yo soy el episodio 180.


La charla fue poco más de media hora, y se me pasó volando recordando aquellos juegos de mi niñez. El Ikari Warriors, 1942, 1943, Bombjack, Rampage, Freddy Hardest, Livingstone Suppose, Manic Miller, Match Day II, Kung-Fu Masters, y un largo etcétera de ellos. Os he subido a Youtube el episodio.


Luego también hablé un poco de mi época de Amiga 500, en la que los juegos fueron otros, principalmente Monkey Island, Loom, Indiana Jones, Day of the tentacle, Dragon's Lair, y nuestro querido KickOff 2
Asi que, si tienes 30 minutos para escuchar este tipo de cosas, mientras haces otras tareas, ya sabes, Episodio 180 de CEPECEROS Podcast y así descubrirás si yo soy de OP-QA o de IJ-KL, que algunos somos unos locos.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  




martes, noviembre 29, 2022

Máster en Seguridad Ofensiva curso 2023-2024

Esta semana acaba de abrirse el registro del próximo Máster en Seguridad Ofensiva del Campus Internacional de Seguridad, donde yo soy Mentor del programa de Másters, que tendrá una duración de un año, comenzando el próximo 28 de Marzo de 2023 y acabando el 30 de Marzo de 2024. Quedan pocas plazas ya para matricularse, así que os traigo la referencia para que ahora que está acabando el curso académico puedas irte de vacaciones sabiendo qué vas a hacer el curso que viene.

Esta formación es 100% online, y cuenta con libros de 0xWord - en concreto el libro de Ethical Hacking 2ª Edición de Pablo González y Hacking Web Technologies 2ª Edición de Amador AparicioEnrique RandoRicardo MartínPablo González y un servidor -, y Tempos de MyPublicInbox para contactar con todos los profesionales de seguridad informática, y hacking que haya en la plataforma por si te pueden ayudar en tu desarrollo profesional.


Por supuesto, tienes a todo el claustro de profesores de este Máster en Seguridad Ofensiva en la plataforma, por lo que puedes contactar con todos ellos, que además es un plantel espectacular con Pablo González,  Carmen TorranoPablo San EmeterioDaniel Echeverri - escritor de los libros de Python para Pentesters 2ª Edición y Hacking con Python -, Marta Barrio que acaba de publicar su libro de "Social Hunters: Hacking con Ingeniería Social en el Red Team", Adrián Ramírez CorreaJuanjo Salvador - director académico del máster - y David R. SáezCEO de Campus Internacional de Ciberseguridad. Así que puedes tener acceso a todos estos profesionales una vez haya terminado la formación y tener un contacto permanente con ellos.


El temario del curso está pensado en formar a profesionales con un perfil de hackingpentesting, y, como su nombre indica, seguridad ofensiva. Así que se verán técnicas de ataque en redes, aplicaciones web, bases de datos, criptografía, procesos de ciberinteligenciaethical hacking, y generación de exploits. Además, como se busca que la orientación el máster sea principalmente práctica, habrá muchos proyectos que realizar en cada módulo y un proyecto de fin de máster orientado al mundo profesional y al emprendimiento.

Figura 4: Libros de Ethical Hacking 2ª Edición y 

Como he dicho, el curso dará comienzo el próximo día 28 de Marzo y si quieres ser parte del grupo que se va a formar en este curso académico 2023 - 2024 debes reservar cuanto antes tu plaza, porque el cupo es limitado. Así que entra en la web del Máster en Seguridad Ofensiva y pide información directamente desde el formulario.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

lunes, noviembre 28, 2022

Solo Hoy es #CYBERMONDAY en @0xWord Código 10% descuento: CYBERMONDAY2022

Hoy lunes después del BlackFriday se celebra en todo el mundo el CYBERMONDAY y en 0xWord hemos activado un código hasta las 23:59:59 de hoy 28/11/2022 que da un 10% descuento en todos los productos de la tienda de 0xWord.com para que puedas aprovisionarte para Papá NoelReyes Magos o Regalos Navideños. El código es tan sencillo como CYBERMONDAY 2022, pero además tienes otras formas de conseguir más ahorros utilizando tus Tempos de MyPublicInbox. Además, en el I Congreso de Ciberseguridad ETJ para C-Level que tiene lugar mañana 29 de Noviembre en Madrid, se ha activado un código que da un 30% de descuento en la entrada.

Figura 1: Solo Hoy es #CYBERMONDAY en 0xWord.
Código 10% descuento: CYBERMONDAY2022.

Así que, si has generado Tempos en MyPublicInbox, o los quieres generar, puedes utilizarlos para conseguir reducir el coste de tus productos. Para ello, puedes hacer dos cosas diferentes que te explico por aquí:

29 de Noviembre: I Congreso de Ciberseguridad para C-Level en Madrid (& Online)

El próximo 29 de Noviembre, en Madrid, tendrá lugar el I Congreso de Ciberseguridad ETJ: El valor de proteger la información, las personas y las empresa, cuya dirección académica dirige el Ilmo. Sr. Eloy Velasco NúñezMagistrado de la Audiencia Nacional, y que ha preparado una formación intensa de alto nivel técnico, pero en el área, legal, de cumplimiento regulatorio, de gestión de seguridad, de administración. Es decir, pensada para los profesionales de Ciberseguridad que quieren llegar al C-Level.
Como sabéis, el C-Level, o el nivel de "Chief", cuenta con varios roles de ciberseguridad que tienen que ver con la parte de más de gestión de los planes directores de seguridad, como son los que llevan los CSO (Chief Security Officer) o CISO (Chief Information Security Officer), o con la parte regulatoria/legal, como son el CCO (Chief Compliance Officer), o desde la parte regulatoria de privacidad, como el CDPO (Chief Data Privacy Officer) o CPO (Chief Privaty Officer). Y por supuesto, para los CLO (Chief Legal Officer) que van a gestionar incidentes de ciberseguridad en las empresas. 

En MyPublicInbox, en la sección de Convierte tus Tempos, puedes conseguir un código de descuento con el 30% de reducción (72€ o 37.5€) en el precio para cualquiera de las modalidades de inscripción, pero solo hay 20 códigos para los 20 primeros que los soliciten por Tempos.

Enviar tus Tempos a 0xWord y recibir el descuento

La idea es muy sencilla, hemos creado un Buzón Público de 0xWord en MyPublicInbox y tenemos disponible el módulo de transferencias de Tempos entre cuentas siempre que el destinatario sea un Perfil Público de la plataforma. Para que se puedan hacer estas transferencias, primero debe estar el Perfil Público destinatario de la transferencia en la Agenda.

Figura 2: Perfil de 0xWord en MyPublicInbox. Opción de "Añadir a  la Agenda".
https://MyPublicInbox.com/0xWord

Para dar de alta un Perfil Público en tu agenda, solo debes iniciar sesión en MyPublicInbox, y con la sesión iniciada ir a la web del perfil. En este caso, a la URL del perfil público de 0xWord en MyPublicInbox, - https://MyPublicInbox.com/0xWord - donde te aparecerá la opción de "Añadir a la agenda". Cuando acabe este proceso, podrás ir a la opción Agenda de tu buzón de correo en MyPublicInbox y deberías tener el Perfil Público de 0xWord allí.

Figura 3: Cuando lo agregues estará en tu agenda

Una vez que lo tengas en la agenda, ya será tan fácil como irte a tu perfil - se accede haciendo clic en la imagen redonda con tu foto en la parte superior - y entrar en la Zona de Transferencias. Desde allí seleccionas el Buzón Público de 0xWord, el número de Tempos que quieres transferir, y en el concepto debes poner que es para recibir un código descuento para usar en la tienda de 0xWord.


No te preocupes por el texto concreto, porque los procesamos manualmente como los pedidos de se hacen en la tienda. 

Canjear 500 Tempos por un código descuento de 5 €

La última opción es bastante sencilla. Solo debes irte a la sección de Canjear Tempos -> Vales para Tiendas, y "Comprar" por 500 Tempos y código de 5 €. Es lo mismo que enviar la transferencia pero en un paquete de 500 Tempos y de forma totalmente automatizada, así que solo con que le des a comprar recibirás el código descuento y lo podrás utilizar en la tienda de 0xWord.com

Así que, si quieres conseguir nuestros libros hoy o mañana aprovechando los descuentos y aprovisionarte para Papá NoelReyes Magos o Regalos Navideños, entre el código de descuento BLACKFRIDAY2022 y los Tempos de MyPublicInbox podrás hacerlo de forma muy sencilla y mucho, mucho, mucho más barata. Y así apoyas este proyecto tan chulo que es 0xWord.com.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


domingo, noviembre 27, 2022

Premios TikTok a la Mejor Figura Pública en el área de Educación

Estos días he recibido la nominación de TikTok como finalista entre cinco figuras públicas en el área de Educación por lo que publico en mi cuenta de TikTok. Por supuesto, más que feliz de que se valore lo que hago, y más que contento por estar seleccionado entre otras figuras públicas en estos premios. He visto que Iker Casillas ha sido nominado como Mejor Figura Pública, así que ya me puedo imaginar el nivel de los premios a "Figuras Públicas" que habrá en estos premios.
Yo no sé si me merezco ese premio o no, pero sí que, aunque la divulgación y la educación no es ahora mi trabajo principal, desde que empecé a dar mis primeras clases de profesor sustituto en una academia de barrio en mi barrio de La Loma de Móstoles - con 13 años - no he parado de hacer esto: Compartir lo que poco que sé.

Figura 2: Adiós MVPs. Hola Comunidades Técnicas.
14 años de charlas como MVP

Lo hice de profesor en aquella academia. Luego di cursos del paro como profesor de Bases de Datos, Redes, Sistemas Operativos, Creación de Páginas Web, Programación en C, etcétera en una empresa llamada DySoft Computer. Luego en Informática 64 comencé a impartir cursos de empresas, y con el nombramiento de Most Valuable Professional por Microsoft, pasé 14 años dando centenares de conferencias. Comencé como director externo del Máster de Seguridad de la Universidad Europea de Madrid, donde estuve casi una década dirigiendo ese programa. 

Hoy en día estoy como Mentor del Campus Internacional de Ciberseguridad, y colaborando en la campaña de HackYourCarreer de GeeksHubsAcademy. Volví a la universidad con 30 años para sacarme el doctorado, y tuve que escribir papers, enviarlos a congresos, defenderlos (hasta  en China.) y seguí con mis publicaciones de hacking y en CONs de todo el mundo (casi una década en DefCON, BlackHat, ToorCON, ShmooCON, ...), y he escrito varios libros de 0xWord con cosas de estas que he hecho. Vamos, aprender cosas, y compartir lo aprendido.
Ahora es verdad que cada cierto tiempo saco en TikTok algunos de los temas que estamos mirando para artículos en el blog, investigaciones, demos en CONs, charlas, o pruebas de concepto para validar Ideas Locas. Los saco cada tiempo, y los publico en TikTok. No uso esa red social como algo de entretenimiento, sino como forma de comunicar lo que estudio, trabajo, aprendo en el área de ciberseguridad, inteligencia artificial, Web3, etcétera.

Pero sí que me gustaría destacar en todo estas cosas que he hago donde cuento lo que aprendo y lo que aún creo que sé, son los 17 años escribiendo todo esto en mi blog. En este "Informático en el lado del mal". Es cierto que en mi canal Youtube tengo casi todo en conferencias, charlas y entrevistas, pero donde creo que está todo es en este blog, un canal que recibió también varios premios por la divulgación en seguridad informática, y que - aunque tener un blog ya sea de viejunos - aún sigo alimentando con lo que sé.
Eso sí, reconozco que la fuerza de comunicación que tiene Tiktok para llegar a las audiencias, para viralizar contenido de valor, y para educar masivamente a personas en todo el mundo por medio del "Eduatiment" es de un valor enorme, y hace un bien a mucha gente que ha aprendido más cosas en TikTok que viendo la televisión durante el mismo número de horas - seguro -.

Así que, no sé si ganaré o no, pero estar nominado ya es suficiente. Con los años - que ya tengo alguno - he aprendido que el objetivo por el que se hacen las cosas no tiene absolutamente nada que ver con la intención de llegar a ningún sitio. Sé que se llega a los sitios porque haces cosas que te llenan a ti. A mí, de pequeño, me gustaba enseñar y quería ser profesor. El mundo cambió, y ahora todos podemos enseñar lo que sabes a todos usando las plataformas tecnológicas, así que puedo cumplir el sueño de niño, además de seguir creando tecnología que es otro de mis sueños.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


sábado, noviembre 26, 2022

Hoy y mañana también es #BlackFriday en @0xWord. Código 10%: BLACKFRIDAY2022

Pues poco más que decir en el artículo que lo que he puesto en el título del artículo. El código esta activo hasta las 23:59:59 del domingo 27/11/2022 y da un 10% descuento en todos los productos de la tienda de 0xWord.com para que puedas aprovisionarte para Papá NoelReyes Magos o Regalos Navideños. El código es tan sencillo como BLACKFRIDAY2022, pero además tienes otras formas de conseguir más ahorros utilizando tus Tempos de MyPublicInbox.

Figura 1: Hoy y mañana también es BlackFriday en 0xWord.
Código 10%: BLACKFRIDAY2022

Así que, si has generado Tempos en MyPublicInbox, o los quieres generar, puedes utilizarlos para conseguir reducir el coste de tus productos. Para ello, puedes hacer dos cosas diferentes que te explico por aquí:

Enviar tus Tempos a 0xWord y recibir el descuento

La idea es muy sencilla, hemos creado un Buzón Público de 0xWord en MyPublicInbox y tenemos disponible el módulo de transferencias de Tempos entre cuentas siempre que el destinatario sea un Perfil Público de la plataforma. Para que se puedan hacer estas transferencias, primero debe estar el Perfil Público destinatario de la transferencia en la Agenda.

Figura 2: Perfil de 0xWord en MyPublicInbox. Opción de "Añadir a  la Agenda".
https://MyPublicInbox.com/0xWord

Para dar de alta un Perfil Público en tu agenda, solo debes iniciar sesión en MyPublicInbox, y con la sesión iniciada ir a la web del perfil. En este caso, a la URL del perfil público de 0xWord en MyPublicInbox, - https://MyPublicInbox.com/0xWord - donde te aparecerá la opción de "Añadir a la agenda". Cuando acabe este proceso, podrás ir a la opción Agenda de tu buzón de correo en MyPublicInbox y deberías tener el Perfil Público de 0xWord allí.

Figura 3: Cuando lo agregues estará en tu agenda

Una vez que lo tengas en la agenda, ya será tan fácil como irte a tu perfil - se accede haciendo clic en la imagen redonda con tu foto en la parte superior - y entrar en la Zona de Transferencias. Desde allí seleccionas el Buzón Público de 0xWord, el número de Tempos que quieres transferir, y en el concepto debes poner que es para recibir un código descuento para usar en la tienda de 0xWord.


No te preocupes por el texto concreto, porque los procesamos manualmente como los pedidos de se hacen en la tienda. 

Canjear 500 Tempos por un código descuento de 5 €

La última opción es bastante sencilla. Solo debes irte a la sección de Canjear Tempos -> Vales para Tiendas, y "Comprar" por 500 Tempos y código de 5 €. Es lo mismo que enviar la transferencia pero en un paquete de 500 Tempos y de forma totalmente automatizada, así que solo con que le des a comprar recibirás el código descuento y lo podrás utilizar en la tienda de 0xWord.com

Así que, si quieres conseguir nuestros libros hoy o mañana aprovechando los descuentos y aprovisionarte para Papá Noel, Reyes Magos o Regalos Navideños, entre el código de descuento BLACKFRIDAY2022 y los Tempos de MyPublicInbox podrás hacerlo de forma muy sencilla y mucho, mucho, mucho más barata. Y así apoyas este proyecto tan chulo que es 0xWord.com.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


viernes, noviembre 25, 2022

WhatsApp Encuestas: Cómo localizar dónde vives por pulsar un enlace de la encuesta. O como acabar” GeoPescado” al elegir carne o pescado en la Cenas de Navidad en los grupos de #WhatsApp

WhatsApp, siguiendo la estela de Telegram entre otros, añadió recientemente la posibilidad de hacer encuestas a los integrantes de un chat de grupo o de chats individuales. De cara a las comidas y cenas de navidad, están triunfado estas encuestas en los grupos para elegir el menú, pero el elegir carne o pescado, puede implicar que nos “GeoPesquen”, es decir que revelemos nuestra Geolocalización, perdiendo nuestra privacidad. 

Figura 1: WhatsApp Encuestas: Cómo localizar dónde
 vives por pulsar un enlace de la encuesta.
O como acabar” GeoPescado” al elegir carne
o pescado en la Cenas de Navidad
en los grupos de #WhatsApp

Si en nuestro grupo hay un integrante malintencionado, que es el mismo que confecciona la encuesta con la intención de saber nuestra ubicación, integrando una URL donde hacemos clic en la descripción para entender la encuesta nuestra ubicación estará comprometida. 

Dirección IP -> Tu ubicación

Es conocido que, si te conectas a un sitio web, tu dirección IP puede ser registrada y analizada. Y esta dirección IP puede dar información de tu ubicación - más o menos certera -Esto sucede en todos los servicios que permiten compartir URLs y esta dirección IP que los sitios web pueden capturar y analizar, apunta, más a o menos, al lugar donde te encuentras, salvo que hagas uso de la red TOR, utilices una VPN o un Proxy que haga anónima tu conexión. Sobre esto hablamos unos meses, en este blog en el artículo de "Cómo pueden saber dónde vives por pulsar un enlace de un WhatsApps "Status", el artículo anterior que publicamos".
Algunas aplicaciones te avisan del peligro de esta redirección que te saca de la aplicación para ir a un servidor externo que puede capturar tu dirección IP, pero otras muchas aplicaciones como Twitter, Telegram, Instagram o WhatsApp, no lo hacen. En el artículo de hoy explicamos cómo poder explotar la información que muestra el resultado de una encuesta (WhatsApp Encuestas), con los integrantes de un grupo de WhatsApp y en que momento lo han votado, lo que puede ser un problema para la privacidad del uso que haces de WhatsApp, así que toma nota.

Figura 3: Libro de "Cómo protegerse de los peligros en Internet"
de José Carlos Gallego en  0xWord

Ya hace años, los chicos de SecurityByDefault publicaron un ejemplo de cómo utilizar la carga automática de imágenes en la previsualización de los mensajes de WhatsApp  en los chats para capturar la dirección IP de un contactoWhatsApp  y Telegram corrigieron esto para que no sea el destinatario del mensaje sino el emisor, el que cargue la imagen de previsualización, precisamente por privacidad.

Figura 4:  Previews generados de forma segura
para evitar captura de dirección IP

Como vamos a ver, a partir de recoger las conexiones que hagan los integrantes de un grupo de WhatsApp a una encuesta podremos correlacionar este resultado con la fecha y hora, de un log ad-hoc en la web donde fueron re-dirigidos los integrantes del grupo que hicieron clic en la descripción de la encuesta. Mediante una serie de pasos fáciles de realizar, una tabla en una BBDD y un fichero en PHP. Algo similar a lo que vimos que se puede hacer también con las previsualizaciones de las canciones de Spotify haciendo una re-dirección en WhatsApp.


La mitigación podría ser tan sencilla como un aviso por parte de WhatsApp del peligro que conlleva esta re-dirección o bien una concienciación a los usuarios de los riesgos contra su privacidad a los que incurren, esto último es el propósito final de esta explicación, para que puedan protegerse de los peligros en Internet correctamente.

La funcionalidad de las Encuestas en WhatsApp

Las Encuestas de WhatsApp es una nueva funcionalidad, que nos permite elabora dentro de un grupo una votación o en un chat individual. La encuesta tiene dos partes, la primera la descripción (donde podemos insertar una URL) indica el tema de la encuesta y las opciones para su publicación. 

Figura 6: Creación de una encuesta en el grupo de amigos de El Maligno.

Posteriormente podemos ver los resultados, mediante registro temporal, WhatsApp nos indica la elección por cada integrante del grupo, y cuando se realizó con día/mes/horas/minuto. Ahora ya podemos organizar esto. 

Figura 7: El gran Julián Isla se presta "voluntario" para la prueba

Por un lado, un registro de visitas a la web que capture la hora exacta y la dirección IP del visitante. Por otro un registro detallado de los integrantes de un grupo de WhatsApp que han realizado la encuesta haciendo clic en la URL de la descripción. Si hay "match", ya sabes la dirección IP y dónde está el contacto de WhatsApp concreto.

Cómo preparar la web de registro (Stickyweb)

En primer lugar, creamos una tabla en MySQL con el propósito de almacenar la GEO información de las direcciones IP de las visitas de los contactos que han sido redirigidos. La estructura de la tabla Log se muestra en la imagen siguiente.


Figura 8: Estructura de la tabla LOG donde se registrará la
GEO información IP de las visitas a xxxx.com

En segundo lugar, construimos una página web que, por simplicidad, consta de solo un fichero (index.php) y que también por simplicidad está construida en PHP, tal y como se puede ver en la imagen siguiente.

Figura 9: código PHP que obtiene la información de GEOIP
y la registra en la tabla LOG

En la ejecución del código PHP se recuperan las variables de entorno asociado con la navegación del usuario y que junto a un campo “Timestamp” de la tabla Log anterior expuesta, que supone la fecha de creación del registro en el momento que las instrucciones de PHP realizan la inserción de estos datos de navegación en la tabla Log de la base de datos MySQL.

Preparando el Cebo, creación de la encuesta

La clave para registrar a los usuarios es hacer que, en la descripción de la encuesta, se vea obligado a hacer un clic en el enlace, para poder elegir que tienen que votar. Por lo que la descripción tiene que ser breve.

Figura 10: Cuando preparamos la encuesta indicamos una URL externa
donde registraremos el acceso, en nuestro ejemplo el cebo es el menú de navidad.

Una vez desplegada la web y con la tabla de registro del Log en la base de datos funcionado como hemos visto antes, y hemos lanzando el cebo del menú en la URL externa más la encuesta, toca juntar todas las piezas de manera sencilla.

Cronología de los Eventos

Una vez que publicamos nuestra encuesta solo hay que esperar que los integrantes del grupo hagan un clic en la URL asociada a la descripción de la encuesta, y así saber qué dirección IP de las que han visitado la web externa es la suya.

Figura 11: Cronología de creación de la web, creación de la encuesta,
clic en la descripción, detalles de votación y correlación con el log.

Cronológicamente los contactos 1, 5, 6, 7, lo harán en el tiempo en los puntos 3, 4 y 5 respectivamente, como también muestra la imagen anterior. Es cierto que puede haber momentos de asincronía entre la hora de visita la web y la encuesta, pero... esa es labor ya de análisis fino.

Análisis de la Información registrada

Una vez que ya está registrada la GEO información IP de navegación de los integrantes del grupo que realizaron la encuesta, haciendo clic en la descripción de la encuesta, para poder entender lo que votaban. Una tabla Log de MySQL con la que procedemos a correlacionar el campo “FechaRegistro” (que recordemos que es de tipo TimeStamp) con la fecha y hora que muestra el “Detalles de la encuesta” que nos proporciona WhatsApp con día/mes/hora/minutos de los integrantes del grupo, como muestra la imagen siguiente.

Figura 12: Con los “Detalles de la encuesta” de WhatsApp podemos ver cuándo los integrantes del grupo hicieron la votación, y luego buscamos esa hora en la tabla de Log para saber qué IP usó en la conexión a la web.

El resto, es mirar la información extendida en la tabla de GEO Información IP que tenemos en la base de datos de MySQL con toda la información extendida que hemos sacado y que va asociada a la dicha dirección IP. Lo dicho, puede ser más o menos exacta.

Figura 13: Información extendida sobre la dirección IP

A partir de esta correlación tenemos accesible la información del número de teléfono (haciendo uso de la agenda) y de la dirección IP de conexión, que determinan la información geográfica asociada, así como el proveedor que nos presta el servicio de interconexión, ya sea móvil o no, exponiendo la privacidad de navegación de los contactos de una manera ni autorizada ni solicitada.

Usuario de WhatsApp en modo oculto

Existen usuarios de WhatsApp que tienen habilitada, en su privacidad que no aparezca si están activos o no, así como su última conexión. Estos usuarios también pueden ser registrados, si hacen clic en la URL de la descripción y votan alguna de las opciones. 

Figura 14: Podemos registrar también a los contactos de navegación oculta, puesto que también son registrados en las encuestas, como vemos la encuesta se entrega y no tiene fecha de lectura, pero si fecha votación

Podemos obtener su ubicación y cuando realizo la votación, aunque estuviese oculto. Esto es un añadido de falta se seguridad expuesta hasta ahora, este tipo de usuarios suelen ocultar su navegación por algún tipo de presión de su entorno.

Impacto y mitigación

El impacto de esta práctica es una pérdida efectiva de la "GEO privacidad" de los usuarios que hubieran hecho clic en el estado, pudiendo suponer un seguimiento no autorizado de las personas. Algo que de facto es deducir si se está usando una red móvil o una conexión fija, en qué ciudad, provincia o país se está conectado, con todas las implicaciones para la seguridad de las personas o de sus bienes que ello pudiera implica. 

Tal vez, se debiera advertir al usuario que este será redirigido a una web externa, (como ya hace WhatsApp), pero debería informar de lo que ello implica, lo que  sería una mitigación muy efectiva, ya que las personas se darían cuenta del peligro de pérdida de privacidad que eso implica.

aaa
Figura 15: WhatsApp avisa antes de hacer una redirección fuera de la cuenta,
y ahí podía poner más información del riesgo de privacidad.

Además, se podía hacer que el registro de la votación de WhatsApp que fuera menos "detallado", y hacer las encuestas más similares a Telegram, que no permite inserta URL en la descripción, y permite hacer la votación anónima

Figura 16: En Telegram se permiten las votaciones anónimas

Para poder participar en una encuesta si la información de la descripción existe un enlace externo, que unido al desconocimiento general de su funcionamiento, puede conllevar a visitar una URL externa con registro de visitas, con la funcionalidad del registro temporal de “Detalle de la encuesta” que hace WhatsApp de cada votación, implica una importante exposición de la privacidad de navegación, al correlacionar toda esta información.

Saludos,


jueves, noviembre 24, 2022

Programadores formándose me preguntan cosas para hackear su carrera profesional #HackYourCareer @geeks_academy

Durante este mes he ido a tener una sesión con los alumnos de GeeksHubs Academy para charlar con ellos un rato. Es una actividad en la pasamos un buen rato. Los alumnos están peleando por hackear su futuro, por medio de la tecnología, y yo me siento con ellos a responderles dudas, contarles algo de mi experiencia, y disfrutar del rato.

Figura 1: Programadores formándose me preguntan
cosas para hackear su carrera profesional 

Los compañeros han hecho un buen trabajo, para transcribir algunas de las preguntas que me hicieron por una sala de chat de MyPublicInbox, y hoy os traigo algunas de ellas en este artículo. No se trata de resolver nada, sino de escuchar pensamientos y experiencias de cada uno para elegir uno mismo su camino. Es lo que he hecho yo en mi vida, elegir mi camino.

Figura 2: Visita a los alumnos del FullStack Developer GeeksHubs Academy

Por si os interesa, os dejo algunas de ellas por aquí. Tened en cuenta que todos los alumnos son estudiantes que están en BootCamps para cambiar su futuro profesional, como mucha gente que está usando la tecnología para hacerse profesional y orientar su vida alrededor.

Figura 3: Con los futuros programadores de GeeksHubs Academy

Aprovechando que estamos en Black Friday,  GeeksHubs Academy tiene hasta el 30% de descuento del 21 al 28 de noviembre en las formaciones que van a realizar. Tienes la información en la web: https://l.geekshubsacademy.com/black-friday/

  • 30% Bootcamps Online de Programación Web: Programación Desde Cero, Frontend React/Vue/Angular, Backend Express/Python, QA Testing
  • 25% Bootcamps Online de Especialización: IA & Big Data, Agile Project Management, Tech Management & Leadership, End to End Product Design, Ciberseguridad y DevOps
  • 15% Bootcamp Full Stack Developer presencial en Valencia, Madrid y Barcelona
Código descuento: #000000Friday

Y ahora, os dejo las preguntas que han transcrito de la sesión que tuve con ellos. Espero que os parezcan interesantes las preguntas - intereses y preocupaciones - y las respuestas que yo buenamente di.

Chema, ¿Qué significa en tu día a día ser Hacker?

A veces me ponen ex-hacker, como si fuera un criminal. Para nosotros, "hacker" es una cosa muy bonita. No es algo que tú digas “soy hacker” y ya lo seas. Para nosotros no son ni los pentesters ni los que hacen auditorías de seguridad ni los que explotan un bug conocido y se cuelan en un sitio.

Es alguien que descubre algo nuevo y que empuja los límites de la tecnología más allá, Y no tiene por qué ser en seguridad.. Consiste en crear algo nuevo de manera diferente.

Lo que importa es que seas capaz de crear una técnica que no conoce nadie para resolver un problema. Es una actitud y una forma de vida, estar todo el día pensando en qué es lo nuevo que vamos a hacer, cuál es la siguiente locura. Es lo que hacemos en el equipo Ideaslocas de Telefónica, por cierto. Es una forma de entender la vida y buscar siempre algo nuevo. Hacker no tiene nada que ver con cibercriminales.

Personalmente creo que cuando alguien triunfa en una profesión, nunca es por casualidad, es porque ha tenido una actitud hacker de alguna manera u otra. Ha hecho algo distinto a los demás.


¿Cómo empezó tu interés por el mundo de la Ciberseguridad?

Casi por casualidad. Hago muchas cosas porque tengo muchas inquietudes: me gusta leer, escribir, dibujar, leer comics... Y la tecnología me encanta, aunque no soy nada gamer. Y la ciberseguridad no me interesaba absolutamente nada cuando estaba aprendiendo tecnología, lo que me gustaba era programar.

Cuando llegué a la universidad me especialicé en algorítmica, programación concurrente, estructura de datos, programación de árboles AVL, reducción de complejidad de algoritmos, etc… Programación pura y dura, algo que me ha venido genial porque yo puedo tener en mi día a día conversaciones muy profundas sobre una arquitectura de sistemas gracias a todo ese conocimiento.

En la universidad descubrí una pasión: las Bases de Datos, me cautivó hasta el punto en el que tienes que ser capaz de explicar a alguien cómo es posible que tu tengas un programa y acceda a un dato en el disco duro y sea más lento que si un programa accede a otro programa y él accede al disco. ¿Cómo era posible que metiendo una capa intermedia el sistema fuese mucho más eficiente?

Me enamoré de las bases de datos y me hice todas las asignaturas. Cuando salí de la universidad era un auténtico experto en tuning de bases de datos y todos sus lenguajes. Me puse a trabajar haciendo tuning de bbdd y el 25 de diciembre de 1998 un hacker llamado rain.fores.puppy publicó un magazine que se llamaba “NT web technology for vulnerabilities” en el que descubrí un mundo apasionante.

Tras esto me puse a investigar cosas, publicar las mías propias e inyectar muchas cosas durante muchos años, hice mi máster, mi doctorado y empecé a impartir conferencias sobre vulnerabilidades en aplicaciones web que me encantaban.

Cuando años después en la Universidad Politécnica me nombraron Embajador Honorífico, leía mis notas de la universidad, y la única asignatura que no estaba era seguridad informática. Era optativa y yo opté por no hacerla. Sin embargo, todo lo que aprendí en la universidad me ayudó a tener conocimientos previos para cuando encontré esa pasión tener más posibilidades.

Yo empecé en seguridad con 25 años, pero no me sentía parte de los grupos hackers. Nunca hablaba de hacker cuando hablaba de mí y el @dab me decía siempre: "eres el no hacker más famosos de los hackers".


¿Qué consejo le darías a gente que se está iniciando en este sector? ¿Qué opciones recomendarías para introducirse en el campo de la ciberseguridad? ¿Qué libros de 0xWord recomiendas?

Os doy una recomendación general… Para cualquier cosa siempre digo lo mismo:

“Lo peor en esta vida es ser un mediocre.”

Y para no ser un mediocre vas a tener que dedicar muchas horas a algo. Dedicarlo a algo que no te gusta, no te va a funcionar. Hagas lo que hagas, que te guste, sé honesto contigo mismo y no busques justificaciones y excusas fuera, gánate las oportunidades, no hay otra forma.

En ciberseguridad tienes muchas variantes, hoy en día es un rol muy maduro, hay en torno a 70 profesiones diferentes. No es lo mismo un pentester, QA de seguridad, alguien que está en el blue o en el red team, hardenning, etc. En el mundo de la ciberseguridad muchas veces la gente ve lo que hacemos en las conferencias y piensa “¡wow, cómo mola!” y luego resulta que entras en un shock porque no estás hackeando whatsapp.

Para eso creamos Singularity Hackers, una app que matchea las 70 profesiones que existen en ciberseguridad con capacidades personales para descubrir tu perfil y aconsejarte los roles en los que podrías tener más cabida dentro del área de la Ciberseguridad.

En cuanto a los libros de OxWord tienes varios dependiendo de lo que quieras, hay desde Técnicas de Pentesting, de Ethical Hacking y hasta el de Máxima Seguridad en Windows. Cualquiera te va a ayudar porque son manuales escritos por técnicos que están pensados para ser muy didácticos.

¿Qué consideras una buena actitud en pos de trabajar como programador?

Para mí lo primero es que te comprometas a tener un buen delivery. Soy de los que creo que el trabajo no debería ser por horas, sino por entregables. Además, que no hagas chapuzas, se nota mucho el código bueno y malo, si no amas tu código, se nota.

Un programador tiene que amar lo que hace, esa actitud de "¿cómo hago para que sea más eficiente?", factorizar, que sea más sostenible, que sea más rápido, que escale mejor… Y para eso hay que estar formándose continuamente.

“Ser un buen programador es algo muy valioso que exige mucha disciplina y mejora continua.”

Un consejo que le darías al Chema del pasado si estuvieses sentado dónde están los alumnos.

Lo he pensado muchas veces, ¿qué me diría yo a mi? Por eso en un artículo lo primero que escribí fue: “Número uno, vas bien Chema, no te preocupes.”

Yo creo que lo más importante es la vida de las personas, hay que disfrutar mucho la vida personal. Me encanta lo que hago pero yo tengo muchos anclajes personales. Recuerdo que me puse en ese artículo “haz todo el deporte que puedas, no fumes nunca más”.

Y luego… Nadie te va a regalar nada, no va a ser fácil. Ganar las cosas implica estar por delante siempre de la media. Recuerdo que cuando empezaba quería ser el que mejores papers consiguiera, la mejor charla, el mejor delivery, el que leyera más libros, siempre quería avanzar… Me he pasado toda la vida corriendo, y sigo corriendo.

Un día miraba para atrás y pensé “pues tampoco me persigue la policía, ¿por qué corro tanto?” Pero intento recordar siempre que nadie te lo va a regalar.

“Si mi experiencia de vida puede serviros para motivaros y pelear por lo que queréis, me quedo satisfecho. Lo peor que te puede pasar es que vayas al tran-tran por la vida dando tumbos.”


¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


miércoles, noviembre 23, 2022

Desde HOY es BlackFriday en 0xWord.com Cupón 10% descuento: BLACKFRIDAY2022 y descuentos con Tempos de MyPublicInbox @0xWord @mypublicinbox

Pues poco más que decir en el artículo que lo que he puesto en el título del artículo. Solo que además de tener Activo desde hoy 23/11/2022 hasta las 23:59:59 del domingo 27/11/2022 el código que da un 10% descuento durante el BlackFriday en todos los productos de la tienda de 0xWord.com, y que es tan sencillo como BLACKFRIDAY, tienes otras formas de conseguir más ahorros utilizando tus Tempos de MyPublicInbox.

Figura 1: Desde HOY es BlackFriday en 0xWord.com
Cupón 10% descuento: BLACKFRIDAY2022
y descuentos con Tempos de MyPublicInbox

Si has generado Tempos en MyPublicInbox, o los quieres generar, puedes utilizarlos para conseguir reducir el coste de tus productos. Para ello, puedes hacer dos cosas diferentes que te explico por aquí:

Enviar tus Tempos a 0xWord y recibir el descuento

La idea es muy sencilla, hemos creado un Buzón Público de 0xWord en MyPublicInbox y tenemos disponible el módulo de transferencias de Tempos entre cuentas siempre que el destinatario sea un Perfil Público de la plataforma. Para que se puedan hacer estas transferencias, primero debe estar el Perfil Público destinatario de la transferencia en la Agenda.

Figura 2: Perfil de 0xWord en MyPublicInbox. Opción de "Añadir a  la Agenda".
https://MyPublicInbox.com/0xWord

Para dar de alta un Perfil Público en tu agenda, solo debes iniciar sesión en MyPublicInbox, y con la sesión iniciada ir a la web del perfil. En este caso, a la URL del perfil público de 0xWord en MyPublicInbox, - https://MyPublicInbox.com/0xWord - donde te aparecerá la opción de "Añadir a la agenda". Cuando acabe este proceso, podrás ir a la opción Agenda de tu buzón de correo en MyPublicInbox y deberías tener el Perfil Público de 0xWord allí.

Figura 3: Cuando lo agregues estará en tu agenda

Una vez que lo tengas en la agenda, ya será tan fácil como irte a tu perfil - se accede haciendo clic en la imagen redonda con tu foto en la parte superior - y entrar en la Zona de Transferencias. Desde allí seleccionas el Buzón Público de 0xWord, el número de Tempos que quieres transferir, y en el concepto debes poner que es para recibir un código descuento para usar en la tienda de 0xWord.


No te preocupes por el texto concreto, porque los procesamos manualmente como los pedidos de se hacen en la tienda. 

Canjear 500 Tempos por un código descuento de 5 €

La última opción es bastante sencilla. Solo debes irte a la sección de Canjear Tempos -> Vales para Tiendas, y "Comprar" por 500 Tempos y código de 5 €. Es lo mismo que enviar la transferencia pero en un paquete de 500 Tempos y de forma totalmente automatizada, así que solo con que le des a comprar recibirás el código descuento y lo podrás utilizar en la tienda de 0xWord.com

Así que, si quieres conseguir nuestros libros durante este BlackFriday, entre el código de descuento BLACKFRIDAY2022 y los Tempos de MyPublicInbox podrás hacerlo de forma muy sencilla y mucho, mucho, mucho más barata. Y así apoyas este proyecto tan chulo que es 0xWord.com.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)