domingo, septiembre 25, 2022

El mundo de los superhéroes por Randy Bowen: La exposición de esculturas de mi hermano que debes ver

Hoy os quiero hablar de un proyecto muy personal y especial de mi hermano. De mi "chache". De mi "brodal", al que os invito que os paséis a disfrutar un día en familia. Como ya os he contado muchas veces, los dos nos criamos con los superhéroes, y los dos hemos invertido parte de nuestro dinero en hobbies en ellos. Yo solo con cómics, mi hermano con una afición a la que le ha dedicado mucho esfuerzo, coleccionar esculturas de superhéroes, especialmente las creadas por Randy Bowen.

La exposición de esculturas de mi hermano que debes ver

Tal ha sido el nivel de trabajo, esfuerzo, e inversión, que probablemente mi hermano tenga una de las mayores colecciones de esculturas de superhéroes del mundo, que ahora expone en ciudades, eventos, convenciones, etcétera. Y personalmente os digo que es una locura. Ahora se ha convertido en la exposición "El mundo de los superhéroes por Randy Bowen".


Figura 2: Mi hermano a examen con las armaduras de Iron Man
(las podrás ver en la expo de "El mundo de los Superhéros por Randy Bowen")

Hace ya años, grabé un vídeo casual con él sobre "una sección" de las esculturas de Iron Man que tenía en una vitrina, y ahí puedes ver un tres por ciento de la colección que ha atesorado durante tantos años. Ahora las vas a poder visitar, del 30 de Septiembre al 15 de Enero en Fuenlabrada, los Jueves y Viernes de 17:00 a 21:00 horas, y los Sábados, Domingos y Festivos de 11:00 a 14:00 horas
Además, algunos días tendrás la suerte de tener algunas visitas ilustres. El próximo 15 de Octubre, por ejemplo, yo me pasaré por allí con Salvador Larroca, que me confirmó que se iba a pasar a firmar algunos cómics suyos - si quieres pedirle una comisión, pídesela por adelantado en su buzón, y te la lleva hecha -.
No os puedo decir mucho más. Es una colección IM-PRE-SIO-NAN-TE, así que si te gustan los superhéroes, o tienes niños a los que les encantan, no dejes de pasarte por allí, porque es brutal. Para que os hagáis una idea mejor, este vídeo de cinco minutos da un paseo por algunas de las esculturas, donde podrás apreciar el tamaño de las mismas y su belleza, pero faltan... muuuuuchas más.


Figura 5: Parte de las esculturas que componen la colección
(las podrás ver en la expo de "El mundo de los Superhéros por Randy Bowen")
"
Además, si tienes un pueblo, centro cultural, o centro de exposiciones donde quieras llevar la brutal colección de esculturas de "my brodal", contacta con él en su buzón público, que él estará encantado de atenderte, y explicarte los requisitos para llevar a los Avengers, los X-Men, y el universo superheróico allí.
Yo cuando veo las esculturas de Thor, Hulk, Daredevil, Spiderman, Magneto, Capitán América, Ojo de Halcón, etcétera, y las miro de cerca, con todos sus detalles, es como si los dibujos que veía de pequeño se hubieran convertido en tan reales como para que formen parte de mi día a día. Maravillosa la sensación de tendrás antes tus ojos.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


sábado, septiembre 24, 2022

Jailhouse HBSCON: Un evento de Hackers en la Cárcel y La Liga EscapeRoom de Ciberseguridad

En el artículo de hoy os vengo a contar que  desde Hack by Security nos hemos liado la manta a la cabeza para montar un evento de ciberseguridad que se va a realizar en una cárcel. Sí sí, en una cárcel, porque estamos hartos de que a los hackers nos comparen con ciberdelincuentes, y que mejor manera para reivindicarse que hacer un evento de ciberseguridad en una cárcel. 
El evento tendrá lugar el próximo día 14 de octubre en la Cárcel de Segovia, situada en la Avenida Juan Carlos I, junto al Hub de Telefónica. En esa ubicación se realizará una jornada de ciberseguridad dividida en dos partes, que os paso a detallar. Comenzamos por la mañana a las 9:00h en la que, después de la bienvenida, podremos disfrutar de cuatro hackers de primer nivel como son Pablo González, Ángel A. Núñez, Andrés Naranjo y Rafael García.  
Disfrutaremos con sus experiencias y realizar alguna PoC de hacking muy divertidas. A media mañana tendremos una parada para reponer fuerzas y que podáis estar junto a los ponentes y los compañeros de Hack by Security. Recordad que podéis contactar con todos nosotros en nuestros perfiles públicos de MyPublicInboxPero no te despistes, ya que el aforo está limitado a 150 personas, echad un vistazo a la agenda y registraros en este enlace.

Liga de ScapeRoom de Ciberseguridad

Y por la tarde, a las 17:00h lanzamos una nueva iniciativa que iremos replicando por diversos puntos de la península. Se trata de una Liga de ScapeRoom de Ciberseguridad, donde podréis poner a prueba vuestros conocimientos en Hacking, LockPicking, Forensia, …


No os asustéis que los retos están hechos para divertirse, eso sí, júntate con dos o tre amigos y regístrate, ojo a los premios finales, placas metálicas, cursos de formación de Hack by Security, libros de 0xWORD, Tempos de MyPublicInbox, un cheque regalo de Amazon, … Inscribiros en Liga Escape Room powered by Hack By Security divertiros, hackear, disfrutad de un rato divertido, aprended y compartir experiencias, que al final de eso se trata, de pasar un viernes diferente y divertido.

¡Un saludo Hackers!



viernes, septiembre 23, 2022

AI for Hacker & Developer en la DotNET 2022

Para hoy viernes os traigo la conferencia que impartí con mis amigos de Plain Concepts en la pasada DotNET 2022 pocos días después de mi cumpleaños. La charla, titulada "AI for Hacker & Developer", es un ejemplo de cómo se pueden utilizar los Cognitive Services en concreto y la Inteligencia Artificial para construir cosas chulas.
Entre las cosas de hackers, por supuesto, están ejemplos como los DeepFakes, la suplantación de personas en tiempo real, y la creación de ataques de CEO más elaborados, así como los mecanismos para detectarlos. 


Pero también se pueden crear casos de uso chulos para los developers usando visión artificial, como os conté en detalle en el artículo de "Cognitive Services & Cyber Security: Ideas Locas", o como el ejemplo de Twitter Detox, que presenté en esta charla por primera vez.

Figura 3: Libro de Machine Learning aplicado a Ciberseguridad de
Carmen TorranoFran Ramírez, Paloma Recuero, José Torres y Santiago Hernández

Si quieres aprender más, te recomiendo el libro de "Machine Learning aplicado a Ciberseguridad: Técnicas y ejemplos en la detección de amenazas", donde puedes ver más casos de uso aplicados para crear cosas chulas de ciberseguridad con la aplicación de técnicas de inteligencia artificial y, sobre todo, Machine Learning.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


jueves, septiembre 22, 2022

Mentor de los Programas de Máster del Campus Internacional de Ciberseguridad 2022-2023

Hoy vengo a contaros que un año más - y van tres - seguiré como Mentor de Campus Internacional de Ciberseguridad, donde realizo tareas de revisión de los contenidos de todos los programas de máster que tenéis en seguridad informática, propongo Proyectos de Fin de Máster y los alumnos pueden contactar conmigo para resolver dudas, curiosidades, o consejo para su carrera profesional.


Para ello, todos los asistentes de los Programas de Máster del Campus de Ciberseguridad, cuentan con Tempos de MyPublicInbox con los que pueden contactar conmigo, o con los profesionales de ciberseguridad, tecnología y hacking de la plataforma. Allí, además, habrá salas de conversación para resolver dudas con profesores, teniendo un contacto más directo conmigo y con el equipo docente. Os lo cuento en este vídeo en dos minutos.


Figura 2: Mentor del Campus Internacional de Ciberseguridad 2022-2023

Como complemento, todos los Programas de Máster del Campus de Ciberseguridad llevan libros de nuestra editorial de 0xWord, entre los que se encuentran libros míos, de Pablo González, Sergio de los Santos, Yaiza Rubio, etcétera, para complementar la formación.
Y para los que necesiten orientación profesional, también habrá acciones con Singularity Hackers, con el objeto de que se pueda elegir la mejor rama profesional en seguridad para cada alumno.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


miércoles, septiembre 21, 2022

LibreCON 2022: Call for Papers - Call for Speaker - Call for Sponsors

Este año, vuelve LIBRECON 2022, y lo hace con más fuerza que nunca y de forma presencial. Ya está aquí el evento internacional de referencia del Sur de Europa del sector de las tecnologías libres y abiertas aplicadas a sectores estratégicos de la economía. Tendrá lugar los próximos días 15 y 16 de Noviembre de 2022 en el espectacular Palacio Euskalduna de Bilbao.


Organizado conjuntamente entre ESLE, Asociación de Empresas de Tecnologías Libres y Conocimiento Abierto de Euskadi, y MyPublicInbox, la plataforma de comunicación que mejora de impacto de perfiles públicos en Internet.

TEMÁTICAS

En esta edición descubrirás los proyectos más notables e inspiradores de empresas nacionales, internacionales y locales ligadas al uso de las tecnologías libres principalmente, y abiertas, en diferentes campos, como son:
  • Innovación abierta: I+D, I+D+I, Patentes, Colaboración Universidad-Empresa, Academia.
  • Ciberseguridad: Research, Hacking, Hardening, Red Teaming/Blue Temaing, CERT, CSIRT, CISO.
  • Transformación digital: Cloud Computing, Hybrid & Private Clouds, API-fying, Moderm Apps.
  • Computación Cuántica: Algorítmica, Quantum Cryptogray, Quamtum Theory, Researh.
  • Industria 5.0 y Edge Computing: IoT, Robótica, IA, Federated Learning.
  • Web3: Tokenomics, crypto, tokens, SmartContacts, IPFS, NFTs, Dapps, Daos.
  • Metaverso: Cognitive Services, Digital Twins, Virtual Worlds, VR, AR, ER, Mix Reality, Experiences.
  • Thinking Party: Filosofía, Ética, Sociedad, Privacidad, Seguridad, Economía Digital, legislación.
Todos estos temas, son los que componen la esencia de LibreCON 2022 en esta edición, y contamos contigo para compartir tu conocimiento y tus experiencias, por lo que te invitamos a que participes en nuestra llamada de ponentes.

Call for Papers Librecon 2022
 
Te informamos que ya está abierto el Call for Papers de LibreCON 2022. ¿Quieres ser ponente de uno de los eventos referentes en tecnología? Aprovecha esta increíble oportunidad, y comparte tu conocimiento con la comunidad, recibe sus comentarios, y haz que tu idea, tu proyecto o tu propuesta, se convierta en tendencia en la red.


Ventajas de dar una charla en Librecon 2022
  • Ampliarás tu red profesional de contactos
  • Darás mayor visibilidad a tu proyecto
  • Divulgarás contenido de calidad ante miles de profesionales del sector
  • Formarás parte del grupo de conferenciantes de uno de los eventos tecnológicos más importantes de España
No dudes en enviar tu propuesta para ser ponente de LIBRECON 2022, antes del 30 de septiembre: Quiero ser ponente de LibreCON 2022 y revolucionar el mundo.

Quiero ser empresa patrocinadora

LibreCON cumple 10 años de exitosas ediciones celebradas desde 2012 en diferentes ciudades de la geografía española como Málaga, Zaragoza, Bilbao y Santiago de Compostela y este año, LibreCON 2022, contará con una Zona Expo donde tu empresa o institución puede presentar sus productos y servicios a más de 1.000 potenciales clientes, con zonas habilitadas para el networking y las B2Bs.


¿Quieres participar como Patrocinador Oficial de LIBRECON 2022? Solicita más información sin compromiso: Quiero patrocinar LibreCON 2022 y ser motor del cambio de la sociedad.

Registro Gratuito

Como OpenExpo Europe somos colaborador oficial de LibreCON 2022 y te traemos algo que te va a encantar. Gracias a que formas parte de la comunidad OpenExpo, solo durante el mes de septiembre, tenemos una invitación para ti, así que escríbenos a OpenExpo en MyPublicInbox (puedes conseguir los 50 Tempos gratis) y te enviaremos una entrada de LibreCON 2022 - solo hasta el 30 de Septiembre -.


martes, septiembre 20, 2022

Bad Guys en la era de la IA & Web3: La charla que no será por culpa del Huracán Fiona

[Actualización] Ayer os dejé escrito dese el aeropuerto de Madrid el post de hoy, donde comenzaba diciendo que "si todo va bien"... iba a estar en Punta Cana dando una charla. Pero no, no fue bien. El avión se retrasó dos horas en su salida por causas metereológicas, y luego... volamos a las 19:00 horas de España. A las 21:00 horas recibí un mensaje de que el evento se cancelaba porque el Huracán Fiona había hecho estragos en la isla, pero ya estaba volando.... y cuando llegué a destino me encontré todo cancelado, destrozos por los hoteles, ciudad, árboles, etcétera... así que.. no fue bien.

Como era un viaje exprés, mi vuelo - en teoría - lo tengo hoy mismo desde aquí, así que cruzaré los dedos para poder salir a tiempo y regresar a mi Madrid. Menos mal que se puede teletrabajar perfectamente desde cualquier rincón del mundo... Publico el post original como curiosidad para mis memorias y recuerdos de mis aventuras volando por el mundo.

Saludos Malignos,

Bad Guys en la era de la IA & Web3

Si todo va bien, estaré llegando en un viaje exprés a Punta Cana, para participar en el XIII Congreso Latinoamericano de Tecnología e Innovación, para dar una conferencia que lleva por título el mismo que el de este artículo. Es decir, "Bad Guys en la era de la IA & Web3". En ella voy a hablar de muchas de las cosas que hemos hablado  en los artículos de Web3, BlockChain, SmartContracts, Fake Brokers, Ciberestafas de BitCoin o de IA para hacer DeepFakes, Ataques de CEO, etcétera.
La charla tendrá lugar el Martes 20 de Septiembre a las 09:00 de la mañana, hora de Punta Cana en CLAB, por si estás por allí y quieres pasarte a verme hablar de todas estas cosas, y luego regresaré prontito para estar en Madrid el mismo miércoles por la mañana, que tengo muchas cosas por aquí esperándome.
Tienes toda la información del congreso en la web del mismo, XIII Congreso Latinoamericano de Tecnología e Innovación. Nos vemos por allí, o nos vemos a la vuelta, y os dejo los artículos de Web3, Blockchain & SmartContracts por si quieres ir estudiando antes.

Más artículos de Web3, Blockchain & SmartContracts
¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


lunes, septiembre 19, 2022

20 millones (Euros) en Tokens de Optimism perdidos por no saber cómo funcionan los Wallets Multifirma

El pasado 1 de Junio, Optimism, una conocida Blockchain de tipo L2 (Layer 2) anunció que sacaría su propio Token $OP, un Token que permitiría votar sobre el futuro del desarrollo de esta plataforma Blockchain. Optimism aportó 20 millones de unidades de su nuevo Token a Wintermute, una empresa que se encarga de repartir está liquidez entre diferentes Exchangers, para que el Token se pudiera comprar/vender en el mercado. 

Figura 1: 20 millones de Tokens de Optimism perdidos por
no saber cómo funcionan los Wallets Multifirma.
(Imagen: “Hooded person stealing coins from an ATM” por Dall-e)

Lo cierto es que, en realidad, Optimisim envió las unidades del Token a un Wallet Multifirma proporcionado por Wintermute, pero estos 20 millones nunca llegaron a su destinatario. ¿Cómo pudo pasar esto? ¿Quizás fue culpa de Optimism que no los envió nunca? ¿Alguien les robó por el camino? 
Como os podéis imaginar, los Tokens sí que salieron de la cartera de Optimism, ya que esto se puede ver en la Blockchain, y también que fueron a parar a la dirección proporcionada por Wintermute. ¿Pero entonces qué sucedió? Pues parece ser que la respuesta correcta es que alguien los robó por el camino, pero para poder entenderlo vamos a ver primero qué son los Wallet Multifirma.

Wallets multifirma

Un Wallet Multifirma no es más que un “Wallet” que ejecuta transacciones si todos los “dueños” de este están de acuerdo en llevar a cabo esa acción. En casi todas las plataformas de Blockchain basadas en la EVM (Ethereum Virtual Machine) no existen por defecto más que los Wallets normales, en los que si tienes la clave privada puedes llevar a cabo transacciones. Es por eso que, si queremos Wallets de este tipo ,tenemos que recurrir a SmartContracts que pueden ejecutar transacciones de manera arbitraria, siempre y cuando se cumplan unas pre-condiciones para cada transacción.

Figura 3: Ilustración del funcionamiento de un Wallet Multifirma
  
Lo más común es que estos Wallets Multifirma tengan varios “dueños” (Wallets partícipes), de los cuales se necesita la aprobación de más de un 50% como requisito mínimo para poder validar la transacción. Un uso muy frecuente de estas Wallets es poder manejar Tokens con una mayor seguridad, ya que si se piden dos firmas de tres que haya, hará falta que los criminales tomen el control de dos Wallets para poder robar los Tokens.

Un tipo de Wallet Multifirma muy famoso es el Gnosis Wallet, que desde su web te permite iniciar sesión en Dapps que requieran de login mediante Wallet. Esto es muy importante dado que los “Wallets Multifirma” son solo contratos con lo que ciertas acciones no se pueden llevar a cabo, pero desde Gnosis han hecho compatible un montón de sistemas.


Este tipo de Wallets son contratos, por lo que para poder usarlo primero tenemos que desplegar un contrato en la Blockchain, pero si recordáis de anteriores artículos podemos desplegar contratos en diferentes plataformas de Blockchains y esto también sucede con los Wallets Multifirma. Debemos desplegarlos en cada una de las cadenas de Blockchains en las que lo queramos usar porque sino no existirá un SmartContract con el que podamos interactuar.

Al desplegar un SmartContract en una Blockchain, éste recibirá una dirección, pero si lo desplegamos en otra Blockchain no tiene porque tener la misma dirección; aunque normalmente, si somos ágiles, podremos hacer que los dos tengan la misma dirección. 

¿Cómo? Pues copiando y pegando “exactamente” los mismos datos de la primera transacción en la que desplegamos el Wallet y pegar la transacción en las demás platafromas de Blockchains EVM, pero no siempre saldrá bien. Puede que otra persona despliegue antes esa misma transacción y se quede con esa dirección en concreto en una cadena de Blockchain en particular. En este artículo se explica bien el problema.

El robo de los tokens de Optimism. ¿Qué ocurrió?

Ahora que sabemos qué son los Wallet Multifirma y cómo funcionan, podemos entender qué es lo que pasó en realidad. Wintermute había desplegado un Wallet Multifirma en la Blockchain de Ethereum para tener una mayor seguridad a la hora de manejar sus activos, pero se olvidaron de desplegarlo en la Blockchain de Optimism en la que se realizaría el Airdrop de los Tokens. 

Finalmente, Optimism envió los Tokens a esa dirección que no tenía desplegado ningún contrato y por lo tanto estos se habían quedado en el “limbo” dado que nadie tenía control sobre ellos. Una persona se dio cuenta de esto, y antes de que Wintermute pudiera arreglarlo, usó el truco que antes os mencioné para adueñarse de esa dirección que había recibido 20 millones de Tokens
Las consecuencias ya las conocéis, Por el error de comunicación, o por no saber cómo funcionan los Wallet Multifirma, 20 millones de Tokens fueron robados. Afortunadamente 18 millones de estos Tokens fueron devueltos por la persona que los cogió; de los otros dos millones, uno lo vendió al instante en un DEX y otro se lo quedó como “regalo” de parte de Wintermute por lo sucedido. Ahora que sabéis qué son los Wallet Multifirma, tened cuidado y no perdáis vuestros Tokens.

Más artículos de Web3, Blockchain & SmartContracts
Saludos,

AutorChema Garabito. Desarrollador Full-Stack. Ideas Locas Telefónica CDO.

domingo, septiembre 18, 2022

La Dulce Anastasiya, la Solitaria Svetochka y la Gatita Elizaveta con vidas de Princesa Disney necesitan mi amor (y mi dinero)

Han pasado muchos años desde que tuvo éxito el primer timo del Nigeriano. Allá por los años 90 del siglo pasado, con el comienzo del uso popular del correo electrónico, comenzaron a realizarse estas estafas donde se convencía a alguien de que había una riqueza muy importante esperándote y que para conseguirla solo deberías enviar un poco de dinero para trámites legales. 

Figura 1: La Dulce Anastasiya, la Solitaria Svetochka y la Gatita Elizaveta
con vidas de Princesa Disney necesitan mi amor (y mi dinero)

Esta ciberestafa mutó, también hacia el mundo del amor, donde bellas señoras, solitarias, dulces y en problemas, buscaban el amor más allá de las fronteras de su país, para llegar a los brazos de ricos hombres solitarios, caballeroso, gentiles y honorables, dispuestos a enviarles cantidades de dinero para resolver problemas con la embajada, compara pasajes de avión, tasas de inmigración, y una lista infinita de conceptos que hacían que, la bella dama, siempre necesitara de una nueva transferencia de dinero para dar el siguiente paso y estar un poco más cerca.
Pero como en la más dramática de las historias de amor, esa bella dama nunca conseguía llegar a los brazos de gentil caballero, por más dinero que este enviara por transferencia. Siempre, como si estuviera escrita por los guionistas de una de esas series que estiran temporada por temporada más allá de lo imposible, algo sucedía en cada rincón. Hasta el taxista que la llevaba al ansiado vuelo que iba rumbo a tu país, podría sufrir una invasión alienígena, o aún peor, un terrible y fatal accidente que la llevara a un hospital durante meses para salir de ese estado solo meses después para solicitarte ayuda con los costos de los tratamientos médicos en su país.

Mis tres Crushes

Por eso, cuando he revisado uno de mis buzones de correo y me he encontrado tres bellas -  seguro - damas, buscando contactar conmigo he sentido un anhelo de drama, una necesidad de escuchar canciones corta-venas. Sus nombres son Anastasiya o "Nastya", Svetochka y Elizaveta o "Kitty", y sus historias, seguro, tan intensas como las de las Princesas Disney - que esas también tienen lo suyo -.

Figura 3: Las Princesas Disney que llevan a mi buzón. Conocen mi
nombre. ¿Lo habrán sacado de mi Wikipedia?

Me he puesto a imaginar cómo sería mi vida con la Dulce "Nastya", que según ella se define como una mujer optimista sin dependencia de la nicotina ni el alcohol - que hay cada una por ahí....- , soltera y sin hijos, dispuesta a enviarme sus fotos y con ansias de conocerme.

Figura 4: Anasasiya, la dulce Nastya...
¿y no le gusta el vino? Descartada. 

He imaginado un destino fatal en nuestra relación. Un amor imposible donde los cuerpos corruptos de su país la encierran, donde la enfermedad la abduce, donde los problemas son infinitos para poder lograr - juntos - formar una relación de amor estable, sin alcohol, nicotina ni niños - al principio al menos -. Algo que también le puede pasar a la Solitaria Svetonka o Svetochka, que me lía un poco ella.

Figura 5: Svetochka, una mujer sincera que piensa que ya tenemos citas.

La solitaria Svetochka ya ha dado por sentado que tenemos citas, porque es muy sincera e interesante a la que le gusta hacer deporte, nunca ha estado casada y tampoco ha tenido niños. Así que en regla con la anterior Princesa Disney. Pero seguro que nuestro amor es imposible, y una dura enfermedad se hará con ella justo la noche antes de tomar el avión para venir a mis brazos.

Saldrá meses después, para ser atropellada en la calle y pasar convaleciente en su casa un par semanas, momento en el que será raptada por una banda de criminales huidos de la justicia que sabrán de nuestro amor y nos pedirán dinero por el rescate, y cuando todo parezca resuelto - tras pagar yo el rescate -, un funcionario corrupto del aeropuerto la enviará en un vuelo a otro país para trabajar esclavizada en una granja en África. Un dramón, seguro, el que nos espera para unir nuestras almas.

Figura 6: Gatita Elizaveta, que es muy cariñosa y alegre.

Y que decir, de la cariñosa "Gatita Elizaveta", que es alegre, desprecia la traición, y con 37 años busca una relación seria de España. Es increíble que tenga tanta suerte de que yo sea de España. Lo único que me retrae es, que siendo tan alegre, comenzar a tener un cuento de Princesa Disney y llenarle su vida de drama, penares y situaciones límites que solo se pueden arreglar con mi dinero, no es lo que deseo para ella.

Fraude, Estafa y Spam

En fin, el amor es así, llega por e-mail, de dulces mujeres con nombres exóticos, buscando hombres buenos de España, para vivir una aventura de Princesa Disney que termine en fuegos artificiales, color, y un montón de animalitos cantando... ¿o no?  Lo que está claro es que esto, a mi buzón público de MyPublicInbox nunca me llega... ¿por qué será?

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


sábado, septiembre 17, 2022

Jumping level up (from) web2 (to) web3: Vulnerabilities & SCAMs - SmartContracts

En el equipo de IdeasLocas nos gusta compartir lo que vamos aprendiendo, conociendo, investigando y probando. No se para. Prohibido pararse. Seamos ágiles, trabajemos, busquemos las vueltas y volvamos a iterar, iterar e iterar. En este 2022 hemos tenido la suerte de acudir, en algunos casos online y en otros en presencial, a diversos congresos. 

Figura 1: Jumping level up (from) web2 (to) web3.
Vulnerabilities & SCAMS on SmartContracts

Uno de los que guardo un grato recuerdo cuando estuve en 2018 y 2020 es la DragonJARCON. Este año llegaba a su novena edición y nos cogieron una propuesta en la que queríamos hablar de la seguridad en el mundo Web3 y los SmartContracts. La necesidad que tiene el mundo "cíber", hoy día, de conocer más sobre este mundo. Un mundo interesante y del que puedes aprender, no una, si no cientos de cosas diariamente.

Figura 2: Libro dedicado a "Bitcoin: La tecnología Blockchain y su investigación"
de Yaiza Rubio y Félix Brezo

En la charla se habló sobre varias cosas, principalmente sobre algunas vulnerabilidades con los riesgos asociados en los SmartContracts, así como de ejemplos de SCAMs que pueden hacer perder muchos fondos a los usuarios que sean víctima de ellos. El tema Web3 es un tema que llama mucho la atención a la gente, pero tiene una barrera de entrada, por lo que empezamos contando la base sobre algunos conceptos. Empezamos hablando sobre:
  • ¿Qué es la Blockchain?
  • ¿Qué es un wallet?
  • ¿Qué es un Smart Contract?
Son términos que todo el mundo conoce, pero quizá no todo domina desde un punto de vista claro. Cuando uno empieza a meterse en profundidad en este mundo se puede hacer algunas preguntas: ¿Dónde se ejecuta el SmartContract? ¿Qué es un nodo? ¿Qué es un proveedor? ¿La cadena Blockchain está en cada nodo? En la siguiente imagen se podía explicar que los SmartContract se encuentran en ejecución en un nodo y que los cambios persistentes que se hacen se replican a la Blockchain (es decir, en todos los nodos).

Figura 3: Gráfico de estructura de una cadena Blockchain

Otros conceptos explicados y necesarios son el de transacción. Transacciones entre wallets, entre SmartContract o de wallet a SmartContract y viceversa. Por otro lado, el despliegue de un contrato también es algo que llama la atención. Para explicar bien el concepto de despliegue de un contrato decidimos hacerlo práctico a través de un video.

Figura 4 Nodos de una cadena Blockchain

En el video se puede ver cómo se usa Remix IDE para tener nuestros contratos programados con Solidity. Además, disponemos de una Blockchain Ganache (de la suite Truffle), la cual se ejecuta en local y sirve para probar desarrollos antes de llevarlo a un entorno de Pre-Producción (una Testnet) o, posteriormente, subir nuestro contrato a una mainnet, que sería llevarlo a Producción. Os dejo el vídeo donde se puede ver que con Remix IDE todo es transparente, pero si nos ponemos a programarlo con librerías en diferentes lenguajes veríamos que tenemos que ir haciendo todos estos pasos.

Figura 5: Vídeo de despliegue con Remix IDE

Como digo en el vídeo se ve la conexión del entorno Remix IDE con la Blockchain (a través del endpoint RPC de Ganache, en este caso en localhost). Una vez tenemos el IDE conectado, el despliegue es sencillo, ya que será darle a un botón (o un par si contamos la compilación, pero que está pasando a bajo nivel, lo comentaremos):
  • Compilamos el contrato: y se obtiene un bytecode (representación hex para la EVM de Ethereum), obtenemos los Opcodes (como el lenguaje ensamblador) y el ABI (que será nuestra Application Binary Interface, el cual almacena el nombre de las funciones, el tipo de datos que se les pasa, los tipos de datos de variables, nombres, etcétera. Todo esto es fundamental para, posteriormente, cuando el contrato está desplegado poder interactuar con él).
  • Construimos la transacción: En este caso el IDE genera la transacción que constará de:
    • Contrato
    • Chain_ID
    • Gas
    • From (cuenta que despliega el contrato). Si fuera una transacción para enviar fondos de una cuenta a otra tendríamos que meter en la transacción también un To.
    • Nonce
  • Transacción creada: Debemos firmarla con la clave privada.
  • Envío de transacción a la red: Aquí entra en juego el tiempo de mineros, pruebas, etc.
Si todo va bien, contrato desplegado. 

Algunas vulnerabilidades

El objetivo principal de la charla era mostrar qué la seguridad es muy importante en el mundo Web3 y más cuando los SmartContracts están gestionando activos constantemente y una vulnerabilidad puede provocar la pérdida de activos, no solo al dueño del contrato, si no a la comunidad que hay detrás de un proyecto. Algunas de las vulnerabilidades comentadas fueron:
  • Re-Entrancy.
  • DoS (con algún ejemplo particular).
  • Flash_Loans.
  • Integer Overflow.
En algunos casos se exponía un esquema interactivo con el que el asistente podía entender mejor la vulnerabilidad y cómo la podían explotar en contra de nuestros activos. En el siguiente esquema se puede ver un Re-Entrancy, una vulnerabilidad conocida, pero que puede provocar un gran caos en un proyecto en caso de darse.

Figura 6: Ataque de Re-Entrancy

Un ejemplo con casos reales a través de la explotación de un Re-Entrancy se puede ver en la siguiente imagen:

Figura 7: Coste de algunos incidentes de seguridad informática

Por último, se presentaban mitigaciones o buenas prácticas para no crear esas vulnerabilidades a la hora de codificar el contrato. Esta parte era fundamental en la charla ya que se cerraba el ciclo: vulnerabilidades – ejemplo – caso real – mitigación.

SCAMs

Una vez finalizada la parte de las vulnerabilidades, comenzamos con la parte del phishing (principalmente). Se habló del problema de implementar tx.origin en un contrato y el phishing que puede surgir de ahí y el problema del Ice-Phishing, el cual se comparaba con la delegación de permisos de cuentas de proveedores en el mundo Web2

Figura 8: Demo de Ice-Phishing

En este blog ya se ha comentado sobre Ice-Phishing por lo que no vamos a entrar en ese detalle, pero si os dejaremos un video sobre una demo que se ha generado y que explica el detalle claro del Ice-Phishing. Vamos a hacer un resumen:
  • En el Ice Phishing, el atacante consigue capturar peticiones de usuarios para intercambiar tokens (o activos).
  • El atacante puede haber suplantado un sitio web de un DEX o simplemente puede hacernos llegar a ese sitio de otra forma.
  • Cuando el usuario quiere usar el DEX para pasar un token de un tipo a otro token, éste delegará una cantidad X (los que quiera intercambiar) de tokens al DEX. El DEX será el encargado de traspasar esos tokens al nuevo valor.
  • Como se puede ver la confianza en el DEX es total por parte del usuario, ¿Cuál es el problema?
  • En el video hay dos partes. En la primera se muestra el proceso legítimo, dónde no hay engaño. Se puede ver que el usuario delega los tokens en el DEX real y éste hace el cambio de un token a otro (pero los activos siguen siendo propiedad del usuario).
  • En la segunda parte, se puede ver que el usuario entra a un sitio web que parece el mismo, pero no lo es (una dapp para ser más puros). En esta dapp, cuando el usuario le indica que quiere delegar una cantidad X de tokens en el supuesto DEX, si nos fijásemos veríamos que la dirección del contrato al que se delega no coincide con el del DEX.
  • Al delegarlo… el atacante obtiene la cantidad X de tokens delegados. Se produce la estafa.
Como contramedida, tal y como ocurre en el phishing en el mundo Web2, hay que fijarse en los detalles. Hay que conocer la dirección de contrato del DEX que solemos utilizar, hay que estar muy seguro a quién se delega los Tokens. Verificándolo las veces que haga falta.

Conclusiones

Es un mundo que está aquí, es presente y, por supuesto, futuro. La Web3 es una realidad y debemos conocerla, entenderla, no tiene una experiencia de usuario aún cómoda, pero seguramente mejore en los próximos años, ya que es una barrera de entrada alta. Debemos entender el paradigma Web3 y el concepto de descentralización (lo que es un nuevo front-end y lo que es el nuevo Back-End). Para los equipos de seguridad que empiecen a enfrentarse a esto, utilizar herramientas SAST y DAST para llevar a cabo auditoría

Por supuesto, utilizar Security Guidelines (que existen) a la hora de generar los desarrollos y que los equipos de seguridad encargados de probar la seguridad de los proyectos también las revisen. Cuando se cree un proyecto Web3 hay diseñar el parcheo de vulnerabilidades. Se puede con Arquitecturas de Proxy, lo cual está bastante recomendado para separar lógica de datos.


El concepto de S-SDLC encajaría muy bien en el desarrollo de SmartContracts, por lo que es posible que veamos pronto este tipo de situaciones (aunque podemos amoldar lo que conocemos de ese mundo al mundo Web3). La formación es fundamental, por lo que formar a los equipos de seguridad a través de retos, entrenamientos y CTFs sobre DeFi como, por ejemplo, con Damn Vulnerable DeFi (aunque hay muchos distintos, lo cual es bueno).

Nosotros por nuestra parte seguiremos aprendiendo, investigando y jugando con la tecnología Web3 y con todo lo que a seguridad se refiere. Esperemos que pronto tengamos más noticias que contaros. Nos vemos en los siguientes artículos, pero tienes muchos más artículos sobre este mundo Web3 aquí:
Saludos,

Autor: Pablo González Pérez (@pablogonzalezpe), escritor de los libros "Metasploit para Pentesters", "Hacking con Metasploit: Advanced Pentesting" "Hacking Windows", "Ethical Hacking", "Got Root",  “Pentesting con Powershell” y de "Empire: Hacking Avanzado en el Red Team", Microsoft MVP en Seguridad y Security Researcher en el equipo de "Ideas Locas" de la unidad CDCO de Telefónica.  Para consultas puedes usar el Buzón Público para contactar con Pablo González

Contactar con Pablo González

Entrada destacada

Cómo configurar tus productos de Amazon en MyPublicInbox y para que tengan más impacto @mypublicinbox

Desde hace algo más de un año introdujimos en MyPublicInbox un algoritmo que buscar los productos que se encuentran disponibles en Amazon ...

Entradas populares