martes, enero 31, 2023

Horizonte Temporada 3 Episodio 19: Virtual Replicants & Virtual Blade Runners

El jueves pasado, después de un tiempo separado de la televisión, me animé a volver a la televisión a estar con el gran Iker Jiménez en su programa Horizonte. Fue en el Episodio 19 de la Temporada 3, y estuve en el programa alrededor de media hora hablando de los Virtual Replicants & Virtual Blade Runners, un tema del que os he hablado muchas veces.
El capítulo completo lo podéis ver a la carta en la web del programa, y en él hablamos de muchas cosas, incluida alguna nueva de la que no había hablado hasta el momento y que preparamos justo para ese programa.
La experiencia fue muy divertida, y al final me lo pasé muy bien, que es lo más importante, por lo que seguro que regreso al programa. Este jueves no podré estar, porque tengo un off-site con mi equipo fuera de Madrid, pero sí que estaré el próximo jueves 9 de Febrero otra vez en Horizonte.

Como siempre, Iker Jiménez y yo estamos abiertos a tocar temas que os parezcan interesantes y que sean de actualidad, así que si queréis proponernos algún tema lo podéis hacer a través del buzón público de Iker Jiménez o del mío, que los recibiremos de sumo agrado.

Figura 4: Proponnos tema a tratar a Iker Jiménez y a mí

La herramienta que sale en el programa, la liberaremos con mucha probabilidad para la próxima Hackron, así pronto la podrás estar usando tú mismo para ser un buen Blade Runner.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


lunes, enero 30, 2023

7ª Edición del Máster en Seguridad Ofensiva del Campus Internacional de Seguridad

Queda poco para que se cierre el registro a la  7º Edición del Máster en Seguridad Ofensiva del Campus Internacional de Seguridad, donde yo soy Mentor, que tendrá una duración de un año, comenzando el próximo 28 de Marzo de 2023 y acabando el 30 de Marzo de 2024. Quedan pocas plazas ya para matricularse, así que os traigo la referencia por si estás buscando un máster práctico orientado a ser un profesional de ciberseguridad puedas apuntarte a la edición de este año que comienza en breve.
Esta formación es 100% online, y cuenta con libros de 0xWord - en concreto el libro de Ethical Hacking 2ª Edición de Pablo González y Hacking Web Technologies 2ª Edición de Amador AparicioEnrique RandoRicardo MartínPablo González y un servidor -, y Tempos de MyPublicInbox para contactar con todos los profesionales de seguridad informática, y hacking que haya en la plataforma por si te pueden ayudar en tu desarrollo profesional.


Por supuesto, tienes a todo el claustro de profesores de este Máster en Seguridad Ofensiva en la plataforma, por lo que puedes contactar con todos ellos, que además es un plantel espectacular con Pablo González,  Carmen TorranoPablo San EmeterioDaniel Echeverri - escritor de los libros de Python para Pentesters 2ª Edición y Hacking con Python -, Marta Barrio que acaba de publicar su libro de "Social Hunters: Hacking con Ingeniería Social en el Red Team", Adrián Ramírez CorreaJuanjo Salvador - director académico del máster - y David R. SáezCEO de Campus Internacional de Ciberseguridad. Así que puedes tener acceso a todos estos profesionales una vez haya terminado la formación y tener un contacto permanente con ellos.


El temario del curso está pensado en formar a profesionales con un perfil de hackingpentesting, y, como su nombre indica, seguridad ofensiva. Así que se verán técnicas de ataque en redes, aplicaciones web, bases de datos, criptografía, procesos de ciberinteligenciaethical hacking, y generación de exploits. Además, como se busca que la orientación el máster sea principalmente práctica, habrá muchos proyectos que realizar en cada módulo y un proyecto de fin de máster orientado al mundo profesional y al emprendimiento.

Figura 4: Libros de Ethical Hacking 2ª Edición y 

Como he dicho, el curso dará comienzo el próximo día 28 de Marzo y si quieres ser parte del grupo que se va a formar en este curso académico 2023 - 2024 debes reservar cuanto antes tu plaza, porque el cupo es limitado. Así que entra en la web del Máster en Seguridad Ofensiva y pide información directamente desde el formulario.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

domingo, enero 29, 2023

Contenidos gratuitos sobre ciberseguridad y un curso gratis de "Técnico en Ciberseguridad" certificado

Llevo desde hace muchos años desde mi rincón en Internet https://www.darFe.es creando contenido para los que quieran aprender ciberseguridad. Allí podéis encontrar los cuatro libros de gratuita descarga que he publicado, como el de Seguridad en Redes, el de Ciberseguridad: Una estrategia informático/militar e el Manual de Resilencia, además de cientos de artículos y vídeos que tenéis a vuestra entera disposición.
Ahora, desde mi empresa, hemos lanzado el Curso Gratuito de "Técnico en Ciberseguridad" que lleva ya 8.000 alumnos, con muy buenos comentarios y feedback, por lo que estoy muy contento de haberlo realizado. 


Se trata de una formación de 60 horas lectivas con manuales y documentos en formato PDF, ejercicios, vídeos explicativos y tests que te irán guiando poco a poco. Una vez superados recibirás tu certificado firmado digitalmente por mi consultora.


Puedes registrarte en el Curso Gratuito de "Técnico en Ciberseguridad" debes darte de alta en la plataforma de formación: https://moodle.darfe.es. No está activa la “auto matriculación”, así que, una vez registrado, en un par de días recibirás un mail con tu matrícula activa.

Figura 4: Darte de alta en la plataforma de formación: https://moodle.darfe.es.

También hemos lanzando un ciclo que denominado "Aprendiendo Ciberseguridad paso a paso", ya va por 25 vídeos y creo que es un muy buen material que os puede ser de utilidad. 


Se trata de una serie de vídeos cortos donde se avanza “nivel a nivel”, creando una base muy sólida sobre Ciberseguridad, y los construimos con un objetivo de ir subiendo poco a poco de experiencia. Este es el ciclo de todos los vídeos de formación que forman este ciclo.

Date de alta en la plataforma de formación: https://moodle.darfe.es.

De todo esto hablé con José Joaquín Flechoso en su programa cibercotizante donde debatimos sobre ciberseguridad y resilencia, y si quieres comentarme algo, colaborar conmigo o proponerme cualquier tema, puedes contactar conmigo a través de mi perfil de MyPublicInbox: Alejandro CorlettiEspero que a todos vosotros os anime a aprender ciberseguridad que nos hacen falta muchos profesionales de esta rama.

Un saludo,

sábado, enero 28, 2023

Stable Diffusion en MyPublicInbox para que te hagas los selfies impactantes con IA

Ya os había comentado que mis amigos de MyPublicInbox se lo estaban pasando de maravilla a mi costa haciendo diferentes imágenes conmigo durante el proceso de integración de Stable Diffsuion en MyPublicInbox para que fuera muy sencillo para cualquier persona entrenar un modelo y que pudiera crear todas las imágenes de perfil molonas que quisiera. 
Ayer viernes lo pusieron en producción por la tarde, y hoy os voy a enseñar paso a paso cómo se entrena, que es tan sencillo como "Tener 20 imágenes tuyas listas para entrenar el modelo". 

Crear un modelo de Stable Diffusion para que te haga selfies en MyPublicInbox

El servicio está abierto para todos los usuarios de MyPublicInbox, así que inicia sesión - o sácate una cuenta de MyPublicInbox - y vete al Servicio de Generación de Imágenes por IA que tienes dentro de la sección Canjear Tempos -> Imágenes por IA
Una vez allí, el proceso comienza con la opción de Entrenar un modelo, que tiene un coste mínimo en Tempos por los costes de computación de entrenamiento del modelo. Son 1.000 Tempos, que ya sabes que puedes generar gratuitamente de muchas formas o directamente comprar los que ten falten.
Una vez que aceptes Generar un nuevo modelo, debes tener listas 20 imágenes. Yo he seleccionado unas 20 recientes en las que salgo con mi gorro, pero puedes hacer tantos modelos como quieras. Podrías tener modelos entrenados con fotos de hace años, o con fotos recientes, con diferentes aspectos, etcétera. 

Una vez que las tengas subidas, ya solo debes darle a Entrenar el modelo y comenzará el entrenamiento. Como es un proceso que toma unos minutos, tendrás la opción de "Comprobar el estado". Si te dice que se está Entrenando el Modelo, debes tener un poco de paciencia, que puede que haya mucho trabajo encolado en el servicio de Stable Diffusion.

Generar imágenes con el modelo entrenado

Una vez que esté entrenado el modelo, ya puedes generar imágenes. Por defecto, tienes 100 imágenes para generar directamente. En esta primera versión dejamos que toques la descripción (el prompt) - que es el texto de entrada que tienes que darle para que te haga la imagen a tu gusto - y los parámetros, pero nuestra recomendación es que si no eres muy diestro manejando el prompt, que te fijes en los ejemplos que hemos creado.
Como ves, hay una serie de imágenes hechas con un modelo basado en mí, y si pulsas en cada una de ellas te muestra el prompt de entrada que se usó para esos ejemplos, así puedes aprender y cambiar términos de cada una de ellas para que salga la imagen que tú quieres.

Vamos a ver un ejemplo hecho por mí.

En este ejemplo he modificado uno de los prompt de ejemplo para indicarle lo que yo quería que saliera. Lo que realmente he modificado ha sido la DESCRIPCIÓN. Todo lo demás, mi recomendación es que lo dejes por defecto. Está puesto en modo avanzado por si alguien tiene mucha destreza y quiere tocar los parámetros del modelo, pero si no sabes qué estás tocando, mejor que lo dejes.
Le damos al botón de Generar y dependiendo de la cola de trabajo que tenga el Servicio de Generación de Imágenes por IA tendrás la imagen generada con la descripción que hayas solicitado. Aquí tienes le resultado de la petición anterior.


El proceso lo puedes repetir tantas veces como quieras. Y puedes entrenar tantos modelos como quieras también. El servicio está en pruebas, y estamos ajustando interfaz, parámetros, consumos, etcétera, pero si quieres tener contenido para tus redes sociales, para tus presentaciones, o simplemente tener tu propio modelo de IA entrenado contigo, lo puedes hacer desde ya.
También vamos a meter directamente los modelos animados, para que ya le puedas poner voz y que digan lo que tú quieras, como este ejemplo que tienes en la Figura 8, pero la imaginación, el uso y el límite te lo pones tu.

Te ayudamos

Si tienes problemas, o no se te da bien, o quieres que te hagamos nosotros todo el entrenamiento del modelo y dejártelo configurado en tu cuenta de MyPublicInbox, nuestros compañeros Leire y Héctor te atienden, así que solo debes enviarles un mensaje a sus buzones de MyPublicInbox y ellos ya te hacen todo el trabajo para que tú ya lo tengas entrenado directamente en tu perfil.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


viernes, enero 27, 2023

ChatGPT, OpenAI y los créditos de Azure que pueden colocar a Microsoft como líder mundial en Inteligencia Artificial

Las oportunidades solo pasan una vez en la vida y hay que aprovecharlas. En agosto de 1980, IBM se reunió con una pequeña empresa de Seattle que se acababa de fundar y que tenía unos pocos empleados. Esta empresa se llamaba Microsoft. IBM buscaba licenciar algunos programas como por ejemplo un BASIC para su nuevo IBM PC, un Pascal, un Cobol y algún otro software más orientado al nuevo y maravilloso microprocesador 8086

Figura 1: ChatGPT, OpenAI y los créditos de Azure
que pueden colocar a Microsoft como
líder mundial en Inteligencia Artificial

Pero faltaba una cosa, IBM necesitaba urgentemente un sistema operativo. Uno de los empleados y fundadores, llamado Bill Gates (seguro que te suena) les dijo que ellos no tenían ninguno desarrollado pero les puso en contacto con Gary Kildall, creador del sistema operativo CP/M.


El equipo de IBM se presentó en casa de Kildall al día siguiente para llegar a un acuerdo. Él no se encontraba en casa, pero su mujer tenía preparado un borrador de contrato para entregarle a IBM (algunos dicen que fue un error no estar presente en persona para tratar con el gigante IBM). Pero por un motivo o por otro, el acuerdo no se llevó a cabo.  Parece ser que el calendario propuesto por IBM y el dinero para la inversión no eran suficientes para Kildall por lo que rechazó el proyecto. No era sencillo desarrollar una versión de 16bits del CP/M en poco tiempo. De todas formas, dejando de lado los motivos, Digital Research, la empresa de Gary Kildall, dijo no al contrato con IBM.

Figura 3: "Microhistorias: anécdotas y curiosidades de la historia de la
informática (y los hackers)
"de Fran Ramírez y Rafael Troncoso en 0xWord

Unos días después, en otra reunión con Microsoft, IBM les contó el problema con Kildall y el CP/M. Después de la reunión, Paul Allen, fundador también de Microsoft, le propuso a Bill Gates una alternativa para quedarse ellos con el negocio. Había un tipo llamado Tim Paterson (que trabajaba en una empresa de Seattle llamada SCP) que había desarrollado un prototipo de un sistema operativo llamado QDOS que funcionaba en microprocesadores de 16bits. Aunque Bill Gates no estaba seguro del proyecto, Allen lo convenció para invertir 10.000$ en QDOS. Estaba a punto de nacer el famoso MSDOS.


Y aquí viene la genialidad del acuerdo. IBM esperaba que Microsoft le pidiera royalties por cada copia vendida pero lo que propuso Microsoft fue que les ayudara a desarrollar el software partiendo de QDOS y que además ese software final les permitiera venderlo a otras compañías. En principio IBM pensaba que era un buen acuerdo para ellos y malo para Microsoft, el cual perdería ganar dinero por cada IBM PC que tuviera un MSDOS instalado. Pero claro, nadie esperaba el boom informático de clónicos en los años venideros que provocó que Microsoft se convirtiera en gigante que es hoy día. Nadie excepto Bill Gates y Paul Allen.

OpenAI y Microsoft

Volviendo al presente, parece que esta historia se puede repetir, esta vez en el mundo de la Inteligencia Artificial. OpenAI era en principio una organización sin ánimo de lucro creada por Elon Musk y Sam Altman (creador de Y Combinator). Su lema era crear un desarrollo justo de la Inteligencia Artificial para beneficiar a la Humanidad. A partir de aquí se crearon proyectos realmente revolucionarios como Gym (enfocada a crear modelos entrenados con aprendizaje reforzado), Universe, etcétera.


Dejando de lado todas las controversias desde que Elon Musk dejó su cargo en OpenAI en 2019, y su modelo de “sin ánimo de lucro” toma un nuevo rumbo. El motivo, conseguir un ámbito mixto, desde el cual poder sufragar su supervivencia haciendo negocio con sus aplicaciones desarrolladas. Y aquí es donde OpenAI abre su concurso de inversores externos y en el año 2019 aparece Microsoft donde invierte 1.000 Millones de USD
 
Desde luego una inversión arriesgada cuando el único producto que había era una versión temprana de GPT-3, pero de nuevo Microsoft (y es justo decir que Satya Nadella tiene mucha parte importante en este éxito) tenía claro que en un futuro no muy lejano, sacaría partido de esta inversión. Recordemos que los modelos generativos de artes o texto como ChatGPT eran aún Ciencia Ficción.

ChatGPT y los créditos Azure

No voy a explicarte qué es ChatGPT y cómo funciona ya que en este artículo creado por nuestro compañero Javier del Pino, se habla en profundidad. Resumiendo, ChatGPT es un modelo conversacional (basado en la versión de GPT-3.5) el cual puede interactuar respondiendo a preguntas en cualquier idioma e incluso generar código fuente de una forma extremadamente cercana al ser humano. Antes hemos comentado que Microsoft, en 2019 invirtió mil millones de dólares en OpenAI pero no te he contado un detalle que es muy importante en toda esta historia: gran parte de ese dinero estaba en forma de créditos cloud en Azure.

Figura 6: ChatGPT

Y este punto es clave para entender toda la genialidad de este acuerdo. En el mundo de la Inteligencia Artificial el mayor coste para desarrollar nuevos productos o investigaciones es la gran cantidad de computación necesaria para, por ejemplo, entrenar los modelos. Y este se convierte en el mayor problema económico para cualquier empresa de Inteligencia Artificial que quiera vivir de este negocio. Así que ya nos podemos imaginar la alegría de los trabajadores de OpenAI cuando les dijeron que tendría prácticamente poder de computación ilimitado para entrenar sus modelos.


ChatGPT es una auténtica revolución con una proyección de negocio de millones de dólares y un impacto social que aún sólo estamos viendo la punta del iceberg. No estamos hablando de una tecnología creada sólo para personal cualificado, es una tecnología que puede utilizar cualquier persona para prácticamente resolver cualquier tipo de duda o problema usando, además, lenguaje natural. Hoy día se deberían de abrir telediarios con esta noticia, como bien dice el gran DotCSV, pero parece que, por aquí en nuestro país y prácticamente en toda Europa, no hemos captado aún la magnitud de este avance (en EEUU ha habido un eco importante en las noticias).

Presente y futuro

OpenAI puede trabajar desde prácticamente sus comienzos sin pensar en los altos costes de computación derivados de los complicados y costosos procesos de entrenamiento, de eso se encarga Microsoft. Esto es una gran ventaja, pero también crea una gran dependencia de la nube de Microsoft, que ha ido creando una relación empresarial sólida entre ambos durante estos años. Y esta ha llegado a su momento máximo cuando hace unas semanas, se ha anunciado un acuerdo de 10.000 Millones de USD entre Microsoft y OpenAI

Y claro, parte de esos millones de dólares ¿sabéis a dónde irán a parar?, eso es, a la nube de Azure. Un negocio redondo. OpenAI necesitaba urgentemente este acuerdo ya que mantener ChatGPT es muy costoso y sería imposible sin estos acuerdos con Microsoft y el apoyo de su nube. Para que os hagáis una idea, parece ser que OpenAI está perdiendo 3 millones de dólares por día con ChatGPT.

El nuevo modelo de negocio

Microsoft tiene claro cuál es su modelo de negocio para haber invertido esa gran cantidad de dinero. Con ChatGPT habrá miles de empresas que quieran crear servicios basados en este modelo de IA. Y claro, crear tu propio modelo y mantenerlo es algo muy costoso y complicado, así que la mayoría de estas empresas decidirán ir al modelo funcional y operativo de OpenAI. Es decir, pagarán por el acceso a una API que les devuelva los resultados realizados a la aplicación ChatGPT, que a su vez está montada con el modelo GPT-3.5 y esta arquitectura corre sobre Microsoft Azure. Jackpot!


Pero no todo es un camino de rosas para Microsoft. ChatGPT no puede soltarse alegremente e integrarlo por ejemplo a Bing, ya que os podéis imaginar, conociendo nuestra naturaleza humana/troll, en qué oscuros caminos terminaría. Así que el principal problema ahora mismo es afrontar correctamente cómo controlar cualquier tipo de bías que lleve a crear salidas de ChatGPT, o que sean racistas, con tendencias asesinas, etcéra. Y de las consecuencias que esto puede llevar ya tiene experiencia Microsoft como ya le pasó con el caso del chatbot en Twitter que se volvió racista.

Conclusión

Google y en concreto DeepMind, no se va a quedar cruzado de brazos viendo como Microsoft toma posiciones y acapara el negocio de la IA. Ellos tienen el mismo o más poder que Microsoft para replicar este mismo tipo de negocio con su gran potencia Cloud. Así que prepara las palomitas porque se acercan tiempos interesantes en el mundo de la IA y su impacto en el mundo real. Ha llovido mucho desde aquel acuerdo con IBM y la compra de QDOS, pero tiene algo en común con el negocio de diez millones de dólares con OpenAI: visión de futuro y elegir caminos que, aunque no sean los que pensamos sean los más adecuados, con el tiempo se demuestran que fueron los correctos.

Por cierto, si te ha gustado la historia de Microsoft y QDOS, recuerda que mi colega Rafael Troncoso y yo tenemos el libro de "Microhistorias: anécdotas y curiosidades de la historia de la informática (y los hackers)" en 0xWord que cuenta historias como ésta y muchas otras historias de hackers.

Happy Hacking Hackers!!! 

Autor: Fran Ramírez, es investigador de seguridad y miembro del equipo de Ideas Locas en CDO en Telefónica, co-autor del libro "Microhistorias: Anécdotas y Curiosidades de la historia de la informática (y los hackers)", del libro "Docker: SecDevOps", también de "Machine Learning aplicado a la Ciberseguridad” además del blog CyberHades. Puedes contactar con Fran Ramirez en MyPublicInbox.

 Contactar con Fran Ramírez en MyPublicInbox

jueves, enero 26, 2023

Hoy es el cumple de mi blog: 17 años publicando como "Un informático en el lado del mal" y aún con ganas de hacerlo }:)

Si a mí me hubieran dicho que cuando puse mi primer artículo en "El lado del mal", iba a estar tantos años escribiendo en él, no lo hubiera creído. Eso hizo que cuando comencé esta andadura, mis primeros pasos fueran de tanteo, de prueba, viendo qué publicaba o no, de manera bastante aleatoria. Ya he contado muchas veces que antes del blog fue una pequeña lista de correo electrónico, y la temática era, como el nombre que elegí para este espacio, bastante irónica y sarcástica.

Figura 1: Hoy es el cumple de mi blog: 17 años publicando como
"Un informático en el lado del mal" y aún con ganas de hacerlo }:)

Todavía hay algunas personas que no saben que la elección del título de este espacio como "Un informático en el lado del mal" fue un ejercicio de relajación ante mediante el humor de las guerras de religión que desunieron durante un tiempo a la comunidad tecnológica. Simplemente fue una forma de reivindicar la pasión por la tecnología, más allá de cualquier filosofía o ideología. Tecnología como corazón de todo.

Por otro lado, este blog nació como extensión de algo que hice durante muchos años en mi vida. Enseñar lo poco que aprendo. Lo hacía como profesor en cursos de formación, lo hacía como ponente en conferencias, lo hacía a través de "El lado del mal". Y lo empecé a hacer por algo que siempre comentaba con mis compañeros en aquel entonces, que era el hecho de que compartir lo que sabía siempre me había ido mejor que callármelo. Contar a la gente que quería escucharme lo poco sabía tenía un retorno muy positivo en mi vida.

Ayudar a alguien a configurar algo que le estaba dando problemas, o explicarle como algo se podía hacer de otra forma, hacía que me llegara un retorno de conocimiento de otras personas que me enseñaban a mí, que me ayudaban a a encontrar mejores formas de hacer las cosas, y, en la gran mayoría de los casos, gratitud que la personas me han devuelto a lo largo de estos años en forma de muchas cosas que me han hecho mejor. Y unas de ellas, por encima de las demás: cariño y amistad.

Escribir este blog me ha ayudado a ser mejor profesional. A aprender cada día para tener algo que contar. A vivir cosas cada día para compartirlas con vosotros. A reflexionar sobre los acontecimientos y debatirlos con los malvados seguidores de "El lado del mal". A actualizar todos los días el software de mi cabeza con continuous delivery de nuevas funcionalidades. Y eso me ha ayudado a descubrir cosas nuevas, a investigar, a hacer mi carrera académica. Es un reto venir aquí todos los días con algo hecho, aprendido o vivido.

El blog, desde hace mucho tiempo encontró muchos amigos y colaboradores que aportaron y aportan sus artículos, sus aprendizajes, sus vivencias, su ilusión por compartir. Todos los que colaboran han hecho que este espacio tenga más voces que la mía, que me acallen un poco para hacerlo más bonito, más multicolor, más "mejor", bajo mi opinión personal. Más plural en cuanto a conocimientos y áreas de interés, con más vivencias de otras personas que han ayudado a que este espacio se vaya un poco del control de mis dedos.

En cuanto a intereses, muchos lo habéis vivido conmigo. Yo adoro la tecnología. Me enamoré de la programación de niño, de adulto mi pasión fueron las bases de datos primero, y las redes después, por evolución descubrí la seguridad informática y el hacking. Y especialmente no el hacking, sino el espíritu de los hackers que conocí en mi vida. Esa forma de ver las cosas con otros ojos. Con otra mirada. Esa forma de entender un pieza de tecnología con el prisma de sus ojos es como pasar del blanco y negro al color. Como vivir en un What if...? constante. Y me marcó mi forma de disfrutar la tecnología. Innovación++.

FOCA, Metashield, Time-Based Blind SQL Injection using heavy queries, (Blind) LDAP Injection, Connection String Parameter Pollution, los retos de hacking, Evil FOCA y los ataques IPv6, todos los libros de 0xWord que publicamos, DUST RSS, Botnets JavaScript, Latch, WordPress in Paranoid Mode, (y Joomla!), Sappo, MyPublicInbox, y un largo etcétera de juguetes para pasarlo bien con la tecnología. Teniendo el hacking en el centro de 

Por supuesto, la llegada del BigData, del Machine Learning y la oportunidad que me brindó Telefónica de volver a mis queridas Bases de Datos cuando me nombraron Chief Data Officer fue otro cambio, que permeó en el blog. Y después la eclosión de la Inteligencia Artificial, los Cognitive Services, Generative-AI, las DeepFakes, o los modelos de IA basados en datos masivos como ChatGPT. Todo ello ha ido siendo parte fundamental de este blog, que ha seguido evolucionando con los temas de Web3, Metaverso y los que nos venga por delante.

Al final, este es un blog que abrió "un informático", que es lo que suelo decir cuando me preguntan "¿Profesión?". Es lo que estudié, me siento orgulloso de ello, y es lo que soy, además de muchas otras cosas, claro está. También es muy yo en muchos momentos. Muchos momentos de reflexiones muy personales, de textos muy míos, de visiones muy de Chema Alonso y nadie más. Con muchas palabras cosidas a un papel que sólo firmaría yo porque son mías. Pero solo por momentos. 

Hoy, han pasado 17 años completos para el blog. Desde aquel día 0 el 26 de Enero de 2006 son un total de 6.135 entradas (con esta que sale hoy). Daría para varias biografías. Puedes seguir mi vida paso a paso durante los últimos 17 años por aquí. Puedes descubrir mucho de lo que he sido, de lo que soy, y seguramente de lo que seré mientras me quede cuerda, porque hoy es el primer día del futuro de "Un informático en el lado del mal".

Gracias por estar al otro lado. Y si eres de los que te saben la fecha de aniversario. Mis respectos y mucho amor.


¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


miércoles, enero 25, 2023

Entrevista Carlos Azaustre: Microsoft MVP en Developer Technologies

Hacker & Developer. Una vida unidos, una vida separados. Y es que cuando te dedicas a buscar vulnerabilidades en el software, te dedicas a buscar posibles fallos en la construcción de un software. Una condición no controlada. Una situación que no existía en la mente del programador, una característica oculta en la tecnología utilizada por del developer para localizar un fallo.

Figura 1: Entrevista Carlos Azaustre - Microsoft MVP en Developer Technologies

Si embargo, entre hacker & developer hay una relación de amor/odio. Creo que existe una mezcla de admiración y respeto por lo que cada uno es capaz de hacer, aunque sea malo y doloroso para el otro. Da mucho coraje cuando developer bloquea a hacker con una protección. Y supongo que a developer le duele que hacker encuentre la vulnerabilidad. 
Pero, yo fui developer antes que dedicarme a buscar fallos en la tecnología, y por eso siempre amaré a los que tiran líneas de código como forma de vida para hacer que algo resuelva un problema. Hoy he entrevistado a Carlos Azaustre, uno de esos developers. Uno de los que tiran líneas para solucionar problemas. Y que además se dedica a enseñar y a ayudar a otros developers a aprender. 
Ha publicado un par de libros para aprender JavaScript y Angujar.JS, y ayuda a los que quieren aprender a programar desde su canal en Youtube y en Twitch, y por todo su trabajo ha sido reconocido como Microsoft MVP en Developer Technologies. Vamos, un divulgador nato.
Como aprender a programar es algo que, seas hacker o developer, debes saber en alguna u otra medida, le he hecho una entrevista para que nos dé su punto de vista sobre el estado del aprendizaje de la programación hoy en día, sobre cómo ve él la incursión de ChatGPT o CoPilot, y conocer un poco más a uno de los desarrolladores premiados por Microsoft. Espero que os gusten las preguntas.

1) Carlos, ¿a qué edad y con qué lenguaje te pusiste a crear tus primeros programas?

Pues descubrí la informática con unos 12-13 años. No tenía ordenador en casa y mi primer contacto con un PC fue en clases extraescolares en el colegio. Ahí todavía no sabía que se podía programar. En mi familia y círculo más cercano no había nadie que se dedicara a la informática como tal y mucho menos a programar.

Fue en bachillerato, con 16-17 años que tuve una asignatura optativa dónde la profesora nos enseñó a programar en C (TurboC de hecho) y a partir de ahi fue cuando descubrí que quería aprender todo sobre ello. Me compré algún libro de TurboC y descargué tutoriales para ampliar lo que aprendíamos en clase. Mi primer programa, por así decirlo, fue hacer un Trivial en C.

2) ¿No te dio nunca por crackmes o hackmes?

La verdad es que no. Me ha parecido siempre un tema muy interesante pero nunca me ha atraído mucho más que crear algo de cero. Considero que la ciberseguridad es un tema muy importante y esencial en cualquier software o aplicación y me gustaría saber más, pero hay tanto que saber en la vida que no se puede llegar a todo :)

3)¿Crees que con la llegada de NoCode/LowCodey AIs como ChatGPT/Copilot, programar va a ser una profesión de futuro?

Hay mucha gente alarmada con esto. Si entendemos la programación como únicamente picar código, está claro que no. Pero desde hace tiempo, la gran parte de las empresas y productos no son sólo líneas de código. Hay un proceso detrás de creatividad, ingeniería, optimizaciones… que la IA, por lo menos ahora y en un tiempo, no lo va a poder sustituir. A día de hoy y por unos cuantos años, las IA lo que nos van a ayudar es a reducir tiempos y optimizar nuestro día a día. Tareas repetitivas o tediosas la IA las puede hacer por nosotros en segundos o minutos y nosotros podríamos perder 1 día.

Lo que sí creo que es que la profesión de Programador, Desarrollador o Ingeniero de Software va a sufrir transformaciones. Pero esto es la tónica habitual de esta profesión. El trabajo se verá afectado, por supuesto, pero surgirán nuevos empleos más específicos que aún no somos capaces de ver. Lo que está claro es que un trabajo de programar 8h al día no tiene sentido desde hace ya un tiempo y estas nuevas tecnologías nos lo dejan más claro.

4) ¿Cuánto dedicas a aprender a programar y cuánto a saber programar sin cometer fallos de tipo SSRF, SQLi, Race Concitions, Reentrancy Attack, etc...? Por que no siempre son evidentes, ¿no?

Evidentemente. Programar se puede aprender más o menos rápido. Un poco de lógica, conocer que es una variable, bucles, funciones, etc… Lo difícil es hacerlo bien y esto se aprende con el tiempo, con la experiencia, y equivocándose muchas veces. 

Hasta que no rompes algo no te das cuenta de lo que tienes que aprender. En ese momento, es el indicado para empezar a leer y formarse sobre patrones, algoritmos, código limpio, arquitectura, etc… Todo tiene su proceso y este es un camino en el que bajo mi opinión, nunca llegamos a ser “Seniors”, somos “Junior” en un eterno aprendizaje.

5) ¿Cuál es el proyecto del que te sientes más orgulloso de haber hecho?

Sin duda al aplicación web que era producto de una Startup que co-fundé con mi pareja hace ya unos cuantos años. Se llamaba Chefly y nuestra idea es que fuera “el Airbnb de la comida casera”. Como toda Startup, algunas salen bien y otras no tanto. Nuestro caso fue de los segundos pero aprendimos muchas cosas y conocimos a mucha gente.

Desarrollar una aplicación completa, con su Frontend y Backend, usando nuevas tecnologías para la época y con poca experiencia en proyectos grandes y complejos fue toda una aventura. A veces miro hacia a atrás lo que hice y aunque tenía sus fallos me sigo sorprendiendo de que fuera capaz de desarrollar todo aquello.

6) Yo aprendí, BASIC, COBOL, Pascal, C, C++, Java y luego los lenguajes Web (y muchos menores), ¿cuáles son los que hay que aprender para el futuro según Carlos?

Salvo los tres primeros, yo también aprendí C, C++ y Java, sobre todo en la Universidad. Después en el “mundo real”, aunque empecé con Java, terminé decantando por el Frontend de las aplicaciones web y ahí JavaScript es el rey.

A día de hoy y de cara al futuro los más importantes son JavaScript por todo lo que puede abarcar (Frontend, Backend, IoT, Machine Learning, Tooling,...) y Python (Backend, Machine Learning, Data Science,...).


Despues tenemos otras alternativas dependiendo hacia donde nos queramos dirigir. Para sistemas y tooling tenemos a Rust pegando muy fuerte junto a Go. Y si nos orientamos hacia el sector blockchain ahi tenemos Solidity, Solana, etc…

7) ¿Qué es lo peor que has visto en un código publicado en un repo?

“He visto cosas que no creeríais”.

Por suerte no he tenido muchas malas experiencias, pero las que se tienen se graban a fuego en la memoria. Alguna vez he tenido que meter mano a una aplicación web cuyo código era un solo fichero JavaScript con miles de líneas en jQuery donde no había manera de arreglar nada. También me he encontrado con claves y secret token en repositorios públicos… Más o menos lo normal en esta profesión :D

8) ¿Qué no debería hacer alguien que comience a programar hoy en día para no ser un programador mediocre mañana?

No parar de formarse. Ya no solo porque la tecnología avance y surjan nuevos lenguajes o frameworks, sino porque aprender a hacer buen código, estable, buenas arquitecturas que permitan escalar y evolucionar no es algo que se aprenda en un minuto. Hay que leer mucho y sobre todo aplicar lo que se va aprendiendo, es la única manera de mejorar en tu trabajo y no hay un camino rápido. Es cuestión de tiempo y dedicación.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


martes, enero 24, 2023

Hacking de tarjetas NFC: MIFARE Classic 1k (Parte 4 de 4)

Vamos ya con la última parte de este artículo, donde vamos a ver los ataques de DarkSide, de Hardnested, el ataque de Static Nested, y como ejecutar la búsqueda de todas las posibles vulnerabilidades con un autopwn, para probar cuál es la que afecta a cada tarjeta. Además, os dejaré la referencia de la app de MIFARE Classic Tool para Android para que saques toda la información posible de cada tarjeta. Vamos a ello.

Figura 33: Hacking de tarjetas NFC: MIFARE Classic 1k (Parte 4 de 4)
Imagen Dall-e 2 "happy hacker in cyber punk art style"

Supongamos que ninguna clave está por defecto, por lo que lanzamos el ataque DarkSide contra un sector en concreto. Y una vez que consigamos una clave válida, ya podemos lanzar el nested attack conociendo esta clave, tal y como hemos visto previamente en este artículo en la parte anterior.

Figura 34: Ataque Darkside con: hf mf darkside --blk 0

Vamos a suponer ahora que el PRNG está “hardened” y no es vulnerable (en cuyo caso al hacer un hf search aparecería “Prng detection: Hardened”), por lo que lanzamos el ataque Hardnested contra un sector del que conozcamos su clave (bloque 0 clave A) y queremos obtener la clave B del bloque 0, por ejemplo:
  • hf mf hardnested --blk 0 -a -k a0a1a2a3a4a5 --tblk 0 --tb
Figura 35: Ataque Hardnested Attack con la Proxmark y el código de GitHub del RRG

Vamos a ver ahora una tarjeta con el “fixed nonce” que comentábamos antes. Para no extender demasiado este artículo, os aseguro que ninguno de los ataques anteriores funciona (creedme, los he probado), por lo que no podemos obtener las claves de la tarjeta que no estén por defecto. Sin embargo, con la utilidad desarrollada por el RRGStatic Nested” para solventar esto, podemos obtener todas las claves:

Figura 36: Comando hf search con la Proxmark y el código de GitHub del RRG

Hacemos un chk para comprobar si hay claves por defecto:

Figura 37: Buscando claves por defecto

Y lanzamos el ataque StaticNested. Hasta que obtiene todas las claves restantes. 

Figura 38:  Ataque "hf mf staticnested --1k --blk 0 -a -k ffffffffffff"
La herramienta también tiene otros ataques como “autopwn”, que iría lanzando los ataques en función de las vulnerabilidades que tuviera la tarjeta. 

Figura 39: Búsqueda de vulnerabilidades con autopwn

Al final te dice qué técnica ha utilizado para extraer cada clave, y muchas otras utilidades, por lo que podríamos echar unas cuantas horas jugando luego con las vulnerabilidades una a una.

Figura 40: Búsqueda de vulnerabilidades con autopwn

Por último, solo queda comentar que existe la app MIFARE Classic Tool para Android, la cual puede hacer ataques de diccionario de claves, dumps y restores, modificar datos de bloques concretos, etcéteraq. Echadle un ojo porque es muy interesante.


Esto ha sido todo amigos, ¡espero que os haya sido de utilidad!

Saludos,

**********************************************************************************************
**********************************************************************************************

Autor: Sergio Saiz