Webinars de Cloudflare en directo en Agosto: Edge Security, Threat Intelligence, Post-Quantum Cryptography & AI Security

Hoy viernes, quince de Agosto, donde supongo que casi todos estaréis de una forma un otra de vacaciones, os voy a dejar la referencia a seis webinars de tecnologías de Cloudflare que yo me he apuntado en mi agenda personal para aprender sobre cómo sacar el máximo partido de las capacidades de Secure Edge Computing para tener conectividad a través de los nodos del Edge, capacidades de seguridad desde el Edge o aceleración de aplicaciones

Figura 1: Webinars de Cloudflare en directo en Agosto. Edge Security,

Threat Intelligence, Post-Quantum Cryptography& AI Security

Son webinars todos ellos que se impartirán las próximas dos semanas de Agosto, a través de Internet y gratuitos y que hablan de Post-Quamtum Cryptography, de Threat Intelligence, de AI Security, AI Labirynth, Cloudflare Radar, del nuevo servicio de Pay Per Crawl o de Moderm Apps on the Edge. Os los dejo por si os encaja poder asistir, que yo voy a intentar asistir también a algunos de ellos, que ya sabéis que estoy en periodo de absorción y aprendizaje.

20 de Agosto: Building a multi-platform data strategy with Cloudflare R2 [Inglés]

Este webinar explica cómo utilizar Cloudflare R2, el servicio de Storage conectado al Edge para la construcción de aplicaciones con alto rendimiento en todo el mundo. Será por la tarde, a las 18:00 CEST, y el registro es totalmente gratuido.

Figura 2: Building a multi-platform data strategy with Clouflare R2

21 de Agosto: Protege tus Data Centers Frente a Ciberataques Actuales [Español]

El día siguiente, tenemos un webinar impartido por nuestra compañera Sandra Muñoz, Threat Advisor, Solutions Engineering en Cloudflare y que desde México impartirá este seminario para ver cómo proteger las conexiones de los Data Centers a Internet con las tecnologías de seguridad en el Edge.

Figura 3: Protege tus Data Centers frente a ciberataques actuales

Para asistir, lo único que debes hacer es registrarte y tener tu sitio guardado, y así le puedes preguntar a  nuestra compañera Sandra todo lo que necesites sobre las tecnologías de Cloudflare.

27 de Agosto: Future-Proof Your Digital Strategy in the AI Era [Inglés]

Este seminario está centrado en el mundo de la Inteligencia Artificial en los servicios digitales, y las herramientas de control y seguridad. Aquí el equipo hablará de AI Audit, para tener observabilidad de lo que hacen los AI Crawlers en tus assets de Internet, pero también del servicio de AI Labirynth y de AI Firewall, para proteger los MCPs de ataques y tener control para evitar abusos.

Figura 4: Future-Proof Your Digital Strategy in the AI Era

Todo esto, además con un análisis de la situación con Cloudflare Radar y el nuevo servicio de Pay Per Crawl que se ha lanzado hace poco en la compañía. Desde luego, un seminario más que necesario para los que trabajamos en ciberseguridad por todo lo que nos impacta el mundo de la IA.

28 de Agosto: Simplifying and Securing Developer Secrets for Modern Teams [Inglés]

Una sesión de seguridad sobre fortificación de sistemas, en este caso para gestionar a nivel corporativo API Keys, Certificados, Passwords, Tokens de Acceso con Cloudflare Secret Store. Será el mismo día que el anterior seminario.

Figura 5: Simplifying and Securing Developer Secrets for Moderm Teams

28 de Agosto: Securing Finance in the Quantum Age: A Post-Quantum Cryptography Blueprint [Inglés]

Aunque esté seminario está centrado en el vertical de finanzas, el tema es aplicable para todas las industrias. Se centra en hablar de la importancia de utilizar Post-Quantum Cryptography para preparar las apps y servicios digitales para el futuro. 

Figura 6: Securing Finance in the Quantum Age -

 A Post-Quantum Cryptography Blueprint

El seminario será en directo, así que si quieres preguntar cosas concretas sobre el mundo del PQC, este seminario es un sitio perfecto.

28 de Agosto: From Complexity to Simplicity: An Advanced Framework for Enterprise Network Modernization [Inglés]

Y el último webinar del mes de Agosto, sobre cómo utilizar las soluciones de gestión de conectividad usando la infraestructura de Egde Computing que tiene Cloudflare para gestionar aceleración de apps, conectividad por el borde y seguridad en un único punto de control. Este tipo de soluciones es perfecto para empresas deslocalizadas y/o con trabajadores remotos.

Figura 7: From Complexity to Simplicity - An Advanced

Framework for Enterprise Network Modernization

Y esto es todo por ahora, que ya os contaré los de Septiembre más adelante, pero si quieres conocer las tecnologías de Cloudflare para fortificar empresas desde la infraestructura de nodos de cómputo conectados en 125 países y 330 ciudades, estos son perfectos para ir comenzando poco a poco. 

Figura 8: Posiciones abiertas para trabajar en Cloudflare

Aprovecho para recordarte que la empresa está en pleno crecimiento, así que si quieres trabajar con nosotros, ya sabes que tienes las vacantes abiertas en la web: Posiciones abiertas para trabajar en Cloudflare. 

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Advanced Persistent ... Toys! : Cómo crear un Chucky "Alonso" [4 de 4] - Conclusión

Y llegamos la última parte de este artículo dedicado a nuestro querido Chucky_as_a_Service que hemos creado en el equipo de Ideas Locas. En este caso para ver el final de los ejemplos de explotación, y para ver algunas contramedidas que vamos a tener que añadir a todos los productos que hagamos que sean "voice-ready" para ver si podemos evitar ataques similares a este donde nos clonen la voz y la utilicen para suplantarnos cuando hablamos a dispositivos que soportan comandos de voz.

Figura 38: Advanced Persistent ... Toys!. Cómo crear un Chucky "Alonso"

[4 de 4] - Conclusión

Antes de nada, vamos terminar los ejemplos de explotación con un par de ellos más, pero en este caso no exfiltrando información, sino ejecutando acciones en tu cuenta.

Explotación: Ejecución de Acciones Añadir Tareas

En este ejemplo vamos a hacer la modificación de un elemento de la lista de tareas, para comprobar si podemos hacer cambios en la configuración que tenga un dispositivo, algo que ya sabemos que va a ser que sí.

Figura 39: Chucky Alonso modificando la lista de tareas de Alexa

 

Esta es una prueba sencilla que bien podría ser la broma clásica que le hacemos a los amigos que tienen Alexa en su casa, donde le añadimos productos que dudamos puedan ser de su interés.

Figura 40: Añadiendo "juguetes sexuales" a la lista de la compra

Pero una vez comprobado que la voz de Chucky funciona, lo más importante es que se puede hacer todo lo que pueda hacer la persona que tiene que Alexa o Google Home en su casa. 

Figura 41: Chucky Alonso y cómo añadir una reunión en lista de tareas

En este otro ejemplo, hemos añadido una reunión, que puede modificar el comportamiento de una persona en su día a día. Pero esto puede ser mucho más peligroso con el mundo IoT del hogar, como por ejemplo apagar y encender luces, apagar y encender electrodomésticos o... apagar y encender la alarma de casa.

Figura 42: Chucky también puede gestionar tu alarma de seguridad

Esto, podría ser que alguien llegara a la puerta de tu casa y le pidiera a Alexa que apagara la alarma, o que lo hiciera Chucky desde dentro. 

Figura 43: Horizonte 05/10/23 con Iker Jiménez y Carmen Porter 

En la demo que hicimos en directo en el programa de Horizonte (05/10/23) con Iker Jiménez y Carmen Porter lo hicimos con una lámpara, pero el funcionamiento sería similar.

Contramedidas: Machine Learning para detectar voces clonadas

Volviendo a la aproximación del artículo de "Are You talkin' ta me?", donde usamos algoritmos de Machine Learning que analizan los ficheros de audio con una voz (.wav), transformados en un espectograma (imagen) para tener un modelo entrenado, que puede hacer predicción sobre si una voz está clonada o no. Algo que no es perfecto, y que es el juego del gato y el ratón, porque cada día las clonaciones son más perfectas. 

Figura 44: Detección de voz clonada y voz real con ML

Los resultados son muy sensibles al pre-procesado de los ficheros, al ruido en los audios, etcétera, pero en todo caso, da un indicio más sobre el audio de entrada en tus sistema que va a servir para ejecutar un comando emitido por vez en un sistema que ha pasado previamente el filtro de biometría.

Contramedidas: Machine Learning para detectar voces sintéticas

En este caso la idea es distinguir entre si un audio está sonando desde la voz de una persona o si ha sido grabado. Es decir, si por ejemplo un atacante ha generado una voz sintética de alguien en un ordenador y lo está reproduciendo o se está escuchando mientras está realizando una llamada telefónica para engañar a alguien.  

Figura 45: Libro de Machine Learning aplicado a Ciberseguridad de
Carmen Torrano, Fran Ramírez, Paloma Recuero, José Torres y Santiago Hernández.

Para este algoritmo de Machine Learning se necesita un conjunto de datos de entrenamiento  que incluya audios originales y audios que simulen el escenario comentado, como es el dataset FoR (fake-or-real dataset) que incluye en sus datos un dataset diseñado específicamente para esta tarea. 

Figura 46: "Fake or Real" A Dataset for Synthetic Speech Detection

Para simular el escenario comentado, los investigadores reprodujeron audios provenientes del altavoz de un ordenador y los re-grabaron utilizando otro dispositivo con micrófono no profesional, simulando escenario de un atacante. También tienen otro dataset con audios sin ser re-grabados, es decir, audios originales. A partir de estos datos, se utiliza Deep Learning para un problema de clasificación, con el objetivo de distinguir entre audios originales y los re-grabados que simulan escenario de atacante. 

Figura 47: Detección de voces re-gragadas vs originales

No es perfecto y tiene sus limitaciones, y los propios autores comentan en las conclusiones del paper que el dataset que han creado para simular escenarios de atacante no es muy general, ya que solo utilizan un único hablante y un único tipo de dispositivo para la re-grabación, por lo que el modelo entrenado puede que no sea del todo robusto frente a audios provenientes de otras fuentes. Pero evidentemente, es una buena linea de investigación y aproximación a este problema.

Figura 48: El Fary en inglés con su voz clonada

Eso sí, los avances en DeepFakes no paran de avanzar, y como vemos en este vídeo hecho con HeyGen la clonación de una voz tan particular como la de El Fary, para hacerla hablar en inglés traduciendo el contenido de un vídeo se puede hacer en cuestión de unos minutos. Veremos dónde nos lleva el mundo de la Gen-AI aplicada a los Humanos Sintéticos.

¡Saludos Malignos!

***************************************************************************************

- Advanced Persistent ... Toys! [1 de 4] - Antecedentes

- Advanced Persistent ... Toys! [2 de 4] - Making & Working

- Advanced Persistent ... Toys! [3 de 4] - Exploiting

- Advanced Persistent ... Toys! [4 de 4] - Conclusión

***************************************************************************************

Autor: Chema Alonso (Contactar con Chema Alonso)  

Advanced Persistent ... Toys! : Cómo crear un Chucky "Alonso" [3 de 4] - Exploiting

Llegados a esta parte, toca ver cuál es la arquitectura de software que hemos utilizado, y ver a nuestro querido "Chucky Alonso", como lo bautizaron Iker Jiménez y Carmen Porter para su primera aparición televisiva, en algunos ejemplos de captura de voz, clonación, y explotación de acciones en un entorno concreto con Alexa o Google Home.

Figura 26: Advanced Persistent ... Toys! 

Cómo crear un Chucky "Alonso" [3 de 4] - Exploiting

Lo primero, vistos los requisitos iniciales del proyecto, donde tenemos un "Caballo de Troya Físico" en forma de muñeco diabólico que tiene que conectarse a un C&C, grabar voces, y emitir sonidos, necesitábamos un sistema de comunicación basado en mensajes, así que utilizamos MQTT como Broker de mensajes de comunicación entre el C&C y nuestro Chucky.

Figura 27: Arquitectura de Chucky_as_a_Service

En el dispositivo corríamos el software de Chucky_as_a_Service como un framework en Python, que ya sabéis que es un lenguaje perfecto tanto para el pentesting como para el hacking, así que con él hicimos el framework de nuestro Chucky.

Figura 28: Libros de Python para Pentesters y Hacking con Python
de Daniel Echeverri publicados en 0xWord.

Si te conectas a la Raspberry Pi Zero W, puedes monitorizar el funcionamiento del sistema y revisar el log de acciones que se están llevando a cabo en el muñeco, taly  como podéis ver en la siguiente captura.

Figura 29: Framework de Chucky en Ptyhon corriendo en Raspberry Pi Zero W

El backend, donde ejecutamos los algoritmos de Machine Learning de HuggingFace y los servicios de Speech to text con Whisper, se está ejecutando en Plesk. En él ejecutamos los algoritmos de los que hemos hablado previamente:

• Speech to Text
• Gender Recognition
• Age Estimation
• Sentiment Analysis (Voice Tone & Text)
• Diarization
• Speaker Recognition 

Así, toda la carga de ejecución de algoritmos de Machine Learning recae en el backend, y no en nuestra Raspberry Pi, además de dejar las posibilidades de jugar con los datos obtenidos en el servidor controlado por el atacante.

Figura 30: C&C en Plesk donde se ejecutan los modelos ML

Por último, toda el trabajo de clonación de voces se hace con las APIs de ElevenLabs, que permiten clonar y generar cualquier texto con la voz clonada mediante el uso de los servicios SaaS de la compañía, así que todo se ha generado con sus modelos.

Explotación: Grabación, Diarization, Speaker Recognition y Text to Speech

Ahora, ya vista la arquitectura, podemos ver las demos para ver cómo funciona este proyecto tan curioso. En primer lugar, vamos a ver cómo graba las voces, las sube al servidor y ejecuta los algoritmos de Machine Learning de Speaker Diarization, Speaker Recognition y Voice to Text para poder tener en el panel de control en Plesk lo que se está diciendo cerca de nuestro muñeco diabólico.

Figura 31: Chucky Alonso grabando conversaciones, reconociendo

speakers y transcribiendo la conversación.

Con los audios reconocidos se puede hacer la clonación de las voces, que vamos a ver en la siguiente demostración.

Explotación: Clonación de voz y utilización de voz clonada

En esta demostración, Alvaro Núñez-Romero del equipo de Ideas Locas realiza el proceso de clonación de su voz con el API de ElevenLabs en un minuto, y la utilización de la voz clonada para saltarse la protección de Google Home de Speaker ID utilizando la voz del dueño de la casa que se ha clonado.

Figura 32: Chucky Alonso clonando voz, ejecutando comandos

en Google Home y saltando biometría de voz de Speaker ID

En este caso la arquitectura de componentes que son necesarios para realizar este proceso se pueden ver en el siguiente flujo de acciones que describe qué esta pasando en cada momento.

Figura 33: Flujo del proceso de clonación de voces con ElevenLabs

Y a partir de aquí, se pueden lanzar todos los comandos de exfiltración y ejecución de acciones en los SmartSpeakers del hogar con la voz que se desee, que es la que quedará grabada en los logs de Alexa o Google Home.

Explotación: Ejecución de comandos y grabación de respuesta

Para poder sacar toda la información de un dispositivo, lo primero que necesitamos es tener un control de las respuestas que de el SmartSpeaker, ya que no vamos a estar presentes allí, así que Chucky ejecuta el comando, escucha la respuesta, graba lo respondido por el SmartSpeaker y te lo transcribe.

Figura 34: Chucky Alonso ejecutando comando en Alexa, grabando y transcribiendo respuesta.

En este vídeo tienes un ejemplo de cómo funciona con un comando simple como "Hola", realizado a un Alexa.

Figura 35: Flujo del proceso de emitir un comando y grabar la respuesta

Y en el gráfico anterior tienes el flujo de componentes que son necesarios para realizar la ejecución de un comando y la grabación de la respuesta, así como su transcripción con Whisper.

Explotación: Exfiltración de datos con Alexa

Este ejemplo es uno muy sencillo, donde utilizando los comandos analizados en la parte anterior podemos sacar información de datos asociados a la cuenta de Amazon del dueño de un dispostivo Alexa. En este caso, unas preguntas sencillas de listas para ver qué sale.

Figura 36: Chucky Alonso exfiltrando datos de listas de Alexa

Visto este ejemplo, cualquier pieza de información que Alexa comparta de cualquier cuenta de Amazon asociado al dispositivo, se podría extraer.

Explotación: Exfiltración de datos con Google Home

En este otro ejemplo, el objetivo es realizar lo mismo que en el caso anterior, que es probar la exfiltración de datos de una cuenta de Google asociada a Google Home. La cantidad de información que se puede extraer depende las configuraciones de privacidad y seguridad de Google Home.

Figura 37: Chucky Alonso exfiltrando datos de listas de Google Home

El funcionamiento es muy similar a lo visto con Alexa, así que os podéis imaginar que a partir de este punto cualquier dato al que se tenga acceso, se puede exfiltrar, y utilizando la voz que se quiera.

Aún hay más

Por supuesto, no solo la parte de escuchar es peligroso. No solo que te puedan clonar la voz remotamente es un problema. Tampoco que te puedan sacar información de tus cuentas de Amazon o Google es lo peor. Y es que también pueden hacer acciones a través de tus SmartSpeakers, como Alexa o Google Home, como veremos en la última parte donde terminaremos este artículo.

¡Saludos Malignos!

***************************************************************************************

- Advanced Persistent ... Toys! [1 de 4] - Antecedentes

- Advanced Persistent ... Toys! [2 de 4] - Making & Working

- Advanced Persistent ... Toys! [3 de 4] - Exploiting

- Advanced Persistent ... Toys! [4 de 4] - Conclusión

***************************************************************************************

Autor: Chema Alonso (Contactar con Chema Alonso)  

Advanced Persistent ... Toys! : Cómo crear un Chucky "Alonso" [2 de 4] - Making & Working

Tras acabar los antecedentes de este proyecto "Codename:Chucky_as_a_Servive", vamos a continuar con la parte que tiene que ver más con los "makers". Al final, la idea de este Advanced Persistent Toy es la de crear un autentico Caballo de Troya en un espacio físico donde hay SmartSpeakers como Alexa o Google Home, así que necesitábamos un buen "caballo de madera", o en este caso un juguete lo suficientemente grande.

Figura 12: Advanced Persistent ... Toys! - Cómo crear un Chucky "Alonso"

[2 de 4] - Making & Working

Nosotros elegimos a Chucky, el muñeco diabólico porque nos parecía muy apropiado para la presentación, y buscamos uno que tuviera unas buenas dimensiones para poder incluirle una placa de control, un módulo de conectividad móvil, y una tarjeta de sonido para escuchar y hablar.

Figura 13: Libros para Makers en 0xWord que deberías tener:

Arduino para Hackes: PoCs & Hacks Just For Fun,

Hacking con Drones: Love is in the air &

Raspberry Pi para Hackers & Makers: PoCs & Hacks Just for Fun.

Y como era un proyecto de "Makers", de esos que nos gusta tanto, pusimos a nuestro querido Alvaro Núñez-Romero del equipo de Ideas Locas a hacer los honores de elegir el hardware y "operar" a nuestro querido muñeco "Chucky", Al final, los componentes elegidos fueron una Raspberry Pi Zero W, una WM8960 Hi-Fi Sound Card Hat y un módulo de comunicaciones GSM/GPRS/GNSS/BT Hat que teníamos a mano, pero puedes usar una Waveshare 4G/3G/2G/GSM/GPRS/GNSS Hat for Raspberry Pi 4 Jetson Nano Based on SIM7600E-H Supports LTE CAT4 for Downlink Data Transfer para tener 4G.

Figura 14: Hardware para hacer el proyecto

Como el objetivo era hacer una de nuestras PoCs & Hacks Just For Fun con Raspberry Pi, aprovechamos el espacio que traía la electrónica del propio muñeco de Chucky y metimos una batería externa que alimentara el equipamiento.

Figura 15: Esquema de conexión del HW de Chucky_as_a_Service

El esquema de conexión es muy sencillo, y hay que tener en cuenta que hay que conectarle los altavoces y y micrófono para que nuestro muñeco diabólico pueda escuchar la voz de las personas que se va a clonar, además de reproducir los comandos de voz que se envían desde el C&C cuando no hay nadie en casa.

Figura 16: "Operación HW" de Chucky

Si esto se convirtiera en un APT de verdad para una compañía, habría que buscar una solución con acceso a energía permanente, ya sea por medio de que sea un dispositivo siempre conectado, o porque tenga una recarga constante tipo la Roomba. 

Figura 17: Otras CPU para hacer tu proyecto

Para nosotros era suficiente, pero podrías elegir otro muñeco, otro dispositivo y otro hardware para hacer el tuyo propio, con CPUs más pequeñas, y meterlas en otros muñecos menos "sospechosos" que nuestro muñeco diabólico.

Figura 18: Elige el mejor muñeco para meter tu "Chucky"

Una vez terminada la parte del hardware hay que pasar a la parte del software. Para eso, vamos a repasar los objetivos del proyecto, que nos llevarán a una arquitectura concreta para poder hacerlo de la mejor manera posible

Objetivos del Proyecto Chucky_as_a_Service

Vamos a describir las partes fundamentales del proyecto, y luego vemos las piezas de la arquitectura software que hemos construido, y las demos de Chucky_as_a_Service funcionando.

• Escuchar voces de personas que hablan en casa: Para ello no solo las oye, sino que las graba, y luego con algoritmos de Machine Learning las clasifica utilizando algoritmos de comparación de voces, y de diariazación en el caso de que haya más de una voz en una grabación, además de los algoritmos de Machine Learning para el reconocimiento de texto, análisis de sentimiento, edad y género de cada speaker para dar más información.

Figura 19: pyannote.audio/speaker-diarization en Hugging Face

•  C&C en SasS: Cada muñeco Chucky envía sus audios a su panel de control en la nube. Todos los audios se suben a la nube donde se ejecutan los algoritmos de Machine Learning para diarizar los ficheros de audio, para reconocer a los speakers, y para, como no, clonar las voces utilizando un API de ElevenLabs.

Figura 20: C&C de Chucky as a Service

• Ejecución de comandos de voz: Con la voz clonada elegida se ejecutan comandos de voz desde el muñeco, para poder controlar los SmartSpeakers del hogar.

Figura 21: Alexa Voice ID

• Bypass de protección de reconocimiento de voz "Voiceprinting": Tanto el utilizado por Alexa - que se llama Alexa Voice ID -, como el de Google Home - llamado Speaker ID -: Para ello, se utilizan servicios de Text-To-Speech desde el APT y el API de ElevenLabs para conseguir el audio con el texto, el tono y la voz elegida para lanzar el comando.

Figura 22: Google Cloud Speaker ID

• Ejecución de Payloads: Una vez que tienes el el muñeco en el entorno físico objetivo, y ya se ha clonado la voz, solo debe esperarse a que no haya nadie en el hogar, algo que se puede hacer o bien analizando el ruido en el hogar, o las perturbaciones en la señal WiFi, y ejecutar comandos de voz para Alexa o Google Home que permitan tanto extraer información como ejecutar acciones en el dispositivo del hogar. 

Figura 23: Chucky_as_a_Service Payloads

Para ello, hemos probado una lista de ellos con Google Home, Alexa y Siri, y en las configuraciones por defecto estos son los resultados obtenidos. De la parte de Siri, teníamos mucho hecho del libro de "Hacking iOS: iPhone & iPad (2ª Edición)" y de cuando nos dio por la locura de  Klingonizar un iPhone con comandos de voz.

Figura 24: Libro de Hacking iOS:iPhone & iPad (2ª Edición) en 0xWord de
Chema Alonso, Ioseba Palop, Pablo González y Alejandro Ramos entre otros.

 

• Se escuchan las respuestas y se suben al C&C: Por supuesto, después de ejecutar un comando con el SmartSpeaker, se escuchan las repuestas y se suben al panel de Control para que se puedan escuchar y transcribir el texto obtenido.

Figura 25: Exfiltración de la agenda de actividades en el C&C

Y hasta aquí esta segunda parte, en la siguiente veremos la arquitectura software y al muñeco diabólico haciendo de las suyas. 

¡Saludos Malignos!

***************************************************************************************

- Advanced Persistent ... Toys! [1 de 4] - Antecedentes

- Advanced Persistent ... Toys! [2 de 4] - Making & Working

- Advanced Persistent ... Toys! [3 de 4] - Exploiting

- Advanced Persistent ... Toys! [4 de 4] - Conclusión

***************************************************************************************

Autor: Chema Alonso (Contactar con Chema Alonso)  

Advanced Persistent ... Toys! : Cómo crear un Chucky "Alonso" [1 de 4] - Antecedentes

La semana pasada sacamos a la luz el proyecto Codename: Chucky_as_a_Service del equipo de Ideas Locas con el que llevamos trabajando desde la pasada RootedCON, donde hablamos de las DeepFakes de Audio y los esquemas de ciberseguridad que se abrían con la evolución tan exponencial de la calidad de éstas en el año 2022. Por supuesto, en 2023 esto ha sido aún mayor, y por eso comenzamos a trabajar en este muñeco diabólico que controla tu voz clonando tu voz y controlando tus SmartSpeakers cuando tú no estas.

Figura 1: Advanced Persistent ... Toys! : Cómo crear un Chucky "Alonso"

[1 de 4] - Antecedentes

La presentación la hicimos por primera vez en la pasada Navaja Negra de Albacete, donde además de tratarnos de maravilla como siempre, entregaron a todos los asistentes 100 Tempos de MyPublicInbox que tienen en su wallet nada más iniciar sesión, por si querían luego preguntarnos sobre este proyecto en concreto en nuestro buzón de Ideas Locas.

Figura 2: Contactar con el equipo de Ideas Locas en MyPublicInbox

Antes de comenzar a desgranar la parte dedicada al proyecto Codename: Chucky_as_a_Service, que luego Iker Jiménez y Carmen Porter bautizaron en su programa como "Chucky Alonso", en la presentación comencé haciendo un recorrido del camino que hemos seguido hasta llegar aquí. Nada es fruto de un día, sino de un camino de muchos años jugando y haciendo cosas en este mundo. Este camino que nosotros hemos seguido, lo puedes seguir en varios artículos y conferencias que merece la pena que te leas y veas antes. Vamos con ellos.

Antecedentes: Cognitive Services, Autoencoders, FaceSwapping, GANs, DeepFakes, Machine Leraning, Audio, Blade Runners & Humanos Sintéticos

Fue en el año 2018, viendo la evolución de la Inteligencia Artificial, cuando comenzamos a hacer las primeras DeepFakes usando GANs y algoritmos de FaceSwapping, algo que preparamos en una burda prueba de concepto para la charla de Security Innovation Day 2018 donde hablamos de Corporate Fake News APT, una charla que podéis ver aquí.

Figura 3: Charla de Corporate APT with Fake News en SID 2018

El año siguiente construimos la primera GAN que me creaba a mí en tiempo real, utilizando Autoeconders, una demo que preparamos para RootedCON 2019 y el Security Innovation Day 2019, y que usé en la keynote de apertura del evento en mi charla, podéis verlo aquí. 

Figura 4: Chema Alonso en el Security Innovation Day 2019

La idea era tan sencilla como que alguien podía manejar un modelo de IA que me recreaba en tiempo real como podéis ver en este vídeo en el que Enrique Blanco me controla.

Figura 5: Demo de Enrique Blanco generando vídeo de Chema Alonso

Y esto nos llevó a meternos en mucha profundidad con las tecnologías de los DeepFakes, los humanos sintéticos y las técnicas de detección, algo de lo que hablé en el artículo Blade Runners & Virtual Replicants con DeepFakes y que impartí en la OpenExpo Europe en el año 2021 (en plena pandemia).

Figura 6: BladeRunners & Virtual Replicants con DeepFakes

Jugar con los Cognitive Services y la Inteligencia Artificial se convirtió en nuestro día a día, y a principios del año, en la RootedCON 2022, presentamos lo que estábamos haciendo en la charla de Cognitive Services & Ciber Seguridad, donde además metíamos trabajos de Ciberseguridad y Machine Learning como los que recogimos en el libro de 0xWord dedicado a este tema.

Figura 7: Libro de Machine Learning aplicado a Ciberseguridad de
Carmen Torrano, Fran Ramírez, Paloma Recuero, José Torres y Santiago Hernández

En ella explicábamos casos de uso de cómo crear servicios de ciberseguridad basados en Cognitive Services y al mismo tiempo cómo, con los estos mismos Cognitive Services, hackear un Tesla o la vida digital de una persona, bastaba con poner pegatinas a una señal de tráfico y romper el Cognitive Service de Visión Artificial o usar el Cognitive Service de Alexa o Siri para simplemente hablar con ellos y conseguir lo que quieres.

Figura 8: Cognitive Services & Cyber Security: Ideas Locas en RootedCON 2022

En el año 2022, seguimos avanzando el mundo de las DeepFakes, pero sobre todo en la parte de las técnicas de detección. Durante ese año recopilamos todas las investigaciones posibles para detección de DeepFakes y acabamos con una herramienta que presentamos en la Hackron 2023 que es nuestro CodeName: Test Voigh-Kampff, que podéis ver en este vídeo.

Figura 9: Demo del Test de Voight-Kampff con DeepFakes

Y esto nos lleva a la charla de RootedCON 2023 donde nos metimos de lleno con la voz, con la Clonación de voces en Español, el uso de algoritmos de Machine Learning para analizar voces, y el análisis de los audios que hay en Alexa o Google Assistant. Una charla que de este mismo año y ya explicaba cómo era posible saltarse la biometría de voz de en bancos que la usen como 2FA, así como técnicas para detectar voces clonadas o emitidas desde altavoces electrónicos.

Figura 10: DeepFake + Voz Clonada + Lips Sync

Y llegados a este punto comenzamos a trabajar en el proyecto Codename: Chucky_as_a_Service con la premisa de... "y si metemos una Raspberry Pi o un Arduino dentro de un muñeco diabólico que te escuche en casa, te clone la voz, y una vez que no estés en tu casa te controle la vida hablando con tu Alexa o Google Home".... " ¿Tú crees que funcionará? No sé, es una locura, pero puede molar... ¿nos ponemos a ello?...

Figura 11: Chucky "Alonso" en su aparición

televisiva con Iker Jiménez y Carmen Porter

Pero eso os lo empiezo a contar ya en la segunda parte de este artículo, que no va a ser muy largo, pero espero que os anime a jugar con estas tecnologías.

¡Saludos Malignos!

***************************************************************************************

- Advanced Persistent ... Toys! [1 de 4] - Antecedentes

- Advanced Persistent ... Toys! [2 de 4] - Making & Working

- Advanced Persistent ... Toys! [3 de 4] - Exploiting

- Advanced Persistent ... Toys! [4 de 4] - Conclusión

***************************************************************************************

Autor: Chema Alonso (Contactar con Chema Alonso)  

OpenExpo Europe CyberSecurity Day 2022. Ya tienes las charlas en vídeo

El pasado 7 de abril de este año tuvimos el OpenExpo Europe CyberSecurity Day 2022, evento en el que tuvimos más de 1.000 registrados para cuatro sesiones de formación en ciberseguridad, donde además los participantes podrían acceder a ofertas de empleo de las compañías que esponsorizaban el evento. El evento estuvo formado por cuatro sesiones que ya están disponibles en vídeo.

Figura 1: OpenExpo Europe CyberSecurity Day 2022.

Ya tienes las charlas en vídeo

La presentación inicial estuvo a cargo de Pablo González, que es Microsoft MVP en Ciberseguridad y que habló de "SmartContrats: Funcionamiento y Vulnerabilidades", para dar inicio a esta tarde de formación centrándonos en una de las piezas fundamentales de la Web3 y todas las tecnologías que se han creado después.

Figura 2: Pablo González "SmartContrats:

Cómo funcionan y algunas vulnerabilidades"

Después, continuamos con una mesa de debate centrada en qué hacer "Antes, Durante y Después de un ciberataque", y donde participaron Josep Albors de ESET, Marta Barrios, Susana González Ruisánchez, David Sánchez y Jorge Coronado.

Figura 3: Qué hacer antes, durante y después de un ciberataque

Luego, como tercera píldora formativa, tuvimos laa sesión a cargo de Iván González Villaboa y José Francisco Gallardo Bernal, de la empresa Plain Concepts, donde hablaron de "Protección de la información en la nube con Microsoft Information Protection".

Figura 4: Protección de la Información en la nube con Microsoft Information Protection

Y por último, estuve yo en una sesión de Q&A con los asistentes a este evento, en el que intenté responder a todas las preguntas de los asistentes que, además, si lo desean, pudieron apuntarte a las ofertas de empleo de los patrocinadores de esta jornada.

asas

Figura 5: QA con Chema Alonso en CyberSecurity 2022

Todos los asistentes se llevaron un certificado de asistencia a esta formación que acredite que han participado en las cuatro píldoras formativas de ciberseguridad en que se compone este OpenExpo Tech Live. 

Figura 6: Perfiles Públicos de los ponentes del Cybersecurity Day 2022

Además, puedes contactar con todos los ponentes de este evento a través de sus perfiles de MyPublicInbox, que para que sea mucho más fácil localizarnos, estamos todos en la categoría de CyberSecurityDay2022. Buen domingo a todos.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)