Once Telefónico, Always Telefónico: Tras 4.750 días comienzo mi año 14 en la Gran Telefónica

Mirando hacia atrás en el tiempo tengo que guiñar mucho los ojitos míos que ya no funcionan como antaño para ver aquel ya lejano 1 de Febrero de 2012 cuando me dieron mi primera tarjeta de Telefónica. Una que me permitía entrar en el edificio de Gran Vía para poder subir a las instalaciones de Wayra comenzar a trabajar allí. Ha pasado mucho tiempo, pero sobre todo ha pasado mucha vida.

Figura 1: Once Telefónico, Always Telefónico.

 Tras 47750 comienzo mi año 14

Hoy comienzo el año 14 como Telefónico. Trabajando, como hago todos los días de mi vida, y con la sensación de haber disfrutado de hacerlo todos y cada uno de estos 4750 días - que son los que llevo contando con los cuatro años bisiestos vividos, los trece años anteriores y el día de hoy - de una manera intensa, especial y única.  

No todos los días han sido una fiesta de alegría, ni todos los días han sido un no dormir la noche antes, pero sí que ha habido muchos de todo. Y lo que sí que os puedo decir que nunca ha sido un día indiferente para mí. Cada día he tenido un reto muy difícil por delante, que Telefónica no se conforma con menos, un cambio de contexto, que la compañía está muy viva y no para de moverse en un mundo muy grande, y una nueva oportunidad de crear el futuro, que a Telefónica le late fuerte el corazón y no tiene miedo de ser pionera.

La vida siendo Telefónico es de todo menos ir a la oficina, echar las horas y volver. No en la Telefónica del siglo XXI que yo he vivido. Es ir a una compañía con alma que te enamora y te demanda lo imposible porque no se conforma con menos. Donde la tecnología es el corazón de lo que hacemos, y donde no se mira a lo que se ha conseguido, sino a lo que hay que conseguir. Ya pasó lo que conseguiste, tienes en el debe nuevas cosas que conseguir. Nuevas cosas que hacer. Innovar. Crear. Evolucionar. Nada de cuidar un jardín. Hay que hacer nuevos jardines.

Tener el privilegio de ser primero el Chief Data Officer y luego el Chief Digital Officer de una compañía como Telefónica desde el año 2016, y haber estado construyendo las plataformas que hoy dan soporte a los servicios y productos digitales de la compañía, ha sido un regalo espectacular en mi vida. Llevar los equipos de Kernel (codename:4th platform), de SmartWiFi, de Novum (Mi Movistar, Meu Vivo, My O2, Mi O2, Mein Blau, Mein O2, etc....), HaaC (Codename:Home as a Computer), Living Apps, plataforma de TV (OTT, IPTV, Movistar+, Vivo Play, Movistar Play, etc...), Aura (Codename:YoT), la plataforma de pagos, los productos de innovación como Movistar Tokens, Tu Wallet, Tu Latch, Movistar Home Connect, Tu Metashield, Tu VerifAI, Movistar Experiencia Inmersiva, Hellium, los proyectos de research, y sus soluciones de Quantum, las patentes de innovación, el equipo de Discovery, Wayra y las inversiones en startups desde las que ver el futuro un poco más cerca, iniciativas como Utiq o Aduna a nivel europeo, y el proyecto más ambicioso que he vivido nunca para cambiar la industria a nivel mundial, Open Gateway, que además surgió de una locura mía personal un día de hace tres años, es un premio grabado a fuego en mí.

View this post on Instagram

Yo y mi YOT }:)

A post shared by Chema Alonso (@chemaalonso) on Sep 20, 2017 at 3:01pm PDT

No solo tengo la suerte de llevar esas cosas tan chulas con gente tan especial, sino que además disfruto de meter las manos en la arcilla y moldear la base o partes de ellos. Dibujar la 4th Plataforma en 2016 en un papel, y verla hecha en 2019, dibujar en la pizarra cómo debía ser la plataforma móvil y verla crecer para soportar los más de 40 Millones de usuarios activos que tiene hoy, conectar puntos entre las plataformas, diseñar con el equipo un agente único en el router de SmartWiFi para crear HaaC, pensar en la interacción más allá de ver contenido con las Living Apps, hacer patentes con los equipos de innovación, discovery o research, y lo más importante, verlo funcionando todo con millones y millones de personas en todo el mundo, os prometo que es el sueño de cualquier ingeniero. Hacer tecnología que se use todos los días por millones de personas en su vida, es haber conseguido un sueño.

Pero lo mejor han sido las personas. La oportunidad de crear tecnología en una empresa tan grande, con tanto impacto en la sociedad, crea un tipo de personas con una cultura de servicio diferente. La gran Telefónica o la gran T, tiene en su gente su gran activo hoy en día. Y claro que tenemos conflictos. Muchos, si no no estaríamos retándonos a nosotros. Y más cuando lo que estamos haciendo es nuevo, no hay mucho con lo que compararse. Nadie tenía una 4th Plataform cuando Telefónica se atrevió a comenzar a hablar de ella, hoy todos nos preguntan "How did you built it?" o cuando Telefónica de España se atreve a competir con los grandes de la televisión, y hace una televisión única. O cuando se crea una red de SmartWiFi at scale con 11 millones de dispositivos conectados a un HaaC en tiempo real. O cuando el antiguo equipo de Tuenti hace Novum para soportar los más de 40 millones de usuarios activos en las apps móviles conectados a diferentes sistemas en diferentes países a través de Kernel, consumiendo billones de APIs. Todos los equipos que están ahí trabajando, en los países, tienen esa pasión en la mirada, y en las reuniones se respira el reto por delante siempre.

Y cuando vamos con los equipos de red y sistemas, la historia es aún más apasionante. Despliegues de servicios 5G, despliegues de fibra, operaciones de redes interconectadas con cables submarinos, con troncales, con pairing de empresas, con preocupaciones que tienen que ver con el milisegundo. Discusiones de densificación de planes urbanísticos, de datos para correr los algoritmos de ML que nos den los planes de despliegue más eficiente, de cómo están funcionando los algoritmos de IA para detectar los problemas de calidad, las averías o los servicios que no están bien dimensionados. Horas de trabajo pra que la calidad de la conexión suba en ancho de banda, baje en latencias, se reduzca en tasa de errores, aumente en tasa de aciertos. Problemas de ingeniería en los que la arquitectura de sistemas importa. En los que entender los detalles de la tecnología es crucial para tomar las decisiones que van a decidir el gasto de muchos recursos. 

Así que cada día de esos 4750 días durante todo este tiempo ha sido y es un viaje apasionando. Ha sido MI viaje. Cuando pienso en aquel mes de Enero de 2012 cuando acepté comenzar el 1 de Febrero siguiente me digo a mi mismo: "¿Y si llego a decir que no a Telefónica y me pierdo todo esto?". 

Por todo esto, hace ya muchos años que soy Telefónico. De esos que lo tienen grabado en la piel. A fuego. De los que se desvela por los problemas de la Telefónica. De los que no escatima horas que echar para mejorar algo de la parte que me toca barrer, o de lo que me pidan que barra, y cuidar de la casa. Es parte de mí. Es parte de todos los Telefónicos. Incluso de los que ya no están, que siguen, como vimos en la crisis de la Dana, ayudando a los compañeros como si aún estuvieran fichando en los tornos. Porque nosotros sabemos que "Once Telefónico, Always Telefónico". Así es esta compañía. Es difícil de explicar, pero es así.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Privacy Alert???: Apple patenta cómo reconocer lo que dices por medio de los movimientos que generas en los acelerómetros y giroscopios

Recientemente ha salido a la luz pública la patente de Apple con número US2023/0245657 A1 en la que registra como invención "Keyworking detection using motion sensors", o lo que es o mismo, detectar palabras dichas por una persona en función de los movimientos que genera esa persona a la hora de decir esas palabras en los sensores de movimiento, como son el acelerómetro y el giroscopio de tus terminales iPhone, que hoy puede ser una mejora en la usabilidad, pero abre la posibilidad de que las apps te puedan espiar mucho más en el futuro, y desarrollar nuestra técnicas de hacking iOS (iPhone&iPad).

Figura 1: Privacy Alert???: Apple patenta cómo reconocer lo que dices

por medio de los movimientos que generas en los acelerómetros y giroscopios

El funcionamiento de esta patente es tan sencillo, tan elegante, y tan bonito, como mejorar el rendimiento a la hora de reconocer términos dichos por una persona a una asistente digital por los efectos laterales que generar en los sensores de movimiento. Es decir, por cómo habitualmente esa persona dice y mueve el terminal cuando habla con un asistente digital.

Figura 2: Patente de Apple con número US2023/0245657 A1

Supongamos que un usuario utiliza Siri para pedirle hacer determinadas cosas, y para ello usa, pongamos varios casos de uso distintos: "Hey Siri, Set an alarm at 1 p.m", "Hey Siri, Play music", etc... De cada uno de esos casos de uso, el terminal iPhone graba, no solo la señal de audio, sino las señales que genera en movimientos en los acelerómetros y giroscopios en el terminal. 

Figura 3: Datos de acelerómetro y giroscopio capturados cuando dice "Hey Siri"

Con esas señales en los sensores de movimiento, se pueden encontrar patrones de similitudes que, usando algoritmos de Machine Learning, sean capaces de hacer dos cosas. La primera es reconocer mejor las Keywords "Hey Siri", "Play Music", "Set an alarm", usando los datos de todos los sensores (micrófono, acelerómetro y giroscopio) que solo los datos del micrófono.

Figura 4: Explicación del proceso de Machine Learning para reconocer keywords

Y segundo, y más llamativo, si los datos de entrenamiento que se han conseguido son suficientemente grandes, se ha hecho una curación de datos fina, y se ha ajustado bien el entrenamiento, podría llegar a reconocerse esa Keyword sin que hubiera señal de micrófono, ya fuera porque se ha roto el micrófono, no hay acceso a él por seguridad o porque la persona no está hablando.

Figura 5: Libro de Machine Learning aplicado a Ciberseguridad de
Carmen Torrano, Fran Ramírez, Paloma Recuero, José Torres y Santiago Hernández

En cualquiera de los casos, si este algoritmo de Machine Learning funciona bien, para las apps que activan el micrófono para reconocer keywords y hacer publicidad segmentada usando las palabras que se detectan en conversaciones, la protección de apagar el micrófono, o no dale acceso al micrófono a una app, podría llegar a no tener ningún valor, y que se pudieran detectar keywords solo por los efectos que genera esa persona en los sensores de movimiento del terminal iPhone cuando dice determinadas palabras.

Figura 6: Reconocer entradas de voz con datos de sensores de movimiento

Nosotros trabajamos para hacer Rubika, el sistema que identifica a las personas por cómo resuelven un cubo de Rubik, con algoritmos de Machine Learning aplicados a los datos capturados del giroscopio y acelerómetro, y la verdad es que, como podéis ver en la conferencia, se llega a identificar bien a una persona. 

Figura 7: Presentación de Rubika en OpenExpo Europe 2019

Si hablamos de un dispositivo que está escuchando todo lo que decimos durante horas al día, que está en nuestra mano mucho tiempo, el volumen de datos que puede ir clasificando, curando, y utilizando para entrenar y re-enetrenar un algoritmo de Machine Learning para reconocer keywords, frases, horas, números, etcétera, dichos por cada una de las personas, es enorme.

Figura 8: Dada una señal con datos de movimientos reconocer keyword

Esto, que hoy en día puede parecer un poco de ciencia ficción, es el mismo caso que cuando salieron los sistemas de visión artificial utilizando algoritmos de Machine Learning sobre las perturbaciones que generan los objetos pasando por delante de señales WiFi, o la técnica PowerSpy que permite geo-posicionar un dispositivo en una ubicación utilizando algoritmos de Machine Learning sobre los patrones de descarga de las baterías de los terminales móviles, influenciadas por la distancia a la que se encuentra un dispositivo a una antena de telecomunicaciones. 

Figura 9: Libro de Hacking iOS:iPhone & iPad (2ª Edicón) en 0xWord de
Chema Alonso, Ioseba Palop, Pablo González y Alejandro Ramos entre otros.

Y es que, usar técnicas de Machine Learning para conseguir objetivos de hacking, no es algo nuevo, y en los ejemplos que os he puesto con identificación en Rúbika, visión artificial con señales WiFi, o GPS basado en baterías, estamos utilizando "Side-Channels" para extraer datos de un sistema, que es algo que en el mundo de la ciberseguridad es parte fundamental de nuestro día a día. Así que, veremos dónde nos llevan estas técnicas.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

iPapyrus: Patente de Apple para hacer iDevices enrollables

He de reconocer que la patente da juego para hacer muchos chistes, porque el tener un iPhone o un iPad con la pantalla enrollable e ir enrollando y desenrollando la pantalla como si fuera un papiro tiene su gracia en una primera imagen, pero tal vez nos acostumbremos a esto antes de lo que pensemos, y tengamos todos un turulo en el bolsillo con nuestro iPapyrus... o lo que sea.

Figura 1: iPapyrus: Patente de Apple para hacer iDevices enrollables

Al final, lo cierto es que los equipos de innovación y patentes de Apple tienen que ir abriendo caminos y explorando todos los posibles futuros protegiendo las invenciones con patentes que, a veces, pueden tener un sentido de protección más que de intención de productización, pero por si acaso Apple ha patentado ya su pantalla enrollable.

Figura 2: Patente de Apple para hacer dispositivos con pantalla enrollable

Como en el lenguaje legal de las patentes se utiliza, se habla siempre de dispositivos que pueden tener una pantalla de pixels enrolllable, que permita almacenar la pantalla en un forma de rollo a un lado del dispositivo.... o a los dos.

Figura 3: La patente describe cómo se enrolla la pantalla

La patente fue presentada en Octubre del año 2022, y ha sido concedida ahora el día 13 de Julio de este año, y solo es una posibilidad de desarrollar pantallas de este tipo - enrollables - que puedan estar en cualquier dispositivo electrónico, como un electrodoméstico, un vehículo, una ventana, o una pizarra de un aula. 

Figura 4: Cualquier tipo de dispositivo con pantalla enrollable

Podría ser una pantalla extendida, o una tableta táctil como dispositivo que se parea al dispositivo principal para poder dibujar o escribir con un lápiz óptico, como los dibujantes han hecho con las tabletas digitalizadoras desde hace años. O simplemente un e-reader de eBooks como nuevo servicio para competir con los lectores más populares, pero con un toque "hipster".

Figura 5: Doble Rollo, el iPapyrus total

Es solo una posibilidad, pero Samsung patentó su pantalla "foldable", y al final hemos visto que los dispositivos con pantalla que se dobla han entrado en nuestra vida. En este caso se trata de un "foldable enrollable", patentado por Apple.

Figura 6: Libro de Hacking iOS:iPhone & iPad (2ª Edición) en 0xWord de
Chema Alonso, Ioseba Palop, Pablo González y Alejandro Ramos entre otros

Todo lo que especules de aquí en adelante es solo por jugar, pues como siempre, en la innovación, muchas ideas se quedan solo en eso, en ideas, pero por si acaso ese fuera el camino a tomar en el futuro, Apple lo ha patentado.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Capacicard: Tecnología física de identificación y autorización de @ElevenPaths

Durante el pasado Security Innovation Day 2018 de ElevenPaths tuvo lugar la presentación en sociedad de una tecnología de identificación y autorización con la que hemos estado trabajando durante el último año y que hemos patentado para permitir autenticar y/o autorizar cualquier operación en un sistema informático.

Figura 1: Capacicard: Tecnología física de identificación y autorización de ElevenPaths

La idea, que se ha bautizado como CapaciCard, es aprovecharse de las capacidades capacitivas de los dispositivos móviles que permiten capturar muchos puntos de contacto. Esto les permite por ejemplo hacer el famoso gesto de ampliar una imagen en un dispositivo móvil utilizando dos dedos.

Figura 2: Tarjeta Capacicard genarando patrón de autenticación en dispositivo

Con esta idea se nos ocurrió utilizar un hilo capacitivo para crear un grafo sobre una tarjeta que pudiera imprimir un patrón único para cada usuario, de esta forma podríamos autenticar a un usuario en un determinado instante en cualquier sistema informático utilizando un side-channel basado en el terminal móvil.

Figura 3: Pruebas e iteraciones en la construcción de CapaciCard

Hubo que iterar muchas veces, el concepto y la tecnología, pero en el vídeo que tenéis a en la Figura 3 se puede ver la demostración de cómo funciona por dentro la tecnología de Capacicard y cómo es posible fabricar estos sistemas con grafos únicos.

Figura 4: Explicación de CapaciCard

Una vez desarrollada la tecnología, procedimos a construir tarjetas especiales que oculten el grafo a la vista de cualquier posible observador y, al no tener ninguna emisión electromagnética, la única forma de capturar el patrón es robando la tarjeta al usuario.

Figura 5: Tarjetas que ocultan el grafo capacitivo dentro de CapaciCard

Esto permite tener un factor de autenticación basado en un desafío resuelto por el patrón del grafo. Es decir, un sistema perfecto para autenticar o firmar o una operación con un patrón codificado dentro de una tarjeta con capacidades de grafo capacitivo.

Figura 6: El sistema valida el grafo capacitivo dentro de CapaciCard

Lógicamente, dependiendo del desafío que proponga cada una de las webs, el usuario puede utilizar la misma tarjeta capacitiva como un patrón para estar asociada a múltiples servicios, y podría ser utilizada, por ejemplo, en sistemas de tornos de entrada física para evitar el acceso con tarjetas con emisiones electromagnéticas que se pudieran clonar remotamente.


Figura 7: CapaciCard de ElevenPaths
Por supuesto, se puede utilizar de forma conjunta, es decir, una tarjeta CapaciCard de autorización con tecnología RFID o NFC, lo que haría que los sistemas de acceso a edificios que utilizan estas tecnologías sean mucho más difíciles de romper.

Figura 8: Web de CapaciCard (y registro de patente)

Si quieres probar esta tecnología, hemos abierto una web para que podáis contactar con nosotros y probarlo. Este proyecto ha sido una de las invenciones en las que ha estado trabajando el laboratorio de innovación de ElevenPaths y marca lo que ha sido el ADN de esta compañía desde el principio.

Saludos Malignos!

Wild Wild Wifi "Dancing with wolves": 5 WEP/WPA/WPA2-TOTP-Biometry

La última parte de esta serie dedicada a Wild Wild WiFi tiene que ver con el último de los trabajos que hicimos en este área de estudio. Se trata de dar una vuelta de tuerca a la idea del protocolo WEP-TOTP, WPA-TOTP y WPA2-TOTP de la que os hablé en la parte 4 de esta serie. Se trata de no utilizar una Pre-Shared Key en el proceso, y sustituirla por un derivado biométrico del usuario de la red.

Figura 34: Wild Wild Wifi "Dancing with wolves": 5 WEP/WPA/WPA2-TOTP-Biometry

Este método lo depositamos en una patente en Julio de 2017, debido a que la idea tenía suficientes avances tecnológicos como para merecer la invención, y el funcionamiento es bastante sencillo una vez vistas las partes anteriores.

Figura 35: Patente registrada en Julio de 2017

El objetivo es generar una clave de una red WEP, WPA o WPA que sigan utilizando el protocolo PSK estandarizado, pero hacer que la clave PSK que tienen los protocolos estándares se cambie cada cierto tiempo, utilizando una clave generada por un algoritmo TOTP. Este algoritmo generará la clave final utilizando como parte del proceso un derivado de la biometría de la persona que quiere usar la red WiFi.

Figura 36: Parte biométrica del proceso de enrollment.

Para ello, durante la fase de aprovisionamiento inicial de la red WiFi se hará un proceso de enrollment de la biometría del usuario - solo una vez - en el Access Point. El proceso generará un hash de la biometría que será utilizado posteriormente.

Con el valor biométrico como dato de entrada se generará un valor aleatorio que será parte de la semilla del algoritmo TOTP que generará las claves que la red WEP, WPA o WPA2 TOTP utilizará para cifrar los datos del usuario por la red. Este valor será pasado al cliente usando algún método, como mostrarlo por pantalla con un QRCode o de cualquier otra forma.

Figura 37: Parte aleatoria del proceso de aprovisionamiento

En cualquier intento de conexión el cliente pedirá conexión, y el servidor (Access Point) le hará un "Challenge" que deberá cumplir. Para ello, el cliente pedirá las credenciales biométricas al usuario para hacer el derivado de la misma. Después extraerá el valor aleatorio que el Access Point le entregó como parte final del proceso de enrollment, y con la suma de ambos tendrá la semilla del algoritmo TOTP para generar la clave de cifrado temporal.

Figura 38: Proceso de establecimiento de conexión a la red WiFi

Con este valor, cifrará un mensaje "Hello" que podrá ser descifrado solo por el Access Point que tiene el valor biométrico del usuario (que obtuvo durante el proceso de enrollment) y el valor aleatorio que se generó, lo que le permitirá tener el mismo algoritmo TOTP de generación de claves en ambos puntos de la comunicación.

Conclusiones

Al final, el trabajo que hemos visto en esta serie no es más que una reflexión continua sobre cómo se pueden mejorar las medidas de seguridad que tienen los protocolos conocidos y cómo podrían funcionar de manera diferente.

A lo largo de las partes hemos visto que se podrían mejorar las opciones de seguridad que tienen los clientes WiFi de dispositivos móviles o sistemas operativos para detectar ataques en la red, para acotar los ataques de Rogue AP utilizando SSID Pinning. Cómo se pueden reducir las ventanas de exposición de las claves PSK en protocolos WEP, WPA o WPA2-PSK utilizando algoritmos TOTP, y cómo se puede hacer este proceso más robusto haciendo uso de biometría.

Figura 39: Wild Wild Wifi

Para poder seguir el trabajo completo, os dejo las diapositivas subidas a SlideShare, y la lista completa de todos los artículos publicados en esta serie, con las explicaciones correspondientes.

1.- Mummy 

2.- SSDI Pinning 

3.- PsicoWiFI 

4.- WEP/WPA/WPA2-TOTP

5.- WEP/WPA/WPA2-TOTP-Biometry

Saludos Malignos!

****************************************************************************
- Wild, Wild, WiFi: 1.- Mummy
- Wild, Wild, WiFi: 2.- SSID Pinning
- Wild, Wild, WiFi: 3.- PsicoWifi
- Wild, Wild, WiFi: 4.- WEP/WPA*-TOTP
- Wild, Wild, WiFi: 5.- WEP/WPA/WPA2-TOTP-Biometry
****************************************************************************

Path 2 (Latch) y Path 4 reciben las patentes en USA

Una de las características de ElevenPaths es la innovación. Está en nuestro ADN desde el día que comenzamos a hacer tecnología aquel pequeño grupo de apenas veinte personas que junté para disfrutar con la tecnología. La dinámica de trabajo con la que empezamos a movernos se dividió entre los productos que venían de Informática64 (MetaShield Protector & FOCA - esta última la evolucionaríamos a Faast -) y la creación de nuevas líneas de innovación.

Figura 1: Path 2 (Latch) y Path 4 reciben las patentes en USA

Durante el primer año y medio abrimos cinco líneas de investigación, a las que llamamos Path 1, Path 2, Path 3 y Path 4. En aquel momento buscábamos que todo lo que pudiera salir de ellas acabara en patentes que ayudarán a la creación de nuevos productos dentro de Telefónica.

Figura 2: Patent Wall of Fame 2013 en Telefónica con compañeros de ElevenPaths

El proceso de las patentes es algo engorroso y que generalmente se hace de forma defensiva, sobre todo si planeas que tus productos lleguen a mercados tan complicados como el de Estados Unidos, pero con paciencia y trabajo depositamos las patentes Path 2 y Path 4, ya que en la fase de investigación tuvimos que abandonar Path 1 y Path 3.

¿Qué pasó con los primeros Paths?

- Path 1 lo abandonamos porque vimos que no tenía recorrido comercial y que lo que debíamos hacer era movernos rápidamente a nuevas ideas. Descubrimos que había empresas que hacían cosas similares a lo que pretendíamos hacer con muy poco éxito - y algunas de ellas murieron al poco -, así que con pena, nuestro primer proyecto se fue al cajón. 

- Path 2 se convirtió en Latch, una de los servicios estrella de ElevenPaths que seguimos viendo crecer día a día y que cada vez tiene más usuarios, plugins, integraciones y relevancia. Poner pestillos para controlar las tecnologías es parte de la historia de ElevenPaths. Depositamos las patentes correspondientes para proteger la tecnología. 

- Path 3 también hubo que abandonarlo. Descubrimos que había patentes que protegían para otras empresas lo que nosotros queríamos hacer y no tenía sentido que nos embarcáramos en este proyecto ya que íbamos a enfrentarnos a posibles problemas de competencia. Además, si ya hay alguien que lo está haciendo, no era necesario que lo hiciéramos en ElevenPaths. Nuestra idea era focalizarnos en "Tecnologías que nadie está haciendo, o que nosotros pudiéramos hacer de forma distinta o mejor". 

- Path 4 fue una de esas tecnologías que nosotros podíamos hacer de forma distinta, y aportar una solución novedosa para proteger los sistemas. Sin embargo, cuando llegamos a la fase de producto vimos que no era el momento de lanzarlo, así que lo dejamos solo en una patente para pensarnos si desarrollar la tecnología completa en un futuro.

A finales de aquel primer año habíamos depositado patentes de Path2 y Path4 en ElevenPaths y estaban en fase A1, es decir, depositadas y en proceso de revisión en Europa y Estados Unidos. Este último mercado el más difícil y agresivo de todos.

Figura 3: Patente de Path 4

Así que comenzamos el proceso que nos ha llevado un largo periodo de tiempo de defensa de la innovación, pero a día de hoy  Path 4 tiene su patente concedida y Path 2 también - aunque aún no se ha actualizado en todas las webs -.

Figura 4: Us20140380431 Patent: COMPUTER IMPLEMENTED METHOD TO PREVENT ATTACKS AGAINST AUTHORIZATION SYSTEMS AND COMPUTER PROGRAMS PRODUCTS THEREOF

Para todos los que estuvimos involucrados en los inicios de ElevenPaths ver como de las ideas iniciales que planteamos sobre la mesa se han ido cumpliendo los plazos, y siguiendo la senda que nos marcamos desde el principio es algo que da mucha satisfacción. Aún mantenemos ese espíritu y seguimos implicados en innovar y patentar nuestras tecnologías todos los años. Gracias a todos los que creísteis en ElevenPaths al inicio. 

Saludos Malignos!

El Google Hacking acabó con la ilusión de la magia #magia

Para hoy os traigo una artículo de esos que probablemente os tengan entretenidos hoy domingo más de lo que pensabas al inicio. Se trata de una historia a la que he llegado gracias a una historia a la que me refirió Enrique Rando, mi compañero de libros de SQL Injection y Hacking Web Technologies. La aventura se explica en muy pocas líneas, pero merece la pena jugar con ello, pues se trata de descubrir cómo funcionan los trucos de magia haciendo Google Hacking.

Figura 1: El Google Hacking acabó con la ilusión de la magia

Ya había hablado de ello el blog de patentes y marcas de Madrimasd en el año 2014, y cuenta cómo los magos, a lo largo de la historia han protegido sus trucos con patentes que evitaran que otros magos los interpretaran sin pagar los correspondientes royalties a los inventores o para proteger su exclusividad por un tiempo. Si no has visto la película de "El Truco Final" (The Prestige) merece la pena que la veas para que entiendas la importancia que esto puede llegar a tener para ellos. 

Figura 2: Trailer sobre "El truco final" (The Prestige)

De hecho, fue noticia cuando se conoció que Jorge Blass, uno de los magos españoles que más fronteras han traspasado, acabó vendiendo su truco del amigo de Facebook al gran David Copperfield.

Figura 3: El truco de Jorge Blass con Twitter

Estas patentes están en las oficinas de registradas, y acaban publicadas en Internet con nombres que describen la invención, por lo que si buscas de la manera adecuada puedes llegar a descubrir, por ejemplo, cómo David Copperfiled hacía su truco de levitación.

Figura 4: David Copperfield Levitando

Alambres de 1/4 milímetro de grosor para sostener con un arnés el cuerpo del mago mientras hace su show de luces, música, escenografía, etcétera. Aquí tienes la patente publicada del dispositivo.

Figura 5: Sumario de la patente del aparato de levitación

Lo curioso del asunto es que puedes encontrar patentes de magos desde el siglo XIX, con aparatos descritos con todo tipo de ilusiones, desde el cofre para cortar personas, a efectos visuales de todo tipo. Algunos cofres son para cortar por la mitad horizontalmente, otros para cortar por la mitad verticalmente, etcétera.

Figura 6: un aparato para dar la ilusión de cortar a las personas

Algunos incluso del Gran Houdini, "El gran escapista", como este truco del traje de buzo que describe cómo se desata las botas de su fijación y como salir del traje en unos segundos.

Figura 7: Traje de buceo de Houdini

Hay, como cuenta Enrique Rando, hasta un código especial que puedes utilizar para hacer tu Hacking con Buscadores. Se trata del código A63J 21/00, cuyo nombre es "Aparatos de magia; Accesorios para prestidigitadores", por lo que afinando tus búsquedas en los repositorios de búsqueda de patentes puedes encontrar casi cualquier cosa.

Figura 8: 120.000 patentes de aparatos de magia indexados en Google Patents

Como deberes para este domingo, os dejo este truco de magia que hizo David Copperfield y que luego muchos han replicado para ver si sois capaces de encontrar la patente que protege este truco.

Figura 9: Truco del hombre cortado

Lo que estoy pensando yo es si los trucos de hacking deberíamos empezar a patentarlos, porque para los que no conocen las técnicas detrás de ellos, a veces el efecto es mucho mayor que un truco de magia }:).

Saludos Malignos!

Lucha de Gigantes: Patentes, patentes, patentes

Decía una de las mejores canciones del malogrado Antonio Vega algo como "Lucha de gigantes, convierte el agua en gas natural" seguramente pensando en todo menos en la competición por la supervivencia de las multinacionales. Sin embargo, ese fragmento de la poesía es lo que se me vino a la mente cuando empecé a pensar hace en la escritura de esta entrada. 

Y es que no hay que desdeñar que la conversión de agua en gas natural sería un proceso de innovación digno de patentar o invertir por parte de alguna de las grandes multinacionales del momento en cuanto a tecnología: Apple, Microsoft o Google. Si bien es cierto, IBM, AT&T, Oracle y Verizon también habría que tenerlas más que en cuenta en la batalla de los gigantes tecnológicos, aunque parece que el éxito de las tres primeras se basa en un modelo mucho más asentado en la gran empresa y Verizon queda un poco a la zaga.

Figura 1: Apple la más grande

Competir con Apple, Microsoft o Google, a día de hoy es un dura batalla, pues su botín de dinero lo emplean en el perpetuar la compañía por medio de la innovación constante y masiva en nuevas tecnologías, que es de lo que os quería hablar hoy. Ver todo lo que hacen a mí me da vértigo.

Supongo que todos estaréis atentos a las gafas de Google, a la ropa inteligente de Apple - no, a esta linea de pijazo de Apple no, a la otra - o de la nueva Surface con Windows 8 que anunció Microsoft. Pero es no es más que la punta del iceberg en la cantidad ingente de proyectos que desarrollan estas compañías dentro, y fuera de sus puertas.

En el caso de Apple, yo suelo seguir un blog que se dedica a publicar las nuevas patentes adquiridas por la compañía, como la de poner el teléfono iPhone en modo defensivo, autenticarse por el ritmo cardiaco en el sistema, la de la antena 3G en los teclados, los algoritmos criptográficos, la recuperación de passwords basada en el cargador de corriente, la de la detección remota y restauración de equipos con jailbreak, la última de los clones para evitar el electronic profiling, o la de la censura remota de grabación de vídeo y audio. Este blog se llama Patently Apple, y el flujo de patentes concedidas en todos los países es ingente.

Figura 2: Patently Apple

En el caso de Microsoft, la cosa no se queda atrás, y aunque Kinect es la gran campeona en los últimos tiempos, sigue trabajando en otros proyectos como HomeOS para gestionar sistemas domóticos, el sistema operativo BarrelFish para equipos heterogéneos, Ripley para detectar ataques a sistemas, Kodu Game Research Lab, Singularity o el archi-famoso World Wide Telescope. El sitio del que tanto os he hablado es Microsoft Research, y en él se listan, actualmente 722 proyectos de innovación tecnológica.

Figura 3: Microsoft Research

Por supuesto, de Google hay que hablar de los famosos - y ya cerrados - Google Labs, pero proyectos tan chulos como Google Earth, Google Mars, Google Maps, Schoolar, Wave, Buzz, Google Street View, etcétera, han ido saliendo de las entrañas de los ingenieros para generar nuevos proyectos día a día.

Esta inversión contínua y masiva es su forma de luchar por la supervivencia, y aquellas que no lo hagan acabarán como esas multinacionales que quiebran de manera sorprendente para todos... Eso sí, con cada nueva patente se avecinan nuevas demandas, como el caso de las patentes de teléfonos móviles, donde hasta el CEO de Amazon entró en el juego con la patente del airbag para teléfonos.

Saludos Malignos!

Spectra cambiando el kernel de Linux

Curiosa la noticia que espera que salir publicada para todo el mundo el día 21 de Julio en la que se dará a conocer que Microsoft es la quinta empresa que más ha contribuido en los cambios del kernel 3.0.0. Y es que Spectra, al igual que RedHat o Intel, participan en adaptar el kernel, evidentemente teniendo especial cuidado de lo que más les afecta a su línea de negocio.

K. Y. Srinivasan es el principal desarrollador de Microsoft tocando el kernel, y tiene contabilizados 343 de los 361 cambios apuntados a Spectra y que suman 11.564 líneas cambiadas. En el caso de Micro... Spectra, los cambios tienen que ver principalmente con el driver de virtualización de Hyper-V que lleva más de 2 años en el kernel.

No, no os asustéis, a pesar de que es la quinta empresa en cambios realizados, como dicen en H-Online, solo es un 1.3 % de las líneas cambiadas, ya que otras empresas han hecho cambios que han supuesto mucho mayor trabajo en cantidad de líneas de código.

Ahora, los más Microsoft-haters, deberán realizar un análisis completo del código para detectar las posibles puertas traseras introducidas, los fallos de estabilidad dejados a drede y todas las funciones malignas que Spectra haya podido dejar allí dentro. Algunos creen que es posible que con los nuevos cambios, si pulsas F1 sale Clippy - al que ya le buscaban recolocación laboral -, así que habrá que testear mucho antes de introducirlo en los nuevos entornos de producción.

A otros usuarios, por el contrario, les parece bonito haber conseguido que una empresa como Microsoft esté invirtiendo en el kernel de Linux, como ellos siempre han solicitado. Así, el espíritu del Software Libre del kernel de Linux se ve apoyado por empresas que de verdad están apoyando a Linux, no como otras que hicieron mucho lirili y poco larala.

Yo no sé que pensar, me siento más perdido que Messi jugando con Argentina, ya que mi malignidad personal no sé si me permitiría este tipo de concesiones contra el enemigo, o es que tal vez la unión en amor de todos me abotarga los sentidos como una película de final de final feliz empalagoso de Hollywood.

Pero que sabré yo de negocios, que soy solo un técnico al que le gusta el cachondeo, y que se sorprende de que Microsoft gane dinero con Linux, de que gane más dinero con Android que con Windows Phone 7 o del lio pornográfico de patentes y demandas que se traen las empresas con los teléfonos móviles.

Saludos Malignos!