Vente a crear tecnología a la fábrica de caramelos @elevenpaths #WeAreHiring @Telefonica

Ha pasado ya casi un mes desde que comencé con mi nuevo reto en Telefónica, tiempo que he utilizado para ir descubriendo poco a poco los detalles del nuevo trabajo y pensar qué es lo que quiero construir. Tras unos días de locura en los que he tenido que estirar las jornadas laborales hasta límites insospechados, hace unos días comencé a dibujar en las pizarras de Eleven Paths un proyecto especial que quiero construir dentro de Telefónica. Lo compartí con mi equipo más cercano, luego con compañeros que pueden enseñarme cosas y pulirme los detalles y por último con algunas personas seleccionadas. Y tras pasar varias validaciones personales, voy a empezar a construirlo.

Figura 1: Vente a crear tecnología a la fábrica de caramelos

Siempre que tengo claro algo que quiero hacer, la emoción se apodera de mí y cada minuto que no lo estoy viendo crecer, es tiempo que estoy depurando en mi cabeza más detalles de cómo debe ser, y aún me emociono más. Es por eso que esta semana he estado haciendo los trámites necesarios para traer más ingenieros, diseñadores, expertos en UX, etc... a mi fábrica de caramelos. Y este post de hoy es un llamamiento para que te vengas a crear tecnología con nosotros.

Te quiero conmigo si...

Para mi nuevo equipo quiero "doers", gente que haga tecnología, que haya hecho tecnología y que quiera hacer tecnología. No necesito gestores, managers de equipo ni organizadores. Las estructuras de trabajo que a mí me gustan son muy planas, con grupos reducidos de personas que hacen piezas del proyecto global en una cadena organizada por capacidades, así que la gestión es pequeña y continuada. 

Me gustaría que te vinieras a trabajar conmigo si eres alguien joven o maduro que ama programar tecnología, que le gusta estar al día de las nuevas tecnologías y hacer cosas. Que sabe programar bien en Java, apps en Android, C++, C#, Swift, Objetive-C, Lenguaje D, R, Python o puro ensamblador, que sabe cómo se diseña la arquitectura de software en entornos de BigData, que sabe cómo desarrollar en entornos de integración continua, en definitiva, que sabe cómo hacer software. Que entiende que hacer un algoritmo que funcione y uno que sea eficiente es distinto, que es capaz de optimizar el código y la arquitectura del software para entornos de alto rendimiento.

Quiero que te vengas conmigo si te gusta experimentar y programar con nuevas tecnologías, con dispositivos de lectura de ondas cerebrales, con programación en entornos de Virtual Reality con Oculus o de realidad mejorada con Hololens. Si te gusta la Inteligencia Artificial, la programación cognitiva, la programación de Bots y el trabajo con NPL (Natural Processing Language). Si te gusta desarrollar con sistemas de Visión Artificial, Voice Recognition y el mundo de los interfaces de usuario avanzados. Que te guste  venir un día a la oficina y enseñarnos cómo has integrado tu timbre con Latch, como has puesto un sistema de 2-keys activation a una hucha o cómo has protegido una máquina de caramelos por identificación biométrica.

Figura 2: El timbre de tu casa o de tu oficina integrado y protegido con Latch

Me encantaría que te vinieras a nuestra fábrica de caramelos si eres una persona que aprende, que sabe trabajar en equipo, si amas la tecnología y te encanta programar en los nuevos gadgets y en los entornos de Cloud Computing y Big Data, si piensas que hablarle a tu Apple Watch y sacar información extraída de los resultados de un algoritmo escrito en R o Python que corre en tu entorno personal de Machine Learning con el que analizas las variaciones de los precios del café en todo el mundo - que recopilas con un entorno de crawling montado en tu cloud personal - para sacar predicciones de cuál va a ser el mejor café el mes que viene y elegir el mejor producto en tu supermercado es una idea divertida, te quiero conmigo. Y si al acabar, los resultados suena la marcha imperial, mejor que mejor.

Figura 3: Latch en Apple, Watch, Mobile Connect y Biometría con FIDO. Todo lo que ves en la demo desarrollado en Telefónica por la "fábrica de caramelos".

Si eres un diseñador 3D o un diseñador gráfico que ha hecho interfaces de usuario de entornos complejos, extraños o con dispositivos raros, pero al mismo tiempo cosas sencillas y elegantes. Me gustaría que te vinieras conmigo. Si has programado algoritmos de Machine Learning, y entiendes las diferencias entre tener muchos datos y tener un entorno de Big Data para sacar conocimiento, también. Si crees que eso que repites tantas veces se puede automatizar y reemplazar por un script en AWK y lo haces, vente.

Si crees que el código es como la caligrafía, si estas acostumbrado a leer código de compañeros, a que te lean y validen tus pares el código. Si te preocupa sobremanera la elegancia, la eficiencia y la seguridad de tu código y crees que llevarse a la cama un libro de patrones de diseño server-side de software es una lectura enriquecedora o si este verano estás pensando en hacer ese proyecto de desarrollo de tecnología que no has podido hacer todavía porque no has tenido tiempo, me gustaría que estuvieras conmigo.

Te podemos ofrecer...

Un entorno de trabajo en la fábrica de caramelos. Donde se trabaja mucho, con plazos marcados a fuego, donde vas a estar con más locos como tú, donde tu jefe va a ser un tipo raro que de vez en cuando lleva un gorro, y donde va a primar la tecnología. Un espacio de realizar proyectos de tecnología, con más gente a la que le gusta la tecnología. Una empresa grande como Telefónica en la que el tamaño y la escala te permitirá hacer cosas distintas.

Te ofrezco trabajar mucho, una vez cada seis meses pasar 24 horas haciendo un hackathon solo con los doers de Telefónica & Eleven Paths en el Equinox, un lugar en el que podrás desarrollar cosas nuevas, hacer nuevos propuestos y nuevos experimentos. Venirte a un lugar del que ya han salido cosas como Latch, como Faast, como Tacyt, pero también cosas como la máquina de caramelos controlada por firma biométrica o un experimento para poner un WordPress en Paranoid Mode.

Figura 4: Momentos del Equinox Spring 2016

Un lugar donde se programa Mobile Connect, SandasGRC, pero también donde se crea SmartSteps o SmartDigits, donde cada día hay nuevas iniciativas y puedes estar en varios proyectos a lo largo de tu semana. Donde te vas a encontrar con gente que hace el cubo de Rubik en unos segundos y que usar las herramientas de testing automático para ligar en Tinder tiene su gracia, y otros que piensan que para moverse de un edificio a otro de Telefónica es mejor ir en patinete y ahorrar tiempo para no llegar tarde a la próxima reunión.

Figura 5: Javier Espinosa, developer de Eleven Paths, haciendo cubos de Rubik como si no hubiera un mañana

Además, te vamos a querer, te vamos a mimar, te vamos a aceptar cómo eres. Te vamos a pedir que trabajes pero vamos a trabajar también porque tu trabajo sea lo mejor posible. Vamos a intentar que cuando acaben los esfuerzos no sea en vano. Que te sientas a gusto y que puedas hacerlo desde donde quieras. Podrás hacer teletrabajo o tranochetrabajo. También tenemos sitios para trabajar en Madrid, Málaga, Valencia, Barcelona, Londres, Buenos Aires o Valladolid.

Figura 6: Oficinas de Eleven Paths en Madrid

Eso sí, tendrás que pasar nuestras pruebas de acceso. No importa si eres de una empresa externa, si es tu primer trabajo, o si estás en el paro. No importa tampoco si estás ya en Telefónica pero fuera de la unidad de CDO, también puedes venirte con nosotros si te gusta.

Figura 7: Buscamos hackers

Por ahora no te puedo contar más detalles del proyecto, pero si tienes algunas de las cualidades que he dicho, si tienes espíritu hacker, probablemente queramos tenerte con nosotros en alguno de los más de 25 proyectos que llevamos en CDO, así que... envíanos tu currículo. Para hacer esto, envíanos un mensaje de correo a talent@11paths.com y los evaluaré. Muy importante, el asunto debe ser: QUIERO TRABAJAR EN LA FÁBRICA DE CARAMELOS.

Saludos Malignos!

RansomCloud O365: Paga por tus mensajes de e-mail @elevenpaths #Ransomware #Office365 #sappo

Para la pasada RootedCON 2016, entre Ioseba Palop, Pablo González y yo preparamos una charla sobre Sappo: Spear Apps to Steal your OAuth-Tokens, en la que mostrábamos cómo es posible, con un solo clic que autorice a una app maliciosa el acceso a tu Identity Provider, acceder a todos tus mensajes de Office 365, archivos de OneDrive o mensajes de Gmail. Aquella charla aún no ha sido publicada, pero escribimos el artículo que podéis leer en el blog. Sin embargo, estábamos trabajando en una idea que iba un paso más allá, lo que recibió el nombre de RansomCloud.

Figura 1: RansomCloud O365. Paga por tus mensajes de e-mails {y ficheros de OneDrive}

Para los que no pudisteis venir a la charla de presentación de Sappo, la idea se resume en hacer un ataque dirigido vía e-mail para robar un OAuth Token. Para ello se crea una aplicación maliciosa en al plataforma Office365 de Microsoft o en la plataforma de Google, y con un poco de ingeniería social se consigue que el usuario conceda los permisos a esa app para acceder a partes de la plataforma.

Figura 2: Robo de OAuth Token en cuenta de Office 365 con Sappo

En el artículo de Sappo tenéis todo el proceso detallado, pero en estos dos vídeo tenéis como funciona el proceso con una cuenta de Outlook Online en Office 365 y con una cuenta de Outlook.com. A la izquierda la máquina del atacante, a la derecha la máquina de la víctima.

Figura 3: Robo de OAuth Token en cuenta de Outlook.com con Sappo

Con este OAuth Token, como se ha visto en los vídeos, un atacante podría estar accediendo al contenido de los mensajes y a la información. Para que los datos no queden comprometidos, se puede utilizar una solución de cifrado de nube pública, como Vaultive, que solo deja ver el contenido descifrado si se pasa a través del gateway de seguridad.  En este vídeo tenéis como sería la experiencia del atacante.

Figura 4: Acceso a cuenta de Office 365 protegida con Sappo. El contenido no es visible

Pero, esto puede ser peor, y convertirse en un Ransomware en toda regla para los servicios en la Cloud. La idea del RansomCloud es secuestrar los contenidos que una persona tiene en sus servicios en la nube por medio del robo de un OAuth Token, ya que con los permisos adecuados es fácil acceder al contenido, cifrarlo, eliminar el contenido descifrado y dejar solo el contenido cifrado. Esto es lo que hicimos con RansomCloud, tal y como se puede ver en este vídeo.

Figura 5: RansomCloud O365. Secuestro de contenido del buzón de Office 365

Para explicar el proceso completo, hemos escrito unos papers que puedes ver en inglés y en español con absolutamente todos los pasos que podrían hacer que la nueva generación de Ransomware empiece a afectarte en tus servicios en la nube, en lugar de el ransomware de tu equipo local o el ransomware de tus sistemas en hospitales.

Figura 6: RamsonCloud O365: Paga por tus mensajes de correo de Office 365

En el paper [RansomCloud O365 English] [RansomCloud O365 Español] que tenéis adjunto podéis leer con detalle toda la información y, como os he puesto ya, también lo tenéis en inglés. Si tienes servicios en la Cloud, asegúrate de tener copias de seguridad, sistemas de análisis de logs en tiempo real que puedan ayudarte a detectar uno de estos ataques y estáte listo para evitar que te secuestren tu cuenta de correo en la nube.

Saludos Malignos!