Un informático en el lado del mal: Un proyecto personal de 13 años [Parte 2: 2012 a 2015]

Durante la segunda parte de este repaso del blog son cuatro de los años más intensos (aquí tienes la primera parte de este repaso) Pero terminaron con el momento en el que necesité parar durante un mes. A finales del año 2015 mi vida había tenido demasiado intensidad y tuve que parar durante algo más de un mes, tiempo que utilicé para hacer mucho deporte y aprender a hacer cosas como montar en monopatín, patinar, esquiar o nadar. Un tiempo que dio origen al siguiente periodo de mi vida.

Figura 1: Un informático en el lado del mal:
Un proyecto personal de 13 años
[Parte 2: 2012 a 2015]

Como son cuatro años muy intensos en los que se incluyen la adquisición y publicación de un par de temporadas de Cálico Electrónico, la creación del programa Talentum y mi entrada a Telefónica, la transformación de Informática 64 en ElevenPaths dentro de Telefónica, los posts que os he elegido intentan recoger esos momentos tan especiales en mi vida, acompañados de algunos trabajos de investigación que me gustan, y algunos posts narrativos. A ver si os gusta la selección.

[2012] Este fue un año de los más productivos en mi vida. Fue el año que publiqué el libro de Hacking de Aplicaciones Web: SQL Injection. Fue el año en el que estudié durante mucho tiempo los ataques en redes IPv6 que llevarían a la Evil FOCA. Fue el año en el que trabajamos con Cálico Electrónico, publicando nuevas temporadas y tiras de cómics. Fue el año de entrar en Telefónica y lanzar el programa Talentum. Fue el año en el que comencé a trabajar con Javi Nieves en la radio los martes, algo que duraría varios años hasta que ya no me dio la vida.

Figura 2: Mi cameo en la serie de Cálico Electrónico

Fue también el año en el que más disfruté haciendo dibujos de No Lusers con un iPad y publiqué un post en el que explicaba cómo los hacía. Además, también fue el año en el que me hicieron Embajador Honorífico de mi Escuela en la UPM y di el "Discurso de la servilleta" que puedes ver a continuación.. 

Figura 3: El discurso de la servilleta

Un año, de lo más divertido en el que durante todo el año publiqué un montón de artículos técnicos pero también un par de posts sobre mi visión de la universidad. Recuerdo el de El algoritmo de Melkman, la Marcha de Jarvis y la Estadística o el que le dediqué a mi compañero Javier Santiso sobre el papel de un ingeniero de software y la importancia de la algorítmica en el post de "Un ejemplo para un amigo: El par de puntos más próximo".  

Figura 4: Owning Bad Guys {and mafia} using JavaScript Botnets @ BlackHat USA

Y por citar algún post curioso de aquel año, el que hice sobre trabajo, educación y demo-cracia generó mucho debate. Seguir ese año del blog es fácil porque recuperé los mejores artículos en dos posts [Enero-Junio] y [Julio-Diciembre]. Todas las charlas que di ese año - que son un buen montón - están en esta lista de Youtube.

[2013] Este año nació ElevenPaths y 0xWord. Hicimos el primer Security Innovation Day donde presentamos Latch. Este año se lanzó Evil FOCA definitivamente. Y probablemente, fue el año más mediático de mi vida en Televisión. Salí en el programa de Documentos TV titulado "Ojo con tus datos". Publiqué el libro de Pentesting con FOCA. Además, el hacking y el ciberespionaje masivo quedó expuesto con las filtraciones de Edward Snowden y los programas FISM, PRISM, etc... de la NSA.

Figura 5: Evil FOCA en la Ekoparty en 2013

En la parte mediática, hice el programa de Salvados con Jordi Évole e hice una demo de Bridging HTTPS(IPv4)-HTTP(IPv6) aprovechando que el HTTP Pinning de Facebook no estaba hardcodeado en el navegador para explicar cómo se podía acceder a los datos de una cuenta en una WiFi pública utilizando Evil FOCA. El ataque esta documentado en otro libro que participé de Ataques en redes de datos IPv4&IPv6 2ª Edición.

Figura 6: Entrevista en Salvados

Ese año también nació el Profesor Alonso en las aventuras de Cels Piñol. Todas las charlas del año 2013 están en esta lista de Youtube, así como todas las entrevistas y programas de TV que en los que participé están en esta otra lista.

Figura 7: Boceto de El Profesor Alonso

[2014] Este año extraje del blog los 31 artículos que más gustaron en esos doce meses. La mayoría son técnicos y explican cómo hacer cosas. Ya sabéis, de la parte más de tutoriales del blog que de otro tipo de textos. Además, ese fue el segundo año en el que el blog de "Un informático en el lado del mal" ganó el Premio Bitácoras en la categoría de mejor blog de Seguridad informática y Hacking (ya lo había ganado en el año 2012" y estuvo entre los tres primeros en el 2013.

Figura 8: Recogiendo Premio Bitácoras en 2014

Como podéis ver en el vídeo de tres minutos, como la RAE había sacado el término Hacker como pirata informático, aproveché para reivindicar el cambio de la definición - que por suerte llegó tiempo después. Por supuesto, ese fue un año de mucho ElevenPaths. Mucho Faast, Mucho Latch, Mucho MetaShield Protector. Y la llegada de Tacyt.

Figura 9: BigData y Privacidad

Todas las charlas de aquel año las tienes en esta lista de reproducción en Youtube, pero me quedo con al que os he dejado arriba de BigData y Privacidad donde hablé un poco de cómo funcionan las técnicas de Device Fingerprinting y protección de datos. Como veis, ese día llevaba otro gorro.  

Figura 10: Demo en el Hormiguero en 2014

También ese año fue el escándalo de The Snappening, y me invitaron a ir al programa de El Hormiguero a explicarlo y a hacer una demo (Aquí todas las entrevistas de ese año). Momento del que todavía me hablan. Solo fui esa vez al programa pero mucha gente me dice aún "Tú eres el del hormiguero". 

[2015] Este fue el año en el que corté para tomar un descanso invernal de más de un mes en navidades. Un año de mucho crecimiento personal. El proyecto de ElevenPaths se afianzó y el mundo empezó a cambiar. Fue un año en el que el debate de la privacidad en los servicios online empezó a eclosionar en la sociedad. Y yo decidí aparcar por el momento el trabajo con "Cálico Electrónico", sacando la temporada final.

Figura 11: El Rey Felipe VI probando SealSign

El mundo de la seguridad de las apps móviles tomo mucho de mi tiempo. Acabé diseñando Masaap, que lo lanzamos como Path 6 en el Security Innovation Day y hablé mucho de seguridad en Android & iPhone. Lo más curioso de ese año fue cuando volví a encontrarme con el Rey Felipe VI en el MWC y en un medio de comunicación me llamaron "Kinki Ciberdelincuente del 15M".

Figura 12: Tacyt en Argentina

La lista completa de charlas que di las tienes en esta lista de reproducción de Youtube, pero os he seleccionado esta en Argentina. Y la lista de entrevistas de ese año en esta otra donde hay muchas. Estuve con Juan Luis Cano, en la radio varias veces y una muy curiosa con Juan y Damian en Cybercamp. Y para terminar, de ese año recomiendo mucho este artículo a los jóvenes: "Consejos malingos para tu etapa formativa y profesional".

Ese año 2015 fue un antes y un después en el blog. A partir de ese momento entramos en la época moderna donde sin darme cuenta, ni tener tiempo de adaptación mi exposición creció más allá de lo que yo esperaba. Pero eso os lo dejo para la última parte.

Saludos Malignos!

Un informático en el lado del mal: Un proyecto personal de 13 años [Parte 1: 2006 a 2011]

Me gusta recordar los aniversarios de los proyectos. El aniversario de cuándo comenzamos Informática 64, el de cuándo comenzamos con ElevenPaths, el de mi primera charla en BlackHat, el de la publicación de un libro, el de comienzo de 0xWord como empresa, o el de LUCA, o la presentación inicial de AURA en el MWC del 2017, el del lanzamiento de Movistar Home en Octubre del año pasado, o el del primer Security Innovation Day con la presentación de Latch.

Figura 1: Un informático en el lado del mal:
Un proyecto personal de 13 años
[Parte 1: 2006 a 2011]

Recordar esas fechas, y tenerlas en mi cabeza, es una prueba de la pasión y el cariño que le pongo a todos los proyectos en los que me embarco. Me acuerdo del primero día de presentación de WordPress in Paranoid Mode o de Sappo o de DirtyTooth porque iban asociados a un Deadline de un evento. Y lo mismo con casi todas las cosas que hago. Busco asociar eventos importantes para mí como Mobile World Congress, RootedCON, BlackHat, DefCON, OpenExpo, Security Innovation Day, la Ekoparty antaño, LUCA Innovation Day o algún evento puntual para presentar un proyecto. Es una forma chula no solo de cumplir mi libreto de Deadlines, Delivery & Difusión sino de recordar siempre la fecha en la que nació algo.

Figura 2: Movistar Home en MWC 2018

Este blog no nació de esa forma. No recuerdo el día por que hubiera nada especial. Simplemente había estado escribiendo un e-mail a una lista de amigos y un día decidí dar el salto y convertirlo en un blog. Un día como hoy, hace exactamente 13 años. No sabía dónde me iba a llevar, y por supuesto era una persona totalmente diferente a la que soy ahora. Pero sí sabía que tener un blog es un proyecto personal a largo plazo. No quería abrir un blog que se cerrase al cabo de unos meses por simple inactividad de los dueños o porque se movieron a otros barrios cuando llegaron cosas más cool como las redes sociales.

Hay un sencillo test psicológico que plantea una bonita disyuntiva entre tener un éxito pequeño a corto, o un gran éxito a largo. El test suele ser del tipo "100.000 € ahora o 1.000.000 dentro de 10 años". Supongo que cada uno elegiría un camino, y el test supone que dará muestra de tu personalidad. Supuestamente, si eliges los 100.000 € ahora eres una persona de aprovechar el momento y no tener paciencia para alcanzar el gran éxito. Mientras que si eliges el 1.000.000 € dentro de diez años es que eres capaz de ser paciente para alcanzar el éxito.

Y sí, puede ser que el test funcione mida la paciencia, pero no nada más. Yo me considero un hombre paciente, pero elegiría sin dudarlo los 100.000 € ahora. No porque desprecie el 1.000.000 € o no sea paciente, sino porque ese dinero lo emplearía en hacer algo ahora mismo algún nuevo proyecto para divertirme trabajando. Y quién sabe, tal vez en 10 años gane más o menos, pero eso es lo divertido de los proyectos. Hacerlos. No se trata de llegar a ningún sitio, sino de divertirte haciéndolo. Y este es el caso de mi proyecto blog.

Abrí "Un informático en el lado del mal" hace ya trece años. Y durante todo este tiempo ha sido mi deadline personal diario. De lunes a domingo. Pero también ha sido muchas cosas. Ha sido mi medio de comunicación. Ha sido mi calma. Ha sido mi redención. Ha sido mi forma de llegar a ti. Ha sido mi memoria personal. Mi cuaderno de notas que sabe más que yo. Ha sido mi amigo, mi refugio y mi forma de salir del escondite. Ha sido todo aquello que es un amigo que te quiere y te dice la verdad. O que te anima y te dice que tú puedes. Que no estás sólo. Ha sido un rincón en Internet que se puso en el centro de la red para mí. Una pestaña siempre abierta en el navegador. Un tapete en el que jugar con los amigos. Un sito al que volver. Del que siempre puedes huir y al que siempre puedes regresar. Tan duro como correr, y tan difícil de abandonar como un amor imposible. 

Ha sido un bonito proyecto personal con mucho pasado, y espero que mucho futuro. 

En él he publicado reflexiones en forma de artículos. Tutoriales míos y de compañeros en forma de enseñanza. Cuentos y relatos que forman parte de mi ocio. Fotografías y convocatorias de eventos, conferencias y charlas a forma de recuerdo. Comentarios sobre noticias de actualidad. Críticas feroces a cosas que estaban pasado. Detalles insignificantes que recordar o investigar. Hay páginas de libros completas escritas día a día. Como una larga marathon. Como un rally por el desierto en un autobús donde yo llevo el volante pero se han subido muchos compañeros y amigos a lo largo de todos estos años.

Y hoy, como homenaje personal a este proyecto personal de trece años, lo que voy a hacer es dejaros por aquí algunos post que me gustan de todos estos años o me traen recuerdos de una parte de mi vida. No son los mejores. No son los peores. No son de un tema concreto. Son solo un número de veces que hice "Post" en el botón del blog de una manera particular, que ha hecho que vuelva a leerlo muchas veces. Y como son muchos, vamos a ir en tres partes.

[2006] Fue el primer año del blog, y aún no me había auto-impuesto muchas normas. Escribía de vez en cuando y sobre cosas muy diversas pero malvadas. Me quedo con las bromas de los Técnicoless: Estructura ectoplasmática. La definición "oficial" no la publicaría hasta llegado 2007, pero es una buena muestra de lo que era este blog en su inicio. Ganas de ser peleón e irreverente.

[2007] En este año comencé a sacar los Retos Hacking que utilicé como parte de mis investigaciones. De todos estos retos y posts me quedo con el artículo de Blind LDAP Injection Attacks. Este fue el primer paper que me llevó a BlackHat. Este texto es muy embrionario, pero fue la primera referencia de Blind LDAD Attacks pública, y tenía por detrás un reto hacking muy chulo de los que hacía por el blog. Recoge una parte de la esencia de este blog: Hacking, investigación, y hacer cosas con gente en retos o conferencias.

[2008] Durante este año es cuando el blog se comenzó a convertir en algo más serio. Ya escribía todos los días y con mucha dedicación. Pero también hacía muchas cosas. Giras, conferencias, vídeos, etc... Me quedo en primer lugar con el post de Time-Based Blind SQI Injection using Heavy Queries. Esta investigación sería la primera que me llevaría a DefCON y marcaría mucho trabajo con SQL Injection que está dentro del libro de Hacking de Aplicaciones Web: SQL Injection que publicamos en 0xWord.

Durante mucho tiempo el SQL Injection sería mi tema favorito - teniendo en cuenta que venía del mundo Oracle y de las Bases de Datos fue una buena entrada en el hacking por aquí -. Ese año también nacieron los "No Lusers" y Josemaricariño cuando estaba viviendo en Londres. Me encantaba la "e" de Internet Explorer en el pecho que tenía vida propia.

Figura 3: Viñeta 3 del No Lusers 2

Pero también con la historia de Entiéndeme tú a mí [Parte II] [Parte III] de la obra de teatro en la que Eloy Arenas puso al protagonista mi nombre. Le tengo un cariño especial. El vídeo de la obra lo tienes aquí debajo.

Figura 4: Chema Alonso y ROM

[2009] Este año el blog ya estaba a plena marcha. Publiqué un primer manual de usuario de la FOCA porque este fue el año de los metadatos y la FOCA. Me llevó a Defcon y BlackHat. No acabé el manual completo nunca, y hubo que esperar a que escribiera el libro de "Pentesting con FOCA". Es verdad, que el proyecto FOCA lo había empezado en el año 2008 y lo dejé en el post de "Criando una FOCA". 

Figura 5: Hablando de FOCA por primera vez en 2008

Pero también fue el año de Connection String Attacks. Es imposible no elegir este artículo de los Connection String Attacks que darían lugar a las técnicas de Connection String Parameter Pollution. De ella hablaría en la Ekoparty del 2009 y en la DefCON al año siguiente. Le tengo mucho cariño porque sacamos un buen número de 0days y de lecciones aprendidas que saqué de esa línea de investigación. En la Eko conocería a Moxie Marlinspike ese año y viviríamos más aventuras por otros lugares del mundo.

Figura 6: Charla de Connection String Attacks en la Ekoparty 2009

[2010] Este año ya estaba yo dando vueltas por todo el mundo. Entre charlas técnicas, conferencias de hacking y congresos académicos era como una pelota botando por el mundo. Tengo cariño a este Blind XPath Injection Attacks. Estaba en pleno trabajo de mi doctorado, y dándole vueltas y vueltas al tema del Blind XPath Injection. Luego sacaríamos el libro de Hacking Web Technologies y lo continuaría. Este post es un pequeño resumen de los cabezazos que me tuve que pegar en el camino de sacar el doctorado. 

También un cariño especial a la segunda edición del Calendario Tórrido en la que protagonicé la portada y conseguí reunir a hackers luciendo palmito por una buena causa. No puedo olvidarme de esto. 

[2011] Este año fue la primera vez que comencé a meter relatos. Están 1997 que es un relato de lo que era Chema Alonso jugando con Rodol por Internet al Quake II en ese año de 1.997 o "Un día cualquiera" que narra un sueño y una realidad en mi vida como ponente dando charlas por el mundo.

También este año es el de Dust: Tu feed RSS es tuyo. Con Annoymous, los ciberataques, y la ciberguerra entrando en las portadas de todo el mundo me metí a perseguir una idea mía que llevaba P2P + PGP. Le tengo mucho cariño a este proyecto que presenté en RootedCON y en DefCON.

Figura 7: No Lusers 116 (viñeta 1) El resto en el post

Y ya el blog se había convertido en un collage de mil cosas. Ese año fue un año donde hice muchos dibujos de No Lusers mezclando mis aventuras con superhéroes. Os dejo éste con Spiderman y el Castigador de tres viñetas. 

Podía estar seleccionando muchas más cosas de cada año, pero para muestra es más que suficiente. Ya os pondré la segunda y la tercera parte de este repaso a trece años de historia de "Un informático en el lado del mal" y si hay algún post que te guste mucho de estos años dime cuál es que tal vez se me pase a mí. Aquí tienes la segunda parte del repaso, con los años 2012 a 2015.

Saludos Malignos!