Un informático en el lado del mal

1. WriteUp del Reto Hacking Web3 "Snippet Delegated" & Nuevo Reto "Send to me" en Level_Up!

   Nos encontramos a finales de noviembre y, como cada mes, traemos la solución a uno de los retos de Level_UP!, nuestra plataforma de aprendizaje basada en retos de Web3. Hoy le toca el turno al reto “Snippet Delegated”, un reto de dificultad 4 sobre 5 y que sumará 200 puntos a nuestro marcador global. ¡Vamos a por ello!
   
   

   

   Figura 1: WriteUp del Reto Hacking Web3 "Snippet Delegated"

   & Nuevo Reto "Send to me" en Level_Up!

   
   En esta ocasión partimos de dos contratos diferentes: un primer contrato que tiene una serie de funciones, y un segundo contrato que importa estas funciones para su uso. 

   
   

   Reto: Snippet Delegated

   
   

   Tal y como indica el nombre del reto, se va a trabajar con una función llamada “delegatecall” que va a permitir que el contrato del reto pueda ejecutar el código del contrato de funciones con el almacenamiento del contrato del reto, el msg.sender y el msg.value.
   

   
   

   Figura 2: Level_Up! en GitHub

   
   

   Para conseguir el flag de este contrato, si observamos la función getFlag(), nos damos cuenta de que necesitamos ser el owner y, además, hay un valor llamado power que debe ser igual a 9. Debemos encontrar, en primer lugar, como hacernos owner del contrato y, a continuación, como llegar a obtener 9 en el valor de power.
   
   

   

   Figura 3: Smart Contract del reto Snippet Delegated

   
   Como se ha comentado con anterioridad, se va a trabajar con la función delegatecall(). Si nos fijamos, el contrato hace uso de está función en la función llamada execution_function().
   
   

   

   Figura 4: Función execution_function en el contrato Snippet Delegated

   
   Se puede revisar el contrato functions y ver que opciones tenemos disponibles. Rápidamente podemos encontrar varias funciones que van a jugar con los valores de power y stamina y recordamos que una condición para obtener el flag es que power tenga el valor de 9.
   
   

   

   Figura 5: Funciones para interactuar con los valores power y stamina

   
   Además, también encontramos una función llamada setOwner() que establece el propietario del contrato con el valor msg.sender. Con esto confirmamos que debemos interactuar con este contrato para conseguir los requisitos para conseguir la flag.
   
   Comenzamos por llamar a la función setOwner(). Para ello debemos averiguar el selector de la función para pasarlo como el parámetro _data de la función execution_function(), que a su vez se pasará como parámetro de la función delegatecall().

   
   

   

   Figura 6: Selector encoder con la herramienta CrazyToolBox

   
   Para ello, hacemos uso de nuestra herramienta Open Source CrazyToolBox. En el apartado “Function selector encode”, indicamos el nombre de la función setOwner() y nos devuelve el selector 0x40caae06. Llamamos a execution_function:
   
   

   

   Figura 7: Ejecución de la función getOwner() a través de delegatecall

   
   Tras esto, podemos verificar que hemos conseguido ser el propietario del contrato llamando a contract.owner(). También podemos llamar a la función getFlag() y nos encontramos con que pasamos el primer requisito (ser el owner) pero no el segundo. Todavía nos queda conseguir poder para obtener el valor de la flag.
   
   

   

   Figura 8: Valores de power y stamina

   
   Tenemos que llegar al valor 9 en power. La función addPower() nos sumará 5 al valor de poder. Además, contamos con las funciones addStamina()y delStamina(), que sumarán o restarán 1 al valor de stamina. Por último, también tenemos la función addStaminaToPower() que suma el valor de la stamina al valor que tiene poder. 

   
   

   En el caso del ejemplo, stamina ha comenzado en el valor 6. Para llegar al valor 9 en power, una posible opción sería:
   

   • addPower() -> Power pasa de valer 0 a valer 5
   • delStamina() -> Stamina pasa de valer 6 a valer 5
   • delStamina() -> Stamina pasa de valer 5 a valer 4
   • addStaminaToPower() -> Power pasa de valer 5 a valer 9 (le suma el valor 4 de stamina)

   Para hacer las llamadas a través de delegatecall hay que volver a calcular el selector de las funciones:
   

   • addPower() -> 0x51f2e64a
   • addStamina() -> 0x1659544c
   • delStamina() -> 0x9499443a
   • addStaminaToPower() -> 0xcf5e9734

   Por último, debemos traernos el valor de power haciendo una llamada a getPower(), con el selector 0x49a4e50d.
   
   

   

   Figura 9: ¡Flag conseguida!

   
   

   Ahora sí, podemos hacer la llamada al contrato para conseguir la flag y pasar a validarla en el contrato base y la función validateFlag() ya conocida de otros retos. 

   
   

   

   Figura 10: Superar el reto “Snippet Delegated” sumará 200 puntos a tu marcador

   
   

   Ya podemos visitar el apartado de player para ver el reto completado y los 200 puntos obtenidos.
   
   Nuevo reto: Send to me
   
   Como cada mes, la publicación de un nuevo WriteUp! viene acompañado de un nuevo reto. En esta ocasión, parece un contrato sencillo a simple vista. Únicamente hay que encontrar la manera de mandar fondos a un contrato que no está preparado para la recepción de fondo. ¿Encontrarás la manera de hacerte con la flag?
   
   

   

   Figura 11: Nuevo reto “Send to me"

   
   

   Como siempre, esperamos que sigas disfrutando y aprendiendo con la plataforma Level_UP! y nos vemos el próximo mes con un nuevo reto, que pronto tendréis novedades para jugar en una testnet. 

   
   

   Figura 12: Libro dedicado a "Bitcoin: La tecnología Blockchain y su investigación" de Yaiza Rubio y Félix Brezo

   
   

   Seguiremos resolviendo retos y creando nuevos retos para el aprendizaje en seguridad en Web3 y recuerda que si quieres aprender de estas tecnologías, tienes Bit2Me Academy, que es una plataforma online para aprender de Web3, BitCoin, Tokenomics o Ethereum con cursos gratuitos además del libro dedicado a "Bitcoin: La tecnología Blockchain y su investigación" de Yaiza Rubio y Félix Brezo que seguro que te ayudan a ponerte las pilas.

   
   Más artículos de Web3, Blockchain & SmartContracts

   • Blockchain & SmartContracts: Una serie para aprender
   • BlockChain & SmartContrats: Primer SmartContract con Solidity
   • Blockchain & SmartContracts: Cómo probar y desplegar un SmartContract en Ethereum
   • WWW, Web 1.0, Web 2.0, Web 3.0, Web3 y ¿Web 4.0?
   • Metaverso, multiverso y las tierras digitales en que vivimos en forma de avatar
   • Los Fan Tokens vs. las Criptomonedas y los NFTs: Level 101
   • Tokenomics: Las criptomonedas y las "Proof-of-work": Level 101
   • Los NFTs y el registro mundial de los dueños de activos digitales en el Metaverso
   • BitCoin: Blockchain y su investigación
   • BlockChain & SmartContrats: El Internet descentralizado y el almacenamiento off-chain en IPFS
   • Reentrancy Attack: Cómo te roban criptomonedas por un bug en tu SmartContract
   • BlockChain & SmartContract: Bugs que pueden dejar tu SmartContrat "fuera de juego"
   • Blockchain & SmartContracts: Patrones y buenas prácticas de seguridad
   • Blockchain & SmartContracts: Herramientas de Auditoría de Seguridad de SmartContracts
   • BlockChain & SmartContracts: Ataque de phishing a tx.origin y robo de criptomonedas
   • BlockChain & SmartContracts: Ataques de Ice Phishing
   • Blockchain & SmartContracts: Herramientas de análisis dinámico
   • ZIION: Una distribución Linux para auditar SmartContracts (& BlockChain)
   • Dominios Web3 en Etherenum Name Service y la trazabilizad de las transacciones Blockchain
   • BlockChain & SmartContracts: Actualizar SmartContracts como los grandes protocolos
   • Jumping level up (from) web2 (to) web3: Vulnerabilities & SCAMs - SmartContracts
   • 20 millones (Euros) en Tokens de Optimism perdidos por no saber cómo funcionan los Wallets Multifirma
   • BlockChain & SmartContracts: Cómo crear una DApp de la Web3 con Python (y Flask)
   • Pentesting SmartContracts: From Web2.0 to Web3
   • Tokenomics 101: Una explicación con gráficos
   • Read-Only Reentrancy Attack: $220k robados y otros +$100M en riesgo
   • Como utilizar ChatGPT para encontrar bugs en SmartContracts
   • BlockChain & SmartContracts: Nuevas áreas profesionales relacionadas con la Web3
   • Las voces de Satoshi: Un canal para estar al día en Web3, Blockchain, Criptos & IA
   • BlockChain & SmartContracts: Nuevas áreas profesionales relacionadas con la Web3
   • Bit2Me Academy: Una plataforma online para aprender de Web3, BitCoin, Tokenomics o Ethereum con cursos gratuitos
   • Level_Up!: Una plataforma para aprender a hacer pentesting en Web3 (SmartContracts & BlockChain ) a través de retos hacking
   • Level_Up!: Web3 Security WarGames para los amantes del Challenge Based Learning
   • Level_up!: WriteUp del Reto Questions para comenzar el pentesting en la Web3
   • Level_Up! Deny_to_me Challenge activado en la plataforma Level_up! de retos hacking Web3
   • Level_Up!: WriteUp del Ownership Challenge para hacer pentesting en Web3
   • Nuevo reto Hacking Web3 de Level_UP! -> Forensic Ouch! 
   • Level_Up!: WriteUp del reto "Safeguarding" para hacer pentesting en Web3
   • Reto Web3 en Level_Up! "Replay_me": La importancia de una correcta validación de firmas
   • Level_Up! Configuración paso a paso de la plataforma de pentesting en Web3
   • Level_Up! Consigue tus NFTs mientras cuando supera retos Web3
   • Telefónica validará nodos de la cadena BlockChain de Celo
   • Latch Web3: Un pestillo de seguridad para SmartContract
   • Level_Up!: El WriteUp del reto "Origin" y un nuevo reto "Guess my number"
   • CrazyToolBox: Una herramienta multifunción de utilidades Web3
   • Level_Up!: El WriteUp del reto "ReLottery" y un nuevo reto de agosto llamado “Pay Me!”
   • WriteUp: Reto Overworld y nuevo reto DEX Knowledge disponible en Level_Up!
   • WriteUp del Reto Hacking Web3 Blockchain Tour & Nuevo Reto Gas Knowledge en Level_Up!
   • WriteUp del Reto Hacking Web3 "Snippet Delegated" & Nuevo Reto "Send to me" en Level_Up!

   Happy Hacking!

   
   

   Autor: Álvaro Núñez-Romero, investigador en el equipo de Ideas Locas. Autor del libro "Arduino para Hackers (& Makers): PoCs and Hacks Just for Fun" y del VBOOK de "Arduino para Hackers (& Makers): PoCs and Hacks Just for Fun"

   
   

   

   Contactar con Álvaro Núñez-Romero

   
   

   
   Sigue Un informático en el lado del mal RSS 0xWord
   - Contacta con Chema Alonso en MyPublicInbox.com

2. Más tutorías, clases y mentorías online en ciberseguridad, hardening, hacking y forense con HackBySecurity

   Si hace unos días os dejaba publicado que a través de las reuniones virtuales de MyPublicInbox puedes tener sesiones de formación, orientación profesional o aprendizaje conmigo, con Alvaro Núñez-Romero o Fran Ramírez de mi equipo de Ideas Locas, ahora os traigo las clases online, tutorías o mentorías que puedes tener con los miembros del equipo de HackBySecurity, también a través de las reuniones virtuales de MyPublicInbox.

   
   

   

   Figura 1: Más tutorías, clases y mentorías online en ciberseguridad

    hardening, hacking y forense con HackBySecurity

   
   

   Como puedes ver, puedes tener sesiones de Ciberseguridad, de Hacking con Buscadores, de Creación de Exploits o de Seguridad Ofensiva con Rafael García, el gran Gwalrock, donde estarás en un 1 contra 1 en una sesión con él. 

   
   

   

   Figura 2: Clases / Tuorías / Mentorías con Rafael García "GwalRock"

   
   

   También, con Ángel Álvarez Néñez, que es Most Valuable Professional de Microsoft desde el año 2016, y que ha escrito el libro de Windows Server: Seguridad, Administración y Configuración, puedes tener sesiones de tutorías y mentoriás sobre Fortificación y Hardening de Windows Server.

   
   

   

   Figura 3: Tutorías de Hardening Windows con Ángel Álvarez Núñez

   
   

   También podrás tener sesiones de Ciberseguridad, de Hacking con Buscadores o de Seguridad Ofensiva con Miguel Ángel Martín, que es Founder de HackBySecurity, donde estarás en una sesión particular solo tú con él. 

   
   

   

   Figura 4: Tutorías / Mentorías / Clases con Miguel Ángel Martín Peña

   
   

   Para los que tengan dudas de análisis forense, peritajes judiciales, herramientas para hacer un informe de forensia de un dispositivo móvil o un equipo de escritorio, Francisco Nadador tiene sesiones particulares para estos temas relativos al peritaje informático.

   
   

   

   Figura 5: Tutorías / Mentorías / Clases con Francisco Nadador

   
   

   Si la necesidad que tienes es más legal, porque tu peritaje judicial tiene que ser parte de un juicio o una proceso legal, entonces puedes reservar tiempo en la agenda de Juan Carlos Fernández, que te ayuda con las bases legales de los peritajes judiciales.

   
   

   

   Figura 6: Tutorías / Mentorías /Clases online con Juan Carlos Fernández

   
   

   Y por último, Rubén López Herrera, tiene activada la posibilidad de tener sesiones particulares sobre Cibersegurdiad o de Normativa en Cloud Computing, con lo que te puede asesorar o resolver dudas de lo que necesites en estos ámbitos.

   
   

   

   Figura 7: Tutorías / Mentorías / Clases Online con Rubén López Herrera

   
   

   Todas las sesiones son online, en directo, particulares, y pensadas en poder resolver dudas, aprender cosas, preguntar por aquellas áreas de interés que te puedan ayudar en tu futuro profesional o en tu trabajo actual. Una forma muy útil de utilizar MyPublicInbox y los Tempos que vayas teniendo en ella.

   
   

   ¡Saludos Malignos!

   
   

   Autor: Chema Alonso(Contactar con Chema Alonso)  

   
   

   

   
   

   
   Sigue Un informático en el lado del mal RSS 0xWord
   - Contacta con Chema Alonso en MyPublicInbox.com

3. Mi agenda para esta semana, por si te apuntas a algo

   Los domingos aprovecho a prepararme todo lo que tengo la semana que viene. No os engaño, esta es la noche de la semana en la que duermo menos tranquilo. No por nada, sino por la anticipación que genera en mi cuerpo el repasar la agenda, preparar cada charla, cada reunión, cada transporte, cada hito que tengo que cumplir, y llegar al final del viernes con los músculos calientes, con la sensación de haber cumplido. Mirar atrás, y decir eso de ¡qué pedazo de semana! Y el ciclo comienza los domingos, con esto que estoy haciendo hoy.

   
   

   

   Figura 1: Mi agenda para esta semana, por si te apuntas a algo

   
   

   Esta semana tiene muchas cosas curiosas, y entretenidas, educativas, que llevan planificadas largo tiempo. Os paso la lista, porque os podéis apuntar a todas ellas, y algunas son en la Televisión, otras son Online, y otras presenciales en Madrid. Toma nota.

   
   

   Martes, 28 de Noviembre: DirFCON'23 [Madrid]

   
   

   El primer evento será el próximo martes 28 de Noviembre, en el Teatro Goya de Madrid, donde se organiza DirFCON'23, que es el Congreso Nacional de Directores Financieros, y donde hay una jornada con ponentes espectacular.

   
   

   

   Figura 2: Congreso Nacional de Directores Financieros

   
   

   Entre la lista de invitados al acto se encuentra el gran Iñaki Gabilondo, mi ex-compañera en ElevenPaths Mosiri Cabezas, o el grandísimo Marc Vidal, que será mi compañero de baile en un debate hablando de Inteligencia Artificial y esas cosas que nos gusta tanto, que ya lo hicimos en el pasado.

   
   

   

   Figura 3: Congreso Nacional de Directores Financieros

   
   

   Queda poco más de un día, pero te puedes apuntar aún al evento en la web del congreso: DirFCON'23

   
   

   Miércoles, 29 de Noviembre: Microsoft SaaS Academy [Madrid] 

   
   

   El próximo día 29 de noviembre 2023 tendrá lugar el "Microsoft SaaS Academy", un evento presencial que se llevará a cabo en el auditorio de Microsoft en Madrid, que liderarán Antonio Budia (Global Partner Solution Lead en Microsoft), el gran Agustín Santamaría (Data & AI Specialist Sales Director en Microsoft), y donde yo participaré para hablar - en este caso - de la iniciativa de Open Gateway en un entorno cercano y distendido, donde además el equipo de Microsoft hablará de los servicios y la última tecnología de Microsoft Azure para el mundo SaaS para el mundo de la empresa.
   
   

   

   Figura 4: Evento de SaaS Academy en las oficinas de Microsoft

   29 de Noviembre

   
   La Inteligencia Artificial también será uno de los temas centrales, y vendrá Juanjo Carmena de GitHub para hablar de Copilot y cómo muchas empresas lo estamos utilizando hoy en día. También tendremos entre la lista de ponentes que puedes ver en la web a Debora Di Piano (Specialist App Innovation en Microsoft), Andrea Iriondo (ISV Partner Development Manager en Microsoft) y Solveig Moro (Strategic & Partnership Lead en Mitiga Solutions) que explicarán cómo aprovechar al máximo las ventajas que nos ofrecen las tecnologías de Microsoft dentro del mundo SaaS y todo sobre el programa de Microsoft for Startups y las posibilidades que ofrece el Marketplace de Azure.
   
   

   

   Figura 5: Ponentes del evento de Microsoft SaaS Academy

   
   Para completar la agenda, tendremos a Javier Campo (Cloud Solutions Archichet en Microsoft) e Ignacio Melero (Solution Architect App Innovation en Microsoft), que hablarán de cómo modernizar apps con IA, y cómo usar Azure OpenAI & GitHub Copilot en las arquitecturas de las mismas.
   
   

   

   Figura 6: Agenda del evento Microsoft SaaS Academy

   
   Y tomaremos café, charlaremos, haremos networking, y seguro que salen oportunidades de hacer cosas. Así que, si te animas, nos vemos el 29 de Noviembre en el evento. Apúntate al mismo, resérvate el tiempo en tu agenda, y listo.

   
   

   Miércoles, 29 de Noviembre: Un Twitch con Fernando Romay [Online]

   
   

   Pues sí, voy a hacer un directo en Twitch con el grandísimo Fernando Romay y, aunque no os lo creáis, es el primero que voy a hacer en mi vida. Tantos años y no he hecho nunca un Twitch. Y será en el canal de la Federación Española de Baloncesto, para charlar de baloncesto, o lo que sea.

   
   

   Figura 7: Contactar con Fernando Romay en MyPublicInbox

   Tendré que preguntarle cosas a Alberto Herreros o al gran Rudy Fernández, para que me pongan al día, que estar con una leyenda como Fernando Romay en directo va a ser una gran responsabilidad, pero... por los amigos lo que haga falta.

   
   

   

   Figura 8: Twitch de Federación Española de Baloncesto

   
   

   Miércoles, 29 de Noviembre: Arturo Pérez-Reverte con Pablo Motos [Online - Televisión]

   
   

   Después de la odisea que fue conseguir que Arturo Pérez-Reverte fuera la primera vez a El Hormiguero con Pablo Motos, y que os conté en este artículo de El futuro está por hackear, el maestro vuelve este miércoles por la noche al programa, y será una entrevista digna de ver.

   
   

   Figura 9: Contactar con Arturo Pérez-Reverte en MyPublicInbox

   
   

   Por supuesto, yo si puedo, asistiré como espectador, y espero poder ver a los maravillosos Juan Ibáñez, Damian Mollá, y Jorge Marrón, que hace tiempo que no nos juntamos para hacer alguna y ya va tocando. Apúntate esta entrevista que merecerá la pena.

   
   

   

   Figura 10: Contactar con Pablo Motos

   
   

   Tienes la lista de los invitados de esta semana en El Hormiguero en la siguiente página web, por si quieres saber quiénes están estos días en el programa.

   
   

   Y aún hay más, amigos...

   
   

   Además de estas actividades, este jueves y viernes tendemos un off-site con el equipo de Telefonica Innovación Digital, pero prometo contaros más sobre esta "nueva" empresa más adelante. También estaremos presentes en la Gala Endeavor Spain, yo visitaré a unos alumnos de una escuela que me contactaron por mi buzón público en MyPublicInbox, y en Movistar+ tendremos semana de Champions League en el Canal Movistar Liga de Campeones, donde disfrutaremos de los comentarios del gran Álvaro Benito en el partido Real Madrid CF - Nápoles.

   
   

   ¡Saludos Malignos!

   
   

   Autor: Chema Alonso(Contactar con Chema Alonso)  

   
   

   

   
   

   
   Sigue Un informático en el lado del mal RSS 0xWord
   - Contacta con Chema Alonso en MyPublicInbox.com

4. Este fin de semana ya es #CYBERMONDAY 2023 en @0xWord Aprovisiónate para los regalos navideños.

   Hoy sábado, mañana domingo, y el próximo lunes, día en que se celebra en todo el mundo el CYBERMONDAY, serán días de rebajas en 0xWord donde hemos activado un código hasta las 23:59:59 del lunes 27/11/2023 que da un 10% descuento en todos los productos de la tienda de 0xWord.com para que puedas aprovisionarte para Papá Noel, Reyes Magos o Regalos Navideños.  El código es tan sencillo como CYBERMONDAY2023,

   
   

   

   Figura 1: Este fin de semana ya es CYBERMONDAY2023 en 0xWord.

   Código 10% descuento: CYBERMONDAY2023.

   
   

   El código descuento, ya está disponible, así que si lo utilizas tendrás un descuento del 10% en todo el material de 0xWord en la tienda. Incluido el merchandising de Cálico Electrónico, los Packs Oferta, los VBOOKs, los cómics de EVIL:ONE en 0xWord Comics, las novelas en 0xWord Pocket o los nuevos de 0xWord Brain.

   
   

   

   Figura 2: Compra tus libros de Hacking en 0xWord

   
   

   Pero además, tienes formas de incrementar los descuentos de 0xWord, utilizando tus Tempos de MyPublicInbox, que puedes usar de dos formas diferentes. Enviando Tempos a 0xWord y consiguiendo un descuento extra o canjeando un código descuento de 0xWord por Tempos de MyPublicInbox. Aquí te explico cómo se hace.

   
   

   Enviar tus Tempos a 0xWord y recibir el descuento

   
   

   La idea es muy sencilla, hemos creado un Buzón Público de 0xWord en MyPublicInbox y tenemos disponible el módulo de transferencias de Tempos entre cuentas siempre que el destinatario sea un Perfil Público de la plataforma. Para que se puedan hacer estas transferencias, primero debe estar el Perfil Público destinatario de la transferencia en la Agenda.

   
   

   Figura 3: Perfil de 0xWord en MyPublicInbox. Opción de "Añadir a  la Agenda". https://MyPublicInbox.com/0xWord

   
   

   Para dar de alta un Perfil Público en tu agenda, solo debes iniciar sesión en MyPublicInbox, y con la sesión iniciada ir a la web del perfil. En este caso, a la URL del perfil público de 0xWord en MyPublicInbox, - https://MyPublicInbox.com/0xWord - donde te aparecerá la opción de "Añadir a la agenda". Cuando acabe este proceso, podrás ir a la opción Agenda de tu buzón de correo en MyPublicInbox y deberías tener el Perfil Público de 0xWord allí.

   
   

   Figura 4: Cuando lo agregues estará en tu agenda

   
   

   Una vez que lo tengas en la agenda, ya será tan fácil como irte a tu perfil - se accede haciendo clic en la imagen redonda con tu foto en la parte superior - y entrar en la Zona de Transferencias. Desde allí seleccionas el Buzón Público de 0xWord, el número de Tempos que quieres transferir, y en el concepto debes poner que es para recibir un código descuento para usar en la tienda de 0xWord.

   
   

   Figura 5: Zona de Transferencias en el Perfil de MyPublicInbox

   
   

   No te preocupes por el texto concreto, porque los procesamos manualmente como los pedidos de se hacen en la tienda. 

   
   

   Canjear 500 Tempos por un código descuento de 5 €

   
   

   La última opción es bastante sencilla. Solo debes irte a la sección de Canjear Tempos -> Vales para Tiendas, y "Comprar" por 500 Tempos y código de 5 €. Es lo mismo que enviar la transferencia pero en un paquete de 500 Tempos y de forma totalmente automatizada, así que solo con que le des a comprar recibirás el código descuento y lo podrás utilizar en la tienda de 0xWord.com

   
   

   

   Figura 6: Canjear Tempos por Códigos para libros de 0xWord

   
   

   Así que, si quieres conseguir nuestros libros durante este Cybermonday2, entre el código de descuento CYBERMONDAY2023 y los Tempos de MyPublicInbox podrás hacerlo de forma muy sencilla y mucho, mucho, mucho más barata. Y así apoyas este proyecto tan chulo que es 0xWord.com.

   
   

   ¡Saludos Malignos!

   
   

   Autor: Chema Alonso (Contactar con Chema Alonso)  

   
   

   

   
   

   
   Sigue Un informático en el lado del mal RSS 0xWord
   - Contacta con Chema Alonso en MyPublicInbox.com

5. Si te lo estás pensando, es el momento de dar el salto: Hazte developer #HackYourCareer

   Elegir tu futuro profesional es una de las decisiones más importantes a las que a todos nos toca enfrentarnos. Hay gente que tiene muy claro desde muy pronto a qué quiere dedicarse en la vida y para ellos no hay elección: el camino ya está marcado. Pero para todos los demás, simples mortales, que no sentimos esa "llamada", o incluso aquéllos que ya tomaron su decisión hace tiempo pero sienten cierta inquietud de fondo, una vaga sensación de no terminar de estar en su sitio y querer cambiar de rumbo, vengo a poner sobre la mesa la opción de convertirse en desarrollador de software.
   
   

   

   Figura 1: Si te lo estás pensando, es el momento de dar el salto: Hazte developer

   
   "¿Por qué desarrollador de software y no cualquier otra cosa?"

   
   Pues hay tantos motivos como personas, pero voy a intentar reflexionar acerca de algunos de los puntos clave que desmarcan este campo del resto, y de forma muy positiva y significativa (ni siquiera vamos a mencionar más que sutilmente y de pasada en esta línea que vivimos en un mundo cada vez más digitalizado, y por tanto con más oportunidades, de calidad y bien remuneradas).
   
   Lo primero y más destacable del mundo del software, es que aquí el trabajo que hayas realizado queda objetivamente registrado a través del uso de tecnologías de control de versiones como Git o Mercurial. Cada modificación que "guardes" quedará publicada y accesible con todo el contenido que hayas creado, así como la referencia al autor de los cambios, y la fecha afinada a la hora, minuto y segundo en que ocurrió. Tuya es la responsabilidad, y tuyo es el mérito.
   
   

   

   Figura 2: Hay tantos motivos como personas para ser developer

   
   Lo segundo e igualmente relevante, es que es posiblemente el único campo en el que no importa quién eres ni qué títulos académicos traes. Hoy en día el valor de una certificación oficial es cuestionable, ya que no avala más que el haber tenido acceso a una información que cualquiera tiene al alcance de la mano con Google. No refleja cosas mucho más importantes como la aptitud o, más aún, la actitud.
   
   Tercero, la comunidad. En sus orígenes el Software Development estaba reservado a unos pocos genios con amplios conocimientos matemáticos y de ingeniería, pero generación tras generación y con gran esfuerzo colectivo se ha hecho infinitamente más accesible, de forma que cualquiera que quiera y esté dispuesto puede introducirse en este mundo. Y esa filosofía de cooperación, de compartir dudas y código, sigue viva hoy día.
   
   Por último, y quizá esto sea lo más valioso en el día a día: todo el código que escribas, todo lo que produzcas, podrás verlo en funcionamiento en tiempo real. El viejo “¿Y esto para qué sirve?” aquí no tiene cabida. Cada programa que diseñes, o cada pequeño componente que implementes, lo tendrás funcionando frente a ti. Artesanía digital.
   
   “Genial… Pero el mundo del software es amplísimo. ¿Por dónde empiezo?”
   
   ¿Mi recomendación? Full Stack Developer. En síntesis, se trata de la figura del desarrollador de aplicaciones web que conoce y maneja todas las tecnologías involucradas en todos sus aspectos. La contrapartida serían el Frontend Developer, que se encargaría sólo de la parte visual del lado del cliente (no sólo del diseño, sino de que las piezas funcionen), y el Backend Developer, especializado en gestionar el lado del servidor y las bases de datos.
   
   Iniciarte en este mundo como Full Stack Developer te permitirá entrar en uno de los campos más activos, pero también uno de los que más gratificantes resultan. ¡Entras sabiendo crear aplicaciones completas por tu cuenta! Además, cuentas con una buena perspectiva global con la que ir afinando hacia el sector que más te guste. Y aunque al principio pueda resultar un poco intimidante, los lenguajes empleados en desarrollo web, como JavaScript o PHP tienen una sintaxis y vocabulario muy humanos y un buen código casi puede leerse en inglés.
   

   
   

   

   Figura 3: BootCamp de Full Stack Developer

   
   

   Visto el “dónde”, ya sólo nos quedaría hablar del “cómo”. Cómo dar el salto y despegar en el mundo del desarrollo Full Stack. Y para mí la respuesta a día de hoy es clara: es un mundo que da pie a ser autodidacta y no faltan cantidad de recursos de apoyo y tutoriales online, pero cuando tomes la decisión en firme nada superará realizar un Bootcamp Full Stack Developer. 

   
   

   

   Figura 4: Todos los alumnos tendrán el libro de Spring Boot & Angular 1: Desarrollo de WebApps Seguras de 0xWord y 500 Tempos de MyPublicInbox.

   
   

   Son cursos intensivos a tiempo completo, con un coste cercano al de una carrera universitaria, pero en lugar de dedicarle 5 años su duración suele estar entre los tres y seis meses. Simulan un entorno de trabajo real, con plazos y entregas, impartidos y asesorados por desarrolladores y expertos IT, por lo que siempre se mantienen actualizados con el mercado. Debido a lo cortas que son las formaciones, es una experiencia dura a la que hay que ir a comerse el mundo. Esa actitud de estar dispuesto a hacer frente a lo que sea, sacrificando tardes y noches te permitirá salir con las competencias necesarias (y proyectos realizados que las avalan) para entrar por todo lo alto, con los deberes hechos, al mundo del desarrollo de software.
   
   

   

   Figura 5: Próximas fechas del BootCamp de Full Stack Developer

   
   Es a través de ese esfuerzo, y esa determinación, que seas quien seas y vengas de donde vengas, podrás acceder a ese mundo que te espera allí. Del 20 al 27 de noviembre GeeksHubs Academy está de Black Friday y puedes conseguir hasta 1.300€ de descuento para formarte como Full Stack Developer. 

   
   

   ¡Aprovecha esta oportunidad y da el paso!

   
   Autor: Demian Ortizlanzas, Docente Full Stack Developeren GeeksHubs Academy.

   
   

   

   Contactar con Demian Ortizlanzas

   
   

   
   Sigue Un informático en el lado del mal RSS 0xWord
   - Contacta con Chema Alonso en MyPublicInbox.com

6. Ciberseguridad & Hacking en un mundo de Inteligencia Artificial, Robots y Humanos

   Anoche dejé publicada la charla titulada "Ciberseguridad & Hacking en un mundo de Inteligencia Artificial, Robots y Humanos" que impartí por primera vez hace poco más de un mes, donde recojo muchas cosas que tienen que ver con los retos de Inteligencia Artificial, la Inteligencia Artificial Generativa, las DeepFakes y todos los retos de cibereseguridad que acarrean. 

   
   

   

   Figura 1: Ciberseguridad & Hacking en un mundo de Inteligencia Artificial, Robots y Humanos

   
   

   En la charla hablo de ChatGPT y todos los problemas de seguridad que tienen a día de hoy los LLMs, de los que tengo recogidos en el artículo de OWASP Top Ten para LLMs Apps & Services, pero también del mundo de las DeepFakes, con técnicas de Lip Sync, Face Swapping o Face Renacent, el uso de Voces Clonadas, y por supuesto todo lo que tiene que ver las técnicas de detección de Deepfakes mediante nuestro DeepFake Detector.

   
   

   Figura 2: Ciberseguridad & Hacking en un mundo de Inteligencia Artificial, Robots y Humanos

   
   

   Es una charla generalista que habla de todo este mundo para personas que quieren tener una visión completa del mundo donde estamos hoy, así que si tienes amigos o conocidos que quieran aprender algo, pásasela porque se les hará fácil de entender y de visualizar.

   
   

   ¡Saludos Malignos!

   
   

   Autor: Chema Alonso(Contactar con Chema Alonso)  

   
   

   

   
   

   
   Sigue Un informático en el lado del mal RSS 0xWord
   - Contacta con Chema Alonso en MyPublicInbox.com

7. El Black Friday Más "Geek" en GeeksHubs Academy #HackYourCareer @geeks_academy

   Durante la campaña de este año en GeeksHubs Academy para el Black Friday tienes disponible 50 plazas para los 50 primeros que quierean hackear su carrera profesional con un 20% de descuento en cualquier BootCamp de Ciberseguridad, Full-Stack Developer, Tech Management, DevOps, IA & Big Data y Tech Recruitement, de los que tienes disponibles en nuestra academia.

   
   

   

   Figura 1: El Black Friday Más "Geek" en GeeksHubs Academy

   
   

   Del 20 al 27 de noviembre tienes disponible un 20% de descuento en todos los Bootcamps, para las 50 primeras plazas, con un ahorra de hasta 1.300 € de descuento. en el precio, pero sólo para 50 plazas limitadas. Descuento reales que pueden cambiar tu vida de verdad, ayudándote a cambiar o impulsar tu carrera profesional en el mundo de la tecnología en cualquiera de estas áreas tecnológicas.

   
   

   Figura 2: El Black Friday Más "Geek" en GeeksHubs Academy

   
   

   En GeeksHubs Academy no somos una empresa de formación, somos una empresa con vocación de "Hack Your Career" en el mundo de la tecnología, para lograr que tengas la carrera profesional que deseas en el mundo tecnológico, con un espíritu "geek" muy profesional. 

   
   

   
   Figura 3: Tecnología y Educación, con Chaume Sánchez y Chema Alonso

   
   

   En esta charla entre Chaume Sánchez, y Chema Alonso sobre Tecnología y Educación, puedes ver más cuál es el espíritu que nos mueve. Si te sientes atraído por este mundo profesional, y tienes ganas de hackear tu futuro, aprovecha los descuentos de este Black Friday en GeeksHubs Academy, que es una ocasión única para dar un gran paso.

   
   

   Autor: GeeksHubs Academy para hackear tu carrera este Black Friday

   
   

   
   Sigue Un informático en el lado del mal RSS 0xWord
   - Contacta con Chema Alonso en MyPublicInbox.com

8. Una comparativa de Seguridad, Transparencia, Privacidad y Cumplimiento Regulatorio en Exchangers Web3

   El equipo de regulación, seguridad y privacidad de Bit2Me se lo toma muy en serio, y ese fue uno de los motivos por los que decidimos invertir en la compañía, como ya os conté en un artículo en el pasado. Durante el proceso de Due Dilligence que le hicimos, le miramos todos los rincones relativos a estos aspectos, porque en un mercado que aún está construyéndose, y con escándalos que han afectado muy negativamente al mundo de los exchangers Web3, era absolutamente necesario.

   
   

   

   Figura 1: Análisis de Seguridad, transparencia, privacidad y

   cumplimiento regulatorio en Exchangers Web3

   
   

   La verdad es que la compañía lo tiene muy presente, y tanto Leif como Andrei, como Joao, Koh, como Pablo, como el resto del equipo, saben que Seguridad, Transparencia, Regulación son claves para el éxito de un Exchanger Web3 como Bit2Me, que están desarrollando este mercado, y que cada tropiezo en estas partes se paga muy caro en confianza con los clientes.

   
   

   

   Figura 2: Informe de Cointelgraph Research sobre Exchangers Web3

   
   

   Así que, una de las cosas que hace la compañía es certificarse, auditarse, compararse, y trabajar con un proceso de "Raise the bar" constante, haciendo que el día a día de sus operaciones tenga en el roadmap siempre las máximas exigencias en estas áreas, y por eso se comparan con el resto de los grandes Exchangers Web3 para ver qué tienen que mejorar. 

   
   

   

   Figura 3: Comparativa y calificación de Exchangers Web3

   
   

   Esta semana ha salido una de esas comparaciones, pedida al Cointelgraph Research, una compañía de analistas en el sector Web3 que lleva 10 años haciendo análisis de mercado, de producto, de compañías, para ofrecer inteligencia a inversores, usuarios y empresas a la hora de tomar decisiones de negocio. 

   
   

   

   Figura 4: Resumen de medidas de seguridad, transparencia y cumplimiento regulatorio

   del informe de Cointelgraph Report.

   
   

   El equipo de Bit2Me le ha pedido que le compare con el resto de competidores del mercado, en Seguridad, Transparecia, Cumplimiento Regulatorio, Privacidad, etcétera, y los resultados los tenéis en el informe de 30 páginas que han publicado - y que puedes descargar con solo registrarte en la web sin pagar -.La tabla de arriba muestra el resumen de todos los aspectos que se evalúan, que van desde la protección de los activos, la protección legal, las medidas de seguridad tomadas, etcétera, donde se puede ver que Bit2Me está al primer nivel en todas estas protecciones. 

   
   

   

   Figura 5: "choose the most trustworthy exhange..."

   
   

   Pero más allá de la comparativa, que siempre es bueno medirse con los competidores, lo cierto es que es una enumeración y auditoría completa de las medidas de seguridad, transparencia, cumplimiento regulativo, etcétera que la compañía está implantando en sus servicios y en sus tecnologías. Así que, si te interesa este mundo, échale un ojo al Informe de Cointelgraph Research sobre Exchangers Web3.

   
   

   ¡Saludos Malignos!

   
   

   Autor: Chema Alonso(Contactar con Chema Alonso)  

   
   

   

   
   

   
   Sigue Un informático en el lado del mal RSS 0xWord
   - Contacta con Chema Alonso en MyPublicInbox.com

9. Los Data Brokers te venden baratos datos sensibles de los militares americanos

   El modelo de negocio de los llamados Data Brokers es algo muy activo en los Estados Unidos, donde la regulación no es tan estricta como el GDPR que tenemos nosotros en Europa. Yo lo sufro en primera persona porque hay empresas que se dedican a vender números de teléfono y direcciones de correo de todo tipo de perfiles, incluidos los ejecutivos de compañías para hacer campañas de venta. Pero como vamos a ver en este informe, datos mucho más allá de los simples datos de contacto.

   
   

   

   Figura 1: Los Data Brokers te venden baratos datos sensibles de los militares americanos

   
   

   No es casual que yo solo utilice MyPublicInbox como forma de contactar conmigo si no nos conocemos, y que no conteste ninguna llamada, ni devuelva ningún mensaje que venga de quién no esté en mi circulo cercano. Es la única forma de proteger mi tiempo para poder sacar a tiempo mis proyectos.

   
   

   Figura 2: You are Where You Are

   
   

   Pero es que la venta de datos va más allá de los datos de contacto en el mundo de los grandes Data Brokers, donde se comercializan toda clase de datos, médicos, socioeconómicos, políticos, de actividad, e insights generados. Y a precios bastante ridículos. Yo hablé de la importancia de todos estos datos en una charla que di en el año 2016 en un evento organizado por mis amigos de Repsol, que decía "You are where you are", donde única y exclusivamente hablaba de la localización, pero ya es más que "crappy".

   
   

   Comprando datos para comprometer la seguridad nacional

   
   

   La compra/venta de los datos se ha convertido en una poderosa arma, que utilizada políticamente de forma masiva dio lugar al escándalo de Cambridge Analytica, donde se utilizaron políticamente para ayudar a desequilibrar la balanza hacia un lado un otro en múltiples votaciones. Hechos que abrieron temporalmente los ojos del mundo, pero que parecen ya de otros tiempos, cuando la realidad es que esto sigue siendo el día a día.

   
   

   

   Figura 3: Data Brokers and the sale of data on U.S Military Personnel

   
   

   En un estudio que se ha publicado este mes, titulado "Data Brokers and the sale of data on U.S Military Personnel" se explica cómo de sencillo es para cualquiera conseguir datos sensibles del personal militar americano aun cómodo precio de 12 céntimos de dólar por registro, lo que puede dejar a un potencial adversario información de inteligencia sobre el personal militar de EEUU a un módico precio. Nada de los grandes maletines con millones y millones de dólares en billetes que veíamos en las películas.

   
   

   

   Figura 3: Data Brokers contactados para comprar datos y respuestas recibidas.

   
   

   Todo mucho más rápido, sin saltar por montañas, robar microchip, o archivos de inteligencia en bases secretas donde para entrar había que explotar bombas e infiltrar un comando militar encubierto. No, solo con llamar por teléfono a un Data Broker, pedir precios, tipo de información que venden, pagar y listo. 

   
   

   

   Figura 4: Tabla de precios para datos militares del Data Broker 6

   
   

   Y como he dicho antes, no se trata sólo de datos de contactos, sino que tienen insights que pueden llegar a ser de lo más sensibles, como podéis ver en el "menú de compra de datos" de uno de los Data Brokers. Es decir, información detallada hasta para saber quién va al casino o le gustan los juegos de azar.

   
   

   

   Figura 5: Menú de compra de datos de personal militar en un Data Broker

   
   

   Como os podéis imaginar, esta información es perfecta para hacer APTs preparados contra personal militar que pueda tener un impacto mayor contra alguna organización del ejercito de los EEUU. Desde luego, si eres una organización que tiene adversarios que este tipo de datos se consiga tan fácilmente no es lo que quieres. 

   
   

   

   Figura 6: Datos conseguidos usando dominios de USA

   
   

   En la tabla anterior se pueden ver qué tipos de datos de fueron capaces de comprar utilizando dominios de correo electrónico para las comunicaciones ubicados en USA y en la de abajo, los datos que consiguieron usando dominios de ASIA. En ambos casos, datos muy sensibles.

   
   

   

   Figura 7: Datos conseguidos usando dominios .ASIA

   
   

   En todos los casos, datos muy sensibles de personal que trabaja en una organización tan importante para la seguridad nacional como el militar, del que llegaron a conseguir datos de alergias médicas, tal vez conseguidas de restaurantes, hoteles y clínicas por los Data Brokers.

   
   

   

   Figura 8: Datos de enfermedades conseguidos en los Data Brokers

   
   

   Está claro que los datos son un negocio, pero estos ejercicios demuestran que es necesario controlarlos, porque estamos haciendo que sea muy fácil que lleguen a manos de cualquiera. Leer esto, me ha recordado el cuento que cree de "You Leak it!" donde una empresa compra los datos que un ex-empleado puede vender de su empresa nada más ser despedido, pero a lo bestia.

   
   

   ¡Saludos Malignos!

   
   

   Autor: Chema Alonso(Contactar con Chema Alonso)  

   
   

   

   
   

   
   Sigue Un informático en el lado del mal RSS 0xWord
   - Contacta con Chema Alonso en MyPublicInbox.com

10. WebSummit 2023: Open Gateway

    Hoy domingo os dejo la grabación de la charla de veinte minutos que hice en el WebSummit 2023 sobre OpenGateway de esta semana que ya acaba en Lisboa. Es en inglés, y habla del trabajo que estamos haciendo para Apificar la industria de las telecomunicaciones, y es rápida.

    
    

    

    Figura 1: WebSummit 2023: Open Gateway

    
    

    El vídeo, como siempre, lo he subido a mi canal de Youtube, donde intento compilar todas las charlas que tengo, así que si quieres ver alguna otra de las que he dado en los últimos casi 20 años, puedes buscar por allí, que casi seguro que está.

    
    

    Figura 2: WebSummit 2023: Open Gateway

    
    

    Y nada más, que es domingo, y es día para descansar la mente antes de meternos en otra semana de trabajo intenso. Así que, recarga las pilas, y luego a por el trabajo.

    
    

    ¡Saludos Malignos!

    
    

    Autor: Chema Alonso(Contactar con Chema Alonso)  

    
    

    

    
    

    
    Sigue Un informático en el lado del mal RSS 0xWord
    - Contacta con Chema Alonso en MyPublicInbox.com