Entre mediados de los 90s y la primera década del siglo XXI, los ataques por desbordamiento de memoria ocuparon muchos titulares en la prensa técnica.

Un error de desbordamiento de memoria o más conocido como buffer overflow, aparece cuando un programa no gestiona correctamente la asignación de memoria (direccionamiento) en una operación de carga de datos a la memoria. Por lo tanto el programa está intentando almacenar una cantidad de datos en esa sección de la memoria (buffer) mayor de la que puede contener. Esto provoca un error en la ejecución del programa el cual puede corromper la información, detener la ejecución o en el peor de la casos, deja una puerta abierta a la ejecución de código malicioso. Es aquí donde aparece el ataque por desbordamiento de memoria. La técnica consiste básicamente en provocar el error buffer overflow para alterar la ejecución del programa y redireccionarlo a un fragmento de código diferente, tomando el control total del mismo.

El gobierno de los Estados Unidos quiere utilizar un procedimiento oscuro –modificar una regla federal conocida como Regla 41—para expandir radicalmente su autoridad para hackear. Los cambios a la Regla 41 les facilitaría entrar por la fuerza a nuestras computadoras, tomar información, y realizar una vigilancia remota. Estos cambios podrían afectar a cualquier persona que utilice una computadora con acceso a internet en cualquier lugar del mundo. Sin embargo, afectarán en forma desproporcionada a las personas que utilicen tecnologías para proteger la privacidad, incluyendo Tor y VPN. El Congreso de los Estados Unidos tiene solo hasta el 1 de diciembre para evitar que las modificaciones entren en vigencia. Tenemos que alzar nuestra voz. Comparte esta publicación con tus amigos y en tu blog. ¡Despierta la consciencia sobre los cambios en la Regla 41!

  Foto: TechWorm

Pues sí, hasta ahora hemos visto muchos métodos no convencionales para acceder a la información de un ordenador totalmente aislado sin conexión a red (en inglés, “air-gapped”). Por ejemplo, a través de técnicas con cámaras térmicas, electromagnetismo, etc.  Pues ahora investigadores de la Universidad Ben-Gurion of the Negev han descubierto un nuevo método acústico para poder extraer información de un ordenador utilizando el ruido generado por los ventiladores. Para extraer la información sólo necesitan un teléfono móvil o un ordenador equipado con un micrófono.

No cabe ninguna duda que en los tiempos que corren, la inteligencia artificial es una ciencia en pleno auge. Machine Learning, a groso modo, es una de las ramas de dicho campo, éste define una serie de técnicas por las cuales las máquinas aprenden por si mismas. Esta rama es una parte clave de la inteligencia artificial y sobre todo de nuestra vida actual. Entre otras, algunas de la aplicaciones (según wikipedia) de Machine Learning son:

Si tienes una Inteligencia Artificial (IA) ¿cómo la entrenarías? Antes la base era suministrarle el máximo de información posible para que la IA lo procesara y de esa forma asimilar nuevos conceptos y parecer  inteligente. En cambio esto ya ha cambiado desde hace tiempo. Ahora se aplican nuevas técnicas como  “machine learning” las cuales se centran más en el autoaprendizaje de los sistemas.

500 líneas  o menos (500 lines or less) es un nuevo volumen de la serie Architecture of Open Source Applications. En esta serie de libros, constituida actualmente por 3 volúmenes, tratan la sobre la arquitectura, infraestructura, escalabilidad, etc, de ciertas aplicaciones de código abierto bien conocidas. En el último volumen, el cuarto de la serie, 500 líneas o menos se enfoca más al diseño desde el punto de vista del desarrollador.

Aquí os dejo para el fin de semana el material publicado de la Hack In The Box 2016 celebrada en Amsterdam:

• CLOSING KEYNOTE - Sophia D Antoine - Hardware Side Channels in Virtualized Environments.pdf
• D1 COMMSEC - Elisabeth de Leeuw - Unformation in the Era of Hyper Connectivity.pdf
• D1 COMMSEC - Marc Newlin - Applying Regulatory Data to IoT RF Reverse Engineering.pdf
• D1 COMMSEC - Martin Knobloch - Don't Feed the Hippos.pdf
• D1 COMMSEC - Nadav Markus and Gal De Leon - Exploiting GLIBC - Hacking Everything.pdf
• D1T1 - Jacob Torrey - Using the Observer Effect and Cyber Fengshui.pdf
• D1T1 - Lin Huang - Forcing a Targeted LTE Cellphone into an Eavesdropping Network.pdf
• D1T1 - Nick Biasini - Exploit Kits - Hunting the Hunters .pdf
• D1T1 - Radu Caragea - Peering into the Depths of TLS Traffic in Real Time.pdf
• D1T1 - Shengping Wang and Xu Liu - Escape From The Docker-KVM-QEMU Machine.pdf
• D1T1 - Tang Qing Hao - Virtualization System Vulnerability Discovery Framework.pdf
• D1T2 - Broderick Aquilino and Wayne Low - Kernel Exploit Hunting and Mitigation.pdf
• D1T2 - Chilik Tamir - Profiting from iOS Malware.pdf
• D1T2 - Michele Spagnuolo and Lukas Weichselbaum - CSP Oddities.pdf
• D1T2 - Seunghun Han - Create Your Own Bad USB Device.pdf
• D1T2 - Tim Xia - Adaptive Android Kernel Live Patching.pdf
• D1T2 - Yann Allain and Julien Moinard - Hardsploit Project.pdf
• D1T3 - Gustavo Grieco - Vulnerability Discovery Using Machine Learning.pdf
• D1T3 LABS - Anto Joseph - Droid-FF.pdf
• D1T3 LABS - Tony Trummer and Tushar Dalvi - Mobile Application Security for iOS and Android.zip
• D2 COMMSEC - Mattijs van Ommeren - A Series Of Unfortunate Events - Where Malware Meets Murphy.pdf
• D2T1 - Anders Fogh - Cache Side Channel Attacks.pdf
• D2T1 - Felix Wilhelm - Attacking Next Generation Firewalls.pdf
• D2T1 - Jun Li - CANSsee - An Automobile Intrusion Detection System.pdf
• D2T1 - Yuwei Zheng and Haoqi Shan - Forging a Wireless Time Signal to Attack NTP Servers.pdf
• D2T1 Itzik Kotler and Amit Klein - The Perfect Exfiltration Technique.pdf
• D2T2 - Mikhail Egorov and Sergey Soldatov - New Methods for Exploiting ORM Injections in Java Applications.pdf
• D2T2 - Peter blasty Geissler - Breaking Naive ESSID WPA2 Key Generation Algorithms.pdf
• D2T2 - Richard Johnson - Go Speed Tracer - Guided Fuzzing.pdf
• D2T2 - Shangcong Luan - Xen Hypervisor VM Escape.pdf
• D2T2 - Wish Wu - Perf - From Profiling to Kernel Exploiting.pdf
• D2T3 LABS - Matteo Beccaro - Electronic Access Control Security.pdf
• KEYNOTE 1 - John Adams - Beyond FBI v Apple.pdf
• KEYNOTE 2 - Adam Laurie - The Future Has Arrived and it's Effin Hilarious.odp

Con anterioridad hemos publicado varias entradas dedicadas a proyectos con Raspberry Pi. Dependiendo del proyecto en si y la tecnología que uses, normalmente tienes que instalar ciertas dependencias y/o servicios. Y si por el motivo que sea necesitas tener diferentes versiones de dichas tecnologías, por ejemplo distintas versiones de ruby, python, etc aquello se puede convertir en un pequeño infierno. Para evitar este posible lío y poder fácilmente instalar tus proyectos de forma automática y sencilla, Docker es un perfecto candidato.