JSConf es una conferencia que se celebra por distintos lugares del mundo y que reúne a programadores y entusiastas del lenguaje de programación Javascript.

La edición celebrada en los EEUU este año tuvo lugar en Amelia Island, FL entre el 29 y 31 de mayo. Aquí tenéis la lista de los vídeos de las presentaciones:

• Remy Sharp: Lessons from the experimental edge of technology
• Angelina Fabbro: JavaScript Masterclass
• Angus Croll: JavaScript is Literature is JavaScript
• Andrew Dupont: Learning New Words
• Peter Higgins: #dadt (Dojo already did that)
• Ray Daly: JavaScript Journalism
• Jed Schmidt: Mass Hysteria: Clients and Servers, Living Together
• Raquel Vèlez: AI.js: Robots with Brains!
• Rebecca Murphey: Optimizing for Developer Delight
• Tom Occhino and Jordan Walke: JS Apps at Facebook
• Erich Gamma: Massive.js
• Steven Wittens: Making WebGL Dance
• Welcome from Chris and Laura

Cada vez son más las universidades que están publicando el material de sus clases. Ya publicamos la semana pasada sobre un Curso sobre seguridad ofensiva por la Universidad del Estado de Florida. Ahora la Universidad de Texas en Dallas es la que ha publicado el material de su curso titulado System Security and Binary Code Analysis.

En éste se cubren los siguientes temas:

• Memory exploits (buffer overflows, format strings, integer overflows, etc. Creación de shellcodes usando técnicas ROP y HeapSpray).
• OS Kernel Internals (comportamiento de un programa cuando es ejecutado por el sistema operativo. Conceptos de la memoria virtual in traducción a memoria física, etc. Cubren el núcleo de Linux y Windows).
• Linker and Loader Internals (enlazado dinámico de un programa y como aprovecharse del mismo).
• Kernel-level Defense (mecanismos de defensa ASR, DEP y NX-bits).
• User-level Defense.
• Binary code reverse engineering (análisis dinámico y estático, flujo de control, malware, etc).

El programa, cubierto por el profesor, es el siguiente:

Course Overview	Instructor	[pdf] [handout]
System and Software Security Foundations: Understanding Binary Code Analysis
Binary Code/Data Representation	Instructor	[pdf] [handout]
Program Representation	Instructor	[pdf] [handout]
Dynamic Binary Instrumentation (PIN, Valgrind, Qemu)	Instructor	[pdf] [handout]
Principles of Program Analysis	Instructor	[pdf] [handout]
Guest Lecture: Recent Cyber Attacks and Implications	Jon Shapiro	[pdf]
Guest Lecture: Web Vulnerability (SQL injection, Cross-site scripting) Analysis	Duong Ngo	N/A
Design and Implementation of a Data Flow Analysis (taint analysis)	Instructor	[pdf] [handout]
System and Software Security Foundations: Understanding the OS Kernel
Understanding the OS Architecture and Linux History	Instructor	[pdf] [handout]
An Overview of Linux and Windows Kernel	Instructor	[pdf] [handout]
Process Management	Instructor	[pdf] [handout]
Virtual Memory (I)	Instructor	[pdf] [handout]
Virtual Memory (II)	Instructor	[pdf] [handout]
File System (I)	Instructor	[pdf] [handout]
File System (II)	Instructor	[pdf] [handout]
System and Software Security Foundations: Beyond OS Kernel
Revealing Internals of Executable File Format	Instructor	[pdf] [handout]
Revealing Internals of Compiler (gcc)	Instructor	[pdf] [handout]
Revealing Internals of Linker (ld)	Instructor	[pdf] [handout]
Revealing Internals of Loader (ld-linux.so)	Instructor	[pdf] [handout]
System and Software Security: Techniques, Tools, and Applications
Library Interposition	Instructor	[pdf] [handout]
Virtual Machine Monitor (QEMU/VirtualBox/Xen/KVM)	Instructor	[pdf] [handout]
Symbolic Execution and Whitebox Fuzzing	Instructor	[pdf] [handout]
Exploits: Buffer Overflows, Heap Overflow, Integer Overflow	Instructor	[pdf] [handout]
Robust Exploits: ROP shellcode, Heap Spray	Instructor	[pdf] [handout]
Fighting for Malware: Unpack, Disassemble, Decompile	Instructor	[pdf] [handout]
Binary Code Reusing	Instructor	[pdf] [handout]

Al final del curso, los alumnos tenían que hacer una presentación de 15 minutos basadas a uno de los documentos requeridos ser leídos por estos.

También podemos acceder a las presentaciones de los alumnos así como a la lista de dichos documentos (muchos de ellos bastante conocidos):

Este año Gravitas Recordings ha sido la encargada de ponerle música a la DEF CON 21. El álbum lo podemos escuchar online, descargar y/o comprar (audio con mayor calidad). El precio del álbum lo pones tú y es una donación que va dirigida de forma íntegra a la Electronic Frontier Foundation, así que anímate.

El álbum se compone de 20 pistas:

1. BT - The Gathering Darkness 13:12
2. Dual Core - Fear and Chaos (Dale Chase Remix) 04:35
3. ytcracker - Bitcoin Baron 03:29
4. BLEO - The Carterfone Decision 01:47
5. Swinging Rabbits - Monster (Gunslinger vs Blare Remix) 04:14
6. Psymbionic & Great Scott - Computronium 04:39
7. Gramatik - Talkbox Intended 06:10
8. PANTyRAiD - Jokes from the Backseat 04:38
9. DJ RoboRob - The Great Divide ft. Dual Core 04:11
10. BREDE - Crush On 04:04
11. Karton - Chase It High (Left/Right Remix) 06:00
12. Royal Sapien presents No Context - For the Breakers (DEF CON Edit) 04:23
13. Son of the Electric Ghost - Beat It Kids 05:23
14. Nick Stoynoff presents NOFF - Aryt 03:20
15. A.E. Burdick - Room 101 06:35
16. Faderhead - Free 03:42
17. MDMM - Octopus (Redux) 07:25
18. Vigilante - It's Our Time (Electro Version) 03:00
19. BlakOPz - BlakOUt 05:59
20. Bud Melvin - Trolling is a Art 02:48

En términos de informática y más espicíficamente de la seguridad, un wargame es un juego por niveles en el que tienes que explotar cierta vulnerabilidad para ganar acceso al sistema usando técnicas de explotación, ingeniería inversa, inyección de código, etc. Aunque hoy en día, quizás se use más el término CTF o Capture The Flag de forma indiferente.

UNIX/Linux Wargames, es uno de estos juegos en los que tienes que ir superando niveles o retos, pero con la peculiaridad que no está orientado a la seguridad o explotación de vulnerabilidades, sino, a la familiarización con la línea de comandos de UNIX/Linux (supongo que podríamos incluir los Mac OS también).

A home. A Heart. Whatever

Ya tenemos a disposición el número 15 de la revista dedicada a Raspberry Pi, The MagPi, correspondiente a este mes de agosto.

El contenido de este mes es el siguiente:

• USB ARDUINO LINK
• COMMAND LINE ARDUINO PROGRAMMING
• THE RASPBERRY PI CAMERA MODULE
• A COCKTAIL OF EXPANSION BOARDS
• THE RASCLOCK
• PI MATRIX
• MAME - MULTIPLE ARCADE MACHINE EMULATOR
• <_XML />
• MY OS: BUILD A CUSTOMISED OPERATING SYSTEM
• ASSEMBLY PROGRAMMING WITH RISC OS
• THIS MONTH'S EVENTS GUIDE
• BOOK REVIEW
• THE PYTHON PIT
• FEEDBACK

Puedes descargar el PDF desde aquí o leerlo online.

Éste sería el documental perfecto para nuestra sección Er docu der finde, pero ahí sólo ponemos documentales en español o al menos subtitulados y éste ahora mismo sólo está en inglés.

El documental de la DEF CON fue filmado durante el verano del año 2012 con motivo del 20 aniversario de esta archiconocida conferencia sobre seguridad. La producción del mismo a estado a cargo de Jason Scott, famoso por sus magníficos documentales como el de la historia de las BBSs y creador del sitio textfiles.com. El encargo se lo hizo el propio Jeff Moss, fundador de no sólo DEF CON, sino también de BlackHat.

Ya están disponibles las diapositivas de las presentaciones de la BlackHat USA de esta año, celebrada en el Caesars Palace en Las Vegas entre el 27 de julio y el 1 de agosto.

En esta edición parece que la audiencia ha estado dividida por toda la polémica relacionada con las filtraciones de la NSA y su programa Prism. En especial con la presentación de apertura, de la cual también puedes acceder al vídeo, dada por el General Keith B. Alexander, director de la agencia de seguridad nacional (NSA).

Inspirado en los retos de cifrado de Matasano, Microsoft ha creado una serie de retos basados en ingeniería inversa, descubrimiento de vulnerabilidades y trucos de manipulación del navegador web a nivel de diseño. Éste último la verdad que no tengo muy claro de que va.

Los retos están abierto a cualquiera que lo desee. Para participar tienes mandar un email a [email protected] y en el mensaje debes incluir [reverse], [vulns] o [web], dependiendo de a los retos que te quieres suscribir. Si quieres participar en los 3 o en 2 de ellos, debes mandar 3 o 2 emails respectivamente, uno por cada tipo de reto.