El Experimento Audaz y sus Fundamentos

En el corazón de Silicon Valley, una startup de ciberseguridad está a punto de revolucionar la industria. Su arma secreta no es un firewall más robusto o un sistema de detección de intrusos más avanzado, sino algo inesperado: el estándar DO-178C, piedra angular de la seguridad en software aeronáutico, ahora aplicado al dominio digital.

Esta decisión audaz plantea una pregunta provocativa: ¿Puede el enfoque que mantiene seguros nuestros cielos transformar nuestra seguridad en el ciberespacio?

Los modelos Retriever-And-Generator (RAG) y los modelos de lenguaje de gran tamaño (LLM, por sus siglas en inglés) son componentes avanzados de la inteligencia artificial en el campo del procesamiento del lenguaje natural (NLP).

Un RAG, en el contexto de la inteligencia artificial, se refiere a “Retriever-And-Generator” (Recuperador y Generador). Es un tipo de modelo de inteligencia artificial que combina dos componentes principales para mejorar la generación de texto: un sistema de recuperación de información (el “Recuperador”) y un modelo generativo de lenguaje (el “Generador”).

En un mundo cada vez más digital, la necesidad de desarrollar software seguro nunca ha sido tan apremiante. Si bien la innovación rápida es esencial para mantenerse competitivo, no podemos permitir que la seguridad se quede atrás. Aquí es donde entra en juego el modelado de amenazas, una técnica de seguridad proactiva que se integra perfectamente con enfoques modernos de desarrollo de software como el Software Assurance Maturity Model (SAMM) de OWASP.

El arte de la prueba de fuzzing es una práctica esencial en la caja de herramientas de cualquier profesional de la ciberseguridad. Aunque la base de esta técnica, suministrar entradas aleatorias o “fuzz” a un sistema para identificar errores, es simple, las aplicaciones avanzadas de fuzzing pueden ser complejas y matizadas. En este artículo, exploraremos las técnicas avanzadas de fuzzing aplicadas al código JavaScript y a las URLs, utilizando las herramientas jsfuzz y wfuzz, respectivamente.

En el ámbito de la gestión de proyectos de desarrollo de software, los términos KPI (Indicadores Clave de Desempeño) y fechas de entrega se mencionan frecuentemente, a veces hasta el punto de la confusión. Ambos conceptos son fundamentales, pero sirven a propósitos diferentes y deben utilizarse en conjunto para el éxito del proyecto. Además de estos, hay otras métricas relevantes que pueden ayudar a medir aspectos específicos del rendimiento de un proyecto o equipo. Este artículo desglosará cada uno y su importancia en el campo del desarrollo de software.

En la era digital actual, la autenticidad y la procedencia de los contenidos son cruciales. En un mundo donde las noticias falsas y la desinformación se propagan rápidamente, necesitamos una solución confiable para garantizar la autenticidad del contenido. Ahí es donde entra el proyecto de Autenticación y Trazabilidad de Contenido No Generado por IA (ATCNIA).

¿Qué es ATCNIA?

ATCNIA es una iniciativa que busca implementar una red distribuida de autenticación y trazabilidad para garantizar la validez y origen de los contenidos que no son generados por Inteligencia Artificial. Este proyecto se centra en el desarrollo de técnicas avanzadas de cifrado y mecanismos de verificación de contenido que, hasta la fecha, han demostrado ser eficaces y seguros.

El uso de contenedores en el desarrollo de aplicaciones ha experimentado un rápido crecimiento en los últimos años, gracias a la escalabilidad, portabilidad y eficiencia que ofrecen. Sin embargo, a medida que aumenta la adopción de contenedores, también lo hace la necesidad de abordar posibles problemas de seguridad y garantizar que las aplicaciones sean seguras y estables. En este artículo, exploraremos cómo integrar el análisis de contenedores en el proceso de integración continua y entrega continua (CI/CD) puede mejorar tanto la seguridad como la eficiencia en el desarrollo de aplicaciones.

El fuzzing, también conocido como fuzz testing, es una técnica de pruebas de seguridad que implica el envío de entradas aleatorias o malformadas a una aplicación para identificar posibles vulnerabilidades y fallos en la misma. En aplicaciones web, el fuzzing es especialmente útil para descubrir problemas de seguridad relacionados con la validación de entradas y el manejo de errores. En este artículo, exploraremos técnicas avanzadas de fuzzing aplicadas a aplicaciones web y cómo pueden mejorar la seguridad de tu aplicación.

Durante décadas, los gráficos de Gantt han sido una herramienta de gestión de proyectos ampliamente utilizada en diversos sectores. Sin embargo, en el mundo actual de desarrollo ágil y rápido, estos gráficos pueden resultar obsoletos y poco eficientes. En este artículo, analizaremos por qué los gráficos de Gantt están perdiendo terreno en el ámbito de las metodologías Agile y exploraremos las mejores alternativas para aplicar en proyectos Agile.

La obsolescencia de los gráficos de Gantt

El análisis dinámico de aplicaciones de seguridad (DAST) es una metodología crucial en el ámbito de la seguridad de aplicaciones. DAST identifica vulnerabilidades en tiempo de ejecución mediante pruebas de intrusión en aplicaciones web y móviles. En este artículo, nos adentraremos en técnicas avanzadas y enfoques personalizados en el contexto de DAST, incluyendo el análisis de flujo de datos, la integración con herramientas de inteligencia de amenazas y la incorporación de machine learning.

Hemos oído mucho acerca de GPT-3, OpenAI y sus modelos entrenados para implementar tu propia AI de una forma rápida y pre-entrenada. Los resultados de sus demos son fascinantes, pero …. ¿son realmente así? ¿o están “preparados”?

Pues planteando esa misma duda, he decidido hacer una implementacion para integrar tu usuario de Telegram con dicha AI y dockerizarlo, para que configurando tus keys desde el docker-compose.yml puedas arracar facilmente el bot, y que empieze a contestar esta inteligencia por ti.

Tal y como os prometí en la charla de esta semana aquí os dejo la presentación para que podáis repasar lo aprendido en la sesión para iniciarse al trading. Espero que os resulte una ayuda, y podáis ir creciendo en esta linea de FinTech tan interesante.

Si estáis interesado en el script de gestión para las alertas de Operaciones Binarias, esta publico en github, podéis descargarlo y correrlo.

       https://github.com/Thempra/thrader

Esta semana hemos podido disfrutar de la cuarta edición del Congreso Navaja Negra, en el cual Pancake nos ha iniciado en el uso de Radare2, un Framework de reversing excepcional, con una potencia, rapidez y funcionalidades que no tiene nada que envidiar a otros comerciales existentes en el mercado.

Hay que reconocer la complejidad del mismo, pero cierto que es que no estamos hablando precisamente de una herramienta de boton gordo, si no de un Framework muy especifico y orientado a profesionales de este campo.

La ingeniería inversa en aplicaciones Android es una cruda realidad, y aunque existen varias técnicas para ofuscar código,  es posible la decompilación y análisis de gran parte de código en la mayoría de la aplicaciones.

Una interesante distribución es Android Reverse Engineering (A.R.E.) , que aúna en una sola maquina virtual muchas de la herramientas necesarias para practicar estas técnicas.

Antes de nada hay que dejar claro que destripar una app no implica malas intenciones, dado que es muy útil en el caso de buscar malware dentro de algo que parece inofensivo, y así aprender las técnicas con las que se nos pretende engañar.

Cuando trabajas como desarrollador de  Android, has de intentar conseguir la mayor cantidad de atajos posibles para asi poder mejorar tu productividad. Aqui os dejo unos sencillos truquillos que todo “picacodigo” ha de tener como habituales.

Para conectar un dispositivo, el cable es un problema a la larga, personlmente recomiendo siempre hacerlo desde la red wireless, bien activandolo a mano o mas sencillo con aplicaciones tipo adbWireless.

adb connect 192.168.1.120:5555 adb shell adb disconnect

Yocaina es un lector de tarjetas Mifare para el entrenamiento en el desarrollo de aplicaciones y tarjetas NFC, mediante un el código en XML es posible definir varios tipos de tarjetas asegurando asi las diferencias entre cada una de ellas.

La puedes descargar desde el Play Store desde el enlace  Yocaina o bien mediante el codigo QR

La aplicación ha sido liberada bajo licencia LGPL, y esta preparada para la implementación de mas tipos de tarjetas, como por ejemplo ISO 15693. Puedes contribuir con tu código desde el repositorio de github:

Siempre que se empieza a desarrollar sobre C++, lo primero que se piensa es que es un entorno feo, aburrido y arcaico. Al cabo de un tiempo te das cuenta de la potencia y las maravillas que puedes llegar a conseguir con este lenguaje de programación, y por que sigue estando tan extendido.

Hoy vamos a ver como generar unas sencillas macros, que podemos incluir en nuestras librerías mas típicas, para poder mostrar la salida de debug coloreada, y diferenciar así entre de forma mas sencilla cada output de nuestro programa.

Aztrino es uno de los firmwares para los decodificadores Azbox Me y MiniMe basado en la plataforma Neutrino. Para poder desarrollar sobre este entorno, primero hemos de instalar algunos paquetes, e iniciar la configuracion.

Para empezar preparamos el entorno, por ejemplo, desde una Ubuntu 12.04, al menos tendras que ejecutar:

apt-get install cmake gperf

git clone git://gitorious.org/neutrino-hd/aztrino-buildsystem-cs.git

cd buildsystem-cs/

mkdir download

Editamos el fichero de configuracion, ejecutando

nano config

Una de las ventajas de codigo de Python es la gran cantidad de librerias que tienen a su disposicion, en este caso vamos a hacer uso de QtWebKit, con la que de formas sencilla podemos, tanto crear un navegador, o bien empotrarlo dentro de nuestra aplicacion. Editamos un fichero, por ejemplo pybrowser.py con el siguiente contenido

#!/usr/bin/env python

import sys
from PyQt4.QtCore import *
from PyQt4.QtGui import *
from PyQt4.QtWebKit import *

app = QApplication(sys.argv)

web = QWebView()
web.load(QUrl("http://www.thempra.net"))
web.show()

sys.exit(app.exec_())

Y ya solo nos queda lanzar nuestro mini-navegador:

python pybrowser.py

A partir de aquí se ha de trabajar con los botones, barra de navegación , ......

El próximo sábado 18 de Agosto estaré por el MUNCYT en La Coruña, con una charla sobre como realizar lecturas de ondas cerebrales con Electroencefalogramas (EEG) de bajo coste.  Presentaré el proyecto Theeg y seguidamente Jose Angel Mateo dará una ponencia sobre el DotNetClub.

Agenda

10:00-10:15 Presentación del acto y ponentes. 10:15-11:00 ‘Theeg: Leyendo mentes ajenas’ Sesión teórica. 11:00-11:45 ‘Theeg: Leyendo mentes ajenas’ Sesión práctica. 11:45-12:00 Coffe break

12:00-12:45 ‘IEEE-UNED Microsoft DotNet Club’. 12:45-13:00 Despedida y cierre.

Llevo varios años desarrollando aplicaciones para dispositivos móviles y desarrollos AJAX, y me pareció genial la idea de fusionar ambos, después de estudiar muchos frameworks, llegue a la conclusión que el que mas se adaptaba a mis necesidades era Phonegap, que con la compra por parte de Adobe al cabo de un tiempo me di cuenta que no era precisamente un error.

PhoneGap es una plataforma de aplicación HTML5 que permite a las aplicaciones nativas de autor con las tecnologías web y obtener acceso a las API y las tiendas de aplicaciones. Aprovecha las tecnologías web a los desarrolladores que ya conocen mejor … HTML y JavaScript

Dada la complejidad y dependencias de librerias sobre las que vamos a tratar, recomiendo que la instalacion se realice sobre una maquina virtual, en este caso usaremos Ubuntu Server 12.04 LTS .

1. Preparando en entorno

Un vez tengamos creada la maquina virtual, (asignar unos 100 GB de espacio, no se usaran todos, pero mejor tener espacio de sobra), procedemos a instalar las librerias que necesitamos:

sudo  apt-get install -y autoconf automake bison bzip2 cvs diffstat flex g++ gawk gcc gettext git-core gzip help2man ncurses-bin ncurses-dev libc6-dev libtool make texinfo patch perl pkg-config subversion tar texi2html wget zlib1g-dev chrpath libxml2-utils xsltproc libglib2.0-dev python-setuptools genromfs

Es usual que al cabo de varios años las previsiones de espacio en una maquina virtual se superen, en muchas ocasiones por que el proyecto al que ha sido destinada esta siendo un éxito y necesita un mayor tamaño de almacenamiento. Lo que en principio puede resultar una alegría, también supone un esfuerzo extra, dado que si la maquina esta en producción, y tenemos mas usuarios significa que no podemos apagar la maquina durante una hora para realizar las tareas de mantenimiento. Gracias a XEN podemos cambiar el disco duro virtual sin tener excesivos problemas

Ayer teniamos una discusion en Entornos acerca de la seguridad a la hora de acceder a tu cuenta de Gmail, o cualquiera con HTTPS, alegando que cualquier aplicacion web protegida mediante cifrado SSL es segura, e imposible de vulnerar, sobre todo con los nuevos sistemas de doble autenticación. Nada mas lejos de la realidad.

Una interesante herramienta ronda la red llamada “Surf Jack”, que demuestra una falla de seguridad al acceder desde lugares no seguros.. La prueba de concepto herramienta permite a los probadores para robar las cookies de sesión en sitios HTTP y HTTPS que no establecen la bandera segura. Puede descargar la herramienta desde aquí y un documento con más detalles sobre el tema.