Estimados amigos de Inseguros !!!
Hoy queremos enfocarnos en la formación en ciberseguridad, un tema crucial en el mundo actual.
Espero que con esta no me caiga una gorda, o sí, me da igual. Hoy voy a hablar de cosas que llevo tiempo pensando, y que ya he compartido en algunos círculos de la ciberseguridad y si, en algunos sitios me han dado la razón, en otros me han tachado de loco, y en otros me han dicho una cosa y han pensado la otra xD xD xD.
Hablo de esta corriente, para mi, egocéntrica y sesgada de las «palabras» estas de moda que comento. La formación en ciberseguridad debería abordar estos temas.
Me voy a poner en situación, con un símil, como me gusta a mi.
Hace 25 años hubo unos hackers que descubrieron que la playstation tenía un mecanismo de seguridad malo, que sólo autenticaba los juegos al arranque. surgieron hacks por ejemplo, el sacar el cd original y luego meter el pirata… o un chip soldado a la placa base que autenticaba cualquier cosa.
Los hackers que descubrieron esto aguita.
Y luego estaba «Pepe» el de mi pueblo que cobraba 30 euros por instalarte el chip. ese no era hacker…
Millones de personas usaban el truco de meter el cd…
No se si sabes ya por donde voy…
Yo en SeguridadSi hago pentesting y hacking. Vamos a «aluminios Segovia» y la hackeamos. usamos nuestras tools. uno de los pasos es buscar XSS. YO no inventé esa técnica, hubo un tal «jericko» o algo así que a finales de los 90 robaba cookies con XSS, bien. Si yo le saco un Xss Stored en una aplicación de «aluminios Segovia» hecha por su equipo, se lo documento en el pentesting. Es mi trabajo habitual. Si en vez de descubrir ese XSS en ese desarrollo, Aluminios Segovia no tiene programadores, y se lo compra a «Segovia Consulting» que vende un producto que se llama «ERP Aluminium» y es la versión 2.3, si le saco un XSS, voy a Incibe, hago el proceso y «me dan un CVE» por ese XSS en el producto «ERP Aluminium». NO HAY DIFERENCIA a cualquier trabajo de hacking web, salvo que en un caso ha sido un departamento interno quien ha hecho el desarrollo, y en otro caso ha sido una empresa que vende un producto.
Mí día a día es «sacar Xss» en las empresas que audito, sin embargo, la peña se flipa con «mi primer CVE publicado». Que no es que hayan inventado un nuevo vector nuevo de ataque XSS, sino que han descubierto un sitio en donde se puede aplicar… menudo descubrimiento como para ponerlo en mi CV !!!! si ese es el día a día del auditor !!!!!!
Esto por los «CVE».
Ahora a por el bug bounty: HACKEE A LA NASA, porque encontré un XSS en una web de la NASA…. es lo mismo !!! has usado las mismas tools para encontrarlo y para la POC que uso yo para aluminios Perez. La diferencia es que si eres un «bug bounter» parece que eres un soldado universal o un cazarecompensas del lejano oeste.
Otra cosa es que participes en el MSCR y DESCUBRAS un fallo NUEVO en un Windows, Oracle, Sqlserver, Docker, Ansible o lo que sea, NUEVO, pero encontrar un fallo conocido en un sitio nuevo, ES LO MISMO QUE HACEN TODOS LOS HACKINGS éticos del mundo, ENCONTRAR XSS en las webs…
Pongo otro ejemplo, no es lo mismo descubrir que se puede acceder a la memoria LSASS y dumpear hashes de un Windows, como descubrió Benjamin hace 15 años, si, el creador de Mimikatz, que dumpear la base de datos de tu cliente con mimikatz en un pentest. Uno es un hacker, el investigador que descubrió el fallo. Yo soy un usuario de su herramienta !!!
YO lo tengo claro, y veo con tristeza como se pervierten estos términos, o como al menos yo, les atribuyo otro valor. Para mi los bug bounters eran gente que DESCUBRíAN fallos nuevos, no que descubrían fallos conocidos en sitios nuevos. Quizás sea yo…
Incluso algún amigo mío, da formaciones de «experto en bug bounty». Cuando le pregunto si usa Burp para sacar xss, me dice que si, que hay diferencias en el engagment, scope, contrato,etc, pero que ténicamante, el «alert=1» es el mismo. En la formación en ciberseguridad, deberíamos abordar estos temas más a fondo.
Yo siempre he dicho que yo no soy hacker. Yo no he inventado nada. He hecho alguna investigación de sectores, pero sobre fallos conocidos. Yo no he descubierto una manera nueva de hackear Azure. Yo las aprendo, las uso y las enseño. No he programado una herramienta como SQLMAP, yo la uso. NO ES LO MISMO.
Como dice David Melendez, ser hacker es ser investigador. Encontrar XSS en 20 páginas, por mucho que sean de la NASA, no te hacen HACKER. Puede que si seas hacker, pero es distinto.
A ver, todo entre comillas. Las empresas que se meten a un programa de bug bounty son empresas maduras, y es más «cuestionable» o «censurable» o «reprocharle» que tengan estos fallos, que deberían cantar en Integración Contínua o Devsecops, y muchas veces, es mérito del hacker que ha encontrado vectores complicados. Pero la mayoría de «bug bountys» que veo, que encima los publican como éxito, son CHORRADAS, con todas las letras, pero se permiten decir que han hackeado la NASA ( un phpinfo xD xD xD o un default de un tomcat).
Como resumen, es que todo se ha prostituido tanto en la ciberseguridad, que si un día cagas una mierda grande, lo vas a publicar en las redes porque estás hecho un campeón !!!
Como ya no se hacen las cosas por hobbie, sino que todo está enfocado en monetizar, todo se magnifica, todo se cuenta. La formación en ciberseguridad debería ayudar a superar estas tendencias.
Yo no tengo NINGÚN CVE publicado. intenté uno directo con Mitre y me CANSÉ. No estoy en ningún programa de bug bounty, pero llevo 15 años sacando CIENTOS, o incluso ya MILES de fallos, que comparto con mis clientes en un informe, con una apuesta de valor relacionada con la solución, mitigación y detección de fallos.
Si llevas 10 CVE en tu carrera, y con sólo 23 años ya has hackeado la NASA, PERFECTO. Yo cuando pienso en hacker la NASA pienso en mi montado en una cohete camino a la luna…
Esto no va de vender nuestros cursos o servicios, esto va de la realidad de mucho creador de contenido. OJO, no de todos !!!!
Tu qué opinas ? no crees que se nos va de las manos lo de las «titulitis» llevada a este contexto? Os leo !!!! La formación en ciberseguridad es crucial para entender estas dinámicas.
