Bsides Chile 2021 - Versión QUARANTINE
Show transcript [es]
diariamente se registra en chile- y algunos miles de ciberataques a empresas la tuya puede ser una y las consecuencias pueden ser desastrosas por eso hoy más que nunca tu empresa necesita estar protegida en infinity s ve a evaluamos y protegemos la seguridad informática de tu empresa nuestra metodología se basa en realizar simulaciones de eventuales ataques de hackers y evaluar el nivel de resistencia que tiene tu empresa frente a estas vulneraciones luego entregamos un completo reporte con análisis ejecutivo y técnico junto con el detalle de las vulnerabilidades encontradas y cómo resolver cada o el proceso concluye con una presentación presencial del análisis realizado adicionalmente es recomendable realizar consultorías periódicas para prevenir nuevos ataques cómo resguardar tu empresa agenda a una
reunión con nosotros definamos en conjunto los requerimientos del servicio terminadas las pruebas informamos los resultados de la simulación del ataque a través de un detallado reporte nítido por completo las vulnerabilidades mediante la aplicación de las contramedidas contenidas en el informe entregado al final del proceso si necesitas apoyo en la implementación de las soluciones también podemos asesorarte infiniti esp ciberseguridad para tu empresa
[Música] norte digital cloud es el partner estratégico que las empresas necesitan para solucionar sus problemas digitales con profesionales especializados en la nube de google cuenta con presencia en países de latinoamérica ayudando a empresas grandes medianas y pequeñas a mejorar la productividad de sus equipos y la seguridad de sus datos a través de la implementación de los servicios de google cloud la nube de google provee a las empresas las herramientas de tecnología más innovadoras necesarias para escalar y adaptarse rápidamente en un entorno dinámico obtén la libertad que tanto deseas con norte digital claro
[Música]
[Música]
no no [Música] 2 [Música] 2
[Música]
[Música] ah [Música] en un mundo hiperconectado y dependiente de la tecnología nadie está exento de un ciberataque y su impacto reputación al económico y directo a los usuarios de las plataformas tecnológicas estamos enfrentándonos a organizaciones criminales millonarias y con alta especialización lo que hace a la industria del cibercrimen incluso más atractiva que la industria de los narcóticos en cuanto a créditos económicos en avances dedicamos nuestro conocimiento y experiencia a potenciar los activos de información de las ciberamenazas contribuyendo a crear un mundo digital más seguro desarrollar las soluciones tecnológicas y de servicios flexibles y basados en una relación de confianza con nuestros clientes para eficientar sus costos y dejando que nuestros clientes se enfoquen en su
negocio nuestros servicios son diseñados para brindar una óptima eficiencia y resultados prácticos además de estar en constante actualización y adaptación gracias a nuestras asociaciones con los fabricantes de soluciones tecnológicas y líder a nivel mundial nos convertimos en sus manos expertos el cibercrimen es una realidad protégete antes que sea demasiado tarde [Música] 2 i [Música]
ah [Música]
2 aquí [Música] 2 [Música] 2
también a la hora [Música]
o
[Música]
m
wimax experience [Música] shriver
[Música]
sí bueno
hola bienvenidos a una nueva versión de visas y chile 2021 nuestra versión 40 después de tanto caos en el mundo un gusto de estar nuevamente contigo y vall como estas desde el campo gracias que estamos bueno les doy la bienvenida a toda la comunidad a los investigadores a los hackers de todo el mundo ha llegado el día ha llegado el día que tanto investigador comunidad espera ahora un poco le vamos a comentar cuál va a ser nuestra parrilla programática así que en eso estamos y vall antes de empezar podríamos comentar un poco cuál es el espíritu de beat site básicamente siempre decimos que es por y para la comunidad y dentro de él por y
para la comunidad este año nos enfocamos muchísimo en que todo lo que pudiéramos obtener fuera para la comunidad así es somos el lado ve así no hemos llamado en esta octava versión en las siete anteriores siempre hemos sido el adobe y siempre lo que hacemos y lo que damos es para la comunidad así que hay muchos premios hay muchas charlas hay muchos talleres en muchos training que son para ustedes y para ustedes al final reservan a los que están viendo la transmisión y para los que no han seguido durante esta 888 temporada 88 versiones que ha sido bisite y además comentar que también esto de la virtualidad no ha sido fácil para el equipo de bisite o sea porque el equipo
de design siempre había estado acostumbrado a algo más humano algo más cercano en la presencialidad así es ahora nos están viendo de todo el mundo y aquí aprovecho tomar un par de segundos a mi amigo de noruega christian billini gracias por estar viendo no aquí en chile un saludo así que estamos vivos para que des para que te des cuenta perfecto así que saludos al amigo de noruega te gustaría que viniéramos un par de comentarios que están acá perfecto vamos a un comentario a las ocho de la mañana netbook 92 que estaba diciendo por fin otro año a participar de be sites the snow donde será así colocar accidente chile si es de chile del sur de chile
después tenemos a centinela que dice goodbye por aquí carlos omar mendoza saludos desde perú así que saludos a perú a canet bot nos dice de temuco desde chile mira empecemos regalando yo creo que hay que no hay que regar hay que regalarle algo y cuando después vienes roy fokker que dice hola hola muchachos qué bueno verlos nuevamente pero antes de que partamos regalando lo que podríamos hacer es mencionar qué es lo que tenemos durante todo el día para regalar y cómo lo vamos a regalar mirá acá también para andrés es que nos está mirando a los que se genial participar del lado ve te parece igual que partamos comentando todo lo que tenemos para regalar
perfecto le doy el paso usted ya que tenemos para regalar muchas cosas y aquí tengo o sea recordémosle es por y para la comunidad y este año nos pusimos con todos los regalos para que en el fondo todos pudieran ganar algún premio si mira tenemos gift card tanto de amazon y a w s para regalar durante todo el día así que no se desconecten porque los que estén conectados van a poder ganar ya tenemos membresía d catch the box tenemos libros también para ganar audífonos y también poleras rockies y autoadhesivo de visa y también vamos a y vamos a sortear también durante todo el día y también tenemos también unidades de disco ssd también ahí que
también nuestro amigo felipe también nos regaló para poder regalársela a la comunidad osea recordemos que felipe hot de trichet tech es siempre es como el miembro ilustre de bi site es alguien que siempre nos apoya en nuestro plan b siempre sí así es yo quiero regalar me quiero regalar y hay que regalar yo creo que ese usuario que se conectó a las 8 de la mañana ocho usuarios que se conectaron a las 8 de la mañana bueno
centinela y ti que nos cuesten 11 el tiro los dos a contacto revisa sl punto hereje si están escuchando en estos momentos un netbook 92 y sentinel haití nos mandó en un correcto contacto besides el 'punto xavi site se les punto hereje y igual el líder supremo no les va a dar un regalito por estar conectada a las 8 de la mañana en nuestra transmisión de visas acá siguen apareciendo hartos mensajes mira carlos baeza nos pone un corazoncito grande con los besos tu amigo que dice grande y va a los saludos tenemos a fabián buenos días a fernanda hola hola fernanda bienvenida después tenemos a miku dice primera vez que participa en visas y saludos desde chile va a ser un
excelente experiencia a participar de visas y porque nos caracterizamos por la cercanía con las personas que participan en nuestro evento nos gusta estar siempre de la mano de quienes nos miran nuestras redes sociales están disponibles siempre vamos a responder los correos las redes e incluso nuestras redes personales y es algo de bisite o si es que en algún momento tienen algún alguna dificultad así es empecemos por el programa para contarle un poco qué va a pasar hoy o si todo si va el mensaje más importante mira espérame caldas saludos a ella bueno a tu amigo si me quieres seguir viendo puede ir a mirarme a youtube.com es la destinada con canción pero vamos calmando no
la charla gracias por la invitación hola desde peñaflor no nos piden que nos saquemos unos stickers ya vamos a hablar de eso pablo andrés y yo quiero regalo vamos durante el día después saludos desde rango barbara me dice me encanta todo estos saludos desde me pega bien que alguien nos tengan como de fondo para poder escuchar y hacer más amena en el fondo en el trabajo felicitaciones al equipo de visas y también aquí claro saludos igual desde mi trabajo la mitad de ella deja cada nos dice hola manuel saludos de excepción
así que eso es genial que como partimos y contamos directamente las charlas que van a ver hoy en esta sala general o contamos primero el tema de las poleras los stickers vamos a hablar de las políticas después de las charlas que van a estar en esta sala general ya perfecto y después de mostrar las charlas vamos a contar cómo van a ser los concursos y también después nosotros va a haber una persona de mercado libre que nos va a contar también lo de the light hacking o height day que está que está organizando mercadolibre a través de visas así que ahí podemos esa es la pauta perfecto entonces hablemos de las poleras baby site tenemos una cantidad
para regalar de poleras de miss ice y también entiendo que tenemos yo kiss y stickers así es así que cómo va a ser la forma de ganar durante la transmisión en esta sala general vamos a estar lanzando códigos ya para cuando aparezca en el código los que nos manden un correo o que se inscriban en la página con este código bueno vamos a poder mandar la polera a 7 región y si es de la región metropolitana lo vamos a hacer un un día o dos día d qué vamos hacer picados en algunas en la universidad mayor y ahí vamos a igual puede retirar suponer a que para poder concursar lo que tienen que hacer es ir a la página de deeside
se le punto hereje tenemos un botoncito que dice concursos que tiene un google forms y nosotros vamos a lanzar este código pero ese código va a tener validez sólo 10 minutos eso quiere decir que si después vieron la retransmisión o alguien les soplo después de esos 10 minutos no es válido así que tienen que estar muy atentos a la transmisión de hoy y por ningún motivo desconectarse así es que parece que vayamos inmediatamente a mostrar las charlas que vamos a tener hoy en nuestra sala general perfecto vamos con la primera introducción al ética del hacking de nuestro amigo mateo martínez así que va a estar muy interesante esa charla así que no no va a empezar de la
introducción así que para todo el público presente entonces hoy día tenemos a las 10 de la mañana en horario chileno en horario de argentina introducción al ética al jardín con mateo martínez a través de este mismo links nuestra siguiente presentación que tendremos el día de hoy en testing con go así que con carlos uva también hay un excelente expositor nos va a presentar esta charla a las 11 am de chile y argentina así que ahí también vamos a estar presentando leaf carlos y también tendremos a las 12 del día automatización avanzada de inyecciones se cuele con marcelo burgos para que todos estén atentos y puedan participar cracking hasta services así que ahí con budget ahí creo que está en la charla
más espera yo por lo menos soy un admirador de ballet así que en ese sentido estoy esperando su charla creo que hacer va a romper así que ahí nos va no nos va a enseñar así hacer scratching a través de telegrama de esto yo tuve la fortuna de ya ver la presentación de valles y es una de las charlas más prometedoras diría bayern también es bien misterioso entonces yo creo que va a ser una excelente presentación así que a las 4 de la tarde va a estar aquí en nuestro amigo galleta aquí en bici yo me acuerdo cuando lo entrevistamos en roca y ese ese día y ganó el bueno participó en el ctf y
también digo muy buen muy buen feedback en ese spf que hicimos de ataque y defensa así que de hecho se lució porque yo me acuerdo que cuando la entrevistamos en rockies él no quería que lo entrevistamos y después no no lo podíamos parar el de bajo perfil así que su charla yo creo va a ser una de las mejores esperamos espero así que sea igual te parece que te comencemos a conversar de este life hacking pero rodrigo no está esperando así que ahí está rodrigo bienvenidos estamos disfrutando este 22 también y bueno rodrigo comencemos hablando de que es el life hacking de mercado libre les cuento un poco ya este segundo año consecutivo que al menos lo hacemos con
visas el elemento del ataque hace ya varios años que estamos haciéndolo de forma regional en varios países impartimos con argentina y brasil chile fue el tercer país que estuvo haciendo este tipo de eventos en la región y ya ahora último en colombia méjico también lo empezaron a hacer segundo año que lo hacemos con visas y este año ha sido espectacular la verdad se inscribieron más de 20 hackers para poder poner a prueba la seguridad en la que nosotros trabajamos día a día en nuestras aplicaciones tanto el mercado libre como el portal inmobiliario y mercado pago hasta el momento van al menos 88 de los chicos han encontrado algún álbum finding dentro de nuestro nuestras aplicaciones tanto aplicaciones móviles
como aplicaciones web y nada la verdad que se ha venido estamos súper súper bueno elementos hasta este momento hemos duplicado al menor bounty de que entregamos el año pasado hasta ahora esperamos incluso que aumente hasta el tema y nada vamos de una cantidad ya bastante bastante fallón de los chicos y todos súper bueno y bastante técnico así que súper felices con el desarrollo del doctor rodrigo el evento cuando partió cuando cuando finaliza si el evento dio inicio formalmente este lunes de esta semana de hecho a diferencia del año pasado dimos un par más de días para que pudiesen estar realizando a los chicos y pudiesen conocer nuestras aplicaciones y poder quizás encontrar finding de mayor
criticidad y hasta ahora no hay o bastante bien desde el lunes hasta hoy a las 4 de la tarde van a poder estar reportando file bióticos perfecto rodrigo sí creo que tienes una presentación para mostrar y creo que ya hablé casi todo lo que venía la presentación así que quizás lo único que me gustaría mostrar en este momento estos tres que tenemos ahora si me puedes dar a ir a pasar la presentación y la verdad que el top 3 son el top de chicos que hoy existen en el ranking de the hacker one de chile así que felicitaciones a los tres que le han dado duro a mercadolibre estos días y la verdad que los precios súper súper
bueno hay seis sándwiches y roberto felicidades esperamos que esta tabla se mueva un poco más ya al final del día así que el desafío de ellos que se mantengan a llegar al cierre de la jornada rodrigo y podemos saber de qué países son estas este top 3 si el evento es solamente para chile y para chilenos en chile y estos chicos son al menos están en el top 5 de hackers en hacker por chile en él así que no bastante feliz de hecho de que yo esté participando y que no estén en berlín y que han enviado en estado bastante entretenido y desafiante de revisar lo siguiente muchas gracias también me gustaría saber en promedio
cuánto dinero han recaudado porque en el fondo n uno podría pensar que claro efectivamente están buscando vulnerabilidades porque eso no les gusta pero en realidad no es así no podría montar el momento punto dinero entregado mercadolibre en sólo el evento viral que no hemos cerrado en los números pero el año pasado entregamos el que cuatro mil dólares devolución total en el evento y en este momento llevamos próximamente más del doble así que se viene bastante bastante bastante excelente y cuéntanos por ejemplo el día de mañana alguien encuentra una vulnerabilidad de seguridad del mercado libre o en algunos esos sitios asociados cual es el conducto regular para notificarlo porque normalmente tenemos que entender que el mundo de la informática no tiene muchas
habilidades blandas entonces desde el lado corporativo cuál es la manera correcta de no haber una vulnerabilidad no me quiero adelantar mucho a la tarde hay una charla de hecho que habla mucho de cómo manejamos el programa de voz ponte escriban en mercadolibre y yo creo que los chicos les van a estar contando en mucho mejor detalle cómo recibimos lo report y cómo hacer esos recortes hoy es lo que te decía hacker one es la plataforma que utilizamos para recibir reportes hay un gran número de testigos que está probando día a día de la seguridad de estado libres y no esperen a la 1 de la tarde y ahí van a tener mucho mucho mayor detalle de los tipos
que administran el programa y eso no nos queda que en esto sí que hay ahí pueden hacer todo ese tipo de productos
perfecto oye todo súper claro me imagino que también vamos a durante el transcurso del día vamos a ir viendo cómo va avanzando esta jornada la idea es que a la una de la tarde después de la charla quedarán los chicos de bones que van a contar también un poco como 'elemento haciendo un arte y la idea es que al cierre de la jornada tanto desire podamos presentar el resultado final del evento así que nosotros también estamos corriendo contra el tiempo porque tenemos que revisar esa primera idea que llega y la cerrando con los chicos esperamos tener mayores novedad el cierre de la tarde perfecto no sé si quiere hacer alguna pregunta no me quedo sumamente claro esperemos
para una tarde que nos cueste un poco más los detalles así que gracias a rodrigo nuevamente hablemos de los talleres los training es como la verdad es como los casos que teníamos perfecto hablemos de los talleres y los training cual quiere mencionar pero antes de esos días sebastián romay y se asuman sí pero en cámara pero tenemos a mauricio tapia tenemos le quita al presidente fundador así que lo vamos a sumar y aquí está tan temprano trabajando el líder supremo líder supremo como ésta buenos días buenos días todos gustan todo bien bien bien partiendo otro año más con bisite a seguir nuestro amigo deber está hablando de la vida y este rollo tanto tiempo viviendo en el campo
ha dejado de gri a santiago entonces está siguiendo en esas cosas hablemos hablemos de las sorpresas que tenemos para esta jornada de guía y donde la actual adelante algo así que comentemos los dos talleres los training para contarle también que hay ahí y vamos a estamos bueno comentemos los hay bueno tenemos hartos talleres y training tenemos en total 83 ming en diferentes horarios y le doy el pase a mauricio para que nos comenten cuáles son los nombres de nuestros training hoy a las 10 de la mañana de 10 de la mañana a 14 ahora vamos a tener a césar soto con el taller y persistente your playing with the internet pen testing now 10 también en paralelo va a estar de día
12 héctor norambuena que es el sitio av de eventos con la importancia de conocer su postura de ciberseguridad través de un framework como lo es el cis control ahí invitación para todos los oficiales de seguridad para todos los que están relacionados al mundo de la ciberseguridad que quieren hacer como un análisis de cómo hoy día es la postura de su organización con respecto a este framework va a ser bastante interesante a las 10 de la mañana también parte o todo el peine que hacemos de los maestros su cabra hasta las 5 la tarde que no va a estar a cargo de gastón tot que es un pet testing mobile para android así que hay quienes se inscriben
en ese van a tener una jornada pero muy muy extensa a las 11 de la mañana parte víctor si sabe qué él trabaja en kaspersky y de grados vamos a tener un taller que se llama kaspersky interactiva y protection simulation experience o como siempre lo hacen los caminos de kaspersky se denomina acá ips de las 13 horas ya en la tarde vamos a ver espacio entre las 14 y las 15 horas para que todos vayan a almorzar entre las 15 a 17 horas vamos a tener este amigo mateo martínez también haciendo el training si a hakim de librerías de opensource ya también a las 15 horas a partir de 15 a 16 horas va a
aparecer jaime gómez con un taller que se denomina script o pick up larga vida al m de 5 y 1 y finalizando las jornadas de training hoy día o de talleres va a estar nuestro amigo fernando con ischia con una introducción atlética al hacking desde las 4 hasta las 6 de la tarde en este taller hace unos días en conversación con nuestro amigos de rock it que nos preguntaban cuál es uno de los talleres cual solo de las charlas que deberíamos que la gente quiere meterse en el mundo de la ciberseguridad de dice estar presentes bueno este es uno de los talleres que está realizando fernando donde hay una introducción al ética del hacking para que empiecen a
conocer cuáles son las tendencias cuáles son las herramientas como son las formas de explotar las vulnerabilidades y ahí fernando a estar según seguir bastante interesante ese es la jornada de talleres que hoy día tenemos para todos los amigos que lo están siguiendo en bisite y lo que son las charlas que van a estar en el escenario general o la votación general ya la bueno ustedes ver en el mismo en la página y también los vamos a estar comentando durante las jornadas de hoy bisite 20 21 40 y también también déjame antes que metros poder comentar que durante el día vamos a tener diversos primero íbamos a tener diversas formas de mitigar esos premios así que
ahí lo invitamos a todos a seguirnos durante la jornada porque van a ser diversas las formas de obtener algún premio este año en visita les voy a poner en aprietos a la organización ya josefina mira con una cara hace
quiero regalar yo sé que mucha gente quedó fuera de los talleres y los training los primeros los primeros que se copó yo sé que mucha gente quedó fuera entonces si no están viendo y quedó fuera de alguno está ayer que no describan y nosotros hacemos el cubo perfecto juego [Risas] o igual para las personas que quedaron fuera de algún taller y quieren participar porque empiezan en los próximos minutos quedado el caso para poder inscribirse a los que empiezan a las 10 de la mañana a donde escriben a contacto a revisar este punto de hereje y digan no al taller que quieren asistir y ahí yo lloro lo regaló un cupo mauricio te quieren quitar el lugar del
líder supremo no hay problema en problemas no hay líderes pero como él está haciendo el regalo él mismo los va a inscribir a todas las personas que nos escriban a contacto a baby safe cl punto elige a todos quienes nos describen y si quieren sumar alguno de exteriores que mencionamos hace un momento atrás nuestro amigo de los va a ir a recibir al taller personalmente nos va a dejar ir en el asiento online con nuestros speaker y lo más probable que también iba el baile personalmente dejar de una polera y un gorrito sobre todo los que están cerca de maría pinto los valores están regalos regalo en navidad mira yo estoy preparado ya de navidad y estoy ya verás
el correo cuál era el correo design cl en contacto a misa sl punto o hereje muy temprano todavía se nos mezclan los correos y ahora que está el mauro mauro podemos repetir cuál va a ser el procedimiento para el concurso del día de hoy mira mira aquí el robinson lo que te dice igual yo seguro ya este plano el hecho aliza el café [Risas] bien sólido de liga no tiene que hacer la taza yo estoy aquí así que ya están siguiendo de curacaví de ver que estamos cerca estamos cerca dice vamos cerca de maría pinto bueno mauro y en el fondo de la manera de regalar las cosas del día de hoy es mi site va a
ser la siguiente vamos a lanzar un código aleatorio que va a durar sólo 10 minutos van a tener que ir a la página de vie site cl punto hereje donde está el botón concurso a esquina superior derecha rellenar el google forms iba a durar sólo 10 minutos como ya lo repetido así que para los pillines que no estén mirando la transmisión y algún amiguito les haya soplado ese código va a quedar invalidado porque sólo va a durar 10 minutos qué opina de su líder supremo parece genial me parece genial este año tenemos muchos regalos así que pero también que la gente no esté siguiendo y esté compartiendo la url de la transmisión en vivo y vamos estar todo el día
acompañando acompañándolos en en big sight y ya no tenemos carritos de completo logro podemos mandar completito así de manera online pero si va a estar entretenido de que las que estaría participando y se vaya llegando los regalos que vamos a estar teniendo durante la jornada son artes tipos de regalos van a de regalo tanto físico en el proyecto es tarjeta es una cifra bien bien buena bueno y como siempre las podrán ayudarnos javier supremo por supuesto puedes por supuesto
si en el campo no hay dorado les sirve y [Música] bueno podemos repetir los premios que hay para hoy mauricio mira premios de los que recuerdo porque hay muchos hay un listado muy acuerdas del listado mejor y a ver si voy pero mira cliente incentivo van a ver gift card de amazon no no va a dar el monto porque ahí vamos a esperar que se lo gente se entusiasme pero un monto no menor van a ver una membresía ya van a deponer as van a ver libros de que ese lugar van a ver audífonos van a ver unidades discos duros externos también ahí y ya los fuertes fuertes que vamos a tener alrededor como de riesgo un poco
más de íscar de amazon por un montón bien este tenía varias gente puede hacer sus compras y también al término del taller de de estor norambuena va a sortearse que un teclado mecánico para quienes estén en el taller así que como lo pueden ver son hartos los premios y durante el día vamos a ir diciendo cuál es la forma de poder ganarse alguno de sus premios y para que se queden al final de bisite para que no se vayan temprano va a haber un premio final que son va a ser un curso de microsoft así que también nos vamos a dar al final de la carrera hasta el último día i
por qué comida andes teniendo la casa emilio comentario si quería mandarle un abrazo gigante gigante porque la veo conectada y también están preguntando por ella a la vale villalobos a nuestra lista saludos de donde estés conectada así que hay la barba nos falta otra mujer más en el equipo la próxima tenemos [Risas] un tremendo beso y abrazo a la vale que está haciendo patria ya en canadá mira tenemos desde noruega desde noruega y canadá estamos internacionales jose que nos jugamos un regalito vale el que está en noruega que podría ser el que ya regalamos dos cosas así que tenemos que esperar pero si el amigo de noruega hemos sido durante toda la transmisión claro le prometemos un
regalito el excelente día de los completos llevamos calmando nos como mauro vamos leyendo los que están saliendo en cuanta ya cada mano al toque éxitos y vale en este nuevo desafío la vale nos responde siempre hay con ustedes chicos un corazón para el aval buena cabros saludos desde viña del mar acá dice de tamales a noruegas y [Risas] richard el teclado la lleva este es para ti leal a mauricio mandó un saludo al club de los niños por su esto daría a todos los niñitos un saludo grande mira por acá desde córdoba argentina representando abisaid argentina caldito queráis buen amigo ahí el hombre el que estamos viendo pits hay tener gente tienen sigue saludos también
repitamos coloquemos ahí en pantalla en el correo electrónico muchas personas preguntan por él por el correo electrónico donde pueden enviar donde pueden escribir bueno como lo dijo ahora y evans es contacto y sites el punto o hereje la vista en pantalla ya están llegando correos ya de los cursos así que una vez que hago hoy ayer hay hartos saludos tanto tenido en internet iba el sacrificar ahí les preguntan para el concurso pidiendo el código de la conferencia y ronny le manda un saludo a iván le dice que le compro un huesito la busca para que no esté ladrando yo solo gritos muertos de hambre lo vamos a denunciar más regalón esto bien saludos a todos
por parte de jaca y a todas las mujeres de la ciberseguridad un saludo grande también como saludó al equipo deja cada mujeres en ciberseguridad que es un gran grupo galácticas de bonds y también hay que mandarle un saludo también otra organización grande de mujeres en ciberseguridad
ya chicos yo los dejo a ustedes transmitiendo porque gracias al voy a inscribir a las personas a los talleres así que sí
a salir del envío como como los incluye el taller después después de incluir a la sang avísame dice y los que estamos en taller como vamos a ver el tema del código hay regalos exclusivos para las personas que están en los talleres así que no se preocupe tiene posibilidad de concursar así es ellos están asegurados así que así que si a las 10 así que hay que presentar nuestro próximo expositor la carta vamos al mando no digamos preguntas imaginarlo ayer en donde los puedo ver donde puede ver los talleres y mira los talleres como dijo aquí nuestro amigo de hoy y como sabemos fueron los primeros que los cupos de los teléfonos el primero que se llenaron así
que ahí la vía recomendamos mandar un correo a contacto real y seis puntos el punto hereje de unos 40 y el que te interesa y gracias a nuestro amigo igual que se le ocurren ideas en pantalla que se sale de todo libreto de toda planificación vamos a ver si podemos hacer un cupo de vida para que te inscribas asiático pausado mira por aquí se nos apareció más y hablamos de él llegó muy tarde cierto creo que tengo haciendo terminando la charla anoche etc tienes un hombre de campo entonces un hombre de trabajo un hombre de trabajo hago trabajo en la tierra ahora parece que nuevamente mostremos y es lo que se nos espera a las 10 de la mañana
ya no pensemos bajo aguán de introducción
bueno a las 10 de la mañana como lo habían visto nuestro amigo mateo martínez con una introducción atlética al hacking parte y abre está bisite con este taller podemos decirlo no hablamos más feliz de una buena charla pero está en las charlas está en la charla porque también vamos a poner esto y el que también instruccional y tica al hakim esto estará abierto para todo el público que no esté siguiendo es gratuito tal como lo dijimos en otro día para todo lo que están sumando al mundo la ciberseguridad algo sufrientes upson no podíamos partir con algo tan tan [Música] como dicen volviendo a lo básico volviendo como a nuestro inicio a nuestro origen es más digo va a abrir
hoy día la jornada hablando de esta instrucción al hakim así que todas las personas que nos preguntaban los días en el rock it cómo podemos partir cómo puedo meterme en el mundo de la ciberseguridad aquí está para ustedes esta charla de mateo martínez sí que está súper interesante es gratuita lo invitamos a seguirnos a seguirnos en en youtube y jose de vídeos y también pues tienes a mano el link para que las personas y los vamos a ir compartiendo por todas las redes sociales de big sight instagram twitter facebook linkedin vamos a compartir el chat para que se puedan sumar a esta charla de mateo martina exacto y básicamente pueden ir a youtube.com y site chile inmediatamente va a aparecer
una cajita donde va a salir que estamos transmitiendo en vivo bueno importante también comentarles inhibir tenernos like que la transmisión suscribas a nuestro canal porque también seguiremos durante el día comentando las muchas novedades que se vienen para avisarles bisite no sólo se va a quedar con la inferencia una vez al año sino que vamos a estar trabajando arduamente para poder seguir fomentando la ciberseguridad y vamos a tener nuevas y nuevos proyectos
así es el año 2022 esperemos esperamos esperamos estar nuevamente en forma presencial ya era lo que siempre nos da la bienvenida a la universidad mayor y ya queremos tener ahí el carrito completo que mucho mucho creo que lo mejor que no lo más sonado es que siento completo así que esperamos que se pase la pandemia y voy a mostrar presencialmente el año 2022 así que así que a vacunarnos todo para que podamos presenciar que nos den un abrazo y conversemos mira llegó a mateo por acá mateo bienvenido avisáis 2021 comenta cómo andan los días más felices pueda acompañarlos hay que agradecido y como decía recibe de buenos realmente de cuidarnos todos y ojalá el año próximo
para borrarnos un abrazo compartir un café una cerveza tanto que cuando hace falta no sigue nada que agradecerles y felicitarlos nuevamente por un año de visa el chile para pasar por acompañarlos así que de vuelta súper agradecido y bueno felicitaciones y que sea un excelente evento recién estábamos comentando que tus charlas se llama introducción al epic al hacking que una charla en el fondo donde todos van a poder cómo dar sus primeros pasos en que es en el fondo la ciberseguridad exactos o final debería de ser una hora introducción con lo difícil que es esto pues es tan amplio hoy en día no el tema de hacking es decir hakim ético es algo tan tan amplio porque es aplicaciones
móviles apropiaciones web o infraestructura bien en temas de comunicaciones wifi youtube y seguimos creciendo en la cantidad de tecnologías en las cuales aplica este tema tan genético sumándole eso toda la cantidad de técnicas y tácticas que hay para cada uno de los temas específicos de para cada tipo de tecnología así que bueno intentaré hacer un resumen rápido para los que quieran realmente dar sus primeros pasos o refrescar algunas de las ideas o simplemente ordenar alguno de los conceptos o herramientas que puedan conocer así que sí excelente la idea es justamente hacer una pequeña introducción lo más ordenada posible para los que quieran dar sus primeros pasos que faltaba gente nos falta gente joven falta gente que se sume
que faltan profesionales para cubrir todo lo que necesitamos los dioses dios todas las empresas corren por detrás es difícil cada vez contratar hay muchísima rotación porque claro va subiendo en las necesidades van apareciendo errores nuevos y nos quedamos sin gente entonces tenemos que motivar a los más jóvenes de que se sumen a este tema tan apasionante de diversidad que todos estamos acá obviamente nos apasiona pero tenemos que seguir contagiando y sumar más personas y que se pongan rápido a tiro de las necesidades técnicas que tenemos hoy en día perfecto entonces mateo nosotros vamos a dejar la sala para que puedas comenzar y puedas dar charlas te deseamos mucho éxito y al término de la presentación va a haber un
espacio para preguntas donde vamos a conversar un ratito contigo valor excelente éxito
es a todos un minuto simplemente para compartirlo
voy a estar viendo en la presentación pero que escuchen y estén viendo respecto a plantación toda la prestación que vamos a ver ahora la pueden descargar editar link a bilic y abajo a la izquierda si lo ven prestación descargable desde https bit.ly 3 x 5 x 69 bien así que los invito a que les carguen para que puedan avanzar también al ritmo que quieran y les quede también de referencia hay varios links para los enlaces como decía recién en la introducción la idea es una pequeña charla bien ahora del cos introducción al hakim de cómo empezar este mundo de ética de hacking y ustedes comentaban la complejidad que tiene esto es tan amplio tan grande
inclusive uno a medida que se va metiendo en estos temas en esa sensación del tauro sabe menos no causa de menos cada año le falta más por aprender todos los días aparecen cosas nuevas a que está estudiando continuamente con lo cual lo que les de hoy seguramente sea viejo y obsoleto mañana y haya que aprender nuevas técnicas prácticas bien de lo que hay pero el concepto de la filosofía la metodología que vamos a ver perdura un poco más en el tiempo un poco las motivaciones perduran un poco es el tiempo tengo que tratar de hacer un poco de poco ahí y algunas herramientas y conceptos que hoy son básicos y que todos tenemos conocer y
con los que quieran empezar es una forma práctica y rápida de disfrutando así que por ahí va a ser un poco la charla en ese sentido lo primero que hay que admitir es bueno tener los conceptos no claros de la ética de la moral la integridad tiene el profesionalismo las metodologías las técnicas todo lo que comiendo como todas las cosas de la vida se puede usar para bien para mal el cual los circuitos tomar este camino desde el profesionalismo de tener una carrera en ciberseguridad bien son bien pagas hay mucho para hacer que quiera generar sorpresas tienes que quieres es consultor lo puede hacer y quiere sentarse en el escritorio y estar monitoreando trata súper avanzadas
también puede hacerlo es súper amplio entre líquidas el entrenador necesitamos gente que trabaja en sido cuidado en el rubro donde siendo más cómodo de lo que quiera ser tan exigente como quiera él pero dentro del contexto de vías trabajar justamente me acepte las técnicas de hacking que son iguales en las que están usando hoy atacantes ideas poder conocerlas y poder probar los sistemas y usarlos justamente como un control de auditoría de una prueba técnica con esa visión muchas veces ofensiva de lo que está sucediendo en nuestro contexto cuál es nuestro nivel de riesgo y de exposición y asia carlos depende un poco de la estación donde estemos parados bien entonces dentro de esto a la idea que les decía
de lo amplio que puede ser esto hay lugar que es interesante referencia que también para los que no lo conozcan un buen lugar de entrada en lo que es y tratar como como un framework donde los plantea las telas y tácticas que van utilizamos atacantes en cómo mapear un poco de ataques y que a priori es nuestra hoja inicial de ruta de técnicas y tácticas a aprender a conocer el concepto de las herramientas cómo funciona qué es lo que genera por tras cuál es el riesgo bien entonces a partir de ahí empieza hay como varias vistas de esto no desde la parte de bueno que probar nuestros sistemas cómo hacer la ejecución bien también cuando tenemos un
ataque podemos cambiarlo para lo que es ataque o cuando vamos viendo también las tantas tareas del proyecto y las no se mate o como un lugar como ven es amplio esto de hecho es el mapa completo reducido para cada una después hay hay sus secciones dónde pueden ver cada una ley sí pero simplemente para empezar un recorrido de lo que se trata esto genético significa la primera columna habla de reconocimiento bien nos plantea 10 técnicas de reconocimiento después de lo que generación bien y desarrollo de alguna técnica bien ese ingreso inicial después la ejecución de lo que son temas de persistencia y empiezan dos temas ya ve claramente privilegios movimiento lateral generación de credenciales evasión bien y aparte a y temas de ella
de persistencia no de cómo encontró la excitación de datos y en el impacto pues tener finalmente técnico por el negocio pero les queda eso como para ir tener un lugar de referencia de celebrar de cualquier tenista que es que hay y cómo se ha perdido eso a su eje o tenemos que cruzar con las múltiples tecnologías en las que nos encontramos cien días con lo cual el rubro no de hakim ético es es realmente amplio y necesita mucha dedicación después de the wind soul no experto en ciertas tecnologías en ciertos tipos de técnicas de ataques bien que muchas después se repiten y son comunes y venían sea parte de nuestra metodología entonces para pararlo para esto hay muchos que se confunden en
el mercado no a mí este gráfico del manual se bien bien práctico porque por un lado nos habla de lo que es un escaneo de un escaneo automatizado en cuanto a los escaneos no hablamos depende este y no hablamos de joaquín ético hablamos de alguna herramienta que tiene ciertos chequeos y aquí nos va a dar una visión propia que esto nos permite escalar bien hoy con temas del box por ejemplo donde tenemos inicios continuos y demás necesitamos ser muy muy rápidas y son imposible hacer un dt argentino inventes automático porque no lo va a hacer la tarea manual siempre va a ser imposible estar atrás de cada una de ellas con lo cual es un trabajo en conjunto no es
algo mejor o peor son tales diferentes el elp en destino es canarias una persona algo manualmente un equipo de trabajo todos los días viendo cada release ahí estamos herramientas pero siendo en dudas hay cosas que la vida no va a detectar y ahí empieza la tarea de repente está donde está y no vamos a comer un poco más amplio todavía bien donde vamos a poder hacer pruebas exhaustivas buscando fallas en la lógica del negocio bien tratándose explotación con lo que hay conocido sino creando scripts propios bien se vuelven un poquito más y empieza a aparecer diferentes técnicas ahí se habla de primero lo que es el box de caja negra es decir un ataque con esa visión fedesiba de un
tercero que no tiene mayor conocimiento de lo que está atacando bien sin credenciales etcétera bien si información de arquitectura y realmente esa profecía este atacante externo después entra por otro lado está lo que es white box esa casa blanca donde tal vez y politizamos no credenciales de estructuras diagramas inclusive el código y nos lleva a ese extremo derecho de corregir en el código la vista y poder revisar el código a la forma óptima para buscar unidades tal vez más compleja a veces o no pero con toda la vista es mucho más simple detectar dónde poder punto de partida y detectar vectores de amenaza en el medio está de grace box en donde poder conservas credenciales algún tipo de
conocimiento algún tipo de acceso hay en la parte con playa ciencia la parece toda la parte del cumplimiento tras el interrogatorio cumplimiento normativo que los pies ciertos controles cierto nivel base que tenemos pero no asegura nada y él no es un control técnico no es una simulación de ataque igual es parte de lo que complementa todo esto que estamos estamos hablando y después aparece lo que es hoy equipos de retina y lo que es esta simulation que hay herramientas también para eso y ahí equipos dedicados es el serra team con esa visión continua bien de revisiones y a partir van saliendo nuevas unidades y también haciendo evitar esa explotación entonces aparte de eso empieza a
trabajar en lo que es esa base de la pirámide bashar escáner autoridades del análisis continuo de dos partidos a base y un buen destino debería ser el resultado de una herramienta esta batalla mal tanto desde el servicio bien como desde que lo solicitas si nunca dices que anegó unidades y también no me convenga contratar con testigos y no esperar a correr unas cavidades me basan en los datos en escala durabilidad el secreto que contrata como servicio ejecutarlo con herramientas después si entramos a la etapa de pen textil bien cuando eso está superado bueno el puente que es la foto en el tiempo como decía mañana esto puede cambiar pues está obsoleto el frente externo si todo el pen testing al no ser
trabajo depende sting continuo depende esta infrecuente hasta trabajo de retina con títulos y después dándole ese contexto después de inteligencia de amenazas entre qué está pasando el contexto social con lo cual hay un poco el de lo que planteaba de los conceptos y en presentar algo y en cada gestión de unidades en escaneos unidades con lo que está en testing bien y bueno después empezamos a la etapa de metodología toda la parte inicial de un puente es que alguien debes definir cuál es el alcance en qué horarios o a trabajar bien si pasa algo a quien se reporta con quién se comunica y después en esa parte de destino donde el trabajo de identificación del rendimiento y
contexto bien de numeración de búsqueda nos de fuentes abiertas en buscar algún tipo de evidencia partida y siempre el trabajo de problemas ya no del escaneo de análisis de unidades y búsqueda de posibles vectores de explotaciones bien para después pasar un trabajo de reportería esto es para resumirlo claro empezamos una trabajo de reconocimiento que esto también si nos vamos algo más amplio puede ser buscar menos sociales buscar en la página web buscar quién es el director quiénes son los gerentes y expandir un poco más y vamos a seguir técnicas también por ejemplo de ingenio social en las pruebas el acceso físico pues también se ve un poco más amplio bien dependiendo de del marco del hacker
o el estemos dando después temas de caneo intentos de acceso después empieza la parte de obtención de accesos cuidar eso que se después el borrado de huellas como tal después bueno la parte de conocimiento siempre se habla de dos tipos no el pasivo y activo el pasivo paciente cuando la contraparte no se va por enterar que alguien está analizando esto a través de una navegación vuelve atrás un proxy por ejemplo desde la información que está pública en redes sociales o en portales públicos informaciones en sitios como yo dan oscenses no voy a hacer mucho foco ahí porque se dan muchas charlas que también para que estén iniciando google eso ganancia el usuario prueben un poquito
vinculen por visitas les va a dar mucha información de contexto bien de lo que está transformación de escanean ellos mismos y nos dan resultados de unidades con lo cual es un punto también de búsqueda y análisis pero el tercero no no se entera que ésta ha sido genial después si la parte activa en busca de sus dos niños un espacio y un crawling de los sitios web es bien ingeniero social donde haya un tipo de interacción ya sea personal o virtual en que es algo que del otro lado podrían darse cuenta que están bajo una prueba bajo un análisis en el camino de las trabas básicas buscar direcciones ip activas y buscar servicios activos identificar qué
servicios corren por detrás ese concepto que habla de una desgravación de tomar lo que nos dan servicios bien fingerprinting vamos a poder escuchar también te hablan desde nuestras huellas que va quedando de los sistemas y después sí empezar aparte de buscar unidades los invito que vayan armando laboratorios para empezar las clases es muy útil general laboratorios allí hay una instrucción que es cali linux como base hoy de cualquiera que esté trabajando aquí no que quiera empezar en allí tiene que conocer que linux se descargan obviamente gestiones y no quiero traer esas discusiones de que a mí me gusta más para roto o todo el cual lo cual distribución o armar los poner es perfecto cambio que tiene muy fácil
de mantener los paquetes se actualizan está muy bien mantenidos bien sin mayores en detecciones de unidades oye en el tiempo así que se los recomiendo como una herramienta para iniciar después cada uno decidirá por qué camino ir pero hay tienen muchas herramientas instaladas es fácil entonces hay mucha documentación así que es un buen trabajo les recomiendo dos máquinas para descargarse con ambientes vulnerables una máquina de obras pro con watts muy lentamente en la parte de aplicaciones en web vulnerables para conocer las técnicas justamente las unidades y riesgos más conocidos y las pymes pues esta meta es potable en una versión 3 bien que también tiene y hay un 12 también para validar que sigue siendo vigente para atractivas iniciales
donde puedes casar escaneos explotación bien con muchos componentes infraestructuras vulnerables las herramientas más básicas o whatsapp un proyecto abierto donde van a ponerse un escáner de unidades utilizado como proxy de intercepción para analizarlos me cuesta ahora profundizamos un poquito sobre eso y además como herramienta también inicial para detectar puertos abiertos servicios etcétera bien de la cuencia de cali y más que nada de herramientas pre instalados la parte actualización que él así que ideal para esto de lo que se anima como herramienta base a ver hay como dos herramientas que son las básicas iniciales de magnet cut obligatorias y básicas y ser práctico y familiarizado y emprender en los parámetros cómo funciona básicamente lo que hace es trabajar un poco los con los
ecuestres se puede empezar a cortar un poco en el sánchez de tres vías de ssp para tratar si el otro lado hay un servicio activo no bien y qué tipo de servicios están filtrados los puertos 70 y podrán echar puertos abiertos en que tú eres interesa entonces van a poder hacer diferentes técnicas bien justamente para identificar los puertos van a poder se cale o se vende los puertos del lunes de 5.185 y a partir de ahí pasar a una ip específica o un rango de ip se viene para poder hacer la edificación y poder analizar guardias que no la menciona una herramienta pero también una herramienta fundamental para los inicios puede realizar tráfico por crear conocer más
que nada los filtros específicos pues nos va a permitir a veces hacer algún análisis bien de los ricos que están sucediendo y puedan estar esas tramas y ambiente y poder tener un poco más de información y buscar ahí tal vez un compuesto que hable algo que el texto plano algún parámetro para poder analizar y poder predecir sesiones entonces la idea es que conozcan el mapa que pueda ser escaneos y muy básicos los invito a los que estén con cali porque tenemos instalados de escanear sitios de prueba como están y punto en el toro y poder de los puertos que están abiertos bien como parece que no es de esa tabla pequeñitas por ese puerto el estado y el
servicio entonces podemos lanzar un escaneo de hosting también con un scan más buscando esos sitios abrir esos desactivas bien podemos buscar también e intoxicó macchi no podemos lanzar esto en outputs específicos que nos permite demás para poder procesarlo con un script bien y ahí es que darle algunos para también para el pezón de pesca pcp el connect el cine scan para ir viendo si no está muy ajustado hay miles de vídeos así que nos dejó para que puedan fluir y tengo bastante temario hoy así que quiero ir avanzando en más que nada como decía la parte más filosófica massa que vamos a seguir en algunas técnicas y herramientas lo importante entonces es conocer la situación donde estamos actualmente en
todas las organizaciones en todos los servicios tan expuestos en los que también están en la interna cuando hay algún tipo de ataque interno pero siempre por la tengo bien por su naturaleza añado seguridad una época en la cual tal vez y seguramente haya una idea de espera ya las conoce este miércoles la autoridad nadie sabe cómo explotar la siempre está ahí tenemos los casos no de unidades que perduraron durante años no en plataformas es que todos utilizamos bien en casos como como ssh o inclusive de certificados bien ya partir de ahí en un momento en el cual alguien detecta la gloria de alguien detecta como explotar la y ahí se puede aprovechar de esa etapa de
oscuridad entonces esa esa penumbra en donde estamos ahora es algunos conocen como prepara unidades bien que no se conocen y esa sentencia solución más que temas más peligrosa en donde pasan los ataques hoy de grandes organizaciones y en que logran tener acceso ejemplos de investigación bien de otros que no se conocen que no son públicos a partir de ahí bueno puede pasar que se sea conocida la autoridad que sea público el exploit o dicha de la situación empieza a complicarse un poco más bien muchas veces las empresas sólo los investigadores demoran un poco esa publicación para que al mismo tiempo surja un parche en el parche previo a la exposición y la publicación de esos textos pero bueno
entra en el momento de que hay un parte disponible y allí empezamos esta responsabilidad como organizaciones de aplicar sus partes y ahí empieza a medir qué tan proactivos y qué tan eficiente es nuestro plan de aplicación de parches de las disponibilidades para poder aplicarlos en team en forma empieza una ventana y explosión al riesgo en la cual somos responsables realmente está el parche disponible este año está aplicado porque cuando se aplica es parte volvemos a esa época descubierto también hay algo vulnerable que no conocemos así que es importante de esta está de tiempo bien porque ni tener todos los parches aquí entonces canal de unidades de última generación al día nos vamos a unas que toda esa ventana descuidados
que puede ocurrir y con lo cual siempre la pregunta de los ataques es cuando nos va a pasar y de cara a al kaline tico muchas veces filtramos un poco esta esta ventana bien y nos centramos en bueno los explorer conocidos las unidades conocidas solamente en algunas muy avanzadas se puede llegar a ir a justamente hace una investigación entre tres masas de investigación que tiene que ver cuál en general entendés team y vamos a ir de esas unidades conocidas si alguna variante no hay variantes que nos pueda permitir o errores no de complicación de la plataforma de software que a veces ese desarrollo vería y no es algo empaquetado bueno seguramente está unidades no conocías y entramos un poco
damos los pasos en esa época época de oscuridad en la cual no hay publicaciones donde son por las medidas y que es parte trabajo depende está injustamente dijo el ine tivo identificar esas unidades con lo cual damos los pasos y se arman líneas de investigación bien sobre esa plataforma de esto alguno de estos días en esta ciudad de hoy una unidad de metro de corredor aunque según él conoce pero se ve les recomiendo en los paneles que se twitter desde seven you y bueno direcciones se cuele no a través de unos parámetros de búsqueda y aparte ahí una situación hoy compleja donde todos aquellos que utilizan el banco como plataforma y tienen que ver que ya sale analizar
estas situaciones por cual parte del trabajo estar al día de estas utilidades falta de trabajo de ciberseguridad y parte tractor mente definitiva es estar detrás de lo que está pasando que inclusive los atacantes tienen esta metodología de decir bueno ok hoy no hay minoridades si yo ayer tenía arranque über esas versiones no tenía una bulería conocida no era explotable inyección sql a priori bien hoy si alguna 30 de la mañana sal esta unidad sale alguna estoy por por internet me transforma se transforma vulnerable automáticamente tengo empezar a reaccionar frente a esos policías en el equipo ya ven más avanzados de retina es este trabajo lo que voy saber qué y organizar a un cliente tiene estas
versiones bueno apenas sale la alerta lanzado disparos empezará su trabajo inteligencia y ver cómo generar él se explica parte ahí explotar pues aquí estamos es trabajo del reptil el rating como concepto un método utilizado por los militares alemanes y 19 la idea justamente era trabajar bien en cualquier técnica que pueda poder impedir una misión y eso es un poco lo que es lo que buscamos comercial el pen de timoshenko muchas veces es algo ahora está hablando de autónomos puentes es una cosa automática también automática vídeo continuo está en testing en ángeles una foto en el tiempo tiene una secuencia que tengamos es una formalidad entonces hay que trabajar ahora en quedado y continuar es un poco el reptil
busca esto no estar continuamente analizando qué versión tenemos que une a salió hoy y poder buscar esa explotación y poder trabajar una simulación de ataques bien empieza avanzar algunas herramientas de brillan attack simulation para ayudar que estas tormentas de dependes que en automático que acompañan en trabajos por manual de profesionales de ciberseguridad bien y aparte ahí buscar errores configuraciones de errores y la lógica y un trabajo de inteligencia amenazas errores que se ven en el mercado el rating hasta tres destinos de su plan textil y su actividad una foto es otra cosa que él retín o bien que el rating lo único que desea y pensar que marcó un ratín porque lo que hace es escanear
unidades no eso tampoco tampoco es un reptil eso es cuestión de movilidad es el retín va a ser algo de ataque buscará justamente esas ventanas bien y dar esos pasos hacia la investigación continua de nuestros pasos la zona de oscuridad que le decía bien después bueno que el retina unidad se ingenia social campañas físicas están todos conocen es perfecto no tarea específica con tu alineación que hace tal vez al al reptil bien es una parte pero es un microcomponente es el prototipo después bueno y en los puentes esto de aves es bueno buscar el culpable más no es una tontería para mejorar bien si nunca lo hicimos con un pan testing es muy probable que aparezcan cosas muy graves
bien parece repuntar el control de batería es para mejora continua bien así que bueno trabajar en la automatización pero saber que siempre se requiere un trabajo manual para lograr algo efectivo bien y bueno esto de que sea económico rápido y sola vez como yo bueno es excelente al xerez aseguró hoy ya no soy segundo así que bueno solamente para repasar un poco y las funciones desde esta parte hoy lo que vemos asociaciones y hacia donde se está viendo es decir bueno sin gestión viendo los niveles ni aceptable del día para cualquier servicio expuesto y presiones internas lo que se ha empezado a hacer durante años es bueno en escaneos open testing anuales después se ha ido a temas trimestrales por
normativas por requerimientos regulatorios usted se pasa de género visión de escaneos mensuales de unidades algo esto continúa un trabajo de ráting de esto de estar el día a día con líneas de investigación en planetas un lugar para trabajar que todos los que estamos en la materia nos gusta sitios juzgando y box una buena plataforma para aprender y bueno en forma gratuita tiene acceso a laboratorios muy rápidos con un par de clics se crean una vez en negro porque conectan y tienen los whitecaps del paso a paso con lo cual es un buen lugar que recomiendo para empezar para que está empezando y para ser expresada en un paso un poco más cansado también un buen
lugar para ejercitar nuevas utilidades etcétera y por trabajar después conceptos básicos que tengo que tenemos el tema de él rivers el normalmente en lo que es a la dsp de rivers el nuevo va a ser esa esa conexión hacia atrás ese es en remoto que un servidor va hacia nosotros porque quiere lo pasó cuando nosotros queremos conectarnos cuando somos una otra vía depende extinguirían aquí y que no hacer una conexión servidor es posible que el otro lado hay un farol que bloqueé esas conexiones entradas de los vamos a tratar de hacer es que el servidor se conecta a nosotros y nosotros que vamos escuchando en un puerto específico con lo que se conoce como un indígena
importante escucha que va a estar esperando esas conexiones hacia atrás bien esto es forma muy simple y tal vez como primera aproximación a lo que es net que se comando en ese super utilizado y super flexible en ambientes gente y unix donde no podemos dejar un puerto escucha ese comando como en la computadora en rojo de atacar bien el sml pp y definimos un puerto escucha bien ese puerto estén haciendo un inicio modo verbos mostrando que lo que aparece en este caso en 4444 y que se dice esperando que la víctima se conecta si queremos ser simplemente modo de ejercicio ponemos en el consell con el comando aparece en la víctima para que el atacante pueda recibir lo
que está sucediendo lo que pasa una prueba rápida se puede dejar la aplicación que pueden probar después pero básicamente esa es la forma de hacer un rivers de s&p nacional que se va a conectar cuando lo llevamos esto de la explotación lo que se hace es habilidad el exploit aparece la conexión y ahí divisa bien después allí hay unos colectores también parte de lo que es el concepto de principio conexión desde arriba éste s&p que es el balín disip y conexión en donde ahí lo concede pensar la situación va a generar un puerto es de la víctima y se basa la conexión con el 27 a ese puerto para la universidad del otro lado del lado de la víctima y
les quedan para ejemplos más para los tiempos otro frame porque es obligatorio conocer para cubrir los pasos en pieza exploit en cali lo puede lanzar como ese msf con sol que lanza la consola que a su vez hay un módulo que es msf verón que nos permite generar el pelo específico cuando los del pueblo que justamente desde esa piecita bien maliciosa que queremos utilizar y trabajar en un lado esto puede ser con msf no podemos crear con una pequeña pieza de malware para windows para android para linux bien para php y eso es donde se ejecutan en una víctima remota y nos hace la conexión hacia atrás en nosotros para ejecutar la línea comando de cani m
s joven o espacio menos ancho de gel nos puede mostrar un poco las opciones que tenemos y aparece 32 de hablar tanto tales pero vamos a poder crear pequeños con menos el y vamos a listar los pedidos disponibles yo les dejo algunas confidencias rápidas bien van a poder generar por ejemplo un metal proteger para linux allí aparecen veces que ven o menos bien del pedido y ahí linux arquitectura 16 meter pero el tipo de gel y después reverse tcp hay que fijar unos parámetros bien para estas funciones uno es para vos es el local el host y otro son local por ahí aparecen las flechas rojas esas dos variables son the early sellers o sea este este archivo se va a ejecutar
en la víctima de una forma siquiera lo guisan escucharlo en ese en esa ip y en ese puerto en los laboratorios vamos a ver el calle generalmente cuando pasamos a la vida real y ahora que tenemos aquí nizar ver internet se destruye pública bien de cara a servicios de redes internas con ley local desde calle equipo que tensando podrían llegar a aprovecharlo pero es que allí después esto se puede por tradición de formatos se fijan en los ejemplos hay alguna gente como exc otros comunes tiene o podrían ser directamente sacarlos pues como php y demás bien para no estar utilizando entonces les comenté un poquito antes de la consola bien pueden ser la consola bien en la consola
conocerá que armonicen en un poco más avanzado bien que veíamos con ética bien con el comando yus pueden setear ahí el story quien utilizar bien en este caso vamos al explore multi janda que nos permite gestionar esas conexiones bien y hallamos a cara después el peñón de del río este sp bien de meter pt y entonces unas que seríamos él handler fijemos el pequeño este vamos a usar un windows el tc esto no va a generar ese es el reverso y después si cuando yo box jones vemos los parámetros que soporta de la play para este explorer para este peillon y hay que configurar los comandos también y en este caso también podemos lejos en el
deporte igual al pp lo que se generó con los parámetros 62 buenos lejos la ip ser el deporte el puerto y luego ser exploit y eso nos deja ese es el y será con lo cual como se ejecuta el pelo lo que generamos en el equipo remoto vas a la conexión y seo por trabajar de aquí les queda ahí el paso a paso dejan dar para tener algo práctico como día bien después bueno para estudiar trabajos poquito más en la parte ahora de hacer un laboratorio rápido de hacking y entrenamiento de jaquimeyes es web les recomiendo web del proyecto de aguas bien en este estado 810 no es la última pero es una opción que está muy práctica muy fácil de
descargar hasta en w 10 lanza con java a menos dar el archivo tiene una consola que acceden por localhost 480 huevos en el provocan y lo puede hacer y tiene hay un lugar para trabajar y hacer ejercicios de laboratorios les dejo ahí para agregar detalles o para consultar inclusive con pánico en los blogs bien pueden trabajar con tan vulgar word application accent con el minambiente les dejo este ejercicio para que lo prueben hay una historia disponible tiene sus motivos y ahí hacer algún filtro es que ha probado docentes en damos luego application bate en la parte de upload tiempo es un archivo php lo que hay que hacer es crear por ejemplo con lo que vimos de metasploit
un pequeño archivo en php que se va a poder hacer el abogado porque no hace el filtro se ejecuta por la url del navegador y eso nos hace el rival gsp tiene otro así que tienes unos pequeños cambios en este a los archivos todo para él con cuatro después de otra forma me voy a pasar un poco rápido pues no se les va a la hora de hoy les queda aquí en los ejemplos que cometas prestable por ejemplo de poder hacer simplemente cosas muy fáciles como actores conocidos o temas de acceso vía tele sin credenciales en algún tiempo de exploit conocido bien y algún tema de por ejemplo métodos http vulnerables como el caso de cutié no aires que un ejemplo de
para hacer trabajar pero quería avanzar un poco para para trabajar este tema de raquis temario a mí es el concepto que realmente me dice el ataque son hay son imágenes e imagen metida en un diccionario con la cabeza y está atacando realmente gracias de lo que habla esto es decir bueno yo puedo hacer un ataque cuando estoy tratando de predecir claves bien tratando de buscar un acceso remoto fuerza bruta es unas tengas que estar utilizando de más de 300 efectivos con lo cual es importante conocer esas técnicas que en que ya sea romper la clave de romper un cifrado o lo que sea se pasa por una fuerza bruta formando todas las combinaciones existentes muchas veces eso se nos
vuelve un número imposible computacionalmente no o demasiado tiempo entre sus muchas de fuera del rango en el que tenemos de pruebas cuando se se hacen diccionarios es optimizar en base a claves conocidas se pueden distorsionar esos esa obstrucción adiós para buscar las peñas de la gente poder o entonces la clave 2001 o la clave de diciembre de noviembre de 2001 un signo de exclamación al final o un pesos o usar o hablar en lenguaje no de hackers exponiendo el poder los 4 y así calcular las letras no el lado con el serias esos esos cambios para qué es eso lo que utiliza mucha gente personas claves una de las herramientas que hay que viene en
calidad bienestar ancho en que es muy práctica es para ping espiritualmente no pide 346 caracteres eso sí es bueno son los dígitos como su sacarán muy simple por los comandos comando crans largo mínimo del vehículo general largo máximo en este caso la domingo 6 la re cuestión 6 pines para para iphone templo y después de digo los caracteres que dio 0 1 2 3 4 5 6 2 los dígitos y mejía todas las combinaciones bien para eso para esa combinación de dígitos en ese largo ningún máximo que quisiéramos generar otra parte dice puede lanzar un ataque contra eso es que los parámetros del granjero ahora debe pasar próximamente no hay tiempo pero otra herramienta que
nos va a permitir mejor los diccionarios incluso a veces se puso alcances como base bien y dos agujas para perfeccionar los kayak sirve como hábitat de hacking para ser cracking de contraseñas bien hablamos de password recovery pero hablaremos concreto que es crack y de contraseñas y nos permite bien trabajar con ciertas variables donde por ejemplo nos transformaron con con las arrobas y con ciertos caracteres que tienes nos permite ir transmutando esto es empezar a pasar de diferentes bien nada atrás una casa en cuatro poderes del estado con él es con un país y no jugando con las teles utilizamos ustedes para confiar las claves y les queda un poco los tipos de sustituciones de mayúsculas
minúsculas etc trabajando con las combinaciones de contraseñas queremos crear en hay a su vez una serie de reglas que ya hacen esa transmutación es por ejemplo lo que son las tóxicas bien que pase todo esto estamos hablando del formulario no sé si hay un líquido y un diccionario se pasa por conseguir publicidad nos dan millones de combinaciones adicionales ahí les queda el comando completo para para juntar y que jueguen un poco con estas contraseñas voy a pasar un poco expuesto cuando hay crafting para algún tipo de un algoritmo o bien de parámetros especiales y porque se con esta visión de que hay hoy sitio como cada extensión punto net bien online es crack de dibujar
ejemplo gatsby que nos permiten probar mis hijas ya está conocido como como conocida o acelerar el proceso o contratar y dejó allí los pasos por ejemplo para hacer un cracking de archivos de office que tengan un tipo de clave y lo mismo para así dar pdf la tienes muy parecida hay miles de herramientas ahí les digo que consagra el paso a paso cómo hacerte extracción todo puede ser en cali y les queda y la presentación para poder trabajar después diccionarios que vienen en cali que son muy conocidos muy utilizados en muchas en los siete ejes también aparecen y puede ser un buen punto de partida hay mejores diccionarios también los pueden crear mejores diccionarios pero es un cuestión
que es el de rock ya que viene por defecto y usar sean word list en cali bien tienen qué descomprimirlo así que con chrysler podemos mirarles con el parámetro menos para poder hacer la descompresión y en chalets que al rodiu txt para poder trabajar unas herramientas hay dos herramientas muy utilizadas para que lo que es hacking el crack y en automático entonces una salida a otras medusas bien en el caso de aire tiene ya algunos servicios muy bien definidos stp etcétera que van a poder trabajar en este caso es un ejemplo en el paso 2 no está a dieta menos l mayúscula cuando somos el de mayúscula va a probar todo lo que hay dentro del rock y bien en ese
archivo le pasemos si no podemos ponerle un -0 minúscula y por ejemplo admin el 11 m martínez mateo monjardín es todo todas las combinaciones más fáciles que tenemos bien como temas específicos y después en menos p en este caso está mayúsculas también embargo todo el rollo completo con el que pasa probando para cada uno de usuarios todas las contraseñas y el que tenemos en ese en ese diccionario después le pasa por parámetro la dirección y creo que destinó el servicio ftp y ahí tienes menos ve simplemente de verbos para poder ver en pantalla lo que está sucediendo izquierda de allí para hacer pruebas rápidas con madera como una herramienta simple nos permite lanzar después contra
si fuera un sitio web hay que encontrar los campos un poquito de tiempo también muy documentados y les va a servir como una herramienta súper útil de fuerza bruta pero después conocidos con el comando search el metaflex es una forma de encontrar nuevos exploits bien entender cómo se configuran como funcionan bien yo por día y con herramientas concretas plegables 2 y 3 poder ese tipo de saqueos en meta play cuando logramos tener una sesión remota hay una serie de comandos muy útiles uno socio sensations bien concellos bueno si podemos las heces abiertas esto más que nada en mientras campañas por ejemplo de processing bien productos que genera da clic en en una pieza que se creó tal vez
con cometas plate y haga la conexión remota bueno empieza a parecer múltiples conexiones remotas no es una conexión bueno eso bajando sesiones abiertas y consejos 2 - inglés y el número de indicación podemos ir saltando entre sesiones bien después tenías de evasión simples que vienen con el mes de febrero muchas veces encontramos pruebas el cliente windows tiene un antivirus tiene un x de reúne de r lo que sea y me lo que es bueno que empezar a buscar pequeñas de evasión de que la pieza que estamos creando pueda abrir esos controles para eso aparecen templo que es msf menos que lo vimos yo con él - p pasábamos el pei lo llevamos lejos desde puerto y se fijan en segunda ni acá
aparece ese menos o bien que estén como bing además ya le estoy pasando para el tipo de existen seis bloques y acá está ganar es catalán hay cosas japonesa de play nada más que hacerlo de lo que decían un poco los dos kamikazes ésta no queda nada para hacer y ahí se fue se pasó para metro al menos sí que están telas las interacciones entre las ocho iteraciones bien para generar ese archivo malicioso codificado con su canal esto hay sitios como vinos total.com que también sea uno conoce un sitio donde puedo probar estas piezas para más gente los resultados en múltiples engine y se puede crear interacciones y no sean o no no sé que
en corto alteraciones en hagan menos y mil pero sí 2000 y van a ver que algunos antivirus y tenemos corte van a empezar a dejar de detectar y en esta pieza como delicioso bien hay que ya es un poco más avanzadas quería sanciona tenía simple simplemente para poder hacer esos primeros pasos elevación y de handling dejemos nuestras amigas que vienen acá ni para higiene social para temas a la imaginada de definición precisamente pero también para crear alguna sb etcétera set como herramienta también más que conocida en cali golfistas como herramienta hoy gratuita para lanzar campañas de phising de pruebas de los usuarios en la capa que tenemos trabajada y formalizar bien así que si tienes que crear todo manualmente
después la campaña está la plataforma disponible se puede descargar con un par de comandos queda operativa bien y permite eso que lanzar los correos tener una landing page copiaron de lalín dejar para menos ejercicios y nos presentas pues en pantalla capturadas no las credenciales quien hizo clic en el único reírnos tras word y rotativas de siempre pero súper funcionales después con 20 sep observaciones que también ahí lo que es el fuego para que trabajen y después con el control que es phantom en como técnicas también para vadhir entonces a modo resumen de herramientas para para también que son más era la filosofía y en salgado al principio que tengan un poquito de mapeo herramientas básicas
para tomar reconocimientos google siempre es tu amigo no buscar en google quién es el dueño empresa quién son los gerentes dónde trabajan toda la dirección un montón de información de contexto en que se puede sacar de google o del sitio web de la organización empresaria metas como en el mar de reinos comandos pero es el primer minuto y en ese primer segundo de las pruebas va a pasar con ese carné de puertos dependiendo nuestros horarios 920 dejan su propósito aplica una meta como nito bien como más cómodo como quiz para buscar en generalizaciones huevos y búsqueda de ipes masivas y el sitio como page minuto con mucho ánimo sensis como son que quienes van a dar
información está viendo está pasando a nivel personal lo que pasa en ciertas y periodos más en un país tú cuerpos abiertos bien que quedarnos y el objetivo claro si está en algunos lugares bien y ahora verás como se probó fisker sí mismos para ver temas justamente de en que asociar a la que responde el público objetivo y bueno estos comandos básicos telde ping etcétera de este operativo sólo por mencionar algunos defensores en técnicas de escaneo que también estamos en ese primer minuto en el primer minuto tal vez nos pueda ayudar tarjeta de escaneo impulsarlo de accionistas en esos son útiles pero no es no puedo quedar con esto entonces iverson herramientas no abiertas otras gratuitas otras
comerciales otras con versiones híbridas gratis de comunidad más con ciertas limitaciones jesús herramienta conocida open vasco revienta abierta para hacer escaneos doble pescan guarda gratuita específica para sitio pueden wordpress que son miles y millones que están bajo esa plataforma bien erasmo cuáles parker en whatsapp también del proyecto aguas herramienta gratuita en muros y configuración community y social profesional en hay más quien solamente de ti y depende de la actitud que vemos a esto herramientas de análisis estático análisis dinámico de análisis del componente de bienes de díaz etcétera vamos sumando dependiendo por gerard metemos herramientas especias para apis herramienta sentencia para web herramientas específicas para infraestructuras hay muchas más no se queden sólo resta listados es solamente
para hacer una pequeña guía para esa explotación bien en el que estamos hablando herramientas como estoy debe pero ya lo comentó estoy debéis un sitio de referencia en un sitio que tal vez con ventas son los primeros lugares a buscar en twitter redes en foros avance y mezclar pero un primer lugar dentro de energía sería buscar si nuestro equipo con esta versión tiene una utilidad de los tres bebés en sitios como ahora lo vemos un poco más detalles entonces como pone impactos comerciales con esto el propio en hay varias más 20 meses prevén que las vimos fandom eso con el map que no es la condiciones para automatizar ataque de infección si fue el libramiento superiores ahora vemos un
ejemplo en dos minutos bien para tomar dimensiones ayer ahí me gusta como herramientas de fuerza bruta bien son de reaper que no las lesiones pero tengo una renta también de las más conocidas con hans cap para acercar aquí bien de contraseñas así que dos herramientas para para sumar al portal porfolio de lo que están teniendo entonces después es bueno para los conocimientos conocer cosas que ustedes de red los robots a los estudios sobre esas herramientas que nos van a dar esa persistencia y ese acceso remoto y es bueno para reportes que dar presentaciones bien los documentos y herramientas como para de que bien yendo bien en calle nos permiten unificar unidades y generar nuestro soporte
depende sting el grande como ya se hizo el núcleo para un lado comercial para poder trabajar también esa reportería y en búsqueda de unidades después en el tipo de instrucción necesario que también se puede hacer con herramientas como es msf no debe ser como una transformada muy muy potente y esto tal vez sea la parte que hoy se utiliza están es creado en todos los lugares de archivos gratuitos no hay juegos etcétera de estados contaminados y sin embargo profesionales del mercado descargando etcétera y comprometidos justamente este tipo de juegos nos ha pasado de tener bancos comprometidos porque alguien se descargó en la máquina personal su pollito y eso impactó en los corporativos porque compartía las claves
por ejemplo en google miles de situaciones que pasamos todos esos productos gratis no sobra te vienen siempre acompañado de un bichito malicioso para hacer esto la tarea parte de lo simple que es hacer un archivo malicioso y durante otro ya no es parte de lo que también es parte esas pequeñas iniciales en hacking a saber acción persona en este caso de nuestro por ejemplo para hacerlos con punto y putt y herramientas de conectividad y es también utilizada por todos se descarga cuando blair en el punto excel con menezes fb no les pasamos algunos parámetros para crear este troyano y crear ese ese putt y malicioso que insta pasión junto y seguro es entre comillas obviamente no
nada de seguro ese público que queda como pupi seguro punto excel entonces pasa a la lectura dijo después le pasamos el archivo con medios x le vamos a pasar el pei lo bien que queremos desde hace dos meses por s&p parámetros de los que vimos desde efe - el host le hacemos un una codificación con chicata y es y lo exportamos pues con el menos espese y ello como punto y seguro exe eso la generación exe por el comando es que hay disponible nos queda un punto seguro exe que tiene el pedido y que si nos va a ser a la riba esp con lo cual si tenemos un inicio en otro lado en esa máquina dan doble clic
en ese punto y exc nos deja un chal remoto y pronto está operativo al remoto en ese sistema víctima lo peor no va a ser doble clic y el título real va a abrir con lo cual es ejecuta el cut y al usuario es un punto normal y lo que tiene por detrás es un pelón malicioso que nos hace ese derribo de este texto si no hay firewall ips etcétera esto funciona si no seguramente ese bloqueo debería espero que lo que aparece en las tendencias hay múltiples hay temas de evadir con el tema para que no nos lo que noticias regentes puertos salud un el dns si les dejo hay algunos temas audio que pasarlo rápido por dios
pero anima pueden lanzarlo con puertos autorizados con los realizados con el puzle de las madres bien y bueno después como entrar y eso está por ejemplo firewall en un windows bien como una tarea inicial también a trabajar generar tumores que nunca se dispara para el próximo y demás necesitas y mica que sean muchos falta para john jairo hay está absorbiendo del hack de box donde tienen tres desafíos tienen cómo solucionarlo o enterrar o incinerar los whitecaps como cómo ven ellos niños la mayoría de los chicos en youtube como funciona para probar fácil verse lo mismo ver cómo se son soluciones estándar cómo es el mecanismo general del proceso de un eje un ejercicio de estos para después que sea
práctico no son las técnicas y tácticas después también de aplicaciones es otro mundo por la tarde para estructuras y por todo esto aparte aplicaciones en donde real cuando empezamos a buscar problemas en las atenciones a ser sedada y aparece este monstruo gigante bueno es un bichito así que de fondo en muchos problemas muy graves ellos siempre se presentó en algunas tablas este este código ejemplo donde hay muchos errores los gases errores no sabes una programación 19 del plan de seguridad son círculos le estoy dando 5 en el método samsung que no van a ser las realizadas métodos que debían ser privados en días indiferentes o frases podríamos dar esto es un tema que en el
desarrollo de software muchas veces la sociedad no es la mayor prioridad hay temas de funcionalidades de manera está entre más mantenimiento nuevas y nuevas leyes estamos haciendo los tiempos de despliegue de difusas de que no se oficia el recre seguridad que no hay presupuesto que que se verifica todas las zonas entregas que hace adecuadas que se escogería conoce qué cosa que hay un firewall y justicia vamos a seguir que tendrá que ver después con aplicación que va a ser vulnerable ciudad a vivir todo eso pero bueno son partes con las que escuchamos en el mercado y a mí no me interesaba en diciembre impulso mostró que ese proyecto de obras o proyecto abierto bien donde hay como las herramientas de
postres up como herramientas callando vamos a ver un poco en detalle sap como no de cara a las calientes el escaneo de unidades bien nos permite saber de proxy intercepción paralizar el tráfico es después de procesos e interesantes como el coro el 7mo securities significó como uav opensource no el conocido y mantenido presión de contras way pero sus aguas contiene las con el set en un proyecto que va a ser del busca proteger de los gastos de los riesgos de los gastos terminó bien para lo que esto es mi lengua que se puede explicar fácilmente gratuitamente con reglas realmente buenos que se puede completar columnas de las comerciales dependiendo la publicidad que se tenga pero no es un poco el detalle de reglas
que no va estar protegiendo aguas después se ha hecho precisamente conocido por sus documentos documentos que son de referencia internacional en toda una comunidad de profesionales de seguridad de aplicaciones que trabajan por ejemplo en lo que es el gasto ten en cuenta que el proyecto más conocido de ovas ahora una fresca versión pública 2021 donde están los mismos diez rasgos principales de aplicaciones con lo cual para que quiera meterse un poco en la parte d hakim de aplicaciones y en particular web les recomiendo ya meterse a descargar estos estos documentos y los tonteando muestran riesgos como atacar cómo prevenir bien aparte allí aparecen proyecto mucho más amplio contenido más analítica de protege de los costes por
detrás las bombas que tengáis para que quiera hacerlo en testing web que es como el manual bien país tan detallada las técnicas bien aprobar bien y que testear en una aplicación así que también esté dando supremos pasos se está la carga estética de una versión súper segura 442 sino contra actual con una versión con igual para tenerlo allí al lado de la mesa disponible como guía de referencia después está el modelo madurez de ojos el nuevo whatsapp superaciones maturity móvil que nos permite evaluar el nivel de seguridad en el desarrollo del ciclo de vida desarrollar una metodología de desarrollo después depósitos que evalúan la seguridad de la aplicación como a sbs en el application estándar
permite evaluar el nivel de confianza como tener una aplicación en proyectos a sumaros tales como herramientas de inyección sql común como un punto de estado más de 20 años y este año cayó desde los vastos tel bien pero sigues en el tema hoy demostré seguridad de round club dicho ser secuela y a eso compromete la confianza ya la integridad 10 en la actualidad inclusive de capaces y esos otros que tenemos de clientes de servicios de información de datos de escrivá cia sitio de chiste pero muy informativos por expositores puntocom se las recomiendo si no le conocen más a los chistes y este famoso bobby teinver si le preguntan si el hijo se llama comillas simple drop tv students no y
dice que sí y bueno para la base del colegio pero ay ay hay muy buenas recomendaciones de cómo prevenir dichos sql en este tema vamos atrás simplemente un ejemplo rápido creo que es un laboratorio de de hacking de ficción fue usar draw caps de obras y hay una tensión de w haríamos algo de presión se ven con el mirandino y a partir pueden lanzar en una dirección les dejo hay un poco como con order va a poder ir contando con un gas por ejemplo bien y poder jugar un poquito más con direcciones pero después puede usar general es muy simple utilizar también ya comando se vienen cal y linux y para utilizarlos contra tan vulnerables para
hacer una prueba rápida en ese problema para menos uno entre comillas tengo para correr y tengo con las cookies de la cumplí de sesión de volver pero cook y guardar que inicia la cubrió con alguna herramienta que les dé la cookie en el navegador o si no con sap pueden capturar las cookies sería pasado en palabra cookies y para después pasar diferentes parámetros y les mostraban en pero podrían ser los de facebook de vms en acción - el bien para poder traerse toda la información y hacer un crack y no automático de contraseñas que se pueda detectar ese problema el punto es que desee con sql map para una herramienta que tiene que ser de
esta primera etapa está iniciando en conocerla busquen algún laboratorio que tiene el paso a paso y él pero familia es emocionalmente súper valioso que declara un buen destino fue profesional no vamos a es unas hermanas que se utilizan en el intestino eso se nombre muy rápido pero donde pescan una herramienta para wordpress tenemos éxito del pruebas ministerio defecto apuntador pueden lanzar las cosas y tienen un plan de ejercicios pero periódicamente se va subiendo ahí yo podemos jugar con doble pescan menos menos url pasa los verdes golpes y es una forma de probar la seguridad y en wordpress y después con nick todo menos herramientas bien caliente nos va a dar de pasada el segundo menos host y la url
y nos va a darnos información de ahí si del servidor del parque tenemos respuesta de los encabezados de los jefes que tienes etcétera el sitio que va a ser usted y bueno le mostraba y les mencioné explore y debe como un sitio de referencia el es que al link completo http el exploit de puntocom donde con buscar por tecnología bien ver si está verificado es el exploit hay una columna y de las primeras que aparece con es con v que gusta de policías exploit está disponible y probado bien pero muchos son para descargar es algún script a veces una conspiración a veces un paso a paso a seguir bien varía un poco según la plataforma y el tipo de textos pero
se fijan todos los que vemos en pantalla son todos de noviembre del 2011 vemos los del 2017 entonces esto continuamente se va actualizando y aparecen ahí no se fijan temas de wordpress temas de plataformas el segundo es la isla potencia foro para demostrarlo y blanco forma hoy súper utilizada y bueno mala suerte tuvimos aparece un exploit y el con fecha de 2021 también 10 de noviembre y bueno hay un se ve acorde y hay un robot como excluye con lo cual no autenticado contratos menores lo cual las versiones a 13 10 2 el que la tenga tiene que ir y despertar bien y trabajar sobre la misma y esta parte del día a día de la gestión
de que quienes mantienen estas plataformas de base para ir trabajando entonces está llegando un cierre lo primero que es repetir nuevamente es agradecer a la visa es que todo el esfuerzo que hacen por detrás la verdad que me voy a encantado poder estar allí como decía o no y de poder darles un abrazo y felicitándose personas no nos falta la oportunidad pero para ello es importantísimo que es que estos eventos hayan seguido pese la pandemia en que podamos encontrarnos de cierta forma virtualmente y poder transmitir ese tipo de temas justamente para motivar a que nuevos profesionales se sumen porque tal vez están en sidor ciudad pero no tan metidos en temas de tres ticos 10 a
quien también se puedan en tema personas que esos jóvenes estudiantes que logremos motivar y que se sumen a nuestra profesión y que sean parte de todo este personal que necesitamos hoy para bueno sobrevivir en este mundo tan hostil desde el ciberespacio entonces como recomendaciones matanza el día con noticias esto es día a día minuto a minuto pero de forma segura mañana bien hoy no tengo contra obleas mañana encuentro de unidades esto cambia y tengo que buscar todos los canales de comunicación que nos pueden permitir trabajar y ser mejores en esto bien después el tema expresamente lateral no pensar fuera de la caja siempre ese tema como si no hubiera cajas lo que se usa mucho bien allí les
mencionó los que son los los seis hombres de pensamiento por ejemplo de bonos o para poder tener una visión diferente la situación a veces nos encontramos a situaciones de bueno queremos son despliegue o queremos probar algo bueno tener diferentes productivas desde cómo ir a veces nos pasa que bueno se encuentra demasiado movilidad y se cuenta demasiado pocas ven que más encontrar bien desde ese lado específica optimista bien creativo es por el tema de los jefes es un tema que creo que todos los profes que no estamos en tiempo en diversidad trata de motivar es un lugar para aprender es un lugar para desafiar se es un lugar para conocer temas nuevas para poder general práctica allí es de josete sé que está
en un punto ahora bien como un portal que publica y nos comunica a los castros de flags de esos desafíos que hay periódicamente pero que se van y no en muchas de los seminarios y conferencias hay siete que es más interesante yo seguimos a personajes de anime participar los activos ya vimos varios en la charla y después a los corredores que quieran dedicarse a este tema del magnético volverse expertos en algún tema creo que ese es el mayor desafío no es bueno desarrollo de software a pies en el web aplicaciones móviles bien a pisa y todo un módulo de hacking para el besapiés ingenia social es un mundo en sí mismo red es bien está
operativos windows linux bien en todo lo que es mundo apple que faltan profesionales bien faltas faltan investigadores para ello ver si para lo que es para conamaq con lo cual hay hay espacios espacios para trabajar para investigar y pasarse experto del tema y eso va a ser un diferenciador que quedarnos simplemente en esto en infraestructura y demás yo creo que hay que hacer es ese crecimiento viene y es muy importante después lo que se va a aportar conocimiento bien la idea es poder sumar y contribuir a y en general esta colaboración no está charlas generar blogs el que quiera que un libro y trabajar justamente después en algunas organizaciones como guaguas que me encanta para aportar conocimiento de
lugares y bueno este tema que empecé a estar con estos hilos y otro jandro la ética ser responsables con lo que hacemos sí tenemos certificados mandos al día bien hablar bien de los términos que tenemos no es justo y bueno vía youtube es un camino de de que no hablemos de cyber security nos puede salvar security o ponemos ciberseguridad a veces quedamos mal parados entonces tratamos de hablar bien en los términos profesionalizar la la carrera y el trabajo que hacemos dentro de sus relaciones y bueno de estado también es divertirse dios dice mucho es apasionante bien la cara de estudiantes cuando hacen su primer casting de pajonales algo que me da felicidad pura no hay en cuando estás en open the sting
o algún hacking y las cosas funcionan desde el lado del atacante no desde el lado desde la prueba de secretos y genera cierto nivel de felicidad agregaría que para eso deja aquí por fall y para los que ponen for profit también es algo importante se puede vivir de esto así que también los invito a que se sumen a esta carrera esta profesión como decía la prestación que era descargable todo lo que vimos está ahí en ese vínculo pueden descargar queda disposición total de buscar en redes sociales linkedin twitter no uso mucho más que eso los invito a conectarse también quiero a disposición pero cualquier duda consulta lo que necesiten y bueno para cerrar ahora hay
que agradecer de vuelta por última vez a todo el equipo de visas sin esfuerzo que tiene esto por detrás así que nada y los admiro y los felicito y muchísimas gracias por dejarme nuevamente acompañarlos ha sido bueno si no hay más que vamos ahora por una etapa de preguntas consultas dudas estoy a total disposición
adiós felicitaciones excelente charla se nos suma también carlitos al equipo de mis aid a esta presentación bueno por nuestro lado no queda más que agradecer tu tiempo el esfuerzo que tú le colocas para preparar estas presentaciones porque año año que están renovando año año debemos participar en diversas conferencias generando conocimiento en la comunidad latinoamericana entonces verte con una presentación nueva con con cada cierto tiempo para nosotros nos genera con un valor sumamente grande potente nos enorgullece porque sabemos que tienen una persona que está investigando está generando conocimiento para la comunidad latinoamericana y que sigue el tema de la ciberseguridad así que con eso primero quiero agradecerte tu tiempo el estar como invitado en el paisaje de este año 2020
una parte con una escala y sé que después te vas a dar un taller de la justa final no está retando por interno dice vamos con la siguiente estar la pero yo me imagino que igual tiene que haber algunas preguntas y también carlos que quiere hacer alguna algún saludo y es algún comentario sí sino agradecerte como siempre lo hago mateo mateo ya es parte de mis hay es de la casa de un gran amigo siempre está atento a lo que puede aportar dentro de la conferencia preguntando durante el año cuánto vamos con visas para gendarme ya es parte de la casa como lo digo y nada para agradecerte mateos siempre tú estás disponible apoyando como hasta
ahora con una charla en un ratito más vas con un con un taller bien interesante de hacking de librería o pensar que a las 15 horas que está obviamente todo invitado también mucho están preguntando si alguien no se ha inscrito ya para hacerlo por ahí y por interno resulta que podemos sumarlo y al taller materia no tiene ningún problema se suman de algunos alumnos un poco más ya que la agradecerte mateo como siempre muchas gracias y una pequeña pregunta que siempre bueno siempre la hacen pero me preguntaban por interno que lo que más recomiendas tú como a iniciarse en este mundo del ética aquí no en el tema del hacking que como por dónde comenzar
que lo primero que tú recomiendas que puede partir revisando una persona que quería meterse a segundo mano no hay que leer mucho también investigar mucho como decía un poco la charla la idea es buscar un tema que les interese bien y profundicen sobre ese tema primero que nosotros no busquen tanto el general ismo sino que buscan son muy expertos en un tema y empezar por ahí les decía les gusta la parte de riesgos web bueno en meta 6 quiere retirar a hackear apis metan senati bien quieren meterse el móvil es bueno agarré donando y desarme de todo y empiezan a entender y a buscar y leer y meterse en foros conferencias de esa temática hoy tenemos la suerte de
que información hay muchísimo y de hecho hoy hoy la disfrutada cambio se disfruta no es la falta de recursos información sino bueno hay tanto que donde dedicó tiempo pero hoy para el pariente iniciar si no era un foco tiene mucho material piense hay cursos y seminarios y materiales línea entre youtube y julián no puedes aprender muchísimo bien con lo cual os invito a que según los investigadores de alguna temática y a trabajar de hecho para iniciar justamente lg ciertas herramientas hoy y en ciertas metodologías que nos van a poder guiar y es poco la tratar de sumarse con personas hoy todos los que trabajamos han sido realidad gracias por los comentarios pero no soy el único creo que todos los que
trabajamos invito a usted también que hacemos este colaborar no y dar hacia la unidad y entonces hacer que seis a cuatro profesores que tengan cerca del señor seguridad o alguien que hayan escuchado hablar y anímense escribirles a preguntarles y segura interesada de guía de coach y demás con lo cual para está iniciando no tenga miedo y ninguno es alguien inalcanzable todos estamos a un clic en el mismo en twitter no así que escriban por ahí consulten y busquen salir nos pueda acompañar un poco en este camino que es súper pasional y bueno carlos también de mi lado agradecerte momento todo lo que han hecho y todo el seguimiento que hacemos sobre este tema de visas y estaciones
también a otras personas apresurando pero cualquier consulta que haya por ahí que acaba pendiente no dudes en escribirnos en contacto a vistalegre punto hereje y nosotros hablamos en llegará a mateo para que sea respondida bueno para continuar con el programa vicios y gusta no presentas tu a nuestro amigo carlos pero ahora vamos con la presentación de carlos asuán se denomina testing con go y ahí ya vamos sumando a carlos para que él ya comience y dé inicio a sus tablas nos va a entregar varios tips varios ejemplos prácticos de cómo implementar herramientas sencillas y vamos a ver las características del lenguaje se va a estar mostrando y cómo se esté este tema nos va a permitir
construir ciertos scripts está orientado al hacking para que sea rápido codificar y sea más eficiente y mucho más más veloz así que veamos si ya tenemos a carlos sobre y carlos si bienvenido cómo está bien muy bien gracias voy carlos para nosotros un gusto que me están acompañando la gente ya estaba muy entusiasmada con la charla xxi más bien acabamos de terminar la primera estela con mateo ahora bien en la tuya vamos con todo y nada les dejamos invitados a seguir sumando y gracias por estar este año con nosotros acá en chile 2021 carlitos la estética comparto pantalla y comenzamos
ok está muy bueno en testing con go subtítulo construyendo herramientas rápida y escalables para hacking primero contarle un poco muy rápido quién soy carlos a su valla me presentaron a su ex en todas las redes sociales desarrollando mucho pero ahí estoy el consultor de ciberseguridad en triple-a technologies tengo experiencia en testing y desarrollo de software algunas optimizaciones que están allí y cómo va a pagar un poquito de eso como esto viejito aquí con su chevy está particularmente está creo que es lo que les voy a contar y días así que depende este with coulant de hackney muy recomendado el curso y comencemos a hablar de uno de mis goles el protagonista porque es algo bueno go es un lenguaje
multipropósito es fácil elegante en su sintaxis tiene una eficiencia que es comparable con la de s lo cual ya es bastante que decir tiene una gran librería estándar que nos permite hacer lo que queramos pongo y una comunidad también que soporta al lenguaje y que está creando una librería la principal característica y es donde brilla go es en su concurrencia y la gestión de multiprocesadoras en saber de su confección salió a producción en el año 2009 y desde siempre se pensó en que los computadores iban a tener muchos procesadores ya sacan de activa es una gran ventaja que tiene respecto a otros lenguajes que tuvieron que ir haciéndolo en el camino y también tiene otra
característica que es bastante buena que es poder hacer la compilación cruzada es decir yo para mí linux puedo crear un código para windows un programa compilado para mac o viceversa bueno y estamos una charla de seguridad y la charla se llama 25 así que por qué usar el parapente sting un poco lo mismo que mencionaba antes llegado ahora al frente si es fácil crear pruebas de concepto ya y la ventaja es que pueden correr rápido es muy fácil agregar las rutinas que son el equivalente a los tres que de otros lenguajes ocupan muy pocos recursos acá yo puse un ejemplo que encontré respecto a que un agustín utiliza dos kilos kb de memoria versos un ya otro que gasta un mega por
lo menos los que nos dedicamos al pen testing y utilizamos por ejemplo herramientas de no voy a decirte quién pero que funciona con un proxy sabemos que cuando tenemos muchas cosas en el tiempo y cuando hacemos mucho proceso empieza la máquina virtual o nuestro sistema a ralentizarse a gastar mucho proceso y eso es porque está escrito en un llave no quiero decir cuál es la herramienta a pesar de que es muy buena pero pero tiene ese gran problema y eso por el lenguaje de fondo también aparte de poder crear esta prueba de conceptos nos permite crear herramientas más complejas para tener un poco contexto vernet es la infraestructura de tierras y cloud from lo utilizan netflix
google hay grande empresa que está utilizando por esta gran característica que tiene de poder trabajar digamos de manera rápida y eficiente cuenta con un librería estándar que nos permiten hacer herramientas para para penn testing networking criptografía conexión a base de datos codificación de datos y un largo etcétera que obviamente se van descubriendo uno va conociendo el lenguaje y por supuesto el hecho de poder crear aplicaciones que se puedan compilar y se puedan aportar a los distintos sistemas operativos nos da una ventaja también desde el punto de vista frente a distinta que podemos enfrentarnos con distintos entornos rápido es la pregunta bueno acá les presento un ejemplo pueden revisarlo en este link que aparece acá abajo donde la
prueba fue analizar la concurrencia en solicitudes http con un listado corre l generar un arreglo y ejecutar el proceso lo más rápido posible utilizando para el caso de payton a zinc ayón y yo también creo que se llama sin cayó la librería tengo utilizando con routing y los números hablan por sí solos la los datos están ahí hay que revisar ese tipo de benchmark que se hacen y claramente go tiene una ventaja que es digamos brutal respecto a los otros lenguajes bueno después esa pequeña introducción esperando que ojalá que se interesen en el lenguaje con las características quiero mostrarles un poco unos ejemplos de código unas pruebas de concepto y rápidamente que lo que vamos a ver el
código y yo lo tengo escrito por supuesto no tiene sentido que lo que lo escribiera durante la charla no hubiera explicando paso a paso para aquellos que nunca hayan visto pero que sí tengan noción el conocimiento programación la verdad que no va a ser difícil entenderlo y ahí van a ver cuando lo que yo mencionara respecto a esta facilidad y elegancia la sintaxis porque es fácil entenderlo el código está disponible en mi lista acá está disponible para que lo puedan ver son estos cuatro ejemplos por supuesto si alguien encuentra un bar o quiere hacer una mejor algo bienvenido sea cualquier muy ricos vamos con un river ser qué características vamos a ver acá en este
river chair una compilación cruzada vamos a ver la expresividad de la sintaxis vamos a tener nuestra primera aproximación con el lenguaje web para una herramienta en textil la url es esa gürtel y tengo el código en sencillo todos códigos que empiezan a que están escrito en google empiezan con una definición del paquete que es el fondo el que lea el contexto después quién librería estamos importando un par de constantes en este caso en particular esta es la ip de mi equipo no voy a hacerlo con otra conexión porque no quiero que los dioses de la ocs se vayan en contra mil que me fallen así que lo dejé súper sencillo y el cuarto acá también lo definí como una
constante esta es la función principal el main aquello que programaban ya o por ejemplo se abordarán del publiqué static void mainstreaming acz en google mail así es y está la función que se va a ejecutar cuando yo corre el código o lo compila y quiere como ejecutar aunque lo que estoy haciendo una conexión vía tsb y esta es la función para formatear ya está en ese paquete del formato y lo que estoy haciendo es generar un rider que eso es un concepto que se utiliza bastante en en go que permite leer datos generalmente en binario es la comunicación y también están los raid air entrar en detalles porque se utilizan los reader y los raiders es entrar una
de las complejidades de go que tiene que ver con el tema de que es un lenguaje de tipo y qué tengo que tener definidos ciertos tipos de datos para poder hablar con ellos y no tenía que crear una función por cada tipo de datos que le quiero pasar para recibir los parámetros dentro de las variables no entran en sede créanme que este es un líder o ningún lector y bueno lo que estoy haciendo disponibilizar esta función rivers se va a ejecutar todo el tiempo que esté disponible la conexión dónde está la compilación cruzada está en dos elementos voy a mostrarles este archivo primero óyeme linux.com ahí está la función rivers si ustedes se fijan me marca en
éste me está marcando en rojo me dice que hay un error porque porque tengo la función definidas dos veces ya en linux y en windows pero cuando yo lo compila y lo voy a compilar utilizando solamente uno de esos archivos por lo tanto no va a generar problemas lo que pasa es que la aplicación digamos no logra no logra hacer esa esa relación y bueno vamos a ejecutar esto en mí en mi guitarra están las instrucciones el paso a paso y voy a copiarlo acá para no equivocarme agregó amigo rivers y el stand lo que digamos los códigos del archivo desde este proyecto el gob un tomo es un archivo donde se van guardando las
versiones de las librerías que yo estoy importando las librerías externas en este caso en particular los aprovechamos tres solamente tiene el nombre del módulo que yo creé ya que yo lo defino y generalmente se hace con respecto al hip hop que yo estoy utilizando y la versión que se utilizó si tuviera librerías externas estarían acá en este listado particularmente acá no hay ninguno todas estas son librerías estándar bueno sin más preámbulos cómo se hace la compilación así de sencillo se define en este caso que el sistema operativo de hacer windows arquitectura 32 36 y gouvion lo ejecute o sea lo guardo en mi carpeta binario como rivers punto excel y le pasó los dos archivos
que quiero utilizar para compilar porque se los pasó a mano porque justamente quiero decirle que ocupe la versión de windows la versión de windows que es esta que lo que hace es en un ex ex ex perdón comando y llama a cmd no lo voy a probar porque estoy en cali pero voy a hacer lo mismo para linux y eso sí luego ebro está
nuevamente el sistema operativo linux arquitectura de 64 bits lo guarden rivers el archivo rivers y ahora le pase el linux.com veamos si esto funciona y vamos a ver aunque por supuesto pongo mis tener en el puerto 444 que es que es el que definía acá e insisto en que esto está en mi misma máquina puede ser una prueba bien sencilla pero por supuesto que para significar las cosas vamos vamos a ver qué pasa aparentemente se conectó con esto por supuesto estoy ejecutando comandos en este caso están en la máquina pero pero podría ser otra la ventaja por supuesto es que esto podría ser un ejecutable de windows y podría haberlo copiado a un sistema que estoy
utilizando o al que logre comprometer en resumen y para no tomar nuevas tiempo en algo que en sencillo compilación cruzada sintaxis expresiva si se fijan fueron poquitas líneas de código que logran hacer mucho y mi código o el código disponible en mí siguiente ejemplo un rivers bien es lo que vamos a utilizar un range y vamos a poner a prueba la velocidad de la rutina para ver de qué manera podemos obtener dominios en base a y b en un rango es las 34 horas todo utilizando la librería estándar y ahí están también mijita que lo pueden revisar y bueno digamos como les decía a hacer sus comentarios vamos a ver acá yo tengo preparados los
workspace para así llegar un poco el tema este código por supuesto un poquito más complejo o más extenso y lo cumplió me paró para dejarlo más fácil acá mencionarles que hay una función en funciones puntocom que no hace nada desde el punto de vista de la ejecución del programa solamente tiene la característica de poder recibir los parámetros no es más que eso de parce a los parámetros que recibe y los pasa a variables aquí defina una estructura con dónde voy a guardar el cierre como un string y la cantidad de 32 routing que sería más correcto decir pierde la función may lo primero que vamos a recibir los parámetros se está utilizando esta función que les mencioné anteriormente
lo guardo acá que bueno acá está la librería estándar que que le mencionaba toda la importación que va y para no va a ser del tipo para que esté que va a tener estos dos valores para que tratar un poco debe de hacerlo más sencillo hagamos vamos a utilizar una herramienta que quien nos da algo para poder manejar el paralelismo y la concurrencia que sólo way club en sencillo lo que hacemos es crear este objeto y decirle que vamos a agregar elementos tanto como nosotros definamos y que tiene que esperar que todos terminen para que termine la ejecución del programa porque porque el main la función principal es una gourdin es decir cuando yo corro programas según
agustín que es la rutina principal por lo tanto si yo echo correr es agustín y en paralelo empiezo a correr y los kings para hacer ejecutar procesos como la función principal va a terminar los otros procesos no van a tener dónde llegar es un poco el el concepto entonces con esto yo le digo espera y espera a que termine ok hay otra característica que también está relacionada con el tema de la concurrencia del paralelismo que son los canales los canales es un tipo de datos que es un filtro es decir los interesados se van agregando elementos a esta cola y se van sacando a medida que se necesitan para que lo vamos a utilizar para poder agregar
todas las ips del rango de ip que vamos a ejecutar y que las vamos a calcular cómo las vamos a calcular con este con esta función que es que tape y va a ser que recibe como para que lo recibe el range y hasta acá y acaba utilizamos la alpaca chilet de go para hacer un partido y básicamente muy sencillo lo que hacemos es agregar a este arreglo de strings todas las ips que están viendo dentro de este rango eso es básicamente lo que hace este corrido bueno y teniendo este estas ips perdón estas simples que en haití range que devolvió hasta esta función vamos a enterar vamos a hacer un ciclo for este la forma de hacerlo vengo
el primer elemento que es este guión bajo es un valor de auto incremento 0 1 2 3 acorde a la cantidad de elementos que se vayan tirando como en este caso no lo vamos a utilizar lo que se hace es poner el guión bajo sino si yo por ejemplo aquí le pusiera que es un y estoy obligado a utilizar esa función dentro de este foro aquí es donde uno dice chutar en realidad go es como bien [ __ ] en la sintaxis tiene estas cosas que a veces hace que uno se agarra la cabeza y diga por qué está mal o qué es lo que estoy haciendo mal no entiendo y bueno acá está claramente definido en en este
vídeo dice y está declarado pero no usado porque no lo estoy usando para nada como no lo quiero usar entonces lo pongo bajo súper sencillo y voy a hacer con este esta palabra reservada que es una interacción de datos voy a tener la gripe jaca voy a ir pasando las a este canal que les decía yo esta cola es decir voy a ir agregando elementos para que para después poder leerlo en paralelo en un worker que va a ser el que va a correr la cabo routing y por cada ip que agregó agrega un elemento al ue group que este elemento que yo les decía que va a esperar a que todos here y finalmente
definimos una función worker que es la que está acá aquí en el amaia ego le digo go con esa simple palabra yo esto lo transformó en una board y en un hilo ya y empieza a correr en paralelo hay muchas cosas que ahí queda realmente no funcionen como le decía esto que se termine el programa antes de que se ejecuten todas las cosas si no no utiliza way club puede entrar en un lugar infinito puede ser que sea difícil de regular pero pero en términos generales el estar a correr un agustín es tan sencillo como y la función lo que esta función particular lo que hace recibir este canal esta cola para poder ir sacando datos y el win group porque el
way group porque cuando termine de ejecutar se tiene que avisarle al grupo que terminó yo sale una palabra reservada acá también que se llama the first que lo que hace es que cuando se termine ejecutar esta función se va a ejecutar esta línea es el equivalente a que si yo pusiera esto acá al final solamente que no hagan que la elegancia de go para hacer las cosas yo lo declaró al principio le dijo ok cuando termine esta función entonces correcto y esto podría ser una línea o podría ser otra función que corre no encontró muy bello es ese tipo de cosas y voy sacando datos ya esta flechita haga lo que hace es sacar rato donde
esté de este canal tengo 6 hago un lugar de la de la dirección el como no tiene gestión d decepción es lo que haces por ejemplo en este caso mucho más tener como segundo parámetro un devolver un error que es un objeto entonces el segundo variación y yo digo si es que es distinto de 1000 que es nulo de go es decir si hay algún error imprime ese error y termina la retorna esta función por tanto termina su ejecución si se fijan y aquí quitan lo excepcional del lenguaje que esté deferr si yo no lo ocupara tendría que acá también hacer un güey cruz don acá adentro y acá al final también pero como está definida que al principio cuando
termine la función ya sea que termine aquí y acá o en cualquier otro lado se va a ejecutar igual lo cual es fantástico muy ordenado sobre todo cuando no lo escribe al principio de la función entonces si hay algún error imprimen ese error de esto solamente va para degollar podría dejarlo comentado a todos los comentarios aquí y si no pasa de largo por lo tanto empiezo a ejecutar un range sobre luca que van a hacer todos los subdominios que van a estar relacionados con el 6 veces y como lo imprimen utilizo el print function paso el valor de la ip unos tips y y después el valor de la dirección nada nada que no hayan visto en otros
lenguajes respecto al formas de baratos bien vamos con la ejecución vemos esto manera corran paso el funk jones puntocom que este elemento que parece a luego los datos de entrada mail.com y los dedos que le pasó son el cierre range en este caso podría ser cualquiera solamente ejemplo y la cantidad de 3 o d golding lo que podamos si ustedes se fijan es muy muy rápido hagamos la misma prueba con las 16 y acá tengo un problema con la velocidad con respecto a mi red no voy a decir cuál es mi proveedor de servicios es muy muy rápido de hecho acá tengo un problema porque tengo tú están radio que no alcanza a procesarlo la recepción de datos pero pueden ver
ahí que el la resolución tiene se está está ocurriendo y de una manera muy muy rabia ese es el segundo ejemplo rivers tienes lugar pusimos a prueba la velocidad con que le hablé de las rutinas hablamos de la librería estando nuevamente utilizamos muy poquitas librerías y ahí está el código para que lo puedan copiar revisar o comentar vamos con un porte scanner por supuesto es una prueba de concepto no es comparable a un animal u otras herramientas pero lo que lo que quiero mostrarles en este caso en este ejemplo en particular revisar la ejecución lineal respecto a cómo sería con go routing es decir la diferencia en cuanto a tiempos nuevamente utilizamos la librería estándar y el código está en esa url por
supuesto más fácil en vez de estar luego viendo mejor entrena mi amiguita buscan ahí tan sintética como costumbre le pongo go go algo al código para no solamente para guiarme de que es tienen que ver con el lenguaje y van a ver harto que van a decir simple por escáner simple en http es fácil porque son muy sencillos son pruebas de conceptos para que no no cuestionen la calidad del código tampoco vamos con el work space aquí va ok vamos a eres tú bueno primero voy a definir acá una variable eso se me olvidó contarles hay distintas formas de definir las variables yo les hablé que eran las variables eran tipas es decir tiene un
tipo de dato que lo pueden verificar por ejemplo en la recepción de parámetros en la variable de esa parte de las funciones es el nombre y es antigüedad en este caso está recién durante un string y un arreglo enteros las en este caso de gold ins cuando yo ocupo dos puntos igual y le pasa un valor estoy haciendo una definición de tipo de datos implícita en este caso me estoy pasando un 20 go como es inteligente dice algo que me está pasando un entero así que no necesitas decirme que él es un bar gratis porque no lo asume y es una forma muy fácil de hacerlo equivalente a lo que no hace el lenguaje de script y no es un pero
definir el tipo de átomo podríamos decir vamos a hacer un escaneo sobre una plataforma que nos permite hacer lo que está en mi punto en más puntos o hereje que nos permite hacer escaneo obviamente con con criterio por eso solamente 20 goldings y saque en acción de puertos de enemas con esto en el código pero lo que dice finalmente fue copiarlo acá podría dar esto perfectamente esto con go pero obviamente complejizado el ejemplo la prueba concepto no era el objetivo defino el listado de puertos como un slice de enteros go tiene arreglos y dislates los arreglos son inmutables los es light son punteros a los arreglos y por lo tanto son notables un poco detalles ahí está
el listado de puertos son el top 5 mayor y acaba de ser una cosa si yo paso un parámetro al la función no no se ejecutaría esto que es el escaneo lineal por su defecto sean ejecutar los dos es decir perdón que va a ir uno a uno realizando el puerto sé que está ahí autónomo con cómo se llama con una verificación de s&p y estoy midiendo el tiempo estoy viendo el tiempo de inicio del tiempo de término para después poder mostrar por pantalla cuánto se demoró en ejecutar ese proceso en caso lineal y en el caso con la cortina lo mismo voy a tener un inicio y un término y voy a ver cuánto fue el
tiempo que se demora acá aparece otra librería estándar que está en para gestión de justamente del tiempo y de poder decir cuánto tiempo ha pasado con respecto y acá tengo bueno primero que vamos la función mis líneas ya scan scan lo que hace es agarrar el listado de puertos que lo pase como parámetro y el host por supuesto que donde habrá que ocupar una función que se llama y software ya van 11 revisando si es que está abierto no no y imprime aquí utilice una función auxiliar que sprint status que lo que hace es mostrar el puerto y si está abierto o cerrado solamente para mostrarlo por por consola bien y bueno una vez que se ejecute
texcal termina aquí y ahí va a mostrar el tiempo que toma la función es súper sencillo él es joven lo que hace es una conexión tcp al host el puerto y acá yo estuve haciendo pruebas un tiempo de 500 milisegundos para decir un time out suena razonable podría jugarse un poco con eso dependiendo obviamente la de las condiciones de la red un montón de cosas pero con 500 milisegundos suena razonable nuevamente sale esta variable error acá que si es que hay un error devuelve un falso es decir te ha cerrado ocurre algo acá en esta conexión probablemente un time out o directamente un club y finalmente cierra la conexión y devuelve un truco es decir me pude
conectar a una conexión sub-13 wave sánchez bien scan ya vimos que están siguiendo una realidad vamos con la esscan golding porque la dejen en un método aparte para poder justamente separar esta funcionalidad que tiene que el color udi nuevamente creamos un canal ya de tipo entero es decir solamente valores enteros que hacen los cuartos y recibe un n goldings es decir va a tener un tamaño algo que nos expliquen en el ejemplo pasado yo al definir un tamaño una vez que se llena este canal como no puede agregar más elementos es un bloqueo en el código y joel saca provecho de los otros amigos solamente correr 20 elementos en paralelo porque si no podría dejarlo
infinito y probablemente me quedé sin recursos o la red o el hostel que yo estoy probando no va a ser capaz de responderme con la velocidad que yo necesito es una forma de poder controlarlo y bastante sencilla nuevamente utilizamos los westbrook para poder marcar cuando cuando se vayan terminando los elementos y vamos a integrar sobre el listado puerto bien parecido al ejemplo anterior vamos a ir agregando elementos al canal vamos a decirle que agregamos un nuevo elemento utilizando el 4 y después vamos a crear una función literal o una función definida inline qué es esta que recibe un host que el donde vamos a las pruebas el canal y el windows y nuevamente utilizamos deferr para
poder decir cuál que cuando termine esa función se marque el grup como como terminado sacamos el canal shut el canal sacamos el puerto y utilizamos el princeton para poder verificar el estado del puerto con esa función y software recibe el estatus que es un monstruo force y a esta función que está definida acá al agregarle la palabra reservada go la esté transformando directamente en una rutina es decir esto va a correr en paralelo y va a correr en paralelo como le mencionaba anteriormente tantas veces como tenga disponible el canal con con su elemento en este caso van a ser 20 que son la gorros de integral esta es la línea en la cual se va a
quedar el programa esperando hasta que se libere el pero no es esta acá se va a quedar detenido el programa hasta que se libere un espacio en el canal para poder agregar un nuevo elemento y entonces va a ser el locking imágenes y finalmente cuando cuando termine de ejecutarse este este toda esta integración sobre el listado de puertos con esta cortina está funcionando en paralelo va a quedarse esperando el vuelo a que terminen a que todas se marquen como terminadas y finalmente ahí va a liberar esta función se da por terminada las funciones pueden o no pueden devolver los datos en este caso si ustedes se fijan acá solamente tiene la definición de los parámetros que recibe
pero no si devuelve algo en este caso no necesitamos que devuelva acá en mi software si necesitamos que devuelva un julian luxford por lo tanto está definido bueno vamos a la prueba de concepto vamos a ver
gran portal les pido paciencia se va a demorar un poco en esta revisión de los impuestos lo estamos haciendo de manera lineal paciencia 20 segundos pero estén atento a la pantalla por favor porque aquí ha pasado algo mágico haciendo el proceso lineal corto 11 los puertos va realizando en puertos y mayor qué pasó linealmente se demoró 23 segundos en ir revisando puerto a puerto y desde aquí en adelante empezaron a correr las veinte goldings y las veinte go routing en revisar estos impuestos se demoraron 500 milisegundos para el cambio es de verdad dramático y ejemplo con el lema los pros ports por supuesto y aquí un poco hablando en el mar que está escrito en seis semanas más
y no me tocó hacer más cosas ya sea desde ordenar por ejemplo los datos al recibirlo solamente para tener la referencia de ver cuántos cuánto semana el top por cien con una prueba tcp y ya es que mi punto en el mapa punto hereje veamos cuánto tiempo semanas un poquito de estar 3.5 segundos como digo igual hace más cosas tiene definido los servicios el machito pero el lago dice de manera no 500 milisegundos yo espero que alguno de los grandes desarrolladores que hay en el mundo haga un equivalente a map en go no sería extraño que pase y creo que va a andar va a ser comparable en cuanto a al menos a velocidad por supuesto que en
el mar tienen mil cosas más pero [Música] bien como con el tiempo se creó el gobierno bueno resumen del port scanner vimos la ejecución lineal con respecto al uso de la word y comparamos incluso con el lema seguimos utilizando una librería estándar no hemos salido de eso y ahí está el código para que lo puedan realizar vamos a hacer un [ __ ] director y fácil espero que conozcan o que hayan escuchado hablar de go buster o efe por ejemplo son dos herramientas que están escritas en go y hacen algo similar a lo que vamos a hacer acá es decir va a ser solicitudes antes de bp y van a verificar si es que responde con un 200
o no es decir que están disponible por lo tanto vamos a ver la solicitud de este tema vamos a ver un tipo de datos que puede crear el usuario no tiene objetos la definición de objetos como tal pero si tiene algo que se llama las estructuras los estruch lo vamos a realizar vamos a leer un archivo y aquí vamos a utilizar una librería externa pero solamente para poder mostrar de manera sencillo bonita los resultados que hacen la librería por qué lo que hacer es pintar con color rojo cuando no esté disponible en la url y en verde cuando sí lo esté el código lo pueden realizar ahí hong kong [Música] el código cerrar esta cosa
aquí estuvo poniendo alguno algunos elementos ok si ustedes se fijan el nombre del archivo no necesariamente tiene que ser mail punto pero sí tiene que estar definido el paquete main eso sí es importante para que go se va cuando tiene que correr lo tiene que en la función main
hoy el funciones punto es el mismo que vimos en el ejemplo anterior que lo único que hace es recibir los parámetros y nos pasa a un una estructura ya recibimos la url recibimos la word list que es el nombre del archivo y la cantidad de tres o de golding más que lo que hemos visto en el otro caso solamente lo dejó fuera del código principal para que no interfiera con con la prueba cáncer acaso o que la función men nuevamente y esto es algo que van a ver en mucho código por eso lo hemos visto en todos los casos un buen grupo para poder que tenga el paralelismo recibimos los parámetros utilizando esta función que está en funciones puntos
creamos un canal de strings nuevamente le le decimos el tamaño que va a tener que van a hacer que vas a recibir como un parámetro y vamos a dar solamente para fines didácticos vamos a crear un tipo page status bueno qué hace ese tipo page status es una estructura que yo la defino acá está su definición y le digo que va a tener dos elementos va a tener una url que va a ser de tipo string y un status que va a ser un entero es decir el status http para que para poder ordenarlo y dejarlo en un único objeto con las estructuras se van a hacer cosas muy interesantes como por ejemplo hacer el traspaso digamos de datos que se
reciben por xml o jason y pasarlo directamente una estructura solamente utilizando la librería para ese propósito y las estructuras tienen otra característica que es muy interesante que yo le puedo definir funciones a la instancia entre comillas porque nosotros quiero en realidad con una sola instancia los quiero como tal le puedo definir funciones ya en este caso tú string que va a devolver un string y como parámetro qué se pasa acá antes de gastarte a los parámetros de entrada de esta función en este caso está antes yo le digo que va a haber un objeto tipo p saber con nombre pie de tipo page status que es esta estructura por lo tanto yo puedo leer los datos que están dentro de esto
asumiendo que esto es una estructura en super interesante para poder tener ordenar el código esto si tuviera más funciones yo podría tomarlo y ponerlo en otro archivo por ejemplo y tener todo ese código ordenado asociado a ese tipo de dato nuevo que yo creé y en este caso particular se ve algo súper sencillo devuelve formateada la información con el estatus ya entre corchetes y la url que es la que estuve probando no más que eso buena vista entonces creé este tipo de datos que es el estatus le estoy diciendo que voy a tener novedades disponible va a ser un arreglo de estructuras de page status y es un arreglo vacío por supuesto lo hubiera agregado
entonces aquí ahora el archivo ya libería estándar paquete s digo que abre el archivo del archivo que recibe como parámetro el nombre si hay un error nuevamente recuerden que no hay gestión de excepciones sino que se responde con un error no un objeto de tipo y en este caso tendría un fatal line que lo que hace es terminar el programa y dice no no puedo abrir tu tubo rist ya después que hago esto utilizó el de fer nuevamente para decirle que cuando termine de ejecutar todo esto cierra el archivo ya y cuando he ordenado y sigo como una estructura de código no se te olvida y no se te queda el activo abierto que es lo que se podría
decir que es como el equivalente a lo que uno hace en python con la función con la palabra reservada with que tanto tanto y todo lo que está aquí adentro entonces si cierras solo automáticamente el archivo después que termine ese bloque de código y cómo se lee un activo aquí tenemos la librería o el paquete estándar el barrio tiene un escáner lo que va a permitir elegir línea línea con esta función y dentro de un foro este es otro tipo de forma de hacer un foro tenemos el tipo estándar de cee donde dónde puede ir liberando una unidad sino valores en este caso le digo es como un guay con solamente tiene el fork como palabra
reservada para hacer ciclos pero se puede utilizar como un guay se va a utilizar como un forma y en este caso lo que viene haciendo es leer línea a línea ya escáneres can lo que hace es leer la línea y después la quiero pasar a texto todos los reader los escáner siempre leen en binario entonces yo necesito hacer la conversión a texto y por eso utiliza también esta función y lo que hago es agregarlo a mi canal de urls que el que definía que arriba dónde después voy a poder leer y para realizar y como agrega un elemento al way group le agregó un elemento pendiente y bueno una vez que exigencia del mínimo de esto se va a quedar esperando a que
estén listos todo está con rutinas esteche url es la función principal y es la que va a verificar si es que sí que está disponible o no laborable que queremos probar la transformamos mágicamente en goulding agregándole es go go tanto y será formando routing por lo tanto empecé a correr en paralelo ya que lo que hace check url lo primero que tengo que definir es que una vez que termine la función se marque como terminado el elemento que le va a ser win group saco elementos del canal destacó la voy sacando un elemento y sobre ese elemento peter y tercero aquí un poco de código extra digamos para mostrar otra de los paquetes librería estándar que es
reggae c's para expresiones regulares lo que hago es simplemente reemplazar si es que viene con un es la dge al final la url que estoy leyendo elimina la y le agrego de manera manual un ejemplo sencillo y algo que tiende a evitar errores respecto al diccionario porque si no hiciera eso y por ejemplo dinner así está esta parte de la url me generaría un error y así me aseguro que va a funcionar bien después como hago una solicitud http del tipo que está utilizando el paquete estándar http 10 y le paso la url que es la que quiero formatear aquí hay un elemento que es el base url si ustedes se fijan es el primer elemento
que se basa esta función y que es el páramo punto 9 rl es decir yo voy a recibir el host y después voy a ir esperando y le voy a ir agregando los slats a los directores las activo lo que quiera pero después lo vamos a ver en acción nuevamente si hay un error verificó ese objeto sea nulo en caso de no lo sea muestro el error ya digo error para esa borrar si es que en el estatus code de la respuesta está entre 200 y 399 lo considero que por supuesto que acá y esto solamente con con fines didácticos tendría que considerar también que de todos los 500 al final hay algo que está
respondiendo es cierto pero solamente insisto para fines didácticos estas dos condiciones bueno para no complicar el código entonces el secreto agrego elementos a url ok y aquí si ustedes se fijan aparece un asterisco porque aparece un asterisco y acá también porque lo estoy pasando como referencia go permite trabajar con punteros y eso nos permite manejar estructuras de datos grandes que no ocupan más espacio del que realmente se necesitan en memoria si lo pasara por valor estaría cada vez pasando este paint status con todos los datos que tiene adentro en este caso como el ejemplo va a ser con 10 valores por supuesto bien se transforman en irrelevante para el caso pero pero si fuera un millón de urls y cada vez
pasando en estos elementos por supuesto que me hago van más recursos como sea y solamente como ejemplo el uso de los punteros y el estatus que es este tipo de datos le pasó los dos valores que necesitan esta es una forma de poder asignar valores están en el orden en el que aparece porque me pide la url y el estatus de paso la variable podría también definir de esta forma decirle rl dos puntos y pasar de la url también que sería como un tipo de diccionario el equivalente un diccionario en este caso como son dos valores más sencillas y como sabemos que está ok dijimos que entre 204 y 399 lo voy a considerar que
utilizó la librería externa que es la minería color y le digo pintarlo en verde y en caso contrario en tono rojo no está dentro de ese rango se acuerdan de él como les comenté para gastar recuerdo y allí está la librería externa ya yo puedo importar librerías externas y se pueden sacar como en este caso directamente de hija si es que el la persona que desarrolló código lo dejo como un módulo en giza se puede importar directamente si no va a tirar en problemas y bueno ese es el que rl finalmente eso es lo que hace el código y finalmente y esto solamente para mostrar un poco el resultado final resumido voy a leer la cantidad de urls
que logré agregar a este arreglo de page status y voy a integrar sobre ella y ahí voy a ir mostrando por pantalla es decir igual se va a repetir dos veces el resultado en una va a salir con color y no te va a salir el resultado final bien vamos a [Música] corran le pasa el funk chance que es donde tengo el paseo de parámetro entrar disfraces que es mi código principal mi código min el menú para pasar en la url en este caso git cap puntocom y después le pasó a este diccionario con elementos a probar que es el que le mostré acá puse 10 elementos si ustedes se fijan éste está bien escrito pero ese no tiene
una equis ya por si acaso por lo tanto me va a arreglar este usuario no existe pueden ser el primer parámetro que recibe es el nombre del usuario lo puse también para qué nos devolverá algo distinto un 200 yo pensé que es usuario no existen no voy a aparecer pero si hay un usuario que se llama no existe así que bueno acá están los dos que no existen los que la respeta 404 utilizándola y color lo pintó en rojo y el resultado del resto son los 200 que son rutas que si existen ya directo y fácil y bueno al final como les decía resumo el resultado digo encontré ocho barriles que son estas yo eso es el director y fácil
acá está el resumen entonces vimos la solicitud de http un tipo de dato creado por el usuario que es esta estructura que utilizamos el page status logramos leer un archivo que tenía el listado de este diccionario de rutas a probar utilizamos la librería externa en color y también utilizamos varias cosas de la librería estándar por supuesto la solicitud de http vimos cómo utilizar expresiones regulares de manera sencilla el código lo pueden realizar tienes arrugas bueno y para finalizar mi charla y me queda muy poquito tiempo algunos se interesaron en las cosas que les mostré que es parte de mi intención entonces quiero contarle un poco cómo iniciarse en el lenguaje ya hacer un hello world go cómo empezar
el tour punto google.org es una excelente página en la izquierda que va mostrando los conceptos del lado derecho tienes para ir probando e ir escribiendo el código y te va dando los tips para poder ir aprendiendo los fundamentos la base go by example va un poquito más en profundidad y explica por tópico los punteros los arreglos las estructuras todos todos los temas principales base los explica más en profundidad aún no tiene esta consola interactiva que tienen lenguajes como python pero tiene esta url que es play punto gowland punto de región donde uno puede escribir el código en esa web y ejecutarlo hay cosas por supuesto que de networking que no funcionan si no sería un fallo de
seguridad en la plataforma de 10 probablemente podríamos ocuparlo para cosas interesantes pero hay cosas que no se usan y un libro que recomiendo mucho para quien quiera utilizar algo orientado al hacking hualpén testing es el black and go y es en realidad el único libro que encontrado del tema así que si alguno de ustedes anima y quiere escribir un libro del esto capaz que sea una buena oportunidad de negocio lo recomiendo le recomiendo también revisar el código de otros tonos bounty hunter escribe y tiene auto código escrito en go lo pueden revisar hay hartas herramientas way back' url http y varias más que tienes que ir a gente acá hay una ruta de un personaje que lo que hizo fue
resumido recopilar varias herramientas escritas en go basado en elementos que vio en otros en otros lenguajes en el libro que me habéis y los convirtió a código si está súper interesante también los invito a revisar mi nick y no tengo mucho código más que las respuestas prueba concepto y todo pero los invito también que si hay varios estados van en varios foros capaz que me anime y haga una serie de tutoriales un poco recopilando los apuntes y cosas a partir de cero en juego está un poquito más avanzado y les dejó abierta la invitación bueno eso tiempo de preguntas muchas gracias y también redes sociales si alguien quiere contactar quiero hacer alguna pregunta quiere compartir código o quiere quiere ver
algún tema en particular de gop en testing de lo que queda
el estatut online llegan dos mil personas
mientras estás tan josefina
marcelo sobre no sé si vamos en una ronda de preguntas hola hola de culpas
gritaba y escuchándote muchas gracias carlos por tu excelente presentación un buenos muy buenos comentarios por interno que muy interesante el tema mucha gente y viviendo y disfrutando de la buena información que entregaste y clara así que muchas gracias no sé si hay algunas consultas por ahí porque también tenemos que hacer regalar como vista y 7 desde muerto regalito así que vamos hacer un pequeño sorteo hoy de una gift card que es un aporte de nuestro sponsor en tel security por favor si hay preguntas en el chat para poder leer será carlos si no hay premio para preguntar el premio alexis entusiasman así es igual decir que si no se hace la pregunta ahora y tiene alguna no tenemos
ningún problema en recibirlo en contacto a big sight y nosotros podríamos hacérsela llegar ahí a carlito y hacerle la consulta y tener la respuesta de esta manera así que hay problemas de todas maneras carlos puso sus redes sociales también se pueden contactar directamente no hay ningún problema así que muchas gracias parece que no hay pregunta todo fue muy claro estaban durmiendo
acá contando acuña no dice recomiendas alguna plataforma para iniciarse sí supongo que la pregunta está vinculada con él el hecho de iniciarse en un concierto y más en seguridad vamos a suponer que tengo las que mencioné digamos el play punto doble punto de herejía para hacer pruebas el tour negó para poder entender el lenguaje los conceptos básicos super interactivas el go by example y realmente en lugares como ayuden y por ejemplo ahí hay cursos pero estamos orientado al desarrollo de software tal vez un poco perfecto gracias gracias qué hacemos carlos le damos premios estamos con los premios no creo que esto sea mal para que pregunten la idea qué pregunten y aprovechen acá la instancia
a contar de acuña hay que prever a buscarlo es porque tenemos tenemos una gift card de 50 dólares quiero regalar nuestro sponsor vamos con esta con nuestro primer ganador así que como en la forma que para poder que él participe o sea para que se inscriba
a la hora de pagar ese panel nomás del contacto pero si hoy bueno antes bueno caldito se nos fue pero agradecen la caldito por esa tremenda receptación de nuestro grande amigos de triples que siempre están con nosotros apoyando la conferencia así que muchas gracias carlos sí un poco mal educado y evans así que pero se nos fue antes así que muchas gracias namús regalamos aquí fiscal y otra cosa más que te parece que vamos a contar lo que no escribe a contacto 16 el punto de hereje y con sus datos y para hacerle llegar la guitarra y ya está y yo estoy tomando a punto igual a igual el ganador de la primera gift card ya y
tenemos que parece ser ganamos otro premio a uno que yo vine a todos opinó este con códigos y este con código correcto vamos con el código sí y una directora brain si puedes recordar cuál es el proceso de cómo ganar premio con código por favor si tienen que ingresar a mis hay cl punto hereje www visa sl punto o hereje en la esquina superior derecha no es cierto hay tres botones hay tres botones y uno que se llama déjenme recordar a los concursos concursos de salir todo mostrando ahí estas muchas gracias al concurso y ahí con el código que le vamos estar entregando y la idea es que usted se crían para poder regalar poleras
en este y que puedan completar sus datos y ponerlas en el tiempo
perfecto entonces repito ingresan al sitio web www visa sl punto hereje ahí en la en la esquina derecha donde ese concurso llenar sus platos con el código que está en pantalla que ya está allá en pantalla y elijan su polera y su talle perdón y la polémica y también recordarle que ese código solo dura 10 minutos así que a los que están ahora en la transmisión solamente tienen 10 minutos desde ahora ya en acción el código en el chat así que nos presentemos al siguiente expositor si lo tenemos
gracias bueno marcelo como estas hola que tal muchas gracias por estar presente acá elvis hay chile 2021 gracias por tu gran ayuda y ser partícipe de esta conferencia que año a año lo hacemos con mucho cariño para todas las comunidades y todos los interesados en aprender de lo que si o seguridad hacking etcétera así que muchas gracias bienvenido dando unas palabras de bienvenida a barceló para que comienza se vuelva vamos a presentación gracias por aceptar la invitación la charla aquí marcelo viene viene trabajar junto con el crono una empresa que hacen temas de investigación así que también está de sponsor también crono así que súper ahí tienen ahí tiene sus fans ahí tan risas que elija ahí también están el
chat dándole fuerza fuerza buena buena buena marcelo ya le damos entonces el estudio déjame buenos saludos a todos los que estén aquí mirando muchas gracias abi sites por la instancia déjame compartir pantalla no sé si en teoría debería poder a ver no sé si pueden ver el el ppt a ver me confirman
sí perfecto ya genial vamos a entonces abre un juego bueno vamos entonces de que va a tratar esta presentación tiene que ver con inyección sql automatización en python sobre todo no voy a mostrar de momento otros lenguajes y tiene que ver con digamos el desarrollo de una herramienta en el que yo estoy haciendo que no voy a poder mostrar porque no la he tenido tiempo de terminarla aún pero en cuanto la termine de desarrollar la voy a publicar y todo el tema y tiene que ver con digamos el main set y la forma de plantearte como atacante frente a un target para poder llegar a automatizar algo y entender bien cómo hacer el ataque para obtener una recompensa en
este caso yo me dedico al book hunting desde que tengo 17 años a partir de ahí me inicié en ciberseguridad lo eso obviamente adquirí mi estudio en mi certificación y tal y bueno siempre siempre que he podido trabajar con alguien que está digamos recién empezando como como alguna vez lo estuve yo y bueno al final todos somos todos somos aprendices nadie maestro siempre está la duda de cómo plantearte porque siempre te dicen el ética el hacker del pen tester se pone en posición de un atacante pero finalmente qué es lo que piensa el atacante es el objetivo de esta presentación entonces pasando los contenidos vamos a hacer una introducción a la presentación la cual ya está hecha las herramientas
que vamos a ver ejemplo real en sacado del bug bounty el cual me dieron cierto permiso de montar ciertas cosas pero otras cosas no así que no les puedo entregar link pero pero van a ver ahí la evidencia una forma distinta de enfocarse con la herramienta secuela map lo maldito web vais haciendo el hueco camper y personalizado y al final de la presentación vamos a responder la duda perfecto entonces siempre está la discusión antes de pasar aquí siempre está la discusión de qué el pen destina mano es mejor que utilizar una herramienta automáticas y si hace la inyección sql la mano es mejor que se utilizase se cuele más efectivo o la herramienta que ocupes
al final digamos como profesional después a mover la parte de ética al hacker y en la parte de hacker pero como profesional digamos siempre la idea es utilizar la herramienta adecuadas para el trabajo de walt bajo mi perspectiva entonces por qué no utilizar las herramientas que hay sin discriminar de si alguien lo hace mejor a mano si alguien lo hace mejor de manera automática y digamos aprender a utilizarlas de manera avanzada para que puedan digamos obtener mayores y mejor digamos mayormente eficientes resultados tal cual como si lo harías a mano porque al final la mano ya está bien puedes lograr muchas cosas pero en función del tiempo te puede tomar mucho y al final si el tiempo es
dinero eso no va a ser ganancia para ti ya que lo estamos viendo desde un box camper y mientras más tiempo tenga más buques puede encontrar y más dinero va a ganar ok entonces bajo esa perspectiva yo me planté aquí en el ataque que vamos a ver en la popa que vamos a ver sobre cómo utilizar sql map de una manera distinta para lograr mi objetivo en este caso el afectado fue o mató y somato bueno sobre todo tiene su plataforma de buscan t resulta que tenían una inyección sql y esta inyección sql se trabaja mediante un parámetro post ahí está el pelo ahí está el host y ahí está el directorio el cual ya no existe
por lo tanto no no me hace ningún problema mostrar esta parte sin embargo la otra parte está censurada y bueno resulta que al utilizar este pilot efectivamente la aplicación respondía con un error 500 el error 500 devolvía que sleep que está siendo utilizado por acá no era una función adecuada para el acuerdo sql ahora este error es bastante común pero finalmente digamos como cuando está haciendo en testing con burke con con s con doble office fusionando algo muy pocas veces de percata de estos detalles seguramente esto con cualquier digamos si lo hubiera hecho de una distinta manera hubiera pasado como un falso negativo y listo entonces aquí muestra que sleep no es una función correcta de sql 11 aquí que fue lo que
yo me plan que dije ok si el slip no me lo está tomando porque la aplicación no se está yendo a dormir para yo poder demostrar mi inyección sql que es lo que le tengo que mandar ok porque el lenguaje sql sí bien digamos la base en la misma luego se diversifica mucho entonces dije ok ocupemos sql map pero lo voy a ocupar en modo de bus y en modo verbos 6 como sabrán es escuela más tiene mover box del 0 al 6 el 6 te muestra lo que está mandando como rick es en lo que la aplicación te está respondiendo ahora eso combinado con tal vez otras te unirán python puedes en python o en en
baches simplemente puedes parcial resultados y obtener una lista pero infinita de targets pues income posible inyección sql pero no es el el punto sino que en este caso yo dije ok lo pongo en modo de book en verbo 6 y vamos a ver qué pasa aquí hay un ejemplo de qué es lo que pasa cuando se pone en verbo se llama do simplemente estaba mostrando todo lo que lo que lo que inyecta a sql map y a su vez te devuelve el contenido de lo que te está respondiendo la aplicación web frente a esa inyección ahora luego de usar esto de sobremanera me topé con el bendito web ok aquí estaba un paso más adelante
porque claro pasé de tener un indicio de inyección sql a seguramente está realizando la inyección pero el wafd me está apoyado entonces aquí ya había un problema porque había que bay para hacerse lugar entonces aquí ya estaba complicado porque bypass de web público existen pero siempre o sea si tú descubres un estudio te lo recomiendo si tú descubres uno o bien los reportes o te lo guardas para ti no porque si lo publicas cara básicamente o sea en el momento en el que lo publica lo vio al vender lo vio el proveedor y lo parcharon y listo ya no te sirve más entonces ahí tienen un tip bueno para él para el bufete bueno agarré y dije ok
necesito un tupper muchos ahora lo que es lo están pero en sql map este es el clásico tupper de space to comer aunque ya está escrito en paita los tan verdes escuela mal están escrito en python al igual que se cuele no pero obviamente le puse un poco de de customización que es donde va el objetivo de esta charla entonces este el clásico tan perdes page o pongan lo pueden ver está igual solamente que aquí le cambié una cosa si state ok en lugar de reemplazar los espacios con un comentario como lo muestra aquí arriba se van a reemplazar con el parámetro cis de porque básicamente aquí en el main set fue el siguiente vi la aplicación vulnerable
intenté atacarla en el momento en el que intenté atacar la se me presentó un uav y adicional a eso tenía un error 500 que me estaba devolviendo cierta cantidad de información entonces dije ok si es que logró ejecutar un ataque para que la aplicación me devuelva un error 500 en este error 500 quizás podría generar digamos algún log algún trace y de esa manera extraer información de las tablas del nombre de la base de datos de la versión y con eso ya tengo mi post para presentar y para digamos ganar la recompensa así que básicamente me plantee generar 50.000 errores de sql y es por eso que simplemente agarra este tupper lo modifique y le puse esta variable
systech en el fondo le consulta a la base de datos en la fecha la fecha de fecha y hora del sistema y lo inyectó en cada baile cada vez que había un espacio ocurrieron si usted entonces obviamente eso va a generar una serie una serie de errores por detrás en el back y para mi suerte esa serie de errores fue devuelta en un stand 3 ahora este esta actriz es un ejemplo de esta actriz no les podemos dar el otro porque aparece lo nombre de la tableta y obviamente las 25 veces más largo que está y en ese estrés ya yo ya tenía mi pop así que agarré resumir y reporte y el estado pero fin
así que básicamente digamos el planteamiento es ese el planteamiento es aprender a usar la herramienta para que combinado tu habilidad manual con la habilidad con la potencia de la herramienta automática puedas realizar explotaciones de manera eficiente y esta explotación me tomo máximo 23 horas cuando si lo hubiera hecho a manos seguramente hubiera logrado quizás algún resultado mayor pero el objetivo era simplemente obtener una poco para poder recortarla como como book entonces el objetivo era tener simplemente una porque yo no necesitaba extraer gran cantidad información simplemente necesitaba demostrar la vulnerabilidad entonces me planteé eso y en función del tiempo en 23 horas logré el ataque extraje la información reporte y listo aquí tienen un par de referencias
dónde está digamos en las cuales yo me base aquí está el hip hop mismo de sql map donde está el directorio camper que es donde están todos los tupper escrito en python y un médium del año 2020 donde un don del señor luca di doménico hace digamos un ejemplo sobre cómo escribir un camper pero un tupper digamos básico lo cual es súper fácil de hecho si quieres escribir uno propio para barco acierto en guapo para lo que quiera te recomiendo agarrar cualquiera que ella funcione y lo modifica tu gusto y luego en el sql map lo selecciona y listo eso sería la presentación yo no quise irme a lo más técnico como les digo el
objetivo ahora es terminar de desarrollar una herramienta y luego de eso poder publicar la lista así que dejo este espacio para resolver cualquier tipo de duda muchas gracias
muchas gracias marcelo por por tu presentación cortita pero buena como se dice usted dice concisa así es precisa y concisa eso marcelo felicitaciones y muchas gracias por estar participando en bisite chicos si ven movimiento atrás es porque está la veterinaria y la gatita está pariendo así que lo siento vamos el tío ya sé que a todos los gatitos que nazca les vamos a poner y 6/1 y 6/2 y 6/3 como dijeron los chiquillos oye acá comentarles que marcelo viene con la tremenda barra
marcela y la rompió mirá acá gonzalo gracias marcelo pacheco el salón pone manito y de hecho aquí hay una pregunta mira yo había pregunta en qué se basa tu herramienta y en qué te podría haber ayudado en este ataque buena pregunta a fabi mira te cuento la herramienta en el fondo lo que busca es que cuando tú estés frente a una posible inyección sql se va a dedicar a apoyar digamos parámetros de manera de buscar un error que te devuelva un stack 3 me explico tienen la aplicación web la demanda en la herramienta va a ser en python simplemente y al momento de generar los pilots simplemente va a buscar generar errores 500 y luego va a ir y parcial
los resultados del responso y te va a devolver lo que lo que se haya descubierto de esa de esa base de datos perfecto aquí hay otra pregunta que dice lo siguiente yo tengo una de las sentencias se cuele recomiendas alguna lista pública en particular recomiendo la documentación oficial de cada una si es que está atacando siempre siento el momento de atacar la primera fase de identificación entonces por lo general dependiendo del error que veas o digamos el indicio que veas puedes investigar sobre qué tipo de base de datos es y según eso agarra la documentación sé que mysql ve la documentación oficial de mysql si es que postres y así es lo que más recomiendo
es tedioso pero es lo que más sirve al final claro claro fabi exacto acá fabián vuelve lo que hiciste en tres horas lo dejaría en cinco minutos claro lo que se demoró entre horas luego agarran la herramienta y en cinco minutos listo perfecto mira acá la vale villa luego os pregunta hay alguna manera de determinar cuándo hacer la prueba manual o utilizar alguna tool para demostrar el bajo o sólo la solo el mayor factor es el tiempo se está haciendo buscan tim el mayor trabajo mi perspectiva que si lo ves como un trabajo porque al final es tiempo es tiempo que tú te estás dando a cambio de dinero el mayor factor es el tiempo entonces si es que puedes
utilizar sql más por cualquier otra herramienta del mercado y devolver una app que sea válida entonces vete por eso ahora si es que eso ya no funciona recomiendo lo manual y si sabe scripting en python intentar alguna de las técnicas que demostré perfecto mirá acá está [Música] oye pero para bromas llegaste con la tremenda barra y ya estoy mirando todos los comentarios hacia arriba y es un montón de gente apoyándote así que parece haber salido en barcelona mira siguen saliendo preguntas marcelo habló al inicio sobre el usar tus propias tools hoy hoy hoy a las que existen automatizadas no hay reparo en ello o siempre es mejor armar las tuyas propias mira existe como una cierta
discriminación sobre cuando tu tipo si tu baile es alguien ocupe está la herramienta para sacar tal fallo puede ser que esa persona termine raro pero aquí la idea es intentar romper eso porque la herramienta ya está la automatización está ahí la idea es aprender a ocuparla no quitarla de lleno y seguir con los manuales así que dale dale con lo que tienes y te tiene una herramienta pruébala si no funciona aprueba otra y así y de esa manera también va aprendiendo porque el utilizar una herramienta leerse el manual ya está aprendiendo código básicamente correcaminos pregunta a quien páginas de voz monti tiene muchas muchas muchas pero te recomiendo hoy en día hacker van a estar como súper
vendido y hay mucha competencia los mayores por eso se lo busca antes del mundo están ahí entonces el encontrar algo ahí que éste sea válido y que te dé recompensa buena va a ser difícil entonces yo te recomiendo dos que son 10 mil hack y book crowd que están menos saturadas de competencia y te recomiendo también apuntar primero si es que está iniciando en el box hunting apunta a lo que te recompense quizás no en dinero tanto sino en puntos en reputación y luego ya cuando suelte en la mano te va a lo que a lo que realmente pague acaso ya empezaron nos pregunta cuánto es la recompensa que se haga por él por el ejemplo que diste gracias tremenda
presentación muchas gracias fácil en este caso formato pago dos mil dólares por tres horas de trabajo está bueno excelente por acá pablo andrés espinoza miranda dice cara igual reina pero a eso pregunta apuntaba a mi pregunta estamos terminando un segundo francos katrin dice muy buena charla entregando conceptos y práctica en tiempo récord por acá marco la ciudad hice qué tanta experiencia conocimiento se necesita para iniciar en bajo en un bar hunter yo diría que si es que te interesa verdad y tienes como conocimiento base prueba tela porque yo yo al menos empecé así bueno igual tipo metía mano en otros lados pero a los 7 años dije oye esto me da dinero y me metí y listo obviamente pero
te voy a dar aquí el caso de ejemplo personal yo empecé en el bus continua los 17 pero mi primera recompensa pagada la tuve a los 19 es decir estuve dos años haciendo programas gratis y seguro y reportando duplicado reportando en falsos positivos que no eran pero al final el el aprendizaje y todo eso te lo recompensa final acá
marcelo agradecerte la participación en visas y 2021 nuestra versión cuarentena esperamos verte en los próximos años y cualquier duda consulta o dificultad donde se pueden contactar contigo por linkedin por linkedin se pueden contactar conmigo siempre respondo ahí siempre estoy activo así que eso me parece que está público igual ahí en la página de visas y todo así que ahí hay una última pregunta no sé si la pueden poner en pantalla muy buena la charla como cómo podemos encadenar el vector alta que se cuele y para demostrar impacto real en el negocio de tensión cuáles serían los próximos pasos que me recomiendas me imagino que esta pregunta está más enfocada al pen testing en general más
que al box hunting siempre digamos si es que estás viendo un target siempre piensa en qué es lo que digamos hace funcionar el negocio de ese target tipo si es que estás viendo un banco el principal activo de los bancos son los clientes entonces es que logras comprometer una aplicación web o una base de datos y logra extraer a empresa una data mínima de un cliente eso ya es un impacto grave para el banco entonces siempre plantéatelo así porque al final es lo que el atacante también busca y es lo que decía al principio la presentación el atacante no va a buscar que el banco tenga a ver si tiene la iso 27001 si tiene la norma si se le el
atacante no va a buscar eso el atacante va a decir qué es lo que le pega a este banco qué es lo que le da dinero y que lo que mandar dinero a mí y según eso va a ser su ataque entonces plantéatelo tú también de esa manera perfecto hoy marcelo como estuvo bien activo estar contigo nos gustaría dar un premio en estos momentos así que nos gustaría que todo escogiera la persona que se va a ganar este premio así que carlitos que con quién podemos contar marcelo que dijo el ganador y anunciado el previo hoy va a ser difícil va a ser difícil de aquí no sé todo me cayeron bien no pueden ganar todos
nos gustaría ver para saber que podemos hacer una pregunta a marcelo qué te pareció más interesante la pregunta más interesante yo creo que se la lleva fabián perfecto fabián pizarro así que felicidades ya entonces si gano carlitos fabián una fiscal de nuestro sponsor en el que un equipo de 50 dólares amazon para fabián perfecto muchas gracias marcelo por el premio y esperamos pero no lo conozco de nada pero agrega me da leales muchas gracias a la instancia avisáis estamos aprendiendo carlitos le parece que mencionemos un poquito entre el cyber security y antes de que sigamos dando premios sí claro tenemos alto sponsor en todo caso jose pero en este año durante el transcurso del día vamos a ir
mencionando a todos nuestros sponsor y bueno enter cyber secure es la unidad venter especializada orientada en ofrecer a las grandes empresas servicios y soluciones de ciberseguridad para la protección gestión de riesgo cumplimiento de normativas ciberdefensa y respuesta ante amenazas cibernéticas en el mundo digital pueden visitar entre el punto c el es las corporaciones es la ciberseguridad o seguirlos en linkedin en entel o jan o el ente el guión corp perfecto josé mira tengo una cara tengo no lo habíamos mostrado porque están calentitas todavía
oficialdegui 6 2021 2021 esperamos a la parte de atrás así que también bonitas y para que puedan ir participando la gente que está en los talleres si mantiene la asistencia también ya tiene asegurado su premio su regalo una gorra de una polera así que sean constante nueva chicos sigan aprendiendo alguien no te quiere que están bastante interesantes y vale el chistoso nos pregunta si hay xxl si tenemos de todo desde la s en adelante así que pero ahora está en pandemias son casi todo aquí entiende que tenemos hasta 2 x l si estos son las más la más grande sí así que hay talla para todos sí josé bueno también tenemos más previos no sé si va aprovechamos de
dar altiro [Música] el concurso de oro no sí pero tienes tu anunciar en el foro para que se inscriba gente todavía para que lo lógico más si hay más posibilidad de ganar si antes igual me gustaría comentar que security advisory es una empresa dedicada a la seguridad informática que protege los activos de sus clientes en base a tecnología consultoría y con un centro de operaciones de seguridad con atención de amenazas e incidentes 7 por 24 más información pueden encontrar en esa bryson puntocom si allí estaría en las redes sociales form no sé si lo voy a compartir tu jose el forma que aceleran el cut perfecto para que puedan participar chicos son hay dos gift cards de 100 dólares a
amazon que se pueden ganar al final de la conferencia así que muy atento ahí carlitos tienes espera en los próximos minutos si me la tenemos estamos a la espera de que tenemos una presentación desde nuestro grande al mismo mercado libre donde vino limón y fabricio fabbiani que son los encargados del programa dupont y en mercadolibre ellos van a presentar una charla donde nos van a hablar un poco de su programa dupont y también hablar un poco like aquí que en la actividad que se anunció al inicio así que esperamos ahí que ellos nos traigan información respecto al avance esa actividad cómo van los premios como a los ganadores digamos que no va importante de la vulnerabilidad que
salió encontrando la actividad así que ahí vamos a conocer un poquito más importante que participen y puedan ver como el proceso y la actividad que se hace cuando junto nuestro amigo mercadolibre también recuerden el concurso los códigos que es muy importante para que puedan ganar premios allá estos premios que se van a ir anunciando durante la conferencia este año nos llegaron a estos regalitos así que toda la carne a la parrilla como se dice así que es muy atentos chicos los que están viendo la conferencia en vivo perfecto carlitos ahora lo dejo en compañía de don iván y yo me voy a ver a los gatitos que están preguntando ahí en el chat si nacieron los gatitos está en el proceso
sitio prometo compartir los poquitos en la conferencia después que logran me hacer antes de que finalice la conferencia así que nos vemos nos vemos
hoy tengo algo aburrido atrás pero bueno igual te parece que vamos con regalamos tenemos también un nuevo sponsor que se suma este año a visas y que se llama en fin de s&p a también pasaba a ser un grande amigo ellos han querido participar este año con visa y también tienen unos regalos que no hicieron llegar qué te parece si podemos vamos y regalamos uno no si vemos lo cómo lo hacemos regalemos hay posibilidades el lugar dijo o buscamos en el cuadro metodología para vez dejar el chat para que pase las instrucciones tenemos
qué podemos hacer una pregunta a veces una pregunta que la conteste sería un premio algo de vista y le muestra tu cólera y que indica en qué año corresponde la moneda de visa y por eso me gusta ahora sabrás de hecho fue una versión súper especial con una versión especial que se hizo y que no fue un bis hay digamos chile fue algo más que fue la disa y chile la campos indican en qué año fue
así es
pero la versión no el año no el año que decía el año que versión de visas estamos la octava si acaba de decir que versión fuerza fue una versión especial de visual sólo eso digo efectivamente fue el 2018 la polera lo decía pero que versiones 2 sección por ahí alguien dijo [Música]
esperemos esperemos que se besen se actualice el tema
en el chat y estoy entrando al alza pues mira yo voy a mirar y ver que en el primero
los bienes si es la es la sexta vez la secta versión si es así es la sexta versión qué le dijo primero voy a fallar carlos vargas el primero si no me equivoco fue el primero que dijo que fue la detección así que carlos que se ganó carlos tenemos que quieren poder lograr carlos vamos con una unidad ssd externa portable 401 que es un gran regalito de nuestro amigo también que parte de visayas de acto año felipe hot con su empresa trans page pero no para buenos recuerdos por favor llevar para apuntarlo para acá ya los guste ya sé que carlos vargas a los varios perseguidos así que está y se ganó una unidad increíble externa
de nuestro amigo felipe hot un adiós este regalo así que 480 llega así que ahí igual les pedimos que nos manden sus datos por correo electrónico sus datos de contacto para poder hacer llegar los premios como corresponde y saludar bueno a nuestro gran sponsor también tras servir cybersecurity que una empresa enfocan su seguridad consultiva en diversas impact sting y medición de datos ya eres dirigida por un gran amigo de visa y que feliz mejor profesional con más de 20 años de experiencia ha sido seguridad del creador de mad max o se forman tester con una filosofía concreta en la ciberseguridad para todos los construimos todos y debe estar al alcance de todos la información en 33
puntos l también vale mencionar que en el sitio web de visa cl punto hereje también tanto a la información de nuestros sponsors y quieren contactarse con ellos algún tipo de servicio que requieran de que ellos prestan así que están ahí abierto a cualquier información y como les dije en contacto y avisase también las dudas que tengan o si quieren contactarse con alguien de ello y creen que nosotros los apoye con eso no hay ningún problema chicos que nos escriban igual que más tenemos recordar que me estaban esperando pronto de ir con lo de mercadolibre si queremos recordarlo los talleres que comienzan a la tarde tenemos tres talleres comienzan a la tarde a las 3 de la tarde comienzan el taller
de más de martínez el hacking de librerías open source también lastra tarde comienza el taller de jaime gómez ya que cripto pick up larga vida a md 5 y echa uno y a las 4 tarde empieza el taller de fernando coincida es introducción américas alca gym eso eso sería para la tarde perfecto sin mencionar también en este minuto de varios talleres que ya están en curso yo estaba visitando algunos están bastante interesante están todos los alumnos y bien metidos con estas consultas profesor recordar de que nosotros este año clasificamos talleres y entrenamiento o sea es un poco más que un taller prácticamente casi una certificación ya afectaría solamente profundizar un poco más pero de hecho
hay un entrenamiento que me tocó entrar que se dura seis horas y se comenzó a las 10 de la mañana y estaría terminando aproximadamente las 17 horas está bastante interesante que se lo está haciendo a nuestro amigo gastón de dreamland tiene a todos los chicos y medios siendo consulta y haciendo las prácticas bien prácticas así que los que puedan participar o ya están inscritos los talleres no se pierdan la oportunidad chicos de participar más si son de esa categoría y sin costo así que eso agradece también a los sponsor que hoy día están con nosotros este año así que gracias a ellos que se hace posible también esta nueva versión de visas de chile los vamos a mencionar un ratito
más y agradecerle a todos a todos muchachos por por su gran apoyo a mí me tocó y bueno hay un poco una foto de los talleres así que ella está el del taller de del cis con nuestro amigos de virtus de esto no eran buenas así que excelente excel de dreer las que mencionó carlos que tiene ahí tengo sí así que a mí me tocó estar en el taller de keaps de kaspersky y así me tenían una música bien student y así que me tocó estar en un taller parecido presencialmente hemos tenido esa metodología así que es muy interesante el taller de kaspersky de keaps así que carlos yo creo que podemos hacer una pausa para
para que nuestros otros vayan al baño vayan por un cafecito sí déjame la disculpa y jadeante mencionar si los sponsor que no lo he mencionado a todos sentaría los que son están apoyando este año cultivo que son parte de visas es muy importante porque permite también realizar esta conferencia si bien en el tremendo esfuerzo que hacemos nosotros en año año por llevar a la comunidad con mucho cariño esta actividad los pedidos son parte de nuestra conferencia y normalmente son los que nos dan el soporte para poder dar año a año agradecer a van dyck una gran empresa que todo lo haya está con nosotros bueno que amaga hacking que una empresa un gran amigo de mis hay que mateo martínez
vibrar un gran sponsor oficial de visas y el 26 también que una gran empresa también que está siempre con nosotros kaspersky que este año también está apoyando con sus talleres cierto y con su marca ciudad by son también que como les digo ellos tienen un mágica de regalo que la famosa sortear más adelante infinite esp a que es un proveedor o perdón un sponsor nuevo que este año como avisa y también agradecen de ser parte ya que ellos nos buscó y no instó a iu para ser parte de nuestra conferencia las puertas están abiertas a quien quiera participar así que bienvenido también infiniti sp.a y virtud también que un sponsor que está participando nosotros este año en pizza
con apps y también es parte de visas y ya como todo el baño y trastes de nuestro gran amigo felipe hot que también ya son parte de visas desde hace harto año así que gracias a ello buen honor digital el club también me había olvidado en chapín también que son algunos sponsors sociales y sponsor que están siempre con nosotros así que muchas gracias a ellos por hacer posible esta conferencia vista de chile 20 21 40 así que gracias vamos con una pausa como vice verbal para que puedan ir al baño o servicio un cafecito ya bueno algunos están preparando el almuerzo así que vamos unos minutitos de las diez menos diez minutos
diariamente se registra en yingjiang miles de ciberataques a empresas la tuya puede ser una y las consecuencias pueden ser desastrosas por eso hoy más que nunca tu empresa necesita estar protegida en infinity sp.a informamos y protegemos la seguridad informática de tu empresa nuestra metodología se basa en realizar simulaciones de eventuales ataques de hackers y evaluar el nivel de resistencia que tiene tu empresa frente a estas vulneraciones luego entregamos un completo reporte con análisis ejecutivo y técnico junto con el detalle de las vulnerabilidades encontradas y cómo resolver cada una el proceso concluye con una presentación presencial del análisis realizado adicionalmente es recomendable realizar consultorías periódicas para prevenir nuevos ataques cómo resguardar tu empresa agenda a un
reunión con nosotros definamos en conjunto los requerimientos del servicio terminado las pruebas informamos los resultados de la simulación del ataque a través de un detallado reporte y tiro por completo las vulnerabilidades mediante la aplicación de las contramedidas contenidas en el informe entregado al final del proceso si necesitas apoyo en la implementación de las soluciones podemos asesorarte infiniti esp ciberseguridad para tu empresa
[Música] norte digital cloud es el partner estratégico que las empresas necesitan para solucionar sus problemas digitales con profesionales especializados en la nube de google cuenta con presencia en países de latinoamérica ayudando a empresas grandes medianas y pequeñas a mejorar la productividad de sus equipos y la seguridad de sus datos a través de la implementación de los servicios de google cloud la nube de google provee a las empresas las herramientas de tecnología más innovadora necesarias para escalar y adaptarse rápidamente en un entorno dinámico obtén la libertad que tanto deseas con norte digital claro
[Música]
[Música] no no no [Música] acción [Música]
[Música] en un mundo hiperconectado y dependiente de la tecnología nadie está exento de un ciberataque y su impacto reputación al económico y directo a los usuarios de las plataformas tecnológicas estamos enfrentándonos a organizaciones criminales millonarias y con alta especialización lo que hace a la industria del cibercrimen incluso más atractiva que la industria de los narcóticos en cuanto a créditos económicos en avances dedicamos nuestro conocimiento y experiencia a potenciar los activos de información de las ciberamenazas contribuyendo a crear un mundo digital más seguro desarrollamos soluciones tecnológicas y de servicios flexibles y basados en una relación de confianza con nuestros clientes para eficientar sus costos y dejando que nuestros clientes se enfoquen en su negocio nuestros servicios son diseñados
para brindar una óptima eficiente y resultados prácticos además de estar en constante actualización y adaptación gracias a nuestras asociaciones con los fabricantes de soluciones tecnológicas y líder a nivel mundial nos convertimos en sus manos expertas el cibercrimen es una realidad protégete antes que sea demasiado tarde [Música] a
[Música] [Música] [Música] i [Música] 2 2
[Música]
también a la brasa [Música]
[Música]
y
[Música] s
[Música] bueno
[Música] ya estamos de vuelta chicos me han dejado solo haber salido viendo parece bueno estamos ya ha dejado bien como siempre presente bueno estamos ya a punto de comenzar con una charla bastante interesante donde son nuestro amigo de mercadolibre quienes van a hablar de su programa de ponti y espero ojalá que nos puedan entregar un poco de información de life hakim chicos que está bastante interesante esto ya partió a mitad de semana no entiendo estaré encontrar buenas poner habilidades sorpresa no sé esa información la manejan ustedes y los premios que se han entregado que están bien estaban bastante bueno de nuestro gran amigo sponsor mercadolibre bienvenido uno fabri muchas gracias por estar presente este nuevo año en en pisa
y estoy en el año pasado ya pasan a ser parte de nuestra casa así que nuevamente bienvenido muchas gracias por estar de nuevo con nosotros bueno como están muchas gracias nuevamente a ustedes por dejarnos charlar acá y por ahí contar un poquito lo que hacemos para contarles un poco de novedades del evento ahí arrancó ahí el lunes al mediodía está terminando hoy a las 4 la verdad es que de nuestro lado hacemos un poco adelantamos esta info pero queremos felicitarlos porque vivimos un gran crecimiento del año pasado a este muchísimos cambios una mejora técnica muy significativa así en el mundo del vagón que iba creciendo un poco nosotros vamos haciendo eventos como contaba rodri a la mañana un poco por varios
países de latinoamérica vemos un crecimiento muy muy grande así que nada felicitarlos desde nuestro lado y bueno y seguir alentando un poco para que el año que viene todavía siga siendo más grande y con más findings y con más calidad técnica así es muchas gracias a bruno como dije usted ya el año pasado que están con nosotros la idea ir creciendo hacer más grande esta conferencia esperemos que el próximo año esta pandemia ya haya bajado un poco y como nos permita estar juntos y presente poder conocerlos personalmente invitarnos a tomar algo por ahí si estoy y compartir y como tú bien dice usted ya son parte de la casa y creciendo justo así que muchas gracias fabri también si
quieres algunas palabras agradecer por estar acá por segundo año consecutivo esperando el tercero y dice como para sumarme vice bruno si la verdad que vimos que se tomó en consideración la experiencia desde el evento pasado hay más hackers algunos son los mismos y ya con conocimiento de la plataforma quizás podéis buscar una debilidad en donde no habían podido buscar en el evento pasado y está bueno que tuvo buena relación hubo colaboración y eso suma para lo que es este tipo de eventos y da ganas de seguir haciéndolos más seguidos por ahora es un spray así es así que no se les parece arrancamos bruno quien va a presentar la batalla entre ustedes muchas gracias y
atento a todos los que están hoy día viendo en este minuto la conferencia donde van a tener información muy interesante al final hace una ronda de preguntas tal vez de su programa alguien que quiera a lo mejor aprender idear el mismo plan ahí están abiertas las preguntas qué al gonismo ahí arrancamos compartiendo perfecto
y creo que ya se está viendo así que bueno muchísimas gracias a todos por estar participando vamos a hablar un poquito o hablar de esta charla que se llama back mount y behind things un poco la pensamos desde el otro lado hay un montón de charlas de evacuar un día y un montón de charlas que cuentan por ahí cómo iniciarse en este mundo cómo encontrar nuevas vulnerabilidades nuevas técnicas nosotros les queremos contar un poquito cómo es nuestro programa y cómo es armar un programa de bounty toda la gestión que está involucrada alrededor de eso así que vamos avanzando como par y empezando no nos presentamos bueno esta se acaba de bajar ahora se vuelve a subir ahí está fabriano esta
fábrica que es uno de los técnicas leeds del equipo y bueno estoy acá también participando en la charla show que soy uno de limón y uno de los proyectos del equipo de seguridad aplicativa de mercadolibre la verdad que el equipo es muchísimo más grande pero bueno hoy ponemos la carita nosotros y charlamos pero bueno es es un equipo muy muy grande y muy diversos así que estamos muy contentos de participar adentro de ese equipo como para contarles un poco cómo viene la agenda así como les contaba al principio vamos a charlar a contarles algunas pequeñas cosas de nuestro programa después ya vamos a centrar un poquito más en detalle de por qué un programa de vacuna anti por qué muchas
de las empresas se están abriendo sus programas que están administrando los que es lo que se espera que hay un poco detrás de ese programa de bounty porque a veces reportamos una vulnerabilidad en una plataforma y atrás hay obstante bastante trabajo si la verdad que nosotros apuntamos o les venimos a contar una de las formas si puede haber muchísimas formas pero bueno ahí hay bastante tips o consideraciones a tomar en cuenta a la hora de armar un programa de bounty sí así que también vamos a charlar un poquito acerca de eso después este tipo de jugadores no creativos jugadores por ahí nos gustan a nosotros o qué tipo de jugadores charlando con otros otros otros colegas
que administran los que tienen programas de background y consideramos que son los que más valor le aportan a este tipo de el programa de actividades que estamos realizando después charló un poquito de los reportes que reportes son los que esperamos nosotros a veces es difícil escribir un informe escribir un reporte cómo contarlo detallado bueno vamos ahí a tener algunos tips o charlar de eso después nos queremos meter en algunos temas que a veces en la comunidad son un poco candentes como esto el tema de educ por notebook los duplicados y que muchas veces charlamos o hay varias opiniones queremos también contarles un poquito cuál es nuestra visión después ya casi al final de la charla
vamos a charlar o dar algunos tips del teide back to the sky and show de impact muchas veces hay algunos reportes que quedan como a mitad de camino o se reporta por un muy buen vector de ataque pero que ahí sólo se reporta el inicio del ataque y no se le dedica el tiempo como para hacer ese research sí que falta y por ahí escribirlo contarlo buscar ese plus sí que ese plus termina haciendo ese plus en dinero también y en lo que es el impacto de la vulnerabilidad así que vamos a mostrar unos dos ejemplos que suelen pasar después otro tema y ya para cerrar el out of scout o no aplica si vamos a
charlar también acerca de ese tema
bueno por ahí un poco para los que no conocen que es un programa de bagua unt y básicamente un programa bounty que es en el cual un researcher de seguridad un ingeniero de seguridad un hacker o un aficionado sí pero le pregunta distintos nombres encuentra una vulnerabilidad es una plataforma y hace el reporte generalmente por ese reporte hay distintas empresas en que dan recompensa o no existen programas de unidad it is clúster programa en donde no se suele dar recompensa y lo vamos a un programa en el cual las empresas dan una recompensa por esa vulnerabilidad si lo que es lo que se hace en este caso es recompensar el trabajo de la persona que
le dedicó el tiempo esfuerzo y dedicación en encontrar esa vulnerabilidad de reportarlo también sabemos que muchas veces con eso que se encuentra se puede ir por ahí para el otro camino sí o generar un fraude o hacer una publicación sin embargo el programa de bagua noticia reporta la vulnerabilidad es una recompensa por ese trabajo realizado en nuestro caso nosotros elegimos la plataforma hardware one hay distintas plataformas cloud inditex son otras las más conocidas nosotros elegimos la plataforma hardware one y básicamente como muestra el dibujito hay una persona que hace un research tras una investigación o tiene suerte y se encuentra con una vulnerabilidad a reporta a través de esta plataforma en nuestro caso nuestro programa es
privado que quiere decir que para acceder a ese programa es con una invitación y es un programa del tipo manage el programa de tipo humana es que hay un trabajo conjunto entre la plataforma en este caso hacker one que hace una primera validación de la vulnerabilidad y después nosotros como el equipo de seguridad de mercadolibre hacemos una válida una segunda validación sí y reconfirmamos esa vulnerabilidad generalmente los programas son así tienen la participación de las empresas que gestionan el programa así que nada es como un dip una vez que termina todo este proceso se hace la validación otra y así como comúnmente se le dice la vulnerabilidad se valida que esa vulnerabilidad efectivamente igual ya o no se le
entrega una recompensa que suele ser económica una cuestión a considerar es que los programas tienen algo llamado policy que son como las reglas básicamente y sé que se puede hacer y que no se puede hacer en un programa hay distintos programas sí y como hay gente programas hay distintas policies hay algunas cuestiones que son generalmente comunes en todos los programas como denegaciones de servicio o algunos tipos de ataques que ya no se suelen tomar o no se pueden con no se suelen contemplar dentro de lo que son los programas de bagua unt y sin embargo eso puede cambiar si entre distintos programas distintas empresas eso es variable así que siempre la recomendación antes de empezar con todo
lo que hacer lo hago antiguo empezar con un programa es lean la polis y dedique un tiempo a leer la policía y porque por ahí una ley con un montón de tiempo hacer un research y después ha aguantado que ese tipo de vulnerabilidad o ese vector no era contemplado para recibir una recompensa entonces como que se trabajó ahí se pierde por decirlo de alguna manera siempre siempre se aprende no pero se pierde si se esperaba una recompensa o porque se puede generar alguna fricción recomendamos por ahí tomarse el tiempo para la policía y otra cuestión también que es muy importante es el scout del programa si por ejemplo mercadolibre tiene distintas aplicaciones no todas las aplicaciones que mercadolibre o que
las empresas tienen participando entre los programas de bagua aunque y ahí es donde se genera esto que después nos ha hecho nada más que es out of scout si la empresa tiene 10 aplicaciones pero en realidad entre el programa de wagon que participan dos es importante centrarnos en esas dos para de vueltas no generar esa fricción igualmente muchos de los programas aunque ese reporte out of scout toman esa vulnerabilidad y lo tiene en cuenta nosotros a veces hacemos esas consideraciones y peor importantes centrarse en el scout bueno nuestro programa para contarles un poquito más de números nuestro programa ya tiene tres años y como cuando vamos antes es un programa privado que ya tiene tres años tiene
y una madurez considerada digamos ya pasamos por varias olas varios vaivenes entre el drama así que bueno eso nos pone bastante contentos lo que tiene como les contaba antes es un scout que va creciendo todos los años y vamos tratando de hacerlo divertido y atractivo hay un montón de participantes que el año pasado estuvieron en el king event y este año vuelven a estar en el fermín event saben que nuestro scope va creciendo y va cambiando para tratar de hacerlo divertido y atractivo para que independientemente las recompensas genere un desafío técnico o un desafío de querer seguir avanzando dentro del programa bueno estos tres años recibimos variados bugs bastante divertidos otros datos del programa tenemos más de
350 jugadores son activos tenemos muchos invitados van participando a veces de temporada nosotros los invitamos a que participar en nuestro programa y se queden porque de vuelta como comentábamos antes no es un programa es cuál les code o los desafíos son estáticos si no cambian todo el tiempo estamos incorporando trimestre a trimestre mes a mes a veces incorporando nuevos desafíos no nos code y vamos creciendo un poco dentro del programa otros ítems que para nosotros es importantes y entre lo que es todo el programa de bounty es generar esta comunidad si la relación que tenemos con ella así como contábamos al principio que el año pasado hicimos el evento en un punto con beat 6 y este año lo repetimos nosotros
queremos que se genere la comunidad en los distintos países y que siga creciendo así que nosotros también colaboramos un poco y ayudamos y nosotros también somos parte de esa comunidad así que bueno todo lo que podamos hacer como charlas o compartir información para que la comunidad siga creciendo para nosotros es muy importante para contar un poco de recompensas ya llevamos entregado más de 250 mil dólares en estos tres años y bueno esto va creciendo día a día un poco lo hakim events como hablábamos al principio nosotros también estaríamos que sean más presenciales queremos ir a chile toda una cerveza y poner las computadoras de estar todos juntos volverá a esos espacios que extrañamos pero bueno este año un poco los
reconvertimos y los llamamos live events antes lo llamábamos mi taxi en donde por ahí se acercaba en algún lugar físico en algún país se hizo en las oficinas incluso del mercado libre pero bueno ahora estamos con esta está forma virtual y por ello apunta vamos a ver un futuro que de alguna forma híbrida pero realizamos distintos eventos en argentina uruguay brasil chile colombia y méxico y bueno la verdad que estamos bastante contextos de estos eventos el otro ítem que también es importante a nuestro programa es el tiempo si sabemos que a veces le dedicamos un montón de tiempo en asia un research yo encontraba una vulnerabilidad lo que termina pasando es que el programa se tarda
bastante tiempo en hacer esa validación nosotros tomamos bastante en cuenta el tema del tiempo en lo que es la validación en lo que es el pago de la vulnerabilidad en lo que se interactuar con los hackers nos vamos a decir que siempre lo resolvemos en dos días porque tenemos works que para ya veces son más difíciles de probar o tardamos algún tiempo pero bueno es algo que nosotros tenemos y medimos en nuestro programa y consideramos como uno de los factores más importantes y otro de los puntos como charlamos antes es esto de crear las comunidades estos life hakim events o estos eventos van generando grupos por ahí cerrados de telegram o de discordia o distintos
canales para compartir comunicación que después estos canales quedan libres para poder ser utilizados para compartir inforo.com.ar todos los derechos
poder compartir información y poder seguir creciendo y capacitándonos entre todos hablando un poco de lo que son los chales son los desafíos que tiene el programa este año tratamos de volvernos un poco más creativos sí y lanzamos dos tipos de desafíos o dos tipos de challenge unos que son chavales más técnicos en el cual ofrecemos algún multiplicador especial sí sí se reporta algún tipo de vulnerabilidad ya sea pues es miley ya sea es web inyección algún tipo de vulnerabilidad hacemos como un happy hour por decirle alguna manera y habilitamos esa vulnerabilidad con ese multiplicador especial durante unos días si puede ser sobre un es como especial sobre todo el cobro del programa pero este año también incorporamos unos
nuevos challenges con lógica de negocio estos nuevos channels van a tender a ir creciendo y por ejemplo actualmente tenemos un challenge de a todos que sería una complicó en un chalet de bypass del segundo factor básicamente es proponemos a que prueben la seguridad de estas funcionalidades de nuestra plataforma y en caso de que pueden encontrar una vulnerabilidad hay una recompensa especial para ellos para los dejo con fabri que les va a contar un poquito de por qué tiene un programa de bounty bueno gracias bruno para la paz vamos a meter un poco más en el detalle de un poco el camino que transcurrimos nosotros como empresa para poder largar un site de experiencia del programa de
bounty y un poco las tareas que consideramos de forma previa pero para ir respondiendo a la pregunta bueno porque un programa de bounty que básicamente porque muchos ojos ven ver más o deberían ver más que pocos ojos lo que es la comunidad de hackers escala a lo que sería un equipo interno de apps es de la empresa entonces en esto de que la superficie para que esté constantemente a prueba el apoyo en la comunidad sirve es un ganar-ganar no porque contaba a bruno que yo researcher tengo en un tiempo tengo una computadora y bueno se encuentra en alguna y de habilidad me llevo una recompensa por ese tiempo que invertí en la empresa se llega el material la vulnerabilidad para
seguir trabajando entonces a priori no habría nada malo en esto y y en la historia de la seguridad y evolucionando en el concepto de programa de wacom y cada vez hay más plataformas cada vez hay más empresas que tienen programas la facilidad para entrar y lograr reputación es más fácil hay más tarde quizás hace un par de años uno decía bueno en un ratito quiero no sé quiero hacer unos dólares y bueno a ver qué puedo hackear y esta posibilidad no existía porque no conocía o no estaba tan publicitado las plataformas de bounty o las condiciones eran más difíciles y ahora sinceramente uno con con tiempo y aprendiendo en el camino puedo decir bueno le voy a dedicar un
rato y si este rato me es productivo quizás gane o experiencia o plata y en los objetivos de cada uno pero realmente es algo para potenciar y para aprovechar de abordado en hacer lado de lizartza vídeo al lado de la empresa para para introducirlo también ese camino del que hice fue una buena experiencia así entre todos los seguimos avanzando en objetivos en más empresas que se suben pero hablando de sumarse a esto de salir con un programa de bounty y quizás nosotros mercadolibre yo me acuerdo cuando entré ella hace años que estaba la palabra background y programa de bounty en la estrategia y mi presentación el recuerdo de años hacia atrás que el objetivo final de parte de
un camino de estrategia de seguridad la empresa al tener un programa de pago no entonces porque no está vallada si quizás en la práctica es hacer un contrato con una plataforma y salir con un par de clics y exponer y decir bueno ataquen a mi empresa y yo recompensa bueno porque al menos nosotros consultando un poco experiencia con nuestras empresas y lo que creíamos elaboramos con una maestría de técnica acá ponemos algunos ejemplos pero nos preguntamos no estamos listos para tener un programa de pagos de y entre esas preguntas como empresa decíamos bueno tenemos un equipo de apse que pueda entender los reportes que hacen que los hacker van a entender la seguridad habilidades han tenido alguna
experiencia con el tipo de universidades que nos pueden llegar a encontrar tenemos un proceso interno aceitado que funcione para soportar una carga estimamos que podrían llegar y esto es totalmente incierto no cuando uno sale en recuerdo que estábamos todos diciendo bueno salimos ahora qué va a pasar y después nos va perdiendo el miedo pero el proceso que tenemos definido soporta de forma ágil para que la experiencia y hacker sea buena lograr validar esa vulnerabilidad ser el para ahora vamos a hablar un poco que involucra ese proceso pero era un punto claramente a considerar como trabajo previo y no complementario en una estrategia de salir con un programa de bounty y bueno hacemos puentes de forma regular hacemos
revisión de código como nos fue con esto como nos fue con con la historia de ataques de gran acción de denegación del servicio a la compañía cómo nos estamos protegiendo un poco todo es la mezcla de todas estas preguntas cuando uno puede ir respondiendo en cómo casildo tics laxe que dice bueno quizás consideramos que estamos prontos y porque esa pregunta es importante porque como todo estrategia de seguridad y no sólo de seguridad sino cualquier estrategia del producto también en una empresa uno destina based quizás pongámosle anual entonces vamos a salir con el programa de bounty vamos a decir bueno invirtamos x cantidad este año para pagar recompensas y como como me aseguro de que ese dinero que tengo destinado y
reservado no se me va a consumir en una semana luego de haber salido con mi programa porque me cayeron 100 vulnerabilidades del mismo tipo en todas las aplicaciones no lo puedo asegurar pero haciendo un análisis previo de si estamos preparados y un poco recorriendo todo este camino voy a lograr que no tenga que apagar mi programa a la semana de haber anunciado por todos lados que finalmente había logrado como parte de la estrategia de seguridad salir al mundo de down y entonces hay por ahí alguna experiencia hay bibliografía de programas o casos que han salido habían tenido que apagar puede pasar a cualquier empresa pero bueno uno si es consciente de un poco de trabajo que se podría hacer para estar
tranquilos de que básicamente del vallès que voy a gastar y tim es de más o menos de la forma que yo lo esperaba y me retorne el material y los conocimientos que también planifique antes de salir con el programa que hay un poco atrás ya fuimos comentando comentando algo del proceso por arriba para ir bajando un poco la tierra bueno pero decía nosotros por ejemplo en el mercado libio tenemos a car walk on plataforma no entonces llega la vulnerabilidad partimos de ahí hasta que no llega a la vulnerabilidad digamos que no habría no había proceso que se que se imparte al menos desde forma automática hay un staff de que nos ayuda a bali hablar nosotros colaboramos en esta
validación de vulnerabilidad vamos a entrar en más detalles luego pasamos a hacer el reporte interno y en ese momento bueno hay empresas que deciden ya pagar a care porque la vulnerabilidad ya la consideramos válida todos contentos y bueno la empresa puertas para adentro hace el folio web de lo que es el pixi la estrategia para analizar no sólo esa vulnerabilidad cómo se relaciona con las demás y un poco de trabajo que hay ahora nos metemos en el darles un poco de fibra de lo que es específicamente cada parte desde este puzzle no y no menor el proceso de validación de inicio ya casa a veces puede ver alguna fricción entre el research art y la empresa y hasta
incluso en entremedio el staff de la plataforma que también de alguna forma tiene su conocimiento como luís archer y de la empresa porque está acostumbrado a trabajar en validar vulnerabilidades por ejemplo para mercadolibre que decimos nosotros acá el research cuando hace servir de nuevo debería elige una severidad acorde a lo que el conocimiento de él y la historia de la plataforma o lo que haya navegado y le haya conocido le permite mismo a veces de la unidad y al clínic tanto que ver con la plataforma bueno elige un riesgo en base a ciertos criterios entonces unos nosotros como empresa que además de tener que definir un riesgo también en base a criterios bueno entra todo eso de validar lado este es un poco
una carrera porque queremos dar una buena experiencia a quien se tomó el trabajo reportar una vulnerabilidad entonces no menor el trabajo de estandarizar a veces criterios comunes en la empresa porque no no no es siempre la misma persona quien va a validar el mismo tipo de reporte y como todos podemos tener criterios distintos hay criterios comunes donde sabemos por ejemplo o está un poco estandarizado que de amor y un ejemplo no se viene un x ss reflejado bueno para mí no hay ningún impacto mayor que muestre va de cabeza medio vídeo pero qué pasa si empiezan a ver y pases y cosas que empiezan a condimentar se reporta y donde los criterios de uno o de otros pueden ir
por diferentes caminos y no es que esté mal sino que son criterios y tiene cada uno tiene su fundamento entonces este proceso de validación a veces lo que pasa puertas para dentro de la empresa mientras más estandarizado esté más talleres de acuerdo o criterios en común en base a por ejemplo frameworks como como la calculadora del niño para definir una severidad que a veces son números duros nosotros nos gusta tomarlo como input hablo del score de la calculadora sbcs nos gusta tomarlo como imputado también a gustar a nuestro criterio en base al entorno de la empresa y el tipo de información que se está alterando manejando en ese reporte no entonces un poco con todo eso el
trabajo que hay para de puertas para dentro para analizar la crecida de la universidad y estar de acuerdo o no con el hacker pero nos gusta y dar una justificación a veces a veces la entendemos cuando hay un poco una queja del otro lado bueno me bajaron la severidad y no me explicaron mucho me dieron un renglón de justificación de por qué en vez de alta media capaz que la justificación para adentro la empresa estuvo una semana charlando con un equipo pasó cuatro reuniones entre todos y acordaron que era mi un por una historia o porque se está aplicando algún control u otro y quizás eso no se puede reflejar en una respuesta al hacker y por eso se elige a
veces una respuesta más corta sacrificando a veces un poco si le doy mucha información teniendo en cuenta a veces y le doy mucha información quizás los entreveros tengo que contar mucha historia y bueno a que confíe que la severidad que elige el equipo de seguridad para este reporte no es la misma que quiere sacar pensaba bueno por un poco por estos motivos entonces esos casos se dan hay que estar hay que estar preparados al principio quizás lo veíamos como él estilos como piensa distinto pero uno empecé como empresa se va acostumbrando a debatir siempre con con respecto y argumentos y vemos como que subido un poco el nivel digamos si logramos a veces hablar como un lenguaje que no nos entendemos
entre lo que espera el hacker lo que nosotros queremos contar y se llegan a salir los acuerdos y aprendemos de los rodeados bu
Related talks
29:11
33:47
51:41
38:58
21:38
37:52