SlideShare uma empresa Scribd logo

Cómo olvidarse de lo básico en DevSecOps

RootedCON
RootedCON

El documento discute los riesgos de seguridad asociados con DevSecOps, incluyendo la exposición de información confidencial en herramientas de desarrollo como repositorios de código, sistemas de tickets, servidores de integración continua y consolas de scripts. También analiza cómo vulnerabilidades en estas plataformas podrían permitir la ejecución de código malicioso u obtención de acceso no autorizado. Concluye resaltando la importancia de aplicar el principio del mínimo privilegio y realizar configuraciones seguras

Tecnologia
1 de 48
Baixar para ler offline
DevSecOps y la caída de Babilonia Cómo olvidarse de lo básico Helena Jalain Daniel González
Net user Daniel González @dani_zerolynx • Co-fundador de ZEROLYNX • Socio director de ciberinteligencia de OSANE Consulting • Profesor oficial del certificado CSX y coordinador de las formaciones de ciberseguridad de ISACA Madrid Helena Jalain @hlna_jb • Security Researcher en ZEROLYNX • Experiencia en consultoría de ciberseguridad, hacking ético y desarrollo seguro • Ingeniera de Telecomunicación y anteriormente investigadora en la Universidad Politécnica de Madrid
DevOps + Sec Security • Requisitos • Análisis • Pentest Operations • Monitorización • Configuración • Integración Developement • Diseño • Desarrollo • Tests ▪ Más facilidad para desarrollar, mayor número de cambios que se pueden hacer. ▪ Nuevos gestores de dependencias (Maven, NPM, Composer…) facilitan la integración con otras tecnologías. ▪ Ofrecer nuevas funcionalidades más rápido. ▪ Capacidad de subir a producción de manera automática. ▪ Integra garantías de seguridad en todo el proceso. ▪ Reducir costes a nivel de desarrollo, incluyendo el coste de solucionar problemas de seguridad o vulnerabilidades.
(Sec)Dev(Sec)Ops(Sec)¿?¿? 3 17.600DevOpsSEC 55.700SECDevOps 2 920.000DevSECOps 1
Ciclo de desarrollo DevOps Diseño IDE CI Desarrollo Test Producción • Revisión de requisitos • Revisión de código • Análisis de código estático • Análisis de código estático • Escaneo de vulnerabilidades • Test unitarios de seguridad • Escaneo periódico de infraestructura • Pentest activo • Análisis SSL • Pentest pasivo • Escaneo periódico de la infraestructura
Tendencia Entorno de desarrollo Protección del entorno Desarrollos seguros
Seguridad de los entornos de desarrollo
Escenario Controlador de versión Servidor de integración continua Administrador de tareas Sistema de mensajería en tiempo real Update TicketsPush commit Trigger Build Post Message
Riesgos y criticidades Dependiendo de los siguientes factores: Información y secretos Vulnerabilidades: Evasión de la autenticación, ejecución de código… Permisos: Autenticación y Autorización Exposición: Acceso interno o externo
Información confidencial almacenada en las herramientas o en el propio código fuente: Búsqueda de secretos Usuarios Contraseñas Claves Tokens Certificados
Repositorios de código Credenciales Infraestructura Código Claves criptográficas Credenciales BBDD API tokens (AWS, etc) Bash history Claves SSH Configuración servicios (DHCP, SMTP, etc) IPs y URLs internas Puertos Commits History Comentarios Dependencias Vulnerabilidades [1] https://github.com/techgaun/github-dorks
Secretos en el código…Ups [2] https://help.github.com/en/articles/removing-sensitive-data-from-a-repository Buenas prácticas: Para evitar subir info sensible: ✓ git-secrets Para eliminar la info de la history del repositorio: ✓ git filter-branch ✓ BFG Repo-Cleaner
Usuarios Proyectos Gestión de incidencias Administradores de tareas Nombres de usuario IDs internos Nombres y apellidos Emails Cuentas LDAP Nombres Categorías Descripciones Dashboards Agile Gestión de proyectos
Información de proyectos [4] https://medium.com/@sector035/gathering-company-intel-the-agile-way-6db12ca031c9 [3] https://developer.atlassian.com/cloud/jira/platform/rest/v2/ - API
Información de usuarios – API Pero se pueden cambiar los permisos: Por defecto solo accesible por administradores o usuarios de Jira
Credenciales Infraestructura Código Usuarios Servidores de integración continua
Stage Build Test Deploy StepStep Step Jenkinsfile (Declarative Pipeline) pipeline { agent any stages { stage('Build') { steps { echo 'Building..' } } stage('Test') { steps { echo 'Testing..' } } stage('Deploy') { steps { echo 'Deploying....' } } } } Integración continua (CI) Pipeline Entrega continua (CD) Open Source Plugins
Código fuente Workspace de Jenkins: • Directorio “temporal” de archivos específico para cada Job • Se crea al clonar el código del repositorio para procesarlo
Credenciales en logs Eliminar el build que contiene información sensible: ▪ Interfaz Gráfica ▪ Directorio del proyecto/builds/#nº
Credenciales en logs Jenkins dispone de plugins (Credentials Binding Plugin, Mask Passwords Plugin) para gestionar las credenciales de aplicaciones de terceros y evitar que éstas aparezcan embebidas en logs y archivos de configuración.
Credenciales almacenadas ▪ credentials.xml: – Secret text (API token) – username:password – Secret file – SSH public/private key pair – Certificate (PKCS#12) – Docker Host Certificate Authentication ▪ /job/job_name/config.xml
Credenciales en claro – Consola de scripts [5] https://wiki.jenkins.io/display/JENKINS/Jenkins+Script+Console
Consola de scripts- Jira [8] https://marketplace.atlassian.com/addons/app/jira/top-selling
Explotación de vulnerabilidades [6] https://www.cvedetails.com/vendor/15865/Jenkins.html [7] https://www.cvedetails.com/product/8170/Atlassian-Jira.html
Mal de muchos… consuelo de tontos
Explotación de vulnerabilidades - Jenkins Critical 3 High 24Medium 30 [9] https://nvd.nist.gov/vuln/search/results?form_type=Advanced&results_type=overview&query=Jenkins [10] https://blog.orange.tw/2019/01/hacking-jenkins-part-1-play-with-dynamic-routing.html [11] https://blog.orange.tw/2019/02/abusing-meta-programming-for-unauthenticated-rce.html
DEMO TIME
Gestión de permisos Cada plataforma tiene una gestión de permisos diferente con mayor o menor capacidad de configuración. Principio de mínimo privilegio Matriz de roles y permisos Configuración por defecto Cambios por “necesidad”
Permisos – Configuración por defecto
Permisos – Configuración por defecto
Interfaces expuestas 2.603 2 3 2.532 1 80.177
Jenkins en datos 6.543 Sin autenticación [11] http://stats.jenkins.io/plugin-installation-trend/jenkins-version-per-plugin-version.json 80.177 Servidores expuestos 228.825 TOTAL instalaciones [12] http://stats.jenkins.io/plugin-installation-trend/installations.json ~35 % del total 73.539 Vulnerables CVE-2018-1000861 (versión < 2.138/2.121.3 LTS) 29.593 Vulnerables CVE-2018-1000861 (versión < 2.138/2.121.3 LTS) ~31% de los vulnerables (stats) ~41 % de los expuestos 48.096 Vulnerables (CVE-2018-1000861 y CVE-2019-1003001) ~66% de los vulnerables a CVE 2018 -1000861 ~21% del total ~8% de los expuestos ~3% del total 49% expuestos 34% del total Sin autenticación +CVE 2018 - 1000861 Peor escenario de autenticación
Empresas afectadas… (muchas y variadas…) No se mostrará ninguna vulnerabilidad de empresas en concreto. Muchas de las vulnerabilidades se han detectado en terceros
DevSecOps Top 3 Fails
3 Datos sensibles en incidencias
2 Información de más de 1000 usuarios
EASY MODE 1
EASY MODE 1
EASY MODE 1
EASY MODE 1
EASY MODE 1
EASY MODE 1
EASY MODE 1
Conclusiones
Enlaces [1] https://github.com/techgaun/github-dorks [2] https://help.github.com/en/articles/removing-sensitive-data-from-a-repository [3] https://developer.atlassian.com/cloud/jira/platform/rest/v2/ [4] https://medium.com/@sector035/gathering-company-intel-the-agile-way-6db12ca031c9 [5] https://wiki.jenkins.io/display/JENKINS/Jenkins+Script+Console [6] https://www.cvedetails.com/vendor/15865/Jenkins.html [7] https://www.cvedetails.com/product/8170/Atlassian-Jira.html [8] https://marketplace.atlassian.com/addons/app/jira/top-selling [9] https://nvd.nist.gov/vuln/search/results?form_type=Advanced&results_type=overview&query=Jenkins [10] https://blog.orange.tw/2019/01/hacking-jenkins-part-1-play-with-dynamic-routing.html [11] https://blog.orange.tw/2019/02/abusing-meta-programming-for-unauthenticated-rce.html [12] http://stats.jenkins.io/plugin-installation-trend/installations.json [13] http://stats.jenkins.io/plugin-installation-trend/jenkins-version-per-plugin-version.json Otros enlaces de interés: http://www.exfiltrated.com/research/Continuous_Integration_Continous_Compromise_Bsides2017_Wesley_Wineberg.pdf https://www.youtube.com/watch?v=0H6jd5yG7_A
© 2019 Zerolynx S.L. Sociedad española de responsabilidad limitada.Todos los derechos reservados. Zerolynx y sus logotipos son marcas registradas por Zerolynx S.L. Diseño de iconos creado por Freepik para www.flaticon.com, licenciado bajo CC 3.0 BY. La información contenida es de carácter informativo. Para solicitar una cotización de un servicio debe contactar con el equipo comercial de Zerolynx. dgonzalez@zerolynx.com @dani_zerolynx ¡ Muchas gracias ! hjalain@zerolynx.com @hlna_jb

Recomendados

Mariano Palomo - Taller de reversing en sistemas Windows aplicado a CTFs [ro...
Mariano Palomo - Taller de reversing en sistemas Windows aplicado a CTFs [ro...Mariano Palomo - Taller de reversing en sistemas Windows aplicado a CTFs [ro...
Mariano Palomo - Taller de reversing en sistemas Windows aplicado a CTFs [ro...RootedCON
 
David Reguera & Yago Jesus - Rootkit Busters ES [rooted2019]
David Reguera & Yago Jesus - Rootkit Busters ES [rooted2019]David Reguera & Yago Jesus - Rootkit Busters ES [rooted2019]
David Reguera & Yago Jesus - Rootkit Busters ES [rooted2019]RootedCON
 
Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]
Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]
Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]RootedCON
 
Javier Marcos - Detección de amenazas a escala con osquery [rooted2019]
Javier Marcos - Detección de amenazas a escala con osquery [rooted2019]Javier Marcos - Detección de amenazas a escala con osquery [rooted2019]
Javier Marcos - Detección de amenazas a escala con osquery [rooted2019]RootedCON
 
Paco Ramirez - M.E.A.T. - Make Enviroment Android Tools [rooted2019]
Paco Ramirez - M.E.A.T. - Make Enviroment Android Tools [rooted2019]Paco Ramirez - M.E.A.T. - Make Enviroment Android Tools [rooted2019]
Paco Ramirez - M.E.A.T. - Make Enviroment Android Tools [rooted2019]RootedCON
 
CPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto SalgadoCPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto SalgadoWebsec México, S.C.
 
Obtener contraseñas del directorio activo por hkm
Obtener contraseñas del directorio activo por hkmObtener contraseñas del directorio activo por hkm
Obtener contraseñas del directorio activo por hkmWebsec México, S.C.
 
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...RootedCON
 

Recomendados

Mariano Palomo - Taller de reversing en sistemas Windows aplicado a CTFs [ro...
Mariano Palomo - Taller de reversing en sistemas Windows aplicado a CTFs [ro...Mariano Palomo - Taller de reversing en sistemas Windows aplicado a CTFs [ro...
Mariano Palomo - Taller de reversing en sistemas Windows aplicado a CTFs [ro...RootedCON
 
David Reguera & Yago Jesus - Rootkit Busters ES [rooted2019]
David Reguera & Yago Jesus - Rootkit Busters ES [rooted2019]David Reguera & Yago Jesus - Rootkit Busters ES [rooted2019]
David Reguera & Yago Jesus - Rootkit Busters ES [rooted2019]RootedCON
 
Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]
Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]
Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]RootedCON
 
Javier Marcos - Detección de amenazas a escala con osquery [rooted2019]
Javier Marcos - Detección de amenazas a escala con osquery [rooted2019]Javier Marcos - Detección de amenazas a escala con osquery [rooted2019]
Javier Marcos - Detección de amenazas a escala con osquery [rooted2019]RootedCON
 
Paco Ramirez - M.E.A.T. - Make Enviroment Android Tools [rooted2019]
Paco Ramirez - M.E.A.T. - Make Enviroment Android Tools [rooted2019]Paco Ramirez - M.E.A.T. - Make Enviroment Android Tools [rooted2019]
Paco Ramirez - M.E.A.T. - Make Enviroment Android Tools [rooted2019]RootedCON
 
CPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto SalgadoCPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto SalgadoWebsec México, S.C.
 
Obtener contraseñas del directorio activo por hkm
Obtener contraseñas del directorio activo por hkmObtener contraseñas del directorio activo por hkm
Obtener contraseñas del directorio activo por hkmWebsec México, S.C.
 
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...RootedCON
 
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...RootedCON
 
Rooted2020 hunting malware-using_process_behavior-roberto_amado
Rooted2020 hunting malware-using_process_behavior-roberto_amadoRooted2020 hunting malware-using_process_behavior-roberto_amado
Rooted2020 hunting malware-using_process_behavior-roberto_amadoRootedCON
 
Rooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molinaRooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molinaRootedCON
 
David López Paz - Global Warfare [RootedCON 2011]
David López Paz - Global Warfare [RootedCON 2011]David López Paz - Global Warfare [RootedCON 2011]
David López Paz - Global Warfare [RootedCON 2011]RootedCON
 
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro VillaverdeRooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro VillaverdeRootedCON
 
Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]
Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]
Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]RootedCON
 
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...Websec México, S.C.
 
Pentesting 101 por Paulino Calderon
Pentesting 101 por Paulino CalderonPentesting 101 por Paulino Calderon
Pentesting 101 por Paulino CalderonWebsec México, S.C.
 
Old fox new tricks malicious macros are back
Old fox new tricks malicious macros are backOld fox new tricks malicious macros are back
Old fox new tricks malicious macros are backWebsec México, S.C.
 
Búsqueda de vulnerabilidades en aplicaciones de Android [GuadalajaraCON 2013]
Búsqueda de vulnerabilidades en aplicaciones de Android [GuadalajaraCON 2013]Búsqueda de vulnerabilidades en aplicaciones de Android [GuadalajaraCON 2013]
Búsqueda de vulnerabilidades en aplicaciones de Android [GuadalajaraCON 2013]Websec México, S.C.
 
Derrotando a changos con scanners [Paulino Calderon]
Derrotando a changos con scanners [Paulino Calderon]Derrotando a changos con scanners [Paulino Calderon]
Derrotando a changos con scanners [Paulino Calderon]Websec México, S.C.
 
Técnicas de escaneo masivo - 11/2013
Técnicas de escaneo masivo - 11/2013Técnicas de escaneo masivo - 11/2013
Técnicas de escaneo masivo - 11/2013Websec México, S.C.
 
Desarrollando para Nmap Scripting Engine (NSE) [GuadalajaraCON 2013]
Desarrollando para Nmap Scripting Engine (NSE) [GuadalajaraCON 2013]Desarrollando para Nmap Scripting Engine (NSE) [GuadalajaraCON 2013]
Desarrollando para Nmap Scripting Engine (NSE) [GuadalajaraCON 2013]Websec México, S.C.
 
Kali linux v2_re_y_des
Kali linux v2_re_y_desKali linux v2_re_y_des
Kali linux v2_re_y_desCarlos Ansotegui Pardo
 
Pablo sanemeteriovalencia
Pablo sanemeteriovalenciaPablo sanemeteriovalencia
Pablo sanemeteriovalenciaPablo San Emeterio Lopez
 
Manuel Blanco - GNU/Linux Binary Exploitation I&II [rooted2018]
Manuel Blanco - GNU/Linux Binary Exploitation I&II [rooted2018]Manuel Blanco - GNU/Linux Binary Exploitation I&II [rooted2018]
Manuel Blanco - GNU/Linux Binary Exploitation I&II [rooted2018]RootedCON
 
Jose M Mejia - Usando computación paralela GPU en malware y herramientas de h...
Jose M Mejia - Usando computación paralela GPU en malware y herramientas de h...Jose M Mejia - Usando computación paralela GPU en malware y herramientas de h...
Jose M Mejia - Usando computación paralela GPU en malware y herramientas de h...RootedCON
 
Hack&Beers Cadiz Análisis de Malware Cuckoo Sandbox
Hack&Beers Cadiz Análisis de Malware Cuckoo SandboxHack&Beers Cadiz Análisis de Malware Cuckoo Sandbox
Hack&Beers Cadiz Análisis de Malware Cuckoo SandboxMario Alberto Parra Alonso
 
Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]
Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]
Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]RootedCON
 
Cuckoo sandbox
Cuckoo sandboxCuckoo sandbox
Cuckoo sandboxTensor
 
avanttic - webinar: Oracle Seguridad-Regulación (02-07-2015)
avanttic - webinar: Oracle Seguridad-Regulación (02-07-2015)avanttic - webinar: Oracle Seguridad-Regulación (02-07-2015)
avanttic - webinar: Oracle Seguridad-Regulación (02-07-2015)avanttic Consultoría Tecnológica
 
Microsoft Windows Server 2003 Y Windows 2000
Microsoft Windows Server 2003 Y Windows 2000Microsoft Windows Server 2003 Y Windows 2000
Microsoft Windows Server 2003 Y Windows 2000teddy666
 

Mais conteúdo relacionado

Mais procurados

Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...RootedCON
 
Rooted2020 hunting malware-using_process_behavior-roberto_amado
Rooted2020 hunting malware-using_process_behavior-roberto_amadoRooted2020 hunting malware-using_process_behavior-roberto_amado
Rooted2020 hunting malware-using_process_behavior-roberto_amadoRootedCON
 
Rooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molinaRooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molinaRootedCON
 
David López Paz - Global Warfare [RootedCON 2011]
David López Paz - Global Warfare [RootedCON 2011]David López Paz - Global Warfare [RootedCON 2011]
David López Paz - Global Warfare [RootedCON 2011]RootedCON
 
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro VillaverdeRooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro VillaverdeRootedCON
 
Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]
Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]
Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]RootedCON
 
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...Websec México, S.C.
 
Pentesting 101 por Paulino Calderon
Pentesting 101 por Paulino CalderonPentesting 101 por Paulino Calderon
Pentesting 101 por Paulino CalderonWebsec México, S.C.
 
Old fox new tricks malicious macros are back
Old fox new tricks malicious macros are backOld fox new tricks malicious macros are back
Old fox new tricks malicious macros are backWebsec México, S.C.
 
Búsqueda de vulnerabilidades en aplicaciones de Android [GuadalajaraCON 2013]
Búsqueda de vulnerabilidades en aplicaciones de Android [GuadalajaraCON 2013]Búsqueda de vulnerabilidades en aplicaciones de Android [GuadalajaraCON 2013]
Búsqueda de vulnerabilidades en aplicaciones de Android [GuadalajaraCON 2013]Websec México, S.C.
 
Derrotando a changos con scanners [Paulino Calderon]
Derrotando a changos con scanners [Paulino Calderon]Derrotando a changos con scanners [Paulino Calderon]
Derrotando a changos con scanners [Paulino Calderon]Websec México, S.C.
 
Técnicas de escaneo masivo - 11/2013
Técnicas de escaneo masivo - 11/2013Técnicas de escaneo masivo - 11/2013
Técnicas de escaneo masivo - 11/2013Websec México, S.C.
 
Desarrollando para Nmap Scripting Engine (NSE) [GuadalajaraCON 2013]
Desarrollando para Nmap Scripting Engine (NSE) [GuadalajaraCON 2013]Desarrollando para Nmap Scripting Engine (NSE) [GuadalajaraCON 2013]
Desarrollando para Nmap Scripting Engine (NSE) [GuadalajaraCON 2013]Websec México, S.C.
 
Manuel Blanco - GNU/Linux Binary Exploitation I&II [rooted2018]
Manuel Blanco - GNU/Linux Binary Exploitation I&II [rooted2018]Manuel Blanco - GNU/Linux Binary Exploitation I&II [rooted2018]
Manuel Blanco - GNU/Linux Binary Exploitation I&II [rooted2018]RootedCON
 
Jose M Mejia - Usando computación paralela GPU en malware y herramientas de h...
Jose M Mejia - Usando computación paralela GPU en malware y herramientas de h...Jose M Mejia - Usando computación paralela GPU en malware y herramientas de h...
Jose M Mejia - Usando computación paralela GPU en malware y herramientas de h...RootedCON
 
Hack&Beers Cadiz Análisis de Malware Cuckoo Sandbox
Hack&Beers Cadiz Análisis de Malware Cuckoo SandboxHack&Beers Cadiz Análisis de Malware Cuckoo Sandbox
Hack&Beers Cadiz Análisis de Malware Cuckoo SandboxMario Alberto Parra Alonso
 
Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]
Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]
Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]RootedCON
 
Cuckoo sandbox
Cuckoo sandboxCuckoo sandbox
Cuckoo sandboxTensor
 

Mais procurados (20)

Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
 
Rooted2020 hunting malware-using_process_behavior-roberto_amado
Rooted2020 hunting malware-using_process_behavior-roberto_amadoRooted2020 hunting malware-using_process_behavior-roberto_amado
Rooted2020 hunting malware-using_process_behavior-roberto_amado
 
Rooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molinaRooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molina
 
David López Paz - Global Warfare [RootedCON 2011]
David López Paz - Global Warfare [RootedCON 2011]David López Paz - Global Warfare [RootedCON 2011]
David López Paz - Global Warfare [RootedCON 2011]
 
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro VillaverdeRooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
 
Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]
Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]
Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]
 
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
 
Pentesting 101 por Paulino Calderon
Pentesting 101 por Paulino CalderonPentesting 101 por Paulino Calderon
Pentesting 101 por Paulino Calderon
 
Old fox new tricks malicious macros are back
Old fox new tricks malicious macros are backOld fox new tricks malicious macros are back
Old fox new tricks malicious macros are back
 
Búsqueda de vulnerabilidades en aplicaciones de Android [GuadalajaraCON 2013]
Búsqueda de vulnerabilidades en aplicaciones de Android [GuadalajaraCON 2013]Búsqueda de vulnerabilidades en aplicaciones de Android [GuadalajaraCON 2013]
Búsqueda de vulnerabilidades en aplicaciones de Android [GuadalajaraCON 2013]
 
Derrotando a changos con scanners [Paulino Calderon]
Derrotando a changos con scanners [Paulino Calderon]Derrotando a changos con scanners [Paulino Calderon]
Derrotando a changos con scanners [Paulino Calderon]
 
Técnicas de escaneo masivo - 11/2013
Técnicas de escaneo masivo - 11/2013Técnicas de escaneo masivo - 11/2013
Técnicas de escaneo masivo - 11/2013
 
Desarrollando para Nmap Scripting Engine (NSE) [GuadalajaraCON 2013]
Desarrollando para Nmap Scripting Engine (NSE) [GuadalajaraCON 2013]Desarrollando para Nmap Scripting Engine (NSE) [GuadalajaraCON 2013]
Desarrollando para Nmap Scripting Engine (NSE) [GuadalajaraCON 2013]
 
Kali linux v2_re_y_des
Kali linux v2_re_y_desKali linux v2_re_y_des
Kali linux v2_re_y_des
 
Pablo sanemeteriovalencia
Pablo sanemeteriovalenciaPablo sanemeteriovalencia
Pablo sanemeteriovalencia
 
Manuel Blanco - GNU/Linux Binary Exploitation I&II [rooted2018]
Manuel Blanco - GNU/Linux Binary Exploitation I&II [rooted2018]Manuel Blanco - GNU/Linux Binary Exploitation I&II [rooted2018]
Manuel Blanco - GNU/Linux Binary Exploitation I&II [rooted2018]
 
Jose M Mejia - Usando computación paralela GPU en malware y herramientas de h...
Jose M Mejia - Usando computación paralela GPU en malware y herramientas de h...Jose M Mejia - Usando computación paralela GPU en malware y herramientas de h...
Jose M Mejia - Usando computación paralela GPU en malware y herramientas de h...
 
Hack&Beers Cadiz Análisis de Malware Cuckoo Sandbox
Hack&Beers Cadiz Análisis de Malware Cuckoo SandboxHack&Beers Cadiz Análisis de Malware Cuckoo Sandbox
Hack&Beers Cadiz Análisis de Malware Cuckoo Sandbox
 
Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]
Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]
Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]
 
Cuckoo sandbox
Cuckoo sandboxCuckoo sandbox
Cuckoo sandbox
 

Semelhante a Cómo olvidarse de lo básico en DevSecOps

Microsoft Windows Server 2003 Y Windows 2000
Microsoft Windows Server 2003 Y Windows 2000Microsoft Windows Server 2003 Y Windows 2000
Microsoft Windows Server 2003 Y Windows 2000teddy666
 
Microsoft Windows Server 2003 Y Windows 2000 I
Microsoft Windows Server 2003 Y Windows 2000 IMicrosoft Windows Server 2003 Y Windows 2000 I
Microsoft Windows Server 2003 Y Windows 2000 Iteddy666
 
Devsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivoDevsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivoLuciano Moreira da Cruz
 
Windows Server Tech Day Longhorn
Windows Server Tech Day LonghornWindows Server Tech Day Longhorn
Windows Server Tech Day LonghornDOMINICUS
 
Dev ops with Data
Dev ops with DataDev ops with Data
Dev ops with Datannakasone
 
Webinar - Moderniza tu proceso de desarrollo con Oracle Cloud y DevOps
Webinar - Moderniza tu proceso de desarrollo con Oracle Cloud y DevOpsWebinar - Moderniza tu proceso de desarrollo con Oracle Cloud y DevOps
Webinar - Moderniza tu proceso de desarrollo con Oracle Cloud y DevOpsavanttic Consultoría Tecnológica
 
Webinar Arquitectura de Microservicios
Webinar Arquitectura de MicroserviciosWebinar Arquitectura de Microservicios
Webinar Arquitectura de MicroserviciosDomingo Suarez Torres
 
Citrix para dummies - El blog de Negu
Citrix para dummies - El blog de NeguCitrix para dummies - El blog de Negu
Citrix para dummies - El blog de NeguRaúl Unzué
 
24 Horas Español 2014 - ALM para el desarrollo de base de datos SQL Server
24 Horas Español 2014 - ALM para el desarrollo de base de datos SQL Server24 Horas Español 2014 - ALM para el desarrollo de base de datos SQL Server
24 Horas Español 2014 - ALM para el desarrollo de base de datos SQL ServerJohn Bulla
 
Orquestación de Microservicios Introducción a arquitecturas de desarrollo mod...
Orquestación de Microservicios Introducción a arquitecturas de desarrollo mod...Orquestación de Microservicios Introducción a arquitecturas de desarrollo mod...
Orquestación de Microservicios Introducción a arquitecturas de desarrollo mod...ssuserc860fb
 
avanttic - webinar: Oracle Seguridad-Gobierno de la Seguridad (25-06-2015)
avanttic - webinar: Oracle Seguridad-Gobierno de la Seguridad (25-06-2015)avanttic - webinar: Oracle Seguridad-Gobierno de la Seguridad (25-06-2015)
avanttic - webinar: Oracle Seguridad-Gobierno de la Seguridad (25-06-2015)avanttic Consultoría Tecnológica
 
Seguridad web para desarrolladores - OWASP
Seguridad web para desarrolladores - OWASPSeguridad web para desarrolladores - OWASP
Seguridad web para desarrolladores - OWASPMarcos Harasimowicz
 

Semelhante a Cómo olvidarse de lo básico en DevSecOps (20)

avanttic - webinar: Oracle Seguridad-Regulación (02-07-2015)
avanttic - webinar: Oracle Seguridad-Regulación (02-07-2015)avanttic - webinar: Oracle Seguridad-Regulación (02-07-2015)
avanttic - webinar: Oracle Seguridad-Regulación (02-07-2015)
 
Microsoft Windows Server 2003 Y Windows 2000
Microsoft Windows Server 2003 Y Windows 2000Microsoft Windows Server 2003 Y Windows 2000
Microsoft Windows Server 2003 Y Windows 2000
 
Microsoft Windows Server 2003 Y Windows 2000 I
Microsoft Windows Server 2003 Y Windows 2000 IMicrosoft Windows Server 2003 Y Windows 2000 I
Microsoft Windows Server 2003 Y Windows 2000 I
 
Devsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivoDevsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivo
 
Testing Android Security
Testing Android SecurityTesting Android Security
Testing Android Security
 
Windows Server Tech Day Longhorn
Windows Server Tech Day LonghornWindows Server Tech Day Longhorn
Windows Server Tech Day Longhorn
 
Testing Android Security
Testing Android SecurityTesting Android Security
Testing Android Security
 
Dev ops with Data
Dev ops with DataDev ops with Data
Dev ops with Data
 
DevOps: una breve introducción
DevOps: una breve introducciónDevOps: una breve introducción
DevOps: una breve introducción
 
Webinar - Moderniza tu proceso de desarrollo con Oracle Cloud y DevOps
Webinar - Moderniza tu proceso de desarrollo con Oracle Cloud y DevOpsWebinar - Moderniza tu proceso de desarrollo con Oracle Cloud y DevOps
Webinar - Moderniza tu proceso de desarrollo con Oracle Cloud y DevOps
 
Data Ops
Data OpsData Ops
Data Ops
 
Webinar Arquitectura de Microservicios
Webinar Arquitectura de MicroserviciosWebinar Arquitectura de Microservicios
Webinar Arquitectura de Microservicios
 
Citrix para dummies - El blog de Negu
Citrix para dummies - El blog de NeguCitrix para dummies - El blog de Negu
Citrix para dummies - El blog de Negu
 
24 Horas Español 2014 - ALM para el desarrollo de base de datos SQL Server
24 Horas Español 2014 - ALM para el desarrollo de base de datos SQL Server24 Horas Español 2014 - ALM para el desarrollo de base de datos SQL Server
24 Horas Español 2014 - ALM para el desarrollo de base de datos SQL Server
 
Orquestación de Microservicios Introducción a arquitecturas de desarrollo mod...
Orquestación de Microservicios Introducción a arquitecturas de desarrollo mod...Orquestación de Microservicios Introducción a arquitecturas de desarrollo mod...
Orquestación de Microservicios Introducción a arquitecturas de desarrollo mod...
 
Microservicios con .NET
Microservicios con .NETMicroservicios con .NET
Microservicios con .NET
 
VDI Security
VDI SecurityVDI Security
VDI Security
 
avanttic - webinar: Oracle Seguridad-Gobierno de la Seguridad (25-06-2015)
avanttic - webinar: Oracle Seguridad-Gobierno de la Seguridad (25-06-2015)avanttic - webinar: Oracle Seguridad-Gobierno de la Seguridad (25-06-2015)
avanttic - webinar: Oracle Seguridad-Gobierno de la Seguridad (25-06-2015)
 
TMG Server by Daniel
TMG Server by DanielTMG Server by Daniel
TMG Server by Daniel
 
Seguridad web para desarrolladores - OWASP
Seguridad web para desarrolladores - OWASPSeguridad web para desarrolladores - OWASP
Seguridad web para desarrolladores - OWASP
 

Mais de RootedCON

rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...RootedCON
 
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_RootedCON
 
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...RootedCON
 
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...RootedCON
 
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguerRooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguerRootedCON
 
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemy
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemyRooted2020 stefano maccaglia--_the_enemy_of_my_enemy
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemyRootedCON
 
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...RootedCON
 
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...RootedCON
 
Rooted2020 todo a-siem_-_marta_lopez
Rooted2020 todo a-siem_-_marta_lopezRooted2020 todo a-siem_-_marta_lopez
Rooted2020 todo a-siem_-_marta_lopezRootedCON
 
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valeroRooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valeroRootedCON
 
Rooted2020 live coding--_jesus_jara
Rooted2020 live coding--_jesus_jaraRooted2020 live coding--_jesus_jara
Rooted2020 live coding--_jesus_jaraRootedCON
 
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...RootedCON
 
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...RootedCON
 
Rooted2020 evading deep-learning_malware_detectors_-_javier_yuste
Rooted2020 evading deep-learning_malware_detectors_-_javier_yusteRooted2020 evading deep-learning_malware_detectors_-_javier_yuste
Rooted2020 evading deep-learning_malware_detectors_-_javier_yusteRootedCON
 
Rooted2020 encontrando 0days-en_2020_-_antonio_morales
Rooted2020 encontrando 0days-en_2020_-_antonio_moralesRooted2020 encontrando 0days-en_2020_-_antonio_morales
Rooted2020 encontrando 0days-en_2020_-_antonio_moralesRootedCON
 
Rooted2020 emotet is-dead_long_live_emotet_-_victor_acin
Rooted2020 emotet is-dead_long_live_emotet_-_victor_acinRooted2020 emotet is-dead_long_live_emotet_-_victor_acin
Rooted2020 emotet is-dead_long_live_emotet_-_victor_acinRootedCON
 
Rooted2020 el camino-de_hacktiago_tras_los_pasos_de_14_increibles_cibersantua...
Rooted2020 el camino-de_hacktiago_tras_los_pasos_de_14_increibles_cibersantua...Rooted2020 el camino-de_hacktiago_tras_los_pasos_de_14_increibles_cibersantua...
Rooted2020 el camino-de_hacktiago_tras_los_pasos_de_14_increibles_cibersantua...RootedCON
 
Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalez
Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalezRooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalez
Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalezRootedCON
 
Rooted2020 atacando la-debilidad_humana_-_ruth_sala_-_carmen_torrano
Rooted2020 atacando la-debilidad_humana_-_ruth_sala_-_carmen_torranoRooted2020 atacando la-debilidad_humana_-_ruth_sala_-_carmen_torrano
Rooted2020 atacando la-debilidad_humana_-_ruth_sala_-_carmen_torranoRootedCON
 
Rooted2020 a ver-como_nos_lo_montamos_a_vueltas_con_las_da_os_-_rootedpanel.
Rooted2020 a ver-como_nos_lo_montamos_a_vueltas_con_las_da_os_-_rootedpanel.Rooted2020 a ver-como_nos_lo_montamos_a_vueltas_con_las_da_os_-_rootedpanel.
Rooted2020 a ver-como_nos_lo_montamos_a_vueltas_con_las_da_os_-_rootedpanel.RootedCON
 

Mais de RootedCON (20)

rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
 
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
 
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
 
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
 
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguerRooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
 
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemy
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemyRooted2020 stefano maccaglia--_the_enemy_of_my_enemy
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemy
 
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
 
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
 
Rooted2020 todo a-siem_-_marta_lopez
Rooted2020 todo a-siem_-_marta_lopezRooted2020 todo a-siem_-_marta_lopez
Rooted2020 todo a-siem_-_marta_lopez
 
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valeroRooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
 
Rooted2020 live coding--_jesus_jara
Rooted2020 live coding--_jesus_jaraRooted2020 live coding--_jesus_jara
Rooted2020 live coding--_jesus_jara
 
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
 
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
 
Rooted2020 evading deep-learning_malware_detectors_-_javier_yuste
Rooted2020 evading deep-learning_malware_detectors_-_javier_yusteRooted2020 evading deep-learning_malware_detectors_-_javier_yuste
Rooted2020 evading deep-learning_malware_detectors_-_javier_yuste
 
Rooted2020 encontrando 0days-en_2020_-_antonio_morales
Rooted2020 encontrando 0days-en_2020_-_antonio_moralesRooted2020 encontrando 0days-en_2020_-_antonio_morales
Rooted2020 encontrando 0days-en_2020_-_antonio_morales
 
Rooted2020 emotet is-dead_long_live_emotet_-_victor_acin
Rooted2020 emotet is-dead_long_live_emotet_-_victor_acinRooted2020 emotet is-dead_long_live_emotet_-_victor_acin
Rooted2020 emotet is-dead_long_live_emotet_-_victor_acin
 
Rooted2020 el camino-de_hacktiago_tras_los_pasos_de_14_increibles_cibersantua...
Rooted2020 el camino-de_hacktiago_tras_los_pasos_de_14_increibles_cibersantua...Rooted2020 el camino-de_hacktiago_tras_los_pasos_de_14_increibles_cibersantua...
Rooted2020 el camino-de_hacktiago_tras_los_pasos_de_14_increibles_cibersantua...
 
Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalez
Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalezRooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalez
Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalez
 
Rooted2020 atacando la-debilidad_humana_-_ruth_sala_-_carmen_torrano
Rooted2020 atacando la-debilidad_humana_-_ruth_sala_-_carmen_torranoRooted2020 atacando la-debilidad_humana_-_ruth_sala_-_carmen_torrano
Rooted2020 atacando la-debilidad_humana_-_ruth_sala_-_carmen_torrano
 
Rooted2020 a ver-como_nos_lo_montamos_a_vueltas_con_las_da_os_-_rootedpanel.
Rooted2020 a ver-como_nos_lo_montamos_a_vueltas_con_las_da_os_-_rootedpanel.Rooted2020 a ver-como_nos_lo_montamos_a_vueltas_con_las_da_os_-_rootedpanel.
Rooted2020 a ver-como_nos_lo_montamos_a_vueltas_con_las_da_os_-_rootedpanel.
 

Último

International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudianteAndreaHuertas24
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfJulian Lamprea
 

Último (13)

International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdf
 

Cómo olvidarse de lo básico en DevSecOps

  • 1. DevSecOps y la caída de Babilonia Cómo olvidarse de lo básico Helena Jalain Daniel González
  • 2. Net user Daniel González @dani_zerolynx • Co-fundador de ZEROLYNX • Socio director de ciberinteligencia de OSANE Consulting • Profesor oficial del certificado CSX y coordinador de las formaciones de ciberseguridad de ISACA Madrid Helena Jalain @hlna_jb • Security Researcher en ZEROLYNX • Experiencia en consultoría de ciberseguridad, hacking ético y desarrollo seguro • Ingeniera de Telecomunicación y anteriormente investigadora en la Universidad Politécnica de Madrid
  • 3. DevOps + Sec Security • Requisitos • Análisis • Pentest Operations • Monitorización • Configuración • Integración Developement • Diseño • Desarrollo • Tests ▪ Más facilidad para desarrollar, mayor número de cambios que se pueden hacer. ▪ Nuevos gestores de dependencias (Maven, NPM, Composer…) facilitan la integración con otras tecnologías. ▪ Ofrecer nuevas funcionalidades más rápido. ▪ Capacidad de subir a producción de manera automática. ▪ Integra garantías de seguridad en todo el proceso. ▪ Reducir costes a nivel de desarrollo, incluyendo el coste de solucionar problemas de seguridad o vulnerabilidades.
  • 5. Ciclo de desarrollo DevOps Diseño IDE CI Desarrollo Test Producción • Revisión de requisitos • Revisión de código • Análisis de código estático • Análisis de código estático • Escaneo de vulnerabilidades • Test unitarios de seguridad • Escaneo periódico de infraestructura • Pentest activo • Análisis SSL • Pentest pasivo • Escaneo periódico de la infraestructura
  • 7. Seguridad de los entornos de desarrollo
  • 8.
  • 9. Escenario Controlador de versión Servidor de integración continua Administrador de tareas Sistema de mensajería en tiempo real Update TicketsPush commit Trigger Build Post Message
  • 10. Riesgos y criticidades Dependiendo de los siguientes factores: Información y secretos Vulnerabilidades: Evasión de la autenticación, ejecución de código… Permisos: Autenticación y Autorización Exposición: Acceso interno o externo
  • 11. Información confidencial almacenada en las herramientas o en el propio código fuente: Búsqueda de secretos Usuarios Contraseñas Claves Tokens Certificados
  • 12. Repositorios de código Credenciales Infraestructura Código Claves criptográficas Credenciales BBDD API tokens (AWS, etc) Bash history Claves SSH Configuración servicios (DHCP, SMTP, etc) IPs y URLs internas Puertos Commits History Comentarios Dependencias Vulnerabilidades [1] https://github.com/techgaun/github-dorks
  • 13. Secretos en el código…Ups [2] https://help.github.com/en/articles/removing-sensitive-data-from-a-repository Buenas prácticas: Para evitar subir info sensible: ✓ git-secrets Para eliminar la info de la history del repositorio: ✓ git filter-branch ✓ BFG Repo-Cleaner
  • 14. Usuarios Proyectos Gestión de incidencias Administradores de tareas Nombres de usuario IDs internos Nombres y apellidos Emails Cuentas LDAP Nombres Categorías Descripciones Dashboards Agile Gestión de proyectos
  • 15. Información de proyectos [4] https://medium.com/@sector035/gathering-company-intel-the-agile-way-6db12ca031c9 [3] https://developer.atlassian.com/cloud/jira/platform/rest/v2/ - API
  • 16. Información de usuarios – API Pero se pueden cambiar los permisos: Por defecto solo accesible por administradores o usuarios de Jira
  • 18. Stage Build Test Deploy StepStep Step Jenkinsfile (Declarative Pipeline) pipeline { agent any stages { stage('Build') { steps { echo 'Building..' } } stage('Test') { steps { echo 'Testing..' } } stage('Deploy') { steps { echo 'Deploying....' } } } } Integración continua (CI) Pipeline Entrega continua (CD) Open Source Plugins
  • 19. Código fuente Workspace de Jenkins: • Directorio “temporal” de archivos específico para cada Job • Se crea al clonar el código del repositorio para procesarlo
  • 20. Credenciales en logs Eliminar el build que contiene información sensible: ▪ Interfaz Gráfica ▪ Directorio del proyecto/builds/#nº
  • 21. Credenciales en logs Jenkins dispone de plugins (Credentials Binding Plugin, Mask Passwords Plugin) para gestionar las credenciales de aplicaciones de terceros y evitar que éstas aparezcan embebidas en logs y archivos de configuración.
  • 22. Credenciales almacenadas ▪ credentials.xml: – Secret text (API token) – username:password – Secret file – SSH public/private key pair – Certificate (PKCS#12) – Docker Host Certificate Authentication ▪ /job/job_name/config.xml
  • 23. Credenciales en claro – Consola de scripts [5] https://wiki.jenkins.io/display/JENKINS/Jenkins+Script+Console
  • 24. Consola de scripts- Jira [8] https://marketplace.atlassian.com/addons/app/jira/top-selling
  • 25. Explotación de vulnerabilidades [6] https://www.cvedetails.com/vendor/15865/Jenkins.html [7] https://www.cvedetails.com/product/8170/Atlassian-Jira.html
  • 26. Mal de muchos… consuelo de tontos
  • 27. Explotación de vulnerabilidades - Jenkins Critical 3 High 24Medium 30 [9] https://nvd.nist.gov/vuln/search/results?form_type=Advanced&results_type=overview&query=Jenkins [10] https://blog.orange.tw/2019/01/hacking-jenkins-part-1-play-with-dynamic-routing.html [11] https://blog.orange.tw/2019/02/abusing-meta-programming-for-unauthenticated-rce.html
  • 29. Gestión de permisos Cada plataforma tiene una gestión de permisos diferente con mayor o menor capacidad de configuración. Principio de mínimo privilegio Matriz de roles y permisos Configuración por defecto Cambios por “necesidad”
  • 33. Jenkins en datos 6.543 Sin autenticación [11] http://stats.jenkins.io/plugin-installation-trend/jenkins-version-per-plugin-version.json 80.177 Servidores expuestos 228.825 TOTAL instalaciones [12] http://stats.jenkins.io/plugin-installation-trend/installations.json ~35 % del total 73.539 Vulnerables CVE-2018-1000861 (versión < 2.138/2.121.3 LTS) 29.593 Vulnerables CVE-2018-1000861 (versión < 2.138/2.121.3 LTS) ~31% de los vulnerables (stats) ~41 % de los expuestos 48.096 Vulnerables (CVE-2018-1000861 y CVE-2019-1003001) ~66% de los vulnerables a CVE 2018 -1000861 ~21% del total ~8% de los expuestos ~3% del total 49% expuestos 34% del total Sin autenticación +CVE 2018 - 1000861 Peor escenario de autenticación
  • 34. Empresas afectadas… (muchas y variadas…) No se mostrará ninguna vulnerabilidad de empresas en concreto. Muchas de las vulnerabilidades se han detectado en terceros
  • 36. 3 Datos sensibles en incidencias
  • 37. 2 Información de más de 1000 usuarios
  • 38.
  • 47. Enlaces [1] https://github.com/techgaun/github-dorks [2] https://help.github.com/en/articles/removing-sensitive-data-from-a-repository [3] https://developer.atlassian.com/cloud/jira/platform/rest/v2/ [4] https://medium.com/@sector035/gathering-company-intel-the-agile-way-6db12ca031c9 [5] https://wiki.jenkins.io/display/JENKINS/Jenkins+Script+Console [6] https://www.cvedetails.com/vendor/15865/Jenkins.html [7] https://www.cvedetails.com/product/8170/Atlassian-Jira.html [8] https://marketplace.atlassian.com/addons/app/jira/top-selling [9] https://nvd.nist.gov/vuln/search/results?form_type=Advanced&results_type=overview&query=Jenkins [10] https://blog.orange.tw/2019/01/hacking-jenkins-part-1-play-with-dynamic-routing.html [11] https://blog.orange.tw/2019/02/abusing-meta-programming-for-unauthenticated-rce.html [12] http://stats.jenkins.io/plugin-installation-trend/installations.json [13] http://stats.jenkins.io/plugin-installation-trend/jenkins-version-per-plugin-version.json Otros enlaces de interés: http://www.exfiltrated.com/research/Continuous_Integration_Continous_Compromise_Bsides2017_Wesley_Wineberg.pdf https://www.youtube.com/watch?v=0H6jd5yG7_A
  • 48. © 2019 Zerolynx S.L. Sociedad española de responsabilidad limitada.Todos los derechos reservados. Zerolynx y sus logotipos son marcas registradas por Zerolynx S.L. Diseño de iconos creado por Freepik para www.flaticon.com, licenciado bajo CC 3.0 BY. La información contenida es de carácter informativo. Para solicitar una cotización de un servicio debe contactar con el equipo comercial de Zerolynx. dgonzalez@zerolynx.com @dani_zerolynx ¡ Muchas gracias ! hjalain@zerolynx.com @hlna_jb