bug bounty

Download Bug bounty

Post on 10-Jul-2015

88 views

Category:

Technology

3 download

Embed Size (px)

DESCRIPTION

Charla sobre Bug Bounty

TRANSCRIPT

PowerPoint Presentation

GRACIAS!!!

ABOUT:

Security researcherAnalista de InteligenciaAnalista de malwareEn varios Hall of fame por reporting de vulnerabilidades

Aqu me presento, que vengo desde Espaa, que soy investigador de seguridad, que vengo del mundo de ecrime, anlisis de malware, ingenra inversa aunque tambin realizo auditoras de seguridadDE DONDE SOY?:

BUG BOUNTY:

Aqu explico que la seguridad est latente en todos los lados.Las empresas optan por lanzar los llamados bug bountiesVentajas, inconvenientes, problemas, preguntas al pblicoLA INDUSTRIA DE LA SEGURIDAD

TIENE CAMBIOS CONSTANTESComo la industria cambia, la tecnologiaLos targets, vectores de entrada, la poca romntica. Las leyesCMO SE REPORTABA ANTES?

SE COMUNICA LA VULNERABILIDAD A LOS CERTiNFORMACIN DEL WHOIS

La evolucin de la opoca medieval hasta ahoraCMO SE REPORTABA ANTES?

SE COMUNICA LA VULNERABILIDAD A LOS CERT

La ALTERNATIVA DE ENVIAR LOS fallos a los aCERTS

Un ejemplo de como funcionanVULNERABILIDADES QUE HE REPORTADO

TRANSFERENCIA DE ZONAINFORMATION DISCLOSUREACCESO A RECURSOS INTERNOS (BALANCEADOR DE CARGA WEB)SQL INJECTIONCOOKIE BOMB VULNERABILIDAD EN PRODUCTOS DE TERCEROS

Y gratis eh !!!INDUSTRIA DE SEGURIDAD

LA SEGURIDAD TRADICIONAL HA MUERTO

INDUSTRIA DE SEGURIDAD

LAS HERRAMIENTAS AUTOMATIZADAS NO VALENEL COSTE DE AUDITORAS SE VUELVE PROHIBITIVONO HAY EQUIPOS DE AUDITORABSQUEDA NUEVA DE TALENTO

Comentar las empresas que no cuentan con equipo de seguridad, los costes de auditorias externosPlanificacin de proyectosVULNERABILIDADES

LAS HERRAMIENTAS AUTOMATIZADAS NO VALENEL COSTE DE AUDITORAS SE VUELVE PROHIBITIVONO HAY EQUIPOS DE AUDITORABSQUEDA NUEVA DE TALENTOXSSSQLiRFILFIREXPATHExplicar las vulnerabiliadesCASOS REALES

DROPBOXComuncanos el problema de seguridad en detalle: Nos proporciones un tiempo razonable para responder al problema antes de hacer pblica cualquier informacin.No accedas ni modifiques datos de usuarios sin el permiso del propietario de la cuenta.Actes en buena fe y no degrades el desempeo de nuestros servicios (esto incluye la denegacin de servicio).PAYPALMICROSOFTEBAYFACEBOOKMOZILLABLACKBERRYLos Bug bounties, explicar que sonCASOS REALES

Los Bug bounties, explicar que sonCASOS REALES

Information disclosureXSSRemote file inclusion

No te parece una vulnerabilidad?@chninoogawa frustado por un bug bountyHijo de la recontra mil puta, cheCASOS REALESCASOS REALES

CASOS REALES

FacebookVulnerabilidad Open redirectCWE-601: URL Redirection to untrusted Site (Open Redirect)Top 10 2013-a10-Unvalidated redirects and forwards

CASOS REALES

Dropbox

CASOS REALES

Dropbox

CASOS REALES

GoogleXSRF

CASOS REALES

Pero, no es lo mas graciosoAqu comentar lo de YA estaba reportadoESTADSTICAS

TIPOS DE FALLO

70 % son XSSFallos ESTADSTICAS

UN EJEMPLO DE FABRICANTE

Fallos BUG BOUNTIES

QU SE CONSIDERA UN BUG BOUNTY?Y QU NO?

BUG BOUNTIES

COSAS NEGATIVAS

Los trminos cambian sin que t te des cuentaEs una cuenta contra relojOtros researchers irn detrs del mismo bugFixear los fallos lleva tiempoEn ocasiones no pueden reproducir estos fallos

COMO SER UN CAZADOR DE BUGS DE PACOTILLA

COMO SER UN CAZADOR DE BUGS DE PACOTILLA

COMO SER UN CAZADOR DE BUGS DE PACOTILLA

=COMO EMPEZAR?

COMO EMPEZAR?

COMO EMPEZAR?

INICIATIVA 0DAY

COMO SER UN CAZADOR DE BUGS DE PACOTILLA

DONDE VENDER TU FALLO

DONDE VENDER TU FALLO