SlideShare una empresa de Scribd logo

Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalez

RootedCON, profile picture
RootedCON

Este documento presenta una charla sobre hacking en entornos DevOps. Se describe el flujo típico de DevOps que incluye control de versiones, integración continua y despliegue continuo. Sin embargo, en la práctica estos entornos suelen ser menos controlados y más vulnerables. Se presenta una suite de herramientas llamada Flawlynx para detectar vulnerabilidades en los flujos DevOps. Finalmente, se muestran los resultados de una investigación que encontró Jenkins públicos vulnerables y puertos atípicos expuestos.

Tecnología
1 de 42
Descargar para leer sin conexión
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
@jalcaldea & @dani_zerolynx DevSecops into the unknown
Net user Daniel González @dani_zerolynx • Co-fundador de ZEROLYNX • Socio director de ciberinteligencia de OSANE Consulting • Profesor oficial del certificado CSX y coordinador de las formaciones de ciberseguridad de ISACA Madrid Jesús Alcalde @jalcaldea • Director of R&D at Zerolynx • Responsable DevSecOps en OSANE Consulrting
Esto es una ponencia sobre hacking en entornos de DevOps, no una charla sobre DevOps. Muchos de los conceptos y la problemática real, la daremos por asumida por falta de tiempo. Esta investigación será liberada y publicada para que podáis ayudarnos a continuarla. IMPORTANTE
Friendly reminder
SCAN ME
Friendly reminder • Los entornos de desarrollo, autogestionados y sin supervisión, son entornos menos controlados y más vulnerables. • JENKINS tiene problemas… pero no solo de JENKINS viven los desarrolladores actuales, y los demás... No están mucho mejor.
Automatización
Flujo típico de DevOps Controlador de versión Push commit Servidor de integración continua Administrador de tareas Update Tickets Trigger Build Sistema de mensajería en tiempo real Post Message
Flujo típico de DevOps
Personas Código Integración Despliegue Sistemas Nuestra visión Mensajería Control de versiones Integración continua Despliegue continuo ConfiguraciónTeam Management (TM) Secretos
La realidad en entornos DevOps, es algo así…
LAS HERRAMIENTAS
Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalez
Suite de herramientas Tres tristes tigres comieron trigo en un trigal Flawlynx - A flawless tool to detect flaws in DevOps flows
Suite de herramientas Flawlynx - A flawless tool to detect flaws in DevOps flows
Specs de las herramientas ▪ Filosofía DevOps: Un conjunto de herramientas para cada uno de los módulos presentados. ▪ No hay nada actualmente así en el mercado, ni de manera libre. Mantengámosla entre todos. ▪ Licencia GPL v3.
Control de Versiones
Módulo GIT Mínimos sobre GIT: ▪ Base de datos distribuida en carpeta .git (oculta) ▪ Se generan objetos con el contenido ▪ Pueden ser: REFs, COMMITs o BLOBs
Módulo GIT Mínimos sobre GIT: ▪ Base de datos distribuida en carpeta .git (oculta) ▪ Se generan objetos con el contenido ▪ Pueden ser: REFs, COMMITs o BLOBs
Módulo GIT Personas
Módulo GIT Personas
Módulo GIT ▪ Referencias (Tags y Branches) ▪ Pequeño ejemplo: git checkout <sha1> Código IMPORTANTE Si tienes acceso a un repositorio NO SOLO TIENES EL CÓDIGO, tienes TODO SU CICLO DE VIDA
Código Módulo GIT ▪ Secretos SCAN ME GUÍA PARA ELIMINAR SECRETOS DE MANERA SEGURA
Extraer información - Autores Comando: Resultado: Código Módulo GIT
flawlynx-vc | Version Control Demo time
Integración continua
Módulo Jenkins Workers Jobs Builds Secretos Usuarios Credenciales Configuración … Integración
Módulo Jenkins Builds y Jobs Plugins Usuarios Código fuente Sistemas y configuración Integración
Metodología Reconocimiento Revisión de la configuración Exploits y vulnerabilidades Extracción de información How to Fix Integración
flawlynx-ci | Continuous Integration Demo time
Conclusiones
Conclusiones ▪ Actualmente en los entornos de DevOps hay un problema y no podemos seguir ignorándolo. ▪ Usad la herramienta y ayudadnos a mantenedla. ▪ Mientras más fácil es comprometer un sistema, más posibilidades hay de que comiencen a corregirlo.
BONUS TRACK
Investigación
Investigación - Disclaimer https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2100
Información del puerto ▪ Puerto UDP que responde a cualquier cosa ▪ DDoS con amplificación 1:240 aprox ▪ ¡¡ Devuelve información interna !!
Let it (scan in) go > 17.000 IPs
Resultados ±9000 Jenkins públicos 30% 23% 40%
Resultados Puertos HTTP por defecto: 8080, 443, 80, 8081
Resultados ¡Puertos atípicos! 9090, 8090, 8888, 8088, 8082, 9999, etc
Resultados 20% con versiones de Jenkins Core con vulnerabilidades críticas
© 2020 Zerolynx S.L. Sociedadespañola de responsabilidadlimitada.Todos los derechos reservados.Zerolynx y sus logotipos son marcasregistradaspor Zerolynx S.L. Diseño de iconos creadopor Freepik para www.flaticon.com, licenciado bajo CC 3.0 BY. La información contenida es de carácterinformativo. Para solicitar una cotización de un servicio debe contactarcon el equipocomercial de Zerolynx. dgonzalez@zerolynx.com @dani_zerolynx ¡ Muchas gracias ! jalcalde@zerolynx.com @jalcaldea

Más contenido relacionado

PDF
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
RootedCON
 
PDF
Tecnologías avanzadas de descubrimiento y análisis de la Dark Net
Javier Junquera
 
PPTX
Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]
RootedCON
 
PDF
Daniel González & Helena Jalain - DevSecOps y la caída de Babilonia: cómo olv...
RootedCON
 
PPTX
Introducción al pentesting free security
Antonio Toriz
 
PPTX
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
Websec México
 
PDF
Explotación de vulnerabilidades recientes de Windows - Agosto 2017
Websec México
 
PDF
Betabeers Sevilla - Hacking web con OWASP
zekivazquez
 
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
RootedCON
 
Tecnologías avanzadas de descubrimiento y análisis de la Dark Net
Javier Junquera
 
Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]
RootedCON
 
Daniel González & Helena Jalain - DevSecOps y la caída de Babilonia: cómo olv...
RootedCON
 
Introducción al pentesting free security
Antonio Toriz
 
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
Websec México
 
Explotación de vulnerabilidades recientes de Windows - Agosto 2017
Websec México
 
Betabeers Sevilla - Hacking web con OWASP
zekivazquez
 

La actualidad más candente (17)

PPTX
CPMX5 - Hacking like a boss por Roberto Salgado
Websec México
 
PPTX
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Websec México
 
PPTX
Paco Ramirez - M.E.A.T. - Make Enviroment Android Tools [rooted2019]
RootedCON
 
PPTX
Old fox new tricks malicious macros are back
Websec México
 
PDF
Obtener contraseñas del directorio activo por hkm
Websec México
 
PDF
Búsqueda de vulnerabilidades en aplicaciones de Android [GuadalajaraCON 2013]
Websec México
 
PPTX
Elías Grande & Jorge Nuñez - Medusa, El nacimiento de los ICS [rooted2019]
RootedCON
 
PDF
Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]
RootedCON
 
PPTX
Derrotando a changos con scanners [Paulino Calderon]
Websec México
 
PPTX
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]
RootedCON
 
PDF
Tu DevOp me da trabajo: Soy auditor de seguridad
Daniel Garcia (a.k.a cr0hn)
 
ODP
Sysdig
Alejandro E Brito Monedero
 
PPTX
Cybercamp 2015 - Python, hacking y sec-tools desde las trincheras
Daniel Garcia (a.k.a cr0hn)
 
PPTX
CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín
Websec México
 
PDF
Pentesting 101 por Paulino Calderon
Websec México
 
PDF
Modulo 5
Cesar Zarate
 
PDF
El sendero-del-hacker
Mario Alfredo Pineda Lopez
 
CPMX5 - Hacking like a boss por Roberto Salgado
Websec México
 
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Websec México
 
Paco Ramirez - M.E.A.T. - Make Enviroment Android Tools [rooted2019]
RootedCON
 
Old fox new tricks malicious macros are back
Websec México
 
Obtener contraseñas del directorio activo por hkm
Websec México
 
Búsqueda de vulnerabilidades en aplicaciones de Android [GuadalajaraCON 2013]
Websec México
 
Elías Grande & Jorge Nuñez - Medusa, El nacimiento de los ICS [rooted2019]
RootedCON
 
Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]
RootedCON
 
Derrotando a changos con scanners [Paulino Calderon]
Websec México
 
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]
RootedCON
 
Tu DevOp me da trabajo: Soy auditor de seguridad
Daniel Garcia (a.k.a cr0hn)
 
Sysdig
Alejandro E Brito Monedero
 
Cybercamp 2015 - Python, hacking y sec-tools desde las trincheras
Daniel Garcia (a.k.a cr0hn)
 
CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín
Websec México
 
Pentesting 101 por Paulino Calderon
Websec México
 
Modulo 5
Cesar Zarate
 
El sendero-del-hacker
Mario Alfredo Pineda Lopez
 
Publicidad

Similar a Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalez (20)

PDF
Deja de ser el rival más débil con DevSecOps
Francisco Javier Barrena
 
DOCX
EcoSistema DevOps DevSecOps un pequeño brief
Carlos Aliaga
 
PDF
DevOps Spain 2019. Luis hernández-Hopla
atSistemas
 
PPTX
Git: un enfoque práctico
Patxi Gortázar
 
PDF
Serling dev team, development process
Domingo Suarez Torres
 
PDF
Introducción al desarrollo de software en comunidad con forja de software y git
DrPantera
 
ODP
Administra tu código con Git y Github
Javier Novoa Cataño
 
PDF
Git presentation para bachillerarto univwersitario
JoseJavierMataGuerre
 
PDF
Introduccion Dockerfile mas git semana 6.pptx (2).pdf
JoseJavierMataGuerre
 
PPTX
Desarrollo de aplicaciones en la nube
Daniel Cruz
 
PDF
Taller Git en la URJC
sidelab
 
PPTX
GitHub Actions Monkeyconf 2021.pptx
icebeam7
 
PPTX
Todo sobre el mundo del GIT-INTEGRACION-CONCEPTOS-USABILIDAD
DIEGOALBERTOENRIQUEZ4
 
PPTX
Presentacion #2 github Aplicaciones Seguras
José Moreno
 
PDF
Mejora tu productividad con git
ch1l3no
 
PDF
ATICA DevOps
Sección de Metodologías, Normalización y Calidad del Software
 
PDF
Git git hub
ADWE Team
 
PPTX
Git: flujos de trabajo y herramientas para trabajo colaborativo
Aprende Git
 
PDF
Control de versiones utilizando Git
Hugo Gilmar Erazo
 
PDF
Git & GitHub Part I
Max Rodriguez
 
Deja de ser el rival más débil con DevSecOps
Francisco Javier Barrena
 
EcoSistema DevOps DevSecOps un pequeño brief
Carlos Aliaga
 
DevOps Spain 2019. Luis hernández-Hopla
atSistemas
 
Git: un enfoque práctico
Patxi Gortázar
 
Serling dev team, development process
Domingo Suarez Torres
 
Introducción al desarrollo de software en comunidad con forja de software y git
DrPantera
 
Administra tu código con Git y Github
Javier Novoa Cataño
 
Git presentation para bachillerarto univwersitario
JoseJavierMataGuerre
 
Introduccion Dockerfile mas git semana 6.pptx (2).pdf
JoseJavierMataGuerre
 
Desarrollo de aplicaciones en la nube
Daniel Cruz
 
Taller Git en la URJC
sidelab
 
GitHub Actions Monkeyconf 2021.pptx
icebeam7
 
Todo sobre el mundo del GIT-INTEGRACION-CONCEPTOS-USABILIDAD
DIEGOALBERTOENRIQUEZ4
 
Presentacion #2 github Aplicaciones Seguras
José Moreno
 
Mejora tu productividad con git
ch1l3no
 
ATICA DevOps
Sección de Metodologías, Normalización y Calidad del Software
 
Git git hub
ADWE Team
 
Git: flujos de trabajo y herramientas para trabajo colaborativo
Aprende Git
 
Control de versiones utilizando Git
Hugo Gilmar Erazo
 
Git & GitHub Part I
Max Rodriguez
 
Publicidad

Más de RootedCON (20)

PDF
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
RootedCON
 
PDF
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
RootedCON
 
PDF
Rooted2020 hunting malware-using_process_behavior-roberto_amado
RootedCON
 
PPSX
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
RootedCON
 
PDF
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
RootedCON
 
PPTX
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
RootedCON
 
PPTX
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
RootedCON
 
PPTX
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
RootedCON
 
PDF
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
RootedCON
 
PDF
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemy
RootedCON
 
PPTX
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
RootedCON
 
PPTX
Rooted2020 virtual pwned-network_-_manel_molina
RootedCON
 
PDF
Rooted2020 todo a-siem_-_marta_lopez
RootedCON
 
PPTX
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
RootedCON
 
PDF
Rooted2020 live coding--_jesus_jara
RootedCON
 
PDF
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
RootedCON
 
PDF
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
RootedCON
 
PDF
Rooted2020 evading deep-learning_malware_detectors_-_javier_yuste
RootedCON
 
PDF
Rooted2020 encontrando 0days-en_2020_-_antonio_morales
RootedCON
 
PPTX
Rooted2020 emotet is-dead_long_live_emotet_-_victor_acin
RootedCON
 
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
RootedCON
 
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
RootedCON
 
Rooted2020 hunting malware-using_process_behavior-roberto_amado
RootedCON
 
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
RootedCON
 
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
RootedCON
 
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
RootedCON
 
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
RootedCON
 
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
RootedCON
 
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
RootedCON
 
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemy
RootedCON
 
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
RootedCON
 
Rooted2020 virtual pwned-network_-_manel_molina
RootedCON
 
Rooted2020 todo a-siem_-_marta_lopez
RootedCON
 
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
RootedCON
 
Rooted2020 live coding--_jesus_jara
RootedCON
 
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
RootedCON
 
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
RootedCON
 
Rooted2020 evading deep-learning_malware_detectors_-_javier_yuste
RootedCON
 
Rooted2020 encontrando 0days-en_2020_-_antonio_morales
RootedCON
 
Rooted2020 emotet is-dead_long_live_emotet_-_victor_acin
RootedCON
 

Último (20)

PPTX
El uso de las TIC en la vida cotidiana..
251755259
 
PDF
Estrategia de Apoyo de Daylin Castaño (5).pdf
daylincastano1
 
PDF
MANUAL TECNOLOGÍA SER MINISTERIO EDUCACIÓN
CLAUDIAPATRICIASALAZ19
 
PPTX
Curso de generación de energía mediante sistemas solares
ICEZonaNortePNLG
 
PPTX
Presentación PASANTIAS AuditorioOO..pptx
ange127383
 
PPTX
sa-cs-82-powerpoint-hardware-y-software_ver_4.pptx
jeannettehenriquezor
 
PDF
Influencia-del-uso-de-redes-sociales.pdf
DianaLauraFloresAlva
 
DOCX
Guía 5. Test de orientación Vocacional 2.docx
andresssespinosa59
 
PDF
TRABAJO DE TECNOLOGIA.pdf...........................
IsabellaReyesPerea
 
PDF
Documental Beyond the Code (Dossier Presentación - 2.0)
SardInc
 
PPTX
Sesion 1 de microsoft power point - Clase 1
carlosmedina2810
 
PDF
Diapositiva proyecto de vida, materia catedra
mpruiz3
 
PPTX
modulo seguimiento 1 para iniciantes del
UcielnicolasMola
 
PDF
Ronmy José Cañas Zambrano - Potenciando la tecnología en Venezuela.pdf
ronmyjosecanaszambra
 
PPTX
historia_web de la creacion de un navegador_presentacion.pptx
Carlos704324
 
PDF
ADMINISTRACIÓN DE ARCHIVOS - TICS (SENA).pdf
whomarxxdemie
 
PDF
Tips de Seguridad para evitar clonar sus claves del portal bancario.pdf
saberpublicidadsas
 
DOCX
Zarate Quispe Alex aldayir aplicaciones de internet .docx
alexaldayirzaratequi
 
PPTX
ANCASH-CRITERIOS DE EVALUACIÓN-FORMA-10-10 (2).pptx
marceloerazo119
 
PPTX
Historia Inteligencia Artificial Ana Romero.pptx
adairrojas2
 
El uso de las TIC en la vida cotidiana..
251755259
 
Estrategia de Apoyo de Daylin Castaño (5).pdf
daylincastano1
 
MANUAL TECNOLOGÍA SER MINISTERIO EDUCACIÓN
CLAUDIAPATRICIASALAZ19
 
Curso de generación de energía mediante sistemas solares
ICEZonaNortePNLG
 
Presentación PASANTIAS AuditorioOO..pptx
ange127383
 
sa-cs-82-powerpoint-hardware-y-software_ver_4.pptx
jeannettehenriquezor
 
Influencia-del-uso-de-redes-sociales.pdf
DianaLauraFloresAlva
 
Guía 5. Test de orientación Vocacional 2.docx
andresssespinosa59
 
TRABAJO DE TECNOLOGIA.pdf...........................
IsabellaReyesPerea
 
Documental Beyond the Code (Dossier Presentación - 2.0)
SardInc
 
Sesion 1 de microsoft power point - Clase 1
carlosmedina2810
 
Diapositiva proyecto de vida, materia catedra
mpruiz3
 
modulo seguimiento 1 para iniciantes del
UcielnicolasMola
 
Ronmy José Cañas Zambrano - Potenciando la tecnología en Venezuela.pdf
ronmyjosecanaszambra
 
historia_web de la creacion de un navegador_presentacion.pptx
Carlos704324
 
ADMINISTRACIÓN DE ARCHIVOS - TICS (SENA).pdf
whomarxxdemie
 
Tips de Seguridad para evitar clonar sus claves del portal bancario.pdf
saberpublicidadsas
 
Zarate Quispe Alex aldayir aplicaciones de internet .docx
alexaldayirzaratequi
 
ANCASH-CRITERIOS DE EVALUACIÓN-FORMA-10-10 (2).pptx
marceloerazo119
 
Historia Inteligencia Artificial Ana Romero.pptx
adairrojas2
 

Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalez