Caçadores de Vulnerabilidades: Como trabalham os hackers éticos e bug bounty | #EP83 Podcast

0:00Se você deixar monitorando um porta Scan no teu Web Server não importa empresa vai bater um Ipê Russo uma hora vai aparecer lá cara não adianta todas as empresas têm vulnerabilidade todo o sistema é vulnerável né e os riscos eles são tão rápidos quanto a própria tecnologia cara é um apoio muito grande que a gente tem né de segurança tem um programa de voleibolt e só tem ganhos pra gente né trabalhar com com a plataforma dessa é mais ou menos por aí o dever tem que ter uma noção do que ele tá fazendo para ele para que ele saiba que o que ele tá fazendo é seguro meu tá tudo aberto né O cara que vai fazer algo errado ele não vai avisar você está construindo um serviço que você vai trabalhar com dados que permitem uma fraude bancária por exemplo pô tem que ter um pouco de bom senso né cara poderia saber que ele não deveria exportar na internet numa URL interna o telefone celular e o nome completo de um usuários muito bem muito bem meus amigos do PPT não com pilha estamos aqui para mais um episódio hoje é dia sabe esse aqui seria um curioso ou um Cyber criminoso Boa pergunta boa Pergunta no caso você é o cara que faz a vulnerabilidade né Não você é o cara que corda com segurança sempre e o cara que não roda com segurança tem a possibilidade de utilizar algumas plataformas para isso Arturzinho E aí é isso que a gente vai explorar hoje aqui com os nossos amigos né esse episódio ele é uma continuação do episódio que a gente já falou aqui sobre o Red Team se você não ouviu ainda esse episódio ou você não assistiu eu vou deixar o Card aqui em cima eu nunca sei se é desse lado é desse lado mas volta lá que você vai pegar todo o contexto aqui do retinho hoje nós vamos falar sobre caçadores de bug acho que é mais SBT mas sessão da tarde né porque bug que você acha não gostei Então vamos voltar para o bang e para falar para falar disso comigo aqui hoje eu tô com o Zé Albano que é coordenador de Cyber lá na hotmart tudo bem cara obrigado Pois é um prazer estar junto com vocês aqui o Arthur o Brunão nosso amigo aí então show muito bom estar aqui com vocês novamente aí para gente conversar um pouquinho sobre bug show Obrigado cara pela pela presença e aqui o Bruno Teles que é diretor de operações da bug Hunt que é uma plataforma de buggy você já vai entender o que é obrigado Brunão por ter vindo cara Eu que agradeço sempre um prazer expor aí que a gente tá fazendo aí vem fazendo aí nos últimos anos Obrigado pelo convite show de bola você que se interessa pela área de exploração de vulnerabilidades sabe esse aqui de quer entender como que as empresas pagam pessoas para explorar suas próprias vulnerabilidades como que isso funciona no mercado como que é a remuneração desses caras como que esses programas vão para para as empresas Como que funciona esse fluxo os casos mais curiosos acompanha com a gente que esse episódio tá bem interessante vocês vão gostar bastante então se você ainda não deu like já tá na hora da like aqui segue a gente nas redes acompanha a gente no canal e vamos lá que o episódio tá muito bom bora [Música] [Aplausos] [Música] você que acompanhou o episódio que a gente gravou sobre Red Team falando sobre se assistir o episódio né claro a gente falou aqui sobre algumas modalidades de hacker éticos exploração de vulnerabilidade etc e algumas pessoas nos perguntaram o que é um bug e eu também não sabia não conhecia esse termo e hoje a gente faz explorar esse assunto aqui porque eu achei um assunto super interessante e a gente vai explorar aqui com Vocês entenderam O que que é uma plataforma de buggybout como que isso funciona e como as empresas podem utilizar isso como como uma proteção pode dar para dizer assim né galera eu já vou aproveitar para abrir então Bruno de passar Já a palavra para você explicar para gente que que é uma plataforma de bug para que que serve como que funciona o overview para explorar melhor o assunto cara Achou Obrigado pelo convite de estar aqui primeiramente bacana explorar esse assunto explora ele aqui no público de vocês basicamente uma plataforma de bug-balt é um sistema que faz o link entre empresas e uma comunidade de pesquisadores insegurança né ela tem programas públicos e privados na verdade a empresa contrata a plataforma aí a empresa pode criar seus programas de recompensa né quando o programa é público ele fica disponível para todos os pesquisadores ali da plataforma hoje a gente já tem quase 18 mil pesquisadores cadastrados né E quando o programa é privado a própria empresa convida aqueles pesquisadores para participar e basicamente o programa nada mais é do que um uma política né onde tem as regras a empresa se coloca ali na nas regras o que que é importante para ela o que que é crítico para ela ela coloca o escopo também quais os sistemas que estão embaixo daquele guarda-chuva e também os valores das Recompensas né para cada nível ali de criticidade quando ela está com esse programa se for público já fica aberto para todo mundo se for privado ela precisa convidar os pesquisadores e dali para frente começa o jogo é um processo que a empresa cria isso acaba seguindo ali junto com a vida da empresa né esse processo de buggymond os pesquisadores Eles leem a política se atentam ali no escopo identificam as vulnerabilidades e reportam pela plataforma também pela bug Hunt a empresa do outro lado recebe esse relatório análise se é uma vulnerabilidade mesmo se está dentro da política nesse ano não é um falso positivo ou um relatório duplicado e aceitando aquele relatório faz o pagamento também pela plataforma e o pesquisador recebe ali a recompensa dele por ter identificado esse bug basicamente Esse é o bug balde o bug ele é tipicamente na plataforma de vocês é uma exploração de vulnerabilidade foco maior é insegurança né saber segurança na verdade ele é legal porque ele transcende um pouco aquela ideia do no teste né O Fantástico é algo muito mais técnico e o bug-bout permite que o pesquisador lhe crie um relacionamento com o sistema que ele está testando então a gente viu já casos de empresas que estão com a gente onde o pesquisador conseguiu identificar uma brecha num processo de geração de cupom por exemplo então ele conseguiu gerar um cupom de um valor maior do que o sistema permitia e Conseguiu usar aquele cupom e lógico que ele reportou isso né ganhou a recompensa dele e a empresa ficou feliz então ele dá essa oportunidade como não tem um começo meio e fim como tem um penteche né o pesquisador ele tem essa oportunidade de criar esse relacionamento entender melhor cada canto do sistema tem teste ele é muito mais focado em invasão de sistemas né e a gente falou disso no episódio né tem a capacidade inclusive de usar um pouco de engenharia social de processo que nem sempre é uma vulnerabilidade de sistema né mas o cara pode ter uma regra de negócio conflituosa que gera um cupom por exemplo no valor fora das regras de uma promoção etc ou dá um desconto a mais né E aí ele tem essa possibilidade de explorar a vulnerabilidades que não são só Xbox de invasão por exemplo mas também tem a possibilidade de explorar uma regra de negócio que que tá fora do que era previsto naquele escopo do desenvolvimento né sim é quando eu tavam desenhando essa regra nesse exemplo que eu dei na verdade não pensaram nessa nessa possibilidade né Então realmente assim a gente a gente enxerga o bug balde como complemento né com são o bugging teste eles não são serviços concorrentes não são projetos concorrentes ali eles são complementares né com teste ele tem começo meio e fim você paga para o seu fornecedor para fazer esse trabalho seu ele chega já com um processo para poder identificar aquelas vulnerabilidades né com aquelas ferramentas e o bug-ball te dá um pouco mais de liberdade para o pesquisador Então quando você contrata uma empresa para fazer um teste para você Muitas vezes vai vir uma duas três pessoas para executar aquele negócio né E o bug você consegue contar com milhares de pessoas cada um pensando diferente e tal então isso dá um resultado muito positivo para as empresas Além disso né Essa questão do buggybout ele casar né com as atividades por exemplo de um penteco É bem interessante porque dentro de um bem teste você por exemplo um pintere ali que de forma recorrente você tá testando os sistemas daquela organização específica daquele negócio E aí você acaba ficando um pouco enviesado e você ter o olhar de pesquisadores de fora né testando aquele ambiente surgem possibilidade de você achar falhas vulnerabilidades Diferentes né o modo de pensar muda de pesquisador para pesquisador de pessoas que estão testando ali o ambiente e a escala que você falou que são centenas milhares de pessoas que podem se envolver nisso né exato hoje na nossa base a gente tem quase 18 mil pesquisadores cadastrados grande maioria aqui do Brasil mas tem plataformas principais plataformas do mundo né que a hacker One por exemplo eles têm mais de 600 mil pesquisadores no mundo inteiro Então realmente é uma o bug balde essa empresa tem que olhar para o bug malting e enxergar como realmente um exército ali pronto para ajudar a empresa é lógico que os caras querem pontuação eles querem reconhecimento né e a própria recompensa mas a empresa tem que olhar para esses caras e tirar aquele medo aquele receio de trabalhar com hackers então a gente sempre fala pô hacker que quer saber como funciona as coisas né não o Cyber criminoso né o cara que usa esse conhecimento para fazer o crime é um saber criminoso assim e aquela coisa né o cara tem que ter medo do hacker que tá tentando fazer uma exploração maliciosa em cima da empresa dele né se você tá na mente controlado se você tá com com regras bem definidas pagar um ladrão para o cara falou tentar entrar na minha casa lá e me avisa aonde que eu tenho que botar as grades [ __ ] maravilha beleza combinei o jogo com o cara antes né Então essa questão do Medo ela é meio curiosa né porque você tem que ter medo do cara que tá lá na rua não o cara que você pediu para fazer uma uma análise da tua segurança né E até interessante né que a gente eu trabalho com plataformas de bug né e a gente deixa muito explícito isso na política por exemplo de você colocar ali uns de personalizado para identificar que é um pesquisador em específico tem uma série de fingerprings que a gente coloca ali para a gente identificar nas requisições que estão sendo feitas ali para ver se não é algo malicioso e a gente né tomar uma ação Então isso é muito legal né da do problema de balde porque você tem como identificar um pesquisador legítimo ali da sua plataforma então tem uma série de benefícios né A questão do do programa de buggybout e qual o perfil desse cara desse pesquisador é um deve o que que ele é cara na verdade assim são pessoas jovens né São pessoas que são interessadas para área de TI eu acho que na verdade dentro da área de segurança acho que a grande maioria meio que começa a vida profissional ali como deve né porque realmente a partir de desenvolvimento arquitetura de redes essas coisas dá uma base para o cara conseguir começar a compreender como que funciona né o computador a própria internet né os protocolos então sim A grande maioria sabe desenvolver talvez não seja deve ali de deixar o aplicativo bonito um cara de front mas é um cara que sabe scriptar ali né então é mais ou menos nessa linha e são jovens na verdade na nossa base que a gente acompanha assim os caras que são são jovens eles estão vindo com tudo então a gente tem que tomar cuidado com isso né porque Mas é uma coisa que está crescendo né Eu acho que tem um tem toda uma fantasia em volta da palavra hacker né então você pegava ortográfico

13:31escrevendo na vertical igual Matrix que que a gente vê de diferente Nessa molecada essa galera mais jovem porque eu lembro que eu era mais curioso também quando quando era mais novo né Na minha época era subnete né subnete subserviéticos e agora [ __ ] não tem mais nenhuma paciência para saber o que tá acontecendo hoje e tal você acha que é só o perfil de idade mesmo ou essa geração tá vindo com mais skill é difícil falar né mas eu acho que hoje hoje tá muito fácil acesso à informação né então lá atrás quando a gente começou a rolar né era RC e você tinha que contar com a com a boa vontade das pessoas que você conhecia nos canais para te explicar alguma coisa ou você tinha que se virar no KD da vida no Yahoo antes a vista lendo essas coisas assim inglês e rezando para aquilo não ser algo mais ruim né malicioso Enfim então Antigamente era muito difícil você encontrar esse tipo de informação né Essa troca de informações acontecia nos canais de Rc né brasileiro

15:08era a dupla né o mirk esperava até meia noite para conectar pagar um curso só não é da sua época no máximo você nasceu no MSN meu velho [Risadas] a florzinha ali ó para conectar ali no mode de 56 k poucos passaram 98 foi uma [ __ ] evolução porque antes você digitava a mensagem clicar em enviar né ficava rodando aquela florzinha rodando né foi para 2000 você clicava no negócio de automático

15:57coisa linda né transferir um arquivo de MP3 em meras duas horas

16:09Nossa fizemos uma brecha aqui da conversa porque meia hora atrás a gente tava falando de carreira de idoso [Risadas] e cara você tem um exemplo que você pode dar de de um caso de contratação de escopo para a gente entender mais ou menos como que funciona essa dinâmica tenho vários eu tô pensando em algum aqui que sem expor né ninguém pensa no normal porque até o final do episódio eu vou te perguntar um curioso o interessante você já contou algumas coisas aqui para a gente offline Mas conta hoje agora o normal assim diferente não tem nenhum exemplo Tá legal bom tem uma vou falar de uma empresa que tá com a gente né É cliente ainda e se Deus quiser vai continuar sendo na verdade é uma empresa muito grande um dos primeiros clientes da bug Hunt é um e-commerce e essa empresa ela teve na verdade cresceu muito a quantidade de reclamação no Reclame Aqui dessa empresa né E eles têm o programa de buggy balde com a gente já faz tempo e tão feliz e tal e a gente tava eu tava um dia em casa no sábado e o gerente da segurança lá me ligou eu acabei criando uma amizade com ele né porque tratando já acho que quase três anos aí de contrato com ele direto a gente acabou criando um pouco um pouco de amizade e ele me ligou no sábado Falou cara eu tô com um problema queria ver se você tem alguma ideia eu tô com meu o presidente da minha empresa aqui no meu pé reclamei aqui tá aumentando para caramba de é muito reclamação de vazamento de dados pessoais você consegue me ajudar de alguma forma eu falei pô eu particularmente não sei se eu consigo mas dá para a gente criar um programa para isso então eu fui ajudei eles a criar um programa especificamente para vazamento de informações pessoais né e a gente chamou os top 3 do ranking que são três amigos né dois a gente conhece desde a época de Rc e tá até agora né nessa área de segurança também e um ali acabei conhecendo na caminhada mas também viraram amigos chamei esses três fiz um Griffin com eles antes eu falei isso é um caso específico e o bom é alto né o programa Deles pagava acho que 4 mil reais uma vulnerabilidade crítica e eles estavam oferecendo 15 mil reais para identificar possíveis pontos de vazamento de dados de clientes né então um telefone meio essas coisas aí Acharam no mesmo dia Caraca acharam dois pontos e foi muito legal os caras reportaram no outro dia na verdade na outra semana o presidente da empresa fez uma postagem no Linkedin sobre a bug Hunt que ajuda tal não sei o que é lógico que no esposo caso né mas para a gente foi um caso muito importante porque o presidente dessa empresa é um cara famoso e pra gente ver no Linkedin pessoal dele um post daquilo falou Pô Estamos no caminho certo então é quando você faz um programa desse você delimita ali um escopo onde o cara vai navegar provavelmente quem voltar aqui com o telefone da Dona Maria que é meu cliente ganha quinzão exato desde que mostre né de onde conseguiu extrair não seja um link da vida tal né sim mas sim uma vulnerabilidade falando ó esse ind ponte aqui eu tô conseguindo dessa maneira e tava me retornando mais do que deve Entendi então daí eles pagam e reproduz o erro caso você produzir isso tem que fazer uma poque daquela vulnerabilidade E aí você vai com a triagem né Essa triagem analisa a empresa né o time da Bandeirante também E aí assim aprovada aí Segue o trâmite o fluxo né as correções para o lado da empresa todo aquele pagamento do pesquisador todo mundo sai feliz todo mundo sai feliz menos o deve que fez [Risadas] né esse é o único que não vai sair feliz é o cara que escreveu mico serviço lá aqui retornando pelo gigantesca é o que é o que vai ter que trabalhar ali para corrigir né mas isso é uma coisa até que eu tava pensando hoje né A questão do deve será que faz é papel do deve ter todo esses fios de segurança cara Acho que em Pontos é assim vai muito do insumo que ele tem né hoje por exemplo eu trabalho no lugar que ele te informa isso normalmente Quando você vai expor alguma informação ele te fala que aquilo é dado sensível por exemplo e não é que ele te mostra e deixa você subir ele te mostra e não deixa você trabalhar com aquela informação ele te dá um prazo para que você não trabalha mais com aquela informação mas quando não tem esse tipo de gestão eu acho que faz parte do papel do cara saber o que ele tá fazendo sim está construindo um serviço que você vai trabalhar com sei lá telefone com e-mail com CPF com dados que permitem uma fraude bancária por exemplo tem que ter um pouco de bom senso né cara se você faz uma uma exploração no serviço daquele cara e você faz um drop de todos os usuários dele com essas informações e o estrago que vai ser feito só a gente trabalhou numa empresa que isso aconteceu né o cara fez um drop da de dados pessoais a atitude no momento lá foi desligada a tomada do negócio cara desliga alguém vai lendo disjuntor é estrago sabe o cara poderia saber que ele não deveria expor para internet numa URL interna o telefone celular e o nome completo do usuário acho que isso vem muito do da filosofia de desenvolvimento sabe eu sou meio meio crítico em relação a isso O desenvolvedor que Coda sem contexto ele tende a fazer uma besteira dessa muito maior né claro que é no contexto de você falar de número de celular e-mail muito contexto para saber que a cidade sensível né mas em algumas situações que podem expor algumas outras informações que para aquele processo pode levar uma vulnerabilidade ele entender o contexto faz sentido faz toda a diferença sabe ele entender que que aquela história aquele iluminismo que ele está desenvolvendo qualquer efeito de negócio etc e eu acho que o momento que a gente está de desenvolvimento com as metodologias ágeis etc facilita um pouco isso porque o deve estar mais próximo do negócio tá mas mas perto da entrega e leva ele tem uma visão um pouco mais Ampla onde você não tem isso cara o cara não tem muita noção do tipo que do que que ele tá expondo e quais são os pontos é muito mais difícil mas eu acho que o dever tem que se esforçar para saber isso sabe para ter uma visão um pouco mais Ampla eu não acho cara que sei lá explode esse tipo de coisa aqui que foge um pouco do contexto do cara deveria saber acho que aí tem que ter uma área de segurança muito específica uma cagada de software assim tem que saber tem que saber acho que é muito muito atrelado a questão de conscientização né a gente hoje de segurança ela trabalha muito mais próxima né dos desenvolvedores e a gente chama né um programa que que é feito dentro das empresas que é o de Security Champions né aonde você tem dentro da Squad um cara responsável por disseminar a segurança dentro daquela Squad né Evangelista Evangelista cara então isso aí hoje faz muito sentido cara e o que você é muito melhor você identificar a funeralidade já falei né do podcast superior aqui no começo o custo uma série de coisas que é atrelada isso identificava vulnerabilidade no início do desenvolvimento né na concepção cara é outro patamar né Depois que tá construído depois foi para deploi acabou né não tem você testar a chave vulnerabilidade é importante lógico mas faz parte né é que nem a gente fala né a parte de segurança no desenvolvimento seguro a fase de Pente teste o bug balde para acompanhar e você colocar camadas ali né que nos protegem e identificam vulnerabilidades né extremamente importante como Lipe falou né quanto antes identificasse a vulnerabilidade é mais fácil corrigir e mais barato para empresa né então eu concordo na verdade eu concordo meio que discordando porque o deve tem tanta tecnologia que aparece hoje né tem tanta Linguagem Nova tanto jeito novo de fazer as coisas que eu imagino assim a segurança ela deve se tornar tipo não vou falar soft Skills Mas tipo um Office um pacote Office né É lógico que ninguém vai ser a gente não eu não imagino que todo mundo vai ser um especialista em segurança mas tem a visão Geral de que é importante né você cuidar dos seus dados Eu acho que isso vai ser um novo pacote Office aí e essa questão do deve ter o conhecimento de segurança eu eu gostaria muito mas eu acho que é meio quase que impossível assim né porque o cara ele já tá abarrotado de coisa para ele fazer né E a segurança consome muito né Principalmente o cara que tá testando ali então você tá testando um sistema você lógico automatiza muita coisa mas você precisa analisar os resultados pô mandei isso daqui de payload tá retornando isso Será que se eu mandar um pouquinho a mais um pouquinho a menos né então eu acho que é essa integração ela é muito importante eu concordo contigo e é porque assim quando a gente fala segurança [ __ ] tem coisa para [ __ ] dentro de segurança é muito ama muito então eu comparo só que eu sou de analogia né fazer analogia bem tosca aqui mas é mais ou menos com o cara que tá trabalhando numa obra por exemplo você tem o cara que é um engenheiro que sabe a segurança do prédio que vai fazer tudo aquela estrutura [Música] segurança de fato isso para não cair tipo evitar tipo porque o cara tipo uma porca pela outra E aí o cara tem que ter uma formação específica para isso né o cara que tá lá botando argamassa ele não precisa saber isso tá preocupado com o trampo dele mas esse cara tem que usar o IPI tá ligado o cara tem que ir no mínimo usar um capacete tem que usar luva né e saber por a composição mínima da massa que ele vai utilizar para aquela parede não cair tá ligado Então acho que é mais fácil por aí deve ele tem que ter uma noção do que ele tá fazendo para ele para que ele saiba que o que ele tá fazendo é seguro talvez olhar o contexto como todo solução infraestrutura ou até a solução pronta com o trabalho dele de outros deveres aí realmente fica difícil do cara ter uma visão completa né mas a base do que ele tá fazendo desenvolvimento seguro do que ele tá fazendo o Chapeuzinho é a luva de peido tem que usar né E é difícil ver o pessoal na própria obra usando isso pois é elogia é tão boa porque vamos ali na obra ali ver quem que tá de chapéu de de chapéu e de luva não tá aí velho é tem uma coisa boa aí disso tudo né que vai ter trampo para caramba né nos próximos anos aí nos próximos bons anos a gente tá cheio tanto para descobrir o banco quanto para corrigir né é o duro é que na hora da correção vira um barata voa do caramba né pode cortar depois vai virar dedo no cu e gritaria né quando você descobre é [ __ ] é isso aí vou cortar não vai ficar assim é bem isso mesmo quero falar com você agora que ainda não conhece a Kleber kleber é uma empresa que já tem mais de 3 milhões de usuários em 30 países com 30 idiomas diferentes que tem trazido Soluções em blockchain criptomoedas e ativos digitais o objetivo da Clever é te dar liberdade financeira para operar nesse mercado de cripto então se você acredita nisso se você acredita nessa Liberdade você já Pensa como a Kleber vai conhecer os caras é clever.io estão contratando também pessoal para trabalhar com cripto com blockchain então se você tem interesse se você tem com respeito nessa área procura Cléber se você gosta de criptomoedas se você opera no mercado você precisa conhecer a Cléber precisa conhecer as soluções da Kleber então o endereço tá aqui embaixo no vídeo para quem não tá no YouTube é Cléber vai lá vai conhecer que realmente é o mercado sensacional [Música] e cara você tem visão assim de como falando exatamente dessa reação que o Arthurzinho falou como é tratado isso dentro das empresas tipo a galera tem maturidade para isso olha ou já aconteceu tipo cara [ __ ] Parabéns Obrigado descobriu o meu bug Manda todo mundo embora o cara vira para o RH na verdade assim para para empresa que quer ter um processo de buggybout né que é criar um programa ela precisa ter uma autoridade mínima ela precisa estar pelo menos com a parte de gestão de vulnerabilidade bem redondinha os times de deve tem que estar integrados nesse processo também né senão o bug-bout não vai funcionar ele vai vai causar um problema para plataforma para empresa e para o pesquisador porque o pesquisador ele vai mandar reporte a empresa não vai conseguir consumir aquilo da vazão né o pesquisador vai ficar frustrado porque ele vai ficar esperando o pagamento da recompensa a empresa do outro lado vai falar Putz eu tenho um buraco aqui tem gente que sabe não sou só eu que sei não sei como corrigir não tenho como encaixar isso daqui nas minhas demandas né então a gente sempre indica para as empresas que vem falar com a gente como como que tá né A gente pergunta como que tá a questão da maturidade de vocês vocês já tem os processos bem definidos tá bem testado você já fizeram um penteches Então pelo menos nas experiências que a gente tem na bug Hunt é tudo muito integrado a gente já teve até casos de esses casos são para vulnerabilidades mais complexas Tá mas a gente teve casos mais de bem mais de um na verdade que o pesquisador ele mandou uma vulnerabilidade para empresa essa vulnerabilidade era muito complexa porque tem que mexer um monte de coisa não é só no sistema E a equipe de desenvolvimento ali as duas equipes eram duas nesse caso que eu tô contando tavam batendo cabeça de como corrigir aquilo né corrigi daqui corrigido ali e eles pediram um para a gente intermediar uma reunião com pesquisador e a gente chamou o pesquisador o pesquisador ele fez ele explicou ali o que que a visão dele né como que ele fez para explorar e tudo mais e como que ele corrigiria e numa reunião bem técnica de 30 a 40 minutos eles conseguiram achar uma linha para aplicar correção então funcionou bem a equipe de deve nesse caso nesse caso em específico tava muito aberta a ouvir né então para as empresas eu tenho impressão que todas as empresas que tem programas de buggybout tem essa maturidade porque eles tem que chegar eles têm que procurar vocês não perguntando se a gente achar quando a gente achar né que que a gente vai fazer com certeza tem uma com certeza tenho de coração aberto fala cara me testa aí que eu eu acho que tem uma coisa errada já é um ser humano um pouco mais evoluído o ser humano não CNPJ um pouco mais evoluído vamos dizer assim é que já tá um pouco mais aberto né porque a gente está no mercado a gente sabe que cara a equipe de desenvolvimento pode ser resistente né já aconteceu de tipo pegaram um bug aqui tipo canal mas o meu desenvolvedor tá falando tá certo o cara tá dizendo que não tem nada errado não né mas que o cara aí que tá testando errado aí ó na máquina dele funciona na verdade isso nunca aconteceu até porque porque quando o pesquisador ele vai enviar um relatório né ele precisa montar ali o relatório Ele é bem completo então ele precisa mostrar na visão dele qual que é o impacto como que é a prova de conceito né então tem tem um procedimento que o pesquisador coloca para equipe de da empresa conseguir reproduzir aquela exploração né então muitas vezes como forma de comprovar aquilo ele manda ali o processo né abrir o terminal de ter isso aqui tal tal tal pois espelho não sei o quê e explorou é muitas vezes o pesquisador ele manda evidências print vídeo então é meio difícil da equipe falar puts não não existe então inventando sabe ficar meio que refutado geralmente quando cai quando cai ponto assim né vulnerabilidade que é um falso positivo a própria triagem já pega né então a própria triagem faz o teste ali antes de passar para a empresa né quando a empresa contrata esse serviço de triagem já pega e já já tira esse esforço aí de operacional da empresa né E essa vocês fazem dentro da própria bug isso a gente tem esse serviço também dentro da plataforma para as empresas que não tem um time grande né ou quer ou não quer abraçar esse esse operacional de trials relatórios ali ver se tá dentro da política dentro do escopo tal a gente absorve isso daí passa para para empresa somente que tem que ser tratada e vocês têm pesquisadores que são internos da bug aí é tudo a galera dispersa o que a gente tem na bug nossa equipe de desenvolvimento e tal e as áreas de uma empresa comum né administrativo financeiro tal jurídico e a gente tem o time de triagem que daí é uma área realmente muito técnica é que os caras ficam ali comendo o relatório o dia inteiro e como é que vocês criam como é que você seleciona esses pesquisadores cara tem que mandar um currículo tipo invadir bug Hut tá que o cara é sério o dado dele no próprio banco de dados é esse é o teste você quer ser pesquisador você entra aqui em invade sistema em série até o cadastro no meu banco de dados Não na verdade acho que a grande maioria das plataformas de buggybout ela tem um cadastro aberto né então se vocês tiverem interesse de conhecer como que é um plataforma vocês podem entrar na bug Hunt e se cadastrar ali como pesquisador se já vão ter acesso a vários programas públicos ali entender como que funciona a política como que reporta um bug né mas o cadastro é livre e realmente ele é meritocracia se o cara entra ele tem uma pontuação na plataforma né para cada report que ele manda para empresa e tem esse recorte aceito ele vai ganhando pontos dependendo da criticidade é mais pontos ou menos pontos e tal e conforme ele vai ganhando ele vai subindo no ranking e vai ficando em evidência para as empresas né Então as empresas acabam chamando quem tem mais ponto né então tem meio que uma gameficaçãozinha ali sabe entendi aberto para todo mundo mas você só vai conseguir realmente desempenhar bem o papel ali se você entregar esses pesquisadores ele só podem pesquisar onde tá no escopo contratado ali com essas empresas e quando ele acha algo fora cara como que se tratava é uma boa na verdade os pesquisadores eles devem seguir a riscar a regra do programa né mas a gente sabe que não é assim pesquisador eles gostam muito dos programas que tem ali tipo um log Card ali né tipo asterisco ponto domínio que daí eles podem bater em qualquer lugar dentro daquele domínio que tá valendo Mas depende muito tem empresa que fala assim não não tá no meu escopo não vou nem aceitar independente da criticidade mas é meio Suicide uma parada dessa né Eu acho meio mancada isso também eu acho perigoso para [ __ ] ah pô o cara achou o vulnerabilidade aqui mas não paga mas eles corrigem mas eu acho que a grande maioria das empresas elas entendem o valor que aquilo tem né então geralmente esse povo vulnerável uma vulnerabilidade Que expõe algum tipo de dado ou expõe a empresa algum tipo de risco eles aceitam mesmo tendo fora do escopo Mas não é para procurar vulnerabilidade fora do escoa não é regra né Isso depende muito pode ser tão sei lá dependendo do cara o cara tropeça numa vulnerabilidade não as empresas recebem bem no máximo que o pesquisador pode pode tomar levar ou não não vou aceitar mas uma grande maioria das empresas se algo que faz sentido recebem bem Analisa muito Impacto né e o risco é como como Bruno falou né então se dá acesso a piá questões que podem levar uma perda financeira muito grande né então o pessoal fala assim Vamos considerar é bom esse cara ser amigo né Tipo eu não ia eu não ia negar um pagamento para um cara que descobriu vulnerabilidade no meu sistema é eu ia falar Não beleza amigão não tava contratado mas eu Paquito a grana obrigado vale a pena ficar mais barato exatamente e o mano como é que você como gestor de deck Como que é o relacionamento com essas plataformas dentro das empresas você é o cara que Analisa esse relatório quando quando chega lá da Bang por exemplo exato é como o Bruno falou né chegam a gente tem dentro da nossa plataforma Maria dos grandes pesquisadores que tipo chegam esses reports tem a triagem né com o mesmo processo da babirrana de tudo mais e a partir dali a gente valida dentro internamente da empresa a gente olha muito a questão do impacto daquela vulnerabilidade mais junto a isso a gente também calcula o risco né a parte do daquela vulnerabilidade que ela pode representar E aí a gente sobe de vida esses critérios esses cálculos que a gente faz pagar mais ou menos aquilo que a gente poderia ter ali então é cara e a gente tem uma parceria muito grande né com empresas de bugging então é muito legal Segue o cara que dispara o alarme lá dentro quando chega é exatamente o cara que escala tipo galera fodeu vamos arrumar aqui ó a gente já tem né que nem o Bruno falou a gente tem toda essa questão de gestão de vulnerabilidade né já entra no fluxo de correção a gente cria mesmo só para abrir né a gente vida e depois cria para o time já fazer a correção depois a gente pega e faz o reteste daquela vulnerabilidade para a gente ter realmente certificar que ela foi corrigida né e pagamos o pesquisador então e é muito bom é extremamente importante é cara é um apoio muito grande que a gente tem né de segurança tem um problema de bugging e só tem ganhos para gente né trabalhar com a plataforma dessa então meu time específico ele testa faz bem testes Mas além disso a gente tem a visão de pesquisadores de outros outras pessoas que exploram também vulnerabilidades e a gente também tem um viés diferente né desses caras então acaba chegando vulnerabilidades interessantes e isso serve de insumo também para a gente para uma série de questões né tanto para a gente proteger mais colocar mais esforço para não ter recorrência daquela vulnerabilidade então tem uma série de ações né que que se tem de ganho dentro de uma em forma de buggybout então é sensacional com você que tá vendo esse podcast da hora tá vendo um monte de problema aqui que a gente está colocando né e Quer uma ajuda aí na sua empresa faz o seguinte entra no site aqui da vimebers que a gente pode te ajudar vem-me berse.io nós somos uma empresa relacionada à arquitetura de soluções a modernizações de aplicações também atuamos na frente devops para ajudar vocês a serem extremamente ágeis então dá uma olhada no nosso site que vai estar aqui embaixo e lá você vai poder ver um pouquinho da nossa história do nosso profissionais e aproveitando se você for um profissional da área de tecnologia que tá a fim de trabalhar numa empresa legal monte de colega gente boa e tecnologia de ponta manda um e-mail para pipocar@memberse.io [Música]

42:12curiosidade já aconteceu de você explorarem algum tipo de vulnerabilidade na plataforma que envolvia um terceiro por exemplo eu tenho uma empresa aqui aí eu sei lá meu Portal usa plataforma x y z com cms da vida tipo alguns ICMS que é terceirizado e tal ou algum tipo de plataforma de integração uma coisa do tipo e pouco explorou ali quando você com a empresa foi fazer a triagem botava no Framework lá que [ __ ] não é nosso e curiosidade assim como se trata um caso desse já aconteceu também depende muito de empresa para empresa né a gente já teve vários casos de empresa aceitar falar não tá no meu É no meu parceiro não é uma plataforma minha mas já avisei para ele como tem aqui acho justo pagar né E também já teve casos vários de não isso dá um software de mercado Não tem como corrigir isso e não vou pagar não é o contrato isso tem informação minha lá mas não vou pagar Então depende muito de cada empresa né geralmente quando é algo crítico as empresas acabam abraçando pagando o pesquisador ali né a recompensa e depois ele se ajeita com fornecedor Como que você faz nessa questão se chega um bug para você de um terceiro por exemplo é geralmente até é interessante esse caso específico que eu tô com um caso desse aí olha só a gente tava fazendo alguns testes e nessa empresa muito grande né e a gente identificou uma vulnerabilidade a gente estava vendo Ceará dentro da empresa ou se era do terceiro a gente Descobriu que era desse terceiro né E aí tem as questões legais né porque tenho o analista que ele é ter nós tem que né tem as entregas dele tem as responsabilidades né e a gente tá negociando com jurídico tá a gente tá conversando sobre esse ponto exatamente nesse momento então é interessante nesse caso específico mas geralmente a gente como não tá no escopo porque assim a gente vai fazer o pesquisador ele faz o teste você tem milhares de requisições tem chega ali que não estão dentro do escopo e tudo mais mas também tem os terceiros as comunicações o tanto de JavaScript Hoje em Dia com monte de coisa comunicação para caramba isso acaba encontrando nesse meio do caminho vulnerabilidades também então assim quando é num terceiro a gente já não faz parte do escopo E aí a gente recomenda que ele procura esse terceiro para ver se ele tem um programa de buggy balde para fazer uma um report ali né legítima e tudo mais então e tem essa possibilidade né muitas empresas às vezes elas não deixam aberta né que existe um programa de buggybout porque eu vou pedir até o plano especificar mais sobre essa questão do programa privado e o programa público e aí vai da empresa né às vezes ela tem mas ela não quer divulgar né ela quer convidar pessoas específicas para o programa dela então tem existe essa possibilidade tem muita empresa que não mostra que tem esse programa né tem um programa privado fica escondido e a gente ganha convite para aquele programa quem vai direto e bate na porta da empresa então a gente sabe de vários casos de pesquisadores que acharam uma vulnerabilidade numa certa empresa e mandar um e-mail para empresa olhar nas plataformas não acharam um programa nada e manda por e-mail mesmo acho o e-mail do time de segurança ou vai no Linkedin isso acontece muito não é o recomendado Mas acontece muito falou identificou uma vulnerabilidade e tal e eu quero reportar quando a empresa tem um programa geralmente ela vai convida aquele cara pega o e-mail dele o contato dele convida ele reporta e entra no fluxo normal e quando a empresa não tem um programa de Recompensa é um problema né porque a empresa fala Putz Alguém tem uma vulnerabilidade eu não tenho como recompensar quando o pesquisador é tem bom ainda ali né ele passa aqui ali a vulnerabilidade para ajudar a empresa a empresa corrige tudo mais e ele não ganha nada com isso mas tem tem vários casos de empresas que não sabem o que fazer né então às vezes liga para a gente fala viu preciso criar um programa porque eu tô com um caso assim e tal e a gente ajuda na maioria das vezes né então cara de cada caso até o Wellington desculpa pegando a pergunta do Arthur ali com questão do impacto né e da criticidade quando um pesquisador ele vai reportar uma vulnerabilidade tem uma metodologia de identificação desse dessa criticidade já bem conhecida que é o cvss então ele precisa preencher na verdade com mouse mesmo ele clica calculadora né é uma calculadora basicamente então é o vetor de ataque externo Interno tem acesso Que tipo de informação tal tal ele faz um cálculo ali e fala ó pelo cvss é crítica é alta é média Ou baixa né Além disso é lógico que tem vulnerabilidade que pode ser baixa não servss mas no conte que ela tá inserida ela pode estragar com a empresa então o próprio pesquisador ele pode falar o cvss deu essa nota aqui de crítica ou de média por exemplo mas na minha análise ela é crítica por causa disso Disse disso né então cai para a empresa também a empresa pode ponderar ali também e tudo mais entendi tem uma metodologia de classificação isso deve impactar diretamente na remuneração do cara né 100% 100%. É porque é diferente o cara achava vulnerabilidade às vezes pelo cvss que ela é média por exemplo numa página mais vamos dizer assim mais estática e no ambiente de check-out por exemplo muda né é aquilo que a gente tava conversando que contexto né de você saber onde você tá cobrando Onde você tá inserido né faz todo sentido né porque são contextos com impactos diferentes né e cara sobre essa questão do programa ser público ou privado quero explorar mais isso porque é interessante rola das empresas terem um receio de expor que elas estão desconfiadas tem uma vulnerabilidade e que o mercado saiba disso e de repente tá achando que tem uma coisa errada aí deixa eu dar uma olhadinha nisso daqui então o cara por fora e tentar explorar isso de forma mais maliciosa ou não já são cnpjs estão evoluídos cara não cara Vamos explorar como que é isso das empresas cara a verdade eu acho que aqui no Brasil como é um é muito novo bugbeut ainda né A maioria das empresas que nunca passou por isso Ou tem pessoas ali que nunca passaram por empresas que tem um programa de buggybout eles têm medo mesmo eles têm medo disso por empresa de povo trabalhar com hackers é uma comunidade e se o cara achar uma vulnerabilidade Que expõe todos os meus clientes e não aceitar meu balde aqui eu tô dando tô 5 mil e ele vai se ele quiser vender no submundo isso daí ele consegue 50 mil por exemplo 500 mil sei lá mas isso é meio que um folclore porque os pesquisadores eles têm uma eu acho que mais importante do que o dinheiro para eles a recompensa é o reconhecimento então Putz eu lembro lembrei de uma falha aqui de uma das empresas que que estão com a gente quer uma falha assim basicamente eu não vou poder dar muito detalhe mas o cara ele conseguia acertar o valor do produto que ele queria comprar só que assim é um produto que pode ir para milhões de reais assim e o cara reportou isso e ganhou r$ 8.000 de balde então isso já isso já é uma prova né de que pô aquele cara é do bem o cara ele tem um conhecimento para fazer o mal mas ele não fazer o mal ele poderia tipo tirar isso num produto exato exato ele poderia fazer e e o legal que foi quando ele reportou essa vulnerabilidade a empresa ligou para gente e falou cara olha que massa a gente tá tentando entender como que como que o cara fez isso né porque apitou aqui na área de fraudes e ninguém tá entendendo nada aí chegou o repórter que a gente falou pô show de bola né então tem meio que um folclore né Essa questão de hacker aproveitar o Wellington posso dar para vocês aqui um brinde que é outra Opa Claro

51:35tem um moletom [ __ ] olha só a camiseta

52:02preparado para o inverno se separarem lá aí galera mostrar aqui quem tiver ouvindo a gente no Spotify dá uma olhadinha aqui no YouTube essa frase que maneira essa frase acho que é a mais maneira eu acho que ever Company reza Buck e hacker e o corte não reza bug é sensacional sensacional

52:41daquilo que a gente estava falando né as empresas têm um folclore por trás de querer não querer mostrar né o ter medo de se mostrar vulnerável mas todas as empresas são vulneráveis

53:00eu não sei nem como usa mas isso aqui cara olha que chique mano eu queria falar nada não mas o meu estragou hoje viu olha que coisa hein vamos sair daqui quentinhas e de moles Muito obrigado imagina Mas essa frase representa muito que a gente enxerga hoje né todas as empresas têm vulnerabilidade todo o sistema é vulnerável né e os riscos eles eles são tão rápidos quanto a própria tecnologia Então todo dia tem novas tecnologias novas linguagens novas formas de fazer as coisas isso daí acaba trazendo vários riscos né várias formas de explorar também né então é meio que enxugar gelo essa questão a gente sempre vai cada Deploy né vai ter uma alguma coisa precisa ser explorada e analisada e testada né cara alguém vai estar querendo subverter né aquilo ali então é são são tudo negócio né E isso para o cara mal intencionado né Eu acho assim bem questionava essa questão da empresa se sentir exposta etc Cara você já tá exposto né você vai estar exposto de qualquer forma se você está na internet você está no mundo de negócio você tá exposto né então melhor que você esteja preparado né para para se bater exposto com algum tipo de segurança né Eu acho que isso vem muito cara de enfim falamos aqui já até admir que isso aqui e tal já revelamos as idades Mas na minha formação existe um mantra de segurança de que todos software aquele que ninguém conhecia ou aquele que não tá funcionando é Ou aquele que não roda né que ele está fora de produção que tá desligado né mas cara é uma coisa que eu questiono muito hoje sabe porque o open o próprio pincelce quebrou um pouco desse paradigma né A maioria dos software Seguros hoje dados com Seguros são aqueles que são públicos porque você pode inclusive fazer sugestões de melhoria e fazer correções né mas na época da nossa época de Formação onde se dizia muito isso cara melhor sofrer é aquele que ninguém conhece porque tipo eu não sei eu não vou explorar e isso é muito questionável né E até questionava para vocês terem ideia né de Departamento de Defesa americana ele tem aberto todo os sistemas deles o programa de buggybout onde pesquisadores vão lá buscam vulnerabilidade dentro do né das tecnologias deles e reportam né isso aí então Tá tudo aberto né O cara que vai fazer algo errado ele não vai avisar exato dentro de uma plataforma de bug balde o cara tá ali é conhecido que ela quer né ele quer mostrar então que no caso Departamento de Defesa americano esse cara vai ter gente tentando o tempo todo indecisa aí velho mas cara é aquele que a gente comentou no outro Episódio Se você deixar monitorando um porta Scan no teu Web Server não importa a empresa vai bater um Ipê Russo uma hora vai aparecer lá cara não adianta tem gente atirando para tudo calado o tempo todo é tudo que tá né na verdade eu acho que o maior medo das empresas olhando no contexto do bug-balt né Maior mesmo das empresas de de criar um programa de Recompensas é esse negócio pô trabalhar com hacker eu vou expor meu sistemas Na verdade o sistema já está exposto já tá recebendo ataque o que a empresa vai fazer é pegar um grupo de pessoas e colocar para Car de forma controlado e ordenada né mas no caso do programa público Você não acha que tem muitas curiosidade você acha que pode ter um receio de que se ela faz um programa público ela vai atrair aquelas pessoas são do bem testando Mas elas pode atrair uma massa que fica sabendo desse programa Ah então tem alguma coisa ali e que vai explorar de forma maliciosa por ela estar se abrindo de uma forma pública isso isso acontece na prática não não vejo isso acontecendo na verdade quem tá para cometer crime né através da internet ela não vai esperar como Lipe falou não vai esperar a empresa ter um programa ou não né então atira para tudo quanto é lado escrita ali coloca um rende bem Generoso de IP e deixa rodando alguma coisa vai cair na rede pode ser uma empresa pode ser um né um escritório pequeno enfim mas geralmente empresas que tem programa de buggybout e especificamente os públicos são empresas que têm a maturidade muito elevada então quando a empresa cria Esse programa é porque realmente ela já tem uma maturidade elevada já fez todos os processos já fez toda a lição de casa para identificar o que devia ser identificado e agora não tem mais para onde identificar É lógico que tem os processos rodando enfim né mas eles precisam dar mais um passo então daí eles criam esse programa público que é galera mundo pode vir que eu tô seguro tem que eu batendo no peito aqui ó quem identificar eu pago e pago com gosto porque uma empresa para ter um programa público ela com certeza já investiu milhões ali né no passado para chegar nesse nessa maturidade e cara onde que minha curiosidade passa da conta tá ligado tipo eu não faço parte de nenhum buggybaut Mas eu sou curioso né aí normal abre um console lá no Chrome dá uma fuçada e descobri que eventualmente eu consigo pegar dados que não me interessam tá ligado onde que essa curiosidade passou da conta e legal parar de avançar massa é assim a gente na própria nas próprias políticas e termos de uso ali da bug Hunting assim como qualquer outra plataforma ela delimita para o pesquisador chegar até onde ele é tão de for necessário para ele conseguir comprovar que aquela vulnerabilidade existe então para ele comprovar um skele inject ele não precisa dar o dump da base do da empresa mas ele pode entrar ali dar um time alguma coisa assim pegar um algum times tempo não sei sem acessar nenhum tipo de dado né mas a vulnerabilidade exige que eu acesse algum dado pessoal acesse o mínimo possível né porque a empresa do outro lado ela também tá monitorando né então chegou ali conseguiu acessar né algum dado já é hora de reportar você não precisa passear por dentro do ambiente da empresa né mas e essa empresa não faz parte do programa de buggy balde cara aí tava aí tava mexendo no site qualquer lá de curioso e descobrir o mais indicado é que mesmo que não tenha um programa de bug seja reportado pela empresa né Por exemplo se a gente tivesse uma empresa que a gente ia adorar que chegasse alguém do bem e falasse para identificar uma falha aqui ó arruma [ __ ] ia pagar uma cerveja para o cara se eu não tivesse um programa né de bugging balde Mas é difícil isso porque tem a curiosidade né do lado do pesquisador o cara vai querer ver o que que ele consegue voltar para dentro da rede né achei uma falha aqui conseguir subir uma Shell ali e tal executando tô conseguindo ver a rede deixa eu pilotar aí para os servidores ali então é algo bem crítico mas no contexto do bug balde Ele é bem tranquilo porque é bem definido as regras né e hoje Quais são as vulnerabilidades mais comuns assim que os caras pegam cara hoje eu acho que a maior top ofenders ali é idor que é aquela que vamos tentar simplificar aqui né mas por exemplo você tá num site ali o site qualquer minhas informações vai estar lá meu nome meu telefone e tal meu e-mail mais informações cadastrais eu olho na URL tem lá site.com.br barra qualquer coisa/nq interrogação aí de igual a 10 20 Esse aí é meu se eu vou lá para 1021 fala nossa não é mais a minha informação que tá aqui a do Lipe e esse é um idor eu conheci eles como os canamer horizontal o cara vai fazendo incremento geralmente de variável get né e vai fazendo esse crack de informação que ele vai capturando Às vezes o cara consegue capturar o banco todo fazendo escaneamento horizontal então isso acontece muito mas assim uma coisa que a gente vê muito empresas que têm sistema legado né aqueles sistemas mais antigões assim são as que mais sofrem com isso porque você consertar um sistema em PHP feito lá em 2001 é muito mais complexo do que você consertar um sistema atual né O que o que eu passei já para uma correção de vulnerabilidade dessa de uma empresa que a gente conheceu e um tempo atrás e cara eu comecei a estudar um pouco mais a fundo nesse tipo de vulnerabilidade e você acredita do ponto de vestir arquitetura é muito comum e como você falou do legado isso me engatilhou aqui na hora às vezes o cara tem lá um serviço estende Alone que é o Web service que fornece por exemplo esse dado e ele não tem nenhum tipo de autenticação atrelado aquele aquela variável que tá lá e aí teve o bom do EPA Economy né o cara começou a ter um iPad Gateway Gate ele é autentica chamada mas autenticação da chamada não passa por back ange validar também a credencial de quem tá lá então o cara com qualquer token qualquer Secret de que autentica dentro do Gateway ele começa a ter acesso ao Beck end E aí lá ele pode passar qualquer tipo de variável porque o back Angel não valida se autenticação da ponta é quando a gente e cara isso é como para [ __ ] muito comum porque você não tem a Federação da autenticação entre o Gateway e webs antigamente ninguém usava autenticação para observe-se né É incrível se pega ali no solda naquele Dell no terceiro andar sulfite assim não desliga é uma loucura né pior que tem um monte de coisa assim produção né mas eu acho que assim a maior os top ofenders que a gente que eu vejo pelo menos são idor Você tem uma visão diferente que explora ali dentro do browser do usuário né explica um pouquinho melhor para quem não conhece o que é xss é uma vulnerabilidade site que você com Catena né código um código JavaScript ali e nela você consegue por exemplo aumentar a criticidade dela roubando um cookie de sessão então tem uma série de coisas ali que você pode fazer um accou de ter cover né Você pode roubar aquela conta também fazendo um treinando com outras vulnerabilidades né você através dela você pode escalar ela para vulnerabilidades mais críticas também né então ela é xss e a Eduarda tem a rodo que é justamente algo que os deves não não cuidam muito ali né então pô vou deixar executar colocar uma tag de script aqui e tal eu sanitiza no fundo ele deve sabe né acho que ele esquecendo é o cara da obra sem o capacete exato o cara quer ver o negócio funcionando e acaba não se a gente dizendo as entradas né aí aí por trás o que acontece o sistema vai o serviço vai e interpreta aquilo né Então mostra ali o código de JavaScript que não foi programado né foi injetado ali de alguma forma roda o JavaScript no Browser do usuário né e dentro desse contexto do browser consegue pegar Cook faz uma chamada Jackson vai voltar ao dado todo mundo que acessa vai joga o dado do clight que deveria ficar num Cook por exemplo só no clight server ele captura e pode jogar para dentro né

66:20tá interessado aqui verdade é que você não começou no meio aqui cara e para a gente já caminhar para o para as perguntas finais aqui o caso curioso que aconteceu da bangbout você pode ser uma um programa curioso que surgiu uma descoberta curiosa que aconteceu uma curiosidade legal cara na verdade eu vou voltar a puxar um cliente que a gente tem esse caso foi muito emblemático assim para gente porque não foi uma vulnerabilidade tão técnica esse cliente que que eu tô me especificando por razões óbvias eu não vou falar qual é mas é é uma plataforma de Marketplace né E esse pesquisador ele conseguiu criar ali colocar um produto para vender no perfil dele e conseguiu criar um perfil também como comprador e conseguiu gerar um cupom de desconto como ele tinha ele era ele era vendedor e também o comprador ele tava testando esse processo inteiro ele conseguiu gerar um cupom através da conta dele de vendedor e usar na conta dele de comprador então ele gerou um cupom lá de 30 mil reais colocou não lembro o que que era para vender mas era algo bem simples tipo uma camiseta um chinelo e conseguiu aplicar esse cupom como computador aí foi esse recorte e quando caiu esse recorte lá na nessa empresa eles ligaram para gente falando cara olha que sensacional tal a gente já falou putz é problema né mas olha que sensacional porque nossa equipe de fraudes pegou isso daqui apitou tudo lá para ele e tal mas ninguém tava entendendo como que como que fizeram isso e eles foram ver tava no Repórter desse pesquisador ele ganhou uma recompensa boa lógico menor do que os 30 mil de cupom que ele colocou Mas por outro lado ele acabou sendo chamado para vários outros programas né então isso daí acaba expondo de forma positiva que ele pesquisador né ele acaba ganhando reconhecimento acaba até fazendo amizades tem várias pesquisadores que acabaram virando amigos né de empresas aí de pessoas que trabalham da empresa é até caso casos interessantes de pesquisadores que mandaram vulnerabilidades para empresa e a empresa gostou tanto daquela daquele do relatório do jeito que o cara escreveu o relatório convidou ele para um processo seletivo e teve casos de pesquisadores que trocaram de emprego inclusive né caramba

69:19isso fomenta muito né o mercado né Hoje é muito difícil alguns choram que isso mas hoje está difícil fala ali pelo identificar bons profissionais né profissionais com esses que com essa visão mais é porque o pesquisador Entra muito naquela questão né o cara curioso é um cara que cara vamos ver como que isso aqui funciona fundo então entra muito naquela questão que a gente conversou bastante episódios inclusive anteriores aí que é o cara que inconformado cara será que ninguém achou mesmo na verdade aqui vamos a fundo disso aqui cara como funciona se eu fosse o gestor na área de segurança eu ia plantar um bug esse ia ser meu processo seletivo passa joga aqui ó se o cara achar tua Recompensa é o primeiro salário os outros dois pode enviar você sabe você sabe que tem várias empresas que estão fazendo até no processo seletivo CTF né então eles fazem ali tipo alguns desafios né do capture Flag e coloca no desafio para o cara isso é uma excelente maneira de identificar se o cara manja ou não né exato Então seria mais ou menos essa ideia cara eu lembrei de um negócio que aconteceu já bizarro comigo isso tem alguns anos atrás na época que eu era deve eu tava fazendo um código em Python tava lá acordando meu pai Tonzinho feliz ali é Comecei a usar uma biblioteca um pouco mais avançada de tratamento URL etc e cara como todo deve de um lado o Google do outro né tô ali pesquisando negócio no Google tal cara abrir uma tela no Google no meio da busca assim tipo pesquisa ela convite processo seletivo para dor no Google olha que massa e aí Abriu uma plataforma que eu tinha que responder alguns testes ali de Python e era processo seletivo Global do Google os caras fazem uma triagem pelo pelo que você tá pesquisando ali e tipo gatilhou uma parada e abriu não passei por isso estou aqui gravando podcast mas pelo menos eu tive a honra de cair lá no no processo legal a gente teve um cliente que fez isso também Inclusive é o mesmo cliente desse caso que eu falei agora ele estava com uma vaga aberta na área de de Tim deles e eles deixaram tipo um Easter Egg ali nos em alguns em algumas páginas deles né então como eles sabem eles têm programa e tem várias pessoas testando eles deixaram esses Easter Eggs falando pô você encontrou Manda seu currículo para cá Então isso é uma maneira bem inteligente né de você conseguir já segregar aquele público diferente de você falar para o mercado polar no Linkedin pô estamos com uma vaga aqui de deve ou de segurança tal que vai receber dois mil currículos esse daí você já vai segregar e vai trazer já vai para a parte final do processo seletivo no meio do caminho né e cara com esse nome bug você é abordado por alguns outros tipos de teste de vulnerabilidade como é isso no dia a dia e comenta um caso interessante que você falou com a gente aqui offline bom amanhã a gente na verdade ela é uma plataforma de bugging voltada para segurança né porém essa semana a gente teve lá na Band um caso curioso vem uma empresa que eu não conhecia aparentemente era uma empresa pequena é uma empresa pequena E marcaram reunião com a gente eu falei pô Legal vamos atender processo padrão apresentar banguerrante e tudo mais já no início da conversa dessa reunião o cara da empresa falou a gente perguntou né Como que você conheceu a bug foi através de indicação tal não sei o quê ele falou não através do chat GPT Falei pô Olha cara diferenciado né já tá usando chat de PT junto com o Google ali depois eu até fui ver o que que é chat não tem muito a ver não mas o cara veio explicou a necessidade dele ele precisava na verdade de um teste de testes de q.a né teste de qualidade mesmo de do desenvolvimento e testes de carga exatamente ele não tava muito voltado para teste de segurança então comentei com ele expliquei como que funciona falei que não era o foco da plataforma mas se eles quisessem tentar a gente poderia até criar um programa seria interessante isso né Ele falou que no momento não e tal mas que ele ia conversar internamente para criar um programa que ele achou interessante também eu falei pô eu não conheço a empresa né Fala um pouco com o que vocês trabalham falou realmente nossa empresa é pequena mas a gente tem uma plataforma que eu não posso falar o nome aqui mas é de relacionamento sugar já fui abrir o Google ali já fui e falei nossa cara é tipo um tinder meio que paga um lado pagou outra né o negócio mais ou menos assim então foi foi bem interessante o cara acabou virando parceiro assim né colega assim né mas não foi para frente ainda legal legal finalizar cara a primeira é para quem tá ouvindo a gente e tem um Skill de pesquisador de hacker de profissional de segurança esse cara não conhece ainda esses programas etc e se interessou aqui no pela proposta do podcast e tal tomou com o conhecimento desse tipo de programa que que esse cara tem que fazer é só se inscrever lá e ser curioso ele tem que se preparar de alguma forma se atualizar para poder participar dessa ganificação esse diferencial lá dentro que que você diria para esse cara Bom eu acho que se um cara é de desenvolvimento ele quer seguir para linha de segurança né ele já tem uma visão legal eu acho que o Primeiro passo seria se cadastrar sim em todas as plataformas não só na baguerrante tem várias plataformas no mundo né tem a hacker são plataformas que inclusive pagam em dólar então é realmente é muito interessante e meter as caras então pô o cara tem conhecimento de desenvolvimento para ele aprender a explorar aquilo ali é muito mais rápido do que um cara que não tem esse conhecimento técnico né Eu acho que o primeiro passo é fazer o cadastro e meter as caras entrar nos programas leia a política se atentar na política e começar a explorar começar a consumir esse tipo de conteúdo né entender o que que tá na moda ali o que que tá no Hype né como a gente falou Pô tem aí dólar x sscript e tal começar a buscar a entender o que que é essas vulnerabilidades olhar ali para top 10 wasp que são as vulnerabilidades que mais aparecem nos no sistemas né dos aplicativos e tudo mais e buscar entender como que funciona e como que se explora como que se identifica todas as suas vulnerabilidades um cara que é desenvolvedor independente da linguagem é porque o bom desenvolvedor independe da linguagem o motorista não tem motorista de Volks motorista exato pelo menos deveria ser assim né então o cara que ele sabe desenvolvimento ele vai se apropriar desse conhecimento de forma muito rápida né E se ele chegou até onde ele chegou no desenvolvimento é um cara que gosta já por natureza dessa questão técnica né então acho que é se inscrever nas plataformas e começar a consumir esses conteúdos mais técnicos né voltados a exploração não sei se o Lipe tem uma não é legal demais hein tanto de material que tem hoje em dia é aquilo que o Bruno falamos aqui mais cedo né a gente sobre revelando a nossa idade aqui mas a gente não tinha tanto material para a gente estudar né a gente tinha que aprender muita coisa vamos falar assim na Raça mesmo ali e cara hoje o que você procurar você procurar o hospital que tem ali você buscar as vulnerabilidades exemplos hoje em dia tem o próprio tem uma tem uma página que cheia de laboratório que chama porte swigger depois quem tiver assistindo aí quiser olhar abraço de graça e ela aborda além e várias formas de você explorar aquela vulnerabilidade específica então ali é um ótimo lugar para você treinar e depois ir para as plataformas de bug-bout aí com aquele acabou-se né de conhecimento porque ele explica a vulnerabilidade porque que ela é porque que ela existe E aí te dá todo o caminho para você treinar é um é um método de você treinar mesmo a exploração daquela vulnerabilidades e depois você partir para o mundo real na hora de você entrar num numa plataforma de buggybaut e tentar né colocar aquelas vulnerabilidades que você aprendeu né aqueles ataques na verdade em prática show vamos deixar o link aqui na descrição viu Legal quem quiser conhecer esse enveredar por essa por esse mundo legal sempre sempre interessante né e cara para as empresas que tem algum tipo de receio tão pensando em fazer algum tipo de programa às vezes já tem um retinho que faz isso internamente que que seja conselhos cara vamos bora fazer como que convence o Executivo disso que às vezes o cara de segurança ele quer fazer mas o Executivo não tem algum receio como é que esse cara convence sim é na verdade o eu acredito tá depois até querer ouvir opinião do Lipe Mas eu acredito que vai ser um caminho meio natural para todas as empresas né Se você pegar aí A sei lá há 10 15 anos atrás era difícil você identificar empresas que não fossem do ramo de bancos financeiros tal ou seguradoras que tinham equipes de segurança antigamente era só banco e seguradora e alguma outra alguma outra empresa né hoje todas as empresas que tem uma equipe de TI tem alguém responsável por segurança Você não tem os caras ainda estão os caras estão atrasados então a gente acredita que é um meio que um caminho único no final do dia no final da ponta lá todas as empresas vão precisar trabalhar com hacker seja uma comunidade externa ou seja dentro da própria equipe e como convencer o Executivo eu eu acho que é uma questão meio que de Como que eu posso falar se ele não aprendeu no amor ele vai aprender na vida Exatamente exatamente toda empresa vai ser invadida né Toda empresa vai ser só questão de tempo é só questão de tempo o que aconteceu o que que vai acontecer quando a sua empresa foi invadida é o que você preparou para esse para essa ocasião então pô tô preparando tô preparado para uma invasão Então se aconteceu uma invasão eu vou conseguir identificar rápido vou conseguir segurar ela rápido e limpar ela rápido né se eu não tô preparado Não é questão de como é quando não é questão de como aí e o que você faz na de contenção naquele momento Então o que os executivos tem que ver né questão do é só olhar para o jornal que que tá acontecendo no mundo todo dia tem empresa gigante sofrendo com um ataque de sequestro de sequestro de dados vazamento de informação se ele não quer ver isso acontecer com sua empresa e inevitavelmente ele vai e vem em algum momento da vida se ele quer ver isso de uma maneira com impacto um pouco menor ele precisa investir em segurança não só em blog mas precisa abrir o caixa ali para investir em segurança Você tem uma visão você você que é o cara que tá ali Como que você lida com é que você já tá no estágio sua empresas que estão mais tem essa conscientização né mas no teu caso abando-se o cara tá numa empresa que teve dele ele tem essa Consciência em um gestor e da área de segurança e não tem patrocínio para isso como ele aborda esse cara fala bicho uma hora vai dar merda é melhor que a gente Vista nisso agora tem até desculpa mas tem um negócio que a gente sempre usa com usava né na verdade quando na questão de consultoria quando o Executivo ele não quer soltar o dinheiro ali para o time de segurança não quer fazer os investimentos a gente sempre dava dica para os caras de criar um estar que é um termo de aceite de risco Então você registra isso e leva para o seu chefe e para o executivo e leva para quem tiver acima ali assinar falando vai dar merda vai alguém algum dia vai identificar uma vulnerabilidade a gente não tem o processo de gestão de vulnerabilidade por exemplo a gente não faz teste isso tem um risco atrelado que é assim assim assado pode acontecer isso isso e eu tô aqui informada chega aí chega com o documento desse para o Executivo assinar Com certeza o cara vai olhar diferente aquela aquela situação é ou ele convence o cara ele é demitido muito bom esse documento obrigado viu passa naquela salinha é verdade é verdade

83:49o programa de você abrir para pesquisadores você vai deixar Evidente as vulnerabilidades que você tem maior quantidade no seu no seu ambiente e você vai atrelar isso ao risco que se tem o negócio então assim cara essa vulnerabilidade que eu tenho top um aqui ela me expõe a vazamento de dados então assim e aí você cria uma estratégia fala assim eu posso perder x de grana aí falou de grana as coisas mudam né mudou a língua eu acho que é muito isso né a gente mostrar tudo isso atrelado a risco e apenas financeiras né que você pode ter daquela vulnerabilidade de ser recorrente dentro do ambiente dela existir de você que nem o Bruno falou tem um acidente de risco ali mas e né a gente vê como em último caso né se ter um acidez a gente tem que buscar formas de todas as formas de mitigar aquilo ali a gente não pode ver o ponto tá exposto né aquele risco ali então eu acho que tarde olho no nível vulnerabilidades mexe na parte financeira e é extremamente importante show muito bom muito bom meus amigos cara muito obrigado pelo pelo papo foi sensacional explorou abriu uma caixa de pandora aqui que a gente que tá muitas vezes do lado do desenvolvimento não tem tanto essa convivência não tem essa visão desse desse mundo né cara isso é muito legal tá pronto para se cadastrar lá Arturzinho no bug não é só ir lá no console do Chrome não eu vou pegar o site Qual o mano de cor para a gente aqui Mentira Agora vou fazer os cursos [Risadas] Muito obrigado foi muito legal papo Eu que agradeço obrigado pelo convite tô sempre à disposição prazer conhecer vocês ao vivo o Arthur também não conhecia Valeu Albano aqui irmãozão desde sempre aí quando vocês precisarem a gente está à disposição show de bola Obrigado cara muito bom não hackeei a gente tá somos bonzinhos Obrigado deixa que a gente ele passa para mim Valeu galera você que acompanhou a gente até aqui até agora aqui com a gente se você ainda não deixou o like nesse Episódio Tá vacilando os cara vão hackear você então deixa o like agora se inscreve no canal acompanha a gente no Instagram E compartilhe esse episódio com quem você acha que pode estar interessado no nosso conteúdo de segurança e meus amigos valeu obrigado até a próximo episódio valeu obrigado [Música] [Aplausos] [Música]