July 2, 2025 • 47 mins
No episódio de hoje, sentamos com o lendário C4ng4c3ir0, um verdadeiro fora da lei... do bem. Ele compartilha sua jornada como Bug Hunter, desde os primeiros bounties até os altos lucros descobrindo falhas em grandes empresas. Falamos sobre técnica, ética, dinheiro e, claro, como transformar vulnerabilidades em oportunidade (e em boletos pagos). Quer entender como alguém ganha dinheiro apontando os erros dos outros? Então dá o play. Esse episódio vai abrir sua mente — ou seu sistema, se não tiver seguro. 💸🔐
Become a supporter of this podcast: https://www.spreaker.com/podcast/devsecops-podcast--4179006/support.
Become a supporter of this podcast: https://www.spreaker.com/podcast/devsecops-podcast--4179006/support.
Mark as Played
Transcript
Episode Transcript
Available transcripts are automatically generated. Complete accuracy is not guaranteed.
(00:11):
e aí
Olá pessoal, tudo bem com vocês?
Sejam muito bem-vindos a mais um episódio do Devisecops Podcast.
(00:34):
Episódio que estamos de volta com o nosso elenco.
Na verdade, gente está de volta.
Tem duas, três semanas que gente não consegue gravar, mas voltamos agora.
Um sai pra cagar na hora que gente começa a gravar, mas enfim, deixa ele fazendo cocôzinhodele lá.
Eu sou...
Eu sou o Cassio Pereira.
(00:56):
Cara...
Essa é melhor gravação de todos os tempos.
Pessoal, a gente está com convidado aqui hoje, convidado bacana.
Inclusive, é desses que a gente conhece pela internet, mundo afora.
Ainda que no Twitter, tem muita coisa boa lá.
Mas, enfim, esperamos que esse seja uma coisa boa.
A gente vai apresentar nosso convidado já já, a vai falar pouquinho do tópico de hoje.
(01:18):
Mas antes, eu quero sempre lembrar a todos os senhores ouvintes...
que o Davise Copes Podcast tem o apoio da SNIC e da Nova 8, que são especializadossegurança dos sistemas e código seguro.
E o link da Nova 8, é atribuidora da SNIC no Brasil, está abaixo da descrição do episódiolá no YouTube e também no davisecopespodcast.com.br.
Se você está buscando soluções de EPC, que é a digital ou que tem portfólio completo paravocê.
(01:40):
E se você já se perguntou se está sobre ataque, algum dado ou informação sensível foiroubada ou ainda está sobre risco, a Purple Bird Security tem...
todas as respostas pra vocês, tá bom?
Então gente vai falar pouquinho hoje, antes de apresentar o convidado, pouquinho sobre BugBounce, o pouquinho do mundo de offensive, pouquinho de como o nosso trabalho mal feito,
(02:02):
né, Beirut?
Como o nosso trabalho mal feito Epsec dá dinheiro pra outras pessoas que fazem bomtrabalho.
Eu sempre costumo brincar que a ideia é acabar com esses caras.
Ele tá aqui hoje, ele vai falar...
Mas a ideia é deixar ele sem emprego, quer dizer que a fez o trabalho muito bem.
Então se gente não fez o trabalho muito bom, vai estar cheio de bug e vulnerabilidade paraos caras acharem fazer um bom dinheiro com isso.
(02:25):
E claro, também ajudar as empresas a conscientizar com relação à segurança.
que esse é dos principais objetivos também.
Apesar do dinheiro, tem uma boa grana também.
Então gente está aqui hoje com o nosso colega Kham, que conhecido como Kham Gaceiro, lá noTwitter.
Meu amigo, obrigado pelo seu tempo, obrigado por ter dedicado para falar com a gente hoje.
Se apresenta pra galera, fala pouquinho do teu trabalho, quem você é, pra onde você vai ea gente vai bater num papo.
(02:51):
Salve rapaziada, como ele falou aí, sou cangaceiro, meu nome real é João Victor, eutrabalho como analista de segurança ofensiva, já tenho uns, acho que vai fazer 5 anos que
eu estou nessa brincadeira, segurança sempre foi uma coisa que eu gostei assim, então...
(03:19):
é uma coisa que sempre me deixou maravilhado.
Eu sou formado em análise de desenvolvimento de sistemas, mas aqui onde eu moro é bemlimitado, que é o interiorzão do interior de Alagoas, e não tem tanta oportunidade para
isso, então eu me formei ali e não atuei diretamente assim na área.
(03:44):
Mas, assim, depois de tempo de formado...
Eu entrei ali num curso de segurança, foi onde eu comecei a me aprofundar mais.
Nesse curso eu conheci algumas pessoas.
A gente montou grupo de estudo.
E desse grupo de estudo, a gente começou a fazer bug bounty junto, já que genteteoricamente não tinha um emprego na área si.
(04:10):
A gente almejava essa oportunidade, mas a gente ainda não tinha.
Isso antes da pandemia.
Então a gente se reunia todas as noites ali pra estudar, pra fazer CTF, pra fazer bugbounty, enfim.
E quando a gente...
Aí dos integrantes do grupinho lá pegou um bounty e tudo mais, aí todo mundo ficou louco,querendo um bounty também, aquela coisa toda.
(04:37):
Só que eu pelo menos vi que eu não tava preparado, acabei me frustrando porque eu acheique...
Porque assim, ele usou a pessoa que encontrou esse bug.
Ele usou uma ferramenta que ninguém sabia na época como é que ela funcionava bem, entãoela era como se fosse um brute force de diretório, só que ao invés de diretório ela
(05:00):
inseria arquivos do Windows, tipo barra .etc barra .pswd barra .etc barra .host.
Então foi basicamente isso que a ferramenta fez, que a pessoa que pegou esse Bounty rodoua ferramenta e ela encontrou esse path.
E estava lá a vulnerabilidade, ele reportou, acho que ganhou 750 dólares, se não me enganona época.
(05:23):
E assim, para quem ganhava 900 reais, vê alguém ganhando 750 dólares, você vai ficar alivislumbrado e vai ficar louco querendo também.
Então, eu fiquei igual maluco, não sabia nem o que a ferramenta fazia, mas eu comecei apegar aquela ferramenta e rodar ali de forma manual, que na época também era...
(05:46):
mais burro do que sou hoje e eu ficava só rodando a ferramenta manual mesmo, não faziaautomação pra rodar massivamente nem nada e ele...
eu não consegui nada né?
logicamente então eu meio que entendi que eu deveria estudar mais, aprofundar mais,melhorar mais então eu meio que dei um stop nessas tentativas frustradas e voltei a
(06:13):
estudar, tudo mais
Então foi aí que eu consegui a minha primeira recompensa, acho que depois de...
Não foi nem ano que eu comecei a estudar segurança, acho que eu comecei março ali, emdezembro, acho foi dia 26 de dezembro, eu peguei a minha primeira recompensa, que foi um
LFI, num programa privado, lá na plataforma Bug Crowd.
(06:37):
E me pagaram 2.500 dólares por esse bug que eu encontrei sozinho, na época não tinha...
essa parada da equipe, né?
Mas...
E assim, minha história de maneira resumida é essa.
O início.
Então começou com...
De ser presente de Natal, mas aí você falou 26 de dezembro?
(07:00):
Pô, passou por um dia, hein, Por um dia, mas, 2.500 dólares, E olha que legal essahistória que ele comentou, Juntou grupo de amigos ali e o pessoal foi começar a estudar,
fazer CTF junto e tal, e aí um deles conseguiu.
750 dólares.
O salário era 900 reais.
Três anos atrás, quatro anos atrás.
(07:21):
750 dólares já era multiplicado por 5 nessa época, 5, 5 e pouquinho já, né?
Então, se você ver o que disparou o entusiasmo, caramba, então dá pra gente fazer umacarreira com isso, né?
Pô, você ganha dinheiro, você reporta, obviamente você, dentro do programa de Bug Bound,você reportou isso, tem as regras e tudo a ser seguido, e uma vez reportado, a empresa não
(07:44):
só vai te pagar o Bound, mas também ela vai resolver aquele problema.
Pelo menos é a ideia, né?
Que ela resolve, ou não vai ficar pagando o Bound eternamente, né?
Então...
O Bug Bounty geral é uma forma de conscientizar as empresas.
Na verdade, abrir para o público.
Olha, me ajudem a achar os meus problemas e a gente melhorar a segurança.
Em troca, eu te dou uma recompensa financeira.
Eu já vi o Bug Bounty dar recompensa não só financeira, também ralda fama, tem uma sériede outras coisinhas, falar assim.
(08:10):
Mas o dinheiro talvez seja mais atrativo.
E aí você falou muito bem, 2.500 dólares, também multiplicado por 5 na época.
E acho você tocou ponto importante que eu vou fazer uma pergunta para os meninos.
Você viu que não estava preparado para aquilo?
Falei que precisava estudar mais.
Só me frustrei.
Fiquei só rodando a ferramenta, nem sabia o estava acontecendo.
(08:31):
Dei passo atrás para estudar e fui me aperfeiçoar até que consegui um baunte bem bacana.
E primeira pergunta para os meninos que comentarem e depois a volta com você seria essa.
O quanto de grana as empresas não estão perdendo?
ou, em vez de perder, investir em programas de bug bounty para que a comunidade ajude aencontrar os problemas, eu diria que seria até mais barato do que o famoso pen test.
(09:00):
Como é vocês enxergam isso aí?
Bem, o Ur Marcos, talvez o programa de bug bounty seja mais maduro que fazer pen test, umsubstitui o outro, ou vocês acham que não substitui complemento outro?
Marcos, terminou de cagar?
Você deu coco bem na hora, né?
deu dor de barriga, você não tem noção, velho.
pariu, três anos sem gravar, hora de gravar o cara dá uma dor de barriga na hora, mas tábom.
(09:26):
Voltou até mais leve, Até mais leve.
porra mas só a resposta da sua pergunta eu acho que são complementares eu não acho quesubstituiu o outro e eu também acho que o bugbaute depende da maturidade da empresa, tá?
não adianta uma empresa nova querer abrir programa de bugbaute porque ela vai despejartoda a grana de investimento dela no programa de bugbaute
(09:48):
que ela vai ter tanto bug, tanta vulnerabilidade que ela vai falir.
Então acho que para empresas que já tem uma maturidade, já tem ali uma resolução de bugscontantes, já tem programa de pen test bem definido, um programa de APSEC, já roda ali as
ferramentas padrões, o SAS, o DASH, já tem ali um sistema de vulnerability management bemlegal, aí sim eu acho que compensa abrir primeiro o bugbaute interno para você avaliar a
(10:15):
situação, ver ali com o pessoal.
A quantidade de bugs internos, aí sim, depois disso acho que vale a pena abrir bug baldeexterno e começar com remunerações ou outros tipos de coisas ali para que o pessoal
consiga encontrar.
Mas com pentest acho que são complementares, que não substituiu o outro.
(10:41):
Bem, o urta aí e filme.
me desmutar.
Bem, 100 % do o Marcos comentou, Porque nós temos algumas características bem diferentes,Algumas que vão pro programa de Bug Bounce, outras que vão pro Pentest, mas vamos pegar
pouco das diferenças, né?
(11:02):
Primeiro, quando a gente está dentro do mercado corporativo, a gente não tem tempoinfinito pra fazer os pentests.
A gente tem uma janela de tempo ali há duas semanas para esse produto, depois tem quefazer x coisa.
Outra questão é que nós temos um set limitado de skills disponíveis dentro da nossaempresa.
(11:24):
Porque a gente tem aquelas pessoas contratadas, aquelas pessoas que estão atuando etrabalhando ali.
E cada uma tem a sua habilidade específico.
Com relação a isso...
Eu concordo 100 % que a empresa precisa estar madura o suficiente para, primeiro, se expora programa de bug bount, se expor já é algo muito importante, Mas saber lidar com a
(11:49):
devolutiva.
Por quê?
Porque, por exemplo, já tem muitos casos que a empresa se expõe ao programa e nem precisanem pagar.
Porque às vezes tem o programa de bug bount que o que paga, mas também tem o VDP.
Entendeu?
Que o VDP só vai lá, reporta o negócio, não precisa pagar nada.
É só...
só para a galera ter algum status específico.
(12:12):
Então, só qual é o detalhe?
Muitas vezes a gente vai ter os reportes internavigais, falando da perspectiva da empresarelação ao open test execution interno.
A empresa vai receber os reportes do VDP ou do BBP, do Vulnerability Code Program, ou doBug Bounce Program, e ela talvez não saiba nem entender direito os reportes.
Ela não sabe definir o escopo, ela não sabe triar...
(12:35):
Ela não sabe ver o que de fato é risco, o que não é.
Ela precisa também ter uma maturidade de bug bount.
De programa de bug bount.
Não só a maturidade interna de segurança, mas ela precisa também adquirir maturidadegestão de programa de bug bount.
(12:57):
Eu já fiz bastante triages de programa de bug bount.
É mundinho bem interessante.
Agora, do ponto de vista, parte complementar o que eu acho super importante, é que dooutro lado de quem está fazendo o bug bounty quando a empresa se expõe, a gente tem
pessoas que tem pensamento diferente do nosso time e essas pessoas podem dedicar o tempoque elas acreditam ser importante para aquele programa.
(13:31):
Entende?
para poder se dedicar a encontrar coisas muito mais aprofundadas que talvez o nosso timenão conseguiria.
Mas aí claro, a gente tem o ponto positivo e o ponto negativo, da mesma forma como a gentetem o ponto negativo dos pentest internos que a gente faz.
Serem de uma semana, duas semanas, faz esse testezinho aqui, preenche de checklist, né?
E faz mais um QA de segurança do que de fato um exercício de right-hand, exercício depentest, né?
(13:57):
O programa de Bug Bounce tem aquela questão do tipo...
Cara, eu sou bug hunter e eu não me interesso na sua empresa.
Então, muitas vezes o teu programa precisa ser atrativo também para que os bons bughunters se dediquem a explorar a sua empresa, E aí a gente tem tanto a questão da
(14:22):
premiação quanto a questão do bom atendimento aos bug hunters.
Porque tem empresa que é meio que é bem pau no cu, né?
Tem empresa que chega lá e...
Ah cara, eu reportei aqui uma crítica.
não, isso aqui pra gente...
É uma low.
Mas tá corrigido a três horas depois.
Peraí, peraí.
Nem internamente você corrige as médias menos de 50 dias e do nada é uma low que foicorrigido três.
(14:48):
Entendeu?
Então tem muita treta, assim.
Mas por isso que eu acho que são complementares.
Concordo com mais.
voltar para o nosso convidado, para ele falar pouquinho mais sobre esses temas aí e dasempresas paus nos cruzes, eu discordo, cara.
Eu acho que dá para trocar o Pentest pelo Bug Bound, especialmente a empresa que não temPentestor.
(15:12):
Tipo, considera a empresa que não tem Pentestor interno.
Ela só faz externo.
Eu acho que a grana que ela paga, vamos lá, a grana que ela paga num Pentest de 40 horas,80 horas que seja,
eu acho que é melhores trabalhos.
ela já vai ter que dar acesso àquela coisa toda, troca isso para programa de bug bounty,talvez por tempo maior, mas enfim, naquele tempo, aí, considerando o que tu falou, tem que
(15:37):
ser atrativo, tal, tal, Mas budget por budget, eu acho que ainda dá para salvar uma granado que pagar um...
Porque a empresa de pente, a gente sabe que é tudo fia faca.
São outros paus dos cuses muitas vezes.
Não é que tinha que ser de graça, não isso que eu tô falando, mas viram os valores tãoabsurdos.
que às vezes você fala, cara, se eu pegar essa grana e abrir programa de bug bounty, euvou ter mais um, dois caras fazendo paint test pra mim 40 horas.
(15:59):
Eu vou ter a comunidade inteira, desde que o meu programa seja atrativo, aquela coisatoda.
Eu acho que pra ter o mesmo, até uma qualidade maior naquela exploração.
Óbvio que o paint tester talvez ele vai cavucar naquele escopo e ficar ali.
O hunter, e aí o cangaceiro vai falar pouco mais pra gente, O hunter, ele vai estar focadomuito mais no bounty.
(16:21):
Ele não tá preocupado de fato...
testar, aplicar, ele está preocupado achar o ouro lá no final do arco-íris.
Minha visão.
Eu acho que dá pra trocar, dá pra discutir isso pouquinho mais a fundo.
aí, Cangaceiro, fala pra gente agora.
Já teve empresa pau no cu que você reportou a crítica média, sei lá o quê, os caras, nãosei o quê, e como é que você enxerga isso que a gente falou agora, não de fora, mas do
(16:47):
outro lado.
A gente está do lado que a gente...
vai gerenciar programa de bug baut, preparar e tal.
E você cara, como é você olha?
Esse programa aqui é legal pra mim, esse aqui não é, só estou preocupado com a granamesmo, me importo com a empresa.
Como é que isso pra você?
Então, primeiro falando do que vocês estavam comentando aí, das empresas em programas debug bounty, eu vejo que assim, as empresas que têm um programa, isso serve até de vitrine
(17:17):
num lado bom assim para elas, exemplo.
Porque vamos supor, a Atlas tem programa de bug bounty, então teoricamente ela...
pode fazer lá, mostra para os seus clientes, eu tenho tanta maturidade na parte desegurança que eu tenho programa de bug bount público onde qualquer pessoa de qualquer
(17:38):
lugar do mundo pode vir aqui, caçar no meu programa e encontrar bugs e reportar para mim.
Sobre os reportes de empresas que agem na má fé, isso sempre teve desde o início e...
Esse é problema que não está sob o controle da gente, a gente vai lá, perde um tempãomontando uma automação que seja, ou tempão explorando aquela determinada falha, e quando
(18:09):
você chega lá, o cara fala, ah isso aqui a gente já sabia, já me aconteceu várias vezes,inclusive de tomar duplicado em falhas que não caberiam duplicado, exemplo.
Porque esse caso foi até curioso, porque assim, se você encontra subdomen takeover, essafoi a vulnerabilidade, se você encontra subdomen takeover e você reporta aquele subdomen
(18:36):
takeover, não tem como você, como ela tá mais vulnerável, sendo que você aí explorou.
Aí eu reportei o subdomen takeover, aí o cara deu duplicado, eu falei, mas como é que éduplicado se eu tomei o subdomen pra mim?
Aí o cara falou, não, é porque...
tomaram esse subdomínio antes e não sei o que, aí foi explicar, só que assim, beleza,podem ter feito isso, só que aí ficou vulnerável novamente, então assim, a culpa não é
(19:04):
minha de estar vulnerável.
Só que aí também não pagaram, não quiseram saber.
Outro caso aconteceu, semana passada eu reportei uma falha na Adobe, tava sem dormirdireito por conta do possível bounte que eles pagavam lá.
(19:25):
Aí eu deixei tudo explícito no relatório lá, porque eu encontrei umas chaves de API quedavam acesso à criação de tokens administrativos só lá no JavaScript.
Foi tipo bem escrota a forma que eu encontrei.
Eu tenho uma automação que fica aqui monitorando os programas que eu tenho, tanto privadoscomo públicos, e controlar arquivo vercel.json.
(19:52):
A princípio nada demais, aí bateu lá como lol, Eu falei, não, beleza, vou dar uma olhadaaqui.
Não tinha nenhuma hora que tinha sido encontrada.
Aí eu, beleza, abri lá.
Não parecia ter nada de relevante.
Só que tinha lá uma referência a arquivo server.js.
(20:13):
Aí, ó, vou tentar acessar esse arquivo aqui.
Aí eu acessei esse server.js, aí tava com, acho que era três API keys ou...
Era uma coisa assim, três API keys mais ou menos.
Aí como o bug bount você não pode estar perdendo tempo eu só copiei, aí eu falei, ó GPT,monta as requisições pra mim aí e já era.
Aí ele montou pra mim, eu só joguei no burp aqui.
(20:37):
Aí ele gerou alguns tokens e dentro desse JavaScript também tinha instruções pra euconsumir uma API onde eu conseguia imputar dados, consultar dados e enfim.
Aí beleza.
Mandei o reporte e ajudei os caras a corrigirem tudo mais porque eles tiraram do ar oversão.json, tiraram do ar o server.js mas eles não disponibilizaram as keys, então se
(21:06):
alguém além de mim encontrou isso também o cara poderia ter feito backup ali, ficar seistealth e só furtando informação, então falei ó, as keys ainda estão disponíveis e tal,
tal, tal
Aí beleza, a triagem considerou lá como 10.0 a criticidade, então isso aí eu já fiquei...
(21:28):
porque o Bounty lá, que tipo, ele era considerado Tier 2 e tem o Tier 1, que são asprioridades.
Esse que eu mandei era o Tier 2, se eu não me engano, o máximo do pagamento era 2.500dólares, então eu estava esperando no mínimo isso.
Quer dizer, 5.000 dólares era o máximo.
E o mínimo 2 500.
Aí, tem outro detalhe.
(21:50):
o domínio que eu encontrei essa falha ele não estava deixado no scopo era tipo sei lápodcast.adobe.com só que dentro do JavaScript o scopo afetado era que estava lá na lista
então teoricamente eles deveriam pagar aquele valor só que hoje eu recebi o email aqui queos caras pagaram mil dólares dizendo não, isso aqui está fora do scopo mas a gente vai
(22:12):
pagar porque você foi bonzinho e assim
Eu mandei até mensagem aqui falando, eu falei diversas vezes no relatório que eu encontreinum host fora do escopo, mas afeta host no escopo e vamos ver o que os caras vão falar,
essa foi uma das frustrações recentes.
(22:35):
E cara, tu vai falando, vai me dando uma agonia, porque assim...
Quanto custa o paint test, Bayer?
Chuta aí, Bayer.
Quanto custa o paint test?
Marcos, chuta aí.
Cara, da última vez que eu cotei, tava em turno de 3.500 dólares aqui na Europa, que eucotei recente.
O penteste de uma semana, 40 horas, né?
(22:58):
40 horas, né?
Não, porque a gente pode colocar na casa de 200 a 300 dólares a hora, né?
Quando vai fazer penteste...
Agora, é aquele esquema, né?
É penteste de produto ou penteste regulatório?
Tem penteste regulatório...
A gente já sabe que tem aí bem...
(23:18):
bem quadricional, né?
Tem isso, porque no produto o cara vai tentar achar problema, no outro o cara vai só...
Tá cheque, fizemos o penteste.
Que no fim das contas você vai gastar 8 mil dólares ali e pegar a porra de relator.
Olha, a versão do TLS está desatualizada.
Vai para a porra, Rodar a porra de um...
Rodar o Zap mostra essa merda aí.
(23:41):
Mas é assim, porque eu estou puto?
Porque ele está falando, cara, os caras ainda pagaram mil dólares porque você foi bonzinhoe tal.
facilmente o cara gasta muito mais, com ferramenta muito merda, que não faz porra nenhuma,e fica chorando pra pagar.
O cara que achou real problema.
Tá aqui o problema.
Ah, mas tá fora do escopo.
Ainda que estivesse fora do escopo, tem uma porra de problema.
(24:01):
As que estão lá, que te permite.
Você vai no médico e fala, doutor, eu tô com uma dor aqui na cabeça.
Ele, ó, você tá com câncer no cu.
Ah, não, isso tá fora do escopo.
A dor é na cabeça.
Que caralho, velho!
Mano, eu tô puto.
Mano, eu fico puto com essas coisas.
Não, tá fora do escopo, doutor.
Eu tô com dor na cabeça, não é na bunda.
Mas você vai morrer se tem câncer.
(24:22):
Não, tudo bem, tá fora do escopo.
Caceta, velho!
Bom, é...
Fala.
falha que o cagaceiro comentou agora, é uma falha de todo programa de AppSec da empresa.
Porque você deixar um arquivo de um server.tal com monte de key exposto para internet, ocagaceiro não encontrou só uma vune, né?
(24:50):
cantor de arquitetura.
erro de processo.
de gestão de segredos e o que é exposto pela internet inteira do edadob.
Entendeu?
Saca?
você tivesse achado esse bounte, tinha falado para os caras assim, não precisa pagar nadanão, só demite a equipe que fez essa merda aí, só isso, demite, me mostra a carta de
demissão, já vou estar feliz já, precisa pagar nada não.
Vai aprender a appsec e desenvolvimento de direito.
(25:13):
Mas cara, bom, enfim, deixa eu voltar a minha irritação aqui.
E como é que você seleciona os programas que você quer participar, que você quer investiro teu tempo?
Porque você falou bem, você se formou desenvolvimento de sistemas.
Eu acho que isso dá uma vantagem absurda de automatizar muitas coisas, fazer muitascoisas.
Para mim, na minha visão, também me dá uma vantagem absurda AppSec por ter sidodesenvolvedor por uma década.
(25:34):
Então, facilita demais para conversar com o desenvolvedor e tal.
E a gente sabe que, às vezes, você vai achar uma falha cinco minutos, mas na magia domelhor dia que você acordou com a bunda virada para a lua, tá cheio o Bounty aqui com
clique.
Mas não é assim, né?
Tem tempo investido.
você tem ali diversas ferramentinhas que você falou que você tá rodando e tal, tal, tal,então você gasta tempo.
(25:55):
Como é que você seleciona o que você quer participar?
É só pela grana, puto, isso aqui paga mais, eu vou participar?
Porque do mesmo jeito que paga mais, tem monte de gente com mesma ideia que você.
E aí é quem achou primeiro, aquela história do quem chegar primeiro.
Como é que você seleciona os programas?
Basicamente os programas que têm o maior escopo, quanto maior o escopo mais chama a minhaatenção.
(26:17):
E programas que aceitam que sejam analisados seus subdomínios, como é o exemplo da Adobe.
Então tipo assim, lá não tem tipo asterisco.adobe.com.
Mas de toda forma eu coloquei pra analisar isso pra casos como esse por exemplo.
Às vezes eu encontro uma falha que...
(26:38):
não está no escopo diretamente, mas acaba virando dentro do escopo, então acabou que essefoi dos casos.
Então assim, basicamente esse é o fluxo, escopo grande e subdomínios e que pague.
Eu não caço em programas que não pagam.
(26:58):
Esse negócio de ralda fama, tipo, tem uns caras que ficam caçando na NASA para receber umPDF lá...
ao autoassinado lá com assinatura fake lá agradecendo isso aí eu não quero eu prefiro odinheiro, velho, pra que eu vou tá caçando na NASA sendo que...
pra dizer, hackeei a NASA, muitas das vezes até ao finetendo a galera aqui o cara colocalá, hackeei a NASA o cara achou uma listagem de diretório na NASA e hackeou a NASA, velho
(27:26):
pra mim, pra mim hackear é você realmente impactar ali a empresa de alguma forma que seilá, você vai causar prejuízo, você pode matar a empresa
Você pode ir roubar dados, exemplo, você encontra SQL Ingestion, eu considero como vocêhackear a empresa, ou pelo menos hackear aquele produto.
Mas, assim, é isso aí.
(27:48):
Me indignei pouco aqui também agora.
vou até piorar essa situação, ver se o Marcos e o Benyur concordam comigo.
Muitas dessas vulnerabilidades que a galera ataca, invade, foi o time de Epsec que teajudou, você nem hackeou.
Ou foi o Deve que te ajudou, o próprio Deve deixou as das cagadas lá.
Não é Marcos?
O Marcos desliga os logs de madrugada, sabe dessa história?
(28:10):
Ele desliga os logs.
é com desligo não, Isso aí já foi tempo.
E foi o gerente na época que viu pra desligar os logs, porque a tava sem espaço em disco.
E a gente precisava economizar espaço.
E houve um insider lá que vazou dados e a gente não sabe até hoje quem foi, porque nãotinha log, não sei quem foi.
(28:34):
Felizmente, tem vazamento.
entendo, Rotação de logs foi inventado muito tempo depois, né?
É que eu não falo de tanta merda que já aconteceu Tanto de OPD que mandavam fazer,principalmente o POD LGBT E tem outras coisas que eu vou me deixar OFF
(28:54):
vendo?
São essas histórias que dá dinheiro pro cangaceiro.
Faz cagada, deixa monte de brecha, cara vai lá e acha e faz grana com isso, faz umacarreira com isso.
teve uma vez que eu só descontraindo pouco eu sofri acidente de moto eu fui atropelado porônibus e eu trinquei a mão eu não estava conseguindo digitar corretamente minha mão tava
trincada eu tava sem o movimento desses três dedos e eu fui chamado na empresa por voltade 8, 9 horas da noite tinha que entregar o LGPD e foi tudo pidente de produção foda-se
(29:26):
então tacamos a mão trincada tacando lá
minha mãe que foi me levar a me buscar porque não tava conseguindo dirigir, não tavaconseguindo fazer nada, me fazer lá tacando ele o pideixo.
Só pra você ter uma ideia.
Cangaceria, você ia falar uma coisa?
Eu te cortei, né?
Fala aí.
Até esqueci o ia falar, eu tenho esse problema.
coisa e eu cortei ele.
(29:47):
Então aproveitar que eu cortei ele, deixa eu fazer uma piadinha aqui.
Funciona, cara.
As vinhetas aqui é live.
Fala aí.
Eu acredito que boa parte de alguns bugs aqui que eu encontro nem tem time de AppSec nemnada tipo...
(30:07):
Aplicação meio que legada Java, .NET.
Eu acho que os caras não sabiam nem o que era AppSec nessa época, velho, porque...
Tipo, um exemplo que eu dei uma falha que eu encontrei aqui recentemente também foi SQLIngestion.
Tomei outro caso...
pra gente ficar se imputando ali porque eu achei a falha lá, o SQL Ingestion, num serviçoda empresa, então essa empresa ela tem esculpe gigantesco, ela permitia que eu analisasse
(30:43):
qualquer coisa que fosse da empresa, eles forneciam serviços pra que você também pudessehospedar ali numa infra sua, enfim.
não seria exatamente só uma infra da empresa.
Então, usando o Google Docs, eu encontrei esse serviço dos caras e encontrei lá SQLInjection.
(31:06):
Aí eu mandei para os caras, olha, estamos aqui, esse aqui é SQL Injection.
Aí eu estava lá, a logo gigantesca da empresa, estava lá o nome desenvolvido por empresa,aí estava lá o ano que foi desenvolvido, acho que era 2009 a 2012.
O bagulho estava lá, abandonado, mas o pessoal estava usando ainda.
Aí eu achei lá o SQL Injection no endpoint real da empresa.
(31:28):
Falei, tá aqui o SQL Injection.
O engraçado é que depois que eu reportei, eu não sei se tem algum monitoramento da empresaou o que que acontecia, que já tiraram do ar o arquivo que fazia a requisição, que estava
vulnerável a SQL Injection, então eu reportei, mas a triagem não conseguiu reproduzir.
(31:50):
Na bug crowd a gente consegue ver que a empresa está conversando com a triagem, gente nãoconsegue ver o que, mas a gente consegue ver que eles estão conversando entre si.
Deve ter passado mais de mês eles indo nessa conversa aí, e no final das contas elesfalaram, beleza, pode ser uma falha, a gente não conseguiu validar e a gente não vai pagar
(32:12):
não, nem vai aceitar e é isso.
E foda-se.
Deixa eu entrar num detalhe aqui, aí você responde se você quiser.
Dá pra viver só de bug bounty, você faz isso.
Aquelas piadas, né?
Quando eu dava aula, os caras...
Professor, você também trabalha ou você só dá aula?
(32:34):
Caralho, dar aula é o quê?
Não é trabalhar, Mas tipo, você tem um outro trabalho ou você só faz isso?
E se isso atrapalha?
Porque a preciência falou, demorou mês.
Vamos supor que naquele mês você não achou pão de nenhum e está esperando um que é doismil dólares.
Pô, já é um...
Dá pra pagar as contas, dá pra comer uma coxinha.
Como é que é isso aí?
(32:55):
Fica à vontade pra falar o que você quiser também.
Eu trabalho normalmente com uma análise de segurança para a empresa aqui no Brasil.
Só que bug bounty eu levo como um hobby.
Eu inclusive não recomendo que ninguém tente seguir essa carreira de bug hunter full timea não ser que você realmente seja cara totalmente fora da curva.
(33:23):
Porque pouquíssimas pessoas hoje no mundo vivem só de bug bounty.
Não deve ter sei lá, que eu conheço assim umas 2, Porque é justamente isso, é uma coisamuito incerta, é uma coisa que...
Beleza, você pode ter encontrado a falha mais absurda do mundo O cara pode pagar se elequiser pra você Tipo, você não tem a garantia de que você vai receber aquele valor Tipo,
(33:48):
ele...
Ele...
Deveria pagar, deveria seguir ali, Só que, assim...
você vai ficar a mercê do cara, assim, não é uma boa ideia, então assim, eu trabalho...
plataformas ajudam com isso?
Hacker One, a Bug Ground?
Ou eles estão só ali no meio campo, pegam uma porcentagem do Bounty, eu imagino, efoda-se, sabe?
(34:11):
Mas não ajudam nesse sentido, né?
Eles apoiam o possível, mas a decisão no final acaba sendo da empresa.
Então se a empresa só fala, eu não vou pagar porque eu não considero isso uma falha, entãoeles só não vão pagar e pronto.
Tipo, esse caso do S.
Kelly Ingestion.
Estava lá explícito que era da empresa, só que o cara falou, não vou pagar.
(34:32):
Não tenho como pagar, não sei o que eles falaram lá, e não pagaram.
E eu fiquei a ver navios aqui.
chupando o dedo.
Benhur, Marcos?
É que aí é ponto interessante, esse jogo político ele é bacana porque por exemplo existeuma comunidade de bug bount, Então essa comunidade assim, se a chega uma empresa, poxa
(34:56):
cara, eu reportei x coisa, os caras não me pagaram, o pior de tudo, passa 3 meses e oscaras nem triaram a Toa Lunga, sabe?
Que eles não têm nenhuma política de tempo pra triar o negócio, nem sabe se eles estãodando bola pra aquilo ou não, né?
logo logo nome da empresa vai começar a rodar nos grupos não faz lá, caras fizeram issoaqui comigo, olha isso aqui tal mesmo que tu abra mediation junto com a equipe de bug
(35:26):
bount vai acabar acontecendo isso e logo mais vai acontecer o que?
Vai acontecer o outro ponto agora tentando defender pouquinho mais com pouquinho maisdetalhes da questão ali do bug bount do pentest
que da mesma forma como a decisão da empresa, os bug hunters podem tomar a decisão de nãotestar sua empresa.
(35:53):
Por qualquer motivo.
Cada tem sua vida.
Não tem um contrato CLT com eles, Então, muitas vezes o teu programa pode ser atrativo,pode ser bom, pode estar lá.
Só que você precisa, por exemplo, de um resultado de teste de segurança para umafuncionalidade em específico.
que ela tem uma criticidade altíssima, uma parte financeira a X, uma parte criptomoeda aX, que ela vai a produção em três semanas.
(36:20):
E aí o que você faz?
Tenta abrir programa de bounty privado, contratar as pessoas para fazer aquele programa debounty privado, mas você não pode obrigá-las a testar.
Elas não estão obrigadas a fazer nada para ti.
Elas podem aceitar o teu programa, elas podem entrar lá...
A maioria, muita gente vai querer participar, vai querer porque provavelmente vai ter quedespender uma grana legal para aquilo.
(36:45):
E aí a questão é seguinte, assim, beleza.
Você vai pagar quanto por vulnerabilidade crítica?
15 mil dólares?
10 mil dólares?
Porque tem programa do lado pagando 50 mil dólares.
Entendeu?
Então assim, questão é quanto é que tu vai definir a empresa.
Agora a outra questão é, e se quatro pessoas, digamos, pagar 20 mil, escolheu pagar 20 mildólares.
(37:06):
E se quatro ou cinco hunters
Você contratou 10, né, pra fazer o teu bote privado e desses 10, 5 encontraram vúnioscríticas.
vai pagar os 100 mil dólares?
Tô falando só das críticas, tá?
Não tô falando do recente.
Tá?
Tu vai pagar 100 mil dólares agora.
Sacou?
Se os caras encontrar duas críticas são 200 mil dólares.
(37:28):
Tchau
Entendeu?
Então, assim, tem coisas que, se tu tá no teu apetite de risco, vamos definir assim, nãovamos dizer que é certo, que errado, que sim ou que não.
Vamos lá, se tá no teu apetite de risco, tu consegue substituir, E corre o risco de, cara,a galera não testou.
(37:57):
e você vai colocar no seu programa a sua funcionalidade de transferência internacional dedinheiro em produção, tá no apetite da empresa.
Então assim, por isso que quando uma empresa coloca programa de bug bounty, ela tem quelevar isso muito a sério, por dois motivos.
(38:20):
Primeiro, sabe aquela questão lá?
Tem uma coisa que eu escutava bastante,
Porque cara, vou botar minha empresa num programa de bankbounty e aí eu vou estar meexpondo demais.
Porque agora as pessoas vão saber que podem me hackear e se elas não me reportarem e mehackearem só porque gostam.
Cara, criminosos já vão fazer isso querendo ou não, Saco.
(38:42):
Eles vão fazendo, entendeu?
Então aí eu concordo, acho super importante o que o Cancelero falou sobre a questão dareputação da empresa, né?
Cara, se tu colocou programa de bankbounty tu tem que estar maduro com a área desegurança.
ou o que vai acabar acontecendo?
Digamos que você está maduro na área de segurança e você vai levar o programa a sério evai tornar o programa atrativo.
(39:04):
Vamos lá, atratividade, Grana para os caras e bom atendimento na triagem dasvulnerabilidades, tá?
Isso significa tempo de SLAA para triar vulnerabilidade, ter gente competente para triarvulnerabilidade, porque tem cara muito boa contato a vulnerabilidade, coisa que você
muitas vezes não sabe, sabe nem testar, né?
(39:26):
Por exemplo, teve uma vez uma vune que eu vi aí num programa que os caras exploraram oWebAssembly pra chegar num RCE, tá ligado?
E aí, quem é que são dos time de FSEC que sabe isso e mexer com isso, entendeu?
Sacou?
O cara é bruxaria se cara olhar pra frente, o cara tem que saber, vai acreditar ou não vaiacreditar, vai simular ou não vai simular, Então tem que ter bom time pra fazer a triagem.
(39:48):
E aí, conseguiu isso, beleza, se tu não conseguir isso cai no risco de tu abrir o programade Bugba onde tu não tem gente te testando.
Entendeu?
Ou ter gente ruim te testando, não encontrando nada, ou só reportando merda e você tem afalsa sensação que você não tá bem.
(40:08):
Que você tá bem, desculpa.
Que tu tá legal porque ninguém tá reportando nada crítico, entendeu?
E aí tu tem falso negativo, né?
Na tua postura de segurança.
Cara, é muito importante.
Tem que ser responsável pro programa de bugbao.
Legal essa fala do Ben Hur que eu penso assim, o Hunter, ele é o cliente que a empresapaga.
(40:32):
Certo?
Tu é cliente ajudando a empresa de certo modo e ele vai te pagar por isso, mas cara, eletá te dando serviço praticamente de achar um problema que vai te salvar milhões de uma
vulnerabilidade no ataque, pode te pagar mil dólares, dois mil dólares, dez mil, cinquentamil dólares que seja, cara.
Se aquilo for assim explorado, acaba a empresa.
Fala, Marcos, eu te cortei, desculpa aí.
Não, não, é que eu concordo 100 % com o Benyork.
(40:53):
Eu também queria defender pouquinho essa parte do paint test pra Benyork falar tão bonitoque eu não quero nem falar mais nada cima.
Defender porra nenhuma, eu discordo de vocês, pentest é o caralho, custa muito caro, bugbount é o que há.
Senhores, tá na hora, tá na hora, lembra do que que tá na hora?
(41:18):
Eu adoro essa vinheta do Dev May Cry aqui.
Esse chorinho é muito bom.
Cangaceira, a gente tem quadro aqui que é Dev May Cry, fazer o desenvolvedor chorar, comalguma loucura, que é alguma coisa que a gente fala.
que você acha...
Pode pensar, gente vai falando aqui.
O que você acha que faz o Dev chorar?
(41:39):
Alguma coisa que faz o Dev chorar.
Até agora, ninguém superou aquela do Ben Hur, do treinamento Ben Hur.
o cara slide 1 de 50, tem que preencher os bagulho, puta planilha, caralho, aquilo faz oDave chorar.
só a paginazinha, um vídeo, o vídeo 15 minutos em cima, de 50.
Tudo que você precisa.
Mano, eu não quero falar, mas esse dia eu peguei treinamento que era 1 de 60, 60perguntas.
(42:02):
Eu falei, vai tomar no cu.
Lembrei do beijor na hora, falei, vontade de chorar.
Mas acho que o Bayer falou durante a conversa, o Bayer jogou essa aí.
cara acha Bounty lá, que cara explorou WebAssembly pra chegar no RCE.
Tipo, cara, acho que isso aí faz o Dave chorar, porque esse WebAssembly foi feito pelosdinossauros que trampavam naquela empresa, legado, ninguém usa mais essa porra e ninguém
(42:26):
vai conseguir resolver.
Então, o Dave e o WebSec cry nesse contexto aí.
Acho que faria os caras chorarem, eu colocaria isso.
Que mais?
Que mais que a gente...
poderia falar hoje do Deve Chorar.
Eu acho que...
front-end ajustar uma procedura.
(42:48):
Pagulho aleatório da porra.
Essa foi aleatória.
Procídio, Ainda usa um procídio?
Cara...
É...
Ai, Maria, vai te perguntar o que é uma procídio boa.
T-S-Q-L, que bons tempos.
Que caro!
porque não tem nada mais divertido que você olhar assim, cara, tem bugzinho aqui.
(43:12):
Aí você vai olhar o código e você vê que, cara, ué, olha ali, uma service ali tem 80linhas de código.
Tranquilinho, já olha o bug e você olha é uma Procídio Recall e a Procídio tem 15 millinhas.
Cara, é, nossa senhora, cara.
trampava numa empresa que literalmente o código do sistema era assim, 10 linha era umacasquinha.
(43:37):
A lógica inteira da parada, proceder e trigger.
Tinha lógica e trigger tabela, mano.
Nossa, veio pra debugar essa porra.
Tá aí, ó.
Devil May Cry de hoje é vocês...
Vocês nutelinhas que gostam de react, pi-pi-pi, fazem tudo que vocês fazem numa procedura,seus filhos das putas.
(43:57):
Essa é a minha dev may cry de hoje.
Eu tô puto ultimamente com o dev, então eu vou xingar, vou ofender, quero que você foda.
Mas respeitando o nosso convidado, meu amigo, mais alguma coisa que você queria comentar?
A gente já tá cima da nossa hora aqui.
Dicas que você daria aí, de repente, as empresas melhorarem os programas delas de BugBounce, dicas para quem quer entrar nessa vida.
(44:18):
Você já deu uma boa dica, Não vá viver disso, que você vai passar fome, vai com calma, Deutrabalho, mas que recado final você deixaria para galera aí?
Sim, primeiro só falando sobre fazer ou deve chorar.
Proibir o uso do teatro GPT, acho que faria boa parte deles chorarem hoje dia.
(44:39):
Sobre dicas.
Todos, né?
Todos.
Eu falo por mim também.
Sobre dicas, eu acho que já falei bastante, para quem quer estudar área de segurança é nãodesistir porque a pior parte é você começar e prosseguir ali, tipo, boa parte das pessoas
(45:04):
desistem no meio do caminho, é só não desistir.
Então você também estudar pelos meios certos, não adianta você comprar o curso de caramilagroso, não sei se...
Alguém já viu aí no meu Twitter que às vezes eu posto tipo o fazendo lá uma propaganda.
Não, cara, aprenda a hackear duas noites.
(45:27):
Aprenda a hackear em seis dias.
ser presa, velho.
De verdade.
Acho que crime, velho.
E acho mais criminoso quem cai ainda.
Puta que pariu.
pior é cara está passando um curso de como hackear 6 dias por 19 reais.
Aí o cara vai lá e compra.
Então assim, não cair nesses...
(45:48):
É, o vez pelo lado do bobo, né?
No final o cara vai ganhar certificado.
De alvo.
De vítima.
Você é uma vítima certificada agora, né?
Parabéns, esse é primeiro Bounty, você caiu num golpe do curso que não funciona.
isso aí.
Entendeu?
O primeiro curso é o sentimento da vítima.
(46:08):
E o legal é quando esses cursos começam com o que é Python.
Tipo, cara nem quando dá sabe, tá ligado?
A gente está numa fase aqui de...
Estamos emputecidos no podcast.
A gente já cansou de falar de AppSec.
Mais de 175 episódios aqui no Deve Ser Calça Podcast ensinando a galera a fazer e aindanão fazem.
(46:34):
Então a gente está no nível agora de...
É só ataque, A gente vai para o bug-bounce agora, modo ofensivo.
Foda-se.
É só xingar Dev, empresa que não faz AppSec direito, porque está tudo aí de graça nainternet.
Bom...
Pessoal, obrigado, é, Cangaceiro, o tema de Cangaceiro, já era, pegou.
Obrigado pelo Tô Tempo, obrigado por compartilhar pouco aí, eu acho que cabe mais, tema,mano, eu sou fascinado por esse tema, ainda que, mais como hobby também, mas eu acho muito
(46:59):
bacana falar sobre isso, trazer informação pra galera, porque tem muita gente que seilude, ah, é buggy bount, não é assim que funciona, né, tem que ter pé no chão, e acho que
é legal pra gente falar mais sobre isso.
Então, obrigado pelo Tô Tempo, obrigado por ter falado com a gente.
Marcos, obrigado pelo pausa no Cocô.
Ruben Hur está na cabana no meio das montanhas agora de férias, mas que bom.
(47:23):
Cara, podcast...
Dê aumento pra ele, Dê aumento que o podcast está pagando bem.
Você que está ouvindo plataformas, vai lá no YouTube pra você morrer de inveja onde oRuben Hur está.
Ele não vai postar a parte da sauna nu, porque aí vai contra as políticas lá do YouTube etal, mas...
(47:43):
no OnlyFans exclusivo do Ben Uri você pode achar mais conteúdo.
Pessoal, era isso.
Eu sou o Cassio.
Lembrando que o Noni fez o cobre por quilo, Não é por hora.
tá caro, Tá caro lá, né?
Então vai tá caro.
Beleza, pessoal, nos vemos no próximo episódio, eu sou o Casper Eira.
(48:04):
Eu sou o Senhor.
Eu sou Marcos Santos.
Beijo de luz, pessoal.
Até mais, tchau tchau!
e aí
Olá pessoal, tudo bem com vocês?
Sejam muito bem-vindos a mais um episódio do Devisecops Podcast.
(00:34):
Episódio que estamos de volta com o nosso elenco.
Na verdade, gente está de volta.
Tem duas, três semanas que gente não consegue gravar, mas voltamos agora.
Um sai pra cagar na hora que gente começa a gravar, mas enfim, deixa ele fazendo cocôzinhodele lá.
Eu sou...
Eu sou o Cassio Pereira.
(00:56):
Cara...
Essa é melhor gravação de todos os tempos.
Pessoal, a gente está com convidado aqui hoje, convidado bacana.
Inclusive, é desses que a gente conhece pela internet, mundo afora.
Ainda que no Twitter, tem muita coisa boa lá.
Mas, enfim, esperamos que esse seja uma coisa boa.
A gente vai apresentar nosso convidado já já, a vai falar pouquinho do tópico de hoje.
(01:18):
Mas antes, eu quero sempre lembrar a todos os senhores ouvintes...
que o Davise Copes Podcast tem o apoio da SNIC e da Nova 8, que são especializadossegurança dos sistemas e código seguro.
E o link da Nova 8, é atribuidora da SNIC no Brasil, está abaixo da descrição do episódiolá no YouTube e também no davisecopespodcast.com.br.
Se você está buscando soluções de EPC, que é a digital ou que tem portfólio completo paravocê.
(01:40):
E se você já se perguntou se está sobre ataque, algum dado ou informação sensível foiroubada ou ainda está sobre risco, a Purple Bird Security tem...
todas as respostas pra vocês, tá bom?
Então gente vai falar pouquinho hoje, antes de apresentar o convidado, pouquinho sobre BugBounce, o pouquinho do mundo de offensive, pouquinho de como o nosso trabalho mal feito,
(02:02):
né, Beirut?
Como o nosso trabalho mal feito Epsec dá dinheiro pra outras pessoas que fazem bomtrabalho.
Eu sempre costumo brincar que a ideia é acabar com esses caras.
Ele tá aqui hoje, ele vai falar...
Mas a ideia é deixar ele sem emprego, quer dizer que a fez o trabalho muito bem.
Então se gente não fez o trabalho muito bom, vai estar cheio de bug e vulnerabilidade paraos caras acharem fazer um bom dinheiro com isso.
(02:25):
E claro, também ajudar as empresas a conscientizar com relação à segurança.
que esse é dos principais objetivos também.
Apesar do dinheiro, tem uma boa grana também.
Então gente está aqui hoje com o nosso colega Kham, que conhecido como Kham Gaceiro, lá noTwitter.
Meu amigo, obrigado pelo seu tempo, obrigado por ter dedicado para falar com a gente hoje.
Se apresenta pra galera, fala pouquinho do teu trabalho, quem você é, pra onde você vai ea gente vai bater num papo.
(02:51):
Salve rapaziada, como ele falou aí, sou cangaceiro, meu nome real é João Victor, eutrabalho como analista de segurança ofensiva, já tenho uns, acho que vai fazer 5 anos que
eu estou nessa brincadeira, segurança sempre foi uma coisa que eu gostei assim, então...
(03:19):
é uma coisa que sempre me deixou maravilhado.
Eu sou formado em análise de desenvolvimento de sistemas, mas aqui onde eu moro é bemlimitado, que é o interiorzão do interior de Alagoas, e não tem tanta oportunidade para
isso, então eu me formei ali e não atuei diretamente assim na área.
(03:44):
Mas, assim, depois de tempo de formado...
Eu entrei ali num curso de segurança, foi onde eu comecei a me aprofundar mais.
Nesse curso eu conheci algumas pessoas.
A gente montou grupo de estudo.
E desse grupo de estudo, a gente começou a fazer bug bounty junto, já que genteteoricamente não tinha um emprego na área si.
(04:10):
A gente almejava essa oportunidade, mas a gente ainda não tinha.
Isso antes da pandemia.
Então a gente se reunia todas as noites ali pra estudar, pra fazer CTF, pra fazer bugbounty, enfim.
E quando a gente...
Aí dos integrantes do grupinho lá pegou um bounty e tudo mais, aí todo mundo ficou louco,querendo um bounty também, aquela coisa toda.
(04:37):
Só que eu pelo menos vi que eu não tava preparado, acabei me frustrando porque eu acheique...
Porque assim, ele usou a pessoa que encontrou esse bug.
Ele usou uma ferramenta que ninguém sabia na época como é que ela funcionava bem, entãoela era como se fosse um brute force de diretório, só que ao invés de diretório ela
(05:00):
inseria arquivos do Windows, tipo barra .etc barra .pswd barra .etc barra .host.
Então foi basicamente isso que a ferramenta fez, que a pessoa que pegou esse Bounty rodoua ferramenta e ela encontrou esse path.
E estava lá a vulnerabilidade, ele reportou, acho que ganhou 750 dólares, se não me enganona época.
(05:23):
E assim, para quem ganhava 900 reais, vê alguém ganhando 750 dólares, você vai ficar alivislumbrado e vai ficar louco querendo também.
Então, eu fiquei igual maluco, não sabia nem o que a ferramenta fazia, mas eu comecei apegar aquela ferramenta e rodar ali de forma manual, que na época também era...
(05:46):
mais burro do que sou hoje e eu ficava só rodando a ferramenta manual mesmo, não faziaautomação pra rodar massivamente nem nada e ele...
eu não consegui nada né?
logicamente então eu meio que entendi que eu deveria estudar mais, aprofundar mais,melhorar mais então eu meio que dei um stop nessas tentativas frustradas e voltei a
(06:13):
estudar, tudo mais
Então foi aí que eu consegui a minha primeira recompensa, acho que depois de...
Não foi nem ano que eu comecei a estudar segurança, acho que eu comecei março ali, emdezembro, acho foi dia 26 de dezembro, eu peguei a minha primeira recompensa, que foi um
LFI, num programa privado, lá na plataforma Bug Crowd.
(06:37):
E me pagaram 2.500 dólares por esse bug que eu encontrei sozinho, na época não tinha...
essa parada da equipe, né?
Mas...
E assim, minha história de maneira resumida é essa.
O início.
Então começou com...
De ser presente de Natal, mas aí você falou 26 de dezembro?
(07:00):
Pô, passou por um dia, hein, Por um dia, mas, 2.500 dólares, E olha que legal essahistória que ele comentou, Juntou grupo de amigos ali e o pessoal foi começar a estudar,
fazer CTF junto e tal, e aí um deles conseguiu.
750 dólares.
O salário era 900 reais.
Três anos atrás, quatro anos atrás.
(07:21):
750 dólares já era multiplicado por 5 nessa época, 5, 5 e pouquinho já, né?
Então, se você ver o que disparou o entusiasmo, caramba, então dá pra gente fazer umacarreira com isso, né?
Pô, você ganha dinheiro, você reporta, obviamente você, dentro do programa de Bug Bound,você reportou isso, tem as regras e tudo a ser seguido, e uma vez reportado, a empresa não
(07:44):
só vai te pagar o Bound, mas também ela vai resolver aquele problema.
Pelo menos é a ideia, né?
Que ela resolve, ou não vai ficar pagando o Bound eternamente, né?
Então...
O Bug Bounty geral é uma forma de conscientizar as empresas.
Na verdade, abrir para o público.
Olha, me ajudem a achar os meus problemas e a gente melhorar a segurança.
Em troca, eu te dou uma recompensa financeira.
Eu já vi o Bug Bounty dar recompensa não só financeira, também ralda fama, tem uma sériede outras coisinhas, falar assim.
(08:10):
Mas o dinheiro talvez seja mais atrativo.
E aí você falou muito bem, 2.500 dólares, também multiplicado por 5 na época.
E acho você tocou ponto importante que eu vou fazer uma pergunta para os meninos.
Você viu que não estava preparado para aquilo?
Falei que precisava estudar mais.
Só me frustrei.
Fiquei só rodando a ferramenta, nem sabia o estava acontecendo.
(08:31):
Dei passo atrás para estudar e fui me aperfeiçoar até que consegui um baunte bem bacana.
E primeira pergunta para os meninos que comentarem e depois a volta com você seria essa.
O quanto de grana as empresas não estão perdendo?
ou, em vez de perder, investir em programas de bug bounty para que a comunidade ajude aencontrar os problemas, eu diria que seria até mais barato do que o famoso pen test.
(09:00):
Como é vocês enxergam isso aí?
Bem, o Ur Marcos, talvez o programa de bug bounty seja mais maduro que fazer pen test, umsubstitui o outro, ou vocês acham que não substitui complemento outro?
Marcos, terminou de cagar?
Você deu coco bem na hora, né?
deu dor de barriga, você não tem noção, velho.
pariu, três anos sem gravar, hora de gravar o cara dá uma dor de barriga na hora, mas tábom.
(09:26):
Voltou até mais leve, Até mais leve.
porra mas só a resposta da sua pergunta eu acho que são complementares eu não acho quesubstituiu o outro e eu também acho que o bugbaute depende da maturidade da empresa, tá?
não adianta uma empresa nova querer abrir programa de bugbaute porque ela vai despejartoda a grana de investimento dela no programa de bugbaute
(09:48):
que ela vai ter tanto bug, tanta vulnerabilidade que ela vai falir.
Então acho que para empresas que já tem uma maturidade, já tem ali uma resolução de bugscontantes, já tem programa de pen test bem definido, um programa de APSEC, já roda ali as
ferramentas padrões, o SAS, o DASH, já tem ali um sistema de vulnerability management bemlegal, aí sim eu acho que compensa abrir primeiro o bugbaute interno para você avaliar a
(10:15):
situação, ver ali com o pessoal.
A quantidade de bugs internos, aí sim, depois disso acho que vale a pena abrir bug baldeexterno e começar com remunerações ou outros tipos de coisas ali para que o pessoal
consiga encontrar.
Mas com pentest acho que são complementares, que não substituiu o outro.
(10:41):
Bem, o urta aí e filme.
me desmutar.
Bem, 100 % do o Marcos comentou, Porque nós temos algumas características bem diferentes,Algumas que vão pro programa de Bug Bounce, outras que vão pro Pentest, mas vamos pegar
pouco das diferenças, né?
(11:02):
Primeiro, quando a gente está dentro do mercado corporativo, a gente não tem tempoinfinito pra fazer os pentests.
A gente tem uma janela de tempo ali há duas semanas para esse produto, depois tem quefazer x coisa.
Outra questão é que nós temos um set limitado de skills disponíveis dentro da nossaempresa.
(11:24):
Porque a gente tem aquelas pessoas contratadas, aquelas pessoas que estão atuando etrabalhando ali.
E cada uma tem a sua habilidade específico.
Com relação a isso...
Eu concordo 100 % que a empresa precisa estar madura o suficiente para, primeiro, se expora programa de bug bount, se expor já é algo muito importante, Mas saber lidar com a
(11:49):
devolutiva.
Por quê?
Porque, por exemplo, já tem muitos casos que a empresa se expõe ao programa e nem precisanem pagar.
Porque às vezes tem o programa de bug bount que o que paga, mas também tem o VDP.
Entendeu?
Que o VDP só vai lá, reporta o negócio, não precisa pagar nada.
É só...
só para a galera ter algum status específico.
(12:12):
Então, só qual é o detalhe?
Muitas vezes a gente vai ter os reportes internavigais, falando da perspectiva da empresarelação ao open test execution interno.
A empresa vai receber os reportes do VDP ou do BBP, do Vulnerability Code Program, ou doBug Bounce Program, e ela talvez não saiba nem entender direito os reportes.
Ela não sabe definir o escopo, ela não sabe triar...
(12:35):
Ela não sabe ver o que de fato é risco, o que não é.
Ela precisa também ter uma maturidade de bug bount.
De programa de bug bount.
Não só a maturidade interna de segurança, mas ela precisa também adquirir maturidadegestão de programa de bug bount.
(12:57):
Eu já fiz bastante triages de programa de bug bount.
É mundinho bem interessante.
Agora, do ponto de vista, parte complementar o que eu acho super importante, é que dooutro lado de quem está fazendo o bug bounty quando a empresa se expõe, a gente tem
pessoas que tem pensamento diferente do nosso time e essas pessoas podem dedicar o tempoque elas acreditam ser importante para aquele programa.
(13:31):
Entende?
para poder se dedicar a encontrar coisas muito mais aprofundadas que talvez o nosso timenão conseguiria.
Mas aí claro, a gente tem o ponto positivo e o ponto negativo, da mesma forma como a gentetem o ponto negativo dos pentest internos que a gente faz.
Serem de uma semana, duas semanas, faz esse testezinho aqui, preenche de checklist, né?
E faz mais um QA de segurança do que de fato um exercício de right-hand, exercício depentest, né?
(13:57):
O programa de Bug Bounce tem aquela questão do tipo...
Cara, eu sou bug hunter e eu não me interesso na sua empresa.
Então, muitas vezes o teu programa precisa ser atrativo também para que os bons bughunters se dediquem a explorar a sua empresa, E aí a gente tem tanto a questão da
(14:22):
premiação quanto a questão do bom atendimento aos bug hunters.
Porque tem empresa que é meio que é bem pau no cu, né?
Tem empresa que chega lá e...
Ah cara, eu reportei aqui uma crítica.
não, isso aqui pra gente...
É uma low.
Mas tá corrigido a três horas depois.
Peraí, peraí.
Nem internamente você corrige as médias menos de 50 dias e do nada é uma low que foicorrigido três.
(14:48):
Entendeu?
Então tem muita treta, assim.
Mas por isso que eu acho que são complementares.
Concordo com mais.
voltar para o nosso convidado, para ele falar pouquinho mais sobre esses temas aí e dasempresas paus nos cruzes, eu discordo, cara.
Eu acho que dá para trocar o Pentest pelo Bug Bound, especialmente a empresa que não temPentestor.
(15:12):
Tipo, considera a empresa que não tem Pentestor interno.
Ela só faz externo.
Eu acho que a grana que ela paga, vamos lá, a grana que ela paga num Pentest de 40 horas,80 horas que seja,
eu acho que é melhores trabalhos.
ela já vai ter que dar acesso àquela coisa toda, troca isso para programa de bug bounty,talvez por tempo maior, mas enfim, naquele tempo, aí, considerando o que tu falou, tem que
(15:37):
ser atrativo, tal, tal, Mas budget por budget, eu acho que ainda dá para salvar uma granado que pagar um...
Porque a empresa de pente, a gente sabe que é tudo fia faca.
São outros paus dos cuses muitas vezes.
Não é que tinha que ser de graça, não isso que eu tô falando, mas viram os valores tãoabsurdos.
que às vezes você fala, cara, se eu pegar essa grana e abrir programa de bug bounty, euvou ter mais um, dois caras fazendo paint test pra mim 40 horas.
(15:59):
Eu vou ter a comunidade inteira, desde que o meu programa seja atrativo, aquela coisatoda.
Eu acho que pra ter o mesmo, até uma qualidade maior naquela exploração.
Óbvio que o paint tester talvez ele vai cavucar naquele escopo e ficar ali.
O hunter, e aí o cangaceiro vai falar pouco mais pra gente, O hunter, ele vai estar focadomuito mais no bounty.
(16:21):
Ele não tá preocupado de fato...
testar, aplicar, ele está preocupado achar o ouro lá no final do arco-íris.
Minha visão.
Eu acho que dá pra trocar, dá pra discutir isso pouquinho mais a fundo.
aí, Cangaceiro, fala pra gente agora.
Já teve empresa pau no cu que você reportou a crítica média, sei lá o quê, os caras, nãosei o quê, e como é que você enxerga isso que a gente falou agora, não de fora, mas do
(16:47):
outro lado.
A gente está do lado que a gente...
vai gerenciar programa de bug baut, preparar e tal.
E você cara, como é você olha?
Esse programa aqui é legal pra mim, esse aqui não é, só estou preocupado com a granamesmo, me importo com a empresa.
Como é que isso pra você?
Então, primeiro falando do que vocês estavam comentando aí, das empresas em programas debug bounty, eu vejo que assim, as empresas que têm um programa, isso serve até de vitrine
(17:17):
num lado bom assim para elas, exemplo.
Porque vamos supor, a Atlas tem programa de bug bounty, então teoricamente ela...
pode fazer lá, mostra para os seus clientes, eu tenho tanta maturidade na parte desegurança que eu tenho programa de bug bount público onde qualquer pessoa de qualquer
(17:38):
lugar do mundo pode vir aqui, caçar no meu programa e encontrar bugs e reportar para mim.
Sobre os reportes de empresas que agem na má fé, isso sempre teve desde o início e...
Esse é problema que não está sob o controle da gente, a gente vai lá, perde um tempãomontando uma automação que seja, ou tempão explorando aquela determinada falha, e quando
(18:09):
você chega lá, o cara fala, ah isso aqui a gente já sabia, já me aconteceu várias vezes,inclusive de tomar duplicado em falhas que não caberiam duplicado, exemplo.
Porque esse caso foi até curioso, porque assim, se você encontra subdomen takeover, essafoi a vulnerabilidade, se você encontra subdomen takeover e você reporta aquele subdomen
(18:36):
takeover, não tem como você, como ela tá mais vulnerável, sendo que você aí explorou.
Aí eu reportei o subdomen takeover, aí o cara deu duplicado, eu falei, mas como é que éduplicado se eu tomei o subdomen pra mim?
Aí o cara falou, não, é porque...
tomaram esse subdomínio antes e não sei o que, aí foi explicar, só que assim, beleza,podem ter feito isso, só que aí ficou vulnerável novamente, então assim, a culpa não é
(19:04):
minha de estar vulnerável.
Só que aí também não pagaram, não quiseram saber.
Outro caso aconteceu, semana passada eu reportei uma falha na Adobe, tava sem dormirdireito por conta do possível bounte que eles pagavam lá.
(19:25):
Aí eu deixei tudo explícito no relatório lá, porque eu encontrei umas chaves de API quedavam acesso à criação de tokens administrativos só lá no JavaScript.
Foi tipo bem escrota a forma que eu encontrei.
Eu tenho uma automação que fica aqui monitorando os programas que eu tenho, tanto privadoscomo públicos, e controlar arquivo vercel.json.
(19:52):
A princípio nada demais, aí bateu lá como lol, Eu falei, não, beleza, vou dar uma olhadaaqui.
Não tinha nenhuma hora que tinha sido encontrada.
Aí eu, beleza, abri lá.
Não parecia ter nada de relevante.
Só que tinha lá uma referência a arquivo server.js.
(20:13):
Aí, ó, vou tentar acessar esse arquivo aqui.
Aí eu acessei esse server.js, aí tava com, acho que era três API keys ou...
Era uma coisa assim, três API keys mais ou menos.
Aí como o bug bount você não pode estar perdendo tempo eu só copiei, aí eu falei, ó GPT,monta as requisições pra mim aí e já era.
Aí ele montou pra mim, eu só joguei no burp aqui.
(20:37):
Aí ele gerou alguns tokens e dentro desse JavaScript também tinha instruções pra euconsumir uma API onde eu conseguia imputar dados, consultar dados e enfim.
Aí beleza.
Mandei o reporte e ajudei os caras a corrigirem tudo mais porque eles tiraram do ar oversão.json, tiraram do ar o server.js mas eles não disponibilizaram as keys, então se
(21:06):
alguém além de mim encontrou isso também o cara poderia ter feito backup ali, ficar seistealth e só furtando informação, então falei ó, as keys ainda estão disponíveis e tal,
tal, tal
Aí beleza, a triagem considerou lá como 10.0 a criticidade, então isso aí eu já fiquei...
(21:28):
porque o Bounty lá, que tipo, ele era considerado Tier 2 e tem o Tier 1, que são asprioridades.
Esse que eu mandei era o Tier 2, se eu não me engano, o máximo do pagamento era 2.500dólares, então eu estava esperando no mínimo isso.
Quer dizer, 5.000 dólares era o máximo.
E o mínimo 2 500.
Aí, tem outro detalhe.
(21:50):
o domínio que eu encontrei essa falha ele não estava deixado no scopo era tipo sei lápodcast.adobe.com só que dentro do JavaScript o scopo afetado era que estava lá na lista
então teoricamente eles deveriam pagar aquele valor só que hoje eu recebi o email aqui queos caras pagaram mil dólares dizendo não, isso aqui está fora do scopo mas a gente vai
(22:12):
pagar porque você foi bonzinho e assim
Eu mandei até mensagem aqui falando, eu falei diversas vezes no relatório que eu encontreinum host fora do escopo, mas afeta host no escopo e vamos ver o que os caras vão falar,
essa foi uma das frustrações recentes.
(22:35):
E cara, tu vai falando, vai me dando uma agonia, porque assim...
Quanto custa o paint test, Bayer?
Chuta aí, Bayer.
Quanto custa o paint test?
Marcos, chuta aí.
Cara, da última vez que eu cotei, tava em turno de 3.500 dólares aqui na Europa, que eucotei recente.
O penteste de uma semana, 40 horas, né?
(22:58):
40 horas, né?
Não, porque a gente pode colocar na casa de 200 a 300 dólares a hora, né?
Quando vai fazer penteste...
Agora, é aquele esquema, né?
É penteste de produto ou penteste regulatório?
Tem penteste regulatório...
A gente já sabe que tem aí bem...
(23:18):
bem quadricional, né?
Tem isso, porque no produto o cara vai tentar achar problema, no outro o cara vai só...
Tá cheque, fizemos o penteste.
Que no fim das contas você vai gastar 8 mil dólares ali e pegar a porra de relator.
Olha, a versão do TLS está desatualizada.
Vai para a porra, Rodar a porra de um...
Rodar o Zap mostra essa merda aí.
(23:41):
Mas é assim, porque eu estou puto?
Porque ele está falando, cara, os caras ainda pagaram mil dólares porque você foi bonzinhoe tal.
facilmente o cara gasta muito mais, com ferramenta muito merda, que não faz porra nenhuma,e fica chorando pra pagar.
O cara que achou real problema.
Tá aqui o problema.
Ah, mas tá fora do escopo.
Ainda que estivesse fora do escopo, tem uma porra de problema.
(24:01):
As que estão lá, que te permite.
Você vai no médico e fala, doutor, eu tô com uma dor aqui na cabeça.
Ele, ó, você tá com câncer no cu.
Ah, não, isso tá fora do escopo.
A dor é na cabeça.
Que caralho, velho!
Mano, eu tô puto.
Mano, eu fico puto com essas coisas.
Não, tá fora do escopo, doutor.
Eu tô com dor na cabeça, não é na bunda.
Mas você vai morrer se tem câncer.
(24:22):
Não, tudo bem, tá fora do escopo.
Caceta, velho!
Bom, é...
Fala.
falha que o cagaceiro comentou agora, é uma falha de todo programa de AppSec da empresa.
Porque você deixar um arquivo de um server.tal com monte de key exposto para internet, ocagaceiro não encontrou só uma vune, né?
(24:50):
cantor de arquitetura.
erro de processo.
de gestão de segredos e o que é exposto pela internet inteira do edadob.
Entendeu?
Saca?
você tivesse achado esse bounte, tinha falado para os caras assim, não precisa pagar nadanão, só demite a equipe que fez essa merda aí, só isso, demite, me mostra a carta de
demissão, já vou estar feliz já, precisa pagar nada não.
Vai aprender a appsec e desenvolvimento de direito.
(25:13):
Mas cara, bom, enfim, deixa eu voltar a minha irritação aqui.
E como é que você seleciona os programas que você quer participar, que você quer investiro teu tempo?
Porque você falou bem, você se formou desenvolvimento de sistemas.
Eu acho que isso dá uma vantagem absurda de automatizar muitas coisas, fazer muitascoisas.
Para mim, na minha visão, também me dá uma vantagem absurda AppSec por ter sidodesenvolvedor por uma década.
(25:34):
Então, facilita demais para conversar com o desenvolvedor e tal.
E a gente sabe que, às vezes, você vai achar uma falha cinco minutos, mas na magia domelhor dia que você acordou com a bunda virada para a lua, tá cheio o Bounty aqui com
clique.
Mas não é assim, né?
Tem tempo investido.
você tem ali diversas ferramentinhas que você falou que você tá rodando e tal, tal, tal,então você gasta tempo.
(25:55):
Como é que você seleciona o que você quer participar?
É só pela grana, puto, isso aqui paga mais, eu vou participar?
Porque do mesmo jeito que paga mais, tem monte de gente com mesma ideia que você.
E aí é quem achou primeiro, aquela história do quem chegar primeiro.
Como é que você seleciona os programas?
Basicamente os programas que têm o maior escopo, quanto maior o escopo mais chama a minhaatenção.
(26:17):
E programas que aceitam que sejam analisados seus subdomínios, como é o exemplo da Adobe.
Então tipo assim, lá não tem tipo asterisco.adobe.com.
Mas de toda forma eu coloquei pra analisar isso pra casos como esse por exemplo.
Às vezes eu encontro uma falha que...
(26:38):
não está no escopo diretamente, mas acaba virando dentro do escopo, então acabou que essefoi dos casos.
Então assim, basicamente esse é o fluxo, escopo grande e subdomínios e que pague.
Eu não caço em programas que não pagam.
(26:58):
Esse negócio de ralda fama, tipo, tem uns caras que ficam caçando na NASA para receber umPDF lá...
ao autoassinado lá com assinatura fake lá agradecendo isso aí eu não quero eu prefiro odinheiro, velho, pra que eu vou tá caçando na NASA sendo que...
pra dizer, hackeei a NASA, muitas das vezes até ao finetendo a galera aqui o cara colocalá, hackeei a NASA o cara achou uma listagem de diretório na NASA e hackeou a NASA, velho
(27:26):
pra mim, pra mim hackear é você realmente impactar ali a empresa de alguma forma que seilá, você vai causar prejuízo, você pode matar a empresa
Você pode ir roubar dados, exemplo, você encontra SQL Ingestion, eu considero como vocêhackear a empresa, ou pelo menos hackear aquele produto.
Mas, assim, é isso aí.
(27:48):
Me indignei pouco aqui também agora.
vou até piorar essa situação, ver se o Marcos e o Benyur concordam comigo.
Muitas dessas vulnerabilidades que a galera ataca, invade, foi o time de Epsec que teajudou, você nem hackeou.
Ou foi o Deve que te ajudou, o próprio Deve deixou as das cagadas lá.
Não é Marcos?
O Marcos desliga os logs de madrugada, sabe dessa história?
(28:10):
Ele desliga os logs.
é com desligo não, Isso aí já foi tempo.
E foi o gerente na época que viu pra desligar os logs, porque a tava sem espaço em disco.
E a gente precisava economizar espaço.
E houve um insider lá que vazou dados e a gente não sabe até hoje quem foi, porque nãotinha log, não sei quem foi.
(28:34):
Felizmente, tem vazamento.
entendo, Rotação de logs foi inventado muito tempo depois, né?
É que eu não falo de tanta merda que já aconteceu Tanto de OPD que mandavam fazer,principalmente o POD LGBT E tem outras coisas que eu vou me deixar OFF
(28:54):
vendo?
São essas histórias que dá dinheiro pro cangaceiro.
Faz cagada, deixa monte de brecha, cara vai lá e acha e faz grana com isso, faz umacarreira com isso.
teve uma vez que eu só descontraindo pouco eu sofri acidente de moto eu fui atropelado porônibus e eu trinquei a mão eu não estava conseguindo digitar corretamente minha mão tava
trincada eu tava sem o movimento desses três dedos e eu fui chamado na empresa por voltade 8, 9 horas da noite tinha que entregar o LGPD e foi tudo pidente de produção foda-se
(29:26):
então tacamos a mão trincada tacando lá
minha mãe que foi me levar a me buscar porque não tava conseguindo dirigir, não tavaconseguindo fazer nada, me fazer lá tacando ele o pideixo.
Só pra você ter uma ideia.
Cangaceria, você ia falar uma coisa?
Eu te cortei, né?
Fala aí.
Até esqueci o ia falar, eu tenho esse problema.
coisa e eu cortei ele.
(29:47):
Então aproveitar que eu cortei ele, deixa eu fazer uma piadinha aqui.
Funciona, cara.
As vinhetas aqui é live.
Fala aí.
Eu acredito que boa parte de alguns bugs aqui que eu encontro nem tem time de AppSec nemnada tipo...
(30:07):
Aplicação meio que legada Java, .NET.
Eu acho que os caras não sabiam nem o que era AppSec nessa época, velho, porque...
Tipo, um exemplo que eu dei uma falha que eu encontrei aqui recentemente também foi SQLIngestion.
Tomei outro caso...
pra gente ficar se imputando ali porque eu achei a falha lá, o SQL Ingestion, num serviçoda empresa, então essa empresa ela tem esculpe gigantesco, ela permitia que eu analisasse
(30:43):
qualquer coisa que fosse da empresa, eles forneciam serviços pra que você também pudessehospedar ali numa infra sua, enfim.
não seria exatamente só uma infra da empresa.
Então, usando o Google Docs, eu encontrei esse serviço dos caras e encontrei lá SQLInjection.
(31:06):
Aí eu mandei para os caras, olha, estamos aqui, esse aqui é SQL Injection.
Aí eu estava lá, a logo gigantesca da empresa, estava lá o nome desenvolvido por empresa,aí estava lá o ano que foi desenvolvido, acho que era 2009 a 2012.
O bagulho estava lá, abandonado, mas o pessoal estava usando ainda.
Aí eu achei lá o SQL Injection no endpoint real da empresa.
(31:28):
Falei, tá aqui o SQL Injection.
O engraçado é que depois que eu reportei, eu não sei se tem algum monitoramento da empresaou o que que acontecia, que já tiraram do ar o arquivo que fazia a requisição, que estava
vulnerável a SQL Injection, então eu reportei, mas a triagem não conseguiu reproduzir.
(31:50):
Na bug crowd a gente consegue ver que a empresa está conversando com a triagem, gente nãoconsegue ver o que, mas a gente consegue ver que eles estão conversando entre si.
Deve ter passado mais de mês eles indo nessa conversa aí, e no final das contas elesfalaram, beleza, pode ser uma falha, a gente não conseguiu validar e a gente não vai pagar
(32:12):
não, nem vai aceitar e é isso.
E foda-se.
Deixa eu entrar num detalhe aqui, aí você responde se você quiser.
Dá pra viver só de bug bounty, você faz isso.
Aquelas piadas, né?
Quando eu dava aula, os caras...
Professor, você também trabalha ou você só dá aula?
(32:34):
Caralho, dar aula é o quê?
Não é trabalhar, Mas tipo, você tem um outro trabalho ou você só faz isso?
E se isso atrapalha?
Porque a preciência falou, demorou mês.
Vamos supor que naquele mês você não achou pão de nenhum e está esperando um que é doismil dólares.
Pô, já é um...
Dá pra pagar as contas, dá pra comer uma coxinha.
Como é que é isso aí?
(32:55):
Fica à vontade pra falar o que você quiser também.
Eu trabalho normalmente com uma análise de segurança para a empresa aqui no Brasil.
Só que bug bounty eu levo como um hobby.
Eu inclusive não recomendo que ninguém tente seguir essa carreira de bug hunter full timea não ser que você realmente seja cara totalmente fora da curva.
(33:23):
Porque pouquíssimas pessoas hoje no mundo vivem só de bug bounty.
Não deve ter sei lá, que eu conheço assim umas 2, Porque é justamente isso, é uma coisamuito incerta, é uma coisa que...
Beleza, você pode ter encontrado a falha mais absurda do mundo O cara pode pagar se elequiser pra você Tipo, você não tem a garantia de que você vai receber aquele valor Tipo,
(33:48):
ele...
Ele...
Deveria pagar, deveria seguir ali, Só que, assim...
você vai ficar a mercê do cara, assim, não é uma boa ideia, então assim, eu trabalho...
plataformas ajudam com isso?
Hacker One, a Bug Ground?
Ou eles estão só ali no meio campo, pegam uma porcentagem do Bounty, eu imagino, efoda-se, sabe?
(34:11):
Mas não ajudam nesse sentido, né?
Eles apoiam o possível, mas a decisão no final acaba sendo da empresa.
Então se a empresa só fala, eu não vou pagar porque eu não considero isso uma falha, entãoeles só não vão pagar e pronto.
Tipo, esse caso do S.
Kelly Ingestion.
Estava lá explícito que era da empresa, só que o cara falou, não vou pagar.
(34:32):
Não tenho como pagar, não sei o que eles falaram lá, e não pagaram.
E eu fiquei a ver navios aqui.
chupando o dedo.
Benhur, Marcos?
É que aí é ponto interessante, esse jogo político ele é bacana porque por exemplo existeuma comunidade de bug bount, Então essa comunidade assim, se a chega uma empresa, poxa
(34:56):
cara, eu reportei x coisa, os caras não me pagaram, o pior de tudo, passa 3 meses e oscaras nem triaram a Toa Lunga, sabe?
Que eles não têm nenhuma política de tempo pra triar o negócio, nem sabe se eles estãodando bola pra aquilo ou não, né?
logo logo nome da empresa vai começar a rodar nos grupos não faz lá, caras fizeram issoaqui comigo, olha isso aqui tal mesmo que tu abra mediation junto com a equipe de bug
(35:26):
bount vai acabar acontecendo isso e logo mais vai acontecer o que?
Vai acontecer o outro ponto agora tentando defender pouquinho mais com pouquinho maisdetalhes da questão ali do bug bount do pentest
que da mesma forma como a decisão da empresa, os bug hunters podem tomar a decisão de nãotestar sua empresa.
(35:53):
Por qualquer motivo.
Cada tem sua vida.
Não tem um contrato CLT com eles, Então, muitas vezes o teu programa pode ser atrativo,pode ser bom, pode estar lá.
Só que você precisa, por exemplo, de um resultado de teste de segurança para umafuncionalidade em específico.
que ela tem uma criticidade altíssima, uma parte financeira a X, uma parte criptomoeda aX, que ela vai a produção em três semanas.
(36:20):
E aí o que você faz?
Tenta abrir programa de bounty privado, contratar as pessoas para fazer aquele programa debounty privado, mas você não pode obrigá-las a testar.
Elas não estão obrigadas a fazer nada para ti.
Elas podem aceitar o teu programa, elas podem entrar lá...
A maioria, muita gente vai querer participar, vai querer porque provavelmente vai ter quedespender uma grana legal para aquilo.
(36:45):
E aí a questão é seguinte, assim, beleza.
Você vai pagar quanto por vulnerabilidade crítica?
15 mil dólares?
10 mil dólares?
Porque tem programa do lado pagando 50 mil dólares.
Entendeu?
Então assim, questão é quanto é que tu vai definir a empresa.
Agora a outra questão é, e se quatro pessoas, digamos, pagar 20 mil, escolheu pagar 20 mildólares.
(37:06):
E se quatro ou cinco hunters
Você contratou 10, né, pra fazer o teu bote privado e desses 10, 5 encontraram vúnioscríticas.
vai pagar os 100 mil dólares?
Tô falando só das críticas, tá?
Não tô falando do recente.
Tá?
Tu vai pagar 100 mil dólares agora.
Sacou?
Se os caras encontrar duas críticas são 200 mil dólares.
(37:28):
Tchau
Entendeu?
Então, assim, tem coisas que, se tu tá no teu apetite de risco, vamos definir assim, nãovamos dizer que é certo, que errado, que sim ou que não.
Vamos lá, se tá no teu apetite de risco, tu consegue substituir, E corre o risco de, cara,a galera não testou.
(37:57):
e você vai colocar no seu programa a sua funcionalidade de transferência internacional dedinheiro em produção, tá no apetite da empresa.
Então assim, por isso que quando uma empresa coloca programa de bug bounty, ela tem quelevar isso muito a sério, por dois motivos.
(38:20):
Primeiro, sabe aquela questão lá?
Tem uma coisa que eu escutava bastante,
Porque cara, vou botar minha empresa num programa de bankbounty e aí eu vou estar meexpondo demais.
Porque agora as pessoas vão saber que podem me hackear e se elas não me reportarem e mehackearem só porque gostam.
Cara, criminosos já vão fazer isso querendo ou não, Saco.
(38:42):
Eles vão fazendo, entendeu?
Então aí eu concordo, acho super importante o que o Cancelero falou sobre a questão dareputação da empresa, né?
Cara, se tu colocou programa de bankbounty tu tem que estar maduro com a área desegurança.
ou o que vai acabar acontecendo?
Digamos que você está maduro na área de segurança e você vai levar o programa a sério evai tornar o programa atrativo.
(39:04):
Vamos lá, atratividade, Grana para os caras e bom atendimento na triagem dasvulnerabilidades, tá?
Isso significa tempo de SLAA para triar vulnerabilidade, ter gente competente para triarvulnerabilidade, porque tem cara muito boa contato a vulnerabilidade, coisa que você
muitas vezes não sabe, sabe nem testar, né?
(39:26):
Por exemplo, teve uma vez uma vune que eu vi aí num programa que os caras exploraram oWebAssembly pra chegar num RCE, tá ligado?
E aí, quem é que são dos time de FSEC que sabe isso e mexer com isso, entendeu?
Sacou?
O cara é bruxaria se cara olhar pra frente, o cara tem que saber, vai acreditar ou não vaiacreditar, vai simular ou não vai simular, Então tem que ter bom time pra fazer a triagem.
(39:48):
E aí, conseguiu isso, beleza, se tu não conseguir isso cai no risco de tu abrir o programade Bugba onde tu não tem gente te testando.
Entendeu?
Ou ter gente ruim te testando, não encontrando nada, ou só reportando merda e você tem afalsa sensação que você não tá bem.
(40:08):
Que você tá bem, desculpa.
Que tu tá legal porque ninguém tá reportando nada crítico, entendeu?
E aí tu tem falso negativo, né?
Na tua postura de segurança.
Cara, é muito importante.
Tem que ser responsável pro programa de bugbao.
Legal essa fala do Ben Hur que eu penso assim, o Hunter, ele é o cliente que a empresapaga.
(40:32):
Certo?
Tu é cliente ajudando a empresa de certo modo e ele vai te pagar por isso, mas cara, eletá te dando serviço praticamente de achar um problema que vai te salvar milhões de uma
vulnerabilidade no ataque, pode te pagar mil dólares, dois mil dólares, dez mil, cinquentamil dólares que seja, cara.
Se aquilo for assim explorado, acaba a empresa.
Fala, Marcos, eu te cortei, desculpa aí.
Não, não, é que eu concordo 100 % com o Benyork.
(40:53):
Eu também queria defender pouquinho essa parte do paint test pra Benyork falar tão bonitoque eu não quero nem falar mais nada cima.
Defender porra nenhuma, eu discordo de vocês, pentest é o caralho, custa muito caro, bugbount é o que há.
Senhores, tá na hora, tá na hora, lembra do que que tá na hora?
(41:18):
Eu adoro essa vinheta do Dev May Cry aqui.
Esse chorinho é muito bom.
Cangaceira, a gente tem quadro aqui que é Dev May Cry, fazer o desenvolvedor chorar, comalguma loucura, que é alguma coisa que a gente fala.
que você acha...
Pode pensar, gente vai falando aqui.
O que você acha que faz o Dev chorar?
(41:39):
Alguma coisa que faz o Dev chorar.
Até agora, ninguém superou aquela do Ben Hur, do treinamento Ben Hur.
o cara slide 1 de 50, tem que preencher os bagulho, puta planilha, caralho, aquilo faz oDave chorar.
só a paginazinha, um vídeo, o vídeo 15 minutos em cima, de 50.
Tudo que você precisa.
Mano, eu não quero falar, mas esse dia eu peguei treinamento que era 1 de 60, 60perguntas.
(42:02):
Eu falei, vai tomar no cu.
Lembrei do beijor na hora, falei, vontade de chorar.
Mas acho que o Bayer falou durante a conversa, o Bayer jogou essa aí.
cara acha Bounty lá, que cara explorou WebAssembly pra chegar no RCE.
Tipo, cara, acho que isso aí faz o Dave chorar, porque esse WebAssembly foi feito pelosdinossauros que trampavam naquela empresa, legado, ninguém usa mais essa porra e ninguém
(42:26):
vai conseguir resolver.
Então, o Dave e o WebSec cry nesse contexto aí.
Acho que faria os caras chorarem, eu colocaria isso.
Que mais?
Que mais que a gente...
poderia falar hoje do Deve Chorar.
Eu acho que...
front-end ajustar uma procedura.
(42:48):
Pagulho aleatório da porra.
Essa foi aleatória.
Procídio, Ainda usa um procídio?
Cara...
É...
Ai, Maria, vai te perguntar o que é uma procídio boa.
T-S-Q-L, que bons tempos.
Que caro!
porque não tem nada mais divertido que você olhar assim, cara, tem bugzinho aqui.
(43:12):
Aí você vai olhar o código e você vê que, cara, ué, olha ali, uma service ali tem 80linhas de código.
Tranquilinho, já olha o bug e você olha é uma Procídio Recall e a Procídio tem 15 millinhas.
Cara, é, nossa senhora, cara.
trampava numa empresa que literalmente o código do sistema era assim, 10 linha era umacasquinha.
(43:37):
A lógica inteira da parada, proceder e trigger.
Tinha lógica e trigger tabela, mano.
Nossa, veio pra debugar essa porra.
Tá aí, ó.
Devil May Cry de hoje é vocês...
Vocês nutelinhas que gostam de react, pi-pi-pi, fazem tudo que vocês fazem numa procedura,seus filhos das putas.
(43:57):
Essa é a minha dev may cry de hoje.
Eu tô puto ultimamente com o dev, então eu vou xingar, vou ofender, quero que você foda.
Mas respeitando o nosso convidado, meu amigo, mais alguma coisa que você queria comentar?
A gente já tá cima da nossa hora aqui.
Dicas que você daria aí, de repente, as empresas melhorarem os programas delas de BugBounce, dicas para quem quer entrar nessa vida.
(44:18):
Você já deu uma boa dica, Não vá viver disso, que você vai passar fome, vai com calma, Deutrabalho, mas que recado final você deixaria para galera aí?
Sim, primeiro só falando sobre fazer ou deve chorar.
Proibir o uso do teatro GPT, acho que faria boa parte deles chorarem hoje dia.
(44:39):
Sobre dicas.
Todos, né?
Todos.
Eu falo por mim também.
Sobre dicas, eu acho que já falei bastante, para quem quer estudar área de segurança é nãodesistir porque a pior parte é você começar e prosseguir ali, tipo, boa parte das pessoas
(45:04):
desistem no meio do caminho, é só não desistir.
Então você também estudar pelos meios certos, não adianta você comprar o curso de caramilagroso, não sei se...
Alguém já viu aí no meu Twitter que às vezes eu posto tipo o fazendo lá uma propaganda.
Não, cara, aprenda a hackear duas noites.
(45:27):
Aprenda a hackear em seis dias.
ser presa, velho.
De verdade.
Acho que crime, velho.
E acho mais criminoso quem cai ainda.
Puta que pariu.
pior é cara está passando um curso de como hackear 6 dias por 19 reais.
Aí o cara vai lá e compra.
Então assim, não cair nesses...
(45:48):
É, o vez pelo lado do bobo, né?
No final o cara vai ganhar certificado.
De alvo.
De vítima.
Você é uma vítima certificada agora, né?
Parabéns, esse é primeiro Bounty, você caiu num golpe do curso que não funciona.
isso aí.
Entendeu?
O primeiro curso é o sentimento da vítima.
(46:08):
E o legal é quando esses cursos começam com o que é Python.
Tipo, cara nem quando dá sabe, tá ligado?
A gente está numa fase aqui de...
Estamos emputecidos no podcast.
A gente já cansou de falar de AppSec.
Mais de 175 episódios aqui no Deve Ser Calça Podcast ensinando a galera a fazer e aindanão fazem.
(46:34):
Então a gente está no nível agora de...
É só ataque, A gente vai para o bug-bounce agora, modo ofensivo.
Foda-se.
É só xingar Dev, empresa que não faz AppSec direito, porque está tudo aí de graça nainternet.
Bom...
Pessoal, obrigado, é, Cangaceiro, o tema de Cangaceiro, já era, pegou.
Obrigado pelo Tô Tempo, obrigado por compartilhar pouco aí, eu acho que cabe mais, tema,mano, eu sou fascinado por esse tema, ainda que, mais como hobby também, mas eu acho muito
(46:59):
bacana falar sobre isso, trazer informação pra galera, porque tem muita gente que seilude, ah, é buggy bount, não é assim que funciona, né, tem que ter pé no chão, e acho que
é legal pra gente falar mais sobre isso.
Então, obrigado pelo Tô Tempo, obrigado por ter falado com a gente.
Marcos, obrigado pelo pausa no Cocô.
Ruben Hur está na cabana no meio das montanhas agora de férias, mas que bom.
(47:23):
Cara, podcast...
Dê aumento pra ele, Dê aumento que o podcast está pagando bem.
Você que está ouvindo plataformas, vai lá no YouTube pra você morrer de inveja onde oRuben Hur está.
Ele não vai postar a parte da sauna nu, porque aí vai contra as políticas lá do YouTube etal, mas...
(47:43):
no OnlyFans exclusivo do Ben Uri você pode achar mais conteúdo.
Pessoal, era isso.
Eu sou o Cassio.
Lembrando que o Noni fez o cobre por quilo, Não é por hora.
tá caro, Tá caro lá, né?
Então vai tá caro.
Beleza, pessoal, nos vemos no próximo episódio, eu sou o Casper Eira.
(48:04):
Eu sou o Senhor.
Eu sou Marcos Santos.
Beijo de luz, pessoal.
Até mais, tchau tchau!
Popular Podcasts
Stuff You Should Know
If you've ever wanted to know about champagne, satanism, the Stonewall Uprising, chaos theory, LSD, El Nino, true crime and Rosa Parks, then look no further. Josh and Chuck have you covered.
The Joe Rogan Experience
The official podcast of comedian Joe Rogan.
24/7 News: The Latest
The latest news in 4 minutes updated every hour, every day.