Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalez

21 views

Published on

RootedCON https://www.rootedcon.com
Marzo/March 5-7 2020 Madrid (Spain)

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalez

  1. 1. @jalcaldea & @dani_zerolynx DevSecops into the unknown
  2. 2. Net user Daniel González @dani_zerolynx • Co-fundador de ZEROLYNX • Socio director de ciberinteligencia de OSANE Consulting • Profesor oficial del certificado CSX y coordinador de las formaciones de ciberseguridad de ISACA Madrid Jesús Alcalde @jalcaldea • Director of R&D at Zerolynx • Responsable DevSecOps en OSANE Consulrting
  3. 3. Esto es una ponencia sobre hacking en entornos de DevOps, no una charla sobre DevOps. Muchos de los conceptos y la problemática real, la daremos por asumida por falta de tiempo. Esta investigación será liberada y publicada para que podáis ayudarnos a continuarla. IMPORTANTE
  4. 4. Friendly reminder
  5. 5. SCAN ME
  6. 6. Friendly reminder • Los entornos de desarrollo, autogestionados y sin supervisión, son entornos menos controlados y más vulnerables. • JENKINS tiene problemas… pero no solo de JENKINS viven los desarrolladores actuales, y los demás... No están mucho mejor.
  7. 7. Automatización
  8. 8. Flujo típico de DevOps Controlador de versión Push commit Servidor de integración continua Administrador de tareas Update Tickets Trigger Build Sistema de mensajería en tiempo real Post Message
  9. 9. Flujo típico de DevOps
  10. 10. Personas Código Integración Despliegue Sistemas Nuestra visión Mensajería Control de versiones Integración continua Despliegue continuo ConfiguraciónTeam Management (TM) Secretos
  11. 11. La realidad en entornos DevOps, es algo así…
  12. 12. LAS HERRAMIENTAS
  13. 13. Suite de herramientas Tres tristes tigres comieron trigo en un trigal Flawlynx - A flawless tool to detect flaws in DevOps flows
  14. 14. Suite de herramientas Flawlynx - A flawless tool to detect flaws in DevOps flows
  15. 15. Specs de las herramientas ▪ Filosofía DevOps: Un conjunto de herramientas para cada uno de los módulos presentados. ▪ No hay nada actualmente así en el mercado, ni de manera libre. Mantengámosla entre todos. ▪ Licencia GPL v3.
  16. 16. Control de Versiones
  17. 17. Módulo GIT Mínimos sobre GIT: ▪ Base de datos distribuida en carpeta .git (oculta) ▪ Se generan objetos con el contenido ▪ Pueden ser: REFs, COMMITs o BLOBs
  18. 18. Módulo GIT Mínimos sobre GIT: ▪ Base de datos distribuida en carpeta .git (oculta) ▪ Se generan objetos con el contenido ▪ Pueden ser: REFs, COMMITs o BLOBs
  19. 19. Módulo GIT Personas
  20. 20. Módulo GIT Personas
  21. 21. Módulo GIT ▪ Referencias (Tags y Branches) ▪ Pequeño ejemplo: git checkout <sha1> Código IMPORTANTE Si tienes acceso a un repositorio NO SOLO TIENES EL CÓDIGO, tienes TODO SU CICLO DE VIDA
  22. 22. Código Módulo GIT ▪ Secretos SCAN ME GUÍA PARA ELIMINAR SECRETOS DE MANERA SEGURA
  23. 23. Extraer información - Autores Comando: Resultado: Código Módulo GIT
  24. 24. flawlynx-vc | Version Control Demo time
  25. 25. Integración continua
  26. 26. Módulo Jenkins Workers Jobs Builds Secretos Usuarios Credenciales Configuración … Integración
  27. 27. Módulo Jenkins Builds y Jobs Plugins Usuarios Código fuente Sistemas y configuración Integración
  28. 28. Metodología Reconocimiento Revisión de la configuración Exploits y vulnerabilidades Extracción de información How to Fix Integración
  29. 29. flawlynx-ci | Continuous Integration Demo time
  30. 30. Conclusiones
  31. 31. Conclusiones ▪ Actualmente en los entornos de DevOps hay un problema y no podemos seguir ignorándolo. ▪ Usad la herramienta y ayudadnos a mantenedla. ▪ Mientras más fácil es comprometer un sistema, más posibilidades hay de que comiencen a corregirlo.
  32. 32. BONUS TRACK
  33. 33. Investigación
  34. 34. Investigación - Disclaimer https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2100
  35. 35. Información del puerto ▪ Puerto UDP que responde a cualquier cosa ▪ DDoS con amplificación 1:240 aprox ▪ ¡¡ Devuelve información interna !!
  36. 36. Let it (scan in) go > 17.000 IPs
  37. 37. Resultados ±9000 Jenkins públicos 30% 23% 40%
  38. 38. Resultados Puertos HTTP por defecto: 8080, 443, 80, 8081
  39. 39. Resultados ¡Puertos atípicos! 9090, 8090, 8888, 8088, 8082, 9999, etc
  40. 40. Resultados 20% con versiones de Jenkins Core con vulnerabilidades críticas
  41. 41. © 2020 Zerolynx S.L. Sociedadespañola de responsabilidadlimitada.Todos los derechos reservados.Zerolynx y sus logotipos son marcasregistradaspor Zerolynx S.L. Diseño de iconos creadopor Freepik para www.flaticon.com, licenciado bajo CC 3.0 BY. La información contenida es de carácterinformativo. Para solicitar una cotización de un servicio debe contactarcon el equipocomercial de Zerolynx. dgonzalez@zerolynx.com @dani_zerolynx ¡ Muchas gracias ! jalcalde@zerolynx.com @jalcaldea

×