Hace unos meses, desde la organización del congreso RootedCON lanzaron varios vídeos de la décima edición del congreso, en la que tuvimos el placer de participar desde Zerolynx con una conferencia en el track de DevOps. Coincidiendo con que hoy es el primer día de la edición XI, queríamos compartir la ponencia impartida en la pasada edición por Daniel González, nuestro Director de Operaciones, y por Helena Jalain, Security researcher del área de Offensive Security.
Durante la charla, dedicada al DevSecOps, se partía desde una situación ideal donde las compañías seguían un ciclo de DevOps, tenían equipos de seguridad y estos, participaban y tenían cierto peso en todas las fases del desarrollo. Sin embargo, en la conferencia vimos que no todo estaba controlado, dado que demostramos que, aunque esto fuese así, seguían existiendo problemas de seguridad a los que no se les estaba haciendo frente. Por norma general, cuando se habla de DevSecOps, nunca se tratan las herramientas que soportan estos desarrollos y que pueden llegar a suponer una entrada camuflada para el acceso de los cibercriminales.
A lo largo de la conferencia, presentamos los riesgos y criticidades que considerábamos claves dentro de los sistemas de desarrollo e incluso, expusimos varias experiencias dónde llegamos a hacernos administradores de dominio en algunas compañías gracias a los datos que se podían recoger a través de estas herramientas. Se hizo una demostración en la que se explotaron varias vulnerabilidades de Jenkins, y, finalmente, se presentaron algunos datos acerca del estado en el que se encontraban los Jenkins a nivel mundial respecto a las vulnerabilidades explotadas, con varios ejemplos concretos.
A continuación, podréis disfrutar de la conferencia publicada en YouTube:
En la edición XI podréis ver la segunda parte de esta conferencia, que impartiremos el próximo sábado 7 en la Sala 19 de Kinépolis Madrid a las 16:30.
¡No faltéis!
¡No faltéis!