Domingo, 6 de Junio de 2021: Hacking

Antes que nada… [Inserte aquí un disclaimer de «esto es una opinión personal y mis opiniones no representan las opiniones de mi o mis empleadores].

- Hey, Scarlett, pero tu no tienes empleadores
- ¡Ohhh eso explica porque mis calzoncillos están rotos y desgastados de la pobreza!
- Pensé era una tanga
- No, así han quedado después de años de no comprar unos nuevos

Ok… hoy venía viajando en el avión, y estaba viendo una película:

Y tuve un flashback de como terminé barriendo y trapeando el Cinemex de La Gran Vía, por un pequeño accidente.; viendo esa película.

Luego, intenté aprovechar que me dan gratis el Internet en el avión; así que me puse a ver algunos de mis vídeos pendientes, y vi este de LiveOverflow:

LiveOveflow es una de los hackers que más me han impresionado, pero no sólo por sus habilidades técnicas; que de si buscan no hay mucho de él, principalmente van a encontrar resultados en CTFs, porque él no publica mucho de lo que hace. Pero lo que realmente me encanta de él, es su forma de pensar.

Tuve oportunidad de conocerlo hace como año y medio en Berlin; y fue realmente impresionante, una de esas personas que apenas saludas y ya estas enamorado de su forma de ser.

Vea el vídeo, porque sino no van a entender mucho de lo que viene.

¿Cómo empecé en seguridad?…

Hay gente que me cae muy mal de mi país, que dicen que estoy en una posición muy cómoda en donde debería de ser más «movida», promoviendo diferentes productos, alianzas, equipos, soluciones; con tan del aprovechar mi fama y «sacar el varo».

Y así es como hoy podemos ver el nuevo capítulo ISC2 en México, o el capítulo de no que CSSPPSSS industrial de México; y vemos a su presidenta que tiene certificaciones nivel la NASA, pero la escuchas hablar y lo máximo que te dice es MFA…. ¿MFA en un PLC?, fiuuu..

Yo no creo que este mal ganar dinero con tu trabajo, sino pues uno se muere de hambre. Pero no me imagino que alguien un día me pregunte:

- Hey, Scarlett, ¿por qué te dedicas a seguridad?
- Por dinero, me gusta el dinero

No me imagino la vida de alguien que trabaje por dinero, despierte por dinero, pase horas en su trabajo por dinero, y su máximo satisfacción de hacer lo que hace sea por dinero.

Y si alguien trabaja por dinero, que triste me sentiría por esa persona.

Un día, cuando buscaba inspiración; le pregunté al gran, al único, al increíble vendetta.. ¿Cómo empezaste en seguridad?.

Bueno resulta que el estudiaba Ingeniería Ambiental, y tenía una materia de programación. Nada avanzado, les enseñan Matlab para poder hacer cálculos de laboratorio. Y estando en clase, se paró para entregarle su tarea a la maestra y en ese momento sus amigos Güero y El Oso, mandaron un correo desde su cuenta de correo que había dejado abierta a una muchacha llamada «Mode» o la «Turkey»… no quiero sonar pero era una muchacha de medidas bastante desproporcionadas.

Cuando él llegó y se dio cuenta, más que espantarse de ser acosado. Tenía miedo de que Mode le fuese a golpear en un callejón.

Así que esa noche llegó a su casa y se puso a buscar y buscar y buscar… como poder entrar al correo electrónico de alguien. Y encontró un foro, lo que antes era Hispabyte, que se llamaba Prehackers, y allí leyó sobre el bruteforcing, BrutusAE, probablemente descargó malware y cosas así; porque recuerda que de pronto en su computadora había vídeos XXX de niños. Pero medio entendió como usar BrutusAE y logró entrar al correo de Mode y borrarlo.

El nick de vendetta, era por un video juego, pero muchos dicen que le quedaba bien. No sólo se vengó y mando el correo a la inversa, mandó hasta fotos, comprometió la webcam, borro archivos… vendetta había descubierto algo que jamás creyó que le pareciese interesante; pocos lo saben pero vendetta odiaba las computadoras.

Se la pasó en foros como Prehackers o la CUM, hasta que un día fue a G-CON y el mundo cambió, desde que supo que era una pila, un buffer overflow, recuerda haber llegado a casa y decir «yo quiero hacer eso». Así fue como el mundo fue bendecido con él.

vendetta algo que siempre compartió es que jamás había empezado en seguridad por dinero, de hecho en una entrevista dijo que cuando él terminó la escuela empezó a buscar trabajo como desarrollador, porque no sabía que ni siquiera que en México había empresas de seguridad.

Y cuando le preguntaban, cuales eran sus hobbies, se le hacía complicado poder explicarlo y que la gente lo entendiese que, eso no era por trabajo.

Y si, muchos podrán decir «vámos Scarlett, no lo romantises, vendetta ha vendido más de 150 mil copias de sus libros, tiene un curso en línea que es de los más vistos de la plataforma fea esa, vendetta es igual que todos los que critica LiveOverflow.

No, vendetta donó todas sus regalías a niños sin padres, e incluso a veces tiene que pagar por cuestión de impuestos:

¿Y por qué viene esto?

Bueno, hace poco tiempo fui criticada porque escribí algo más o menos como:

«¿Quieres ganar dinero con bug bounties?, deja de cansarte buscando vulnerabilidades. Encuentra unos XSS con BurpSuite, saca una cuenta en Twitter, diseña un logo bonito, y ya que tengas muchos seguidores sacas un curso basado en el OWASP Top 10 y se lo vendes a todos».

Hubo alguien a quién le enojó mucho mi comentario:

Llegó tanto el acoso, en donde incluso me demeritaron por ser mujer; que terminó el tipo peleando consigo mismo por mensajes privados.

Y algo así me pasó con un Surcoreano, pero eso ya tiene mucho tiempo en que puse un «me da risa» en Facebook, y se fue contra mi.

¿Esta mal ganar dinero?, no…

Lo que si creo que esta mal, es apropiarte de una palabra, como «hacker»; que incluso históricamente ha sido tan complicada de definir, y básicamente vender lo mismo que todos venden, lo mismo que todos hacen, lo mismo que en realidad es la base de conocimientos que generan y han generado todos los voluntarios del proyectos OWASP, cuando ellos lo hacen porque les gusta y porque quieren.

¿Qué de innovador tiene ver como usas SQLMap?, ¿qué de innovador es usar Burp Suite?, ¿quieres ayudar a la comunidad?, has tu curso gratuito, ¿quieres ayudar a que haya más gente aprendiendo?, haz un live y hackea en vivo explicando y respondiendo preguntas.

Eso es realmente querer ayudar, o realmente no quieres ayudar y sólo centrarte en hackear, pues hackea… demuéstralo. Si lo haces, creeme que dinero va a haber.

Sólo imaginen cuanto tiempo alguien debe de tardarse para editar un vídeo, subirlo, revisarlo, ponerlo bonito; para que alguien se suscriba por $500 USD; obviamente sé que hay montones de suscriptores y deben de ser varios miles. Nahamsec llevaba como 1500 suscriptores la vez que la Barbie Hacker me mostró su curso:

Si, hasta ella #decepción

Sólo ve la diferencia entre cuanto tiempo tienes que invertir para hacer un curso, que no aportó nada nuevo, no fue para la comunidad; y que tampoco es hacking. En cambio, encuentras una vulnerabilidad, y hablando de bug bounties, ¿cuanto puedes ganar?, ¿$3, 000 – $10, 000 USD?… por hackear ¡lo que se supone te gusta!… o más aun, en la semana leí que Zerodium estaba comprando 0days de Pindgin por $100, 000 USD; ¡Pidgin!, ni siquiera sabía que existía aun.

Y nuevamente, no es por el dinero; si de verdad quieres hackear vas a hackear, porque te gusta hacerlo; porque te gusta la emoción, porque te gusta leer, porque te gusta ver vídeos, escuchar podcasts, platicar con gente… eso era el verdadero hacking.

Y es una lastima que hoy todo eso se perdió, al menos en México, porque en EEUU, Alemania, Austria, Rumania, Rusia, Argentina… creo que el ambiente es muy diferente y mucho más prometedor.

Yo por eso no gano dinero hackeando, gano dinero vendiendo café, así que cómprame una bolsita en: https://bugcoffee.myshopify.com/ … BugCOFFEE: The Hacker Boost!

0 comentarios en “Domingo, 6 de Junio de 2021: HackingAñade los tuyos →

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *