Miércoles, 27 de Septiembre de 2017: ¿Soy un script kiddie old school?

Querido diario…

Porque este es un diario, y los diarios se escriben así, o al menos es lo que he visto en la televisión… y la televisión nunca miente.

Bueno… he decidido cambiar la forma en que escribo el blog, y escribir un diario… ¿por qué?, bueno, tengo varias motivaciones; la principal es que tengo mucho tiempo libre… pero también esta el que soy narcisista, egocéntrico, me gusta tener fans, que me idolatren, y bueno, si escribo algo  como nunca nadie lo ha hecho con el total descaro y cinismo que me caracterizan, pues va a ser un hit.

Pero también hay otra motivación, y es que desde hace poco que me reintegre a la que podríamos denominar “el mundo de la seguridá”, me he dado cuenta que la gente ha cambiado, tengo amigos que sólo viven para buscar un fallo y venderlo de la forma más tonta, los que lo único que quieren es acumular certificaciones, que sueñan con un puesto directivo, o que simplemente quieren dinero y más dinero; aunque siguen mostrando como analizar un disco duro desde hace 10 años (si, si… lo decía por el CSI de las computadoras). Así que desde ahora he modificado la forma en que hago las entradas del blog para mostrar un poco de la verdadera pasión que existía en el hacking, el placer de meterte donde no debes, de hacer las cosas que nadie más puede, robar, hurtar, chamaquear, chantajear.. simplemente por diversión y ver como la gente se vuelve loca; y de vez en cuando hacer una buena acción y dedicarte a hacer investigación real, mejorar el mundo y todas esas cosas que se leen muy bonitas cuando das alguna entrevista. Y aprovechando que desde hace algún tiempo me he dedicado a escribir, pues vale… que se me ocurrió que sería bueno escribir el “Diario de un bug bounty hunter”.

¡Ahhh! cierto, ¿qué es eso?, bueno, pues un bug bounty hunter soy sho… sensishito y carishmático. Hace como año y medio; tras básicamente hacer un script para proponerme para cuanto empleo encontraba, rechazar a las más grandes empresas de seguridad del mundo en muchos países y no encontrar forma; me mudé a Mexicali, un desierto al norte del país, y al no tener empleo seguí los sabios consejos de un amigo llamado Leonel, que denominaremos Leonel; y me registré en Synack. Empecé encontrando vulnerabilidades principalmente en aplicaciones Web, he tenido algunas participaciones en pruebas de penetración y reversing; a pesar de lo que diga el Sweedn Ninja” para mi ser un bug bounty hunter es lo peor; nada comparado con la magia de ver cada quincena tu cuenta llena de dinero, con un buen sueldo, ser considerado importante, relevante y valioso y que la gente te trate bien.

Pero en Mexicali no se puede hacer eso, y por ciertas razones personales debo de vivir aquí, así que después de haber pasado una extraña carrera en la que me convertí en montacarguista, mesero, barman, barista e ingeniero de QA.. un día el mundo se me ilumino, una amiga llamado Caro, que denominaremos Caro, me dio un sape y tras algunos golpes de suerte, creo que el mundo me cambio un 7 de Noviembre, el día en que reporte mi primer fallo de nivel alto, tipo business logic y me pagaron varios miles de dólares por eso.. lo cual para mi fue un milagro, comí ese día carne.

A partir de eso cambio mi forma de ver la vida del bug bounty hunter… deje de irme por los “juicy bugs” y me empecé a enfocar en los que si dejan, empecé a portarme mal con la gente que en realidad no eran mis compañeros, sino mi competencia. Y empecé a desarollar mi propia metodología para encontrar fallos de forma efectiva y con un alto coste.

Aun ejecutó algunos escaneos comunes para buscar vulnerabilidades como XSS, SQLi, CSRF, etc… uso mucho Acunetix, N-Stalker, cuando estoy en los pentest uso Nmap, Nessus… pero un bug bounty hunter tiene que pegar donde más duela; así que tengo que pasar muchas horas intentando el funcionamiento lógico y las reglas de negocio para poder encontrar un fallo que de verdad valga la pena.

Así que bueno, básicamente esto es el blog y día a día escribiré algo muy descriptivo donde cínicamente expliqué como hacer muchas cosas que la gente no debiese de saber como se hacen y muchos se enojarán que lo haga, porque o evidenciaré lo sencillo que son sus trabajos o haré que la gente pueda simplemente ir siguiendo unas instrucciones y causando daños por allí. Pero, sinceramente, si me han conocido de muchos años atrás, pues básicamente no importa… soy vendetta 😉 yo hago lo que yo quiero, cuando yo quiero y como yo quiero B\

(¡ah! si, esto tiene que ser en español, porque mi ingles es pésimo, lo cual es malo porque estaría bueno que fuese en inglés, pero no se puede todo en la vida).

Marcar el Enlace permanente.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *