Blog

Entrevista #roadesc: Boot Santos

Avaliação do Usuário

Estrela ativaEstrela ativaEstrela ativaEstrela ativaEstrela ativa
 

 

Roadsec é o maior evento de hacking e segurança da informação da América Latina. O evento é espalhado por todo Brasil e estivemos na edição de Recife \o/

 

Aproveitamos a oportunidade e produzimos algumas entrevistas com palestrantes e entusiastas da área, abordando temas estratégicos e que merecem toda atenção da sociedade e dos profissionais de tecnologia.

 

Se liga: pega teu café, cerveja ou água e vem aproveitar o conteúdo desse bate papo que pode fazer toda diferença na sua carreira!

 

E para começar.... Entrevista com Boot Santos!

 

Boot Santos é entusiasta da Segurança da Informação, desenvolvedor do CTF-H4K (Sucuri Hacker Club) e organizador do Hackaflag, maior campeonato de CTF da América Latina.

 

InspirAda: Quais as dicas que você daria para quem quer começar área,  jogar CTF e participar de Hackaflag?

 

Boot Santos: Eu recomendo que as pessoas comece pelo básico. Estudem os princípios das coisas, entendam a base computacional, e com isso tentem subverter o sistema para entender como funciona os ataques e consequentemente

também aprende um pouquinho sobre defesa.

E CTF é prática, tem que jogar para aprender. É muito complicado, não tem uma receita de bolo “Faça isso que você vai aprender”. Jogando você aprende e aquilo fica na sua cabeça. Um desafio que é complicado e quando você resolve, tem o êxtase “Caramba, resolvi! Nunca mais vou esquecer como que faz isso”.


InspirAda: É preciso saber muito de programação ou mais uso de ferramentas?

Boot Santos: A programação é necessária, mas para o trabalho em si de um Pentest hoje é mais entender o conceito e usar as ferramentas que já estão no mercado. Não tem porque você reinventar a roda. É como mostrei o exploit (na palestra), não preciso criar um novo exploit para aquilo se já tem. Eu posso utilizar aquele exploit para aquela vulnerabilidade específica.

Agora, claro que você tem que entender de programação para poder criar o seu, caso tenha que buscar algum ataque 0-day e seja pesquisador a fundo da área tem que entender de programação.

 

InspirAda: Tem alguma linguagem de programação que você recomendaria aprender ou que seja mais voltada para essa área?

 

Boot Santos: Para essa área Python é a linguagem essencial. Todo mundo utiliza pela facilidade de criar os scripts e ser mais prática,  tem muitas bibliotecas disponíveis. Por exemplo, resolver um desafio de PWN você importa uma classe e já tem toda a ferramenta para utilizar. A programação fica bem mais compacta do que fazer em C, por exemplo.

 

InspirAda: E participar de hackaflag? Tem vários níveis de dificuldade ou para quem é iniciante o melhor é treinar bastante antes?

Boot Santos: Recomendo jogar, sempre, mesmo que seja iniciante. O nível hoje do hackaflag está entre médio e difícil, mas tem outras plataformas para começar. No brasil, por exemplo, tem o Sucuri Hacker Clube que é uma plataforma que desenvolvi e hoje quem cuida é o professor Rodrigo Costa (de fortaleza) e tem muitos desafios para iniciantes. Então, é uma boa plataforma para quem tá começando.

O hackaflag, jogando, se aprende. Não tem a dificuldade “ah, eu sou iniciante”. Jogando vai aprender. Cada desafio tem um sentido diferente, um método de pesquisa diferente e faz com que a pessoa corra atrás e descubra. Mesmo que difícil, vai conseguir resolver.

 

InspirAda: Quais as ferramentas básicas que você recomenda para começar?

Boot Santos: Pro básico, recomendo instalar um linux e começar a entender como funciona, como subir uma infra, um site, uma aplicação, servidor web. E com esses conceitos consegue ir para outras ferramentas. Não teria como indicar comece hackeando com isso, tem que entender o conceito, ter a base. Depois da pra utilizar outras ferramentas.

 

InspirAda:Há quantos você estuda, treina e que está focado em hackaflag e na comunidade?

 

Boot Santos: Na comunidade tem pouco tempo, 2 anos que estou mais ativo e viajando com o hackaflag. Comecei a programar com 12 anos. Tô com 28, então faz um tempinho.

 

InspirAda: Qual a tua área de formação? Chegou a cursar graduação ou mestrado?

 

Boot Santos: Estudei Engenharia da Computação durante 2 anos e meio porque queria saber todos os cálculos. É meio bizarro, a galera não gosta de cálculo mas eu queria fazer computação para entender os cálculos. Quando chegou na área de TI em si, já não curti muito. Tive que mudar de faculdade e fiz técnologia em análise e desenvolvimento, mas ainda falta um semestre para concluir. Não sou formado na área, trabalho mesmo com o que aprendi na vida.

 

InspirAda: Na sua palestra você mostrou invasão no Drupal, você chegou a explorar a invasão em outros gerenciadores de conteúdo (Joomla, Wordpress)? Qual dos três você achou mais fácil?

 
Boot Santos: Os três são fáceis quando tem alguma vulnerabilidade dessa porque o estrago é muito grande. Por exemplo, o Wordpress é o CMS mais conhecido do mundo então se tem uma vulnerabilidade que causa impacto desse, como um RSA, a galera se assusta. Ainda mais quando é 0-day, pois quando sai ninguém tem a correção ainda. Nesse tempo até a correção, começa a cair site pra tudo quanto é lado. Então, não é que o Wordpress é mais fácil. Todos os três quando sai a vulnerabilidade é mais fácil. Por exemplo, nesse caso um SQL injection é muito fácil de detectar e nos três já teve. O impacto que causa é maior no Wordpress já que a maioria utiliza esse CMS.  

 

Agradecemos ao Boot Santos por essa entrevista maravilhosa!

 

E você? curtiu? Divulga, compartilhe!

Deixe sua opinião ou dúvidas pra gente continuar essa bate papo aqui nos comentários!

 Até a próxima entrevista, publicaremos em breve! =D

 



Lidiane Monteiro

Fundadora e Desenvolvedora do InspirAda na Computação. Desenvolvedora de Software e Graduanda em Lic. em Computação na UFRPE. Participa das comunidades PyLadies e Django Girls. Joga CS 1.6/Go e Mãe do cachorro Teddy.

 

© 2016 InspirAda na Computação. Todos os direitos reservados. Desenvolvido com Software Livre <3

Search