DEV Community: Fernando Guisso

Proxmox e Homelab

Fernando Guisso — Sat, 17 Aug 2024 13:42:45 +0000

Proxmox e Homelab: Como Transformei um Mini PC em um Servidor de Respeito

Recentemente, tive a oportunidade de apresentar no Debian Day Natal 2024, onde compartilhei minha jornada de transformar um mini PC, adquirido no AliExpress, em um servidor de homelab completo. Utilizando o Proxmox, um sistema operacional baseado em Debian, consegui configurar uma série de serviços que facilitam tanto minha vida pessoal quanto profissional. Se você é um entusiasta de software livre e quer explorar as possibilidades de um homelab, este artigo é para você.

O Que É Proxmox e Por Que Usá-lo?

Na minha palestra, comecei explicando o que é o Proxmox. Para quem não está familiarizado, Proxmox é uma plataforma de virtualização baseada em Debian que permite a criação e gestão de containers e máquinas virtuais de maneira simples e eficiente. Sua instalação é direta e oferece uma interface web poderosa, acessível até pelo celular.

Meu Homelab e Hardware Utilizado

Para este projeto, utilizei um mini PC com o seguinte hardware:

Processador: AMD Ryzen 5 5600H
Memória: 16GB RAM
Armazenamento: 500GB SSD

Se você estiver interessado, pode encontrar esse mini PC no AliExpress.

Este setup me permitiu rodar vários serviços em containers e VMs, atendendo minhas necessidades com folga. No entanto, se você procura uma solução mais compacta e acessível, pode considerar utilizar um Raspberry Pi com o Pimox, que traz as funcionalidades do Proxmox para o hardware do Raspberry.

Meu Homelab e Tailscale

Uso o Proxmox como base para meu homelab, onde rodo vários serviços que posso acessar de qualquer lugar. Para simplificar o acesso remoto, utilizo o Tailscale, uma solução VPN que torna a conexão segura e fácil de configurar em diferentes dispositivos. Durante a demonstração, usei meu celular para mostrar o Proxmox Web, explicando como gerencio containers e VMs.

Serviços que Transformam o Homelab

1. AdGuard: O primeiro serviço que apresentei foi o AdGuard. Trata-se de um bloqueador de anúncios e rastreamento que protege toda a rede. Além disso, mostrei como utilizo o recurso de “rewrite” de regras para criar meus próprios domínios locais, como pve.pandora:8006 e photoprism.pandora:80.

2. Paperlessngx: Este é o serviço que utilizo para digitalizar e organizar documentos como notas fiscais e documentos pessoais. O Paperlessngx elimina a necessidade de manter pilhas de papel, permitindo um gerenciamento eficiente e acessível dos meus documentos.

3. Photoprism: O Photoprism é meu gerenciador de fotos inteligente. Mesmo em um hardware limitado, ele é capaz de realizar buscas por rostos e indexar todas as minhas fotos e vídeos. Isso torna a organização e a busca de imagens extremamente fácil e eficiente.

4. VSCode Web: Por fim, apresentei o VSCode Web. Com ele, posso programar remotamente, utilizando apenas um tablet ou celular, além de executar comandos de terminal diretamente no servidor. Isso facilita muito o desenvolvimento, especialmente quando preciso compilar e testar códigos rapidamente.

Automatizando com tteck e Expansões Futuras

Para facilitar ainda mais, finalizei mostrando a lista de scripts automatizados do tteck, que permitem a criação rápida de diversos serviços no Proxmox. Embora não tenha mencionado durante a palestra, também vale a pena explorar outras ferramentas que podem ser integradas ao seu homelab, como:

Nextcloud: Uma excelente solução para armazenamento e sincronização de arquivos.
Nginx Proxy Manager: Para gerenciar proxies reversos de maneira fácil e intuitiva.
Jellyfin Media Server: Uma solução open-source para streaming de mídia.
Vaultwarden: Um gerenciador de senhas seguro e eficiente.

Espero que este artigo inspire você a explorar o mundo dos homelabs. Com um pouco de criatividade e as ferramentas certas, as possibilidades são infinitas!

Basic Recon Automation Using Github Actions

Fernando Guisso — Wed, 16 Mar 2022 03:00:46 +0000

Currently, the number of companies using CI (Continuous Integration) and CD (Continuous Deploy) solutions to automate the software lifecycle process (SLD) is growing. The most used tools are Jenkins, Github Actions, Gitlab CI, and so on. These tools bring the ease of automating software testing, code linters, creating releases, and final versions of the software.

In the security world, some companies are also already implementing static security testing (SAST) and compromised software composition testing (SCA). With each addition of code or feature, the software can now be tested before going into production.

The idea of working with security tools in CI/CD goes beyond the fact of automating tasks, but also of bringing the culture of information security to the teams of developers and infrastructure teams, the famous culture of DevSecOps. Very important at the moment we go through where development teams are scaling absurdly and we don’t have security experts to accompany these teams.

Link for the projects repository: https://github.com/fguisso/ga-recon

Use cases beyond static tests (SAST and SCA)

The simplest use case we can address is dynamic security tests scheduled to take place periodically, taking into account that the application is already in production.

Other interesting cases would be the possibility of Red Team teams, taking advantage of the event notifications of a pipeline, to launch automated tests as soon as the development of a new feature begins. I will address this topic in more depth in another article.

What we will explore more in this article is the recognition of applications already in production, where we will point a domain to our CI that will periodically run some recognition tools, which can be used later by security teams for future security analyses.

Github and Github Actions

We are going to use Github to version and store our project, so go to github.com and create a new repository. Now let’s create and edit some files, if you don’t know how Github works, you can use the graphical interface. Github Actions is already an enabled Github service, just put the pipeline configuration files in a folder called .github/workflows and all interactions and logs of this pipeline will be visible in the actions tab.

To facilitate the creation of pipelines, Github Actions offers Actions, which are sets of configurations and installations ready for you to use in your pipeline, without you having to worry about it. Some official Actions are available on the Github Marketplace, however, you can directly use any Action that is a repository on Github.

Learn more about Actions here and the link to the marketplace.

Examples of separate workflow files.

Github Actions resource tab with configured workflows.

Amass Action

Amass according to its official documentation:

The OWASP Amass project performs attack surface network mapping and external asset discovery using open-source intelligence gathering and active reconnaissance techniques.

Amass is a very powerful tool that provides us with functions for the recognition and also for the management of the collected information. In our case, we are going to use the Amass Action just to enumerate a domain and bring the result in a txt file for later use.

In your repository create a file called amass.yml inside the .github/workflows folder and add these settings and let’s analyze what we are doing line by line:

name: 🔎 Recon

on:
    workflow_dispatch:

jobs:
  recon:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v2
      - uses: actions/setup-go@v2
        with:
          go-version: 1.17

      - name: Amass - Enumeration
        uses: fguisso/amass-action@main
        with:
          domains: owasp.org
          brute: true
          output: hosts.txt

      - name: GitHub Workflow artifacts
        uses: actions/upload-artifact@v2
        with:
          name: hosts.txt
          path: hosts.txt

Note: .yml/.yaml files are heavily indented, so the tabs and spaces within the file must be correct to avoid errors. You can use Github itself to validate your file or use a linter of YAML files.

On the first line name: is just an identifier for your pipeline to be easily found within the Actions tab of Github.

After on: is where we can automate so that the workflow starts according to some programmed event, which can be triggered by one or more events, at the moment we choose workflow_dispatch: so that it is available in the Actions dashboard and we can activate any time. Towards the end, we will see how to trigger this workflow scheduled to run once a week, but you can also trigger it using Git events like trigger whenever there is a Pull Request in the development branch, trigger only when a Merge from the main branch happens.

jobs: is where we can separate Actions to run in parallel, as we are using the Free version of Github Actions, we will try to always keep just one job running everything we need. Job documentation link.

The first steps I will summarize as just settings to compile and run the Amass tool which is developed in Golang. Usually, when you are going to use an Action, the necessary settings will be in the documentation, don’t worry.

After the initial steps, let’s call the Amass Action using the Action’s Github address, uses: fguisso/amass-action@main and pass in some configuration inputs:

domains: I will use the domain of owasp.org to be our target, you can use the domain of your application or also pass more than one domain separated by commas.

Let’s enable brute: to brute force the searches found and finally pass the name of the final file output: hosts.txt, where we will store the results.

Well, so far we’ve done the whole process of using a tool through Github Actions, but due to how an automated pipeline works, every job that we run, will upload a new machine and at the end of the process it is turned off and deleted, no holding no information or files created. So, we need to get our final hosts.txt file and save it somewhere for later reference. We have several options such as uploading the file to another machine, saving the result in the Git repository, using Github Actions we can also create and interact with Issues or Pull Requests and the most used for CI/CD services is to create an artifact of your job, which is what we are going to do.

In the last step we start another Action that serves to upload files for the artifacts of your workflow, just passing the name of the current file and the final name that will be available within the artifacts of this workflow.

Now let’s run our workflow manually, just go to the Actions tab of your repository, choose the Amass Enum workflow, and click on the Run Workflow button.

Right after you can see your workflow running and if you want to follow the steps and logs, just click on your job recon.

Once the workflow finishes all the steps you will be able to see the results and your artifact will be available for download:

Naabu Action

Naabu is a port scan tool where it will look for the open and active ports of a given host. The creators of the project maintain an official version of a Github Actions to run Naabu, so let’s follow their documentation to follow our recon workflow.

Let’s add the Naabu Action to port recognition from this list of domains that Amass has given us. As one depends on the result of the other, let’s put it in the sequence of steps so that it will be executed right away if there is no error in the execution of the previous step.

      - name: Naabu - Port Scannner
        uses: projectdiscovery/naabu-action@main
        with:
            list: hosts.txt
            output: urls.txt

As we are working with just one job, Github Actions goes up a machine with some configurations and at the end of the process, this machine will be turned off and removed, with everything that was generated inside it. Since we haven’t finished our job yet, so the hosts.txt file is still available. In case you want to keep these results, we need to do as before and pass the result files to the artifacts of this job.

      - name: GitHub Workflow artifacts
        uses: actions/upload-artifact@v2
        with:
          name: hosts.txt
          path: |
            hosts.txt
            urls.txt

For simplicity, let’s pass the files straight to just one artifact, so Github will create a final .zip file for you with all these files inside.

Nuclei Action

Nuclei is a template-based vulnerability scanning tool, with the help of the community today there are over 1000 ready-to-use templates that will test your application for known vulnerabilities. Like Naabu, we also have an official Nuclei Action that we will use: https://github.com/marketplace/actions/nuclei-dast-scan

Attention! Due to a bug found in the ProjectDiscovery Actions, I will use a fork of my own where I fixed the problem, as soon as the correction is included in the official project, I will update the article and change fguisso/nuclei- action@inputs by projectdiscovery/nuclei-action@main.

      - name: Nuclei - DAST Scan
        uses: fguisso/nuclei-action@inputs
        with:
          urls: urls.txt
          output: nuclei.txt

As a previous result, now we have the hosts and their active ports, let’s move to the cores to check if all these services are found, we find any vulnerability.

Running your workflow manually

With everything configured, we can now run our workflow manually. Just access the Actions tab in your repository, select your workflow and click on Run workflow.

You can follow the execution of your workflow or just wait until the icon turns green, which means that all the steps happened correctly and you can probably download your results in the artifacts field.

Whenever you want, you can update the domain you want to scan and you can also add more than one domain using just commas to separate them. Ex: owasp.org,github.com.

Events to dispatch

As mentioned before, workflows can respond to specific events to be able to run, and here we are just going to create a schedule so that we can run our workflow once a week.

on:
    schedule:
        - cron: '0 0 * * 0'
    workflow_dispatch:

We can schedule using cron schedule expressions, so our workflow will run once a week, every Sunday at 00:00.

Do not remove the workflow_dispatch line unless you are already certain that you will no longer use the manual trigger button.

Here is a list of other events that you can use to run your workflows automatically. Read more about it in the Github Actions documentation https://docs.github.com/en/actions/using-workflows/workflow-syntax-for-github-actions#on.

Automação básica de Recon utilizando o Github Actions

Fernando Guisso — Wed, 16 Mar 2022 03:00:45 +0000

Atualmente vem crescendo o número de empresas que utilizam soluções de CI(Continuous Integration) e CD(Continuous Deploy) para automatizar o processo do ciclo de vida do software(SLD). As ferramentas mais utilizadas são Jenkins, Github Actions, Gitlab CI e por aí vai. Estas ferramentas trazem a facilidade de automatizar os testes de software, linters de código, criação de releases e versões finais do software.

No mundo da segurança algumas empresas também já estão implementando os testes de segurança estáticos(SAST) e testes de composição de software(SCA) comprometidos. A cada adição de código ou feature, agora o software pode ser testado antes de ir para produção.

A ideia de trabalhar com ferramentas de segurança no CI/CD vai além do fato de automatizar tarefas, mas também de trazer a cultura de segurança da informação para os times de desenvolvedores e times de infraestrutura, a famosa cultura de DevSecOps. Muito importante no momento que passamos onde os times de desenvolvimento estão escalando absurdamente e não temos especialistas de segurança para acompanhar estes times.

Casos de usos para além dos testes estáticos(SAST e SCA)

O caso mais simples de uso que podemos abordar é testes dinâmicos de segurança agendados para acontecer periodicamente, levando em conta que a aplicação já esteja em produção.

Outros casos interessantes seria a possibilidade de times de Red Team, se aproveitarem das notificações de eventos de uma pipeline, para lançar testes automatizados assim que comece o desenvolvimento de uma nova feature. Irei abordar este tema mais a fundo em outro artigo.

O que vamos explorar mais neste artigo é o reconhecimento de aplicação já em produção, onde vamos apontar um domínio para nosso CI que vai rodar periodicamente algumas ferramentas de reconhecimento, o que pode ser usado depois pelos times de segurança para futuras análises de segurança.

Github e Github Actions

Vamos utilizar o Github para versionar e armazenar nosso projeto, então acesse github.com e crie um novo repositório. Agora vamos criar e editar alguns arquivos, caso você não conheça bem o funcionamento do Github, pode usar a interface gráfica mesmo. O Github Actions já é um serviço habilitado do Github, bastando apenas que você coloque os arquivos de configuração da pipeline em uma pasta chamada .github/workflows e todas as interações e logs desta pipeline serão visíveis na aba actions.

Para facilitar a criação de pipelines, o Github Actions oferece as Actions, que são conjuntos de configurações e instalações prontas para você utilizar na sua pipeline, sem a necessidade de você se preocupar com isso. Algumas Actions oficiais estão disponíveis no Marketplace do Github, porém você pode utilizar diretamente qualquer Action que seja um repositório no Github.

Saiba mais sobre as Actions aqui e o link para o marketplace.

Exemplos de arquivos workflow separados.

Aba de recursos do Github Actions com workflows configurados.

Amass Action

Amass de acordo com sua documentação oficial:

O projeto OWASP Amass realiza mapeamento de rede de superfícies de ataque e descoberta de ativos externos usando coleta de informações de código aberto e técnicas de reconhecimento ativo.

Amass é uma ferramenta muito poderosa que nos fornece funções para o reconhecimento e também para o gerenciamento das informações coletadas. Em nosso caso, vamos utilizar o Amass Action apenas para enumerar um domínio e trazer o resultado em um arquivo txt para usar posteriormente.

Em seu repositório crie um arquivo chamado amass.yml dentro da pasta .github/workflows e adicione estas configurações e vamos analisar linha a linha o que estamos fazendo:

name: 🔎 Recon

on:
    workflow_dispatch:

jobs:
  recon:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v2
      - uses: actions/setup-go@v2
        with:
          go-version: 1.17

      - name: Amass - Enumeration
        uses: fguisso/amass-action@main
        with:
          domains: owasp.org
          brute: true
          output: hosts.txt

      - name: GitHub Workflow artifacts
        uses: actions/upload-artifact@v2
        with:
          name: hosts.txt
          path: hosts.txt

Obs: arquivos .yml/.yaml são fortemente identados, então os tabs e espaços dentro do arquivo precisam estar corretos para não acontecer erros. Você pode utilizar o próprio Github para validar seu arquivo ou utilizar um linter de arquivos YAML.

Na primeira linha name: é apenas um identificador para sua pipeline ser facilmente encontrada dentro da aba Actions do Github.

Depois do on: é onde podemos automatizar para que o workflow inicie de acordo com algum evento programado, podendo ser acionada por um ou mais eventos, no momento escolhemos workflow_dispatch: para que ela fique disponível no dashboard de Actions e possamos ativar a qualquer momento. Mais para o final veremos como disparar este workflow agendada para rodar 1 vez por semana, mas você também pode disparar usando eventos do Git como, disparar sempre que houver um Pull Request na branch de desenvolvimento, disparar apenas quando acontecer um Merge do branch principal.

jobs: é onde podemos separar Actions para rodar em paralelo, como estamos usando a versão Free do Github Actions, vamos tentar manter sempre apenas um job executando tudo o que precisarmos. Link da documentação sobre jobs.

Os primeiros steps vou resumir como apenas configurações para compilar e rodar a ferramenta Amass que é desenvolvida em Golang. Geralmente quando você for usar uma Action, as configurações necessárias estarão na documentações, não se preocupe.

Depois dos steps iniciais, vamos chamar o Amass Action utilizando o endereço da Action no Github, uses: fguisso/amass-action@main e passar alguns inputs de configurações:

domains: vou utilizar o domínio da owasp.org para ser nosso target, você pode utilizar o domínio de sua aplicação ou também passar mais de um domínio separados por vírgula.

Vamos habilitar o brute: para fazer um brute force nas pesquisas encontradas e para finalizar vamos passar o nome do arquivo final output: hosts.txt, onde vamos armazenar os resultados.

Bom, até aqui já fizemos todo o processo de utilizar uma ferramenta pelo Github Actions, mas devido ao como funciona uma pipeline automatizada, todo job que rodamos, vai subir uma nova máquina e no final do processo ela é desligada e deletada, não segurando nenhuma informação ou arquivos criados. Sendo assim, precisamos pegar o nosso arquivo final hosts.txt e salvar em algum lugar para ser consultado posteriormente. Temos várias opções como fazer o upload do arquivo para outra máquina, salvar o resultado no próprio repositório Git, utilizando o Github Actions podemos também criar e interagir com as Issues ou Pull Request e o mais utilizado para serviços de CI/CD é criar um artefato do seu job, que é o que vamos fazer.

No ultimo step iniciamos uma outra Action que serve para fazer o upload de arquivos para os artefatos do seu workflow, apenas bastando passar o nome do arquivo atual e qual o nome final que ficará disponível dentro dos artefatos deste workflow.

Agora vamos rodar nosso workflow manualmente, basta ir na aba Actions do seu repositório, escolher o workflow Amass Enum e clicar no botão Run Workflow.

Logo apos você podera ver seu workflow rodando e caso queira acompanhar os steps e logs, é só clicar no seu job recon.

Assim que o workflow finalizar todos os steps você vai conseguir ver os resultados e seu artefato estará disponível para download:

Naabu Action

Naabu é uma ferramenta de scan de portas, onde ele vai procurar as portas abertas e ativas de um determinado host. Os criadores do projeto mantém uma versão oficial de uma Github Actions para rodar o Naabu, então vamos seguir a documentação deles para seguir com o nosso workflow de recon.

Vamos adicionar a Naabu Action para fazermos o reconhecimento das portas dessa lista de domínios que o Amass nos entregou. Como um depende do resultado do outro, vamos colocar na sequência de steps para que seja executado logo em seguida caso não tenha nenhum erro na execução do passo anterior.

      - name: Naabu - Port Scannner
        uses: projectdiscovery/naabu-action@main
        with:
            list: hosts.txt
            output: urls.txt

Como estamos trabalhando com apenas um job, o Github Actions sobe uma máquina com algumas configurações e ao final do processo esta máquina vai ser desligada e removida, com tudo o que foi gerado dentro dela. Já que não finalizamos nosso job ainda, então o arquivo hosts.txt ainda está disponível. Caso você queira manter estes resultados, precisamos fazer como anteriormente e passar os arquivos de resultado para os artefatos deste job.

      - name: GitHub Workflow artifacts
        uses: actions/upload-artifact@v2
        with:
          name: hosts.txt
          path: |
            hosts.txt
            urls.txt

Para simplificar, vamos passar os arquivos direto para apenas um artefato, assim o Github vai criar um arquivo .zip final para você com todos estes arquivos dentro.

Nuclei Action

Nuclei é uma ferramenta de scan de vulnerabilidades baseado em templates, com a ajuda da comunidade hoje existem mais de 1000 templates prontos para usar que vão testar sua aplicação em busca de vulnerabilidades conhecidas. Assim como Naabu, também temos um Action oficial do Nuclei que vamos utilizar: https://github.com/marketplace/actions/nuclei-dast-scan

Atenção! Devido a um bug encontrado nas Actions do ProjectDiscovery, vou utilizar um fork proprio onde eu corrigi o problema, assim que a correção for incluida no projeto oficial, vou fazer o update do artigo e trocar fguisso/nuclei-action@inputs por projectdiscovery/nuclei-action@main.

      - name: Nuclei - DAST Scan
        uses: fguisso/nuclei-action@inputs
        with:
          urls: urls.txt
          output: nuclei.txt

Com o resultado anterior, agora temos os hosts e suas portas ativas, vamos passar para o nuclei verificar se em todos estes serviços encontrados, achamos alguma vulnerabilidade.

Rodando seu workflow manualmente

Com tudo configurado, agora podemos rodar o nosso workflow manualmente. Basta acessar a aba Actions no seu repositório, selecionar seu workflow e clicar em Run workflow.

Você pode acompanhar a execução do seu workflow ou apenas esperar até o ícone ficar verde, o que quer dizer que todas os steps aconteceram de forma correta e provavelmente você pode baixar seus resultados no campo de artefatos.

Sempre que quiser, você pode atualizar o domínio que quer escanear e também pode acrescentar mais de um domínio utilizando apenas vírgulas para separá-los. Ex: owasp.org,github.com.

Eventos para automatizar

Como já falado anteriormente, os workflows podem responder a eventos específicos para poder rodar e aqui vamos apenas criar um agendamento, para que possamos rodar nosso workflow uma vez por semana.

on:
    schedule:
        - cron: '0 0 * * 0'
    workflow_dispatch:

Podemos agendar usando expressões cron schedule, assim nosso workflow vai executar uma vez por semana, toda segunda feira as 00:00.

Não remova a linha workflow_dispatch a não ser que você já esteja certo de que não vai usar mais o botão de disparo manual.

Aqui tem uma lista de outros eventos que você pode utilizar para executar seus workflows automaticamente. Leia mais sobre na documentação do Github Actions https://docs.github.com/en/actions/using-workflows/workflow-syntax-for-github-actions#on.

Conhecendo a OWASP

Fernando Guisso — Thu, 02 Apr 2020 02:15:09 +0000

Open Web Application Security Project

Open Community

OWASP é uma comunidade internacional aberta, dedicada em ajudar organizações a manter, desenvolver, adquirir e operar aplicações confiáveis. Com ferramentas, documentos, fóruns e capítulos, abertas e gratuitas para qualquer pessoa interessada em melhorar a segurança de suas aplicações.

O projeto também mantem a Fundação OWASP, uma instituição internacional para dar suporte aos projetos de longo prazo da comunidade.

Valores

OPEN/ABERTO; Tudo é radicalmente transparente, desde as finanças até o nosso código.

INNOVATION/INOVAÇÃO; Incentiva e apoia inovações e experimentos para solucionar desafios de segurança do software.

GLOBAL; Qualquer pessoa em todo o mundo é incentivada a participar da comunidade.

INTEGRITY/INTEGRIDADE; É uma comunidade global honesta e verdadeira, neutra em relação a fornecedores.

Projetos

Vamos apresentar agora alguns projetos conhecidos da OWASP, sempre lembrando que você pode encontrar todo o conteúdo aberto pela internet e também pode colaborar com a construção deles.

OWASP Top 10

É um documento de conscientização para segurança de aplicações web. Ele reune os riscos mais críticos de segurança de aplicações web. Nesta lista você pode encontrar algumas vulnerabilidades, como checar se sua aplicação não esta vulnerável a elas e também algumas contramedidas. Link do projeto.

OWASP Zed Attack Proxy (ZAP)

O ZAP é uma ferramenta de testes de vulnerabilidades popular entre profissionais de segurança e pentesters. Ele pode te ajudar no processo de encontrar e tratar vulnerabilidades em suas aplicações web. Link do projeto.

OWASP Offensive Web Testing Framework (OWTF)

Também uma ferramenta para te auxiliar na busca de vulnerabilidades, o OWTF foi criado para automatizar estes processos e tornar os testes manuais e repetitivos menos chatos. Com suporte direto para os padrões NTIS e PTES. Link do projeto.

OWASP DefectDojo

Uma ótima ferramenta de gerenciamento de vulnerabilidades, otimiza o processo de teste, com ferramentas de modelagem, geração de relatórios e métricas. Pare de gastar uma fortuna com outros gerenciadores de vulnerabilidades e comece contribuindo com o código dessa poderosa ferramenta. Github

OWASP Amass

Enumeração de DNS e mapeamento de infraestrutura com técnicas para obter subdomínios com scraping na web, APIs e consultando bancos de dados públicos. Todo esse poder em uma simples ferramenta, vale a pena colocar no seu bat-cinto de utilidades. Github

OWASP D4N155

OSINT de uma maneira inteligente, este projeto cria wordlists baseado no conteúdo do seu alvo, juntamente com técnicas de Google Dorks. Futuramente algumas features de inteligência de dados serão adicionados e você pode fazer parte do desenvolvimento desta ferramenta. Github

OWASP Juice Shop Project

Como eles gostam de dizer, *é provavelmente a mais moderna e sofisticada aplicação web insegura! *Sim, é isso mesmo, uma aplicação insegura para você testar e aprender sobre as Top 10 vulnerabilidades, com todo um suporte de aprendizagem, livro e ferramentas para facilitar na hora de aprender. Link do projeto.

Estes são alguns dos muitos projetos, caso você queira conhecer todos os projetos, pode dar uma olhada no repositório de projetos. Caso você queira participar dos projetos, entre no github do projeto ou entre em contato com o seu Project Leader.

Hacktoberfest Owasp English

Fernando Guisso — Sat, 05 Oct 2019 14:26:27 +0000

October is here and everyone is running after their 4 PR’s to win a digitalocean t-shirt!

For those who don’t know, in October there is Hacktoberfest, an online and global event where people are awarded for contributing open source code. More information you can see on the official website of the event.

OWASP and projects!

The information security crowd knows how important the tools that assist in the process of code and vulnerability analysis are, and now is the time to contribute these tools and materials.

Here’s a list of the most interesting OWASP projects that can help you with your work and also accept that you contribute code or documentation:

OWASP Top 10

It is a web application security awareness document. It meets the most critical web application security risks. In this list you can find some vulnerabilities, such as checking if your application is not vulnerable to them and also some countermeasures. Github

OWASP Zed Attack Proxy(ZAP)

ZAP is a popular vulnerability testing tool among security professionals and pentesters. It can help you in the process of finding and addressing vulnerabilities in your web applications. Github ZAP Extensions

OWASP Juice Shop Project

As they like to say, it’s probably the most modern and sophisticated insecure web application! Yes, that’s right, an insecure application for you to test and learn about the Top 10 vulnerabilities, with a complete learning support, book and tools to make learning easier. Github

OWASP DefectDojo

A great vulnerability management tool, it streamlines the testing process with modeling, reporting, and metrics tools. Stop spending a fortune on other vulnerability managers and start contributing the code of this powerful tool. Github

OWASP Amass

DNS enumeration and infrastructure mapping with techniques for obtaining web-scraped subdomains, APIs, and querying public databases. All that power in one simple tool is worth putting in your utility belt-bat. Github

OWASP D4N155

OSINT In a smart way, this project creates wordlists based on the content of your target along with Google Dorks techniques. In the future some data intelligence features will be added and you can be part of the development of this tool. Github

These are some of the many projects, so if you want to know all the projects, you can check out the project repository. If you would like to participate in the projects, log into the project github or contact your Project Leader.

Hacktoberfest Owasp

Fernando Guisso — Sat, 05 Oct 2019 14:26:27 +0000

Mês de outubro chegou e todo mundo está correndo atrás dos seus 4 PR’s para ganhar uma camiseta da digitalocean!

Para quem não sabe, no mês de outubro acontece o Hacktoberfest, um evento online e global onde as pessoas são premiadas por contribuir com código open source. Mais informações você pode ver no site oficial do evento.

OWASP e seus projetos!

A galera de segurança da informação sabe o quão importante são as ferramentas que auxiliam no processo de análise de código e vulnerabilidades e agora é a hora de contribuirmos com essas ferramentas e materiais.

Segue uma lista com os projetos mais interessantes da OWASP que podem te ajudar no trabalho e também aceitam que você contribua com o código ou documentação:

OWASP Top 10

É um documento de conscientização para segurança de aplicações web. Ele reúne os riscos mais críticos de segurança de aplicações web. Nesta lista você pode encontrar algumas vulnerabilidades, como checar se sua aplicação não está vulnerável a elas e também algumas contramedidas. Github

OWASP Zed Attack Proxy (ZAP)

OWASP Juice Shop Project

Como eles gostam de dizer, é provavelmente a mais moderna e sofisticada aplicação web insegura! Sim, é isso mesmo, uma aplicação insegura para você testar e aprender sobre as Top 10 vulnerabilidades, com todo um suporte de aprendizagem, livro e ferramentas para facilitar na hora de aprender. Github

OWASP DefectDojo

OWASP Amass

OWASP D4N155

Escrevendo artigos e palestras

Fernando Guisso — Fri, 22 Feb 2019 23:42:45 +0000

Escrevendo artigos e palestras

Veja como começar a compartilhar conhecimento de umas vez por todas.

Se você chegou até aqui, o seu desafio é começar um artigo ou palestra logo após terminar a leitura, não me deixe desapontado.

Escrever artigos e palestras é uma coisa magnifica pois é um dos meios de compartilhar e descentralizar o conhecimento, o que é um dos mantras da cultura hacker que eu gosto muito de seguir.

A algum tempo participo e ajudo a organizar eventos de tecnologia, atualmente sou membro da equipe de conteúdos da Campus Party Brasil e responsável pelas comunidades do evento. Sendo assim eu busquei um pouco sobre como palestrar melhor e aprendi algumas coisas por ai. Inclusive fiz um curso bem legal que foi muito bom não só para palestrar, mas também para o meu auto conhecimento, recomendo muito. https://leonardocalixto.com.br/

Palestra sobre phishing no LAMEC 2018

Lógico que palestrar e escrever um artigo são coisas diferentes, mas na minha mente uma boa palestra começa com um bom planejamento, que pode ser um artigo. Imagina se toda palestra já tivesse seu artigo bunitinho, o mundo seria melhor.

Storytelling

Aqui você não vai encontrar muito sobre este assunto, então vou deixar alguns links para você se aprofundar, mas em resumo, um bom artigo ou palestra nada mais é do que uma boa historia contada.

E uma historia precisa de um começo, meio e fim. Por exemplo a chapeuzinho vermelho:

Começa com uma garota, como ela é, o que ela tem e oque ela precisa de fazer.

No meio, se desenvolve o que ela fez com tudo o que foi apresentado, a historia chega a dar um frio na barriga, uma curiosidade, até chegar no climax da situação.

Por fim tudo que foi desenvolvido no meio, chega em uma solução, tudo se encaixa e termina bem.

Assim deve ser o seu artigo ou palestra, você escolhe um tema, pequeno pois não quer escrever um livro e nem dar uma palestra-filme, elucida os pontos para iniciar o desenvolvimento da historia e atraia a curiosidade do leitor, depois explica cada ponto trazido no inicio, e ao fim, chega em uma conclusão.

Dicas e links

Pegue artigos e palestra com o tema parecido com seu e analise como foi construído.

Fale de coisas que você tenha propriedade, isso não quer dizer que se você não entende um assunto 100%, não pode falar sobre ele. Por exemplo gosto muito palestras, mas não sou formado em comunicação para estar falando aqui, acontece que mesmo assim estou compartilhando experiencias que deram certo comigo e são legais para quem esta começando e não vou alem do que eu não sei.

Medo, vai com medo mesmo, feedbacks são importantes, se preocupe se você só tiver recebendo feedbacks bons, talvez as pessoas não querem perder tempo discutindo com você. Se for feedback ruim, melhor ainda que você vai ter coisas para melhor e aprender coisas novas.

Em palestras as coisas vão muito alem de uma linha de raciocínio do storytelling, existe o tom de voz, a postura do palestrante, improviso, humor e por ai vai, técnicas de palco em geral, nada muito difícil que você não possa aprender na internet.

Manual ilustrado para palestrantes dos TEDx <http://storage.ted.com/tedx/manuals/IllustratedTEDxSpeakerGuide.pdf>

Palestra de humor de como um TED fica tão bom, é engraçado mas da para tirar alguns insights de como montar uma palestra chamativa <https://www.youtube.com/watch?v=8S0FDjFBj8o>

Outras referencias sobre Talks about talks <https://www.ted.com/playlists/574/how_to_make_a_great_presentation>

Artigo muito bom de como começar com artigos <https://medium.com/trainingcenter/o-que-eu-devo-saber-para-escrever-artigos-1d6a6902d6bb>

Dicas marotas para artigos técnicos <https://medium.com/@rosariopfernandes/writer-4195046ab0c4>

O famoso design thinking para palestras <https://medium.com/uxconfbr/como-criar-uma-apresenta%C3%A7%C3%A3o-inteira-antes-mesmo-de-abrir-o-powerpoint-fbdbebbbb3a6>

10 dicas ótimas <https://medium.com/uxconfbr/guia-para-palestrar-em-eventos-da-sua-comunidade-profissional-parte-i-4c2dc28553dd>

Palestras acessíveis - <https://medium.com/uxconfbr/guia-para-eventos-acessiveis-como-fazer-apresentacoes-parte-i-137317610631>

Passei de curioso para influencer de artigos, como se tornar Zika da balada no Medium <https://valternascimento.com.br/como-escrever-textos-de-sucesso-no-medium-5cba69be8a1e>

Desvendando o blockchain

Fernando Guisso — Sat, 01 Sep 2018 23:42:45 +0000

São quase 10 anos desde o paper de Satoshi Nakamoto apresentando o conceito de um sistema de dinheiro eletrônico peer-to-peer, e você ainda não sabe o que é Bitcoin e muito menos Blockchain. Então vamos lá porque ainda da tempo de entrar na crista da onda!

In Blockchain we trust!

Existem alguns textos para crianças de cinco anos explicando o conceito, mas nesta época que vivemos, essas crianças já nascem sabendo, então não sinta-se desmerecido em ler textos deste tipo, com certeza você vai conseguir visualizar o conceito e depois partir para partes mais técnicas. Aqui vai um dos exemplos que sempre utilizo e gosto muito:

A troca da maçã

Nós estamos sentados em um banco no parque Ibirapuera. É um belo dia. Eu tenho uma maçã comigo, e dou ela pra você.

Você agora tem um maçã e eu tenho zero. Muito simples, certo?

Minha maçã esta fisicamente sendo coloca em sua mão. Você sabe que aconteceu. Eu estava lá, você estava lá — você a tocou.

Não precisamos de uma terceira pessoa para nos ajudar na transferencia. Não precisamos de um Juiz entre nós para confirmar que a maçã passou de mim para você.

A maçã agora é sua! Eu não posso de entregar outra maça porque não tenho mais nenhuma. Eu não tenho controle sobre ela mais. A maçã saiu de minha posse. Agora você total controle sobre a maçã. Você pode entregar a maçã para um amigo se quiser, então o seu amigo pode entregar para o amigo dele, e por ai vai.

Agora, digamos que eu tenha uma maçã digital. Vou te entregar minha maçã digital. Agora a coisa fica interessante.

Como você sabe que a maçã digital que costumava ser minha, agora é sua e somente sua? Pense nisso por um instante. É um pouco mais complicado, certo? Como você sabe que eu não mandei esta maçã por email em anexo para meu tio. Ou para meu amigo João. Ou minha amiga Lua também?

Talvez eu tenha feito algumas cópias daquela maçã em meu computador. Talvez eu tenha colocado a maçã para download na internet para um milhão de pessoas baixarem.

Como você pode ver, essa troca digital é um problema. Enviar maçãs digitais não parece igual a enviar maçãs físicas.

Aqui temos um grande problema da computação chamado “gasto duplo” ou “double-spending problem”.

Uma solução para este problema séria fazer um registro da troca em um livro digital. Assim alguém rastreia nossas maçãs e podemos ficar mais tranquilos, problema resolvido!

Ainda temos dois problemas aqui:

Alguém em posse do livro digital, pode criar quantas maçãs quiser.
Não é a mesma coisa que o nosso dia no parque Ibirapuera onde só estávamos você e eu. Alguém com controle do livro é como colocar um Juiz no meio de nossa troca.

Mas como eu posso trocar minha maçã digital com você desta maneira usual?

E se eu desse este livro para todo mundo? No lugar do livro ficar com apenas umas pessoa, ele estaria na computador de todo mundo. Todas as trocas que já aconteceram, de todos os tempos, em maçãs digitais, serão gravados nele.

Você não pode enganar, Eu não posso enviar maçãs que eu não tenho, porque então não seria capaz de sincronizar com todas as outras pessoas no sistema. Seria um sistema difícil de vencer. Especialmente se ficar muito grande.

Ainda mais, não é controlado por uma única pessoa, então eu sei que ninguém pode decidir por dar mais maçãs digitais a si mesmo. As regras do sistema já foram definidas no inicio.

E os códigos e regras são abertos, você pode participar da rede também — atualizando o livro e certificando-se de que tudo fosse feito. Para o problema, você poderia obter 25 maçãs digitais como recompensa. Na verdade, essa é a única maneira de criar mais maçãs digitais no sistema.

Criptografia e mineração

Bom, até aqui entendemos o conceito da cadeia de blocos, mas onde entra a tão famosa ideia de “Minerador” e como a criptografia ajuda no sistema para que pessoas estranhas possam se confiar?

Seguindo a linha da troca de maça no livro digital, cada folha do livro, vamos chamar de bloco, é onde contem algumas trocas registradas. Cada bloco do livro contem um hash(resultado de um algoritmo que representa o arquivo total mas em um tamanho determinado) do bloco anterior, criando uma corrente de blocos(Blockchain), entre outras informações, para que seja calculado uma nova hash.

Para um novo bloco entrar no livro, precisa ser feito uma conta matemática, que apesar de simples(Minerando bitcoin na mão), leva um tempo para ser feita, por isso o computador consegue fazer bem mais rápido.

A cada 10 minutos, a rede do Bitcoin altera os valores desta conta matemática, deixando a aleatoriedade escolher qual computador vai conseguir fazer está conta primeiro. Estes computadores que ficam o dia todo dedicado a fazer esta conta, chamamos de “Mineradores” e a cada bloco minerado, eles ganham uma recompensa, para que o poder de processamento continue valendo a pena.

Agora, se todos da rede precisassem fazer esta conta, provavelmente o Bitcoin não teria crescido tanto, é por isso que o algoritmo de calculo do bloco é demorado, mas o calculo de verificação é um pouco mais rápido. Assim, depois que algum computador encontrar o calculo do bloco, os outros apenas precisam validar esta conta.

Vamos imaginar um artista plástico, que precisa criar um cor para seu quadro com misturas de outras cores. Ele ainda só visualiza a cor que quer chegar nessa mistura em sua cabeça, por isso ele precisa testar muitas vezes até chegar ao resultado esperado, do mesmo jeito é a arte de calcular um novo bloco. Mas depois que o artista chega a cor desejada e aplica a sua obra, quando ele precisar desta nova cor, ele já terá uma referencia, ele não anotou a quantidade de cores que precisa para chegar no resultado, mas com a referencia, fica muito mais fácil ir testando até chegar na cor igual. Então quando temos um bloco já calculado, fica mais fácil fazer a conta de verificação, já que o resultado tem que ser verdadeiro ou falso. Caso seja falso, o bloco não entra na cadeia e alguém ainda tem que calcular o valor real do bloco. Caso verdadeiro, os outros computadores da rede podem adicionar o bloco a sua cadeia.

From Zero to 4

Agora que você entendeu como funciona o Blockchain, vamos trazer mais novidades. Apesar de que o Blockchain é um conceito e termos variantes de todos os tipos, usamos um versionamento para dizer em qual época de ideias estamos.

Blockchain 1.0

O começo de tudo, ou pelo menos quando as coisas se juntaram e tomaram forma, o Bitcoin. O primeiro exemplo de blockchain para cryptomoedas, uma forma de registro de trocar e transações financeiras. O tempo do dinheiro da internet.

Blockchain 2.0

Chamem os Robodivogados, chegou a onda dos Smart Contracts. Contratos inteligentes, registrados no blockchain para serem executados de modo autônomo. Neste campo, o blockchain do Ethereum é um dos mais utilizados para criar Smart Contracts.

Blockchain 3.0

Até este momento, os Smart Contracts eram escritos como linguagens de programação, se deu bem o Advogado que aprendeu a programar em algum curso por ai. Outras pessoas não conseguiam interagir com esses novos contratos, foi ai que surgiu os Dapps, Decentralized Applications, que nada mais é que um sistema que utiliza os Smart Contracts como back-end, e tem uma camada de front-end para o usuário comum conseguir interagir com o blockchain.

Blockchain 4.0

Aqui temos um match com um outro conceito novo, a Industria 4.0, onde você utiliza IoT para conectar as maquinas de industrias a rede. Juntando Cryptomoedas, Dapps e IoT chegamos a nova fase do blockchain.