Mushroom kingdom

Una inmersión en las tuberías CI/CD con Mario y Luigi

Una tarde en Bureau Veritas Cybersecurity, buceando en el pirateo de canalizaciones CI/CD.

mouse - simple-line-icons

Hackeando el Reino de las Setas: mi tarde en Bureau Veritas Cybersecurity

¡Hola a todos! ¡Me llamo Ilnur, soy estudiante de 3er año de Ciber seguridad en la Universidad de Ciencias Aplicadas de Amsterdam (UAAS/HvA), y en este post os contaré mi experiencia ayudando a Bowser a hackear a Mario & Luigi!

Hace un par de semanas Sara Busscher se puso en contacto conmigo para preguntarme si estaba interesado en aprender más sobre el hackeo de canalizaciones CI/CD. Para ser sincero, era la primera vez que oía hablar de CI/CD o algo parecido, pero basándome en mi experiencia previa con la noche holandesa de Docker, no dudé en aprovechar la oportunidad que se me brindaba.

El evento tuvo lugar en las nuevas oficinas de Bureau Veritas Cybersecurity, justo al lado de la estación de tren Bijlmer Arena, y aunque al principio me costó encontrar el ascensor adecuado (el edificio está separado en dos), al final me encontré entre las amables Personas que conocí hace un año.

Definitivamente un tema Mario

Antes de que empezara el evento, estaba claro que tenía algo que ver con "Mario": las mesas estaban cubiertas temáticamente, ¡e incluso había juguetes repartidos por todas partes! (Sinceramente, aún me pregunto si realmente guardan decoraciones de Mario en algún lugar de la oficina, o si sólo fue algo puntual).

Nuestros anfitriones de la noche fueron Charleston y George, ambos expertos en seguridad muy experimentados en Bureau Veritas Cybersecurity. Nos explicaron de forma rápida pero clara qué eran los pipelines CI/CD, ¡y decidieron ilustrarnos sobre el plan maestro de Bowsers para hackearlos!

Parecíamos estar en Devtopia, un paisaje temático de Mario lleno de túneles. Estos túneles eran analogías de los pipelines que estábamos a punto de hackear.

Foto Ilnur

Ilnur Khakimov

Estudiante de 3er año de ciberseguridad

(UAAS/HvA)

Pasamos la tarde en Devtopia, un paisaje temático de Mario lleno de túneles. Estos túneles eran analogías de las tuberías que íbamos a piratear.

Para ello obtuvimos los principios básicos de cómo funcionaba CI/CD: cuando Luigi (desarrollador junior) hubiera trabajado en su código, haría un pull request a través del pipeline "OnMerge". Si teníamos suerte (siendo los hackers profesionales que éramos, la "suerte" es nuestra principal arma de elección), podríamos robarles alguna información olvidada.

Tras completar este objetivo, había aprendido nueva información sobre el funcionamiento de git. Por ejemplo, no tenía ni idea de que las versiones anteriores del código eran accesibles localmente (me veía fácilmente cometiendo este error de otro modo). Por suerte para nosotros (ya se lo dije, la suerte es nuestra principal arma), George y Charleston habían preparado algunos comandos útiles en el orden correcto de ejecución. Eso no significaba que nos dieran una guía completa para completar los desafíos, ya que aún tendrías que hacerlo cuando tuvieras que ejecutarlos.

Por desgracia, me quedé atascado en los dos pasos siguientes (parecía que mi git no estaba configurado correctamente o algo así), así que me tocó ver lo que hacía el resto. Por suerte (¿debería repetirlo?) los retos estaban diseñados de tal manera, que pude ponerme al día durante el último paso; se necesitaba la información del paso 1 para continuar con el reto, cosa que hice con éxito.

Enorme cantidad de pizzas

¡Entre reto y reto llegó una enorme cantidad de pizza's! Pudimos charlar un poco entre nosotros durante ese descanso, y conocí a algunas personas nuevas, ¡a una de las cuales recuerdo que llevaba una camiseta premiada por hackear al gobierno holandés! Fue muy interesante escuchar su historia al respecto, e incluso pude confirmar mi afirmación sobre la suerte en la forma en que lo hizo (tener suerte debe ser un premio a la habilidad, supongo).

Desgraciadamente, tuve que marcharme 30 minutos antes, así que no pude disfrutar del recorrido completo de los desafíos, ¡aunque me llevé una práctica bolsa de regalos para casa! Aun así, cuando me acompañaban a la salida, me hicieron la pregunta de si había aprendido algo de esta velada. "De todo un poco, empezando por la existencia de estas cosas" fue mi respuesta.

Para concluir este post, ¡definitivamente recomendaría a los estudiantes que se apunten a los talleres de Bureau Veritas Cybersecurity, si se les presenta la oportunidad! Me gustaría dar las gracias a Charleston y a George por todo lo que hicieron por nosotros esa noche, y un agradecimiento especial a Sara por acordarse de mi tipo de vino favorito.