midulive
Transcribed podcasts: 605
Time transcribed: 13d 3h 7m 36s
Time transcribed: 13d 3h 7m 36s
results.
This graph shows how many times the word ______ has been mentioned throughout the history of the program.
Si estás utilizando ARK, tienes que saber esto.
ARK, el navegador que está disponible para Mac y para Windows,
¡buah! La que se lió con esto, ¿eh?
Ostras, no lo tenía previsto comentar, pero es que me acabo de acordar
y yo creo que es importante que lo sepáis para que toméis buenas decisiones.
Pero el tema es, este navegador que al final se está haciendo muy famoso
especialmente por todo el tema de la UI,
porque tiene como unas herramientas bastante interesantes,
todo esto que, vale, tiene buena pinta,
pues el otro día, el fallo de seguridad catastrófico en el navegador ARK
que preocupa a todos.
El navegador ARK tiene una vulnerabilidad que expone a sus usuarios,
entérate de qué se trata.
Yo creo que ya la han arreglado, o sea, creo que no está como tal,
no como que, ¿ves? Es que ya fue parcheada.
Claro, es que aquí dice, aquí parece como que el fallo lo tiene todavía
y no lo tiene, ¿vale? O sea, realmente ya está solucionado.
El problema no es que esté solucionado, que lo vamos a leer,
que sea catastrófico, parece muy clickbait,
pero ojo, cuidado, porque es bastante grave, ¿eh?
Y es que, fijaos, este fallo de seguridad
podría haber permitido a los atacantes
acceder a las sesiones de otros usuarios
simplemente conociendo su idea de usuario.
El investigador conocido como XYZ3
explica en un blog cómo le falla la implementación de Firebase
por parte de The Browser Company
facilitaba este ataque.
Afortunadamente, la empresa asegura que no hay evidencia
que la vulnerabilidad haya sido explotada.
Y es que, de acuerdo a The Verge,
el fallo se centraba en Arc Boost,
una función en el navegador que permite a los usuarios
personalizar sitios web con código CSS y JavaScript,
que esta es una de las casas,
una de las grandes funcionalidades que tiene Arc, ¿no?
Que tú puedes ir a cualquier página web
y puedes cambiar el color de fondo
y eso se cambia y tal.
Está bastante interesante.
Pero el problema es que,
debido a una configuración incorrecta
de las listas de control de acceso,
ACL en Firebase,
que, por cierto,
esto es uno de los grandes problemas de seguridad
de Firebase y de Superbase también,
que suele ocurrir cada dos por tres.
Es el hecho del control de acceso,
los permisos de quién es la persona
y qué es lo que puede hacer a la hora de actualizar,
de crear,
de modificar la base de datos.
Es bastante común,
porque sí,
RSL sería en el caso de Superbase, ¿no?
Road Level Security de Superbase
y en el caso de Firebase se llaman ACL,
que es Access Control List, ¿vale?
Es básicamente lo mismo.
Las rules de Firebase típicas.
Hostia, me está dando todo el solaco.
Mira, me está dando todo el solaco.
Por culpa de no hacer bien
la configuración de las listas de control,
los atacantes podían cambiar el ID
del creador de un bus,
lo que les permitía ejecutar código arbitrario
en el navegador de cualquier usuario.
Porque lo que ocurría
es que cualquier persona
podía meter un JavaScript
en tu cuenta, ¿vale?
Porque como puedes modificar el CSS y el JavaScript,
pues imagínate que te incrustaban un JavaScript
que si tú darte cuenta
empezaba a ejecutarlo.
O sea, una locura.
La forma de tener estos ID de usuario
incluía enlaces compartidos
o bus públicos
facilitando la explotación del fallo
sin que la víctima
necesitará realizar ninguna acción.
Palabras de The Browser Company,
dado que ejecutar JavaScript arbitrario
en sitios web puede generar problemas,
optamos por no permitir
que los buscos en JavaScript personalizados
se puedan compartir entre miembros.
A pesar de esta precaución,
la vulnerabilidad expuso a los usuarios
a posibles ataques.
Claro, ¿cuál es el problema realmente?
Porque, a ver, ya está arreglado, ¿no?
O sea, como tal, pues ya está,
no hay nada más que hacer.
Pero el problema viene
cuando lo ha estado comentando
el bueno de la persona
que encontró este error.
La persona que encontró el error,
XYZEVA,
es un hacker no profesional
o una persona de la ciberseguridad,
como lo queráis indicar.
Y aquí es donde estoy hablando de esto, ¿no?
Ganando acceso a cualquier navegador
sin necesidad ni siquiera
de visitar una página.
Es que solo sabiendo la idea del usuario
ya lo podías utilizar y ya está.
Pues el tema es,
uno,
que esta pedazo de falla de seguridad
solo le dieron 2.000 dólares.
O sea,
es bastante bestia, ¿eh?
2.000 dólares.
O sea,
imaginad
que un fallo de seguridad
que cualquier persona
podía hacer
que otro usuario
pudiese ejecutar
JavaScript
de forma arbitraria
sin interacción
del usuario,
sin interacción
del usuario,
y solo te dan
2.000 dólares.
2.000 dólares
es bastante poco
porque dependiendo
de cómo de grave
suele ser
un fallo de seguridad,
claro,
un fallo de seguridad
que afecta
a 100 usuarios,
pues seguramente
te dan menos.
Un fallo de seguridad
de que haciendo algo
muy complicado
ocurre,
pues seguramente te dan poco.
Pero claro,
un fallo de seguridad
que le afecta
a todos los usuarios
de tu plataforma
inmediatamente,
que alguien lo podría
estar explotando,
que si no te lo digo a ti,
lo puedo estar explotando yo
y puede infectar
a todos tus usuarios
de golpe
sin interacción
de ellos.
O sea,
es muy bestia,
2.000 euros
es muy poco,
muy, muy poco.
De hecho,
se han salvado,
se han salvado
de una buena,
es que se les podía
haber caído el pelo
ARC.deb,
ARC.deb no,
el navegador de ARC,
o sea,
se han salvado
de milagro.
Fijaos,
fijaos lo que dicen
por aquí,
si browser te pagó
presumiblemente
eso significa
que afecta
ARC Internet.
¿Afecta también
a otros navegadores
basados en Chromium?
No,
solo afecta a ARC,
no afecta a otros
como Chromium
y tal.
¿Vale?
Y encima,
¿cuál ha sido el problema?
El problema es que
esta persona
lo llegó a publicar
porque la gente
de ARC
no se,
o sea,
no hablaban
del problema
de seguridad.
O sea,
dijeron,
ah bueno,
como hemos pagado ya,
pues ya está,
no pasa nada,
lo arreglamos
en silencio,
no avisamos a nadie
y ya está.
y claro,
pues se ha liado
una bastante gorda
en Twitter
de,
ostras,
no solo le pagas poco
sino que encima
no informas
a tus usuarios
porque tú no tienes
la seguridad
100%
de que alguien
no lo haya explotado
antes.
¿Cómo no lo vas
a explicar
con,
pues esto,
¿no?
Con un reporte
diciéndole a la gente
oye,
que sepáis
que ha pasado esto,
que ha pasado lo otro,
que no sé qué,
que lo hemos arreglado,
que no lo hemos arreglado,
no sé,
cuéntanos.
Y una vez
que,
obviamente,
pues la gente
estaba hablando esto,
pues ahora sí
que lo han comentado.
Dice que no hay
miembros de ARK
que han sido afectados
por esta vulnerabilidad,
que han hecho un análisis
en su Firebase
mirando access logs
y pueden confirmar
que nadie lo ha cambiado,
¿vale?
O sea,
que bien,
que parece que al final
lo han hecho,
pero porque se han visto
obligados,
porque se han visto obligados.
Y aquí en este,
se han visto obligados
porque este hacker
en este blog,
una vez que ya lo pagó,
una vez que se enteró
que lo habían arreglado,
¿vale?
Una vez que ya se ha enterado
que lo habían arreglado.
Fijaos cómo eran
los ataques de Firebase.
Es que era bastante sencillo.
Era cuestión
de llamar directamente
a la API de Firebase,
decirle a la colección,
mirar el user ID
y cambiar esos valores
tal cual.
Es un fallo muy grave,
¿eh?
Muy,
pero que muy grave.
Claro,
que me pase a mí,
pues bueno,
lo puedo entender,
pero tal.
Y dice
que en este caso,
en este caso,
que ahora sí
que parece que
han hecho este report
y tal,
que claro,
que decía esto,
¿no?
Que cómo podía ser
que no explicase
absolutamente nada de esto.
Al final lo han explicado,
o sea,
que nada,
genial,
aquí está el CTO y el cofundador,
que no había ningún miembro
que estaba así,
pero no sé.
A ti no,
que nos pasa a nosotros,
vale.
No,
pero quiero decir,
no,
quiero decir,
yo como desarrollador,
que al final
no tengo millones de euros
de inversión detrás,
bueno,
pues a ver,
o a ti como desarrollador,
que se te pueda escapar esto
en un side project tuyo,
pues puede ser.
Pero es que el problema
de ARK,
del browser company,
es que tiene una inversión
de más de 50 millones de dólares
en sus espaldas.
O sea,
ah,
no,
más,
más.
O sea,
ya había levantado,
Dios mío,
Dios mío,
o sea,
acaba de levantar hace poco
50 millones de dólares,
50 millones de dólares,
pero es que en total
ya ha levantado 128 millones de dólares,
haciendo que la empresa esté,
tenga una valoración
de 550 millones de dólares.
Y os voy a decir
una cosa un poco polémica,
os voy a decir
una cosa un poco polémica
y yo sé que a vosotros
os puede encantar,
os puede encantar
este navegador y tal,
pero me parece
una vendida de humo
nivel sideral.
Un navegador
que no deja de ser
un fork de Chrome
o un grapper de Chrome,
vale,
está valorado
en 550 millones de dólares.
Un producto
que es totalmente gratis
y que habría que ver
realmente
cómo va a ganar dinero.
O sea,
cómo va a hacer dinero
ARK.
O sea,
estoy alucinando,
no tenía ni idea,
no tenía ni idea,
pero me parece,
me parece que
levantar todo este dinero...
Otra de las discusiones
es que a día de hoy
no saben cómo hacer rentable
ese navegador.
Claro,
claro,
es que a ver,
¿cómo vas a hacer rentable
el navegador?
¿Cómo lo vas a hacer rentable?
No entiendo,
no entiendo si
es que vas a vender datos,
porque es que lo único
que se me ocurre
es que empieces a vender
los datos de tus usuarios.
No sé,
con inteligencia artificial
vas a empezar a cobrar
la inteligencia artificial
esta de Max
para que cada vez
que se utilice
tengas que pagar.
Puede ser,
pero ¿te va a dar
tanto dinero?
Lo veo complicado,
¿eh?
Lo veo complicado
que te vaya a dar
tanto dinero.
Me parece que es
demasiado dinero
para lo que realmente
puede ofrecerte
algo que,
bueno,
está bien,
como navegador está bien,
o sea,
yo no digo que no esté bien,
pero 500 millones
es que,
no sé,
y encima tienes este problema
y le pagas 2.000 dólares,
una empresa que acaba
de conseguir 120 millones
de dólares.
No entiendo como a proyectos
que así le damos 500 millones
cuando un desarrollador
que es el que te hace
el producto
quieres un aumento,
lo esratea
lo mínimo que puedas.
Buena pregunta,
Fabián.
Si al menos habláramos
de Brave,
que tiene modificaciones
detrás,
que tiene auditorías
de seguridad de código,
que tiene servicios añadidos
como Leo,
el buscador.
Ya, ya,
a ver,
yo sinceramente,
si me dices
entre Brave y Arc,
yo creo que Brave
tiene más historia,
tiene como más cosas
y podría llegar a entender.
No sé,
Brave,
al final,
Brave Investment,
a ver cuánto dinero
tiene detrás.
No sé,
no sé si el navegador,
seguramente está valorado
incluso menos,
no me extrañaría.
Mira,
ha levantado 42 millones,
o sea,
ha levantado menos,
ha levantado menos,
tío.
Ha levantado 42 millones,
¿cómo puede ser?
Y mira que está creado
el creador,
o sea,
el CEO,
el fundador y el CEO,
es el,
no sé si el CEO todavía,
pero es el creador
de JavaScript,
o sea,
que encima tiene los contactos.
¿Cómo puede ser?
¿Cómo puede ser?
Tremendo,
¿eh?
No sé,
no sé,
alucino,
alucino.
En Arc te creas una cuenta
con email y todo
según lo abres.
Claro,
claro,
tarde o temprano
os van a pillar ahí
la gente de Arc.
Es lo típico,
haz un producto
que esté muy bien.
En esos casos,
uno debe discutir
cuánto pedir.
Si yo fuese el hacker
pediría 10,000 dólares.
A ver,
si es pedir,
si tú empiezas a pedir,
al final el problema
que hay entonces
es que eres hacker,
¿vale?
Porque tú lo que estás
haciendo es chantajear.
Si tú lo que haces
es pedir,
es un chantaje,
es ilegal también,
y además
te estás convirtiendo
en un hacker,
¿no?
Estás extorsionando realmente
de si no quieres esto
y te pueden perseguir
por ello.
Entonces,
bueno,
hay cada uno
que haga lo que quiera.
Yo no lo haría.
Pero muchas veces
lo que tienen muchos
de estos navegadores
o como por ejemplo
GitHub,
Apple y todo esto,
digamos que tienen
el Back Bounty
o el,
¿cómo le llaman?
Security Bounty.
Hay diferentes nombres,
¿no?
Por ejemplo,
Apple Security Bounty.
Tú lo que haces
en este tipo de plataformas
que suelen ser suyas
es que tú lo que haces
es informarles
directamente
de la vulnerabilidad
de seguridad
o de privacidad
o lo que sea
y ellos lo que hacen
es considerar
cuál es el dinero
que te van a pagar.
Eso es lo que van a hacer.
Por ejemplo,
pues aquí tienes,
¿no?
Te dicen,
mira,
Security Research,
puedes crear un reporte
y aquí lo que puedes hacer
pues te dicen
cuáles son los pasos
para reproducirlo,
cómo lo has conseguido
y todo esto
y a partir de ahí
determinan
cuál es la recompensa
que te deberían dar
y ya está.
Ahí te dan la recompensa.
Mira,
en este caso,
en este ejemplo
que se ve por aquí,
ves,
te dice,
venga,
has recibido una recompensa
y la recompensa sería
pues de 50.000 dólares
en este caso
y ellos son
los que determinan
un poquito
perdón,
Midu,
pero un hacker
no es lo mismo
un ciberdelincuente.
Sí,
bueno,
ya me entendéis,
ya me entendéis
más o menos,
o sea,
yo entiendo
que un hacker
no es un ciberdelincuente,
yo lo sé,
yo lo sé,
yo lo sé,
de Btuk,
yo lo sé,
pero un poco
para que me entendáis
porque al final,
según si lo hacéis
en inglés
o en español,
por ejemplo,
en español de España,
por desgracia,
no se le llaman
ciberdelincuentes
a los ciberdelincuentes,
sino que se llaman
hackers
a los que quieren decir
realmente
gente de ciberseguridad,
¿vale?
Pero,
por desgracia,
en España,
muchas veces
le llaman hacker,
mal,
mal,
pero le llaman hacker.
Entonces,
para entenderlo
más o menos así,
digo que los separemos,
¿no?
De que te convierte más
en una persona
que estás extorsionando
y tal,
pero no es que sea hacker,
al final el hacker
ni siquiera tiene que ver
nada con temas de seguridad,
el tema de hacking
es una cosa que viene
mucho más antiguo
que es cualquier persona
que de forma creativa
llevaba el límite
de la tecnología
y está muy bien
el poema incluso que hay,
¿eh?
Pero el tema es,
perdón,
Midu,
pero un hacker
no es lo mismo
que un hacker,
es verdad,
es hacker con J
o hacker con,
en fin,
y hay white hat,
black hat,
es que dependiendo
de cómo lo queráis decir,
pero el tema es,
independientemente
de la palabra
que queráis utilizar,
hacker y tal,
ciberdelincuente,
si extorsionas
o te pones a hablar aquí
de,
oye,
me tienes que pagar esto,
esto al final
es una estafa,
una extorsión,
una amenaza
y eso es un delito,
pero si lo haces
de forma honesta,
digamos,
pues lo tienes por aquí,
por ejemplo,
la gente de Apple
tiene esto,
la gente de GitHub
tiene este
y también incluso
te llegan a decir,
ves,
los rewards
ya te lo explican,
te dicen,
oye,
mira,
lo que te vamos a dar
si es crítico,
te vamos a dar
de 20.000 a 30.000
o incluso más,
fíjate que te pone aquí
incluso más,
alto de 10.000 a 20.000
y te dicen un poco
qué es lo que tiene
que satisfacer
para estar ahí dentro,
¿no?
incluso si no me equivoco
en algún sitio
por aquí,
no sé dónde,
porque la gente de GitHub
te decía
en un sitio
te llegaba a explicar
cuánto se había dado
de cada uno,
ah,
qué lástima,
a lo mejor no es en esta página,
pero en un sitio tenía
que te explicaba
cuánto se había dado
de cada uno
y te decía incluso
la media de dinero
que habían pagado
y tal,
está bastante chulo.
Esto también lo tiene Microsoft,
lo tiene todo el mundo,
en Windows también lo hacen,
mira,
Bounty Program,
todo lo tienen,
Chrome también tiene el suyo,
¿ves?
Bounty Program,
de hecho,
si no me equivoco,
Microsoft es uno de los que pagan
bastante bien,
mira,
si falla,
si reportas una vulnerabilidad
de Microsoft Identity,
te pueden pagar
hasta 100.000 dólares,
100.000 dólares,
es una pasada,
claro,
por eso hay gente
que se dedica a esto,
el problema es
cuando no está bien definido,
que es lo que ha pasado
con el navegador
y te pagan,
pues,
dos patatas,
mira,
Chrome,
Chrome también tiene
su Bounty Program,
así que,
¿ves?
Vulnerability Reward Program Rules,
es que lo tienen,
lo tienen todos,
todos los que son en condiciones
lo tienen,
yo creo que lo mejor
sería pedirle a la empresa
que cree su Bounty Page
antes de reportarlo
para saber cuánto pagan,
buena idea,
si es poco,
lo vendes en la Deep Web,
eso no es buena idea,
es broma,
cara sonriente,
es broma,
ya,
ya,
es broma,
es broma,
tú lo que sabes más,
no sabes nada,
madre mía.
ARK, el navegador que está disponible para Mac y para Windows,
¡buah! La que se lió con esto, ¿eh?
Ostras, no lo tenía previsto comentar, pero es que me acabo de acordar
y yo creo que es importante que lo sepáis para que toméis buenas decisiones.
Pero el tema es, este navegador que al final se está haciendo muy famoso
especialmente por todo el tema de la UI,
porque tiene como unas herramientas bastante interesantes,
todo esto que, vale, tiene buena pinta,
pues el otro día, el fallo de seguridad catastrófico en el navegador ARK
que preocupa a todos.
El navegador ARK tiene una vulnerabilidad que expone a sus usuarios,
entérate de qué se trata.
Yo creo que ya la han arreglado, o sea, creo que no está como tal,
no como que, ¿ves? Es que ya fue parcheada.
Claro, es que aquí dice, aquí parece como que el fallo lo tiene todavía
y no lo tiene, ¿vale? O sea, realmente ya está solucionado.
El problema no es que esté solucionado, que lo vamos a leer,
que sea catastrófico, parece muy clickbait,
pero ojo, cuidado, porque es bastante grave, ¿eh?
Y es que, fijaos, este fallo de seguridad
podría haber permitido a los atacantes
acceder a las sesiones de otros usuarios
simplemente conociendo su idea de usuario.
El investigador conocido como XYZ3
explica en un blog cómo le falla la implementación de Firebase
por parte de The Browser Company
facilitaba este ataque.
Afortunadamente, la empresa asegura que no hay evidencia
que la vulnerabilidad haya sido explotada.
Y es que, de acuerdo a The Verge,
el fallo se centraba en Arc Boost,
una función en el navegador que permite a los usuarios
personalizar sitios web con código CSS y JavaScript,
que esta es una de las casas,
una de las grandes funcionalidades que tiene Arc, ¿no?
Que tú puedes ir a cualquier página web
y puedes cambiar el color de fondo
y eso se cambia y tal.
Está bastante interesante.
Pero el problema es que,
debido a una configuración incorrecta
de las listas de control de acceso,
ACL en Firebase,
que, por cierto,
esto es uno de los grandes problemas de seguridad
de Firebase y de Superbase también,
que suele ocurrir cada dos por tres.
Es el hecho del control de acceso,
los permisos de quién es la persona
y qué es lo que puede hacer a la hora de actualizar,
de crear,
de modificar la base de datos.
Es bastante común,
porque sí,
RSL sería en el caso de Superbase, ¿no?
Road Level Security de Superbase
y en el caso de Firebase se llaman ACL,
que es Access Control List, ¿vale?
Es básicamente lo mismo.
Las rules de Firebase típicas.
Hostia, me está dando todo el solaco.
Mira, me está dando todo el solaco.
Por culpa de no hacer bien
la configuración de las listas de control,
los atacantes podían cambiar el ID
del creador de un bus,
lo que les permitía ejecutar código arbitrario
en el navegador de cualquier usuario.
Porque lo que ocurría
es que cualquier persona
podía meter un JavaScript
en tu cuenta, ¿vale?
Porque como puedes modificar el CSS y el JavaScript,
pues imagínate que te incrustaban un JavaScript
que si tú darte cuenta
empezaba a ejecutarlo.
O sea, una locura.
La forma de tener estos ID de usuario
incluía enlaces compartidos
o bus públicos
facilitando la explotación del fallo
sin que la víctima
necesitará realizar ninguna acción.
Palabras de The Browser Company,
dado que ejecutar JavaScript arbitrario
en sitios web puede generar problemas,
optamos por no permitir
que los buscos en JavaScript personalizados
se puedan compartir entre miembros.
A pesar de esta precaución,
la vulnerabilidad expuso a los usuarios
a posibles ataques.
Claro, ¿cuál es el problema realmente?
Porque, a ver, ya está arreglado, ¿no?
O sea, como tal, pues ya está,
no hay nada más que hacer.
Pero el problema viene
cuando lo ha estado comentando
el bueno de la persona
que encontró este error.
La persona que encontró el error,
XYZEVA,
es un hacker no profesional
o una persona de la ciberseguridad,
como lo queráis indicar.
Y aquí es donde estoy hablando de esto, ¿no?
Ganando acceso a cualquier navegador
sin necesidad ni siquiera
de visitar una página.
Es que solo sabiendo la idea del usuario
ya lo podías utilizar y ya está.
Pues el tema es,
uno,
que esta pedazo de falla de seguridad
solo le dieron 2.000 dólares.
O sea,
es bastante bestia, ¿eh?
2.000 dólares.
O sea,
imaginad
que un fallo de seguridad
que cualquier persona
podía hacer
que otro usuario
pudiese ejecutar
JavaScript
de forma arbitraria
sin interacción
del usuario,
sin interacción
del usuario,
y solo te dan
2.000 dólares.
2.000 dólares
es bastante poco
porque dependiendo
de cómo de grave
suele ser
un fallo de seguridad,
claro,
un fallo de seguridad
que afecta
a 100 usuarios,
pues seguramente
te dan menos.
Un fallo de seguridad
de que haciendo algo
muy complicado
ocurre,
pues seguramente te dan poco.
Pero claro,
un fallo de seguridad
que le afecta
a todos los usuarios
de tu plataforma
inmediatamente,
que alguien lo podría
estar explotando,
que si no te lo digo a ti,
lo puedo estar explotando yo
y puede infectar
a todos tus usuarios
de golpe
sin interacción
de ellos.
O sea,
es muy bestia,
2.000 euros
es muy poco,
muy, muy poco.
De hecho,
se han salvado,
se han salvado
de una buena,
es que se les podía
haber caído el pelo
ARC.deb,
ARC.deb no,
el navegador de ARC,
o sea,
se han salvado
de milagro.
Fijaos,
fijaos lo que dicen
por aquí,
si browser te pagó
presumiblemente
eso significa
que afecta
ARC Internet.
¿Afecta también
a otros navegadores
basados en Chromium?
No,
solo afecta a ARC,
no afecta a otros
como Chromium
y tal.
¿Vale?
Y encima,
¿cuál ha sido el problema?
El problema es que
esta persona
lo llegó a publicar
porque la gente
de ARC
no se,
o sea,
no hablaban
del problema
de seguridad.
O sea,
dijeron,
ah bueno,
como hemos pagado ya,
pues ya está,
no pasa nada,
lo arreglamos
en silencio,
no avisamos a nadie
y ya está.
y claro,
pues se ha liado
una bastante gorda
en Twitter
de,
ostras,
no solo le pagas poco
sino que encima
no informas
a tus usuarios
porque tú no tienes
la seguridad
100%
de que alguien
no lo haya explotado
antes.
¿Cómo no lo vas
a explicar
con,
pues esto,
¿no?
Con un reporte
diciéndole a la gente
oye,
que sepáis
que ha pasado esto,
que ha pasado lo otro,
que no sé qué,
que lo hemos arreglado,
que no lo hemos arreglado,
no sé,
cuéntanos.
Y una vez
que,
obviamente,
pues la gente
estaba hablando esto,
pues ahora sí
que lo han comentado.
Dice que no hay
miembros de ARK
que han sido afectados
por esta vulnerabilidad,
que han hecho un análisis
en su Firebase
mirando access logs
y pueden confirmar
que nadie lo ha cambiado,
¿vale?
O sea,
que bien,
que parece que al final
lo han hecho,
pero porque se han visto
obligados,
porque se han visto obligados.
Y aquí en este,
se han visto obligados
porque este hacker
en este blog,
una vez que ya lo pagó,
una vez que se enteró
que lo habían arreglado,
¿vale?
Una vez que ya se ha enterado
que lo habían arreglado.
Fijaos cómo eran
los ataques de Firebase.
Es que era bastante sencillo.
Era cuestión
de llamar directamente
a la API de Firebase,
decirle a la colección,
mirar el user ID
y cambiar esos valores
tal cual.
Es un fallo muy grave,
¿eh?
Muy,
pero que muy grave.
Claro,
que me pase a mí,
pues bueno,
lo puedo entender,
pero tal.
Y dice
que en este caso,
en este caso,
que ahora sí
que parece que
han hecho este report
y tal,
que claro,
que decía esto,
¿no?
Que cómo podía ser
que no explicase
absolutamente nada de esto.
Al final lo han explicado,
o sea,
que nada,
genial,
aquí está el CTO y el cofundador,
que no había ningún miembro
que estaba así,
pero no sé.
A ti no,
que nos pasa a nosotros,
vale.
No,
pero quiero decir,
no,
quiero decir,
yo como desarrollador,
que al final
no tengo millones de euros
de inversión detrás,
bueno,
pues a ver,
o a ti como desarrollador,
que se te pueda escapar esto
en un side project tuyo,
pues puede ser.
Pero es que el problema
de ARK,
del browser company,
es que tiene una inversión
de más de 50 millones de dólares
en sus espaldas.
O sea,
ah,
no,
más,
más.
O sea,
ya había levantado,
Dios mío,
Dios mío,
o sea,
acaba de levantar hace poco
50 millones de dólares,
50 millones de dólares,
pero es que en total
ya ha levantado 128 millones de dólares,
haciendo que la empresa esté,
tenga una valoración
de 550 millones de dólares.
Y os voy a decir
una cosa un poco polémica,
os voy a decir
una cosa un poco polémica
y yo sé que a vosotros
os puede encantar,
os puede encantar
este navegador y tal,
pero me parece
una vendida de humo
nivel sideral.
Un navegador
que no deja de ser
un fork de Chrome
o un grapper de Chrome,
vale,
está valorado
en 550 millones de dólares.
Un producto
que es totalmente gratis
y que habría que ver
realmente
cómo va a ganar dinero.
O sea,
cómo va a hacer dinero
ARK.
O sea,
estoy alucinando,
no tenía ni idea,
no tenía ni idea,
pero me parece,
me parece que
levantar todo este dinero...
Otra de las discusiones
es que a día de hoy
no saben cómo hacer rentable
ese navegador.
Claro,
claro,
es que a ver,
¿cómo vas a hacer rentable
el navegador?
¿Cómo lo vas a hacer rentable?
No entiendo,
no entiendo si
es que vas a vender datos,
porque es que lo único
que se me ocurre
es que empieces a vender
los datos de tus usuarios.
No sé,
con inteligencia artificial
vas a empezar a cobrar
la inteligencia artificial
esta de Max
para que cada vez
que se utilice
tengas que pagar.
Puede ser,
pero ¿te va a dar
tanto dinero?
Lo veo complicado,
¿eh?
Lo veo complicado
que te vaya a dar
tanto dinero.
Me parece que es
demasiado dinero
para lo que realmente
puede ofrecerte
algo que,
bueno,
está bien,
como navegador está bien,
o sea,
yo no digo que no esté bien,
pero 500 millones
es que,
no sé,
y encima tienes este problema
y le pagas 2.000 dólares,
una empresa que acaba
de conseguir 120 millones
de dólares.
No entiendo como a proyectos
que así le damos 500 millones
cuando un desarrollador
que es el que te hace
el producto
quieres un aumento,
lo esratea
lo mínimo que puedas.
Buena pregunta,
Fabián.
Si al menos habláramos
de Brave,
que tiene modificaciones
detrás,
que tiene auditorías
de seguridad de código,
que tiene servicios añadidos
como Leo,
el buscador.
Ya, ya,
a ver,
yo sinceramente,
si me dices
entre Brave y Arc,
yo creo que Brave
tiene más historia,
tiene como más cosas
y podría llegar a entender.
No sé,
Brave,
al final,
Brave Investment,
a ver cuánto dinero
tiene detrás.
No sé,
no sé si el navegador,
seguramente está valorado
incluso menos,
no me extrañaría.
Mira,
ha levantado 42 millones,
o sea,
ha levantado menos,
ha levantado menos,
tío.
Ha levantado 42 millones,
¿cómo puede ser?
Y mira que está creado
el creador,
o sea,
el CEO,
el fundador y el CEO,
es el,
no sé si el CEO todavía,
pero es el creador
de JavaScript,
o sea,
que encima tiene los contactos.
¿Cómo puede ser?
¿Cómo puede ser?
Tremendo,
¿eh?
No sé,
no sé,
alucino,
alucino.
En Arc te creas una cuenta
con email y todo
según lo abres.
Claro,
claro,
tarde o temprano
os van a pillar ahí
la gente de Arc.
Es lo típico,
haz un producto
que esté muy bien.
En esos casos,
uno debe discutir
cuánto pedir.
Si yo fuese el hacker
pediría 10,000 dólares.
A ver,
si es pedir,
si tú empiezas a pedir,
al final el problema
que hay entonces
es que eres hacker,
¿vale?
Porque tú lo que estás
haciendo es chantajear.
Si tú lo que haces
es pedir,
es un chantaje,
es ilegal también,
y además
te estás convirtiendo
en un hacker,
¿no?
Estás extorsionando realmente
de si no quieres esto
y te pueden perseguir
por ello.
Entonces,
bueno,
hay cada uno
que haga lo que quiera.
Yo no lo haría.
Pero muchas veces
lo que tienen muchos
de estos navegadores
o como por ejemplo
GitHub,
Apple y todo esto,
digamos que tienen
el Back Bounty
o el,
¿cómo le llaman?
Security Bounty.
Hay diferentes nombres,
¿no?
Por ejemplo,
Apple Security Bounty.
Tú lo que haces
en este tipo de plataformas
que suelen ser suyas
es que tú lo que haces
es informarles
directamente
de la vulnerabilidad
de seguridad
o de privacidad
o lo que sea
y ellos lo que hacen
es considerar
cuál es el dinero
que te van a pagar.
Eso es lo que van a hacer.
Por ejemplo,
pues aquí tienes,
¿no?
Te dicen,
mira,
Security Research,
puedes crear un reporte
y aquí lo que puedes hacer
pues te dicen
cuáles son los pasos
para reproducirlo,
cómo lo has conseguido
y todo esto
y a partir de ahí
determinan
cuál es la recompensa
que te deberían dar
y ya está.
Ahí te dan la recompensa.
Mira,
en este caso,
en este ejemplo
que se ve por aquí,
ves,
te dice,
venga,
has recibido una recompensa
y la recompensa sería
pues de 50.000 dólares
en este caso
y ellos son
los que determinan
un poquito
perdón,
Midu,
pero un hacker
no es lo mismo
un ciberdelincuente.
Sí,
bueno,
ya me entendéis,
ya me entendéis
más o menos,
o sea,
yo entiendo
que un hacker
no es un ciberdelincuente,
yo lo sé,
yo lo sé,
yo lo sé,
de Btuk,
yo lo sé,
pero un poco
para que me entendáis
porque al final,
según si lo hacéis
en inglés
o en español,
por ejemplo,
en español de España,
por desgracia,
no se le llaman
ciberdelincuentes
a los ciberdelincuentes,
sino que se llaman
hackers
a los que quieren decir
realmente
gente de ciberseguridad,
¿vale?
Pero,
por desgracia,
en España,
muchas veces
le llaman hacker,
mal,
mal,
pero le llaman hacker.
Entonces,
para entenderlo
más o menos así,
digo que los separemos,
¿no?
De que te convierte más
en una persona
que estás extorsionando
y tal,
pero no es que sea hacker,
al final el hacker
ni siquiera tiene que ver
nada con temas de seguridad,
el tema de hacking
es una cosa que viene
mucho más antiguo
que es cualquier persona
que de forma creativa
llevaba el límite
de la tecnología
y está muy bien
el poema incluso que hay,
¿eh?
Pero el tema es,
perdón,
Midu,
pero un hacker
no es lo mismo
que un hacker,
es verdad,
es hacker con J
o hacker con,
en fin,
y hay white hat,
black hat,
es que dependiendo
de cómo lo queráis decir,
pero el tema es,
independientemente
de la palabra
que queráis utilizar,
hacker y tal,
ciberdelincuente,
si extorsionas
o te pones a hablar aquí
de,
oye,
me tienes que pagar esto,
esto al final
es una estafa,
una extorsión,
una amenaza
y eso es un delito,
pero si lo haces
de forma honesta,
digamos,
pues lo tienes por aquí,
por ejemplo,
la gente de Apple
tiene esto,
la gente de GitHub
tiene este
y también incluso
te llegan a decir,
ves,
los rewards
ya te lo explican,
te dicen,
oye,
mira,
lo que te vamos a dar
si es crítico,
te vamos a dar
de 20.000 a 30.000
o incluso más,
fíjate que te pone aquí
incluso más,
alto de 10.000 a 20.000
y te dicen un poco
qué es lo que tiene
que satisfacer
para estar ahí dentro,
¿no?
incluso si no me equivoco
en algún sitio
por aquí,
no sé dónde,
porque la gente de GitHub
te decía
en un sitio
te llegaba a explicar
cuánto se había dado
de cada uno,
ah,
qué lástima,
a lo mejor no es en esta página,
pero en un sitio tenía
que te explicaba
cuánto se había dado
de cada uno
y te decía incluso
la media de dinero
que habían pagado
y tal,
está bastante chulo.
Esto también lo tiene Microsoft,
lo tiene todo el mundo,
en Windows también lo hacen,
mira,
Bounty Program,
todo lo tienen,
Chrome también tiene el suyo,
¿ves?
Bounty Program,
de hecho,
si no me equivoco,
Microsoft es uno de los que pagan
bastante bien,
mira,
si falla,
si reportas una vulnerabilidad
de Microsoft Identity,
te pueden pagar
hasta 100.000 dólares,
100.000 dólares,
es una pasada,
claro,
por eso hay gente
que se dedica a esto,
el problema es
cuando no está bien definido,
que es lo que ha pasado
con el navegador
y te pagan,
pues,
dos patatas,
mira,
Chrome,
Chrome también tiene
su Bounty Program,
así que,
¿ves?
Vulnerability Reward Program Rules,
es que lo tienen,
lo tienen todos,
todos los que son en condiciones
lo tienen,
yo creo que lo mejor
sería pedirle a la empresa
que cree su Bounty Page
antes de reportarlo
para saber cuánto pagan,
buena idea,
si es poco,
lo vendes en la Deep Web,
eso no es buena idea,
es broma,
cara sonriente,
es broma,
ya,
ya,
es broma,
es broma,
tú lo que sabes más,
no sabes nada,
madre mía.