Cesar Rodriguez

El objetivo de la charla es contar una anécdota sobre cómo terminé usando algo que vi en la facultad y que en su momento pensé que nunca me iba a servir. Una reivindicación de que el saber no ocupa lu… Ver más

El objetivo de la charla es contar una anécdota sobre cómo terminé usando algo que vi en la facultad y que en su momento pensé que nunca me iba a servir. Una reivindicación de que el saber no ocupa lugar: todo conocimiento puede ser útil, incluso si su aplicación parece lejana. Hace un tiempo, preparando un módulo sobre deserialización insegura para un curso de seguridad en mobile, quería ayudar a los alumnos a entender cómo construir un gadget chain, una de las partes más difíciles del exploit. Para eso armé un juego donde, mediante un gadget chain serializado, los alumnos implementan algoritmos para resolver el problema del multi-armed bandit: https://en.wikipedia.org/wiki/Multi-armed_bandit. Cada algoritmo se ejecuta sobre una simulación de tragamonedas con probabilidades variables, y gana quien más iteraciones logra antes de quedarse sin dinero. La app está disponible acá: https://github.com/CesarMRodriguez/multi-serial-bandit, con videos explicando la lógica del curso. Quería que los alumnos pudieran implementar cualquier estrategia, y para eso necesitaba que el engine fuera Turing Complete. Me encontré redescubriendo teoría de lenguajes y analizando qué le faltaba al mío para lograrlo. Layout de la charla: - Deserialización insegura en Android - La app, su arquitectura y cómo se ve un algoritmo - Qué es y por qué importa que algo sea Turing Complete - ¿Es mi lenguaje inventado Turing Complete? Que le falta? Sobre Cesar Rodriguez: Profesional de la seguridad con más de 10 años de experiencia en el entorno del desarrollo de software, con conocimientos en los lenguajes de programación más utilizados, sus respectivos frameworks y distintos paradigmas de programación. Actualmente trabajo como Security Researcher, especializado en penetration testing de aplicaciones móviles (especialmente Android) y aplicaciones web. En mi día a día analizo vulnerabilidades de seguridad en distintos lenguajes y tecnologías. Gracias a mi formación en desarrollo, estoy acostumbrado a encontrar bugs complejos revisando código y proponiendo soluciones basadas en las restricciones y funcionalidades de cada aplicación. Disfruto aprender nuevas tecnologías y frameworks, asumir desafíos profesionales y mejorar mis habilidades en ethical hacking y pen-testing. Ver menos