Meetup “Exponiendo vulnerabilidades en aplicaciones web con Nmap y John the Ripper”

• Dar la bienvenida a todos y agradecer.

• Explicar rápidamente sobre lo que se hablará en el meetup, explicar por qué 4SD quiere empezar
a generar estas interacciones que nos permitirán estar mas cerca de nuestra comunidad.

• Tendremos un pequeño ejemplo sobre como un sitio inseguro se rompe como una galleta
literalmente.

1. ¿Qué tan lejos puede llegar un atacante que se enfoca en vulnerar tu sitio o aplicación
web?

• No es exagerar cuando decimos que un atacante con fines no éticos puede llevar una compañía
a la ruina si así lo desea.

Datos curiosos:

- El 94% de aplicaciones web sufren vulnerabilidades graves.

- Además, la importante adopción de CMS (Sistema de gestión de contenido) por parte de

sitios web los convierte en objetivos especialmente tentadores para los atacantes, debido
a que presentan vulnerabilidades resultado de la utilización de plugins o extensiones
desactualizadas, tales como WP Statistics (plugin de WordPress).

- El 40% de los ataques web están dirigidos a la obtención de información, siendo las
aplicaciones web patrocinadas por el sector público y el financiero las que mayor número
de ataques han reportado en 2017. Los vectores de agresión más significativos durante el
2017 fueron, según la empresa Positive Technologies, el Cross Site Scripting (XSS) y la
inyección SQL.

- En un reporte del 2017, al menos 34.371 sitios que utilizaban CMS fueron reportados
como infectados y/o vulnerables a ataques web los cuales daban pie a que un atacante
llegara incluso hasta la base de datos.

2. ¿Qué importancia tiene una correcta combinación de desarrollo y operaciones en estas

situaciones?

- Nuestra aplicación web puede ser vulnerable por fallas en el código o por fallas en la
configuración del servidor, por ejemplo, hace poco la base de datos biométrica mas
grande de china fue vulnerada todo porque quedó expuesta gracias a malas
configuraciones.
- Esto no es cualquier cosa, es vital que tengas un equipo de desarrollo y operaciones que
entiendan y se comprometan con la seguridad de tu compañía y la de los clientes que te
confían su información.

- Nada nos ganamos si desarrollo está en una onda y operaciones en otra. Hoy en día
tristemente aún hay muchas situaciones así. Todos deben tener un mismo propósito y la
seguridad será una consecuencia de ello.

3. ¿Es posible que un atacante se haga con el acceso a tu base de datos por una
vulnerabilidad web?

- La respuesta es sí. El objetivo principal en la mayoría de los ataques será llegar a la base de
datos y alterar su contenido. Por ello cada vez se han desarrollado más y más alternativas
mas efectivas para lograrlo.

4. Laboratorio.

- Dar introducción a lo que será el laboratorio.

5. Anonimato y un poco de la Deep web.

- Cuando hablamos de anonimato hacemos gran referencia a las VPN, los proxys, el
navegador TOR, etc. ¿Pero que se busca con el anonimato y que tan cierto es que somos
anónimos en una red donde pareciera que tenemos más identidad que en la vida misma?

- ¿Como funciona tor?

- Desmintiendo el tabú de la Deep web.

6. Como estar un poco menos inseguros y que buenas prácticas podemos tener a nivel de
empresa.

- Hay algunas buenas prácticas que podemos llevar a cabo para estar un poco menos
inseguros a nivel de empresa como por ejemplo:

• Separar lo corporativo de lo recreacional, es decir podemos permitir un navegador para

la recreación y otro para lo corporativo que son las aplicaciones internas pero no debería
ser el mismo.

• Encriptar los discos de los equipos corporativos ya sean de funcionarios o servidores

debido a que si algún día se roban ese equipo la información queda totalmente al acceso
de cualquiera, imagina solo 5 años de información alojada en el dispositivo que extraviaste
o te hurtaron. Esto se presta para delitos como extorsión etc.

• Manejar un DA para mantener la jerarquización, los roles y permisos por usuario.

• Utilizar FileServer para compartir recursos

• Restringir la administración de todos los hosts compartidos como impresoras, routers,

switch, etc.

• Segmentar la red, un invitado, aunque sea posible cliente no tiene por qué acceder a la
misma red corporativa.

• Manejar restricciones de navegación.

• Aplicar políticas de bloqueo de sesión, usuario, limitar el máximo de sesiones activas del
mismo usuario en lo posible a 1.

• Tener una política de contraseña bien definida y que exija el cambio periódicamente.

• Inhabilitar usuarios administradores en el equipo localmente, solo personal de TI

autorizado debe tener privilegios administrativos.

• Definir los Software prohibidos por la compañía, tener su propia biblioteca de

instaladores garantizados.

• Inhabilitar puertos USB, unidades de CD/DVD.

• Mantener siempre actualizados los sistemas. Podemos manejar un WSUS.

• Garantizar el tema de los backups, que sea un tema supremamente controlado.

• Escaneos de antivirus y actualización de firmas programados.

• Hay varias soluciones que permiten todo esto como bitdefender, mcafee.

• No tener todo en un solo servidor, separar aplicaciones de bases de datos es crucial.

Restringir lo mas posible el acceso a los servidores.

• Controles de acceso.

• Detectores de intrusos en la red.

• Usar solo protocolos seguros y cifrados.

 • Hay muchas más políticas que podríamos aplicar pero en este momento dejaremos
hasta este punto.

7. Regalo.

• Puedes poner a prueba tus conocimientos en https://atenea.ccn-cert.cni.es no importa si son

muchos, pocos o nulos. Podrás practicar temas como seguridad básica, criptografía y
esteganografía, exploiting, forense, hacking web, análisis de tráfico y reversing. Encontrarás mas
de 50 retos.

Fuente: https://www.ccn-cert.cni.es/seguridad-al-dia/comunicados-ccn-cert/5473-demuestra-tu-
conocimiento-en-ciberseguridad-con-atenea-la-nueva-plataforma-de-desafios-del-ccn-cert.html

8. Cierre y despedida.

• La seguridad siempre dará de que hablar, siempre estará esa lucha por vulnerar sistemas que
cada vez son “mas seguros” por lo cual el enfoque de ataques mas famosos irá variando pero no
muy lejos de lo que hoy ya podemos tratar como la inteligencia artificial, IOT, ramsonware, incluso
los dispositivos móviles podrían estar cerca de un ramsonware dado el uso tan enorme que tienen
hoy en día y toda la información que almacenan sobre nosotros.

• Decir que no se tomen la seguridad de la información como un juego o algo que no es

importante.

• Agradecer a todos los asistentes.

• Preguntas.

• Hablar sobre lo que se viene en 4SD este año, trading, meetups.

https://www.ccn-cert.cni.es/informes/informes-ccn-cert-publicos/2856-ccn-cert-ia-09-18-
ciberamenazas-y-tendencias-2018-resumen-ejecutivo-2018/file.html

https://www.google.com.co/search?
q=ranking+de+ataques+informaticos+2018&oq=ranking+de+ataques+informaticos+2018&aqs=chr
ome..69i57.9475j0j7&sourceid=chrome&ie=UTF-8

https://blog.smartfense.com/2018/05/ataques-aplicaciones-y-web-fuga-de-datos.html

https://www.itdigitalsecurity.es/vulnerabilidades/2018/04/el-94-de-las-aplicaciones-web-sufren-
vulnerabilidades-muy-graves

https://sucuri.net/es/reportes/sitios-hackeados-2017