 Muchas gracias por estar aquí aguantando hasta hasta esta hora, la verdad que van pasando las horas y se van notando el cansancio y a asimilar tontos conocimientos. Os voy a presentar a Néstor, lo conocí en la Huerca de Barcelona, trabaja en Sucuri, la verdad que la charla que dio ahí me gustó muchísimo, sobre cosillas que nos contó de casos prácticos, o sea casos ejemplos de seguridad. Y nos va a hablar sobre Backdoors, que tituló el bueno, el fío y el malo, me llamó mucha atención con que todo tuyos. Adelante. Muchas gracias. Antes que nada, esto iba a ser una charla sobre estilos de Backdoors, y va a ser, pero era demasiado freaky en plan... oye, es como hablarle de coches, un apasionado de los coches, hablarle a una persona que no tiene el carnet de conocir, vale, es complicado. Entonces, digamos que he hecho una pequeña recopilación de tipos de Backdoor, un poquito, voy a romper algunos esquemas. Te doy en cuenta que, bueno, este que les habla, llevo ya unos añitos trabajando en Sucuri, me he encontrado muchísimos casos, muchísimos triquiñuelas y muchísimos ficheros ocultos, ya que la Backdoors al final son como los elementos más típicos que son complicadísimos de reconocer, ¿vale? Nosotros en Sucuri, cuando detectamos malware y demás, normalmente utilizamos unos scripts, después ya lo hacemos ya manualmente, cuando empezamos a detectar que ya los scripts no terminan de funcionar correctamente, pero la Backdoor siempre me han llamado mucha atención. Entonces, cuando ha visto 200, 300 tipos, tienes en cuenta que empiezas a detectar estilos, y hay unos que son muy cutros, otros que son más buenos, ¿no? Bueno, ya le digo, llevo unos añitos trabajando en Sucuri, soy ingeniero informático, si quieren, se pueden hacer de haters, si quieren, ahí en Twitter. Sobre Sucuri, para que entiendan un poco de trabajo, para aquellos que no conocen Sucuri, ¿alguien conoce de Sucuri aquí? Sí, muy poquito. Bueno, Sucuri es una empresa que empezó haciendo Americana en el 2008, fundada, se dedica básicamente a todo lo que es Website Security, todo lo que es limpieza de sitios que están hackeados, generación de firma de virus y demás y tal, para escáneres, ¿vale? Nos especializamos en CMS, pasamos en PHP especialmente, JavaScript y SQL, ¿de acuerdo? En 2017 nos compró Godady, y ahora pues seguimos siendo Sucuri, ¿verdad? Sucuri a Godady Company, ¿de acuerdo? Bien, esto les recomiendo que se lo aprendan o se lo guarden por ahí porque es interesante, ¿de acuerdo? El site check es un escenario gratuito que les puede, pues en algún momento no se fian mucho de una página y quieren ver si a lo mejor tiene algo que les pueda justificar no comprar en ese sitio, pues site check, por ejemplo, les puede ayudar. Tengan en cuenta que site check lo que hace es una foto contra la página y lo que devuelve analiza ver si hay algo malo, es decir, no detecta backdoors, ¿vale? La backdoors están en el servidor, no se muestran en primera página, pero si detecta campos ocultos con spam, intentos de inyección SQL, intentos de inyección JavaScript, etcétera, ¿vale? Y el performance es otro escenario gratuito también que lo pueden utilizar para ver cómo se carga su página web en cualquier punto del mundo, ¿vale? Le va a hacer un chequeo de todos los puntos que tiene, los que son 10 alrededor de todo el mundo y ver cuánto tiempo te hará encargarse, con lo cual les puede ayudar un poco a ver si la página está, es un problema vuestro de vuestro ordenador, de vuestra conectividad internet o es un problema de que la página en SQL Server no está funcionando correctamente, ¿vale? Bien, el Bonelfel y el meado. ¿Alguien ha visto la peli? ¿Alguien no ha visto la peli? Bueno, no pasa nada. Yo la he usado un poquito en plan hilo conductor, no pretendo aquí hacer una especie de sala de cine ni hablar sobre la película ni utilizarla en modo muy estricto, pero sí que me vino el pelo porque, claro, vamos a hablar sobre una figura que tienen varias caras, ¿de acuerdo? Antes que nada, prefiero siempre decir qué es ciberseguridad, cuál es la ciberseguridad a la que estoy hablando, ¿vale? Porque mucha gente me dice, que tú puedes hackear, pues mira, me puedes entrar en un servidor que, no, espera, espera, yo trabajo en ciberseguridad web, que es todo lo que transcurre en el porto 80 y 443, que es el del SSL, ¿de acuerdo? Todo lo que transcurre ahí, eso es ciberseguridad web. Todo lo que es conserver, pues ya entra en el campo del pen testing, etcétera. Tengan en cuenta que yo voy a poner código, voy a poner cosas y tal, no estoy muy seguro si algo se me ha escapado por ahí, así que cualquier cosa, yo no lo he puesto, ¿vale? Ha sido otra persona. La típica pregunta a todo el mundo, ¿qué es un hacker? Vale, bien, yo hablo de los hackers, pero no son hackers, ¿vale? Hay que diferenciar que un hacker es una persona curiosa, que intenta siempre ir más allá de lo que tenga entre manos, ¿vale? Si tiene un objeto, pues intenta ver qué otros usos puede tener más allá de él para que este fue concebido. Y aquel que lo hace además para su propio uso, en perjuicio de los demás, es el ciberterrorista, ¿de acuerdo? Nosotros lo llamamos aquí el hacker malo, para evitar ciberterrorista, que es una palabra muy larga. Bien, yo soy analista, analista de seguridad. El hacker malo es el criminal y los analistas somos los sherry, somos aquellos que cuando tienen problema tienen que venir, identificar cuál es el problema y decir, tú, a la orca, ¿vale? Esa es el tema. Malware, más o menos todos lo sabemos, aquí hay un cierto nivel en la sala, así que bueno, una pieza de código, cuyo objetivo es negativo, ¿de acuerdo? Al final es código informático. Tengan en cuenta que el malware como sí, no es un objeto, no es algo que diga, voy a usar malware para esto. No, son escódigos, ¿vale? Entonces son herramientas que se utilizan para algo que no es positivo, ¿de acuerdo? Tengan en cuenta que es como las pistolas, ¿de acuerdo? No hay pistolas malas y pistolas buenas, las pistolas según se usan. ¿De acuerdo? Seguridad por capas, la fortaleza. Digamos que nuestro afanda de alguna manera de defender nuestra página o nuestra web o nuestra fortaleza, ¿de acuerdo? Entonces hay que entender que la seguridad hoy por hoy no es una cosa que instalo, ¿vale? Hay muchas capas que hay que cubrir y cada una tiene sus soluciones. Hay soluciones que te cubren más de una, hay soluciones que no, en fin. Hay varias capas, yo aquí pongo un poco por encima la física, porque hablaba de conectividad, computación, almacenamiento, lógica, temas de algoritmos, la pasedad, la información y demás, y la social, que es la más importante de todas y la más débil de todas, ¿de acuerdo? Vale. Aquí hablo un poco de temas de estilo. Soluciones elegantes y soluciones chapuceras. Es decir, imaginemos que somos un hacker, malo, que queremos de alguna manera tener... Instalar una backdoor en un sistema para... Ya veremos qué, hay varias formas. La podemos hacer de muchas maneras, ¿de acuerdo? Aquí pongo algunos ejemplos para que entiendan que las propias backdoors tienen tipos, ¿vale? La más difícil de detectar siempre son este tipo de backdoor, ¿vale? Las que son pequeñitas, que pueden estar entre comentarios. Estos son ejemplos, ¿de acuerdo? Que representan cambios mínimos en los ficheros, que muchas veces pasan medio desapercibidos y, sobre todo, que no afectan al host, ¿vale? Después, ya hay otras backdoors, que sí, que son la ledger, que es en plan de, mira, porque no pintaste un cantel, aquí en plan, es este hacker, si, para eso haces un defaced y a correr, ¿vale? Entonces, esa para un poco entre lo que es un blanco y uno feo, ¿de acuerdo? Vale, estos son conceptos. Esto que está aquí, ¿qué dirían que es? Feo, bonito, de guante blanco. Vale, en base a lo que estamos diciendo aquí, es un fichero nuevo, que se llama host7asu.pgb. He estado buscado el código, es decir, es muy feo, ¿eh? El código está claro que algo raro hay. No significa si está buscado que sea malo, ¿vale? Hay un premium y demás y tal, que buscan su código, para que sea más difícil de copiar. Para alguien que sabe un poquito cómo desofuscar este tipo de cosas, es relativamente sencillo volverlo a visible, ¿vale? Intrusivo, no lo sé, vamos a ver ahora, y firmado. Bueno, ok. Web shell by laminar. O sea, está claro que aquí el chico quiere darse ver, ¿no? ¿Alguien sabe qué hace esto? Está escrito ahí. ¿Esto no? ¿Eh? No, es un gestor de fichero. Files manager, ¿vale? Esto es lo que hace básicamente, es permitirle a la persona que lo use, permitir ver todos los ficheros que hay dentro del sistema, e interactuar con ellos, ¿vale? Si desofuscan este código, que como ven, nosotros estamos viendo una pequeña parte, ¿vale? El arquito. Seguramente se encontrarán todas una mirada de herramientas, eliminar, etcétera, ¿de acuerdo? Pero bueno, básicamente para que dejan, de repente ven esto y dices, uy, esto es un poco raro, ¿vale? Sobre todo lo que pone arriba, ¿vale? ¿Y si vemos esto? ¿Alguien puede identificar qué es esto? Seguro que tú sí puedes. Un segundito. Digo yo que si nivelen esta sala, identificarán este trozo de código en dos patadas. Por lo menos, de aquí a aquí, para aquellos que les resulta un poco más complejo, este es el comentario primero que aparece en un WordPress cuando le estalas. Cuando le estalas, siempre te viene con un pequeño comentario que es Welcome to WordPress, ¿vale? Este es tu primer post, medítalo, elimínalo, y ya puedes empezar a bloquear, ¿vale? Sin embargo, hubo un hacker que se le ocurrió la general idea de meter en este, que además, por lo general nadie lo elimina, lo dejan ahí, ¿vale? Cuando alguien pasaba el ratón por encima de este comentario, se ejecutaba este comando, ¿vale? Que está ofuscado en base 64, ¿vale? Básicamente lo que hace es una redirección. Esto es feo o ya tiene un poquito más de clase. Desde mi punto de vista tiene un poco más de clase. No es algo que es tan cantoso. Lo tienes que buscar, ¿de acuerdo? Pues eso es un poco más o menos de lo que quería hablarles en la parte de estilo. Vale, vamos a hablar de lo que va a la charla, Vector's. La pieza peligrosa la llamo yo, ¿de acuerdo? ¿Qué es un Vector? Porque la gente llama a Vector a muchas cosas y, al final, es bueno que sentemos a la base. Es algo que nos permite ejecutar comandos o tener accesos autorizados, hacer más cosas, pero esto es lo más típico. Esto es importante, ¿vale? Es algo que nos permita hacerlo pero saltándose los protocolos de seguridad que tenga el sistema específico, ¿vale? La Vector. Al final es como si nosotros quisiéramos entrar en la fortaleza, abrimos una brecha y metemos ahí un tubo de metal para que la brecha no se cierre y ya podemos entrar cuando no te la ganas, ¿de acuerdo? Pero sí que es importante. La Vector no es un exploit, ¿vale? No es algo que te permita inyectar lo que tú quieras dentro de la página cuando la página no está infectada, no está abierta. Primero debe ser instalada la Vector. Es decir, ya sea por ingeniería social utilizando plugins, premium que hemos descargado una página gratis y vienen con esto, vulnerabilidades, porque la página, el WordPress o el plugin o el tema o lo que sea, tiene una vulnerabilidad o bien porque está en un server como digo yo en un vecindario ruidoso entonces alguien del vecino o algún vecino resulta que no es muy limpio entonces también acaba infectándome mi propia página, ¿de acuerdo? Hay más pero al efecto de simplificar esto más o menos estas son las típicas pero sí es importante primero debe ser instalada, ¿vale? Entonces aquí no se va a tratar como se vulnera una página aquí se va a tratar de una vez vulnerada ¿qué pasa si me instala alguna Vector? ¿qué pasa o qué es una Vector? ¿vale? Hasta aquí más o menos conceptos y tal el arte de la guerra sonará un libro hay dos frases que están relacionadas con esto que son importantes. Para defenderte adecuadamente lo primero que tienes que entender es como vulnerabilizar tu propia página es decir, ¿cómo me defienden a mi página? ¿cómo lo atacaría? y otra cosa que es importante mientras las más puertas y más ventanas tengan una fortaleza más difíciles de defender es decir, a más plugins a más temas mucho más difíciles de defender una página y eso los reiteros siempre estrictamente están en aquello que van a usar y no me digan, no, yo lo deshabilito es que hasta deshabilitado lo pueden usar ¿vale? así que eliminen lo que estrictamente no se está usando temas y si quieren por ejemplo eliminen todos los temas yo no me te recomiendo que dejen al menos uno de los por defecto en caso de que haya un problema puedan migrar rápidamente y poner un tema que funcione pero siempre al menos uno y la cadena de confianza que esto es un poco en lo que se basa la Vector la cadena de confianza que es es un poco digamos en el momento en el que tú dices hay cosas en las que yo no puedo controlar por ejemplo, oye, quiero un plugin para esto vale, pues me descargo este plugin pero ese que te está descargando es un plugin que no tiene ningún malware que no tiene fallot de programación que no tiene ninguna de las medidas tienes que confiar en ellos ahí se genera ya una cadena a más plugins, más temas en su página más largas hacia la cadena más vulnerables es el punto más débil de nuestro sistema significa delegar eso pero es necesario, es decir, nosotros no vamos a hacer nuestra web desde cero, tenemos que confiar en el caso por ejemplo de WordPress tenemos que confiar en que el equipo de WordPress no ha instalado una Vector tenemos que confiar que el plugin X, A o Z o el que sea pero al final, hay cosas que las tenemos que hacer porque no la vamos a hacer nosotros a mano y además nosotros, siempre intento decir que un man un raro un S todos nos equivocamos bien un poco por encima, ¿qué objetivos atacaría un hacker en un sistema WordPress? hay más pero estos son un poco más los típicos oye, es que me interesa la base de usuarios me interesa sus emails, me interesa sus nombres o lo que sea oye, es que me interesa la información o en la propia página, en jarco de ados o lo que sea, ¿de acuerdo? no es que me interesa utilizar su infraestructura oye, quiero minar, pues voy a meterle a esa persona o a los clientes minar en lo que sea vos no le quiero usarlo como una plataforma de ataque quiero usarlo como una plataforma de lo que sea de reivindicación o lo que sea o quiero destruir su reputación o utilizarla ¿de acuerdo? estos son los típicos objetivos que un hacker le vendría... se le metería un poco en la cabeza de decir oye, ¿por qué me interesaría meter un avatar en este sitio? por alguna de estas cosas ¿de acuerdo? esta pregunta es interesante porque va un poco en contra de todo lo que el mundo piense es siempre un avatar mala por defecto es decir, ustedes tendrían en tu casa una puerta trasera que no la tenéis ustedes las llaves y tendríais la cerradura preparada para que alguien la use en vuestra casa no diría ni de coña sin embargo, vamos a repasar algunos temas, es decir, nos permite ejecutar código y además saltando a los protocolos de seguridad ¿pero qué es un protocolo de seguridad? son reglas de procedimientos que nos hacen de alguna manera confiar en que lo que se va a ejecutar es idóneo para mi sistema y además es quien dice ser pero es que en algunos momentos es desencorroso, yo no sé si se acuerdan o no sé si alguno de ustedes llegó a usarlo Windows Vista empezó a implementar un sistema de seguridad tan intrusivo que por cada cosa te salió un maldito ventanita que te preguntaba ¿estás seguro? oye, dame los permisos de la administración y al final, reidentizaban todos los procesos eso es inviable entonces ¿cuál era un poco la solución de compromiso? generar cadena de confianza te doy permiso para que tú entres en mi casa porque confío en ti ¿de acuerdo? ¿dónde vemos este tipo de cosas? ¿es o no es? yo pienso que no son herramientas las backdoor son herramientas poder tener una puerta trasera en tu casa te permite que tu gato entre cuando no tengas que estar en casa y que pueda salir, por ejemplo también te permite que el lechero deje la leche allí cuando pasa o el panadero o lo que sea tienes que confiar en ello existen backdoor buenas digo buenas con comillas sobre todo para facilitar procesos los típicos que seguramente algunos de estos conocen herramientas de actualización esforzadas, notificaciones alguno que tenga algún tipo de características específicas que obliga a que el sistema pueda entrar en tu sistema cuando le dé la gana ¿de acuerdo? pero has tenido que auditificarlo tú al principio o porque simplemente no te has leído las condiciones y a ti yo sí para antes tema de seguridad, lo que sea lo típico, lo gobiernos y las backdoor que venían instaladas en otros sistemas apelativos que todos conocemos y demás para en caso de que ¿de acuerdo? bien, tenemos estos conceptos alguna duda hasta aquí ¿está bien? he reducido un poco los ejemplos quería poner 5 pero que no me daba tiempo, así que voy a dar 2 ejemplos típicos que me encuentro o que me he encontrado en estos años son casos en los que les voy a explicar qué pasó así que tiene su momento la primera que vamos a tratar es el caballo de Troya típico a Troya ¿no? ustedes dirán, así que típico vas a quedar aburrido bueno, en fin, cuando te encuentras con él y además haces el proceso de investigación hasta que lo ves, dices joder qué guay esta imagen estaba metida en una página web es una imagen que tú dices se llama leading indicator table 565px jpg vale, de hecho pertenecía a la temática de la web sin embargo, cuando esto lo abríamos en un codificador no se ve muy grande, la verdad en un programa de texto, en este caso si no recuerdo más el text edit vemos que tiene las cabeciras típicas de exif aquí están la de adobe aquí vemos la codificación típica de la imagen pero no sé si se ve muy bien aquí pone aval base 64 24 decodifica esto macho, significa que la propia imagen tiene un código en PHP metido dentro de su código voy, decodificó eso y me pone si me pasas la variable zz1 te voy a evaluar ese código que me has pasado significa que yo puedo directamente hacer un post contra esa imagen pasándole en la variable zz1 vamos a hacer vamos a hacer simplista, forma c2. vamos a poner otro tipo de ejemplos yo que sé puedes hacer miles que se me ocurre en 400 desde este como se llama, el más típico que suele haber aquí es bueno, open en PHP no me acuerdo de Springf para printar un fichero bueno, lo que hace es una función en PHP que imprime el contenido de uvp.px entonces ahí tienes todo, las claves, el secreto todo para poder acceder tanto a la base de datos como a toda la infraestructura del propio uvp.px y solo con una imagen que tenía esto escondido pero claro, para verlo hay scripts pero normalmente en los scripts suelen evitar las imágenes porque hay demasiadas y evaluarlas todas es complicado entonces esta vator es bastante elegante es una vator que está ahí oculta en la imagen y era bastante complicada de ver evidentemente fue con gracias a unos scripts pero me gustó bastante el estilo ¿me acuerdo? es un caballero de Troya, al fe a cabo tienes una imagen y la tienes metida ahí, cuando te dé la gana un día dices, ¡pan! sácame la información y una vez que tienes acceso a la base de datos puedes hacer lo que quieras tienes usuarios y tal además hay muchos administradores de sistemas que te instalan un WordPress usando el mismo usuario y contraseñe que usan para el administrador el usuario y contraseñe de la base de datos usan el mismo del administrador a lo mejor incluso muchos de ellos te usan un root entonces, pues nada de nada que sacas aquí un porcentaje de unas cuantas páginas ya las tienes pillao vale siguiente ejemplo, Walking Dead yo no sé cómo voy de tiempo Walking Dead o Zombie o Botnode o Zombie Botnet esta es un poco más compleja de explicar pero les hago un poco la interhistoria, ¿de acuerdo? un pequeño iconito llamado Fabicón con unos numeritos random numeritos y letras.ico todos tenemos un Fabicón en la página o casi todos, ¿de acuerdo? entonces esto lo puede ver como el típico plugin de caché que te cambia algunos nombres para que sea más fácil o incluso para ir cargando según las versiones lo ves y no le preocupas en absoluto sin embargo, dentro de este fichero estaba este código no le voy a aburrir porque tampoco es mi interés hacerles a todos analistas de seguridad ahora mismo pero hay dos cosas que si me gustaría resaltar por un lado por un lado esto del Ready Run y este código ahora les cuento de qué va pero básicamente si ven por aquí tienen una clave con una transposición donde ponen un valor y el valor de transposición y después un código que está aquí dentro todo esto de base 64 y aquí una clave de transposición y un poquito más arriba si no recuerdo más por aquí sí, por aquí aquí el base 64 de code que lo separan para que los scripts no lo detecten todos ¿de acuerdo? y esto en retro esta función lo que hace básicamente es base 64 de esta que está aquí que al final lo que hace, por decirles un poco para no entrar en detalles lo que hace básicamente es coger esta clave de base 64 utilizar esta clave de transposición que significa cada vez que encuentres un 1 por una E, cada vez que encuentres un 0 y al final conviertes esto que es una base 64, no válida con esta clave de transposición la conviertes en una base 64 cuando esto se decrypta resulta que lo que hace es cargar otro código ese otro código se van a reir, pero está en este comentario este código que ven aquí que es muy feo, dice esto está comentado esto no pasa nada, como está comentado no hay ningún problema, los comentarios también se usan, en este caso concreto lo que hace es coger los primeros bits los elimina y a partir de ahí está la clave base 64 no les quiero aburrir así que les cuento un poco más o menos como era este rollo básicamente tenía muchos pasos de incrementación unos 4 o 5, no son muchos pero ¿está entre quiénes? pero el código final lo que era era un código de botnet, es decir, lo que hacía era un abagdor que te permitía remotamente elegir qué hacer con ese sitio web se conectaba a un dashboard posiblemente, porque no lo vimos pero se faltaba una IP y preguntaba por la información que querías hacer, en este caso concreto te permitía estas 5 opciones quiero eliminarme quiero cargar una URL en bucle ¿a quién sabe qué significa esto? un ataque 2 vale, es decir, si yo tengo no sé, 300 web infectados con este plug-in con este abagdor, podría atacar un sitio con un ataque 2, ¿de acuerdo? cargar un plug-in, es decir, quiero meterle yo un plug-in, fake play, plug-in al sitio es decir, está ahí, aparece como un plug-in pero no lo es lista la información del sistema o inventar el spam ¿de acuerdo? no los pongo en el código porque es tenso pero era muy divertido porque se veía claramente lo que hacía al final pero había que desencriptarlo entonces, un pequeño icono pequeño punto ICO convertía tu sitio en un sitio zombie es decir, un sitio nodo que podías utilizar para después hacer lo que quisieras crearte una red y hacer un ataque masivo, crear una red para bajarle la reputación a alguien inyectando spam porque es una red de sitios para eso, puedes inyectar un plug-in, puedes mostrar información porque quieres de alguna manera recopilar información, puedes hacer muchas cosas dentro del plug-in, tu puedes meter un plug-in con otra backdoor y usar otra backdoor, puedes infectar el sistema completo ¿de acuerdo? guay, ¿no? estos eran los dos ejemplos que les quería mostrar, ¿tu dos hasta aquí? ¿si? buena pregunta, luego te la cuento en la ronda de preguntas, pero básicamente lo que hacían inyectar dentro del index o de algunos otros ficheros incluye esto incluye significa que el código que está ahí, aunque sea punto ICO, lo interpreta como PHP mete el PHP, aunque haya mucha basura entre medias, al final el PHP está ahí porque lo que hace es buscarte la línea en la que encuentra un comentario elimina, o sea de hecho se veía como un position para decir ahí, elimina las dos iconos del comentario al principio y cogeme todo lo que viene a continuación, a partir de ahí buscaba dónde estaba la clave quitaba la clave, y a partir de ahí todo era código base en 64 de todas maneras si quieres, en cualquier caso te puedo pasar el ICO y tú te diviertas desencritando todo en el ICO ¿este código está aquí? hostia este fichero y insertar ese fichero y meter cargarlo en algún lado no, en este caso tenías que cargar el file con ICO y evidentemente de algún lado tendrías que llamar a este ICO que es lo que hacía realmente el exploit lo que hacía era, no tengo aquí el fichero pero básicamente cogía te inyectaba este fichero y te cogía al mejor random varios index PHP que tenías en toda la página y le hacía un incluido de este fichero ¿vale? backdoor, ese es el concepto ¿vale? bueno pues eso, aquí tenemos dos ejemplos rapiditos, desde mi punto de vista, backdoors elegantes ¿vale? esta sección tengo que ponerla, ¿cómo podemos proteger la notella? seguridad por capas, antes lo comentaba pero es importante social hacking, es decir tenemos clientes todos o nosotros nos ha pasado y demás que queremos instalar plugins premium y no queremos pagar ¿vale? pues eso es muy típico utilizar fake play, es fake plugins para instalar backdoor sin que nosotros lo sepamos, hubo una explosión de esto hace un añito más o menos en el que de repente muchísimas páginas se dedicaban a minar monero o este el comaral de coin este sí pero no era coinbase el de coinbase el gs coinbase y al final eran muchos de ellos infectados por, habían varias variedades pero muchos de ellos infectados por plugins que eran falsos tengan en cuenta que algunos plugins pueden ser que estén en repositorios de otras personas el plugins sea correcto pero tienen inyectado un backdoor, es decir, tú recibes a la mejor actualización de ese sitio que es el mismo plugin pero te estén inyectando un backdoor, ¿vale? también hubo hace un tiempo en el que había un plugin que era oficial y era premium y lo habían subido al repositorio con un backdoor dentro sin que ellos lo supieran y cuando se actualizaron todos los sistemas, de repente tenías miles de sitios infectados con ese backdoor aquí ya después se sigue toda la cadena, ¿vale? pasamos de tú mismo, ¿vale? tu necesidad de inconsciencia deslices y demás a tu dispositivo de ahí a la conexión siempre me gusta nombrar que tener un ssl que tiene un sistema es necesario pero eso no te protege de nada lo dije en Barcelona tener un ssl significa que si tienes un hacker trabajando en tu server lo que haces es que el hacker trabaje de forma segura con el server pero no te protege de nada lo único que te protege es de eso de que la conexión o la comunicación entre dos medios no pueda ser escuchada por una tercera persona otro día publicé en el twitter algo que me puso y me hizo mucha gracia porque tú estás hackerizando con tu novia y de repente se mete un hombre en medio esa es la necesidad de tener un ssl para que nadie se pueda poder tener en medio ¿De acuerdo? que tu sitio web esté protegido contra conexiones utilizando un firewall, hablaremos un poco de eso que tengas cuidado con tus credenciales que tus sitios estén monitorizados y actualizados las actualizaciones que el server no solo el sitio sino el server este monitorizado y actualizado lo hemos estado hablando durante toda la workah bueno, siempre uno que no tiene mucha pasta pues a lo mejor tiende a ir a un host compartido el problema de los host compartidos es que estás en un vecindario, lo mismo que dijiste cuando estás en un vecindario hay vecinos que son ruidosos, hay vecinos que no son limpios en fin, y te pueden pasar cosas si no, atiendan a la charla del compañero de antes que dijo, oye, como montarlo todo en docker pues genial, pues docker, al final lo que es es un entorno absolutamente isolado la base de datos que tiene que estar monitorizado y sobre todo mantenimiento esto no es, ya está todo seguro ahora paso el, hay que monitorizarlo y hay que mantener plugins, lo más importante contra las backdoors el scanner de integridad de fichero este scanner que ya puede ser un plugin que puede ser un un comando de linux o puede ser o del propio sistema o lo que ustedes quieran, un crón lo que hace es decirte, este es la foto de tu sitio tal cual está ahora chahi, el momento que hay un cambio te lo comunico cambio que puede ser te añado un fichero, te elimino uno te cambio ligeramente el tamaño de fichero o muy grande, si es muy cutre la solución que ha aplicado de backdoor es decir que cambia mucho entonces el scanner de integridad va a ser el único que nos va a ayudarnos a ese sentido después ya podemos utilizar otro tipo de herramientas para ver que es lo que está pasando en la red de repente ahí no se cuenta conexiones que están salientes o que están entrantes y tal de podés mosquear backups y actualizaciones tener copias, etcétera esto sí que es importante y por eso lo he resaltado aunque más o menos el nivel de la clase supongo que es más o menos alto si las copias de seguridad no estén en tu servidor de producción señores, vale que es uno de las más típicas problemas que yo me encuentro hace una copia de seguridad, lo guardas en el index o sea en el root o lo guardas en el vp content bar de lo que sea y ahí hay forma de atacarlo, vale hay forma de usar esos exploit para cargar cosas de esas propias copias de seguridad o utilizarlas incluso las copias de seguridad siempre fuera de vuestro sitio web incluso el almacenamiento es externo se pilla en amazon hay plugins de backups que te permite conectar al entante, basar la base de datos la copia de seguridad a un almacenamiento en amazon o cualquier cosa, vale el WAV yo se pelodigo pero nadie pilla el chiste o sea WAV, el perro de guarda web site web application firewall o sea al final es un firewall solo para web que significa solo para web que la gente dice si yo tengo ya un firewall para el server ya, pero bueno el server controla más cosas este WAV es solo exclusivamente al aporto 80, 443 se acabó te limpia el tráfico al final lo que hace es pasar con una especie de tunel de lavado y aquí le doy el ejemplo de Sukuri pero más o menos todo sigue más o menos el mismo esquema bien el tráfico hay un tunel de lavado y dice oye vamos a ver que es lo que estás intentando tu atacar con esa conexión además voy a verlo con mi base de datos y además voy a ver cuántas de esas cosas coinciden en un porcentaje y no te dejo pasar o si es legítimo te dejo pasar ya está es como poner eso un tunel de lavado para limpiar un poco las conexiones que entran y permitirlas que es vale, perdón este del software parcheado esto se vende mucho parche de manera virtual, lo que pasa es que detectamos las probabilidades las que lo hicimos en el motor de heurística del Firewall, lo hacen todos y claro si vemos que atacas el típico fichero que está dentro del plugin de Raph Slider en tal versión pues no te vamos a permitir que entres lo siento, sabemos que hay una buena idea muy famosa ahí, lo mismo con Gravity Forms lo mismo con versiones específicas lo mismo con otro tipo de de plugins que hablo con el chico de Gravity Forms ya no es vulnerable lo fue hace dos años me parece, dos años y pico tuvieron un pequeño error y creó una una ola importante hay Firewalls que incorporan cdn nos permiten que la página se cargue más rápido, mejor, desde cualquier lado del mundo y sobre todo una herramienta que nos permiten ahí se forense y me gusta siempre terminar con esta frase básicamente te dice solo hay dos tipos de compañía en el mundo las que han sido hackeadas y las que todavía no saben que han sido hackeadas y este que lo dice es el de Cisco ¿vale? pues chicos, no tengo nada más que decirle ahora me pongo a su disposición ¿si? no, no, cuando digo root digo root del sitio web entonces no es root del sistema es decir, si tu sitio está dentro de home, usuario barra, public html ese es el root de tu página pero si está ahí es accesible, si está fuera de eso ya no es tan accesible y digo tan, porque es tan sencillo como meter también una backdoor en el root de tu página y hacer cargame lo que hay en punto punto barra y ya te estoy cargando lo que está en la carpeta anterior y sabes que cuando hay un public html que es el 80 o el 90% de todos los sitios web detrás suelen haber carpeta de control carpeta de sistema ya después detrás de eso ya es más difícil hacerse una idea del esquema la complejidad de carga suele ir mientras más hacia atrás va más a caminos se abren dependiendo de cada uno de los hosting ¿de acuerdo? las imágenes que has puesto supongo que cualquier antiviru usted la tenía que detectar a mejor el primer día o el segundo no porque no es un cerodai cuando hablate de un antiviru ¿de qué estamos hablando? un heróstico, o sea, el estilo malware bites ¿en tu ordenador? no, porque eso no es tan tu ordenador ni lo vas a cargar en tu sistema ¿lo es cargar de alguna página web? o sea, si lo creas tu mismo si es el fichero, si tú lo guardas en tu sistema, en tu portátil y lo cargas con un antiviru y seguramente lo detectes muchos de ellos ¿vale? el de ICO no tengo muy claro que lo detecte pero el de J.P.G. seguro que sí pero normalmente el antiviru funciona a nivel de ordenador local pero obviamente para ponerlo en la web lo tienes que ver descargado bueno, si pones el URL no obviamente eso tiene mucha complejidad depende de quién cargar normalmente no se inyecta porque no tengo aquí lo voy a arrastrar y lo pongo en su sitio normalmente viene porque haces un comando y haces un cool y le metes que el contenido de este fichero lo inyecte en su orador ese tipo de cosas si no tiene sus propios servidores con eso inyecta de hecho lo más típico suele ser que los hackers son las compañías que es hacker malo ¿vale? o las compañías que se dedican de ciberterrorismo lo que hacen es venden packs que son un dashboard maravilloso tú lo que haces en los instalas y tienes un dashboard como una página web donde tienes por una vida atacar este rango de IP de otro sitio web ha podido infectar y te lo guarda ahí entonces tú tienes ahí como 30 sitios tenían esa vulnerabilidad y han sido infectados y han sido inyectados con el vator todo muy gráfico ¿vale? entonces realmente tú ahí no estás haciendo nada esa aplicación seguramente por dentro hará mil cosas más ¿vale? inyectarlo de otros sitios web por lo que sea de otras direcciones o de TCDN que es lo muy típico los TCDN son temporales con lo cual se borren cada x tiempo ¿vale? más dudas las preguntas ¿saburo? pues nada