 Una ponencia desde acá y de nuevo es una bozada porque venía a presentar a otro amigo, a un amigo más de Work and Irune, pues es fantástico. Tomás Sierra es la persona que está más preocupada por la seguridad de vuestras páginas web, de las vuestras, ¿vale? Es una persona que no solamente es un profesional de la seguridad, trabaja en el Departamento de Seguridad de NETCIA, sino que es una persona que vive la seguridad. Es el típico WordPresser que su área de conocimiento lo vive con auténtica pasión, con realmente preocupación por todos vosotros. Esto ha hecho que en muchas de las últimas Work and Irune haya participado dando sus ponencias, no solamente dando sus ponencias sino sentándose en una mesa con los asistentes de la Work and Irune para ayudar a resolver sus problemas y eso hace que sea una de las personas que hace que sea tan grande la comunidad de WordPress. Además de trabajar en NETCIA, es el responsable, el organizador del Cielcon, uno de los congresos de seguridad informática más importantes que tenemos por aquí cerca y además es el organizador de la Work and Santander. Así que bueno, podéis imaginaros que su vida personal es muy pequeña porque no le puede dar mucho tiempo a mucho más. Así que nada, bueno, detrás de este título, que no me negaréis que tiene un componente clickbaiting importante, vamos a disfrutar todos con Tomás Sierra. Bueno, muchas gracias a todos, lo primero por estar aquí hasta horas de la tarde, ya nos queda otra horita, esto está siendo fantástico, gracias a Pablo, gracias a toda la organización de este fantástico evento, os digo con sinceridad que es uno de los mejores a los que ha asistido porque está currao desde el minuto uno que se fraguó en Gran Canaria, esto ha sido una pasada, gracias Pablo y toda la gente. Bueno, vamos al medio yo, los que me conocéis ya sabéis que me gusta meter miedo, un poquito. A ver, intentaré no hacerlo muy grave, intento hacer con un lenguaje que os llegue a todos, vale, no es para la gente muy entendida, es para un poquito, para que aprendamos todos de todo, para los que sepamos mucho, para los que sepamos poco, para los que no sepamos nada, e intentaré que esto llegue a todos, vale, como ya me ha presentado Pablo, ya esta me la voy a pasar, y vamos a empezar por el aviso legal, esto lo que vais a ver aquí no me hago yo responsable de cómo lo utilicéis, se lo primero está grabado, perfecto, porque es curioso, ahí vamos a ver vulnerabilidades en cosas de Word, en plugins, en temas que no están a simple vista, pero sí que las podemos ver escarbando un poquito, como veremos ahora, vale, tened cuidado como dice Mr. T, ojito, que es Google hacking, ahí lo sabe, utilizar el buscador para buscar cadenas, bueno, buscador, buscamos información, verdad, es hackear Google, venga, hackear Google, no, es hackear una página web, venga activos, que nos queda una horita, no, es hackear las búsquedas, tampoco, vale, como hemos dicho es aprovechar la potencia de un motor de búsqueda, como Google, que es mucha, como herramienta, para conseguir información que está pública, pero que no se ve a simple vista, vale, simplemente es eso, alguien ha utilizado la búsqueda avanzada de Google, conocéis comandos, conocéis operadores, sí, entonces no me voy, saló, vamos a empezar por ello, vale, ¿qué entendemos por hackear? Para hackear tenemos que lo primero colocar un objetivo, esto es, a grosso modo, vale, esto es lo que hace un ciberdelincuente, que no hacker, vale, los hackers no tienen por qué ser malos, inciso, quizca, vale, los hackers pueden ser hackers malos, hackers buenos, un ciberdelincuente siempre el malo, un ciberpirata, vale, lo primero que hace es localizar el objetivo, vamos a dirigirnos aquí, lo segundo, vamos a recopilar información sobre ese objetivo, identificamos vulnerabilidades para poder luego explotarlas y acceder mediante un ataque a esa página web, a ese sitio web, en este caso web, finalizando, borramos la cuerda a las huellas para que no le puedan encontrar y intenta mantener el acceso para futuras incursiones, vale, es aprovecharse un poquito de eso que ha realizado, nosotros hasta, en esta charla vamos a ver esos tres primeros, vamos a localizar un objetivo, vamos a poder recopilar información y vamos a identificar vulnerabilidades, todo con la potencia del motor de búsqueda de Google, empezamos por los operadores, lo conocéis ¿no? ponemos entre comillas la palabra o frase, principalmente frase que queremos que sea exacta, vale, la casa blanca, nos encontrará resultados con esa frase exacta, el símbolo menos nos realiza la búsqueda, no incluyendo las palabras, la palabra o palabras en la que añadamos esto al principio, vale, fijaros, casa menos blanca, significa se lo va a buscar, búsquedas de casa pero sin blanca, vale, no sin dinero, sino que no tenga blanca, al grés, siempre que pongamos un símbolo más antes de una palabra, ese símbolo siempre, esa palabra siempre va a estar en la búsqueda, ans significa que tenemos que buscar sí o sí las dos palabras o tres o cuatro o siete, vale, casa y blanca, tienen que entrar siempre las dos dentro de la búsqueda, quería haberlo hecho un poquito con prueba pero a lo mejor no me da tiempo, entonces luego si tal miramos un poquito más, voy a hacer muchas pruebas, or al revés, una un término de búsqueda o el otro, no tienen por qué ser los dos, vale, como comodines tenemos el asterisco que vale para cualquier palabra, cualquier palabra en cualquier situación o el punto que vale para una frase, para varias palabras, es un comodín, vale, podemos poner la punto blanca y lo que haya en medio, puede haber una frase, la mediana casa blanca por ejemplo, ese punto está siendo un comodín, puede ser cualquier cosa que haya entre las dos, me explico, sí o no, por favor, feedback, venga, vamos un poco con los comandos, aquí ya voy a empezar a avanzar de aquí al navegador, el navegador aquí, vale, esto es realizar el comando site, seguido de dos puntos y una url nos va a buscar el término de búsqueda que quedamos dentro de una página web, por ejemplo site.tomasierra.com y vamos a buscar el término vulnerabilidades, de acuerdo, aquí ya empiezo a verlo, vemos los resultados de la búsqueda que todos son, de mi site con la palabra vulnerabilidades dentro, vale, voy a seguir por aquí porque no se verá bien, ¿verdad? bien, intitle, seguido de dos puntos y el término de búsqueda, significa que va a buscar ese término de búsqueda dentro del título de la página, por ejemplo, pues si tenemos tomasierra.com en la sección vulnerabilidades, va a usálo siempre en el título de la sección, en el h1, ¿de acuerdo? por ejemplo, vamos a coger el segundo, intitle dentro de una página a la que sea y siempre que tenga WordPress en seguridad, o sea, dos palabras, ¿verdad? veis que todos tienen seguridad, WordPress, si además le añadísimos un site, dos puntos y una url buscaría esos términos dentro de esa url, ¿vale? estos comandos y los operadores podemos combinarlos como queramos, como queramos y tantas veces como queramos, tener cuidado con hacerlo muy seguido porque bloquea google y en url esto es lo mismo que en site, pero poniendo los términos de búsqueda dentro de la url, si os dais cuenta os suenan los dos ejemplos, ¿lo veis bien desde todos los lados? ¿sí? ¿os suena? ¿en url uvpl content? ¿qué es eso? la carpeta de WordPress, donde tenemos plugins, temas, el update, etcétera, ¿no? ¿sí? y vamos a hacer siempre el ejemplo y vamos a buscar páginas que tengan ese listado de la carpeta plugins, fijaros, esta página X, la que he encontrado, la primera, veis que tiene un donazo de plugins, pero ¿cómo? Dios mío, ¿cómo se puede tener tantos plugins aquí? esto no es normal, ¿vale? Bueno, sí que es normal. A ver, sí, cada vez es más normal. No hay teniendo en cuenta que lo tienen así. Sí, pero he parado, ¿eh? No, no, esto se ha dicho plugin, plugin, plugin, plugin, venga, venga, venga, plugin de pendencia. Eso es gratis, que es gratis. No se dan cuenta de los problemas y los riesgos que conlleva eso. Muy bien, esta, Related, dos puntos, ¿qué significa? Busca páginas web relacionadas con el tema, con el que habla un site. Con el tema, si yo pongo mi URL, yo hablo siempre de WordPress y de seguridad. Alguna vez meto algún gazapo y hablo de tonterías, pero bueno, pocas. Van a salir páginas web, si os dais cuenta, que hablan de WordPress y seguridad, sobre todo seguridad para WordPress, ¿lo veis? También potente, un solo comando, muy potente, para encontrar sitios relacionados. Para ver la competencia. ¿De acuerdo? De esta manera, tan rápida y tan fácil, podemos ver nuestra competencia de nuestro negocio. Bien, seguimos. File type. Esto nos va a buscar tipos de archivo. ¿Qué significa eso? Pues archivos pdf, archivos doc, archivos xls, lo que se nos ocurra. ppt es todo lo que haya dentro de un site. ¿Vale? O con el término que tenemos ciberseguridad. En este caso, veis que tenemos pdf, la mayoría de ellos son pdf, ¿se ve? Solo hemos dicho que busque pdf, con lo que conlleva esto. Hay gente que mete ahí lo que quiere en su página web, pdf, bueno, ahí queda. Tenen cuidado porque es muy fácil de encontrar. Aunque no, no, si es que yo no lo cueste en un link, no lo cueste en ninguna web. Ahí está. El problema de Google hacking es ese. Que encontramos cosas que no pensábamos que estaban. Nos hemos olvidado de desinstalar algo. Hemos subido algo para un cliente, un pdf del contrato y luego nos hemos olvidado de quitarlo. Y desde aquí se ve. ¿Vale? Si el ataque va dirigido a nuestra página web, puede ser de una manera muy sencilla, vulnerable. ¿Vamos bien? ¿Nos dormimos? ¿Bien? ¿Venga bien? ¿Sí? ¿Venga guay? Google Dorks. Vamos a ver los dos. ¿Qué son los Dorks de Google? ¿Habéis oído hablar de ello? Algunos y la mayoría. No. Los Dorks son utilizar todos estos comandos para encontrar vulnerabilidades. ¿Vale? Todos unidos. Todo lo que hemos visto, tanto los comandos, los operadores. Y hay infinidad de ellos, tanto es como se puede ocurrir combinándolos. Vamos a ver ahora unos cuantos. Vamos a ver cómo podemos encontrar vulnerabilidades muy críticas. Por ejemplo, uno muy sencillito, pero peligroso, el Indesoft. ¿Sabes lo que es? Sí, sí. ¿Qué permite listar? ¿Quién ha sido? ¿Correcto? ¿Lista los contenidos? ¿Lista el directorio? Eso es, de los directorios. ¿Alguien deja aquí el listado de directorios activo? No, no. Estas son páginas que nos listan los directorios que estamos viendo aquí. Por ejemplo, Indesoft, download. Esta página web tiene un directorio que se llama download con todos los sus directorios y dentro de ellos podemos ver pues lo que hay ahí adentro. Casi nada. Mira, este está vacío. ¿Vale? Pero podíamos aquí navegar tranquilamente y buscar y encontrar todo lo que pudiéramos. ¿Vale? Bueno, no vamos a entrar tampoco en ello porque la página no sé de quién es, tampoco sé si esto... Le digo que no me hago responsable de todo lo que estamos haciendo, habría que tapar la página, pero no lo vamos a hacer. Sí, ¿no? Puede ser, sí, porque es un directorio de download. Entonces tiene que tener algo como yo que se lo pdfes o música o archivos. Este por mi no es nuestro. Ese es de otro. Es de un grupo. De varios. Bien, seguimos. ¿Cómo podemos utilizar esto? Pues por ejemplo, vamos a empezar ya a utilizar los dorks, ¿no? Indexoft y además le vamos a unir a ver si encontramos el plugin duplicator. ¿Sabes? Conoces el plugin duplicator? Fantástico para hacer backups y cambiarlos de servidor. ¿Vale? En páginas web y todo su contenido. ¿Sabes qué hace duplicator? ¿No? ¿Hace páginas web? ¿Hace backups? Sí, en este directorio encontramos algo. ¿Lo podremos descargar? Correcto. ¿Vale? Ya no sólo este, sino hay muchos plugins que realizan backups que sabiendo el nombre que tienen dentro de nuestra página web via FTP, podremos descargarlo. Si tiene una base de datos, como ahora veremos, no lo podremos descargar. Fijaros, todos los archivos y los subdirectorios del plugin duplicator. ¿Esto por qué lo tiene? Porque no tiene noindex. Hay una opción, los plugins de seguridad te la dan, y si no lo pones tú y no la te haces, que es noindexar los directorios, que no salgan el listado de directorios. Eso lo tienes que hacer todos. ¿Vale? Todas las sugerencias, con mucho cuidado. ¿Sabes por qué? Porque estamos en la misma red. Y si estáis investigando, el problema es que luego nos puede bloquear la IP. Bien. Hombre, por poder... Te bloquea la IP de la red, ¿vale? De lo que tenés aquí. Por ejemplo, vamos a añadir un poquito más. Vamos a añadir un poquito más. A este dor que pusimos antes, vamos a añadirle un poquito más, y es añadirle un site como es el mío tomasierra.com. ¿Qué vamos a encontrar aquí? Pues nada, espero. Está el noindex activado. Fijaros que fácil. Simplemente, un plugin de seguridad, que es de que no indese los directorios, no sale nada. Por mucho que intente buscarlo y os aseguro que el duplicator le tengo. Seguimos más. Por ejemplo, tipos de archivo pdf en mi site tomasierra, tipos de archivo docx en mi site, y tipos de archivo txt en mi site. Como no tengo de los otros y solo tengo de estos, lo ponemos aquí y vemos que todos van a ser pdf's y solo de mi sitio. De una manera sencillísima, podemos descargar todos mis pdf's de la página. ¿De acuerdo? Sigo que ya me han dado el toque de 10 minutos y esto... Algo más preciso. Algo más preciso. Además, añadimos dentro del texto del archivo la palabra WorldCam. Nos va a dar todas las presentaciones que tengo subidas porque tienen la palabra WorldCam. He añadido el comando intxt dentro de los archivos pdf de mi sitio. ¿Se entiende? No es difícil, ¿no? ¿Y por qué no lo utilizáis? No paja a quedar. Cuidado, ¿eh? Para que os ayudara, os vamos un poquito. De la luz, del lado oscuro, no, del lado lúcido, ¿no? El lúcido. Y luego tenemos este otro dor que es muy interesante y es que nos busca, utilizando los comandos OR, nos busca archivos, en mi página yo os digo que no tengo ninguno más, pero nos buscaría archivos de esos tipos pdf, ppt, xls, doc, etcétera, etcétera. Veis que es en el site Tomasierra.com, tipo de archivo pdf o ppt o xls, nos busca a todos. Podemos tener la cadena entera del tipo de archivo que queramos. Ahora, ahora, ahora viene lo gordo, ahora viene lo gordo, que sigue. Bien, al respecto de esto hay una herramienta de Eleven Pads, del Chema 11 y esta gente que se llama la foca, que ahora ya se ha abierto al público, ¿verdad? Y nos busca todos los tipos de archivos ¿Qué veis aquí? A ver si dándole aquí lo veis un poco mejor. ¿Lo veis? Todo ese tipo de archivo se escanea un site el que le pongamos nosotros y hace el torque. ¿Lo veis? Sin más, esto hará un adelanto de lo que viene. Bien, por ejemplo, vamos a buscar en plugins de backup, el uvp clone backup, por ejemplo. Vamos a ver qué encontramos si añadimos en la url de cualquier página la que sea esa cadena, uvp content, uvp clone tem, ¿vale? Algo temporal, que se ha quedado hoy intemporal. Y un backup, fíjaros. Voy a agarrar la primera, esta no vale. Esta misma, es al azar. Y ahí tenemos un uvp content con todos los plugins, los plugins que son fijos de WordPress, Acache, Temas, los adloabs, todo. Yo no uso nada de esto. ¿Cómo voy a usar yo esto? ¿Estamos locos? Me han contado, me han contado. Y ahora os lo cuento ya vosotros y luego ya me voy por aquí y ya está, ¿vale? Voy aligerando que creo que voy muy despacio. Bien, por ejemplo, ahí infinidad de dos. Yo he puesto unos cuantos simplemente para meteros el miedito en el cuerpo pero nada más, ¿vale? Hay infinidad de ellos y vamos a ver si este dentro del texto buscamos la cadena db, password y, perdón, o dentro del texto esta cadena, maestro y coleg, hostname. Y que sea un archivo TXT. ¿A qué suena esto? Al uvp config en TXT. Este igual no es. Pero sí que es algo un uvp config con la base de datos, etcétera y todo. Bien, ¿no? O sea, ya curioso todo el tema. Voy a irme para atrás porque la URL no quiero que se vea. Seguimos. La base de datos entera, luego, si eso todavía está activo, tenemos el control total de esa página web. Total. Curiosísimo. Mauri, ahí va. Vamos a buscar SQL, es claro. ¿Alguien se habrá dejado? Dentro del content upload, algún archivo SQL que hablará de la base de datos. Sí, sí, y dump, y de todo. Dump SQL. Ahí está, toda la base de datos. No, bien. Se fue, se fue. Bueno, ahí está. Si estáis... Eso no me pasa la gprd, ¿no? No, no. Eso es lo que quiero hablar después. Esto es brecha de seguridad. Esto hay que notificar, ya. De Panamá. Pero los papeles del Google hacking. Eh? Alucinante, alucinante. De verdad que no os imagináis todo lo que os podéis encontrar. Más cosas, esto es un poco ya más complicado. Aquí no voy, ahí va, no voy a ejemplo. Vamos a darle aquí. ¿Conoceis el Revolution Slider? Sí. Ese plugin, bueno, que no tenía buena habilidades ni nada. Bien. Pues aprovechando una buena habilidad, que se llama Patrasversal o Directive Traversal, lo que hacemos es descargar el archivo uvp config. Siempre con la vulnerabilidad de el plugin. Si el plugin era vulnerable, podríamos con éste torno. Yo creo que no. A ver, esto es de antaño. Pero luego habrá que buscar las versiones. Yo voy a seguir un poquito, porque voy muy despacio. Habré que buscar la versión vulnerable, encontrarla con lo que vamos a decir ahora y explotarla con este torque. Nada más, matiendo esto en Google, sabiendo que la web esa es vulnerable, lo tenemos en el uvp config entero. ¿Vale? Bien, aquí tenemos la base de datos de Google Hacking. Hay cantidad y cantidad de dors. Lo tenéis abajo, la urle, ¿vale? exploitdb.com. Google Hacking, lo sabéis. Si ponemos en el buscador WordPress, tendremos dors para WordPress. Sigo. Lo tenéis luego en la presentación, ¿vale? Hay un ciberdelincuente que no hacker. ¿Esta información? ¿Qué puede hacer para hackernos? Fijaros, esta es una herramienta que utilizo muchísimo, y hoy a mí me da las gracias por conocer a Ryan, que es el inventor de esto con otros dos chicos. Y lo utilizo muchísimo. Esta herramienta se llama uvp-scan y lo que hace es escanear una url de una web y nos va dando diferente información. Por ejemplo, si os dais cuenta, perdón, el tema usado, vulnerabilidades, no se ve mucho, porque me lo tapa. Ahí, ¿lo veis? ¿Vale? No sé si lo veis bien. En rojo, en rojo a la izquierda nos sale el plugin que es vulnerable. ¿Qué significa? Que está una versión antigua, desactualizado. Teniendo ya ese plugin vulnerable, imaginaos que es el revés slider. Esa página, sabemos que es vulnerable, metemos ese dors en Google y esta sencillita va por consola de comandos, pero para mí, a mí me ha salvado la vida, yo llevo años con ella. ¿Vale? Ahora lo veis mejor, ¿no se ve bien el rojo? Los rojos significa que son vulnerables, que están desactualizados. Educativos, siempre es educativo. Y en otra charla en Santander, por ejemplo, di cómo sacar el usuario como uvp-scan y un ataque de... Sí, ¿verdad? Yo también creé el diccionario en directo. En cuestión de segundo salió. A ver, suelta algo más. Lo hablé un poquito para que tal. ¿Qué tenemos aquí? Esta página también es de ellos y es la uvp-scan vulnerable database. Nos indica todas las vulnerabilidades que han encontrado ellos en WordPress, tanto de plugins, de plantillas de temas y del core. ¿Vale? Y unida a varias otras opciones a este exploit database. Lo que nos dice es cómo puede explotar esas vulnerabilidades con un atasploit, con algún programita. O sea, que no hace falta saber mucho para poder llegar a conseguir algo muy gordo. ¿Vale? ¿Y ahora qué? Recordamos, ¿no? Hemos hecho localizar el objetivo, recopilar información, identificar vulnerabilidades. ¿Ahora un ciberdelincuente qué haría? Pues ahora ya la tenemos, la explotamos, la atacamos, borramos los huellos, no hemos esto aquí nunca y dejamos una portita abierta a un vector para poder entrar cuando queramos. ¿Por qué lo hemos hecho? ¿Para entrar ahora y cerrarlo y irnos? No, no. Mantenemos ahí la entrada, ¿vale? Bien, otra cosa, otra, esta de Javi. ¿Cómo podemos ver? Esto lo voy a ver. WPdanger, no sé si habéis hablado de ella, es lo mismo, se está basado en WPscan y también te hace, esto es más más sencillo para el usuario de a pie, ¿vale? por wpdanger.com podemos poner nuestra página web allí y nos va a decir todas las vulnerabilidades que ha encontrado con unos scripts que ha hecho fantásticos en 10 minutos de escaso los tenéis en vuestro email todo un informe de todas las vulnerabilidades que ha encontrado. ¿Vale? Y al caso, perdón, esto es de Google, ¿vale? Y esto es WPdanger, ¿vale? Lo veis, ponemos la URL y decimos qué tipo de análisis queremos realizar. Normal, vulnerable, ¿vale? Y lo que teníamos antes es lo mismo, Doors, en nuestra página web. Si me da tiempo un poquito lo veo aquí en la parte de Google Doors, pongo Sí Tomás, vamos acabando, ¿vale? para que nos dé tiempo alguna pregundilla. Y me salen Doors para comprobar podría darle a cualquiera de ellos y me sale si yo llevo máquinas vulnerables con ese Doors, sin más. Y termino qué rapidito, ¿vale? Tened mucho cuidadín, ¿vale? Ahí fuera, la verdad está ahí fuera y solo hay que encontrarla, ¿vale? Pues, es que Ricasco muchas gracias Preguntitas, venga Ah, bueno, sí había una cosa que ha pasado hoy Me lo ha dicho Monty pero lo hacemos Telepisa, Vivi Prueba, Vivi, Builder, Telepisa Sí, esto es de hoy pero hemos visto hoy viniendo para acá andando y ahí veis prueba uno, prueba prueba ahí tenés el Builder ¿Vivi? ¿Usa Vivi? Pues entonces ya tenemos la información ahora hay que intentar entrar con pundirabilidad de Vivi La pedimos, la pedimos después Vamos todos a Telepisa Sí, para la esquina, hasta aquí al lado Más cosas Un poquito de respeto que son patrocinadores y mañana nos ponen las pizzas ellos, ¿eh? Telepisa no usa Vivi Telepisa no usa Vivi Esta noche nos van a llevar unas cuantas pizzas Si tenés alguna duda o algo y si queréis que voy a hacer un poco si queréis suscribiros a mi newsletter que cada semana os doy la información de vulnerabilidades, etc y si sale alguna historia de phishing en correos y tal, pues hago avisos al momento, ¿vale? con explicándos de qué manera evitarlo tanto phishing como vulnerabilidades en WordPress, las últimas novedades en seguridad, etc No, no, no, no intento hacer spam no, a ver, siempre lo más gordo hago un phishing, bancos en tander que sea algo para todos, un carrefour o yo qué sé, lo que ha habido de los routers hace una semana suelo mandar ese tipo de cosas así rápidas para mis suscriptores, para que no les pille a ellos más que nada Dale el micrófono Sí, sí De tiempo mal Esto es un ruego más que otra cosa esto es como lo que le dice a Matt Gracias por enseñarnos el camino Muchas gracias por estar aquí Realmente estoy para ayudarnos a proteger Exactamente, esto se trata que veáis que es tan fácil como eso que hemos hecho Esa herramienta para nuestro sitio Simplemente es eso, ver si vuestro sitio es vulnerable y tomar las medidas necesarias para que no sea Alguien tiene alguna pregunta que no sea el chascarrillo Estaré fuera de todas maneras Si no hay tiempo estaré fuera Y mañana vendré al contributor también y estaré ahí para lo que queráis Muchas gracias a todos por venir