OPEN CLASS CEUPE
Tecnología
Atacando un Wordpress y convirtiéndome en superusuario
Título: Atacando un Wordpress y convirtiéndome en superusuario
Día: 27/09/2021
Horario:
Temática:
Hoy en día, la mayor parte de nuestra información personal está digitalizada y podemos acceder a ella desde un computador con un simple clic; además, nuestro comportamiento como individuos también deja rastro digital, tanto en nuestros dispositivos personales, externos, y en la red. Ese comportamiento también es información. Esta información expuesta puede ser usada por los ciber-criminales para obtener algún beneficio, casi siempre económico, y éste lo consiguen a través de extorsión, robo y venta de información sensible, ingeniería social, etc.
En ciberseguridad, un test de intrusión o pentest, se define como el proceso de hacking -ético- en el que un investigador hace las funciones de atacante para intentar acceder y comprometer un sistema informático. El objetivo que persigue este tipo de ejercicios es el de determinar con certeza si un sistema puede ser penetrado y, por tanto, se requieren acciones de mejorar para corregir los vectores de entrada que hayan sido explotados para acceder a dicho sistema. Casi siempre, el vector de entrada suele ser una vulnerabilidad reportada por comunidad pero no corregida en el sistema.
En esta charla se describirá la taxonomía de un ataque informático en el contesto de un test de intrusión o pentest; y se realizará un caso práctico de cómo comprometer un sistema Unix en el que está corriendo un servidor wordpress. Una vez dentro, se explotará una vulnerabilidad derivada de la ejecución de tareas cron para elevar privilegios a superusuario. La charla está enfocada con carácter práctico y divulgativo, dónde los asistentes podrán ver en directo como realizar este tipo de ejercicios y se verá en directo cómo se puede acceder a un sistema ajeno controlado, simplemente explotando una vulnerabilidad no corregida en el sistema. Todo esto, simplemente usando algunas herramientas open source de libre distribución y la información pública disponible en internet.