NOISE
01
REVISTA DE CIBERSEGURIDAD
N° 15 DE AGOSTO DE 2017
Importancia de la seguridad en las pymes
La industria web y la ciberseguridad
Cuando la contratación y el despido ponen su Propiedad Intelectual en peligro.
Auditoría como potenciadora de la seguridad
Freelancing en Cybersecurity
CONTENIDO
NOISE
REVISTA DE CIBERSEGURIDAD
La industria web y la ciberseguridad
04
Auditoría como potenciadora de la seguridad
06
Pymes y la Ciber Seguridad
08
Cuando la contratación y el despido ponen su Propiedad Intelectual en peligro
11
Freelancing en Cybersecurity
15
¿Qué es TINFOLEAK?
18
EDITORIAL CiberSeguridad, Riesgo u Oportunidad Usualmente al hablar de riesgos se viene a la mente una connotación negativa, sin embargo no todo riesgo debe ser considerado de esta manera. Las oportunidades de mejora en ciberseguridad son justamente riesgos enfocados desde otra perspectiva, por ejemplo: que nuestro sitio web sea vulnerado debido a una débil configuración de nuestro protocolo SSL, este riesgo puede materializarse si un atacante lo logra explotar, y causar una pérdida de imagen corporativa.
¿Qué oportunidades podemos explotar de este riesgo? Veamos algunas: 1. Capacitar a nuestro personal en técnicas de endurecimiento de los servicios web. 2. Mejorar la imagen corporativa a través de la divulgación de nuestra calificación SSL una vez que haya sido mitigado.
sacarlo de los riesgos, pero debemos tener esa mente abierta y saber cómo sacar provecho. Cada vez su realice un análisis de vulnerabilidades, no solo vea el vaso medio vacío, acompáñese de un profesional experto, y comience a ver el vaso medio lleno, busque oportunidades de crecimiento y fortalecimiento en su empresa.
Director General Nelson Chacón Reyes, CDFE Asesor en Gobierno de TI Mg. Leonardo Castillo, CISA Asesor en Auditoria de TI Héctor Jiménez,CSX Cuerpo Técnico Daniel Benavides Arte y Diseño Milagro Jiménez
Como bien dice el refrán “Todo depende con el cristal que se vea”, claro no siempre es fácil ver cómo
NOISE REVISTA DE CIBERSEGURIDAD
03
La industria web y la ciberseguridad Por Nelson Chacón
Actualmente la cultura del emprendimiento está tomando auge, debido a falta de empleo, los jóvenes y profesionales han empujado para abrir sus propios empleos, y posteriormente crear sus empresas. En el mundo de la tecnología la creación de aplicaciones, sitios web, etc. Es de las que más han proliferado debido a que no se requiere mayor materia prima que su ingenio, habilidades y conocimiento del lenguaje de programación. Sin embargo la pobre preparación académica sobre los controles mínimos de seguridad que toda aplicación web debe tener ha llevado a que los ataques a los sitios y aplicaciones web sean más efectivos día con día.
04
Las empresas no cuentan con el personal calificado, y todavía no comprenden que la seguridad no es un producto, sino un proceso, invertir en capacitaciones especializadas sobre desarrollo seguro, contratar servicios de verificación de los controles aplicados, son un seguro empresarial. Las pérdidas económicas son difícil de cuantificar sin las estadísticas apropiadas, la pérdida de imagen causada por un ataque, una desfiguración, extracción de información de sus bases de datos, es mucho más difícil cuantificar.
NOISE REVISTA DE CIBERSEGURIDAD
Las estadísticas de los últimos 3 años nos indican que los ataques a dominios SV es constante, en el sitio web zone-h.org se reportaron 140 casos en el año 2015, 70 mas en el año 2016 y 61 en el primer semestre de 2017. Si a esto se sumaran los dominios no inscritos en SV, los numeros pondrían subir.
2017 Educación
61
Gobierno
Otros
35
19
140 Año 2015
2017 Educación
11
COM
29
Gobierno
1. Daña la imagen de la empresa. 2. Alerta a otros atacantes, pues ya se demostro una vulnerabilidad.
Por otro lado nos preocupa que el gobierno no tiene políticas claras en cuanto a ciberseguridad, en la región centroamericana, la OEA lleva a cabo programas de capacitaciones relacionados a la seguridad en internet, y El Salvador no está incluido. Las comunidades académicas, comunidades internacionales como OWASP, también han iniciado movimientos para concientizar a los profesionales.
Otros
23
07
70 Año 2016
2017 Educación
06
COM
20
Gobierno
25
El Defacement es un tipo de ataque, que busca dañar la imagen de la empresa dueña del sitio web, esto tiene diferentes implicaciones:
3. El sitio vulnerado queda expuesto a ser utilizado como un botnet.
COM
25
Defacement
Otros
61
10
(Primeros 6 meses )
NOISE REVISTA DE CIBERSEGURIDAD
NOISE ha iniciado una campaña #PYMESEGURA, en la cual ofrece revisar el sitio web, sin costo alguno, capacitaciones para los administradores a costos bajos, y programas de soporte y mantenimiento, de esta manera la responsabilidad social es adoptada y permitirá a las PYMES protegerse de ataques, resguardar su imagen y ser más productivos enfocándose a su negocio y dejando la ciberseguridad en manos de expertos.
05
Auditoría como potenciadora de la seguridad Al hablar de Auditoría, nos viene de pronto a la mente ambiente de control, números, estados financieros, etc. No obstante, la función de Auditoría con el tiempo ha venido evolucionando, convirtiéndose en un aliado estratégico para la Alta Dirección, como potenciadora de control interno y dentro de ello, enmarcamos la Seguridad, en todo su contexto, sin embargo en esta ocasión nos enfocaremos en Seguridad de la Información. Pero, ¿Cuál es la base o referencia que la función de Auditoría utiliza para dicho fin? bien, todo, tiene el enfoque bajo lo que se conoce como “Las tres líneas de defensa”, donde, se han dividido los entornos de control, detallando como 1er línea de defensa los aspectos generales de control interno, como son:
Organismo de Gobierno/Consejo/Comité de Auditoria Alta dirección
1° Línea de defensa
Medidas
Controles de
de control
gerencia
Interno
2da. Línea de defensa se encuentra sustentada por: Controles financieros + Seguridad+ Gestión de riesgos+ Calidad + Inspección + Cumplimiento , 3ra. Línea de defensa es Audítoria Interna.
06
Controles Financieros Seguridad Gestión de Riesgos Calidad Inspección
Organismo de Control
Controles gerenciales + medidas de control interno descritos en Manuales, Políticas y Procedimientos,
Auditoría Externa
2° Línea de defensa
Cumplimiento
3° Línea de defensa Auditoría Interna
(Adaptado de la Guía emitida por ECIIA/fERMA sobre la 8va Directiva de Derecho de Sociedades de la Unión Europea, artículo 41)
NOISE REVISTA DE CIBERSEGURIDAD
En ese contexto, Auditoría Interna, dentro de sus evaluaciones de ambiente de control, ha ido tomando un rol sumamente importante de la Seguridad que las entidades mantienen sobre el acceso y protección de uno de los activos más importantes que poseen…”La Información”. Como Tercera línea de defensa, toma el rol de “asesor” o “consultor”, emitiendo recomendaciones basadas en mejores prácticas internacionales, procurando llevar el control interno a su máxima expresión, mitigando el riesgo de exposición a que la información se encuentra. Esta posición o rol que Auditoria ha tomado, llega a la Alta dirección de las entidades como un mensaje “Potenciador” de que existen aspectos importantes en donde la primera y segunda líneas de defensa, requieren mayor soporte y apoyo para mejorar su gestión de control y mantener los criterios de seguridad de la información: Confidencialidad
Concluimos diciendo que la Actividad profesional de Auditoría Interna, ha trascendido y continuará trascendiendo en las entidades que buscan mantener un Gobierno en sus organizaciones, reforzando todo el esquema de control y mejorando cada vez más la Seguridad en que la información se transmite, no importando el medio utilizado para ello.
NOISE ACADEMIA
Más información: informacion@noise-sv.com Teléfonos : 7930-2011/ 7235-5175
Disponibilidad Integridad.
NOISE REVISTA DE CIBERSEGURIDAD
07
Pymes y la Ciber Seguridad Pymes y la Ciber Seguridad Actualmente el internet es un medio que las PYMES están buscando para potenciar sus negocios debido a que las páginas web están disponibles 24 x 7, permitiendo ser la tarjeta de presentación de sus empresas. Pero qué pasa cuando la tecnología se vuelve en contra, y en lugar de ser ventaja les complica las operaciones debido a lo siguiente: 1. No cuentan con personal competente para administrar la plataforma. 2. Crecen de manera desordenada sin tener los controles adecuados.
08
3. No se monitorean los servicios web adecuadamente. El pasado mes de Junio se puso en evidencia que los procesos de ciber seguridad no son abordados con la seriedad que se debe, el ransomware wannacry impacto a un gran número de empresas grandes y pequeñas, dejándoles a merced de los ciber delincuentes, muchas de estas empresas no contaban con respaldos de su información, procesos de parchado, antivirus de nivel empresarial, configuraciones de sistemas operativos endurecidas, etc.
NOISE REVISTA DE CIBERSEGURIDAD
En EUROPA, han comenzado a apoyar a las PYMES en temas de ciber seguridad, ya que fueron golpeadas duramente, y reconocen que no cuentan con los medios económicos para poder pagar un equipo profesional de manera permanente. Un ejemplo de la necesidad de la ciber seguridad podría ser que alguien de la empresa descargue en un ordenador de la compañía un archivo infectado con un malware. Si esto pasa, puede extenderse cualquier virus por la red interna, pudiendo bloquear equipos, robar datos y obtener datos bancarios delicados. En este sentido, teniendo en cuenta que no se le da toda la importancia que se debería, la ciber seguridad es la asignatura pendiente de la mayoría de empresas y organizaciones, tanto a nivel nacional como mundial. Las grandes empresas tienen más recursos y preparación que las pymes, pero ambas están expuestas y ambos deben invertir en resguardarse de la amenaza cibernética. Hay que tener en cuenta, aun así, que muchas empresas no tienen los recursos ni preparación para afrontar el problema y .
NOISE REVISTA DE CIBERSEGURIDAD
que además el escenario es muy complejo.
En definitiva, de una u otra forma, las empresas y organizaciones deben adaptar sus hábitos y estrategias de seguridad para no caer en las redes del ciber delito. Acá se listan algunas recomendaciones para mejorar su seguridad en los servicios web: 1. Solicite que sus páginas web cumplan el OWASP top 10 2. Haga que sea verificado por un tercero. 3. Capacite a su personal sobre la importancia. 4. Utilice contraseñas seguras y cámbielas frecuentemente. 5. Revise los privilegios de sus usuarios. .
09
6. Mantener su software actualizado, evitar el uso de software pirata. 7.Instale un software de EndPoint, no un simple antivirus. 8. Realice simulacros de perdida de sus computadoras. 9. Utilice un filtrado de contenido web, para evitar los sitios de dudosa reputación. 10. Evalúe el prohibir el uso de USB o acceso a correos personales.
empresarial, desde ofimática hasta software complejo de seguridad y así evitar la piratería.
10 TIPS DE CIBERSEGURIDAD PARA TU PYME
NOISE Ciber seguridad, en su aporte a la sociedad realiza talleres gratuitos para personal profesional técnico a través de la alianza con OWASP, y pone a su disposición planes especiales a las PYMES, desde el desarrollo de términos de referencia para adquisición de servicios tecnológicos, diseño de políticas y procedimiento, diseños de páginas web seguras, análisis de sitios web, y apoyo en la remediación de problemas detectados. NOISE Ciber Seguridad, cuenta con un portafolio de Software OpenSource, para cada actividad
.
10
NOISE REVISTA DE CIBERSEGURIDAD
Cuando la contratación y el despido ponen su Propiedad Intelectual en peligro ¡Usted está contratando! tiene su ojo en este desarrollador de software que tiene un historial de la creación de aplicaciones que están siempre en la vanguardia de la tecnología. Usted hace su tarea, barre la red por cualquier detalle que pueda permitirle diseñar una oferta que mantenga su negocio a flote. Realiza una oferta, y su nuevo empleado camina por la puerta de entrada dos semanas más tarde. ¿Soñado? ¿Verdad? Probablemente, tal vez, debería ser - pero todo depende de su proceso de contratación.
NOISE REVISTA DE CIBERSEGURIDAD
A menudo, la inclusión, asimismo para aquellas empresas que están en los sectores de seguridad y ciberseguridad, se limitan al pago, beneficios y responsabilidades. Muchos incluyen la cultura de la empresa y algunos incluyen aspectos breves de seguridad / privacidad. Los trámites para nuevos empleados pueden incluir un acuerdo de no divulgación, una declaración de propiedad intelectual y cualquier otro requisito especial relacionado con el puesto.
11
Propiedad Intelectual y Contratación ¿Su formulario de declaración de propiedad intelectual incluye la advertencia, NO TRAER LA PROPIEDAD INTELECTUAL DE OTROS, ¿verborrea similar? Si no, debería. Usted quiere asegurarse que, durante su ingreso y dejar claro que la propiedad intelectual de los demás no debe ser llevado a la empresa. Hay,desafortunadamente, muchos individuos creen que si escribieron el código o diseñaron un tablero, poseen la propiedad intelectual de su patrón (ausente tal acuerdo así que estipulando). Hay pocas experiencias menos agradables que tener que sacar un producto off the shelf o tener que pagar regalías y honorarios exorbitantes por usar ilegalmente la propiedad intelectual de otra persona, porque un miembro de su equipo insertó su código o diseño en su producto.
12
¿Realmente la gente hace esto? Lamentablemente, con gran regularidad. Las empresas deben revisar continuamente su propia red de documentos, diseños y otras pruebas de la propiedad intelectual de otros que se almacenan o se aprovechan en sus redes. Si se encuentran, los equipos jurídicos corporativos deben asegurarse de que la información se devuelve al propietario legítimo, una disculpa proporcionada y los elementos retirados de la infraestructura de la compañía. Además de esas acciones, deben tratar adecuadamente a los responsables de la violación del formulario de declaración de propiedad intelectual sobre el uso inadecuado de la propiedad intelectual de terceros.
Propiedad Intelectual y Desvinculación Los empleados no son accesorios permanentes. Ellos vienen y van. Cuando se van, ya sea voluntaria o involuntariamente, es necesario tener implementadas las capacidades para protegerse contra el robo de propiedad intelectual.
NOISE REVISTA DE CIBERSEGURIDAD
En la actualidad, hay una saga en curso que tiene lugar en los tribunales en torno a un alegato de una entidad en el sector de vehículos autónomos acusando a otro de tener y utilizar su propiedad intelectual. El alboroto rodea al alegato del aparente robo de la propiedad intelectual por un empleado en su proceso de desvinculación de una empresa, donde supuestamente utilizó esta información para crear una entidad independiente y competidora. Los tribunales han recomendado que el caso sea remitido al Departamento de Justicia para revisar el robo de propiedad intelectual. Otro caso, también en los tribunales, involucra a unos pocos empleados que salen de una compañía de desarrollo de juegos y se trasladan a un competidor. La empresa denunciante acusó a sus antiguos empleados, en términos inequívocos, de que cuando los empleados se desvincularon, lo hicieron con la propiedad intelectual de su patrón bajo el brazo. La compañía compartió con la corte su revisión forense de las actividades de los empleados antes de su salida, indicando haberse llevado los datos de la compañía.
NOISE REVISTA DE CIBERSEGURIDAD
Estos casos son ejemplos de compañías que tienen procesos internos en su lugar para detectar potencialmente la adquisición y retención de información de la empresa por parte de los empleados salientes. En los casos de la empresas de juegos, produjeron para los tribunales la documentación firmada de los empleados que certificaban que los empleados salientes no retenían ninguna propiedad intelectual. Mínimamente, cada empleado que se retire debe ser recordado de sus responsabilidades de acuerdo de no divulgación después del empleo. Además, todos los empleados que salen deben estar obligados a proporcionar una certificación (y devolución) de toda la propiedad intelectual de la compañía.
13
Algunas entidades mantienen los dispositivos de almacenamiento de todos los empleados que salen por un período fijo en previsión de una posible revisión forense futura. Cada entidad tiene su propio nivel de confort. Cada entidad debe tener implementado o contactar recursos forenses de investigación para apoyar el proceso fuera de desvinculación. Esta capacidad debe, por supuesto, tener la capacidad forense de analizar cualquier dispositivo de almacenamiento.
Las capacidades también deben incluir las habilidades de revisar los registros de acceso a datos en toda la empresa por un período fijo, previo a la salida del empleado. Invertir un poco de tiempo y atención al detalle en el momento de la contratación y desvinculación, debe ir de la mano para resguardar su propiedad intelectual. Tomado de: https://www.cylance.com/en_us/blog/when-hiring-and-firing-puts-your-ip-at-risk.html Traducido por: Leonardo Castillo, CISA, ISO27001 leader auditor, COBIT
.
14
NOISE REVISTA DE CIBERSEGURIDAD
Freelancing en Cybersecurity Por: Gema Landaverde
En los últimos años ha habido un aumento en el entusiasmo por emprender. No estoy muy segura si los que lo hacen habrán notado que 3 de cada 10 startups fracasan, las razones varían, pero oscilan entre poca preparación financiera hasta conceptualizar que el negocio va a devolver la inversión en los primeros 30 días. Otros satanizan el hecho de no emprender y seguir “esclaviza
NOISE REVISTA DE CIBERSEGURIDAD
ados al sistema” especialmente sin tomar en cuenta que esos “esclavos” son sus próximos clientes. No es necesario avivar la llama del entrepeneurismo (sí, esa es la palabra) denigrando lo que hace cada persona por ganarse el sustento. Lo mejor y más recomendable para mí por ejemplo es trabajar desde lo que les diga su corazón “this is it” a esto es lo que me quiero dedicar, para mí fue: si, la tecnología.
15
El camino a esto definitivamente no es lineal, y no son permitidas frustraciones de espacio, tiempo o circunstancias, si nuestro core dice TECH bueno, habrá que trazarnos una estrategia y prepararnos para no salir corriendo de nuestros trabajos actuales, sino más bien aprovecharlos. Una de las mejores estrategias es comenzar con un “side job” pero esto ya lo muchos lo saben, es más no conozco a ningún colega que no tenga un proyecto ongoing adicional a su trabajo, pero dedicarse a la ciberseguridad requiere un poco más de pasión y devoción. La preparación es esencial sí, pero la astucia, esa creatividad para imaginarse panoramas para ingresar a diferentes plataformas, atención al detalle y sobre todo perseverancia.
de ciberseguridad con el primer curso que tomemos o con instalar Kali, y aquí entra una de las mejores ideas que se han pensado para el campo de la seguridad informática: El Bug Bounty Hunting! Probablemente ya muchos lo conozcan, pero si aún no, los animo a entrar en la plataforma de HackerOne que básicamente reúne a un grupo de empresas que pagan a profesionales de ciberseguridad por encontrar vulnerabilidades, ahora este es una excelente forma de iniciar un emprendimiento en Cybersecurity por que todo consiste en seguir un formato de reporte para informar el hueco de seguridad, la empresa lo valida y posteriormente nos hace llegar la recompensa sea estar en su salón de la fama, remuneración económica o productos de sus marcas.
No voy a entrar en detalle si el hacking es ético o para otros fines, hablando de emprendimiento me concentraré en “the good guys” los que queremos ayudar a nuestros cilentes a que sus plataformas sean un poco más confiables (porque seguras es un poco ambicioso prometerlo). Claramente no podemos saltar directamente a ser consultores
16
NOISE REVISTA DE CIBERSEGURIDAD
Aquí encontramos empresas desde Twitter hasta federales de EEUU, lo cual nos da una buena porción de mercado donde podemos poner en práctica nuestras habilidades y ganar la confianza para realizar trabajos más complejos a nivel más profesional y de paso, ya tenemos un “side job”. ¿Existe sólo HackerOne? No, hay de hecho más plataformas que usan la misma lógica, Bugcrowd es otro ejemplo. Algunas variaciones incluso donde nos podemos inscribir como freelancers directamente, por ejemplo secur1ty.com o freelancer.mx Pero ojo, que sucede si ya nos sentimos valientes y queremos aplicar nuestros conocimientos pero lo hacemos fuera de estas plataformas que explícitamente dan su permiso para que poda-
NOISE REVISTA DE CIBERSEGURIDAD
mos hacerlo? Respuesta: Podemos caer en problemas legales muy serios especialmente porque no lo van a ver como una buena intención de nuestra parte ayudarles con su seguridad sino que al contrario, a nadie le gusta que le pongan a prueba sus sistemas y menos si es sin su consentimiento. Por lo tanto, si una empresa no ha autorizado ser evaluada, es mejor hacer nuestras prácticas en ambientes controlados como por ejemplo DVWA Damn Vulnerable Web Application, bWAPP, etc. Los animo también a que no se lo tomen tan en serio, trabajar también es aprender jugando y para esto les recomiendo estas páginas que contienen acertijos y retos muy interesantes que van a fortalecer de forma divertida nuestras habilidades en h a c k i n g g a m e o fh a c k s . c o m , hackthis.co.uk, y muchas más.
17
Tutorial del mes Por: Daniel Benavides
La recolección de información, como bien saben es una de las etapas más fundamentales en el hacking ético ya que nos permite conocer un poco más de nuestro objetivo, de llevarse a cabo de la mejor forma posible asegura parte del éxito en el pentesting.
En la actualidad existen diversas herramientas que nos permiten hacer de esta etapa un trabajo un poco más sencillo (No hacernos el trabajo completo, solo facilitarnos un poco), en esta ocasión hablaremos sobre tinfoleak y estudiaremos un poco su uso.
¿Qué es TINFOLEAK?
TINFOLEAK, es un script desarrollado en Python por Vicente Aguilera (líder del capítulo español de OWASP) que nos permite obtener información detallada sobre la
actividad de un usuario de Twitter. A continuación les muestro un poco sobre lo que podemos conocer utilizando tinfoleak: .
NOISE REVISTA DE CIBERSEGURIDAD
18
• Información básica de un usuario de twitter (nombre, fotografía, seguidores y su ubicación). • Dispositivos y sistemas operativos utilizados por el usuario de twitter. • Aplicaciones y redes sociales del usuario. • Coordenadas de los lugares visitados por el usuario. • Mostrar los Tweets en Google Earth (Si el usuario habilita la ubicación). • Descargar todas las fotografías del usuario. • Conocer los hashtags, menciones y temas tratados por el usuario (Incluyendo la fecha en que estos se utilizaron).
Ahora ingresamos a https://apps.twitter.com y damos clic en crear una nueva app. (Es necesario si o si, tener una cuenta de twitter).
Nos pedirá llenar un formulario con los datos de nuestra cuenta de twitter.
Para esta pequeña demostración utilizaremos Kali Linux bien, entonces ¿Cómo es que se utiliza?: Descarga el script en tu kali linux desde http://isecauditors.com/sites/default/isecauditors.com/files//files/tinfoleak-2_0_201701 10.zip.
Una vez creada nuestra cuenta, damos clic en "Keys and access tokens" para ver nuestras apis
Desempaqueta el archivo utilizando el comando unzip. Debemos preparar el escenario para compilar este script, para ello instalamos los siguientes paquetes:
19
Keys and Access Tokens
NOISE REVISTA DE CIBERSEGURIDAD
Dentro de la carpeta que hemos desempaquetado al inicio, se encuentra un archivo denominado tinfoleak.conf, dentro de este es que vamos a pegar las apis de nuestra aplicación de twitter.
Entonces, copiamos la llave de "Consumer key (API key)" y la de "Consumer secret (API secret)" de nuestra aplicación de twitter y las pegamos en los campos "Consumer_key" y "Consumer_secret"según corresponda, en nuestro archivo tinfoleak.conf.
Nos movemos hasta la parte de abajo de la aplicación de twitter y damos clic en "Create my access token" para obtener las dos llaves restantes.
NOISE REVISTA DE CIBERSEGURIDAD
Ahora
copiamos
las
llaves
"Access Token" y "Access Token Secret" de la aplicación de twit-
ter y las pegamos en los campos "Access_Token" y "Acc e s s _ To k e n _ S e c r e t " s e g ú n corresponda, de nuestro archivo tinfoleak.conf.
Ahora si viene la magia . . . Hasta este punto, tenemos todo listo para empezar a jugar un poco con tinfoleak, veamos cómo funciona: Supongamos que queremos conocer un poco más sobre el alcalde Roberto Daubuisson, ubicamos su usuario en twitter (@rdaubuisson) y nos trasladamos a la carpeta de tinfoleak. Podemos ejecutar el script ./tinfoleak.py con el parámetro -h para listar las diversas opciones que podemos utilizar y para qué sirve cada una.
20
Nos dirigimos a la carpeta tinfoleak, dentro de esa habrá otra con el nombre Output_Reports, la abrimos y veremos un archivo tinfoleak.html (Si asi es, el reporte se verá en el navegador). Damos doble clic para abrir
Ahora bien, en este ejemplo haremos cuenta y caso que queremos saber información básica, dispositivos desde donde ha twitteado, hashtags incluidos en sus tweets, menciones y conversaciones entabladas.
El resultado es el siguiente: Información Básica.
Con lo anteriormente planteado ejecutaremos el script de la siguiente forma: ./tinfoleak.Urdaubuisson -i -s --conv --mentions --hashtags. Presionamos enter y observaremos en pantalla los detalles de nuestra búsqueda. Dispositivos desde hecho sus tweets
21
donde
ha
NOISE REVISTA DE CIBERSEGURIDAD
Top de los hashtags mรกs utilizados por dicho usuario.
Top de los usuarios que mรกs ha mencionado este usuario.
Conversaciones entabladas con otros usuarios (Mediante tweets).
Ciber Seguridad que predice, previene, y protege
NOISE REVISTA DE CIBERSEGURIDAD
22
NOISE
REVISTA DE CIBERSEGURIDAD
ESPERA NUESTRA SEGUNDA EDICIÓN 02
NOISENOIs SE
02
AD R EE RV SI SE TGAU RDI ED C I B E B I RSEGURIDAD C E A D REVIST
e adln Mlnapereaabndiloidvu erab u v o d Mapean en la web en la web ilidades
oSec f n I n Po e r do r nd a e i in ic c ia i r n en InfoSec Por donde i rte 1 jection Pa Lab: SqlIn De nuestro o. ad rid dor web erse gu y cib Auditoria y ciberseguridado. De nuestro Lab: SqlIn Auditoria
Auditando nuestro servi
o nuestro
Auditand
servidor
web
jection Parte 1
NOISE ACADEMIA
http://www.noise-sv.com/ Teléfonos : 7930-2011/ 7235-5175