Si has estudiado las técnicas de Hacking de aplicaciones Web has tenido que estudiar las técnicas de SQL Injection.
Durante varios años, yo dediqué varios años de mi vida al SQLi, Blind SQLi, Arithmetic SQLi, Time-Based Blind SQLi, Remote File Downloading using SQLi, Time-Based Blind SQLi Using Heavy Queries , y a sus amigas LDAPi, Blind LDAPi, BXPi y mis queridos Connection String Attacks donde tuve el culmen de la diversión con las técnicas de Connection String Parameter Pollution
De aquellos años salieron dos libros que a día de hoy seguimos manteniendo y actualizando en 0xWord: Hacking Web Applications – SQL Injection y Hacking Web Technologies.
Durante aquellos años de estudio siempre había un trabajo que mirábamos de refilón constantemente para ver cómo evolucionaba, cómo avanzaba. Nuestro querido SQLMap escrito por Bernardo Damele y Miroslav Stampar .
Ellos estaban construyendo un framework de explotación de SQLi mientras que Yo con mis compañeros estábamos más interesados en ir descubriendo nuevas posibilidades con nuevas PoCs, sin pensar en la construcción de ningún framework. ¿Para qué? Ya estaba SQLMap y lo hacía cojonudamente.
Cada nueva versión pulía mejor las nuevas formas de explotar las vulnerabilidades. Cada nueva versión traía nuevas mejoras, nuevos comandos, nuevas herramientas para explotar mejor y más rápido. Y se convirtió en una herramienta fundamental en nuestros proyectos de pentesting. ¿Cómo no? Era un framework que podías automatizar, integrar en tus scripts, en tus pruebas automáticas y manuales. Así que, mientras nosotros jugábamos con la investigación pura y dura de las técnicas de SQLi, SQLMap crecía y se convertía en una leyenda dentro del mundo del hacking.
Por supuesto, Miroslav Stampar y yo nos habíamos cruzado en varias CONs de hackers por el mundo, pero no había tenido la suerte de que nos presentaran oficialmente, así que cuando este año pasado estuve en Abu Dhabi en la Hack-in-the-Box y vi que Igor Lukic estaba con él, le dije: “Friend, preséntamelo!” Y nos conocimos, y nos tiramos una fotaca para el recuerdo.
Figura: Miroslav Stampar , Mila Gabor, Chema Alonso e Igor Lukic
Él estaba allí con una de sus pasiones, hacer y competir en CTFs. ¿Serán muchos los CTFs del mundo que no tengan una prueba de SQLi en algún rinconcito del proyecto? Lo cierto es que por fin nos conocimos, y a mí me hizo feliz. Luego vino a España a participar en la H-CON y nos volvimos a ver, charlamos un poco más a solas. Y cuando hice la lista de personas para entrevistar en esta sección, pensé “Tú tienes que estar aquí, Mr. Stampar”, y aquí está. Espero que os guste la entrevista, que como podéis ver, es puro Hacking Old School del bueno.
1.- ¿Quién es Miroslav Stampar? ¿Dónde nació y creció? ¿Y cómo se dedicó a la informática?
Técnico informático, nacido en Vukovar, Croacia, en 1982, donde me he criado hasta la guerra, que duró de 1990 a 1995. Fue un periodo difícil para mi país, pero después todo se normalizó. Empecé a trabajar con ordenadores en 1990. (es decir, la época de Commodore). Los ordenadores de entonces eran un verdadero reto, ya que era difícil hacer algo útil, aparte de jugar a los videojuegos. Desde entonces, he estado trabajando con todo tipo de ordenadores y mi principal objetivo era la programación. Al fin y al cabo, con la programación eres capaz de construir algo, al tiempo que constituye una base sólida para todas las demás habilidades informáticas (por ejemplo, la seguridad de la información).
Contactar con Miroslav Stampar
2.- Creaste SQLMap y, más de una década después, sigue siendo una de las herramientas más usadas del planeta para hackear WebApps… ¿Eras capaz de imaginar que el poder de compartir en Internet era tan potente para hacer tu herramienta tan popular? ¿Esperabas ese éxito?
Hace una década, Bernardo Damele y yo formábamos un gran equipo. Él tenía grandes ideas, yo era un programador realmente bueno, mientras que teníamos una fuerte base de usuarios de «hackers» altamente cualificados. Todos teníamos muchas ganas de construir una herramienta mejor para explotar una de las vulnerabilidades más conocidas de la historia: la inyección SQL. Se ha incorporado mucho esfuerzo en ella, con motivos desinteresados, dejándola como código libre y abierto después de todo este período. Hubo algunos períodos difíciles, como en todos los proyectos, pero el proyecto está obviamente vivo incluso en estos días.
3.- La inyección SQL ha sido la vulnerabilidad número uno los últimos 20 años más o menos. Va a terminar pronto o vamos a estar en 2050 hackeando tecnología con bugs SQLi?
En algún momento, hubo un límite máximo en el número de vulnerabilidades SQLi en diferentes plataformas web populares. Fueron los años dorados de SQLi, alrededor de 2010. Luego, de repente, los números empezaron a caer. Surgieron nuevos frameworks web, que incorporaban intrínsecamente algún nivel de protección contra los ataques de tipo inyección. Sin embargo, después de algún tiempo, era obvio que esas protecciones intrínsecas no son a prueba de balas, mientras que los autores tenían que hacer un corte fino entre las detecciones verdaderas-positivas y las falsas-positivas. En ese momento, se llegó a un límite inferior, que básicamente demostró que el número de bugs de SQLi puede reducirse, pero no exterminarse por completo.
4.- El panorama del hacking ha cambiado mucho. De amateur al principio a cibercrimen, ciberguerra, cibermercenarios… ¿Qué opinas de la publicación de bugs y exploits? ¿Divulgación total? ¿Divulgación responsable?
Como me siento parte de la escena de hacking de la «vieja escuela», con participación activa en casi todos los aspectos de la misma en los últimos 30 años más o menos (es decir, cracking, phreaking, demo-scene, etc.), en mi opinión todo lo relacionado con la seguridad de la información se ha vuelto más y más comercial. Sin embargo, el verdadero espíritu hacker todavía se puede encontrar en todo ese material «gratuito» de calidad que se puede recoger en Internet, donde es obvio que alguien pasó toneladas y toneladas de tiempo creando algo para el beneficio de todos nosotros. Además, tengo un respeto absoluto por la investigación de calidad (pública) en todo lo relacionado con el ámbito de la seguridad de la información. Todo este proceso es tedioso y requiere toneladas de tiempo, esfuerzo y sacrificios. En cuanto a la «cibernética» y todo lo relacionado (por ejemplo, la delincuencia o la guerra), se trata de un curso profesional, como en todas las ramas de las actividades humanas, en el que los participantes hacen su trabajo de 9 a 5, y después se van a casa con sus familias. Los jóvenes pueden empezar a «hackear», mientras que más adelante en su vida cambian a carreras profesionales «cibernéticas».
He estado en todo el mundo dando charlas, enseñando a nuevos hackers y conociendo a maravillosas leyendas. ¿A quién impresionas más en tu carrera? ¿De quién aprendes en tu vida?
Lo que más me ha impresionado son esas personas humildes, altamente cualificadas y entusiastas en el ámbito técnico, que en algún momento de su vida eligieron un tema del que nadie tenía ni idea y de repente empezaron a trabajar en él por diversión. Después de pasar toneladas de horas, se convirtieron intrínsecamente en leyendas en el campo, incluso fuera del ámbito de la seguridad de la información. Cuando empiezan a hablar, se puede concluir fácilmente que se convirtieron innegablemente en expertos únicos en el campo, y todo porque tenían la necesidad de estudiarlo hasta el más mínimo detalle. Dicho esto, en la forma más genérica, admiro a las personas que voluntariamente se ponen a trabajar en algo, sabiendo que potencialmente no habrá ningún resultado, sacrificando su tiempo libre, y tratando de divertirse en el camino.
6.- Y lo mismo, para los nuevos hackers que se incorporan, ¿qué les recomiendas estos días para convertirse en grandes hackers?
Como con todo en la vida, cuanto más tiempo pases trabajando en algo, mejor te harás con el tiempo. Los puntos de bonificación son si eliges algo por amor o por diversión. No hay línea recta, ni viñetas, ni receta, sólo trabajo, trabajo y más trabajo. Además, intenta no «quemarte» por el camino, sobre todo al empezar, ya que la gente rara vez se recupera de esos malos episodios.
7.- ¿Piensan añadir a SQLMap los ataques a las cadenas de conexión y la contaminación de los parámetros de las cadenas de conexión?
Es una pregunta difícil. Digamos que me has dado una idea, que puede evolucionar con el tiempo 🙂
- ¿Qué es lo siguiente para Miroslav? ¿En qué está involucrado ahora mismo?
Actualmente me divierto en mis actividades diarias de trabajo, que consisten en el análisis automatizado de malware (por ejemplo, extracción de IoC o emulación de bots). Aunque todo el mundo me conoce por mi formación ofensiva, especialmente por la programación de herramientas de pentesting, disfruto especialmente defendiendo los sistemas contra los «malos». En mi tiempo libre, soy un adicto al CTF, intentando capturar la bandera para mi equipo durante las noches de los fines de semana. En cuanto a los planes futuros, actualmente no tengo grandes planes ni deseos. Sólo intento seguir en el juego y divertirme por el camino.
Deja una respuesta