mercredi, avril 22, 2009

C'est la fin...

Je m'envole vers d'autres cieux, car :

l’or de tous les climats qu’entouré l’Océan    
Peut-il jamais payer ce secret d’importance ?

Et nan, cela n'a rien à voir avec mon pentest de la semaine prochaine en Polynésie...

Adieu donc !

samedi, février 07, 2009

Retour aux sources

Déjà dix-huit mois à trimer sur toutes les techno' web. Je fais une pause. Pour chaque système audité, ce n'est pas moins de 8 techno' différentes à maîtriser. C'est épuisant, mais passionnant.
Au détour d'un gros pentest système pur, réalisé sans aucune préparation (merci le collègue consultant senior qui se dégonfle à la dernière minute), j'ai repris pied brutalement dans le petit monde des PoC, que j'avais abandonné sur un coup de tête.
Que de temps écoulé, depuis que l'on retravaillait à la main un PoC pour trouver une adresse de retour stable dans nos chers systèmes Krosoft frenchies. Nous disposons aujourd'hui de boîtes à outils vraiment performantes, qui, heureusement, ne coûtent pas toutes 5*.000$ pièce...
Afin de pouvoir justifier auprès de mes clients l'impact d'un pentest, je m'efforce de toujours choisir des outils opensources. Il est vrai qu'il est agassant durant la présentation des résultats de se faire interroger sur ses outils : "vous avez fait ça avec un outil spécialisé ou avec des logiciels libres ?" Comme si les outils opensources n'étaient pas aussi affutés qu'une suite pro' en python qui coûte plus d'un mois de prestation ?
C'est vrai, il ne faut pas vous cacher que les modules externes pour ratproxy et burp dans msf3 ne sont pas étrangers à mon soudain intérêt pour la programmation ruby (bibliothèque jruby pour le lien avec les appli' web) et la génération de rapports avec wmap.
Pour info, le readme du module pour burp possède une erreur : il faut remplacer les ";" par des ":" dans l'invocation des librairies java... Je vais essayer de soigner mon aversion maladive pour la lumière des projecteurs et peut être faire un petit track chez msf avec un nouveau pseudo, car celui là est un peu percé. (ou alors, j'y enverrai mon apprentit ;-)
Ce retour au sources m'a d'ailleurs permis de parcourir rapidement la prose et les traductions courageuses de notre Jérome Athias national. Ce dernier a le mérite d'y croire et d'essayer de faire bouger les lignes de notre scène hexagonale endormie. C'est vrai que quinze ans d'encadrement par les OPJ de la DS* sans moustaches, ça ne donne pas envie aux anciens de former la jeunesse (on a des mômes maintenant...). Dormez braves gens, et consommez sur nos portails d'achat pourris en priant tout de même que votre numéro de carte soit bien stockée sur une base antédéluvienne et sur un OS frenchie oublié de tous (i.e., une sous-version boguée et expurgée des algo crypto trop difficiles à péter : cela coûte cher le temps de calcul au CEA... alors qu'avec une serviette éponge et un kilo d'oranges, nos pro' de l'HUMINT font des merveilles)
La semaine prochaine, un nouveau pentest (de nuit !!) démarre. Je n'aurais vraisemblablement pas le temps de faire vivre ce blog...
Au fait, si vous avez des "jmp esi" stables pour la librairie WS2HELP.DLL de win2k3 sp2 (sans dep) version française (bien entendue), vous me ferez gagner quelques heures de sommeil. ;-)

samedi, janvier 10, 2009

La gravité est le bonheur des imbéciles

Je vous préviens tout de suite, ce billet illisible est bourré de disgressions proustiennes...
Parce que le monde est imparfait et que je connais pas encore d'industriel (même ceux qui vendent sur leurs sites web des pièces détachées à plus de 2.000.000 euros !!) qui ait réalisé une analyse de risques à la sauce 27.005 pour ses appli' web, il sera toujours difficile de qualifier le niveau d'impact du risque potentiel (trop classe comme appelation, nan ?) de la petite centaine de vulnérabilités qui forment votre rapport d'audit.
On a beau marteler durant la réunion de lancement, qu'il vous faut au minimum un classement par niveaux de criticité des différentes applications à auditer (et oui, je ne parle même pas d'actifs primaires et secondaires, car je ne veux pas brusquer le chaland toujours ignare en matière de SSI), tout ce que le chef de projet surchargé vous sortira après deux semaines de harcèlement quotidien, c'est un pov' schéma visio (avec un fond noir pour raisons de sécurité...) avec les noms des appli', ou deux noms ont été soulignés car : "ce sont les appli' dont les bases sont sauvegardées toutes les demies journées...alors ce doit être les plus importantes !!"
Tout ça pour dire, qu'il ne faut pas tomber dans le FUD complet (ça, c'est pour la citation de Montesquieu dans le titre) comme le pratiquent certains concurrents (vous savez, une de ces grosses boîtes de la région parisienne qui utilisent Nessus pour auditer des services web !), mais choisir soigneusement les vulnérabilités à mettre en avant lors de la réunion de restitution (vous savez la réunion programmée à 14h00, après le repas arrosé où les commerciaux, qui payent l'addition, ont gonflé le client avec un étalage indigeste de chiffres et de succes story... et d'où il ne faut pas repartir sans avoir fait signer le sacro-saint PV de recette).
Le plus simple, pour choisir les bonnes vuln' à mettre en avant, consiste à utiliser le ratio "facilité d'exécution"/"gain attendue" du délinquant moyen (ratio qui a fait la prospérité de l'ancien maire de New York et de nos chers ministres de l'intérieure, avec la cèlèbre politique de la tolérance zéro, mais ceci est encore une autre histoire...).
Le fait est, que ce sont ces vulnérabilités qui sont les plus simples à expliquer lors de la réunion/sieste de l'après-midi, surtout lorsque vous avez un auditoire composé de littéraires (là, je veux parler des RSSI de toutes les filliales du client qui se sont donné le mot pour la bouff' gratos, et non du consultant sénior qui a insisté pour vous accompagné, car il veut vendre au client une analyse de risques 27.005 ou une politique de sécu de 400 pages... encore que !!) qui considèrent tout sigle anglosaxon comme une grossière insulte à leur intelligence...
En fait, mon message était tout simple : je m'interrogeais sur le ratio vuln' critiques/vuln' hautes qu'il faut glisser dans un rapport d'audit ?
Ah, j'oubliais : "bonne année toi-même !" pour mes six lecteurs.

vendredi, décembre 19, 2008

La nouvelle version de Burp Suite est énorme !!!

Argh ! Enfin les vacances. Je suis sur les genoux.

Bientôt deux mois sans rien poster ! La honte...Pour ma défense, il faut savoir que les fins de semestre sont toujours super chargées pour les pov' p'tits pentesteurs. A croire que nos prestations ne sont commandées qu'avec des queues de crédit ou des fonds de tiroir.  Et enfin, ma fille ainée est rentrée en maternelle cette année. Elle rapporte donc toutes les maladies infantiles du continent à sa p'tite soeur. Mes nuits sont bientôt plus fatiguantes que mes jours...

Nous avons terminé aujourd'hui, zaz idan et moi-même (bizarre ce pseudo, cela ressemble un peu à Zapp Brannigan ! Un parent ?) un audit marathon d'une quarantaine d'applications Web. Dur de réussir à vendre une prestation de qualité lorsque vos concurrents (apparemment, en place chez le client depuis des années) se contente d'un simple scan Nessus ! Bref, il a fallu s'aligner et casser les prix et faire en 15 jours ce qui aurait du être vendu en 40. La galère !

Mais, bon la pêche a été super bonne. Il faut dire que dix ans de scans Nessus sur des portails extranet, cela laisse tout un tas de vulnérabilités super critiques. Un vrai festival du hack. On s'est régalé !

Ces trois dernières semaines nous ont donc permis de tester sur un grand nombre de technos et de plates-formes la version béta, puis la version finale de Burp Suite, nouvelle mouture. Un seul regret, c'est la sortie tardive de sqlmap qui prend désormais en entrée les log de burp. Cela devient de la tuerie...

Pour revenir à Burp, même si les deux premières versions béta étaient plutôt instables, nous avons pu comparer nos tests habituels sous Burp, aux résultats du scanner de vuln' web GrosCulnetix (figure imposée par le client, qui insistait pour avoir du scan !!!). Il n'y a vraiment pas photo, surtout lorsque l'on passe au travers un SiteMinder dernier cri (mais avec des cookies mal gérés par les appli') et des portails extranet WebLogic montés à l'ancienne (mod_rewrite et iframes bidons à la Apache Coyotte vers des vieux Tomcat, Domino et IIS-ASP), alors qu'ils devraient normalement s'appuyer sur leurs fonctionnalités d'hubs de connexions en T3 vers les seules bases de données !!

Bon. Je dois y aller. Si vous avez des trucs à partager sur Burp ou autre chose. N'hésitez pas... Cela me donnera peut être envie de réécrire durant mes vacances (si je trouve une connexion wifi pas trop éloignée et hackable sans antenne externe près de ma location ! Pas évident...)