Ce titre n'est pas un appel au meurtre, encore moins un pamphlet contre un quelconque consultant sénior (quoi que...) seulement la litanie favorite des tortionnaires coréens ayant réussi, grâce à la technique de l'autocritique, à retourner quelques majors de promo de West Point des années 49, 50 et 51...
Mais bon, je ne vais pas aujourd'hui disserter sur l'effet papillon de la coercition nord-coréenne sur la consommation de LSD dans les technivales d'Europe de l'Ouest (il y a pourtant un lien surprenant...). Nan, je vais vous parler de la condamnation de la vieille école de l'INFOSEC incapable de s'adapter à un nouvel environnement trop dérangeant, qui met allègrement au placard la quasi-totalité du savoir et des certitudes qu'elle a accumulés jusqu'au début de ce millénaire.
De savoirs obsolètes, je veux bien sûr parler des techno pare-feu, de la lutte anti-virale, des théories sur la défense en profondeur, de la prog' raw-sockets en C et, plus largement, de la majorité des sujets de discussion qui ont fait et font encore les choux gras des listes de diffusion INFOSEC.
Ça y est, vous vous dites : "encore un p'tit jeunot qui crache sa haine de la Old School et ne pense qu'à se faire une place auprès de ses ainés !" En fait, je vais avoir 36 ans le mois prochain, et je suis un pur produit de cette Old School !
Ce vieil homme doit mourir. Voici son autocritique :
Il y a quelques mois, j'avoue m'être jeté sur les systèmes SCADA, en pensant avoir trouvé un El Dorado pour mes connaissances obsolètes. Tout y était : de l'exploit raw-socket au ping of Death (exploit qui marque encore les esprits des consultants Orga-Sénior façon 27001). J'en étais à monter un pentest pur année 90 avec du hping et toute la panoplie du paquet-forgery (scapy) un vieux modem, des scripts pour du brute-force Telnet et même un sifflet Cap'tain Crunch... lorsque, devant l'interface web de connexion, j'ai essayé les 9 caractères (avec les espaces) connus de tous les scripts kiddies de moins de 16 ans qui n'ont rien à foutre des protocoles réseau : 1' OR 1=1. Argh...
bref, à l'heure où la majorité des plus de 30 ans se demande s'il faut faire du pentest avec un poste Windows ou la dernière BackTrack (je parle de ceux qui ne sont pas encore manager ou qui ne veulent plus l'être), ou encore s'il faut s'afficher aux réunions de l'OSSIR du lundi alors que ça plait pas aux copains anciens des écoles du Kremlin Bicêtre, qui sont des ayatollahs du BSD et des buveurs de bières d'Asie du sud-est... le monde a bougé sans vous !
Un professionnel Old School pourra survivre encore quelques années. L'informatique industrielle et ses SCADA d'un autre âge sont là pour ça. Pour ma part, j'ai décidé de tout balancer (et de claquer la porte de ma boite par dessus le marché...).
Ceci est donc mon autocritique : le vieil homme est mort !
Lecteur Old School, je te propose de venir ici faire toi aussi ton autocritique et de... signer une pétition pour faite péter l'OSSIR avec ces deux écoles d'un autre âge : Unix contre Windows (ça, c'est pour avoir un maximum de Trolls dans les commentaires)
Je ne vais pas vous faire le coup du 99,99% des flux passent au travers d'un pare-feu avec les ports 25 et 80 d'ouverts... Mais bon, il faut vous réveiller : on trouve désormais des langages de script pour drivers dynamiques ! Tout est logiciel et tout se passe au niveau de la couche application. Ce n'est pas la dernière coquille du Firewire qui va changer cela ! Tout se passe dans des applications qui se lancent dans et se partagent la mémoire vive des machines.
Bon. Il est tard. Au moins, ça s'est fait !
Mais bon, je ne vais pas aujourd'hui disserter sur l'effet papillon de la coercition nord-coréenne sur la consommation de LSD dans les technivales d'Europe de l'Ouest (il y a pourtant un lien surprenant...). Nan, je vais vous parler de la condamnation de la vieille école de l'INFOSEC incapable de s'adapter à un nouvel environnement trop dérangeant, qui met allègrement au placard la quasi-totalité du savoir et des certitudes qu'elle a accumulés jusqu'au début de ce millénaire.
De savoirs obsolètes, je veux bien sûr parler des techno pare-feu, de la lutte anti-virale, des théories sur la défense en profondeur, de la prog' raw-sockets en C et, plus largement, de la majorité des sujets de discussion qui ont fait et font encore les choux gras des listes de diffusion INFOSEC.
Ça y est, vous vous dites : "encore un p'tit jeunot qui crache sa haine de la Old School et ne pense qu'à se faire une place auprès de ses ainés !" En fait, je vais avoir 36 ans le mois prochain, et je suis un pur produit de cette Old School !
Ce vieil homme doit mourir. Voici son autocritique :
Il y a quelques mois, j'avoue m'être jeté sur les systèmes SCADA, en pensant avoir trouvé un El Dorado pour mes connaissances obsolètes. Tout y était : de l'exploit raw-socket au ping of Death (exploit qui marque encore les esprits des consultants Orga-Sénior façon 27001). J'en étais à monter un pentest pur année 90 avec du hping et toute la panoplie du paquet-forgery (scapy) un vieux modem, des scripts pour du brute-force Telnet et même un sifflet Cap'tain Crunch... lorsque, devant l'interface web de connexion, j'ai essayé les 9 caractères (avec les espaces) connus de tous les scripts kiddies de moins de 16 ans qui n'ont rien à foutre des protocoles réseau : 1' OR 1=1. Argh...
bref, à l'heure où la majorité des plus de 30 ans se demande s'il faut faire du pentest avec un poste Windows ou la dernière BackTrack (je parle de ceux qui ne sont pas encore manager ou qui ne veulent plus l'être), ou encore s'il faut s'afficher aux réunions de l'OSSIR du lundi alors que ça plait pas aux copains anciens des écoles du Kremlin Bicêtre, qui sont des ayatollahs du BSD et des buveurs de bières d'Asie du sud-est... le monde a bougé sans vous !
Un professionnel Old School pourra survivre encore quelques années. L'informatique industrielle et ses SCADA d'un autre âge sont là pour ça. Pour ma part, j'ai décidé de tout balancer (et de claquer la porte de ma boite par dessus le marché...).
Ceci est donc mon autocritique : le vieil homme est mort !
Lecteur Old School, je te propose de venir ici faire toi aussi ton autocritique et de... signer une pétition pour faite péter l'OSSIR avec ces deux écoles d'un autre âge : Unix contre Windows (ça, c'est pour avoir un maximum de Trolls dans les commentaires)
Je ne vais pas vous faire le coup du 99,99% des flux passent au travers d'un pare-feu avec les ports 25 et 80 d'ouverts... Mais bon, il faut vous réveiller : on trouve désormais des langages de script pour drivers dynamiques ! Tout est logiciel et tout se passe au niveau de la couche application. Ce n'est pas la dernière coquille du Firewire qui va changer cela ! Tout se passe dans des applications qui se lancent dans et se partagent la mémoire vive des machines.
Bon. Il est tard. Au moins, ça s'est fait !
Articles
Pour faire encore plus Web 2.0, l'association susmentionnée doit-elle porter plainte pour diffamation ? ;)
RépondreSupprimerLa constitution des groupes de travail "Unix" et "Windows" reflète l'organisation des entreprises : un administrateur "bureautique" n'a bien souvent pas le même statut (ni la même ancienneté) qu'un administrateur "mainframe".
Et personne n'a de qualification "PHP" ou "FireWire" sur sa fiche de poste ... ce qui est sans doute un tort, mais les structures évoluent plus lentement que les attaques.
Heureusement, 1' or 1=1 est à la portée de tout le monde, qu'il vienne du monde PHP, JSP ou ASP :)
Oui, je reconnais qu'il était super simple de faire réagir mon lecteur le plus assidu à un billet.
RépondreSupprimerTa réponse est certainement Web2.0 et cependant caractéristique du côté universitaire de "l'Observatoire".
C'est peut être cet aspect trop "clinicien" qui dérange l'"ancien homme d'action" qui se cache derrière C4rtman. Je lui préfèrerais des appellations comme "Organisation" ou "Mouvement", plus en phase avec la population d'insectes qui assiste aux réunions (les RSSI, les chercheurs ou même les consultants)... Mais bon, "observatoire" c'est toujours mieux que "club" après tout ;-)
Je reconnais également que cette prise de position gratuite était gonflée pour un membre qui n'a même pas pu participer à la dernière AG (merci le client qui se commande la veille au soir) et qui traine les pieds pour faire une prés' sur les SCADA ;-) Tout l'élégance était peut être de ne pas me le rappeler...
Voila, Doc' Jekyll a parlé. Vivement cette nuit qu'Hyde/C4rtman se réveille (et Hop, je rebondit rapidement sur le sujet facile du black/whiteHat schizophrène)...
Héhé t'est super en forme :-)
RépondreSupprimerEn fait moi SCADA, je viens de comprendre que j'en fait depuis plusieurs années sans m'en apercevoir ... et effectivement planter un système critique avec des pings ... ca fait peur. Mais bon SCADA, c'est pas sur internet donc ca crait rien... (oups ... je dit une connerie ?)
Mais bon heureusement que nous sommes une des rares population qui est capable de s'autogénérer son boulot au fur et a mesure ;-)
AMEN !!!
RépondreSupprimerOnt me trouve generalement bizzzare,,, un auditeur it qui fait des 'pentest' avec un windows ???? ils nous parle d'appli web constament ??? il doit pas etre bon, engagons plutot le jeunot qui se la pete avec son backtrack et exploits contre les services reseaux.
network security is dead
long live application security !