Un billet de mauvaise humeur, pour chasser les miasmes :
J'ai rien à écrire d'interressant. Ou bien est-ce la flème ? Toujours est-il que ma verve s'épuise peu à peu entre les copier-coller des rapports d'audit et autres propales. Il faut vraiment ramer pour alimenter son boulot de pentester. Ce boulot est synonyme de missions courtes de moins de 20 jours. Quand j'en aurais marre, je deviendrais Consultant Orga' qui passe l'hiver au chaud avec une mission de plus de 100 jours. Une bonne politique de sécurité Coorporate. Voila ce qu'il me faut pour reprendre pied !
Si j'avais le courage, je vous parlerais de la faille de conception trouvée aujourd'hui : la bonne vieille faille qu'aucun scan de vuln' web, même un à 4000$, n'aurait pu trouvé. Mais bon, cela serait trop compliqué de décrire un script d'authentification, à la sauce Ajax, scotché sur une vieille base Domino aux ACL super-aiguisées. De toute manière, je ne sais même pas si je retrouverai un jour le même type de faille chez un autre client...
Bon, je soigne ma mauvaise grippe ce weekend et je me remotive. Promis !
vendredi, octobre 31, 2008
Inscription à :
Publier les commentaires (Atom)
Articles
j'attends la suite alors :)
RépondreSupprimerDans une certaine mesure ce sont les commerciaux qui doivent chercher des missions et en trouver beaucoup beaucoup pour en gagner très peu très peu.
RépondreSupprimerAu final les commerciaux ça leur fait trop de boulot pour pas grand chose et ils préfèrent trouver un bon gros projet bien gras bien baveux avec du matériel en veux-tu en voici avec des marges phénoménales et 20 trouffions débutants payés ras-les-paquerettes pdt 3 ans.
Bref pour revenir au fait que finalement si une équipe sécu veut vivre elle ne doit compter que sur elle-même et donc surtout sur son manager qui joue sa place avec la notoriété (hmm hmm) et la rentabilité de son équipe.
Après ça n'empêche pas à certaines boîtes d'attaquer directement les consultants et de dire "cette année on ne t'augmente pas parce qu'en fait on a du mal à te trouver des missions" et à nous de répliquer "Je sais moi où trouver des missions... Voici ma démission !"
Bref certains pensent que c'est au consultant d'avoir sa clientèle. Le doux rêve. Je veux bien y croire, mais moi je n'ai que 3 ans d'expérience et j'ai toujours travaillé dans l'ombre d'un consultant sénior. Alors me sortir que c'est à moi de trouver mes missions... :o)
J'ai fait mon commentaire gentil et attristé. Passons...
RépondreSupprimerMaintenant c'est quoi l'autre problème... On aime trop notre métier et plus on travaille, plus on connait de choses qui mériteraient d'être creusées. Alors lorsqu'on fait un audit croustillant et qu'on commence à trouver une pure piste et qu'on se retrouve limité par le temps ou par ses connaissances (il faut savoir rester humble :) c'est frustrant de devoir s'arrêter et de se dire que le client ne va pas chercher plus loin que les tests et les conclusions du rapport. Et si on dit qu'il y a une faille le prouve. La contraposée est que si on n'a pas eu le temps de creuser une piste, rien ne dit qu'il y a une faille et le client ne cherchera pas plus loin.
J'ai l'impression que la plupart du temps on laisse des choses comme ça en suspens et on fait un rapport copier-coller avec les scans de ports et de vuln, quelques pistes creusées parfois jusqu'à l'exploit,... mais en laissant toujours une petite phrase "L'audit ayant eu lieu dans un temps limité, il ne représente que ce que pourrait trouver une personne malveillante durant le même laps de temps, mais ne garantit en aucun cas que toutes les vulnérabilités du système ont été découvertes."
C'est que j'en ai à dire en fait...
RépondreSupprimerJe lis encore un truc entre les lignes :)
Les propals c'est chiant, mais je trouve que c'est pas mal aussi d'avoir l'avis du consultant dès que le client exprime son besoin. Ca évite que les commerciaux qui pannent rien à la sécu, parce qu'ils préfèrent les grosses missions bien grasses (voir ci-dessus :), ne décrédibilisent ses consultants. Ca me rappelle et ça doit te rappeler aussi le jour où un commercial était venu nous voir tout fier dans notre bureau en disant "fiou excellent j'ai tenu 1h30 de réunion et le client n'a même pas vu que je comprenais rien à ce qu'il disait".
Je crois qu'il faut déjà une certaine expérience du domaine pour répondre à une propal et comprendre le besoin du client en lisant entre les lignes. Enfin ça permet déjà d'être shortlisté... ou pas.
ce qui est bien avec toi Dnucna, c'est lorsque je lance un sujet, tu peux faire le reste du billet ! :-)
RépondreSupprimerpour te remonter le moral :
RépondreSupprimerhttp://blog.portswigger.net/
tout un mois de description concernant la future version de burp suite...
C'est impressionnant le boulot qu'ils sont en train de faire. Jour après jour, j'ai l'impression qu'il tend peu à peu à devenir un scanner de vuln, dans le sens où ils développent un onglet "scanner" qui permettra d'analyser les fichiers logs du proxy.
RépondreSupprimer"With passive checks, Burp doesn't send any new requests of its own - it merely analyses the contents of the base request and response, and deduces vulnerabilities from those."
En tous cas j'attends avec impatience la future version...
Au niveau des mauvaises nouvelles, notre cher ami fyodor ne vas sortir pas son livre avant mi-décembre. Faut espérer qu'il sortira avant le 25 décembre histoire de rajouter un joli "packet" sous le sapin :-)
Tiens Zavidan, comme on va certainement se taper les 37 pentests web avant la fin de l'année (ce nouveau client m'a contacté en fin d'après-midi), j'ai pensé à l'outil suivant pour que l'on puisse continuer à "trimer" ensemble le soir et le weekend : http://dradis.nomejortu.com/
RépondreSupprimerC'est quand même plus abouti que ton outil bogué en java, nan ?? ;-)
j'adore ton blog ! je viens de le decouvrir'
RépondreSupprimerje suis du quebec, 'pentesteux freelancer' depuis quelques annnes, actif dans le domaine depuis plus de dix ans. Il est vrai que vue que la majorite des mandats d'audit sont d'une duree relativement courte (>25jp), il est difficile d'etre occuper temps plein.
Ici au quebec, la mode est pour les organismes public de sortir des appels d'offres avec des contracts d'audit de plusieurs mois voirs annees... alors suffit d'en gagner un et hop, ont a la tranquilite d'esprit ;)
tes commentaires sur les 'vendeux de boites', les """auditeurs""" a la recherche du saint graal (rootshell) et autre parasites de l'industrie m'ont bien fait rigoler, content de voir que meme outre-mer, certainnes personnes ont les idees tournees dans le meme sens qu'ici !
c'est pareil de mon coter de l'atlantique... tellement pareil que ici aussi le marcher des pentest est de plus en plus web (une vingtaine a moi seul dans la derniere annee).
j'attend egalement avec impatience le nouveau burp !
au plaisir de vous lire.