Chloé Chamberland n’a jamais voulu entrer dans la sécurité, et pourtant au cours des trois dernières années, elle est devenue l’une de nos chercheurs en menaces les plus efficaces et les plus prolifiques. Non seulement elle trouve des vulnérabilités dans de nombreux plugins populaires, mais elle parcourt également le monde en le faisant. Chloé m’a parlé d’une cabine dans une région éloignée de l’Alaska, où elle a vu un orignal pour la première fois. Chloé raconte comment elle a débuté dans la sécurité et donne des conseils aux jeunes qui pensent qu’ils pourraient apprécier la recherche sur la sécurité. Elle nous explique également pourquoi elle aime parler à WordCamps, la vulnérabilité la plus effrayante qu’elle a découverte et comment elle travaille avec plus de développeurs pour sécuriser leur code.

Dans les actualités, je couvre certaines vulnérabilités récentes des plugins WordPress, pourquoi les pare-feu cloud peuvent être contournés et ce que les propriétaires de sites pourraient avoir besoin de surveiller dans les prochains changements de cookies SameSite de Google Chrome.

Voici des horodatages au cas où vous souhaiteriez vous déplacer, ainsi que des liens vers des sources principales.

2:08 Vulnérabilité dans Plugin d’extraits de code
2:45 Plusieurs vulnérabilités corrigées Minimal Coming Soon & Maintenance Mode – Coming Soon Page Plugin
3:38 Vulnérabilités facilement exploitables corrigées dans Plugin de réinitialisation de la base de données WP
5:01 Infinite WP Client et Capsule temporelle Vulnérabilités
7:05 Comment les pare-feu cloud sont contournés
7:55 Google Chrome Cookie SameSite Changements; Troy Hunt’s expériences avec les cookies SameSite
12:03 Chloe Chamberland explique comment elle a débuté dans la sécurité, voyageant en travaillant et comment elle trouve les pires scénarios avec des vulnérabilités de plugin

Retrouvez-nous sur votre application ou plateforme préférée, y compris iTunes, Podcasts Google, Spotify, Youtube, SoundCloud et Couvert.

Cliquez ici pour télécharger une version MP3 de ce podcast. Abonnez-vous à notre flux RSS.

Vous pouvez me joindre sur Twitter @kathyzant. Vous pouvez trouver Chloé à @infosecchloe.

Transcription de l’épisode 63

Chloé Chamberland:
Une petite requête avec quelques paramètres et vous êtes soudainement devenu administrateur. C’est assez effrayant.

Kathy Zant:
Bienvenue dans Think Like a Hacker, bienvenue en 2020 et bienvenue dans notre nouveau format audio uniquement. Je m’appelle Kathy Zant. Je suis directeur du marketing ici à Wordfence, et je serai votre hôte pour cet épisode 62 (mal parlé, c’est en fait l’épisode 63), de Think Like a Hacker, le podcast sur WordPress, la sécurité et l’innovation. Nous avons commencé ce podcast en mars de l’année dernière avec l’intention de vous plonger dans les actualités les plus importantes de la sécurité WordPress, et nous continuerons à le faire. Notre objectif ultime avec ce podcast est l’autonomisation.

La sécurité peut être effrayante, bien sûr, mais lorsque vous apprenez à penser comme un pirate, vous apprenez à vous responsabiliser. Vous voyez les choses différemment. Notre objectif est de rendre tout ce dont nous parlons, quelle que soit la complexité de la technologie, accessible à tous. S’il y a une histoire que vous aimeriez que nous couvrions, veuillez nous contacter. Vous pouvez m’envoyer un e-mail à kathy at wordfence dot com, et j’aimerais avoir de vos nouvelles.

En passant à un format audio uniquement, nous avons une plus grande flexibilité pour vous apporter les histoires qui comptent le plus pour vous, et l’invité du podcast d’aujourd’hui en est un parfait exemple. Aujourd’hui, je discute avec Chloe Chamberland, analyste des menaces pour Wordfence. Elle nous rejoint depuis une cabine dans une partie reculée de l’Alaska où elle vient de terminer ses recherches sur une vulnérabilité qu’elle a trouvée dans le plugin Code Snippets, actuellement installé sur plus de 200000 sites WordPress. Mais d’abord, approfondissons quelques nouvelles.

Nous avons eu un démarrage actif de la sécurité WordPress pour janvier 2020. Certaines vulnérabilités importantes ont été découvertes et examinons-les. Maintenant, Chloé a découvert des vulnérabilités dans trois plugins avec de grandes bases d’installation au cours des dernières semaines. Plus récemment, elle a découvert la falsification de requêtes intersites de haute gravité pour l’exécution de code à distance, une vulnérabilité dans le plugin Code Snippets installé sur plus de 200000 sites WordPress, dont quelques-uns. Maintenant, le billet de blog pour cela et les autres vulnérabilités dont nous discutons aujourd’hui sera dans les notes de l’émission, et je vous recommande de jeter un coup d’œil à la courte vidéo de deux minutes enregistrée par Chloé nous montrant exactement comment un attaquant pourrait tromper un propriétaire de site à installer du code malveillant sur leur propre site, ainsi qu’à ajouter un utilisateur administratif malveillant.

Elle a également trouvé plusieurs vulnérabilités dans un plugin installé sur 80 000 sites WordPress appelé le plugin Minimal Coming Soon et Maintenance Mode – Coming Soon Page. C’est un plugin assez flexible mais qui a eu quelques problèmes de sécurité. Chloé a travaillé avec le développeur pour s’assurer que les vulnérabilités étaient corrigées. Elle a ensuite travaillé avec notre équipe de renseignement sur les menaces pour s’assurer que notre pare-feu bloquait les tentatives d’exploitation de ces vulnérabilités, puis a publié ses recherches.

Elle passe également l’étape supplémentaire pour s’assurer que la vulnérabilité est répertoriée dans la base de données de vulnérabilités WordPress. Il s’agit d’un outil que Wordfence utilise pour vous informer lorsqu’une mise à jour de plugin a un correctif de sécurité. Il est agréable d’obtenir ces e-mails Wordfence, vous permettant de savoir qu’un plugin a un problème de sécurité afin que vous puissiez prendre des mesures rapides pour assurer la sécurité de votre site. Chloé a également trouvé des vulnérabilités facilement exploitables dans le plugin WP Database Reset. Ceci est un autre plugin avec plus de 80 000 installations. Cette vulnérabilité a été relevée dans la presse de sécurité couverte par de nombreuses publications technologiques, notamment ZDNet, ArsTechnica, Slashdot, TechRadar et d’autres.

Il s’agit d’une vulnérabilité assez effrayante qui donne du crédit à l’idée selon laquelle un grand pouvoir s’accompagne d’une grande responsabilité. Donc, réinitialisation de la base de données. Supposons que vous ayez un nouveau site WordPress, et que vous jouiez avec la conception du site et le contenu du site, et quelque part en cours de route, vous décidez de tout supprimer et de recommencer à zéro. Maintenant, ce plugin fait exactement cela. Cela peut être très utile au début du développement de votre site, mais lorsqu’elles ne sont pas sécurisées, ces fonctions permettent à n’importe quel attaquant d’effacer le contenu de la base de données de votre site sans être authentifié, c’est-à-dire sans être connecté. Un attaquant pourrait également supprimer tous les utilisateurs et faites-vous administrateur si vous avez la fonctionnalité permettant aux visiteurs du site de s’ajouter au niveau de l’abonné. Il y a une vidéo sur le blog qui accompagne cette recherche qui montre avec quelle facilité cela a été exploité, et nous vous recommandons de regarder ceci. Je pense que c’est aussi sur notre chaîne YouTube.

Nos amis de WebARX Security ont trouvé quelques vulnérabilités dans le plugin Infinite WP Client et les plugins WP Time Capsule, permettant aux attaquants de se connecter aux comptes d’administrateur WordPress sans mot de passe. La capsule temporelle avait une base d’installation de 20 000 sites WordPress, mais le plugin infini WP Client est installé sur plus de 300 000 sites WordPress. Comme pour tous les rapports de vulnérabilité entrants, nous vérifions que le pare-feu Wordfence protège les clients. Et avec le plugin infini WP Client, nous avons constaté que la seule façon de vraiment protéger les utilisateurs de Wordfence était d’apporter des modifications réelles au plugin Wordfence pour assurer la sécurité de votre site WordPress. Matt Barry, le développeur principal de Wordfence qui a écrit le pare-feu protégeant vos sites, a pris le leadership au sein de notre organisation pour s’assurer que ces modifications sont immédiatement apportées aux sites des clients. Normalement, nous poussons immédiatement les règles de pare-feu à nos clients premium, et ceux de nos clients qui utilisent toujours l’installation gratuite de Wordfence, reçoivent ces règles 30 jours plus tard. En raison de la gravité et de la grande base d’installation, nous avons décidé de protéger tous les utilisateurs de Wordfence dès leur sortie.

Lors de la surveillance d’autres solutions de pare-feu et de sécurité, un certain nombre de modifications ont dû être apportées par d’autres fournisseurs afin de se protéger contre l’exploitation. WebARX a dû modifier son pare-feu pour protéger les utilisateurs et Sucuri. Il a fait le choix d’exiger une liste blanche pour toute activation du client Infinite WP. Donc, si vous utilisez infinite WP, qui est une console de gestion de site où vous pouvez authentifier un certain nombre de sites WordPress auprès d’un système de gestion centralisé, et vous devez ajouter un nouveau site à votre console de gestion, vous devrez passer par une étape supplémentaire afin de faire fonctionner cette authentification si vous utilisez un service cloud comme celui-ci.

Une remarque sur les pare-feu cloud par rapport aux pare-feu d’extrémité. Les pare-feu cloud peuvent être contournés. Pour utiliser un pare-feu cloud, le trafic vers votre site est d’abord envoyé vers ce pare-feu cloud, qui se trouve sur un serveur différent de celui de votre site Web, et cette demande est inspectée pour détecter les modèles malveillants avant d’être acheminée vers votre site Web. Si un attaquant peut découvrir votre adresse IP d’origine, en d’autres termes, découvrir où votre site est réellement hébergé, il pourrait soigneusement créer une attaque pour exploiter les vulnérabilités, contournant ainsi le pare-feu cloud. Maintenant, évidemment, la leçon à retenir avec tous ces rapports de vulnérabilité est de rester au top de votre sécurité WordPress et de garder vos plugins à jour. Lorsqu’une mise à jour du plug-in arrive, il est important de patcher votre site dès que possible.

Une autre histoire importante pour les propriétaires de sites concerne les cookies du même site. Le 4 février, Google Chrome changera la façon dont il identifie les cookies sans attribut du même site. Avec Chrome version 80, tout cookie sans attribut de même site sera traité comme laxiste, L-A-X, par Chrome. Il est important de comprendre, car cela peut entraîner des problèmes avec l’expérience utilisateur. Nous devons examiner pourquoi les sites utilisent réellement les cookies.

Les cookies aident une application Web à identifier qui vous êtes. Par exemple, pensez à vous connecter à Facebook, ou Gmail, ou à tout autre site Web où vous avez un compte d’utilisateur, et vous avez fermé votre navigateur et vous revenez l’ouvrir, et Gmail se souvient toujours de qui vous êtes. Sans cookies, un site Web ne pourrait pas dire qui vous étiez. Chaque cookie a une clé égale à une paire de valeurs, ainsi qu’un certain nombre d’attributs qui contrôlent quand, où et comment ce cookie est utilisé. Ainsi, la valeur du même site, cette clé, a une valeur égale stricte, ou égale lax, ou égale aucune.

Disons que vous êtes connecté à Instagram et que vous visitez un blog de cuisine et que vous recherchez la dernière et la meilleure recette de chou frisé. À côté de cet article de blog se trouve un widget Instagram avec les dernières photos du propriétaire du site. Ce widget est associé à des cookies de suivi tiers. Il s’agit des cookies de suivi associés à Instagram, même si vous êtes sur un site tiers. Ou si vous visitez pratiquement n’importe quel site, Google suit votre compte Google connecté et les sites que vous visitez dans le but de Google Analytics pour indiquer aux propriétaires de sites comment les utilisateurs interagissent avec ce site.

Maintenant, avec ces nouveaux changements dans Google Chrome 80, les cookies sans attribut de même site seront traités comme laxistes. Désormais, une désignation laxiste signifie que votre cookie n’est pas envoyé entre les domaines pour le scénario le plus risqué, comme les formulaires HTML, donc si vous soumettez un formulaire sur un site. Maintenant, si c’est strict, votre cookie n’est jamais envoyé sur plusieurs domaines, mais s’il est laxiste, il peut dans certains cas, mais pas comme les formulaires de publication HTML. D’autres navigateurs tels que Firefox ont des attributs de même site disponibles pour tester à partir de Firefox 69, ce qui en fera des comportements par défaut à l’avenir.

Troy Hunt, qui est l’homme qui nous aide à rester en sécurité avec Have I Been Pwned, a récemment écrit un article de blog sur les cookies de proximité et leur mort imminente via la politique du même site. Il a testé cela avec un certain nombre de ses sites et il a remarqué que ce type de système devient intéressant avec les systèmes d’entreprise. Il a déclaré que: “Les administrateurs informatiques d’entreprise peuvent avoir besoin de mettre en œuvre des politiques spéciales pour rétablir temporairement le navigateur Chrome au comportement hérité si certains services tels que l’authentification unique ou les applications internes ne sont pas prêts pour ce lancement le 4 février.” Nous aurons son blog messages liés.

Maintenant, que signifie ce changement pour WordPress? Avec cette vulnérabilité découverte par Chloé, la contrefaçon de demande intersite, ces risques dans les applications Web, y compris WordPress, vont commencer à disparaître. Il s’agit d’un changement bienvenu, mais il sera important de s’assurer que votre site, WordPress ou autre, est prêt pour ces nouveaux changements. Merci d’avoir écouté les nouvelles. Si vous avez des commentaires, nous serions ravis de vous entendre. S’il y a une histoire que vous pensez que nous devrions couvrir, envoyez-la à AT wordfence dot com ou à kathy AT wordfence dot com. Je ferai en sorte de plonger profondément et de regarder les histoires qui sont les plus importantes pour vous. Merci d’avoir écouté, et nous parlerons ensuite à Chloé.

Kathy Zant:
Salut à tous. Je suis ici avec Chloé Chamberland, l’une des analystes des menaces de Wordfence. Chloé, depuis combien de temps travaillez-vous avec Wordfence?

Chloé Chamberland:
Un peu moins de trois ans maintenant.

Kathy:
D’accord. Vous avez débuté dans le service client?

Chloe:
Oui, je faisais surtout des questions de facturation et de prévente.

Kathy:
Je me souviens de ces jours. Vous étiez encore au collège à l’époque?

Chloe:
Oui. Ouais.

Kathy:
Vous ne travaillez qu’à temps partiel et vous ne vouliez pas entrer en sécurité, n’est-ce pas?

Chloe:
Nan. Je n’avais aucun intérêt. Mes deux parents sont en fait en sécurité, donc je les voyais toujours sur l’ordinateur brouiller le code et tout ça. Je serais toujours comme, “Ce n’est pas pour moi. Ça va être bien trop dur, et je ne vais pas pouvoir gérer ça. “

Kathy:
Qu’est ce qui a changé?

Chloe:
J’ai commencé chez Wordfence. Ici, nous avons en fait la possibilité de poursuivre des certifications. Je voulais aborder cela immédiatement parce que j’aime apprendre. J’ai commencé avec la certification A +. Je parcourais le matériel et tout et honnêtement c’était vraiment ennuyeux. Finalement, j’ai remarqué que l’un de mes collègues obtenait le Security +, alors je suis allé voir ce matériel et j’ai fait un test de pratique. C’était peut-être huit mois après avoir travaillé avec Wordfence et j’ai trouvé que je réussissais étonnamment bien au test de pratique, juste en ramassant des trucs dans l’entreprise. Et donc, je me disais: “D’accord, je vais donner un coup de feu à Security +.” Ensuite, quand j’ai passé cet examen et j’ai étudié le matériel et tout, je me disais: “Wow, ce truc est vraiment très intéressant et c’est pas aussi compliqué qu’il n’y paraît. »C’est là que ma sécurité a commencé.

Kathy:
Sensationnel. C’est intéressant. Maintenant, votre majeure à l’université était quoi, la psychologie?

Chloe:
Oui. Avec une mineure en affaires et une mineure en géographie.

Kathy:
Maintenant, je pense qu’il y a définitivement un état d’esprit à être un hacker. Pensez-vous que votre formation en psychologie vous aide à mieux comprendre les hackers et leur sécurité?

Chloe:
Oui, certainement. J’ai l’impression qu’avec la psychologie, votre compréhension de l’esprit fonctionne et j’aime voir les choses sous différents angles et essayer d’aider les autres de différentes manières. J’ai l’impression que l’état d’esprit des hackers est très similaire en ce sens que vous devez comprendre comment différentes choses peuvent fonctionner ou réagir, ou comment le cerveau peut fonctionner différemment. Un morceau de code est de la même manière.

Kathy:
Brillant. Maintenant, combien d’informations d’identification avez-vous maintenant? Parce que vous avez été un peu contrarié par ce bug de passer ce test Security +, mais vous ne vous êtes pas arrêté là, n’est-ce pas?

Chloe:
Non, j’aime vraiment obtenir des certifications. C’est vraiment amusant pour moi, j’en ai sept en ce moment.

Kathy:
C’est fou. Je ne pense pas que quiconque chez Wordfence en ait plus que vous. Je pense que vous menez le peloton, n’est-ce pas?

Chloe:
Je le pense.

Kathy:
Ouais. Vous avez cet esprit de pouvoir vraiment vous attaquer à ces tests. Je pense que c’est trop cool. Maintenant, après avoir commencé à faire du service client, vous avez déménagé et commencé à travailler avec des clients avec des sites piratés. Comment était-ce?

Chloe:
C’était amusant. C’était toujours différent chaque jour. J’ai l’impression d’avoir un autre aspect de la sécurité, donc j’ai pu voir les journaux, et j’ai vu des logiciels malveillants infecter des sites, et j’aidais également les clients, et ils étaient toujours très reconnaissants pour le travail que nous avons fait et comment nous étions capable de les aider à récupérer leur site. C’était probablement l’un des meilleurs aspects de ce travail était de pouvoir aider les clients dans le besoin.

Kathy:
N’est-ce pas le meilleur quand vous faites entrer quelqu’un et qu’il a un peu peur que son site soit piraté, et à la fin, il est tellement reconnaissant, n’est-ce pas?

Chloe:
Oui exactement. C’était un grand sentiment d’avoir tous les jours.

Kathy:
Ouais, totalement. Maintenant, nettoyiez-vous les sites piratés de… parce que je sais que vous et Tyler voyagez beaucoup, n’est-ce pas?

Chloe:
Ouais.

Kathy:
Et vous voyagez et travaillez en même temps, ce qui est un peu ce dont vous parlez chez WordCamp Phoenix, non?

Chloe:
Oui, exactement.

Kathy:
Quel est votre discours intitulé?

Chloe:
Comment réussir à travailler à distance en tant que nomade.

Kathy:
Ouais. Je sais que c’était l’un des meilleurs. Comme, tout le monde dit: «Je veux entendre cette conversation. Cela semble fascinant. “Comment se prépare-t-on pour cette conférence?

Chloe:
Bien. J’essaie d’incorporer beaucoup de photos pour, espérons-le, montrer aux gens à quoi cela pourrait ressembler en voyage. Je vais montrer certains des grands côtés des choses et certaines des choses pas si grandes. Ce n’est pas toujours 100% parfait ou facile, mais ça vaut vraiment le coup.

Kathy:
Je sais que tu es en Alaska en ce moment.

Chloe:
Oui.

Kathy:
Comment c’est?

Chloe:
C’est étonnant. J’ai déjà vu un orignal. Je suis ici depuis trois jours. C’était l’une des choses les plus importantes sur ma liste, c’était de voir un orignal et je devais le faire. Ensuite, ma deuxième chose a été de voir les aurores boréales, que j’ai pu voir hier soir. Nous avons pris des SUSV, jusqu’à [place], il s’appelle Charlie’s Dome. Je pense que c’est comme une petite colline ou une montagne. Je ne suis pas sûr des détails exacts. Mais oui, nous les avons placées au sommet de la chose où nous sommes restés. Nous avons traîné dans une petite yourte et sommes sortis de temps en temps pour vérifier l’Aurora, car c’était comme 30F négatif la nuit dernière. Il faisait si froid.

Kathy:
Oh mon Dieu.

Chloe:
Ouais. Mais ça valait tellement le coup. J’ai eu de belles photos.

Kathy:
Ouais. Vous en avez publié sur notre petite chaîne de voyages, donc c’était vraiment cool à voir. Nous verrons si nous pouvons peut-être en extraire certaines sur les notes du podcast afin que les gens puissent voir où vous travaillez. Où trouver ici toutes ces vulnérabilités et voir tous ces sites incroyables. Où est l’endroit le plus cool où vous avez nettoyé un site piraté?

Chloe:
D’accord, laissez-moi réfléchir. Probablement sur un bateau de croisière traversant l’Atlantique. Ou en fait, j’étais un analyste de la sécurité en Norvège, ce serait donc une croisière à travers les fjords norvégiens. C’était vraiment génial.

Kathy:
Trouvez-vous que vous obtenez une bande passante décente sur les navires de croisière?

Chloe:
C’est probablement le pire endroit où j’obtiens de la bande passante. Mais pour moi, ça vaut le coup. Je compte simplement passer un peu de temps supplémentaire chaque jour. Vous êtes en quelque sorte sur un bateau de croisière avec pas grand chose à faire, donc ce n’est pas comme la fin du monde.

Kathy:
Oh, bien sûr. Donc, vous pourriez tout aussi bien faire un peu de travail entre les différentes destinations, je suppose, hein?

Chloe:
Ouais. Oui, je me sens vraiment très productif quand je suis sur des bateaux de croisière aussi, même si le wifi n’est pas le meilleur.

Kathy:
Est-ce simplement parce que vous êtes assis dans une cabine et qu’il n’y a pas grand-chose d’autre à faire?

Chloe:
Oui, et je pense que j’ai cette mentalité sur eux maintenant, parce que nous faisons beaucoup de croisières transatlantiques, donc elles durent entre 12 et 14 jours. Ils vous emmènent de la Floride en Europe. Vous finissez probablement par passer 10 de ces 14 jours en mer, donc il n’y a pas grand-chose à faire à part des spectacles le soir et manger. C’est incroyable, en gros, de travailler toute la journée à manger et de regarder des émissions.

Kathy:
Wow, cela semble parfait.

Chloe:
Ouais.

Kathy:
Vous êtes allé en Chine, n’est-ce pas?

Chloe:
Oui je l’ai fait.

Kathy:
Comment s’est passée cette expérience?

Chloe:
C’était totalement différent. Ce n’était pas ce à quoi je m’attendais, dans le bon sens. Ce n’était rien que je n’aie jamais connu auparavant. C’était mon premier voyage en Asie. La nourriture était bonne. J’ai entendu beaucoup de gens dire que ça n’allait pas être propre, mais c’était vraiment bien là-bas. J’ai vraiment apprécié ça. Je dois aussi aller à Shanghai Disneyland, ce qui était génial.

Kathy:
Leurs défis fonctionnaient-ils là-bas?

Chloe:
Oui. Le premier jour où j’étais là-bas, mon VPN a très bien fonctionné. Et j’ai eu un week-end. Ensuite, j’ai fait une croisière au Japon où mon VPN fonctionnait, puis je suis rentré en Chine et mon VPN ne fonctionnait plus. Ils l’ont probablement trouvé et fermé, donc à ce moment-là, j’ai fini par prendre quelques jours de congé. C’était heureusement au cours de la semaine du 4 juillet, donc je n’ai eu que quelques jours de congé.

Kathy:
Le grand pare-feu de la Chine vous tient.

Chloe:
Oui, c’est vrai. J’aurais probablement dû faire plus de recherches.

Kathy:
C’est incroyable. Je pense juste que c’est tellement bien que tu y arrives, surtout à ton âge, tu es quoi, 21 ans?

Chloe:
Ouais, 21.

Kathy:
A votre âge, pour avoir un métier passionnant et parcourir le monde en même temps. Je plaisante avec les gens que je veux être toi quand je serai grand, parce que tu vis juste la vie et c’est super. Maintenant, quels conseils donneriez-vous à quelqu’un qui voulait entrer dans le domaine de la sécurité. Surtout pour les femmes, comme les femmes plus jeunes, que leur conseilleriez-vous pour commencer?

Chloe:
Pour commencer, je recommanderais de jeter un œil aux bases de la sécurité et de voir ce que cela implique. Parce que pour moi par exemple, je ne savais pas que c’était aussi simple que ça. Ensuite, une fois que vous aurez acquis un peu d’expérience à chaque fois, vous commencerez lentement à grandir et à devenir un professionnel de la sécurité plus complet. Si vous commencez par le bas, ce n’est pas si difficile. Ensuite, vous continuez à apprendre, à apprendre et à apprendre, puis vous arriverez bientôt à un point où vous aimerez: «Whoa. Je suis un professionnel de la sécurité et j’ai toutes ces connaissances que je n’aurais jamais cru possibles. “

Kathy:
Je pense que beaucoup de gens pensent: «Oh, je dois devenir« professionnel de la sécurité », et cela semble intimidant. Cela semble être une tâche trop lourde. Mais tout le monde commence quelque part, non?

Chloe:
Exactement. Ouais.

Kathy:
Ouais. Vous avez commencé quelque part et vous venez de … Vous avez cet état d’esprit, comme lorsque nous étions à WordCamp US et que j’ai vu cette opportunité de la conférence, et je sais que vous aimez parler et partager vos connaissances, et je vous l’ai fait remarquer. Vous venez de le faire. Vous avez présenté un exposé, vous avez été sélectionné et vous venez de saisir l’occasion, vous avez identifié une opportunité et vous êtes lancé. Tout le monde ne fait pas ça. Je pense que c’est vraiment bien. C’est super de vous voir faire ça. Qu’est-ce qui vous amène au point où vous voyez des opportunités et les saisissez? C’est peut-être une question délicate.

Chloe:
J’adore vraiment les défis. J’aime juste me mettre au défi. Et donc, j’ai l’impression qu’il peut y avoir deux façons. Vous pouvez réussir ou vous pouvez simplement apprendre des erreurs qui auraient pu se produire. Soit, c’est un gagnant-gagnant. Les défis peuvent être effrayants, ils peuvent être terrifiants et dans de mauvaises situations, mais la seule chose qui en résultera est que vous allez apprendre. J’aime juste relever autant de défis que possible.

Kathy:
Eh bien, c’est vraiment payant pour vous. Et maintenant vous êtes … qu’est-ce que c’était, comme l’été dernier, vous avez commencé à faire une analyse des menaces? Comment avez-vous commencé à faire ça?

Chloe:
J’ai commencé en août. Je venais juste d’obtenir ma certification PenTest + et je me suis assis avec Mark, notre PDG, et il me dit: “Que voulez-vous faire?” J’ai dit: “Quelque chose autour du pentesting peut-être, parce que c’est vraiment difficile, ça va toujours être différent . »Il a suggéré ce rôle de renseignement sur les menaces. J’étais honnêtement mortifié à l’époque. Je ne pensais pas que c’était possible, encore une fois, mais j’ai relevé le défi et maintenant j’ai trouvé la spécialité que je veux continuer à poursuivre, et j’adore ça parce que chaque jour est définitivement un défi. Vous aidez également les gens à mettre en œuvre des éléments de sécurité et j’apprends tous les jours, donc c’est définitivement un rôle de rêve.

Kathy:
Maintenant, pour moi, cela ressemble à quelque chose qui est comme un grand défi, c’est un travail difficile. Je ne sais pas si je pourrais faire ça. Nettoyer les sites piratés, j’adore le faire pour les mêmes raisons que celles que vous avez décrites, mais le rôle d’analyste de la menace, c’est beaucoup de recherche, et c’est beaucoup d’inconnues et et beaucoup de défis. Est-ce que ça devient plus facile?

Chloe:
Ouais. Je pense que chaque jour j’apprends quelque chose de nouveau, donc je pense que ça devient de plus en plus facile. Je ne sais pas si ce sera jamais facile à 100% parce que ça va toujours être un défi, mais ça devient certainement plus confortable. Ouais.

Kathy:
Vous avez été en feu récemment pour trouver certaines de ces vulnérabilités dans les plugins. Quelle a été la plus effrayante que vous ayez trouvée?

Chloe:
Jusqu’à présent, la plus effrayante que j’ai trouvée était une vulnérabilité d’élévation de privilèges que tout ce que vous aviez à faire était d’envoyer simplement une petite requête avec quelques paramètres et vous avez soudainement été transformé en administrateur. C’est assez effrayant.

Kathy:
Oui, cela semble vraiment effrayant. Comment les développeurs de plugins réagissent-ils lorsque vous les contactez lorsque vous trouvez ces types de vulnérabilités?

Chloe:
Ils sont généralement très reconnaissants. Ils sont comme “Oh mon Dieu, merci beaucoup”, puis ils vont de l’avant et obtiennent un correctif immédiatement. Ils sont généralement vraiment, vraiment positifs et heureux que nous les aidions à attraper des choses qu’ils n’auraient peut-être pas vues.

Kathy:
Ouais. Je sais que vous vous êtes senti très reconnaissant de pouvoir aider les clients. Obtenez-vous la même ambiance lorsque vous travaillez avec des auteurs de plugins?

Chloe:
Ouais absolument.

Kathy:
Ouais. Vous les aidez certainement avec leurs pratiques de codage et leurs activités également. Vous venez de publier plus tôt aujourd’hui des extraits de code, qui comptent plus de 200 000 installations. Vous y avez trouvé une vulnérabilité. Pouvez-vous nous en dire un peu plus à ce sujet?

Chloe:
Ouais. J’ai trouvé une falsification de demande intersite sur la vulnérabilité d’exécution de code à distance dans ce plugin. Cela signifie essentiellement que si, en tant qu’utilisateur, vous pourriez éventuellement être amené à cliquer sur un lien ou une pièce jointe quelconque et qu’un autre site peut vous envoyer une fausse demande en votre nom, et finalement infecter votre site et éventuellement le prendre plus de. Avec l’exploit montré dans le post, j’ai injecté du code qui a créé un utilisateur administratif. Ainsi, si cette vulnérabilité était exploitée sur un site vulnérable, vous pourriez faire reprendre votre site par un attaquant via un compte administratif.

Kathy:
Maintenant, quand vous avez trouvé cette vulnérabilité, était-ce le pire des cas? Est-ce bien ce que vous envisagiez comment il pourrait être exploité?

Chloe:
Au début?

Kathy:
Ouais, quand tu l’as trouvé.

Chloe:
Lorsque je l’ai trouvé pour la première fois, je viens de découvrir qu’il s’agissait d’une falsification de demande intersite, donc ce n’était pas le pire des cas. Ensuite, j’ai découvert que vous pouviez importer des extraits de code, mais j’ai constaté qu’il était désactivé lors de l’importation. Et je me disais: «D’accord, ça va.» Puis je me suis dit: «D’accord, il y a peut-être d’autres façons que cela puisse mal tourner.» C’est alors que je suis allé un peu plus loin et j’ai découvert que vous pouviez ajouter le drapeau actif à l’importation et qui activerait l’extrait de code lors de l’importation, même s’il aurait dû être désactivé, et tous les extraits de code importés à la suite de la falsification de demande intersite s’exécuteraient sur le site.

Kathy:
Donc, vous ne vous êtes pas arrêté à: “D’accord, c’est la vulnérabilité.” Vous avez dû en quelque sorte pousser l’enveloppe et la pousser dans les pires scénarios. Ce n’était pas immédiatement apparent, hein?

Chloe:
Ouais. C’est l’une des choses amusantes, c’est que vous trouverez un petit trou, puis vous pourrez voir où il va et essayer de repousser les limites pour voir ce que vous trouvez.

Kathy:
C’est l’état d’esprit d’un hacker, n’est-ce pas?

Chloe:
Ouais.

Kathy:
Il faut que ce soit un hacker pour rester à l’abri des hackers. Quelle est votre partie préférée de votre travail?

Chloe:
Le fait que ce soit difficile. J’adore pouvoir apprendre quelque chose de nouveau chaque jour. La sécurité est un domaine qui évolue très rapidement, tout va être différent et les choses changent tout le temps. Je suis dans un domaine où je peux apprendre en permanence et je ne pense pas qu’il y aura jamais un moment où il n’y aura rien de nouveau que je puisse découvrir et en savoir plus.

Kathy:
C’est génial. C’est aussi une des choses que j’aime dans la sécurité, c’est que vous ne vous ennuierez jamais ici, non?

Chloe:
Nan.

Kathy:
Toujours quelque chose de nouveau. La communauté WordPress est assez diversifiée et plutôt accueillante. Vous avez fait beaucoup de discussions. Où sont certains des WordCamps auxquels vous avez parlé?

Chloe:
J’ai parlé deux fois à Miami, New York, Vancouver. Je veux dire qu’il y en avait un de plus. Oui, Caroline du Nord?

Kathy:
Oh, Raleigh, oui.

Chloe:
Raleigh.

Kathy:
Aimes-tu y aller? Aimez-vous parler à WordCamps?

Chloe:
Ouais, j’en ai. J’adore pouvoir partager mes connaissances avec des gens qui étaient peut-être à mon poste il y a quelques années à peine. Une fois, je suis allé dans un WordCamp. C’était WordCamp Raleigh. J’ai parlé des mots de passe. À la fin de l’entretien, je me suis assis et j’ai parlé avec ces deux dames. L’un d’eux était comme, “Je m’intéresse à la sécurité, mais je ne sais pas vraiment par où commencer et je ne sais pas ce que je dois faire.” Je me suis assis et lui ai parlé et je lui ai dit en quelque sorte où J’ai commencé. À la fin de notre conversation, elle a dit: «D’accord, je vais le faire. Je vais y aller, m’asseoir et en lire plus, et peut-être obtenir mon Security +. »Je pensais que c’était vraiment, vraiment cool. C’est la raison pour laquelle j’aime parler, car j’espère pouvoir inspirer les autres et partager mes connaissances.

Kathy:
C’est vraiment très bien. Vous parlez à Phoenix à venir, et je suis sûr que les gens pourront vous voir dans un WordCamp local dans le courant de 2020. Où les gens peuvent-ils vous trouver en ligne?

Chloe:
Vous pouvez me trouver sur Twitter @infosecchloe. c’est ça.

Kathy:
Ouais, et sur notre blog, comme chaque semaine.

Chloe:
Ouais. Ici aussi.

Kathy:
Comme, très régulièrement. Avez-vous plus de vulnérabilités que vous recherchez actuellement?

Chloe:
Oui. J’ai des trucs en préparation, et j’espère que nous allons les réparer. Je travaille actuellement avec les développeurs.

Kathy:
Eh bien, merci Chloé d’être venue me rejoindre aujourd’hui et d’avoir pris le temps de vivre les aventures en Alaska. Nous vous verrons à Phoenix dans quelques semaines. Oh mon Dieu, c’est la semaine prochaine, n’est-ce pas?

Chloe:
Oui.

Kathy:
Ouais, je devrais être là-dessus. Je ne me rends pas compte à quel point c’est proche. Je suis si heureux que nous puissions vous voir et si heureux de pouvoir travailler avec vous et de vous voir vraiment les mettre hors du parc. Ce fut un plaisir. Merci, Chloé.

Chloe:
Merci, Kathy. Merci de me recevoir.

Kathy:
Nous espérons que vous avez apprécié cet épisode de Think Like a Hacker. Si vous écoutez sur les podcasts Apple, veuillez nous laisser un avis ou une note et faites-nous savoir comment nous faisons. Vous pouvez me joindre sur Twitter @kathyzant. Vous pouvez trouver Chloé à @infosecchloe. Les liens vers nos comptes Twitter sont dans les notes de l’émission. Visitez certainement les notes du spectacle et jetez un œil aux articles de recherche qui y sont liés. Je pense que vous trouverez des informations intéressantes sur certaines des recherches que nous avons faites et que d’autres font. Nous vous parlerons la prochaine fois sur Think Like a Hacker. Merci pour l’écoute.



Source link

%d blogueurs aiment cette page :