← Retour à la page principal « Utiliser Fedora »

Steve, analyste en sécurité de l'information

Steve Milner est analyste en sécurité de l'information en Caroline du nord. Il utilise Fedora pour auditer les applications internet sur les problèmes de sécurité. Steve nous fait part des applications les plus utiles dans Fedora pour les analystes en sécurité et donne également des conseils pour assurer la sécurité de votre système.

Steve Milner

D'où viens-tu ?

Un peu partout aux États-Unis. J'habite actuellement à Raleigh.

Quelle est ta profession ?

Analyste/Développeur en sécurité.

Quel est ton pseudo sur IRC ? D'où vient-il ?

Ashcrow. Quand j'étais au lycée, j'étais vraiment fan de The Crow. J'ai utilisé de nombreuses références à The Crow dans mes pseudonymes IRC mais ashcrow est celui que j'ai fini par conserver.

Quand as-tu entendu parler de Fedora pour la première fois ?

J'ai débuté Fedora par Fedora Core 2. À cette période, j'étais un fervent utilisateur de Debian. J'avais déjà utilisé Red Hat Linux par le passé et j'ai décidé de donner une chance à Fedora Core 2. À l'époque je pensais que Fedora Core 2 était correcte mais Fedora Core 3 m'a tellement impressionnée que j'ai décidé de l'installer sur l'ordinateur de me parents. Ma mère a vraiment accroché !

Quand es-tu devenu développeur ?

En lisant du code. Au lycée, j'étais très intéressé par le fait de coder mais la plupart des livres de programmation étaient trop chers pour moi. Je me rappelle avoir trouvé un vieux livre de C pendant les années 90 et qui était accompagné d'une disquette 5 1/4. Je n'y ai pas appris grand-chose. Ce qui m'a vraiment aidé à programmer, c'est en observant des programmeurs de logiciels libres au travail. À ce moment là, j'ai commencé à soumettre des patch à certains projets et je me suis fait embauché dans une petite boîte bien avant le développement d'application internet, à Orlando en Floride.

Peux-tu nous expliquer ce que signifie un audit de sécurité ? Comment avez-vous commencé à faire des audits de sécurité ?

En deux mots, les audits recherchent les problèmes liés à la sécurité dans des applications ou des systèmes. Une fois trouvés, les problèmes sont enregistrés et communiqués aux développeurs avec des informations sur la manière de palier aux problèmes. Je m'occupe de réaliser des applications web pour les audits de sécurité et des tests d'infiltration.

Quels problèmes recherches-tu particulièrement lors de ces audits ?

Les premiers problèmes que je cherche sont les mêmes que ceux listés sur le top dix de OWASP. Parmi ces 10 là, je recherche ce qui me semble être le plus commun : les injections, les scripts et les requêtes multi-sites et les redirections invalides. Après avoir cherché cela, je me plonge davantage dans l'application pour trouver des problèmes logiques, des messages d'erreurs, etc. qui aideront à trouver des problèmes de sécurité.

Donnes-nous le nom des 3 applications dans Fedora que tu trouves les plus pratiques pour les audits de sécurité ?

Nmap, ratproxy et python.

Python? De quelle manière utilises-tu python pour tester la sécurité d'applications web ?

Lorsqu'on fait un audit, c'est important de pouvoir créer des démonstrations d'attaques. Il y a énormément de modules dans Python qui permettent de se faire plaisir pour créer ces démonstrations. Par exemple :

  • urllib/urllib2
  • BeautifulSoup
  • python-nmap
  • sulley

Ipython et bpython sont également des environnements de travail intéressants pour essayer différents types d'attaques POC. L'utilisation des modules Python tout comme d'outils de sécurité généraux contrôlés par Python fait du langage de programmation un outil indispensable.

Peux-tu nous en dire plus sur nmap ? Comment cela fonctionne-t-il ? Peux-tu l'utiliser pour analyser des machines qui n'utilisent pas Fedora ? Est-ce un outil que tu utilises automatiquement, constamment pour chercher des problèmes ou est-ce que tu le lances manuellement pour répondre à des questions spécifiques ?

Nmap (http://nmap.org/) est un outil d'exploration du réseau. Nmap scanne un hôte ou un ensemble d'hôtes et renvoie les informations. Il est couramment utilisé comme scanner de ports.

Nmap peut trouver et scanner pratiquement toutes les machines sur un réseau. Je l'ai utilisé dans le passé pour de l'audit sur des machines Windows ou OS X.

J'utilise Nmap dans mes audits tout comme des scripts NSE (Nmap scripting engine), qui viennent pour la plupart directement du projet Nmap. Je l'utilise pour vérifier l'état du pare-feu, les services ouverts sur un système. Cela aide pour avoir un aperçu des pratiques.

À quoi sert ratproxy ? Peut-il analyser les systèmes qui n'utilisent pas Fedora ? Peut-il analyser les systèmes qui n'utilisent pas Linux ? Est-ce un programme que tu lances manuellement ou qui fonctionne tout le temps en arrière plan ?

Ratproxy (http://code.google.com/p/ratproxy/) est un proxy web passif de demande d'audit. Il se situe entre votre navigateur et l'application Web que vous auditez et enregistre les informations que vous transmettez à ce site. Il peut analyser la plupart des applications web quel que soit le système sur lequel il s'exécute. Comme Ratproxy est passif il peut être utilisé avec des applications de type ajax.

Parle nous de la manière dont tu as personnalisé ton environnement de travail pour faciliter ton travail d'audit sur la sécurité des systèmes ?

J'utilise deux machines et trois écrans configurés avec GNOME et synergy. Je suis vraiment impatient que GNOME shell soit stable. Je l'utilise sur mes machines personnelles et j'adore ! Si je peux, j'utilise pratiquement tout depuis un terminal. Je trouve qu'il est plus facile d'utiliser des applications dans un terminal, surtout depuis que j'utilise byobu/screen.

Peux-tu nous parler de failles que tu as récemment découvertes en utilisant Fedora ?

En enchainant une redirection invalide avec une requête d'un site intermédiaire frauduleux, j'ai créé un lien qui effectue les tâches suivantes :

  • Autoriser les utilisateurs à se connecter normalement
  • Après sa connexion, l'utilisateur serait redirigé vers un site « malicieux »
  • Le site ferait un post en javascript dans l'application originale et exécuterait des actions en tant qu'utilisateur, ce qui implique l'ajout ou la modification de comptes.
  • L'utilisateur serait alors renvoyé vers l'application originale si rien n'est survenu.

D'après ton expérience de découverte de failles de sécurité dans les applications, as-tu des conseils ou des astuces à donner aux développeurs pour éviter tout problème dans leur code ?

Ne faites pas confiance à vos utilisateurs ! Vous devriez écrire votre code en pensant qu'au moins l'un d'entre eux cherchera constamment à dénicher les problèmes dans votre application.

Est-ce que tu as des conseils aux utilisateurs de Fedora pour qu'il puisse conserver un système sain ?

Ne pas négliger les bases ! Faites vos mises à jour, utilisez des règles de pare-feu saines (et utilisez un pare-feu), désactivez les services dont vous n'avez pas besoin et utilisez des mots de passe complexes à deviner.

Merci Steve !

← Lire plus d'entretiens des utilisateurs de Fedora.