Intervista a Ryan Dewhurst, fondatore di WPScan

Ryan Dewhurst è un hacker etico e un penetration tester che ha dedicato molti anni ad aiutare le persone nella comunità di WordPress a migliorare la posizione di sicurezza dei loro siti Web e a proteggerli da aggressori dannosi.

Ryan è il fondatore di WPScan, uno scanner di sicurezza WordPress gratuito e black box scritto per i professionisti della sicurezza e i gestori di blog per testare la sicurezza dei loro siti. Lo strumento WPScan CLI attualmente utilizza un database di 21.875 vulnerabilità di WordPress.

1. Per chi non ti conosce, raccontaci cosa fai e un po' del tuo passato e delle tue credenziali.

Sono stato interessato ai computer e a Internet per tutto il tempo che posso ricordare. Andavo a casa di un vicino, l'unica persona che conoscevo a quel tempo in possesso di un computer, per giocare a solitario sul suo computer Windows 95. Non aveva nemmeno accesso a Internet, ma ero felice solo di interagire con il computer.

Più tardi, nella mia adolescenza, ho convinto mia madre a comprarmi il mio computer, e questa volta, con accesso a Internet! La capacità di interagire con persone da tutto il mondo mi ha fatto impazzire. Yahoo era grande a quei tempi e avevano un servizio chiamato Yahoo! Chat, e in quel servizio avevano una chat room chiamata "Hacker's Lounge". Ho passato notti e notti in quella chat room cercando di imparare di cosa parlavano tutti, trojan, RAT, DoS, programmazione generale e così via.

Più tardi nella vita ho visto che l'università locale avrebbe iniziato a insegnare un corso di laurea in Hacking etico per la sicurezza informatica. Avevo lasciato la scuola quando avevo 15 anni per iniziare a lavorare, quindi non avevo alcuna qualifica. I requisiti per il corso erano almeno tre qualifiche, tra cui matematica e inglese di livello GCSE, che non avevo. Così ho lasciato immediatamente il mio lavoro poco retribuito e mi sono iscritta a un corso universitario accelerato, che era gratuito perché non guadagnavo molto, per ottenere le qualifiche richieste. Nonostante le qualifiche, inizialmente mi è stato rifiutato di iscrivermi al corso, ma sono riuscita a trovare l'indirizzo email dell'insegnante e a scrivergli una lunga storia su come sentivo che questo corso fosse l'unica cosa che volevo fare nella vita. E alla fine, sono stato accettato nel corso! Dopo quattro anni ho completato il corso con il massimo dei voti.

Successivamente, ho ottenuto un lavoro per una società di test approfonditi come ingegnere della sicurezza delle applicazioni Web, dove ho lavorato per testare molte delle migliori aziende del Regno Unito per problemi di sicurezza. Ho lasciato questo lavoro per avviare la mia società di test di penetrazione e, infine, WPScan, dove sono ora.

2. Sei attivo da anni nel settore della sicurezza delle applicazioni web. Cosa ti ha interessato in particolare a WordPress?

Ho iniziato a scrivere sul blog delle mie esperienze e delle cose che avevo imparato sulla sicurezza e mi è capitato di utilizzare WordPress come piattaforma di blogging preferita. Un giorno mi sono imbattuto in una vulnerabilità di sicurezza pubblicata da qualcun altro che interessava WordPress. Poiché lavoravo nel settore della sicurezza e utilizzavo personalmente WordPress, ho scritto un exploit per testare la vulnerabilità sul mio sito Web. Ho quindi avviato una tana del coniglio di altri punti deboli della sicurezza che hanno colpito WordPress e alla fine ho messo tutta questa conoscenza in uno strumento che ho chiamato WPScan.

3. Molti professionisti della sicurezza delle applicazioni web guardano dall'alto in basso WordPress. Ho parlato con molti che affermano che non userebbero mai WordPress o che il modo in cui funziona è imperfetto (ad esempio un plug-in ha pieno accesso a tutti gli hook ecc.). Cosa ne pensi?

Poiché WordPress è così ampiamente utilizzato sul Web, è un bersaglio succoso per gli aggressori. Ciò ha portato molti ricercatori di sicurezza e hacker black hat a esaminare WordPress quando era ancora agli inizi. Poiché WordPress non era maturo come lo è oggi, sono stati rilevati molti problemi di sicurezza. Ma oggi, relativamente parlando, il core di WordPress è un Content Management System (CMS) molto sicuro. Il problema al giorno d'oggi è all'interno dei suoi plugin di terze parti. Ce ne sono così tanti, che è ciò che attrae gli utenti in primo luogo, ma ogni singolo plug-in che installi introduce anche rischi aggiuntivi per il tuo sito web.

Ma anche questo sta migliorando, con la creazione di aziende innovative per affrontare questo problema, dalla mia esperienza, nel tempo, stiamo vedendo i plugin di WordPress diventare più sicuri. Semplicemente per il livello di ricerca e le aziende che ora si dedicano a quest'area.

4. Per quanto riguarda WPScan, c'è uno scanner open source, il plugin, il database delle vulnerabilità, ecc. Puoi spiegare come sono collegati questi progetti, quale dovrebbero usare gli utenti e perché?

Il database delle vulnerabilità di WPScan WordPress è ciò che unisce tutti i nostri servizi. Tutti gli altri nostri prodotti e servizi si basano sul database, sono clienti che consumano i dati e li presentano in un modo utile per i nostri utenti.

Lo strumento WPScan CLI è stato il nostro primo prodotto, gratuito da utilizzare per utenti non commerciali, esegue la scansione di un sito Web WordPress da una prospettiva esterna per offrire una visione hacker del tuo sito Web WordPress. Ma questo strumento richiede agli utenti di avere familiarità con l'utilizzo di una riga di comando e talvolta può non essere semplice da installare, a seconda del livello tecnico dell'utente. Questo strumento è davvero progettato per tester di penetrazione e sviluppatori.

La nostra ultima aggiunta alla nostra famiglia di prodotti è il nostro plug-in di sicurezza WordPress WPScan, progettato maggiormente per il tuo utente WordPress quotidiano. Devi semplicemente installare il plug-in dal repository ufficiale di WordPress, configurare il token API, iniziare a eseguire scansioni e iniziare a ricevere notifiche di sicurezza. L'idea del plugin è di renderti consapevole dei problemi di sicurezza prima che gli hacker abbiano la possibilità di sfruttarli.

5. Cosa serve per mantenere un database di plugin, temi e vulnerabilità principali di WordPress? Come si scoprono nuovi problemi, come vengono mantenuti?

Ci vuole molto lavoro. Ogni vulnerabilità che inseriamo nel nostro database viene eseguita da uno dei nostri esperti ingegneri della sicurezza di WordPress, quindi puoi avere un alto grado di sicurezza che si tratta, in effetti, di una vera vulnerabilità e non di un falso positivo.

Troviamo vulnerabilità da un'ampia gamma di fonti. Abbiamo un gruppo di ricercatori di sicurezza hard core indipendenti che trovano vulnerabilità in WordPress, plugin o temi e ce le inviano direttamente. Monitoriamo costantemente anche social media, forum, blog, siti Web e motori di ricerca per determinate parole chiave che potrebbero essere qualcuno che parla di una vulnerabilità di sicurezza in WordPress.

A volte conduciamo noi stessi ricerche sulla sicurezza indipendenti. Ad esempio, un membro del nostro team ha recentemente scoperto una vulnerabilità Cross-Site Request forgery (CSRF) nel core di WordPress, che da allora è stata corretta. Abbiamo anche una serie di honeypot sul web che monitorano gli attacchi, il che ci ha portato a scoprire vulnerabilità di 0 giorni.

6. Puoi spiegare ai nostri lettori qual è il processo di verifica di una vulnerabilità prima di pubblicarla? O c'è qualche processo che segui per assicurarti che i dati riportati siano validi e corretti?

Il più delle volte è ovvio se un rapporto di vulnerabilità è falso o meno. Il nostro team di esperti di solito può dire semplicemente leggendo l'avviso, se è tecnicamente corretto o meno. Altre volte, non è così facile e dobbiamo verificare manualmente la vulnerabilità installando la versione vulnerabile e tentando di sfruttarla.

La cosa che richiede più tempo per noi è il triage delle vulnerabilità. Non vogliamo rilasciare informazioni sulle vulnerabilità solo per aiutare gli aggressori. Vogliamo assicurarci che il fornitore del plug-in sia a conoscenza della vulnerabilità e abbia inviato una patch prima di aggiungere i dettagli al nostro database. Ma non è sempre così, poiché alcuni fornitori non sono contattabili o non si preoccupano. In tal caso, lavoriamo a stretto contatto con il team del plugin di WordPress per renderli consapevoli della vulnerabilità in modo che possano agire per proteggere gli utenti di WordPress.

Per assicurarci che questo processo sia trasparente, abbiamo anche una politica di divulgazione pubblica che delinea il modo in cui elaboriamo i dati sulla vulnerabilità che riceviamo.

7. Sulla base di ciò che hai visto finora nel database delle vulnerabilità di WP e nel progetto WPScan, quali sono le tue opinioni sul futuro della sicurezza di WordPress e della codifica protetta (in plugin, temi) ecc.?

Sono ottimista e penso che le cose stiano migliorando. Al giorno d'oggi c'è molta più attenzione alla sicurezza di WordPress e molte più soluzioni disponibili. Non credo che arriveremo mai a un punto in cui il core di WordPress, tutti i plugin e tutti i temi sono sicuri al 100%, ma penso che possiamo arrivare a un punto in cui la maggior parte dei plugin con un'ampia base di installazione sono abbastanza sicuri . Dobbiamo solo continuare a scheggiarlo.

8. Hai anche un background in sviluppo. Quali sono i tuoi tre consigli principali per gli sviluppatori di plugin e temi di WordPress?

1. Convalida l'input dell'utente e codifica l'output dell'utente. Ad esempio, usa esc_html(), esc_attr(), esc_url() di WordPress, funzioni in modo completo e nelle posizioni corrette.
2. Utilizzare sempre la funzione prepare() durante la creazione di query SQL.
3. Verificare sempre le capacità di un utente prima di eseguire funzioni pericolose.

9. Secondo te, quali sono le tre cose più importanti o le migliori pratiche di sicurezza che un amministratore di un sito WordPress dovrebbe fare per proteggere il sito e mantenerlo sicuro?

1. Mantieni aggiornati la versione, i plugin e i temi di WordPress.
2. Installa un plug-in di sicurezza. Ce ne sono un sacco di buoni là fuori, scegline uno e usalo.
3. Usa password sicure. Assicurati che la tua password sia unica e complessa. Questo può essere ottenuto con un gestore di password, ad esempio.

10. Hai una lunga storia nel settore della sicurezza delle applicazioni web. Ho avuto modo di conoscerti qualche anno fa tramite DVWA. Puoi spiegare ai nostri lettori cos'è DVWA e perché l'hai sviluppato?

Dannazione Vulnerable Web App (DVWA) è stato un progetto Open Source che ho creato mentre ero all'università per aiutarmi a imparare la sicurezza delle applicazioni web. Ho pensato che il modo migliore per imparare sarebbe stato quello di utilizzare esempi reali sfruttabili. In seguito l'ho rilasciato online dopo molto aiuto da parte di altri ed è diventato molto popolare. Oggi è gestito da un mio vecchio amico Robin Wood ( @digininja ). Quindi, se hai problemi con l'installazione, sono sicuro che sarà felice di aiutarti.

11. Qualche consiglio e/o risorsa che puoi condividere con chi, come te, vorrebbe saperne di più su WordPress e sulla sicurezza delle applicazioni?

Twitter è una delle migliori risorse secondo me. Segui alcune persone che vivono e respirano quegli argomenti e impara da loro. Alcune persone che consiglio di seguire sono @tnash , @Random_Robbie , @Viss e ce ne sono tante altre da menzionare. C'è anche un ottimo gruppo di sicurezza di Facebook WordPress che è molto attivo. Se vuoi approfondire la sicurezza delle applicazioni web, ti consiglio il manuale Web Application Hacker's Handbook.

12. Come si presenta il futuro del progetto WPScan? Quali sono i piani?

Di recente abbiamo riprogettato l'intero sito Web del database delle vulnerabilità e ci siamo impegnati molto nel back-end di questo, per la gestione delle vulnerabilità. Il nostro strumento WPScan CLI è molto stabile, è in circolazione dal 2011, quindi al giorno d'oggi ha bisogno di pochi miglioramenti. Il piano è continuare a investire tempo nella ricerca di problemi di sicurezza in WordPress, i suoi plugin e temi, per essere in grado di garantire che il nostro database di vulnerabilità sia sempre aggiornato e accurato. Vogliamo anche impegnarci molto nel nostro plugin di sicurezza di WordPress in futuro, crediamo che questo ci aiuterà a diventare più conosciuti nell'ecosistema WordPress.

13. Per aiutare a ispirare gli altri, puoi dirci qualcosa in più sul tuo viaggio e qualcosa in più sulle insidie ​​​​che hai incontrato durante la tua carriera e cosa ti ha aiutato a superare e raggiungere il successo attuale?

Ne ho parlato un po' nella mia introduzione, ma qui parlerò delle mie insidie ​​nel cercare di lavorare per alcune delle grandi aziende tecnologiche. Dopo l'università, volevo lavorare per una grande azienda tecnologica, pensavo che questo mi avrebbe dato credibilità ai miei coetanei e alla mia famiglia. Ho intervistato a Mozilla, Facebook, Google e persino Automattic (i creatori di WordPress), così come altri. E anche se sono riuscito a ottenere il colloquio, ho sempre fallito e non mi è mai stato offerto un lavoro. È difficile parlare dei tuoi fallimenti, ma credo che possa aiutare gli altri a vedere che c'è luce alla fine del tunnel se persisti nei tuoi sogni.

Oggi sono co-proprietario della mia attività redditizia e di successo, WPScan. Molte delle aziende per le quali ho intervistato e che ho fallito ora sono nostri clienti e, nel caso di Automattic, i nostri sponsor, di cui siamo molto grati.

A volte nella vita potresti non percorrere il percorso esatto che pensi ti condurrà ai tuoi sogni. A volte devi creare il tuo percorso nella vita e gettare le basi affinché gli altri seguano il tuo.

14. Grazie mille per questa intervista. Puoi dire ai nostri lettori dove possono trovarti online?

Sicuro! Twitto molto da @ethicalhack3r, puoi anche seguire l'account Twitter ufficiale di WPScan.