Wywiad z Ryanem Dewhurstem, założycielem WPScan

Ryan Dewhurst jest etycznym hakerem i testerem penetracji, który przez wiele lat pomagał ludziom w społeczności WordPressa poprawiać stan bezpieczeństwa swoich witryn i chronić je przed złośliwymi atakami.

Ryan jest założycielem WPScan, bezpłatnego skanera bezpieczeństwa WordPress z czarną skrzynką, napisanego dla specjalistów ds. bezpieczeństwa i opiekunów blogów w celu testowania bezpieczeństwa ich witryn. Narzędzie WPScan CLI wykorzystuje obecnie bazę danych zawierającą 21 875 luk w WordPressie.

1. Dla tych, którzy Cię nie znają, powiedz nam, co robisz i trochę o swojej przeszłości i referencjach.

Odkąd pamiętam interesowałem się komputerami i Internetem. Chodziłem do domu sąsiada, jedynej znanej mi wówczas osoby, która posiadała komputer, aby grać w pasjansa na swoim komputerze z systemem Windows 95. Nie miał nawet dostępu do Internetu, ale cieszyłem się, że po prostu wchodziłem w interakcję z komputerem.

Później, jako nastolatka, namówiłam mamę, żeby kupiła mi własny komputer, tym razem z dostępem do internetu! Możliwość interakcji z ludźmi z całego świata zaskoczyła mnie. W tamtych czasach Yahoo było duże i posiadało usługę o nazwie Yahoo! Czat, aw ramach tej usługi mieli pokój rozmów o nazwie „Hacker's Lounge”. Spędzałem noce na tym czacie, próbując dowiedzieć się, o czym wszyscy mówią, trojanami, RATami, atakami DoS, ogólnym programowaniem i tak dalej.

Później w życiu zobaczyłem, że lokalny uniwersytet zamierza rozpocząć nauczanie na studiach licencjackich z etycznego hakowania dla bezpieczeństwa komputerowego. Opuściłem szkołę, gdy miałem 15 lat, aby rozpocząć pracę, więc nie miałem żadnych kwalifikacji. Warunkiem kursu były co najmniej trzy kwalifikacje, w tym matematyka na poziomie GCSE i język angielski, których nie posiadałem. Więc natychmiast rzuciłem swoją nisko płatną pracę i przeszedłem szybki kurs w college'u, który był bezpłatny, ponieważ nie zarabiałem dużo pieniędzy, aby uzyskać wymagane kwalifikacje. Nawet z kwalifikacjami początkowo odmówiono mi udziału w kursie, ale udało mi się znaleźć adres e-mail nauczyciela i napisać mu długą historię o tym, jak czułem, że ten kurs jest jedyną rzeczą, którą chciałem robić w życiu. I wreszcie zostałem przyjęty na kurs! Po czterech latach ukończyłem kurs z wyróżnieniem.

Potem dostałem pracę w firmie zajmującej się testami penetracyjnymi jako inżynier bezpieczeństwa aplikacji internetowych, gdzie testowałem wiele czołowych brytyjskich firm pod kątem problemów z bezpieczeństwem. Rzuciłem tę pracę, aby założyć własną firmę zajmującą się testami penetracyjnymi, a ostatecznie WPScan, gdzie jestem teraz.

2. Od lat działasz w branży bezpieczeństwa aplikacji internetowych. Co szczególnie zainteresowało Cię WordPressem?

Zacząłem blogować o swoich doświadczeniach i rzeczach, których nauczyłem się na temat bezpieczeństwa, i zdarzyło się, że wybrałem WordPress jako platformę do blogowania. Pewnego dnia natknąłem się na lukę w zabezpieczeniach, którą opublikował ktoś inny, a która dotyczyła WordPressa. Ponieważ pracowałem w bezpieczeństwie i sam korzystałem z WordPressa, napisałem exploita dla luki w zabezpieczeniach do przetestowania na własnej stronie internetowej. Następnie zacząłem szukać innych luk w zabezpieczeniach, które wpłynęły na WordPress, i ostatecznie umieściłem całą tę wiedzę w narzędziu, które nazwałem WPScan.

3. Wielu specjalistów od bezpieczeństwa aplikacji internetowych patrzy z góry na WordPressa. Rozmawiałem z wieloma, którzy twierdzą, że nigdy nie używaliby WordPressa lub że sposób jego działania jest wadliwy (na przykład wtyczka ma pełny dostęp do wszystkich hooków itp.). Co o tym myślisz?

Ponieważ WordPress jest tak szeroko stosowany w sieci, stanowi soczysty cel dla atakujących. Doprowadziło to do tego, że wielu badaczy bezpieczeństwa i hakerów w czarnych kapeluszach zaglądało do WordPressa, gdy był jeszcze w powijakach. Ponieważ WordPress nie był tak dojrzały jak dzisiaj, znaleziono wiele problemów z bezpieczeństwem. Ale dzisiaj, relatywnie rzecz biorąc, rdzeń WordPressa jest bardzo bezpiecznym systemem zarządzania treścią (CMS). Obecnie problem tkwi w wtyczkach innych firm. Jest ich tak wiele, co przede wszystkim przyciąga użytkowników, ale każda zainstalowana wtyczka wprowadza dodatkowe ryzyko dla Twojej witryny.

Ale jest to również coraz lepsze, ponieważ powstają innowacyjne firmy, które mają zająć się tym problemem, z mojego doświadczenia wynika, że ​​z biegiem czasu wtyczki WordPress stają się bezpieczniejsze. Po prostu ze względu na poziom badań i firm zajmujących się obecnie tym obszarem.

4. Jeśli chodzi o WPScan, istnieje skaner open source, wtyczka, baza danych o lukach itp. Czy możesz wyjaśnić, w jaki sposób te projekty są ze sobą połączone, którego powinni używać użytkownicy i dlaczego?

Baza danych luk WPScan WordPress jest tym, co łączy wszystkie nasze usługi. Wszystkie inne nasze produkty i usługi opierają się na bazie danych, są to klienci, którzy konsumują dane i prezentują je w sposób użyteczny dla naszych użytkowników.

Narzędzie WPScan CLI było naszym pierwszym produktem, darmowym dla użytkowników niekomercyjnych, skanuje witrynę WordPress z perspektywy zewnętrznej, aby dać hakerowi widok Twojej witryny WordPress. Ale to narzędzie wymaga od użytkowników znajomości obsługi wiersza poleceń i czasami może nie być proste w instalacji, w zależności od poziomu technicznego użytkownika. To narzędzie jest naprawdę przeznaczone dla testerów penetracyjnych i programistów.

Naszym najnowszym dodatkiem do naszej rodziny produktów jest wtyczka bezpieczeństwa WPScan WordPress, która jest przeznaczona bardziej dla codziennego użytkownika WordPress. Po prostu instalujesz wtyczkę z oficjalnego repozytorium WordPressa, konfigurujesz swój token API, rozpoczynasz skanowanie i zaczynasz otrzymywać powiadomienia bezpieczeństwa. Ideą wtyczki jest uświadomienie ci problemów z bezpieczeństwem, zanim hakerzy zdążą je wykorzystać.

5. Co jest potrzebne do utrzymania bazy danych wtyczek WordPress, motywów i podstawowych luk w zabezpieczeniach? Jak dowiadujesz się o nowych numerach, jak to jest utrzymywane?

To wymaga dużo pracy. Każda luka, którą wprowadzamy do naszej bazy danych, jest robiona przez jednego z naszych ekspertów ds. bezpieczeństwa WordPressa, dzięki czemu możesz mieć wysoki stopień pewności, że jest to w rzeczywistości prawdziwa luka, a nie fałszywy alarm.

Znajdujemy luki z wielu różnych źródeł. Mamy grupę niezależnych ekspertów zajmujących się bezpieczeństwem, którzy znajdują luki w WordPressie, wtyczkach lub motywach i przesyłają je bezpośrednio do nas. Nieustannie monitorujemy również media społecznościowe, fora, blogi, strony internetowe i wyszukiwarki pod kątem określonych słów kluczowych, które mogą oznaczać, że ktoś mówi o luce w zabezpieczeniach WordPressa.

Czasami sami prowadzimy niezależne badania bezpieczeństwa. Na przykład członek naszego zespołu odkrył niedawno lukę w zabezpieczeniach Cross-Site Request forgery (CSRF) w rdzeniu WordPressa, która została już załatana. Mamy również wiele ataków typu honeypot na monitorowanie sieci, co doprowadziło nas do wykrycia luk 0-day.

6. Czy możesz wyjaśnić naszym czytelnikom, jak wygląda proces weryfikacji podatności przed jej opublikowaniem? A może jest jakiś proces, który stosujesz, aby upewnić się, że zgłaszane dane są prawidłowe i prawidłowe?

W większości przypadków jest oczywiste, czy raport o luce jest fałszywy, czy nie. Nasz zespół ekspertów zazwyczaj może stwierdzić, po prostu czytając poradnik, czy jest on poprawny technicznie, czy nie. Innym razem nie jest to takie proste i sami musimy ręcznie zweryfikować lukę, instalując podatną wersję i próbując ją wykorzystać.

To, co zajmuje nam najwięcej czasu, to segregacja luk w zabezpieczeniach. Nie chcemy publikować informacji o lukach, jeśli ma to tylko pomóc atakującym. Chcemy się upewnić, że dostawca wtyczek jest świadomy luki w zabezpieczeniach i wysłał łatkę, zanim dodamy szczegóły do ​​naszej bazy danych. Ale nie zawsze tak jest, ponieważ niektórzy dostawcy albo nie są w stanie się z nimi skontaktować, albo ich to nie obchodzi. W takim przypadku ściśle współpracujemy z zespołem wtyczki WordPress, aby uświadomić im lukę w zabezpieczeniach, aby mogli podjąć działania mające na celu ochronę użytkowników WordPressa.

Aby upewnić się, że ten proces jest przejrzysty, mamy również politykę publicznego ujawniania, która określa, w jaki sposób przetwarzamy otrzymywane przez nas dane dotyczące luk w zabezpieczeniach.

7. Jakie są Twoje przemyślenia na temat przyszłości bezpieczeństwa WordPressa i bezpiecznego kodowania (w wtyczkach, motywach) itp.?

Jestem optymistą i myślę, że wszystko się poprawia. Obecnie dużo więcej uwagi poświęca się bezpieczeństwu WordPressa i dostępnych jest znacznie więcej rozwiązań. Nie sądzę, że kiedykolwiek dojdziemy do punktu, w którym rdzeń WordPressa, wszystkie wtyczki i wszystkie motywy będą w 100% bezpieczne, ale myślę, że możemy dojść do punktu, w którym większość wtyczek z dużą bazą instalacji będzie wystarczająco bezpieczna . Po prostu musimy to odgryźć.

8. Masz również doświadczenie w rozwoju. Jakie są twoje trzy najlepsze wskazówki dla twórców wtyczek i motywów WordPress?

1. Sprawdź poprawność danych wejściowych użytkownika i zakoduj dane wyjściowe użytkownika. Na przykład użyj WordPressa esc_html(), esc_attr(), esc_url(), działają dokładnie i we właściwych miejscach.
2. Podczas tworzenia zapytań SQL zawsze używaj funkcji Prepare().
3. Zawsze sprawdzaj możliwości użytkownika przed uruchomieniem niebezpiecznych funkcji.

9. Twoim zdaniem, jakie są trzy najważniejsze rzeczy lub najlepsze praktyki bezpieczeństwa, które administrator witryny WordPress powinien wykonać, aby zabezpieczyć witrynę i zapewnić jej bezpieczeństwo?

1. Aktualizuj swoją wersję WordPress, wtyczki i motywy.
2. Zainstaluj wtyczkę bezpieczeństwa. Jest mnóstwo dobrych, wybierz jeden i użyj go.
3. Używaj bezpiecznych haseł. Upewnij się, że Twoje hasło jest unikalne i złożone. Można to osiągnąć na przykład za pomocą menedżera haseł.

10. Masz długą historię w branży bezpieczeństwa aplikacji internetowych. Poznałem cię kilka lat temu przez DVWA. Czy możesz wyjaśnić naszym czytelnikom, czym jest DVWA i dlaczego je opracowałeś?

Damn Vulnerable Web App (DVWA) to projekt Open Source, który stworzyłem na uniwersytecie, aby pomóc w nauce bezpieczeństwa aplikacji internetowych. Pomyślałem, że najlepszym sposobem na naukę będzie posiadanie prawdziwych przykładów do wykorzystania. Później udostępniłem go online po dużej pomocy innych i stał się bardzo popularny. Dziś zarządza nim mój stary przyjaciel Robin Wood ( @digininja ). Więc jeśli masz jakiekolwiek problemy z instalacją, na pewno chętnie Ci pomoże.

11. Jakieś wskazówki i/lub zasoby, którymi możesz się podzielić z tymi, którzy Cię lubią, chcieliby dowiedzieć się więcej o WordPressie i bezpieczeństwie aplikacji?

Twitter jest moim zdaniem jednym z najlepszych źródeł. Obserwuj ludzi, którzy żyją i oddychają tymi tematami i ucz się od nich. Niektóre osoby, które polecam obserwowanie to @tnash , @Random_Robbie , @Viss , i jest tak wiele innych, o których warto wspomnieć. Istnieje również świetna grupa bezpieczeństwa Facebook WordPress, która jest bardzo aktywna. Jeśli chcesz zagłębić się w bezpieczeństwo aplikacji internetowych, polecam książkę Web Application Hacker's Handbook.

12. Jak wygląda przyszłość projektu WPScan? Jakie są plany?

Niedawno przeprojektowaliśmy całą witrynę bazy danych o lukach w zabezpieczeniach i włożyliśmy wiele wysiłku w jej zaplecze, aby zarządzać lukami. Nasze narzędzie WPScan CLI jest bardzo stabilne, istnieje od 2011 roku, więc obecnie wymaga niewiele ulepszeń. Planujemy dalsze inwestowanie czasu w badanie problemów z bezpieczeństwem WordPressa, jego wtyczek i motywów, aby mieć pewność, że nasza baza podatności jest zawsze aktualna i dokładna. Chcemy również włożyć wiele wysiłku w naszą wtyczkę bezpieczeństwa WordPress, wierzymy, że pomoże nam to stać się bardziej rozpoznawalnymi w ekosystemie WordPress.

13. Aby pomóc zainspirować innych, czy możesz opowiedzieć nam trochę więcej o swojej podróży, a także o pułapkach, które napotkałeś w swojej karierze i co pomogło ci przetrwać i osiągnąć obecny sukces?

Mówiłem o tym trochę we wstępie, ale tutaj opowiem o moich pułapkach, gdy próbuję pracować dla niektórych dużych firm technologicznych. Po studiach chciałem pracować w dużej firmie technologicznej, myślałem, że to da mi wiarygodność wobec moich rówieśników i rodziny. Rozmawiałem z Mozillą, Facebookiem, Google, a nawet Automattic (twórcami WordPressa), a także innymi. I chociaż udało mi się wylądować na rozmowie kwalifikacyjnej, zawsze ich oblałem i nigdy nie dostałem oferty pracy. Ciężko jest mówić o swoich niepowodzeniach, ale wierzę, że może to pomóc innym dostrzec, że na końcu tunelu jest światło, jeśli wytrwasz w swoich snach.

Dziś jestem współwłaścicielem własnej dochodowej i odnoszącej sukcesy firmy WPScan. Wiele firm, z którymi rozmawiałem i które poniosły porażkę, to teraz nasi klienci, a w przypadku Automattic nasi sponsorzy, za co jesteśmy bardzo wdzięczni.

Czasami w życiu możesz nie iść dokładnie ścieżką, o której myślisz, że doprowadzi cię do twoich marzeń. Czasami trzeba wytyczyć własną ścieżkę życia i położyć podwaliny, aby inni podążali za nią.

14. Bardzo dziękuję za ten wywiad. Czy możesz powiedzieć naszym czytelnikom, gdzie mogą Cię znaleźć w Internecie?

Pewnie! Dużo ćwierkam z @ethicalhack3r, możesz także śledzić oficjalne konto WPScan na Twitterze.