tag:blogger.com,1999:blog-16926911.post8722508074991101260..comments2024-01-07T10:33:46.825+01:00Comments on newsoft's fun blog: Le diable est dans les détailsnewsofthttp://www.blogger.com/profile/04331742158137961313noreply@blogger.comBlogger14125tag:blogger.com,1999:blog-16926911.post-56302384776967171842011-05-25T14:51:44.160+02:002011-05-25T14:51:44.160+02:00@newsoft: un chenillard en assembleur 6809 ça comp...@newsoft: un chenillard en assembleur 6809 ça compte ou pas ? sinon je crois que je fais partie des rookies... tain !funkinessflavornoreply@blogger.comtag:blogger.com,1999:blog-16926911.post-30747540932391850262011-05-24T22:21:30.058+02:002011-05-24T22:21:30.058+02:00@rd: rien n'indique que la période probatoire ...@rd: rien n'indique que la période probatoire ne doivent être de 10 ans ... et puis si la "cyber sécurité" est aussi importante que la santé, pourquoi ne pas y mettre autant de moyens, au lieu de reléguer les praticiens au rang d'exécutants serviles et sous-payés ?<br /><br />On ne peut pas dépenser un milliard pour une grippe qui n'est pas venue, et attendre le premier accident de SCADA sans rien faire (me semble-t-il).newsofthttps://www.blogger.com/profile/04331742158137961313noreply@blogger.comtag:blogger.com,1999:blog-16926911.post-52763824453731718142011-05-24T18:04:05.705+02:002011-05-24T18:04:05.705+02:00@newsoft:
"Les internes, les clercs de notair...@newsoft:<br />"Les internes, les clercs de notaire ou les préparateurs en pharmacie font le boulot sans avoir le titre officiel. Appelons ça un stage de longue durée :)"<br /><br />La différence avec l'interne, c'est qu'au bout de 10 ans ton interne devient médecin et peut s'installer à son compte et espérer pour un upside en termes de revenu. <br /><br />Cet "encadrement" l'empêchera de faire ça (et tant pis pour l'expert SCADA/Siemens qui ne pourra pas offrir des services à son compte).<br /><br /><br />De plus, je ne sais pas si un période probatoire de 10 ans est vraiment un futur enviable.rdnoreply@blogger.comtag:blogger.com,1999:blog-16926911.post-51382192604581600512011-05-18T09:31:26.835+02:002011-05-18T09:31:26.835+02:00@Kevin: on est d'accord que l'évaluation o...@Kevin: on est d'accord que l'évaluation objective des compétences est un problème épineux (qui n'est pas réglé par le document, d'ailleurs).<br /><br />Il me semble qu'un auditeur doit avoir deux compétences majeures:<br />* avoir entendu parler de tout ;<br />* pouvoir rapidement approfondir un domaine.<br /><br />A partir de là on peut imaginer des sessions d'examens dans tous les domaines majeurs (système, réseau, bases de données, etc.) avec une note éliminatoire, complétés par une épreuve pratique "surprise" (ex. VxWorks, OS/2, SQLite, ...) pour vérifier la capacité d'adptation du candidat. Toute la difficulté consiste à se placer dans des conditions relativement réalistes (accès Internet) sans pour autant que le candidat ne puisse se faire aider par des humains (le problème des CTF).<br /><br /><br />En ce qui concerne le problème de la règlementation vs. le bootstrapping, ça n'en est pas un. Les internes, les clercs de notaire ou les préparateurs en pharmacie font le boulot sans avoir le titre officiel. Appelons ça un stage de longue durée :)<br /><br /><br />Enfin l'aspect "closed source" des rapports ... est la règle unique actuellement. J'encourage au contraire un partage de l'information ! Effectivement, pour avoir accès aux rapports concernant la sécurité d'un produit, il faudra passer par un prestataire agréé (qui va aussi être capable d'adapter le document au contexte d'utilisation du produit chez le client). Mais toute comme il faut passer chez le médecin pour obtenir une ordonnance, même pour un médicament qu'on connait très bien et qu'on prend depuis des années.newsofthttps://www.blogger.com/profile/04331742158137961313noreply@blogger.comtag:blogger.com,1999:blog-16926911.post-20628048713273420892011-05-17T09:54:06.383+02:002011-05-17T09:54:06.383+02:00Post très intéressant, mais la conclusion me surpr...Post très intéressant, mais la conclusion me surprend.<br /><br /><i>Certifier les personnes sur leurs compétences (un gynécologue n'est pas un urologue), en organisant de réelles sessions d'examens.</i><br /><br />Mais d'un autre côté il est dit que la volonté d'apprendre est une caractéristique essentielle du pentester: <i>"je ne peux pas croire que les gagnants récurrents ont étudié a priori des technologies aussi variées que le mode V8086 du processeur Intel ou le système d'exploitation Android. Ils ont appris sur le tas, en temps contraint. C'est à mon avis la seule qualité nécessaire à la pratique du test d'intrusion, compte-tenu de la diversité des missions et de l'environnement technologique mouvant dans lequel nous évoluons"</i>. Si on forme un stagiaire "buffer overflow" et que toute sa vie il cherche du buffer overflow par la suite, ça va vite le lasser je pense.<br /><br />Et ensuite on lit:<br /><i>Créer une instance représentative de la profession, qui collecterait tous les rapports d'audit, ce qui permettrait d'avoir un catalogue de produits audités un peu plus étoffé que celui de la CSPN. Cette instance pourrait éventuellement servir d'interface avec les éditeurs logiciels, ou de tiers de confiance pour l'achat/revente de codes d'exploitation </i><br />Alors que: <i>"ne règle pas le problème du bootstrapping (comment former des auditeurs qualifiés alors qu'il faudrait une vie pour acquérir les compétences recommandées à titre individuel)."</i><br />Si l'ensemble de la documentation des failles et des outils est "closed source", cela risque de scléroser complètement la profession. Quelques très grosses boites qui auront accès à ce catalogue pourront former en interne quelques prestas triés sur le volet; quelques grands éditeurs pourront prendre les contremesures (audit de code, SDL, etc) et tous les autres qui feront du code à la petite semaine incapables d'investir suffisemment pour passer cette barrière: d'une part la marche est trop haute, d'autre part, puisque rien n'est public, c'est qu'il n'y a pas de problèmes... (on retombe sur le débat full disclosure / responsible disclosure). Faut il documenter les failles ou les méthodes?Kevinhttps://www.blogger.com/profile/02931502286392645382noreply@blogger.comtag:blogger.com,1999:blog-16926911.post-73474206919482230482011-05-16T22:12:08.141+02:002011-05-16T22:12:08.141+02:00Merci pour vos commentaires !
@Anonyme: la base d...Merci pour vos commentaires !<br /><br />@Anonyme: la base des CVE est sans intérêt, car elle ne couvre que les failles reconnues par les éditeurs, et généralement sans aucun détail technique. Or ce qui est intéressant dans un produit, c'est plus son architecture globale que les failles particulières affectant une version X. Disposer des analyses antérieures fait toujours gagner un temps précieux.<br /><br />@Sid: il me semble que l'expertise judiciaire est basée sur la cooptation, qui est un mécanisme différent et potentiellement générateur d'effets pervers effectivement. Mais je peux me tromper.<br /><br />@Sportet: l'administration a probablement très bien identifié tous les problèmes potentiels, mais elle veut toujours faire les choses en grand. Il suffit de comparer un certificat qualifié (au sens RGS) avec un certificat StartSSL (gratuit). Dans la pratique, on rencontre beaucoup plus souvent les deuxièmes ... Mais pour être honnête, je n'ai aucune idée des intentions cachées derrière ce document. D'ailleurs je n'ai pas eu la chance de faire partie des privés qui ont été invités à le relire avant publication.<br /><br />@iv: en ce qui concerne l'exploitation de failles, on est d'accord qu'une bonne injection de commandes est beaucoup plus redoutable qu'une faille "binaire". Mais qui n'a jamais adapté un exploit Metasploit à une version française de Windows ?<br /><br />@Pascal: en général, le message finit par trouver son chemin tout seul jusqu'au destinataire, sans qu'il me soit nécessaire de me fendre d'un email :)newsofthttps://www.blogger.com/profile/04331742158137961313noreply@blogger.comtag:blogger.com,1999:blog-16926911.post-27944007935104617072011-05-16T14:21:35.617+02:002011-05-16T14:21:35.617+02:00Vu ton expérience et ton expertise dans le domaine...Vu ton expérience et ton expertise dans le domaine, comptes-tu publier cet excellent avis sur l'appel à commentaires de l'ANSSI (http://www.ssi.gouv.fr/site_article328.html) ?<br /><br />Je suppose que cela pourra influencer dans le bon sens ce document...Pascalhttps://www.blogger.com/profile/00731243072669519034noreply@blogger.comtag:blogger.com,1999:blog-16926911.post-14796522354981447342011-05-16T13:37:23.055+02:002011-05-16T13:37:23.055+02:00Ton analyse est intéressante, mais j'ai quelqu...Ton analyse est intéressante, mais j'ai quelques remarques :<br /><br />Dans le chapitre 4, il ne s'agit que de "recommandations", et non d'obligations, donc il ne s'agit, pour moi, que de fixer une sorte de ligne de conduite.<br /><br />Tu parles de code d'exploitation (dans le paradoxe francais, 2eme acte), comme étant uniquement du développement d'exploits visant une exploitation type "en mémoire", mais je pense que le texte visait plutôt des choses plus larges, comme le développement de script automatisant un brute force ou une injection SQL par exemple.<br /><br />Le choix des couleurs (ou plutôt la classification associée :-) ) est, de mon point de vue essentiel : si effectivement on pourrait donner du PWN/pas PWN, il faut garder à l'esprit qu'un test d'intrusion est effectué sur un temps limité, et qu'il n'est pas toujours possible d'aller jusqu'au PWN. Dans ces cas la, il est important d'avoir plus de granularité dans la classification. Même si effectivement, cela provoque souvent les conséquences que tu décris.ivnoreply@blogger.comtag:blogger.com,1999:blog-16926911.post-87074317923323025582011-05-16T11:59:27.791+02:002011-05-16T11:59:27.791+02:00Très bon article Nicolas, mettant en lumière certa...Très bon article Nicolas, mettant en lumière certaines failles et énonçant des propositions de bon sens reposant sur ta propre expérience.<br /><br />Il est cependant surprenant que l'ANSSI, composée de personnes compétentes et pour certaines brillantes, n'ait pas vu venir l'écueil lié aux petites structures (majoritaires me semble-t-il) et n'ait pas discuté de ce catalogue (de compétences) à la Prévert ?!<br /><br />Mon interrogation porte donc sur : est-ce une volonté pour restructurer le marché afin qu'il ne reste que 4 ou 5 acteurs majeurs (dans ce cas : pourquoi ?) ou peut-on considérer que cette version n'est qu'un draft lancé "in the wild" afin d'en évaluer le "buzz" (ou pas) ?Si vis pacemhttps://www.blogger.com/profile/10786589723654267662noreply@blogger.comtag:blogger.com,1999:blog-16926911.post-91710201114387892762011-05-16T11:18:25.579+02:002011-05-16T11:18:25.579+02:00L'activité d'expertise judiciaire, qui n&#...L'activité d'expertise judiciaire, qui n'est certes pas une profession, est réglementée, avec les résultats qu'on sait. Aussi, je ne sais pas s'il s'agit d'une bonne idée.<br /><br />D'autant que la réglementation ne changera rien au fait qu'il existe une demande conséquente pour des pentests à deux balles qui ne trouvent rien à redire à ce qu'ils testent. Réglementée ou pas, la "profession" y répondra... Exactement comme il y a des gens pour qualifier des logiciels dont rien que les qualités fonctionnelles piquent les yeux...Sidhttp://sid.rstack.org/blog/noreply@blogger.comtag:blogger.com,1999:blog-16926911.post-63839612011037417052011-05-16T11:15:40.788+02:002011-05-16T11:15:40.788+02:00On semble s'inspirer d'un système de certi...On semble s'inspirer d'un système de certification qui pour moi n'a pas fait ses preuves. Trop de certifications permettent au quidam de l'IT d'ajouter quatre acronymes à leur nom sans que pour autant l'expertise soit systématiquement réelle, diminuant du coup la valeur globale des certifications, notamment celles qui sont plus sérieuses. Mais l'offre ne fais certainement que répondre à la demande.<br />Adage qui dans le domaine de la formation ne fonctionne pas, favorisant ainsi l'apparition des "pentesters" qui ont une expertise reconnue par certains de leur clients dans le "next, next, generate report".<br /><br />En ce qui concerne la dernière proposition, j'ai le sentiment qu'un tel recueil d'observations serait redondant avec des bases de données publiques telle CVE non?Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-16926911.post-29496270176822575622011-05-16T11:07:57.784+02:002011-05-16T11:07:57.784+02:00@cidris: il y a effectivement un risque que le mar...@cidris: il y a effectivement un risque que le marché soit verrouillé par quelques prestataires bien installés dans la place, si le ticket d'entrée est trop important. Espérons que l'autorité en charge de délivrer le futur "agrément" veille au grain :)<br /><br />@blah: c'est corrigé. Le problème vient de Windows Live Writer 2011 ...newsofthttps://www.blogger.com/profile/04331742158137961313noreply@blogger.comtag:blogger.com,1999:blog-16926911.post-83728992440032317792011-05-16T09:59:48.932+02:002011-05-16T09:59:48.932+02:00Petit problème de liens ;-) :
file:///C:/temp/#_ft...Petit problème de liens ;-) :<br />file:///C:/temp/#_ftn1_1423blahnoreply@blogger.comtag:blogger.com,1999:blog-16926911.post-8609061764679286832011-05-16T08:49:01.463+02:002011-05-16T08:49:01.463+02:00Très intéressant message surtout lorsque on se pas...Très intéressant message surtout lorsque on se passionne pour cela en apprenant chaque jour.<br /><br />Une question en fait : ne crains-tu pas que la réglementation de la profession ne conduise à une forme de "léthargie" ? <br /><br />Après tout, il est difficile de quantifier la capacité d'apprentissage rapide du candidat, sa passion et sa volonté d'apprendre au quotidien...cidrishttp://cidris-news.blogspot.comnoreply@blogger.com