Entrevista com Ryan Dewhurst, fundador do WPScan

Ryan Dewhurst é um hacker ético e testador de penetração que dedicou muitos anos a ajudar as pessoas da comunidade WordPress a melhorar a postura de segurança de seus sites e protegê-los de invasores maliciosos.

Ryan é o fundador do WPScan, um scanner de segurança WordPress de caixa preta gratuito, escrito para profissionais de segurança e mantenedores de blogs para testar a segurança de seus sites. A ferramenta WPScan CLI atualmente usa um banco de dados de 21.875 vulnerabilidades do WordPress.

1. Para quem não te conhece, conte-nos o que você faz e um pouco sobre seu passado e credenciais.

Desde que me lembro, me interesso por computadores e pela Internet. Eu costumava ir à casa de um vizinho, a única pessoa que eu conhecia que tinha um computador na época, para jogar paciência em sua máquina Windows 95. Ele nem tinha acesso à Internet, mas eu estava feliz apenas interagindo com o computador.

Mais tarde, na minha adolescência, convenci minha mãe a me comprar meu próprio computador, e desta vez, com acesso à Internet! A capacidade de interagir com pessoas de todo o mundo me surpreendeu. O Yahoo era grande naquela época, e eles tinham um serviço chamado Yahoo! Bate-papo, e nesse serviço eles tinham uma sala de bate-papo chamada “Hacker's Lounge”. Passei noites e noites naquela sala de bate-papo tentando aprender sobre o que todo mundo estava falando, trojans, RATs, DoS, programação geral e assim por diante.

Mais tarde na vida, vi que a universidade local começaria a ensinar um curso de graduação em Ethical Hacking para Segurança de Computadores. Deixei a escola aos 15 anos para começar a trabalhar, então não tinha nenhuma qualificação. Os requisitos para o curso eram pelo menos três qualificações, incluindo matemática e inglês de nível GCSE, que eu não tinha. Então eu imediatamente larguei meu emprego de baixo salário e me coloquei em um curso universitário rápido, que era gratuito porque eu não estava ganhando muito dinheiro, para obter as qualificações exigidas. Mesmo com as qualificações, fui inicialmente rejeitado para ingressar no curso, mas consegui encontrar o endereço de e-mail do professor e escrever para ele uma longa história sobre como achava que esse curso era a única coisa que queria fazer na vida. E finalmente, fui aceito no curso! Após quatro anos, concluí o curso com honras de primeira classe.

Depois disso, consegui um emprego em uma empresa de testes de penetração como engenheiro de segurança de aplicativos da Web, onde trabalhei testando muitas das principais empresas do Reino Unido quanto a problemas de segurança. Deixei este trabalho para iniciar minha própria empresa de testes de penetração e, eventualmente, WPScan, onde estou agora.

2. Você atua no setor de segurança de aplicativos da Web há anos. O que despertou seu interesse especificamente no WordPress?

Comecei a blogar sobre minhas experiências e coisas que aprendi sobre segurança e passei a usar o WordPress como minha plataforma de blogs de escolha. Um dia me deparei com uma vulnerabilidade de segurança que outra pessoa postou que afetou o WordPress. Como eu trabalhava em segurança e estava usando o WordPress, escrevi um exploit para testar a vulnerabilidade em meu próprio site. Então, comecei a descobrir outras falhas de segurança que afetaram o WordPress e, eventualmente, coloquei todo esse conhecimento em uma ferramenta que chamei de WPScan.

3. Muitos profissionais de segurança de aplicações web desprezam o WordPress. Falei com muitos que dizem que nunca usariam o WordPress, ou que a maneira como ele funciona é falha (por exemplo, um plugin tem acesso total a todos os ganchos etc.). Quais são seus pensamentos sobre isso?

Como o WordPress é tão amplamente utilizado na web, é um alvo interessante para os invasores. Isso levou muitos pesquisadores de segurança e hackers de chapéu preto a investigar o WordPress quando ainda estava em sua infância. Como o WordPress não era tão maduro quanto hoje, muitos problemas de segurança foram encontrados. Mas hoje, relativamente falando, o núcleo do WordPress é um Sistema de Gerenciamento de Conteúdo (CMS) muito seguro. O problema hoje em dia está dentro de seus plugins de terceiros. Existem tantos deles, que é o que atrai os usuários em primeiro lugar, mas cada plug-in que você instala também apresenta um risco extra ao seu site.

Mas isso também está melhorando, com empresas inovadoras sendo criadas para enfrentar esse problema, pela minha experiência, com o tempo, estamos vendo os plugins do WordPress se tornarem mais seguros. Simplesmente devido ao nível de pesquisa e empresas dedicadas a esta área agora.

4. Em relação ao WPScan, há um scanner de código aberto, o plugin, o banco de dados de vulnerabilidades etc. Você pode explicar como esses projetos estão conectados, qual deles os usuários devem usar e por quê?

O banco de dados de vulnerabilidades WPScan WordPress é o que une todos os nossos serviços. Todos os nossos outros produtos e serviços dependem do banco de dados, são clientes que consomem os dados e os apresentam de forma útil para nossos usuários.

A ferramenta WPScan CLI foi nosso primeiro produto, de uso gratuito para usuários não comerciais, ela verifica um site WordPress de uma perspectiva externa para fornecer uma visão de hacker do seu site WordPress. Mas essa ferramenta exige que os usuários estejam familiarizados com o uso de uma linha de comando e, às vezes, pode não ser fácil de instalar, dependendo do nível técnico do usuário. Esta ferramenta é realmente projetada para testadores e desenvolvedores de penetração.

Nossa mais nova adição à nossa família de produtos é o nosso plugin de segurança WPScan WordPress, projetado mais para o seu usuário diário do WordPress. Você simplesmente instala o plug-in do repositório oficial do WordPress, configura seu token de API, começa a executar verificações e começa a receber notificações de segurança. A ideia do plugin é conscientizá-lo sobre os problemas de segurança antes que os hackers tenham a chance de explorá-los.

5. O que é preciso para manter um banco de dados de plugins, temas e vulnerabilidades principais do WordPress? Como você fica sabendo de novos problemas, como é mantido?

É preciso muito trabalho. Cada vulnerabilidade que inserimos em nosso banco de dados é feita por um de nossos engenheiros de segurança especialistas do WordPress, para que você possa ter um alto grau de confiança de que é, de fato, uma vulnerabilidade real e não um falso positivo.

Encontramos vulnerabilidades de uma ampla variedade de fontes. Temos um grupo de pesquisadores de segurança hard core independentes que encontram vulnerabilidades no WordPress, plugins ou temas e os enviam diretamente para nós. Também monitoramos constantemente mídias sociais, fóruns, blogs, sites e mecanismos de pesquisa para determinadas palavras-chave que podem ser alguém falando sobre uma vulnerabilidade de segurança no WordPress.

Às vezes, também realizamos pesquisas de segurança independentes. Por exemplo, um membro de nossa equipe descobriu recentemente uma vulnerabilidade de falsificação de solicitação entre sites (CSRF) no núcleo do WordPress, que já foi corrigida. Também temos vários honeypots nos ataques de monitoramento da Web, o que nos levou a descobrir vulnerabilidades de 0 dias.

6. Você pode explicar aos nossos leitores qual é o processo de verificação de uma vulnerabilidade antes de publicá-la? Ou existe algum processo que você segue para garantir que os dados relatados sejam válidos e corretos?

Na maioria das vezes, é óbvio se um relatório de vulnerabilidade é falso ou não. Nossa equipe de especialistas geralmente pode dizer apenas lendo o aviso, se está tecnicamente correto ou não. Outras vezes, não é tão fácil e temos que verificar manualmente a vulnerabilidade instalando a versão vulnerável e tentando explorá-la.

O que leva mais tempo para nós é a triagem de vulnerabilidades. Não queremos divulgar informações sobre vulnerabilidades apenas para ajudar os invasores. Queremos garantir que o fornecedor do plug-in esteja ciente da vulnerabilidade e envie um patch antes de adicionarmos os detalhes ao nosso banco de dados. Mas nem sempre é esse o caso, pois alguns fornecedores não podem ser contatados ou não se importam. Nesse caso, trabalhamos em estreita colaboração com a equipe do plugin WordPress para conscientizá-los da vulnerabilidade para que possam tomar medidas para proteger os usuários do WordPress.

Para garantir que esse processo seja transparente, também temos uma política de divulgação pública que descreve como processamos os dados de vulnerabilidade que recebemos.

7. Com base no que você viu até agora no banco de dados de vulnerabilidades WP e no projeto WPScan, quais são seus pensamentos sobre o futuro da segurança do WordPress e codificação segura (em plugins, temas) etc.?

Estou otimista e acho que as coisas estão melhorando. Há muito mais foco na segurança do WordPress hoje em dia e muito mais soluções disponíveis. Acho que nunca chegaremos a um ponto em que o núcleo do WordPress, todos os plugins e todos os temas sejam 100% seguros, mas acho que podemos chegar a um ponto em que a maioria dos plugins com uma grande base de instalação seja segura o suficiente . Nós apenas temos que continuar lascando-o.

8. Você também tem experiência em desenvolvimento. Quais são suas três principais dicas para desenvolvedores de plugins e temas do WordPress?

1. Valide a entrada do usuário e codifique a saída do usuário. Por exemplo, use as funções esc_html(), esc_attr(), esc_url() do WordPress completamente e nos lugares corretos.
2. Sempre use a função prepare() ao criar consultas SQL.
3. Sempre verifique os recursos de um usuário antes de executar funções perigosas.

9. Na sua opinião, quais são as três coisas mais importantes ou práticas recomendadas de segurança que um administrador de site WordPress deve fazer para proteger o site e mantê-lo seguro?

1. Mantenha sua versão, plugins e temas do WordPress atualizados.
2. Instale um plug-in de segurança. Há uma tonelada de bons por aí, escolha um e use-o.
3. Use senhas seguras. Certifique-se de que sua senha seja única e complexa. Isso pode ser feito com um gerenciador de senhas, por exemplo.

10. Você tem um longo histórico no setor de segurança de aplicativos da Web. Conheci você há alguns anos através da DVWA. Você pode explicar aos nossos leitores o que é DVWA e por que você o desenvolveu?

Damn Vulnerable Web App (DVWA) foi um projeto de código aberto que criei enquanto estava na universidade para ajudar a me ensinar sobre segurança de aplicativos da web. Eu pensei que a melhor maneira de aprender seria ter exemplos reais exploráveis ​​para usar. Mais tarde, lancei-o online depois de muita ajuda de outras pessoas e tornou-se muito popular. Hoje é administrado por um velho amigo meu Robin Wood ( @digininja ). Portanto, se você tiver algum problema ao instalá-lo, tenho certeza de que ele ficará feliz em ajudar.

11. Alguma dica e/ou recurso que você possa compartilhar com quem gosta de você, gostaria de saber mais sobre WordPress e segurança de aplicativos?

O Twitter é um dos melhores recursos na minha opinião. Siga algumas pessoas que vivem e respiram esses tópicos e aprenda com eles. Algumas pessoas que eu recomendo seguir são @tnash , @Random_Robbie , @Viss , e há muitos outros para mencionar. Há também um ótimo grupo de segurança do Facebook WordPress que é muito ativo. Se você deseja se aprofundar na segurança de aplicativos da Web, eu recomendaria o livro Web Application Hacker's Handbook.

12. Como é o futuro do projeto WPScan? Quais são os planos?

Recentemente, redesenhamos todo o site do banco de dados de vulnerabilidades e colocamos muito esforço no back-end disso, para gerenciar vulnerabilidades. Nossa ferramenta WPScan CLI é muito estável, existe desde 2011, então precisa de poucas melhorias hoje em dia. O plano é continuar investindo tempo na pesquisa de problemas de segurança no WordPress, seus plugins e temas, para poder garantir que nosso banco de dados de vulnerabilidades esteja sempre atualizado e preciso. Também queremos colocar muito esforço em nosso plugin de segurança WordPress daqui para frente, acreditamos que isso nos ajudará a nos tornar mais conhecidos no ecossistema WordPress.

13. Para ajudar a inspirar outras pessoas, você pode nos contar um pouco mais sobre sua jornada e um pouco mais sobre as armadilhas que você encontrou em sua carreira e o que o ajudou a superar e alcançar o sucesso atual?

Falei um pouco sobre isso na minha introdução, mas aqui falarei sobre minhas armadilhas ao tentar trabalhar para algumas das grandes empresas de tecnologia. Depois da universidade, queria trabalhar para uma grande empresa de tecnologia, achei que isso me daria credibilidade aos meus colegas e familiares. Fui entrevistado na Mozilla, Facebook, Google e até Automattic (os criadores do WordPress), entre outros. E embora eu tenha conseguido a entrevista, sempre falhei com eles e nunca me ofereceram um emprego. É difícil falar sobre seus fracassos, mas acredito que isso pode ajudar os outros a ver que há luz no fim do túnel se você persistir em seus sonhos.

Hoje, sou coproprietário do meu próprio negócio lucrativo e bem-sucedido, o WPScan. Muitas das empresas para as quais entrevistei e falhei agora são nossos clientes e, no caso da Automattic, nossos patrocinadores, aos quais somos muito gratos.

Às vezes, na vida, você pode não trilhar o caminho exato que acha que o levará aos seus sonhos. Às vezes, você precisa criar seu próprio caminho na vida e preparar o terreno para que outros sigam o seu.

14. Muito obrigado por esta entrevista. Você pode dizer aos nossos leitores onde eles podem encontrá-lo online?

Certo! Eu tweeto muito de @ethicalhack3r, você também pode seguir a conta oficial do WPScan no Twitter.