2013/1/15 Nick <[email protected]> Ciao Nick,
Approfitterei comunque per riprendere "filosoficamente" due concetti > facendo a Koba (che scrive sempre poco) due domande: > Possiamo partecipare anche noi? :-) > - qual' ? il senso di un Penetration test ? > Secondo me i tuoi server devono essere scansionati periodicamente e inseriti in un processo di vulnerability management. Poi puoi andare a fondo per i server critici e quelli esposti con un penetration test periodico (1 paio all'anno?). Il senso di tutto il giro del fumo ? verificare se qualcuno ti pu? bucare... ma mi sa che la tua domanda nascondeva un messaggio tra le righe. > - ha senso farselo in casa ? > Se hai le competenze e il tempo s?. Per? devi essere obiettivo a leggere i risultati :) > Inoltre mi piacerebbe valutare con la lista: > Ah ok... qui mi sa che possiamo sparare a 0... > - oggi come si riconoscono i cioccolatai ? > Da tanti segnali: - attaccato il portatile alla rete hanno difficolt? ad ottenere un indirizzo ip. - la prima cosa che fanno ? farti vedere un powerpoint per descriverti la metodologia (spesso Owasp ... sic!) utilizzata - lasciano girare nessus e vanno a bere un caff? - il report che ti danno ? il copia e incolla dell'output del tool - sbagliano ad identificare il sistema operativo target - non concordano con te l'exploit di una vuln in produzione - ti presentano un senior pluricertificato a tariffe da junior - non hanno mai letto il neuromante (cit) > - quali strumenti possono essere utili a un CTO per valutare che c'e' la > necessit? di un PT ? > Secondo me la necessit? tu ce l'hai. Non solo... se hai delle web app pubblicate su Internet hai anche la necessit? di un penetration test applicativo e magari di una code review sul codice scritto. La security come pi? volte detto ? un processo che metti in campo per aumentare la qualit? della tua infrastruttura... la qualit? ? qualcosa che secondo me serve sempre poi, dipende da quante risorse si possono mettere in campo, pu? essere pi? o meno esasperata. > seconda veste: in qualita' di list admin vi invito a moderare i toni :) > Grazie per la tenacia e la costanza di aver mantenuto viva la lista nel > tempo, quanti anni sono ? Quasi 15 ? > Antirez ha dato il via il 25 Novembre 1999 - http://www.sikurezza.org/ml/11_99/msg00000.html Che bei tempi. Miei 2 cents -- $ cd /pub $ more beer The blog that fills the gap between appsec and developers: http://armoredcode.com
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
