Re: [ml] Pentration Test

Un PT si compone di tre fasi. Brevemente:

a) Engagement Letter (in cui sono indicati chiaramente ambito e limiti
del test ed i permessi dell'Auditor che lo esegue)

b) Esecuzione del Test (composto da varie fasi, che ricalcano un 
attacco, cfr. http://ecommerce.cit.gu.edu.au/cit/CIT6103/HackingExposedDiagrams.pdf)

c) Report (composto da due doc, uno che indichi i "buchi" riscontrati
"in italiano corrente" ed un report piu' completo che contempli tutte
le azioni eseguite durante il test)

cio' premesso,

> Prima di rinunciare eventualmente a questo tipo di incarico, volevo
> sapere se è necessaria qualche certificazione particolare, laurea o
> simili,
Non e' "necessaria", ma e' doveroso avere le competenze necessarie a garantire:
1. che l'engagement letter sia scritta bene (e poi deve essere
rigorosamente rispettata)
2. che l'esecuzione dei test sia "galileiana", ovvero scientifica e
riproducibile
Allo scopo vi sono le certificazioni OPST (metodologia OSSTMM, per la
quale conviene consultare www.isecom.org )e CEH
(http://www.eccouncil.org/CEH.htm)
Un PT e' comunque un Audit, quindi anche quanto contenuto nel CISA da'
informazioni utili

> che obblighi civili e penali comporta l'esecuzione di un
> penetration test per conto terzi?
Non vi sono obblighi particolari, se non la redazione di una corretta
engagement letter e la presentazione di un report completo (da
utilizzarsi come audit trail dell'auditor)


\bye
--
Paolo Ottolino

CCSE OPST CISSP-ISSAP
----------------------------------------------
ICT Senior Security Consultant


paolo.ottolino@xxxxxxxxx
http://www.8linux.org