[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Gennaio 2006 ml@sikurezza.org Soggetto: Re: [ml] Pentration Test Mittente: Martino Serri Data: Fri, 13 Jan 2006 00:27:04 +0100 (CET)
Il 12/01/06, Paolo Ottolino<paolo.ottolino@xxxxxxxxx> ha scritto: > Un PT si compone di tre fasi. Brevemente: > > a) Engagement Letter (in cui sono indicati chiaramente ambito e limiti > del test ed i permessi dell'Auditor che lo esegue) Si, questo è perfettamente chiaro... > > b) Esecuzione del Test (composto da varie fasi, che ricalcano un > attacco, cfr. http://ecommerce.cit.gu.edu.au/cit/CIT6103/HackingExposedDiagrams.pdf) Mi ero organizzato anche io un documento base che mi fosse in appoggio a questo tipo di attività. Sicuramente questo che mi ha dato qualche spunto in più. :) > > c) Report (composto da due doc, uno che indichi i "buchi" riscontrati > "in italiano corrente" ed un report piu' completo che contempli tutte > le azioni eseguite durante il test) Beh... c'è una certa ovvietà nel commento (ma dalla mia esperienza nulla è ovvio), altrimenti farei il test solo per me stesso... > cio' premesso, > > > Prima di rinunciare eventualmente a questo tipo di incarico, volevo > > sapere se è necessaria qualche certificazione particolare, laurea o > > simili, > Non e' "necessaria", ma e' doveroso avere le competenze necessarie a garantire: Beh... se l'azienda in questione mi ha fatto questo tipo di proposta, sicuramente è perché sa che le competenze di base le ho, il problema semmai (e in questo campo sopratutto), è verificare quanto profonde siano le mie competenze, in modo da poter svolgere questo tipo di mansione con un minimo di professionalità. > 1. che l'engagement letter sia scritta bene (e poi deve essere > rigorosamente rispettata) > 2. che l'esecuzione dei test sia "galileiana", ovvero scientifica e > riproducibile > Allo scopo vi sono le certificazioni OPST (metodologia OSSTMM, per la > quale conviene consultare www.isecom.org )e CEH > (http://www.eccouncil.org/CEH.htm) > Un PT e' comunque un Audit, quindi anche quanto contenuto nel CISA da' > informazioni utili > > > che obblighi civili e penali comporta l'esecuzione di un > > penetration test per conto terzi? > Non vi sono obblighi particolari, se non la redazione di una corretta > engagement letter e la presentazione di un report completo (da > utilizzarsi come audit trail dell'auditor) > Ti ringrazio per la risposta estremamente esauriente e chiara. :) > Paolo Ottolino Martino Serri
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005