Re: [ml] Pentration Test

Martino Serri ha scritto:

> Beh... se l'azienda in questione mi ha fatto questo tipo di proposta,
> sicuramente è perché sa che le competenze di base le ho, il problema
> semmai (e in questo campo sopratutto), è verificare quanto profonde
> siano le mie competenze, in modo da poter svolgere questo tipo di
> mansione con un minimo di professionalità.

Questo sia presumo il dubbio amletico di ogni "committente", nel momento 
in cui richiede un'attivita' di PT: come si puo' essere certi che le 
competenze "dell'esecutore" siano elevate a sufficienza da individuare 
tutte le vulnerabilita'? Un PT non si conclude dopo una scansione con un 
vulnerability scanner (come Nessus), cosa che molti spacciano come un PT.
L'unico modo per verificare i risultati dell'assessment sarebbe la nuova 
esecuzione dell'attivita' da parte di un'altra entita'...cosa 
praticamente improponibile (e costosa, tra l'altro)...
Puoi avere molte competenze di base, aver ottenuto certificazioni e 
seguire metodologie...ma alla fine conta piu' di tutto due sole 
cose...la tua "sensibilita'" ed il tuo intuito.

--
Damiano Bolzoni

damiano.bolzoni@xxxxxxxxxx
PGP public key http://dies.ewi.utwente.nl/~bolzonid/public_key.asc

Distributed and Embedded System Group - University of Twente
P.O. Box 217 7500AE Enschede, The Netherlands
Phone: ++31 53 4894192
Mobile: ++31 629 008724
Room 3067, Building: ZILVERLING