Re: Cercasi: Manleva per Pen-test

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Allora vorrei fare un paio di considerazioni. Innanzitutto io nei pen 
test non includo mai attacchi tipo DOS o DDOS basati esclusivamente 
sulla saturazione della banda del committente. Ritengo che non ci sia 
nulla da fare in queste siituazioni e quindi penso sia solamente 
dannoso per il cliente e per carrier effettuare questi tipi di prove.
Invece IMHO un "oggetto del contendere" molto più controverso risulta 
essere il router che collega la rete del cliente con quella del 
carrier. Questo perchè:

1- Spesso e volentieri non è di proprietà del cliente ma è in comodato
2- E' incluso nel range di IP che il cliente mi chiede di controllare 
(ma non sarebbe suo)
3- E' un ottimo mezzo per tutta una serie di cosettine interessanti

Quindi la domanda che io mi pongo ogni volta è: e il router?

Coi come vi comportate?

PEr il manleva, riprendo quello di Marco e aggiungo un paio di cose 
(cambiamenti tra asterischi e note tra parentesi):

VULNERABILITY ASSESSMENT SERVICES AGREEMENT


Luogo, data

Autorizzazione all'esecuzione di
Servizi di Vulnerability Assessment

PREMESSO CHE

La "Societa committente" (indirizzo), nel seguito più brevemente 
denominata
"CLIENTE", ha incaricato con riferimento al contratto
n. XXXXXXXXXXX la "Società esecutrice" con sede in (indirizzo), nel 
seguito
denominata più brevemente "XXXXXX" di eseguire
attività di Vulnerability Assessment.

TUTTO CIO PREMESSO, SI CONVIENE QUANTO SEGUE:

In riferimento al contratto n. XXXXXXXXXXX, al fine di poter verificare 
in
concreto la sicurezza dei propri sistemi informatici,
il CLIENTE ritiene opportuno sottoporre i propri sistemi hardware e
software a una verifica dei livelli di sicurezza informatica,
con l'obiettivo di individuare eventuali vulnerabilità sfruttabili da 
terzi
per ottenere accessi non autorizzati ai servizi e ai
sistemi in esame.
Tali operazioni di verifica di eventuali vulnerabilità, denominate
Vulnerability Assessment, verranno effettuate da esperti della
"Società esecutrice" .
*****************************************
(ho tolto la distinzione tra automatico e manuale dato che ditte 
differenti usano queste due modalità in percentuali anche profondamente 
diverse)
*****************************************
Sarà quindi effettuata una
serie di "attacchi informatici" che simulino nella forma più
realistica possibile un'ampia casistica degli attacchi, delle 
incursioni e
delle modalità di violazione di sistemi informatici più avanzati.
Tali attività, qualora non espressamente autorizzate dai titolari dei
sistemi informatici ai quali detti attacchi vengono effettuati,
possono essere illecite, soprattutto nell'ipotesi in cui sortiscano
l'effetto di violare delle barriere informatiche.
Il CLIENTE conferma alla "Società esecutrice" il proprio integrale e
incondizionato assenso a che tali attività vengano effettuate dalla
"Società esecutrice" sulle parti del proprio sistema informatico i cui
dettagli saranno successivamente indicati per iscritto
(IP address, nome host, URL,?), e delle quali il CLIENTE garantisce di
essere l'unico titolare e di disporre integralmente di tutti i
diritti necessari, indipendentemente dal fatto che i computers, gli
apparati di rete, le connessioni, i programmi e quant'altro siano
fisicamente presso il CLIENTE, in hosting presso terzi, siano di 
proprietà
del CLIENTE, ovvero in leasing, ovvero in licenza d'uso.
"Società esecutrice" assicura il massimo impegno affinché il test di
vulnerabilità non procuri nessun disservizio di sorta,
ma altresì avverte che, nonostante la diligenza assicurata, potrebbero
verificarsi equalmente interruzioni o malfunzionamenti dei servizi
erogati dei server oggetto del test. "Società esecutrice" consiglia,
pertanto, al CLIENTE di dotarsi di un piano di recovery e di fornire
supporto on site durante l'esecuzione del test.
Il CLIENTE garantisce altresì il proprio pieno e irrevocabile impegno a
mantenere la "Società esecutrice" integralmente manlevata e
indenne nella denegata ipotesi in cui, per causa o in conseguenza delle
attività sopra descritte che la "Società esecutrice" andrà
a espletare per conto del CLIENTE, la "Società esecutrice" dovesse 
essere
chiamata da parte di terzi a rispondere di attività
asseritamente illecite, non consentite, non autorizzate, o dannose.
"Società esecutrice" si impegna a mantenere il più assoluto riserbo a
trattare in maniera assolutamente confidenziale, impegnandosi
a non divulgare a terzi in alcun modo, tutte le informazioni di cui 
possa
venire a conoscenza nell'ambito delle attività espletate
in esecuzione del mandato conferito.

**************************************
Il CLIENTE fornirà inoltre piena autorizzazione ai membri della 
"Società esecutrice" di presentarsi presso la propria sede centrale e/o 
eventuali sedi periferiche senza  identificarsi esplicitamente come 
tali. Inoltre autorizza gli stessi a richiedere, tramite fax, telefono, 
e-mail o altro mezzo di comunicazione, informazioni riservate ai 
dipendenti del CLIENTE. I test di cui sopra si rendono necessari al 
fine di testare il grado di "security awarness" all'interno 
dell'azienda del cliente e di verificare il comportamento del personale 
di fronte a situazioni impreviste.
************************************** (questo per verificare i 
controlli all'entrata e per poter effettuare attacchi via social 
engineering)


Il test si svolgerà "data"

Per il CLIENTE
        Data:                Timbro e Firma:
______________________



Per "Società esecutrice"
        Data:                Timbro e Firma:
______________________




############################
   Andrea "Pila" Ghirardini
############################
CEO Pila's Security Services
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.7 (Darwin)

iEYEARECAAYFAj6ZFSQACgkQ99/KQPj2cROmxgCgmvjyHqbkjiTpM3IuviOBwGJj
rTsAoI8zrWRhT2gO0Q1X/VXpW4ZlUSer
=VPPh
-----END PGP SIGNATURE-----


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List