Re: Inutilita' Penetration Test

Prima di tutto vorrei chiarire alcune cose che secondo me sono fondamentali in questo discorso, ho letto anch'io notizie su questi tools, da quello che vuole creare la Core-SDI (società di sicurezza argentina) a molti altri che già si trovano in rete, anche se molto grezzi per ora. A parere mio questi tools non potranno mai sostiruire la mente umana, in nessun caso. Al computer manca la caratteristica principale del cervello umano, la fantasia, e senza di essa non potra mai sostituire quello che migliaia di anni di evoluzione hanno creato.
Come secondo punto vorrei chiarire che delle molte società di sicurezza informatica che si stanno creando in italia ben poche sono "serie", almeno a mio parere. Con il termine serie intendo una società con competenze adeguate al caso, e purtoppo in molte di esse questo manca. Troppe di queste società mancano delle conoscenze adatte, e questo secondo me porta ad una diffidenza verso il lavoro fatto dalle società di sicurezza.
Premessi queste motivazioni posso esporre il mio parere sui penetration test. L'utilità dei penetration test in se non è molta una verifica interna è sicuramente più utile; ma penso che sia più la voglia da parte dei vertici della società di vedere e sapere se il lavoro svolto sul lato della sicurezza sia efficace. Spesso le società non hanno un settore interno dedicato alla sicurezza, e si basano su ditte esterne, proprio su quelle ditte di cui parlavo prima. Si potrebbe dire una supervisione svolta sull'operato della ditta o del settore dell'azienda che si occupa del fronte della sicurezza. Oltre a questo vedo un'utilità nell'immediato, richiede meno tempo un penetration test che una analisi completa dall'interno, e questo a volte può essere utile. Oltre e queste due argomentazioni non ne ho altre da dire riguardo ai penetration test. 

Raistlinmage

On Thu, 26 Jul 2001 14:33:27 +0200
"Fabio Pietrosanti (naif)" <naif@sikurezza.org> wrote:

> Questa e' una piccola considerazione che mi sono ritrovato a fare ultimamente
> riguardo all'utilita' di un "penetration test" dopo aver letto un'articolo su
> security focus "Tools Make hacker obsolete", ma a cui pensavo gia' da un po'.

> Oramai nel mercato italiano si affacciano numerose piccole societa' di
> sicurezza, alcune valide, alcune no, alcune che hanno all'interno 'smanettoni' altre
> i soliti supercertificati ISS/CheckPoint e derivati, ma comunque tutte attratte dal
> mercato della security che offre un numero di potenziali clienti vastissimo da cui si traggono
> grossi guadagni rispetto agli investimenti ( e parlo non solo dei servizi, ma
> anche dei prodotti ) .

> Il focus che volevo fare, e su cui mi piacerebbe sentire altri pareri, e'
> sull'utilita' dei Penetration Test.

> Questo servizio oramai lo offrono tutti, chi professionalmente e chi no ( parlo di
> chi usa semplici strumenti automatizzati e personalizzano giusto il report
> banfando di vendere attacchi fatti da super hacker), ma quanto il penetration
> test e' utile?

> Certo e' vero che puo' essere fatto in remoto senza muovere le risorse interne
> della societa' che prende il lavoro, certo puo' essere divertente e stimolare la
> fantasia di chi lo effettua che puo' trovare nuove vulnerabilita' in vari
> software, nonche' affinare le proprie tecniche di attacco, ma dati gli
> elevatissimi costi ( diciamo da 5 a 70mln ? ), mi chiedo:

> Che senso ha fare un penetration test alla cieca, quando con quella cifra e'
> possibile mandare una persona nell'azienda che fa' una "analisi delle vulnerabilita'"
> lavorando a contatto con i system/network manager, valutando in modo "COMPLETO"
> lo stato di sicurezza dell'infrastruttura avendo a disposizione TUTTE le
> informazioni necessarie sulla rete da analizzare?

> Non c'e' da discutere sul fatto che una analisi effettuata dall'interno,
> avendo a disposizione configurazioni, accesso ai sistemi e supporto dei
> responsabili dia risultati migliori di un Pen-test, che puo' spesso mancare
> alcuni dettagli, e che puo' non verificare alcune vulnerabilita', magari solo
> perche' sono nascoste o mascherate ( security trought obscurity ) .

> Allora, perche' si continuano a vendere i penetration test visti i suoi costi?
> Solo per il fascino che ha la "sfida" di chi considera la propria rete sicura e vuole
> vedere se qualcuno da fuori riesce a violarla?
> Solo per il consiglio di amministrazione che vuole vedere se i responsabili
> dei sistemi informativi hanno lavorato bene sul fronte della security?

> Non lo so'...


> -- 

> Fabio Pietrosanti ( naif )
> E-mail: naif@sikurezza.org - naif@blackhats.it
> PGP Key (DSS) http://naif.itapac.net/naif.asc



________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List