Re: Inutilita' Penetration Test

>Date: Thu, 26 Jul 2001 14:33:27 +0200
>From: "Fabio Pietrosanti (naif)" <naif@sikurezza.org>
>To: ml@sikurezza.org
>Subject: Inutilita' Penetration Test
>Mime-Version: 1.0
>Content-Type: text/plain; charset=us-ascii

>Questa e' una piccola considerazione che mi sono ritrovato a fare
ultimamente
>riguardo all'utilita' di un "penetration test" dopo aver letto un'articolo
su
>security focus "Tools Make hacker obsolete", ma a cui pensavo gia' da un
po'.

>Oramai nel mercato italiano si affacciano numerose piccole societa' di
>sicurezza, alcune valide, alcune no, alcune che hanno all'interno
'smanettoni' altre
>i soliti supercertificati ISS/CheckPoint e derivati, ma comunque tutte
attratte dal
>mercato della security che offre un numero di potenziali clienti vastissimo
da cui si traggono
>grossi guadagni rispetto agli investimenti ( e parlo non solo dei servizi,
ma
>anche dei prodotti ) .

>Il focus che volevo fare, e su cui mi piacerebbe sentire altri pareri, e'
>sull'utilita' dei Penetration Test.

>Questo servizio oramai lo offrono tutti, chi professionalmente e chi no
 parlo di
>chi usa semplici strumenti automatizzati e personalizzano giusto il report
>banfando di vendere attacchi fatti da super hacker), ma quanto il
penetration
>test e' utile?

>Certo e' vero che puo' essere fatto in remoto senza muovere le risorse
interne
>della societa' che prende il lavoro, certo puo' essere divertente e
stimolare la
>fantasia di chi lo effettua che puo' trovare nuove vulnerabilita' in vari
>software, nonche' affinare le proprie tecniche di attacco, ma dati gli
>elevatissimi costi ( diciamo da 5 a 70mln ? ), mi chiedo:

>Che senso ha fare un penetration test alla cieca, quando con quella cifra
e'
>possibile mandare una persona nell'azienda che fa' una "analisi delle
vulnerabilita'"
>lavorando a contatto con i system/network manager, valutando in modo
"COMPLETO"
>lo stato di sicurezza dell'infrastruttura avendo a disposizione TUTTE le
>informazioni necessarie sulla rete da analizzare?

>Non c'e' da discutere sul fatto che una analisi effettuata dall'interno,
>avendo a disposizione configurazioni, accesso ai sistemi e supporto dei
>responsabili dia risultati migliori di un Pen-test, che puo' spesso mancare
>alcuni dettagli, e che puo' non verificare alcune vulnerabilita', magari
solo
>perche' sono nascoste o mascherate ( security trought obscurity ) .

>Allora, perche' si continuano a vendere i penetration test visti i suoi
costi?
>Solo per il fascino che ha la "sfida" di chi considera la propria rete
sicura e vuole
>vedere se qualcuno da fuori riesce a violarla?
>Solo per il consiglio di amministrazione che vuole vedere se i responsabili
>dei sistemi informativi hanno lavorato bene sul fronte della security?

>Non lo so'...

Anzitutto chiedo scusa per il quoting ma era necessario che lo riportassi
tutto

<< DISCLAIMER I WORK IN PEN-TEST>>

Ciao naif,
Dato che lavoro nei pen-test volevo dare il mio parere,
in effetti sul mercato italiano ci sono moltissime società che cominciano a
offrire questo tipo di servizio, io personalmente ne conosco molte e ho
notato che pochissime riescono a offrire un servizio totalmente "modus
operandi Hacker".
Questo è dovuto a molti fattori, prima di tutto per eseguire un penetration
test, ci sono ragazzi capaci di cercarsi su i vari security focus e
rootshell i possibili exploit, però se cominci a parlare di IP spoofing,
hijacking o di crearsi un exploit da una vulnerabilità cadono dalle nuvole.
Questo genere di società in Italia sono circa l'80% (non la mia... :-))))
Comunque visto che i potenziali clienti sono moltissimi e da fuori non si
riesce a notare la differenza tra (passami il termine!!!) società capaci di
offrire veramente il servizio e altre che banfano dando report e alimentando
sospetti senza nessuna prova di attacco.

Io personalmente ho attuato una politica "buca paga.." (bella vero :-))))
ovvero, io ti dimostro che la tua rete e violabile e tu mi paghi il
servizio, non riesco a dimostrarlo... non mi paghi.
E ti assicuro che ora come ora il 90% delle aziende paga.

Altro argomento che hai affrontato è quello lato cliente, cioè quanto
conviene a una società pagare uno specialista pen-test piuttosto che
aumentare i sistemi di sicurezza:
Io ho notato che coloro che ci offrono le commesse sono, oltre che i
"proprietari" dei dati, anche coloro che li gestiscono ( i cosidetti
security manager ).
Questo è dovuto al fatto che anche loro vogliono essere sicuri che i loro
sistemi siano sicuri dopo le loro possibili implementazioni.
Se mi consenti volevo farti un paragone con i crash test delle auto:
Cos'è che aumenta la sicurezza di un'auto? il fatto che abbia 10 airbag,
pretensionatore, barre laterali... naturalmente...
Però se questi airbag non si aprono o si aprono durante guidi, oppure il
pretensionatore scoppia in un momento in cui non deve...
Ecco che è molto valido il crash test, in questa maniera "testi la sicurezza
dell'auto".

Questo è ancora più valido nel mondo dell'informatica dato che le variabili
cambiano in maniera quasi continua e non puoi avere mai la sicurezza totale
ma la ragionevole certezza di essere in sicurezza. Inoltre un pen-test non
finisce solo con la dimostrazione di essere "entrati", ma successivamente si
discute con i sistemisti le possibili soluzioni valutando tutta la rete. Il
pen-test quindi è solo una parte del servizio di sicurezza che poi viene
implementato totalemente con le policy, ecc..
Be questo è quello che posso dirti

Bye hopes


"It's not enough to have a good mind; the main thing is to use it well"



________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List