Re: Inutilita' Penetration Test

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Luglio 2001 ml@sikurezza.org
Soggetto: Re: Inutilita' Penetration Test
Mittente: Kalug3n
Data: 30 Jul 2001 11:34:27 -0000

On Friday 27 July 2001 12:30, you wrote:
>  --- "Fabio Pietrosanti (naif)" <naif@sikurezza.org>
> ha scritto: > On Fri, Jul 27, 2001 at 12:12:30AM +
>
> > Il problema di base, secondo me, e' che il 90% dei
> > penetration test, vengono visti dai
> > clienti, e proposti dai commerciali, come se fossero
> > una effettiva valutazione
> > del livello di sicurezza "informatica" dell'azienda.
> > Ma questo non lo e', penso che ne siamo tutti
> > daccordo, e sarebbe anche ora di
> > fare invertire questo trend, spiegare cosa offre il
> > report di un penetration
> > test con tutte le sue limitazioni.. o no?
>

Vorrei inserirmi nel discorso portando la mia personale esperienza:

un'importante azienda del settore telecomunicazioni aveva commissionato a dei 
consulenti li pen-test di un paio di DMZ che hanno in gestione per conto di 
alcuni loro grossi clienti. Io ero stato richiesto in qualita' di "esperto" 
per "supervisionare" le attivita' che questi consulenti avrebbero svolto. Per 
riassumere, ho assistito a numerose riunioni tra commerciali, nelle quali ho 
sentito una quantita' di bestialate da entrambe le parti, dopodiche' si e' 
cominciato a passare al vaglio le macchine in questione con un paio (unica 
"concessione" che mi e' stata fatta e' stato affiancare i tools commerciali 
con Nessus) di vulnerability scanner: risultato, dopo diversi mesi di 
attivita' si sono avuti un sacco di report carini che dicono semplicemente 
cose che gia' sapevo prima di cominciare: mi e' bastato un portscan per 
capire come le macchine fossero state installate e amministrate (per la 
maggior parte si tratta di RH linux e solaris). Nonstante i miei rapporti, le 
mie proteste e tutto il resto, la cosa e' stata digerita dall'azienda come un 
penetration test serio e sufficiente ad avere le informazioni per 
"correggere" quel che non andava (tutto)...
Non parliamo poi delle proposte per fixare il tutto avanzate dai famosi 
consulenti, che prevedono l'installazione su tutti gli host di una loro 
distro di linux (nient'altro che una RH con qualche RPM in meno); fra l'altro 
si tratta di una mia proposta, nata da un'analisi sulle strategie da adottare 
e dalla quale si concludeva che la miglior soluzione sarebbe stata installare 
su tutte le macchine un unico, ipotetico, sistema gia' sicuro 
"out-of-the-shelf" e facilmente gestibile...  (per certe situazioni suggerivo 
OpenBSD)

Ovviamente, un "pen-test" svolto in questo modo, oltre a rilevare situazioni 
gia' ovvie, non evidenzia un sacco di cose (legate magari alle policy dei 
firewall, alle vulnerabilita' locali,  alla presenza di RAS mal configurati, 
alle password di default o ancora a sistemi di autenticazione basati su 
crittografia debole etc. etc. etc.) ed e' raccapricciante vedere come il 
tutto sia in mano a dei commerciali che conoscono bene un sacco di sigle e 
termini, sentiti magari a qualche convention, ma non capiscono realmente un 
c@220 di sicurezza, sia dal lato cliente sia dal lato fornitore (il bello e' 
che vogliono aver ragione loro a tutti i costi). 

P.S. Mi domando a che cosa gli saro' servito.  ?-(

Kalugen,
un povero cristo che cerca di campare come security consultant.

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Data:
- precedente: Re: NAT vs. Socks, round 2 (was: esiste un proxy UDP decente per linux?), Fabio Pietrosanti (naif)
- successivo: R: Webserver stresssss, Caris Ruben
- indice

Argomento:
- precedente: Re: Inutilita' Penetration Test, Francesco Trentini
- successivo: elenco di siti sicurezza(solo privatamente), danzo@xxxxxxxx
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005