[Linuxtrent] Re: bucare... senza trapano...
- From: Andrea Ghirardini <andrea@xxxxxxxxxxxxxxxx>
- To: linuxtrent@xxxxxxxxxxxxx
- Date: Sat, 17 Jan 2004 16:49:25 +0100
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
No, a parte gli scherzi le cose stanno cosi:
In azienda un collega mi ha detto che una volta sono riusciti ad
entrare da un primo firewall (proprio un russo!), ma non sono riusciti
ad andare oltre. Il russo ha salutato (molto educato) e morta li. Se
ne parlava oggi e tra una chiacchera e l'altra e' venuto fuori il
discorso sicurezza. Allora il collega (che, beninteso lavora al CED),
sapendo che a casa uso esclusivamente linux, mi ha chiesto se potevo
provare (a scopo esclusivo di test!) a superare le difese dell'azienda
stessa, per vedere se ci fossero falle nel sistema. Tutto qui.
Rispondo solo ora visto che ho avuto alcuni giorni di fuoco. IMHO la
questione è totalmente sbagliata. Un pen test non è un giochino alla
"War Games". Serve metodo, strumenti, controllo, know-how e una
metodologia. In caso contrario il test non prova nulla, se non che la
classica "mezza calzetta" di lamer non saprebbe entrare. E questo non è
un pen test.
Se vuoi capire la differenza ti consiglio di leggerti la metodologia di
controllo open source OSSTMM. Forse ti sarà chiara la questione.
Per il tuo collega del CED posso solo dire una cosa: buoni i propositi
ma cattiva la realizzazione. La sicurezza dell'azienda non è cosa da
affidare ad una prova casuale.
Saluti
+-----------------------------------------------------------------------
- -------------+
Andrea Ghirardini, CISSP
Computer Forensics & IT Security Specialist
Founder & CEO Pila's Security Services , CLUSIT Member
Phone: +39 392 1101101 Mail: pila@xxxxxxxxxxxxxxxx
PGP Key ID F7DFCA40F8F67113 http://www.pilasecurity.com
+-----------------------------------------------------------------------
- -------------+
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.3 (Darwin)
iEYEARECAAYFAkAJWYYACgkQ99/KQPj2cRNsFACeP6jDE15+mBiOj/Yvo4KyiUr2
1egAn2UJ2aceRm8O8+OtN4xxEb1Z0L5O
=lBX2
-----END PGP SIGNATURE-----
--
Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx
Other related posts: