[Outofthebox] Mind Proxying?

Federico Lombardo ego at olografix.org
Thu Dec 14 12:29:06 CET 2006 

Ciao Boffa :-)

> A questo punto mi sento assalire da una certa sensazione di fastidio.
> Non so quale sia il motivo di questo mio astio ma mi succede sempre
> ogni volta che vedo prodotti che fanno tutto in maniera automatizzata e
> che innescano in taluni personaggi la sensazione che saperne di
> security sia questione di acrobazie di mouse e che "con Core Impact si
> buca tutto" (cit.).

Interessante riflessione che, a mio avviso, altro non è che l'ennesima
constatazione che la cultura aziendale della sicurezza informatica è
ancora ai primordi e che i manager che ricoprono quelle posizioni
necessitano di un cosiddetto "ricambio generazionale".

Purtroppo, non mi trovo d'accordo con te sulla sensazione di fastidio, pur
dandoti ragione sulla questione... mettila così... "etica e culturale"
dell'abbandonarsi a questi tool automatizzati.

Il problema non è di coreimpact che, dal canto suo, sfrutta semplicemente
l'ignoranza del mercato; il problema è nel manager che deve ordinare un
pentest/assessment di sicurezza e che, essendo quasi totalmente ignorante
riguardo "cosa faccia efficiente un pentest" si abbandona a questi tool,
sia in insourcing che in outsoucing.

La mia riflessione, tuttavia è la seguente:

Se coreimpact, con questo suo tool, può darmi una sensazione, abbastanza
affidabile, di quella che è l'esposizione dei miei servizi/asset o meglio,
il livello di rischio informatico da fronteggiare, allora io dico "lunga
vita a questo prodotto".

Se, invece, è un qualcosa che fa "sicurezza psicologica", allora va
considerato per quello che è, serve solo a creare "awareness" e a portare
i report al superiore per giustificare gli investimenti.

Ormai il vero paradigma è questo, che ci siano manager "preparati" a fare
sicurezza informatica, il che è quanto di più lontano sia dal
"tecnico/esperto", sia chiaro.

Purtroppo, devi anche vedere perchà un'azienda fa un pentest e cosa va
cercando. Te lo dico io, 9 su 10 lo fanno non per vedere le vulnerabilità
etc. ma semplicemente o per dire "l'ho fatto" al management o, più
semplicemente, per prendere/mantenere le varie certificazioni da rivendere
al mercato.


> Perche' adesso dovrei considerare "pentester" una persona
> che usa Core Impact e che non ha minimamente idea di come funzioni
> un exploit?

Boffa, sinceramente, la cosa che fa schifo non è questa, ma come si fanno
le "gare" o piuttosto gli acquisti in questo campo si chiedono:

+ esperienze con entità di eguale grandezza/complessità
+ fatturato
+ tempo
+ e qualche altro cavillo riguardanti i tool, ma roba di poco conto.

ma non viene richiesto MAI un qualcosa che possa sancire la reale bravura
di chi fa il pentester, anche perchè non esistono certificazioni/lauree
etc. in questo senso.

Non a caso, quando mi capita di far parte del comitato di scelta in questo
campo, faccio lasciare sempre un punteggio libero sulla componente
qualitativa, della serie "per me a volte conta più il nickname che il
fatturato", nonchè chiedo colloqui diretti con chi dovrà effettuare il
pentest per verificarne il background.


Federico

More information about the Outofthebox mailing list