Temat: Audyt bezpieczeństwa IT
Zbigniew Dorcz:
gdy mialem firme zajmujaca sie bezpieczenstwem teleinf. (teraz jest zawieszona), przeprowadzalem testy wiekszosci firm tu podanych (to byly delikatne testy, na ktore niejest wymagane zezwolenie danej firmy, np. analiza kodow zrodlowych strony itp. ) i szczerze powiedziawszy prawie wszystkie firmy jakie podajecie niby zajmuja sie bezpieczenstwem, ale niemaja zielonego pojecia o tym. jesli ktos uwarza ze maja duze pojecie to niech mi odpowie na pytanie. dlaczego firma ktora zajmuje sie bezpieczenstwem ma stronke ktora jest podatna chociarz by na SQL Injection ? ;) kazdemu mozna rozne rzeczy wmowic ale kodu zrodlowy mowi sam za siebie :)
Ja bym chciał zobaczyć ten SQL Injection. Jak po analizie kodu html doszedł pan do tych wniosków? Może jest pan jak pan Paweł Jabłoński? Potrafi się pan także włamać do komputera niepodłączonego do sieci?
Jak bez analizy opragromowania np. programem OWASP i bez analizy kodu za pomocą np. testów przygotowanych w aplikacjach Jenkins lub Selenium pan stwierdził podatność strony na atak SQL injection?
Czy strona była uruchomiona na serwerze z PHP, dot.net Framework czy apache tomcat? Czasami czytając pseudospecjalistów od bezpieczeństwa czasami się tarzam ze śmiechu po podłodze.
Panie Zbyszku, niech pan nie myli audytu teleinformatycznego z testem penetracyjnym. Audyt ma tylko wykazać lub potwierdzić zgodność z normami. Test penetracyjny służy czemuś innemu. Firmy nie lubią testów penetracyjnych, bo wiedzą że wszystko jest do luftu. Lubią jednak audyty, bo mogą się poprawić zdobytymi normami. Tak sytuacja wygląda w Polsce, na zadupiu informatycznym.
Ale i tak między audytem a testem jest ogromna różnica. Jeśli chodzi o audyt polecam specjalistów z Polskiego Towarzystwa Informatycznego. Naprawdę nie boją się być szczerzy. Mogą stwierdzić że jest pan gotowy na audyt lub odradzić, w przypadku kiedy pan nie jest po prostu jeszcze na to gotowy. Z kim się kontaktować etcetc, szczegóły na priw.
Adrian Stolarski edytował(a) ten post dnia 18.04.12 o godzinie 13:36