https://archive.mroczna-zaloga.org/ Paweł Goleń, blog - Zrzędzenie starego zgreda pl Serendipity - http://www.s9y.org/ Sat, 15 Mar 2025 22:15:16 GMT https://archive.mroczna-zaloga.org/templates/bulletproof/img/s9y_banner_small.png https://archive.mroczna-zaloga.org/ 100 21 https://archive.mroczna-zaloga.org/archives/645-czy-potrzebujesz-wlasnie-testow-penetracyjnych.html#c1215 https://archive.mroczna-zaloga.org/archives/645-czy-potrzebujesz-wlasnie-testow-penetracyjnych.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=645 nospam@example.com (wampir) Cóż, mogę się zgodzić, że rynek usług w porównaniu do rynku związanego z sprzedażą "wdrożeń mielących powietrze w serwerowni urządzeń" jest zdecydowanie mniejszy. Mniejszy, ale nie tak tragicznie, by trzeba się było łapać każdego potencjalnego zlecenia. Zwłaszcza takich zleceń, na których można więcej stracić, niż zyskać (nie chodzi mi tu wyłącznie o wymierne straty finansowe). Mon, 13 Jul 2009 13:41:58 +0200 https://archive.mroczna-zaloga.org/archives/645-guid.html#c1215 https://archive.mroczna-zaloga.org/archives/645-czy-potrzebujesz-wlasnie-testow-penetracyjnych.html#c1214 https://archive.mroczna-zaloga.org/archives/645-czy-potrzebujesz-wlasnie-testow-penetracyjnych.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=645 nospam@example.com (xterm) Z tym przekonywaniem/uświadamianiem - pełna zgoda. A z rynkiem - to pozwolę zacytować sobie fragment jednego z ostatnich wpisów na blogu pentestera... ;) "nadal w naszym kraju rynek związany z usługami security (nie mam tu na myśli sprzedaży i wdrażania pudełek służących do mielenia powietrza w serwerowni) jest niewielki"... Mon, 13 Jul 2009 12:59:12 +0200 https://archive.mroczna-zaloga.org/archives/645-guid.html#c1214 https://archive.mroczna-zaloga.org/archives/645-czy-potrzebujesz-wlasnie-testow-penetracyjnych.html#c1205 https://archive.mroczna-zaloga.org/archives/645-czy-potrzebujesz-wlasnie-testow-penetracyjnych.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=645 nospam@example.com (wampir) Nie każdego da się przekonać/uświadomić i nie każdego warto. Na szczęście rynek mimo wszystko jest dość duży. Fri, 10 Jul 2009 16:32:59 +0200 https://archive.mroczna-zaloga.org/archives/645-guid.html#c1205 https://archive.mroczna-zaloga.org/archives/645-czy-potrzebujesz-wlasnie-testow-penetracyjnych.html#c1204 https://archive.mroczna-zaloga.org/archives/645-czy-potrzebujesz-wlasnie-testow-penetracyjnych.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=645 nospam@example.com (xterm) no jeśli chodzi o przewrotność ;) to jak klient nie wie co i jak to zamówi usługę najtańszą - tj automat. Szczególnie że będzie miał nalepkę "covers all owasp top 10" / "PCI-DSS Compliant" itd). I nawet będzie "sprawdzenie" większej ilości błędów niż manual/półmanual pentest. I w ogóle wszystko będzie po takim audycie/penteście super bezpieczne (patrz info z IBM-a). Często to ma się nijak to rzeczywistego bezpieczeństwa. Ale jak uświadamiać/przekonać klienta? Fri, 10 Jul 2009 11:57:01 +0200 https://archive.mroczna-zaloga.org/archives/645-guid.html#c1204 https://archive.mroczna-zaloga.org/archives/645-czy-potrzebujesz-wlasnie-testow-penetracyjnych.html#c1202 https://archive.mroczna-zaloga.org/archives/645-czy-potrzebujesz-wlasnie-testow-penetracyjnych.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=645 nospam@example.com (wampir) To ja odpowiem przewrotnie - nasz klient, nasz pan. Chce właśnie taką usługę i chce za nią zapłacić? Proszę bardzo, chętnie mu sprzedam. Mój tekst raczej odnosił się do sytuacji, kiedy klient potrzebuje jakiejś sensownej usługi, ale nie bardzo wie co zamówić by osiągnąć to, czego oczekuje. Thu, 09 Jul 2009 16:26:26 +0200 https://archive.mroczna-zaloga.org/archives/645-guid.html#c1202 https://archive.mroczna-zaloga.org/archives/645-czy-potrzebujesz-wlasnie-testow-penetracyjnych.html#c1201 https://archive.mroczna-zaloga.org/archives/645-czy-potrzebujesz-wlasnie-testow-penetracyjnych.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=645 nospam@example.com (xterm) Tak trochę przekornie skomentuje ;-) Zazwyczaj (polski) klient chce jednego: ochrony swoich pleców. I to jest jego priorytet. A wcale nie chce żeby jego system IT był bezpieczny. Raczej chce żeby jego przełożeni myśleli że system IT jest bezpieczny. Zlecił wykonanie "poważnego" zautomatyzowanego testu, dostał mądry raport. Due dilligence działa... PS Ostatnio trafilem na cos takiego: http://www-304.ibm.com/businesscenter/smb/pl/pl/skanowaniesieci Po opisie usługi to raczej nie wnioskowałbym tezy zawartej w tym linku: "W wyniku usługi powstaje pełen obraz stanu bezpieczeństwa styku sieci wewnętrznej z Internetem". Po co to piszę? No bo nawet jak najwięksi mają takie podejście, no to jak ten biedny klient ma się w tym wszystkim połapać ;-) Thu, 09 Jul 2009 14:22:10 +0200 https://archive.mroczna-zaloga.org/archives/645-guid.html#c1201