Azi am terminat raportul pentru un audit de securitate la ceea ce eu denumesc „aplicatie singulara” . Prin aplicatie singulara inteleg acea aplicatie exotica, pe care nu o intilnesti decit odata in viata, pe care nu o poti asemana cu nici o alta si la care ai nevoie intotdeauna de cineva cu cunostinte de specialitate pentru a te ajuta in procesul de pentesting.

Din punctul de vedere al unei firme de securitate nu se merita sa te angajezi in asa ceva. Costurile consultantului de specialitate ( partea de bussines ) sint foarte ridicate si apoi experinta pe care o cistigi nu o poti folosi si la auditul unei alte aplicatii. Pe linga asta, timpul investit de pentester pentru asimilarea noilor tehnologii este mare.

Noua ne-a luat o saptamina sa construim un simplu statement SQL nu pentru o baza de date relationala ci pentru o „multi value database” din cauza lipsei de decumentatie, a lipsei de cooperare a firmei producatoare, si de a lipsei de experienta in domeniu. Pe linga barierele tehnologice existe si cele „politice” sau „sociologice”. Nu intotdeauna clientul este foarte incredintat ca un audit de securitate este facut de fapt ca sa ii dea o imagine clara a riscului pe care il impune din punct de vedere a securitatii exploatarea aplicatie. Managementul riscurilor pare sa fie o carenta la orice nivel si in orice cultura. Pentru pentester ca individ este o experinta in care trebuie sa isi foloseasca toata fantezia si puterea creativa. El trebuie sa defineasca noi suprafete de atac si totodata sa gaseasca metodele corespunzatoare pentru a le exploata .

Intrebarea se pune, daca se merita din punctul de vedere al unei firme de securitate, sa se implice in asa ceva, tinind cont de costurile ridicate legate de procesul de pentesting, si la gradul de reusabilitate a informatie si experientei cistigare ? Poate o firma de securitate sa traiasca numai din contracte de genul asta? Se renteaza din punct de vedere economic, pentru ca din punct de vedere profesional este o experienta unica ?

Anunțuri