Franchise & kæder - Få hjælp her

Godt sikkerhedstilbud specielt til aminoer

Michael Mortensen — Thu, 26 Apr 2007 12:00:00 GMT

Vi laver lige en tilføjelse - I dag er så min fødselsdag og af denne grund bliver prisen i dag ikke bare 5000 DKK eksl. moms - men 4000 DKK eksl. moms, for dem der når at bestille ved mig inden midnat i aften. Bestillinger skal foregå her på amino ved at skrive til mig :-)

Godt sikkerhedstilbud specielt til aminoer

Michael Mortensen — Mon, 23 Apr 2007 11:55:00 GMT

Dato: 23-04-2007 13:30:05
Forfatter: mcsolutions
Penetrationstest er, sorry to say, ikke seriøse at bruge til at lukke sikkerhedshuller på den måde du beskriver. Du fanger jo kun dem som du lige er ''heldig'' at fange med dit analyse værktøj og din cracker, så du er egentlig begrænset til de sikkerhedshuller som din cracker eller dit tool kender/kan regne ud. Du burde tilbyde code audits istedet her kan du love kunden at hver linie kode er gået igennem, og der har kunden også en mere håndgribelig målestok.

Ækvivalenten svarer lidt til at du hamrer løs på en hoveddør hvorved du ødelægger døren, sætter en ny og bedre dør i og konkludere at nu er det sikkert, uden at tænke over at da du ødelagde den første dør smadrede du faktisk karmen.

Eller udem måske at opdage at vinduerne på den anden side af huset var pilrådne...eller....eller...eller...Penetrations tests er simpelthen for sporadiske, de kan bruges til PR Stunts o.l. Men til seriøs anvendelse er det meget mere brugbart at lave en systematisk audit af hele systemet, desuden er der også mange pen-testers som hamrer løs på et system til de finder et lille hul som de udnytter , skriver en rapport om og inkasserer deres hyre for det.

Har et eksempel på en som fandt to huller og rapporterede det ene og ''gemte'' det andet til næste gang han skulle auditere den samme virksomhed.

Jeg har 7 års erfaring med Sikkerhed hvoraf de første 3 af dem med First Hand pen-tests, så opgav jeg det til  fordel for noget mere seriøst (da jeg var 20) og ja code audits er meget sværere at sælge og gennemføre, men har en applikation først været code audited så er du så tæt på 100% sikkerhed som du overhovedet kan komme, såfremt altså at de funde fejl bliver rettet og re-auditeret.

By the way tillykke med fødselsdagen :)

Jeg kan erklære mig delvist enig i det du siger. Det er ikke korrekt, at penetrationstest ikke kan bruges til at lukke sikkerhedshuller på den måde som jeg beskriver - men det er korrekt at en komplet code audit selvfølgelig er bedre. Ved en code audit (som vi rent faktisk også tilbyder) kan man opnå tæt på 100% sikkerhed, som du selv siger, men ofte er det komplet unødvendigt og ærlig talt mener vi at code audits tilbudt til alle kun er forsøg på at få flere penge ud af kunder end de har brug for at give. Det er så absolut de færreste kunder der har brug for en code audit - da langt hovedparten af alle IT-kriminelle ikke gider bruge 200 timer på at forsøge sig frem i en al evighed til måske at kunne finde den 0,5-1% sikkerhedshuller der måske ikke er blevet fundet. Desuden vil sådanne eventuelle huller ofte slet ikke være skadelige for systemet.
Så ja code audit er bedre end penetrationstest - helt korrekt. Men ofte komplet unødvendigt. De fleste systemer er ikke så komplicerede at en code audit er nødvendig for at fange alle huller - desuden omfatter den ydelse vi beskriver jo også at koden analyseres - ikke så grundigt som en reel code audit hvor hver linje studeres indgående, men stadig til et sådant niveau at langt de fleste ikke behøver mere.
Applikationer hvor man kan tale om, at en reel code audit er en god ide er selvlavede forums, selvlavede CMS-systemer, applikationer fra store virksomheder (da angribere ofte vil prøve mere ved de store virksomheder) o.lign. Normale virksomhedswebsider, web applikationer o.lign. har ikke brug for en komplet code audit - det er simpelthen bare overkill, som jo vel og mærke ofte også går op i ca. 10x prisen.

Godt sikkerhedstilbud specielt til aminoer

Mikkel Mikjær Christensen — Mon, 23 Apr 2007 11:30:00 GMT

Penetrationstest er, sorry to say, ikke seriøse at bruge til at lukke sikkerhedshuller på den måde du beskriver. Du fanger jo kun dem som du lige er "heldig" at fange med dit analyse værktøj og din cracker, så du er egentlig begrænset til de sikkerhedshuller som din cracker eller dit tool kender/kan regne ud. Du burde tilbyde code audits istedet her kan du love kunden at hver linie kode er gået igennem, og der har kunden også en mere håndgribelig målestok.

Ækvivalenten svarer lidt til at du hamrer løs på en hoveddør hvorved du ødelægger døren, sætter en ny og bedre dør i og konkludere at nu er det sikkert, uden at tænke over at da du ødelagde den første dør smadrede du faktisk karmen.

Eller udem måske at opdage at vinduerne på den anden side af huset var pilrådne...eller....eller...eller...Penetrations tests er simpelthen for sporadiske, de kan bruges til PR Stunts o.l. Men til seriøs anvendelse er det meget mere brugbart at lave en systematisk audit af hele systemet, desuden er der også mange pen-testers som hamrer løs på et system til de finder et lille hul som de udnytter , skriver en rapport om og inkasserer deres hyre for det.

Har et eksempel på en som fandt to huller og rapporterede det ene og "gemte" det andet til næste gang han skulle auditere den samme virksomhed.

Jeg har 7 års erfaring med Sikkerhed hvoraf de første 3 af dem med First Hand pen-tests, så opgav jeg det til fordel for noget mere seriøst (da jeg var 20) og ja code audits er meget sværere at sælge og gennemføre, men har en applikation først været code audited så er du så tæt på 100% sikkerhed som du overhovedet kan komme, såfremt altså at de funde fejl bliver rettet og re-auditeret.

By the way tillykke med fødselsdagen :)

Godt sikkerhedstilbud specielt til aminoer

Michael Mortensen — Mon, 23 Apr 2007 11:01:00 GMT

Dato: 23-04-2007 12:30:55
Forfatter: pbtryk.dk
Hej Michael,

jeg har ikke umiddelbart selv noget akut ønske om en sådan service, men syntes nu alligevel at du fortjener en tilbagemelding for dit indlæg:

Jeg synes at dit tilbud virker yderst kompetent og er skrevet på en meget flot og professionel måde. Så hvis jeg står og mangler sikkerhedstjek - og min egen sikkerhedsekspert ikke lige er til at fange, så står du øverst på min liste :-)

Vh
Peter

Hej Peter,

Jeg takker for de venlige ord og er da glad for vi står øverst på din liste Du siger bare til hvis du engang skal bruge vores assistance.

Held og lykke.

Mvh.
Michael Mortensen

Godt sikkerhedstilbud specielt til aminoer

pbtryk.dk — Mon, 23 Apr 2007 10:31:00 GMT

Hej Michael,

jeg har ikke umiddelbart selv noget akut ønske om en sådan service, men syntes nu alligevel at du fortjener en tilbagemelding for dit indlæg:

Jeg synes at dit tilbud virker yderst kompetent og er skrevet på en meget flot og professionel måde. Så hvis jeg står og mangler sikkerhedstjek - og min egen sikkerhedsekspert ikke lige er til at fange, så står du øverst på min liste :-)

Vh
Peter

Godt sikkerhedstilbud specielt til aminoer

Michael Mortensen — Mon, 23 Apr 2007 06:55:00 GMT

Goddag alle,

I anledning af min fødselsdag her d. 26/4 har vi besluttet at lave et specielt tilbud til alle aminoer. Normalvis koster vores Zepcom Secure ydelse 7000-30000 DKK eksl. moms, afhængig af det pågældende system. Men indtil på mandag kan alle aminoer bestille vores Zepcom Secure ydelse for kun 5000 DKK eksl. moms, uafhængig af kompleksiteten af systemet - altså kan du spare op til omkring 25000 DKK eksl. moms.

Men hvad er Zepcom Secure så?

Zepcom Secure er en fællesbetegnelse for vores sikkerhedsanalyse produkter. En sikkerhedsanalyse hos Zepcom går basalt set ud på 2 ting - En analyse og en sikring! Det vi gør er at vi simulerer et angreb på en kopi af jeres webside, system eller applikation og ud fra dette lukker vi ethvert sikkerhedshul vi måtte finde. Hvis vi deler det lidt mere op ser en typisk Zepcom Secure ydelse således ud:

Analyse:

Indsamling af nødvendige informationer/adgange (dette kan være kildekode, databasestruktur kopier, administrativ adgang til et system osv. - det afhænger meget af opgaven)

For-analysen (Vores for-analyser udføres vha. Spi Dynamics Webinspect, som er et af verdens bedste værktøjer til formålet. Hvor mange IT-sikkerhedsvirksomheder nøjes med denne analyse stoler vi dog ikke på det er nok i sig selv - hvorfor vi også har endnu et analyseled)

Manuel-analyse (Vores manuelle analyse udføres ved, at en Zepcom repræsentant laver et komplet simuleret angreb, hvor han forsøger alle de muligheder der kunne være for at udnytte siden - på denne måde får vi fundet så mange sikkerhedshuller som overhovedet muligt)

Sikring:

Backup (Når hele analysen er færdig laves der en ekstra backup eventuel kildekode og databasestruktur. )

Sikring (Herefter begynder vi at lukke de sikkerhedshuller vi fandt igennem analysen ved selv at lave ændringerne direkte i kildekoden)

Test (Sidst, men ikke mindst testes hele vores kopi af systemet så vi ved det fungerer som det skal)

Levering

Hvad får jeg så ud af en sådan ydelse?

Statistisk set er IT-kriminalitet steget med over 2200% siden 1998 og bliver kun ved med at stige ser det ud til. Det er derfor meget vigtigt at sikre sig, at ens systemer ikke bliver udnyttet af IT-kriminelle, da en sådan situation ofte kan være meget dyr for virksomheden. Lad os forestille os VirksomhedA har 2