помнится еще совсем недавно евтеев с пеной у рта утверждал, что доступ к данным - прямая необходимость петеста ))) http://devteev.blogspot.com/2009/10/blog-post.html
И он абсолютно прав. Более того, когда речь идет о конфиденциальной информации и даже гос.тайне, все достаточно прозрачно. В случае же с банковской тайной и персональными данными все несколько муторно. Опять таки - как искать незашированные PAN? :)
Если уважаемый аноним прочитает презентацию, то он поймет, что смайлик после "не работать с данными" означает скорее сарказм, и относится к тому, что работать с данными можно, формально не работая с ними.
То, что Диму немного занесло в указываемом сообщении, вполне понятно. Он ведь подходил с позиций здравого смысла, а он не всегда совпадает с буквой закона. (смайлег)
Видимо анонимус не внимательно читал опубликованный мною пост на тему законности действий при проведении тестирований на проникновение. Приведу выдержку из поста: "При проведении тестирования на проникновение действия пентестера направлены в сторону эксплуатации максимально возможного количествам уязвимостей и при этом возможно наступление события, при котором пентестер неосознанно (случайно, непреднамеренно) получит доступ к информации разного уровня конфиденциальности. С другой стороны, получение НСД к конкретной информации может быть одной из задач проведения тестирования на проникновение (кроме случая с банковской тайной)." То есть, такая задача может присутствовать, а может и не присутствовать (желание Заказчика). Нюанс возникает при проведении тестирования на проникновение по PCI DSS. Тут действия пентестера направлены на то, чтобы после тестирования, ИС была приведена в соответствие с требованиями стандарта по защите пластиковых карт. При проведении подобных работ, одна из задач пентестера - это убедиться, что у него нет возможности получить доступ к данным держателей карт.
Уважаемый анонимус способен привести пример, где я "с пеной у рта утверждал, что доступ к данным - прямая необходимость петеста"?
8 комментариев:
Коротко и по делу. Теперь я все понял :-)
О, посмотрим :)
Лучше бы конечно статью...
Понравилось. Особенно
"Обходить опасные места
•Не работать с данными"
:)
помнится еще совсем недавно евтеев с пеной у рта утверждал, что доступ к данным - прямая необходимость петеста )))
http://devteev.blogspot.com/2009/10/blog-post.html
>евтеев с пеной у рта утверждал
И он абсолютно прав. Более того, когда речь идет о конфиденциальной информации и даже гос.тайне, все достаточно прозрачно. В случае же с банковской тайной и персональными данными все несколько муторно. Опять таки - как искать незашированные PAN? :)
Если уважаемый аноним прочитает презентацию, то он поймет, что смайлик после "не работать с данными" означает скорее сарказм, и относится к тому, что работать с данными можно, формально не работая с ними.
То, что Диму немного занесло в указываемом сообщении, вполне понятно. Он ведь подходил с позиций здравого смысла, а он не всегда совпадает с буквой закона. (смайлег)
Видимо анонимус не внимательно читал опубликованный мною пост на тему законности действий при проведении тестирований на проникновение. Приведу выдержку из поста:
"При проведении тестирования на проникновение действия пентестера направлены в сторону эксплуатации максимально возможного количествам уязвимостей и при этом возможно наступление события, при котором пентестер неосознанно (случайно, непреднамеренно) получит доступ к информации разного уровня конфиденциальности. С другой стороны, получение НСД к конкретной информации может быть одной из задач проведения тестирования на проникновение (кроме случая с банковской тайной)."
То есть, такая задача может присутствовать, а может и не присутствовать (желание Заказчика). Нюанс возникает при проведении тестирования на проникновение по PCI DSS. Тут действия пентестера направлены на то, чтобы после тестирования, ИС была приведена в соответствие с требованиями стандарта по защите пластиковых карт. При проведении подобных работ, одна из задач пентестера - это убедиться, что у него нет возможности получить доступ к данным держателей карт.
Уважаемый анонимус способен привести пример, где я "с пеной у рта утверждал, что доступ к данным - прямая необходимость петеста"?
"одна из задач пентестера - это убедиться, что у него нет возможности получить доступ к данным держателей карт."
Cапожник должен латать сапоги.
А пси пентестами должен заниматься тот, кто в этом хотя бы чутка понимает ;).
Учите матчасть, эксперты :)
то есть, конкретизировать нечем?
ЗЫ: Хоть бы имя/компанию назвали, где работают мега крутые пентестеры по писиай...
Отправить комментарий