Cout d'un test d'intrusion

Eric Razny wrote:

Ensuite un test d'intrusion, pour quoi faire?
- Evaluer la résistance aux attaques réseau de type intrusion ou déni de

service,
- Améliorer l'efficacité d'une architecture de sécurité,
- Evaluer l'efficacité des mesures de détection et de réaction,
- Sensibiliser le personnel concerné : administrateur sécurité, réseau
et système, responsable application, etc.
- Entretenir la vigilance des administrateurs et gèrer le niveau de
sécurité

Le test d'intrusion doit permettre de valider les systèmes de
surveillance des administrateurs.

JRD wrote:

Mister <foo@bar.com> wrote:

Bonjour ? tous,

Combien co?te un test d'intrusion par un professionnel de la s?curit?, sur
une machine Linux ?
Merci de vos r?ponses.

Bonjour,
Bonsoir,

Dans les sociétés pour lesquelles j'ai travaillé, les tests
d'intrusion étaient fait à chaque fois par ISS et (quelquefois)
Nessus.
Ces outils doivent être utilisés par les administrateurs ou l'équipe

d'audit interne d'un site dans une logique de vérification.
Les testeurs utilisent leurs propres outils et non pas ceux du marché.
Sinon on ne parle plus de tests d'intrusion mais de test de
vulnérabilités ou d'entretien ou de validation.

Les ingénieurs "sécurité" sont de tous horizons, ce qui laisse parfois
réellement perplexe sur la qualité des tests d'intrusion...
Mais comme les décideurs n'y connaissent rien, tout le monde est content.
C'était qui les sociétés pour lesquelles t'a bossé ? Parce que là tu

m'inquiètes. Il va falloir les reprendre en main celles-là pour leur
expliquer ce qu'est un test d'intrusion, quand, comment et pourquoi on
les pratique.

LaDDL <alamaison-BOUNCE@noos.localhost.fr> wrote:

JRD wrote:

Mister <foo@bar.com> wrote:

Bonjour ? tous,

Combien co?te un test d'intrusion par un professionnel de la s?curit?, sur
une machine Linux ?
Merci de vos r?ponses.

Bonjour,
Bonsoir,

Dans les sociétés pour lesquelles j'ai travaillé, les tests
d'intrusion étaient fait à chaque fois par ISS et (quelquefois)
Nessus.
Ces outils doivent être utilisés par les administrateurs ou l'équipe

d'audit interne d'un site dans une logique de vérification.
Les testeurs utilisent leurs propres outils et non pas ceux du marché.
Sinon on ne parle plus de tests d'intrusion mais de test de
vulnérabilités ou d'entretien ou de validation.

Oui, mais les décideurs qui signent les contrats ne comprennent pas
toutes ces subtilités. Comprennent-ils seulement l'informatique
technique?

Les ingénieurs "sécurité" sont de tous horizons, ce qui laisse parfois
réellement perplexe sur la qualité des tests d'intrusion...
Mais comme les décideurs n'y connaissent rien, tout le monde est content.
C'était qui les sociétés pour lesquelles t'a bossé ? Parce que là tu

m'inquiètes. Il va falloir les reprendre en main celles-là pour leur
expliquer ce qu'est un test d'intrusion, quand, comment et pourquoi on
les pratique.

http://jerome.drapeau.free.fr/pro/cv.html

Dans les deux dernières sociétés pour lesquelles j'ai travaillé
(depuis l'an 2000), je me suis attiré la haine farouche du
"responsable de la mise en oeuvre de la sécurité" pour avoir commencer
à expliquer le comment du pourquoi sans oublier le quand ; mais il
avait des excuses, il ne connaissait même pas un simple tcpdump, il
trouve que CheckPoint sur Windows est plus ergonomique que MWall
(rhabillage par Matra de IPF) sur BSD, etc.

Mon supérieur hiérarchique direct n'avait pas les compétences
techniques pour comprendre *sérieusement* les aspects d'une sécurité
informatique digne de ce nom.

Il y a certain sujet sensible qu'il ne faut pas abordé avec une
hiérarchie incompétente et sourde :
Article 1 - Le chef a raison (même pour la sécurité).
Article 2 - Le chef a *toujours* raison (même pour la sécurité).
...

Pour en revenir au sujet du test d'intrusion sur Linux, elle sert à
quoi cette machine? Du Web, du mail, du ftp? serveur métier? Cela
permettrait peut-être de mieux cibler le type de tests à effectuer.

JRD.
--
NOSPAMjerome.drapeau@free.fr
La critique est aisée, l'art est difficile.

JRD wrote:

Dans les sociétés pour lesquelles j'ai travaillé, les tests
d'intrusion étaient fait à chaque fois par ISS et (quelquefois)
Nessus.
Ces outils doivent être utilisés par les administrateurs ou l'équipe

d'audit interne d'un site dans une logique de vérification.
Les testeurs utilisent leurs propres outils et non pas ceux du marché.
Sinon on ne parle plus de tests d'intrusion mais de test de
vulnérabilités ou d'entretien ou de validation.

Oui, mais les décideurs qui signent les contrats ne comprennent pas
toutes ces subtilités. Comprennent-ils seulement l'informatique
technique?
Les personnes impliquées dans ce type de prestation à savoir les

consultants/ingénieurs testeurs se doivent d'expliquer la démarche et
ses objectifs, de distinguer les types de tests d'intrusion, de
commenter leurs résultats et recommandations, etc... aux commandiataires
qq soit leur niveau de compréhension. Il faut adapter son approche en
fonction de son interlocuteur. A chacun son métier. Une bonne approche
donne toujours de bons résultats. ;)

Les ingénieurs "sécurité" sont de tous horizons, ce qui laisse parfois
réellement perplexe sur la qualité des tests d'intrusion...
Mais comme les décideurs n'y connaissent rien, tout le monde est content.
C'était qui les sociétés pour lesquelles t'a bossé ? Parce que là tu

m'inquiètes. Il va falloir les reprendre en main celles-là pour leur
expliquer ce qu'est un test d'intrusion, quand, comment et pourquoi on
les pratique.

http://jerome.drapeau.free.fr/pro/cv.html

Dans les deux dernières sociétés pour lesquelles j'ai travaillé
(depuis l'an 2000), je me suis attiré la haine farouche du
"responsable de la mise en oeuvre de la sécurité" pour avoir commencer
à expliquer le comment du pourquoi sans oublier le quand ; mais il
avait des excuses, il ne connaissait même pas un simple tcpdump, il
trouve que CheckPoint sur Windows est plus ergonomique que MWall
(rhabillage par Matra de IPF) sur BSD, etc.
IMHO il faudrait que qqun en interne décide de commanditer un audit de

son organisation et sa politique. Le test d'intrusion montrerai si le
niveau de sécurité du SI nécessite des améliorations, évolutions.

Mon supérieur hiérarchique direct n'avait pas les compétences
techniques pour comprendre *sérieusement* les aspects d'une sécurité
informatique digne de ce nom.
Aie, pas de chance.

Il y a certain sujet sensible qu'il ne faut pas abordé avec une
hiérarchie incompétente et sourde :
Article 1 - Le chef a raison (même pour la sécurité).
Article 2 - Le chef a *toujours* raison (même pour la sécurité).
....
Lol.

IMHO dans ce domaine complexe et transverse qu'est la sécurité il est
vital de pouvoir donner son avis. Je suis pour les contre-pouvoir encore
faut-il que l'entité et ceux qui la constitue en offre la possibilité !
Ce n'est pas toujours le cas comme le témoigne ton expérience
personnelle.

Pour en revenir au sujet du test d'intrusion sur Linux, elle sert à
quoi cette machine? Du Web, du mail, du ftp? serveur métier?
C'est vrai je me le demande aussi. L'initiateur du post pourrait-il nous

en dire un peu plus ?

Cela
permettrait peut-être de mieux cibler le type de tests à effectuer.
Exactement.

On Sat May 29 2004 at 00:27, LaDDL wrote:

Les testeurs utilisent leurs propres outils

casserole@~/NESSUS/nessus-plugins/scripts$ egrep -il 'script_copyright.*arboi' *.nasl | wc -l
164
casserole@~/NESSUS/nessus-plugins/scripts$

Cool. J'ai le droit d'utiliser Nessus. Un bout au moins.

Il va falloir les reprendre en main celles-là pour leur
expliquer ce qu'est un test d'intrusion, quand, comment

<troll>
Ah bon ? C'est normalisé ?
</troll>

et pourquoi on les pratique.

Parce que c'est à la mode. Quelle question !
Et aussi pour faire peur au grand chef qui ne comprend un rapport trop
compliqué, alors que "j'ai payé un ha><0r pour entrer chez nous", ça
passe mieux.

Pour répondre à la question initiale :
Coût d'un test d'intrusion ? Trop cher.

--
arboi@alussinan.org http://arboi.da.ru
FAQNOPI de fr.comp.securite http://faqnopi.da.ru/

Michel Arboi wrote:

Cool. J'ai le droit d'utiliser Nessus. Un bout au moins.
Toi non ! lol

<troll>
Ah bon ? C'est normalisé ?
</troll>
Il y a des méthodes.

Parce que c'est à la mode. Quelle question !
Elle perdure alors... ;)

Et aussi pour faire peur au grand chef qui ne comprend un rapport trop
compliqué, alors que "j'ai payé un ha><0r pour entrer chez nous", ça
passe mieux.
Le prestataire engagé pour ce type de prestation se DOIT d'expliciter

CLAIREMENT ses résultats & recommandations dans son rapport.

Pour répondre à la question initiale :
Coût d'un test d'intrusion ? Trop cher.
Avant même de parler du coût d'un test d'intrusion il faut savoir ce que

l'on a tester. Cela dépend aussi du type de la campagne de tests, sa
durée et de l'équipe engagée.


Pour ceux qui souhaitent comprendre les objectifs des tests d'intrusion
lisez ce document du Clusif :
https://www.clusif.asso.fr/fr/production/ ouvrages/pdf/TestIntrusion.pdf

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Mister wrote:

Bonjour à tous,

Combien coûte un test d'intrusion par un professionnel de la sécurité, sur
une machine Linux ?
Merci de vos réponses.

Le coût d'un test d'intrusion est particulièrement variable en fonction de
différents paramètres comme la profondeur du test ou la société qui le
pratique (certaines méthodes peuvent être plus coûteuses que d'autres à
appliquer).

De plus tu trouveras souvent du test de vulnérabilité vendu pour du test
d'intrusion : ce n'est pas du tout la même chose, même lorsque ce dernier
est manuel et effectué par une équipe compétente.

Pour le coût, on trouve de tout, questionner les différentes société sur
leurs tarifs/prestations peut être une bonne base comparative.

amicalement,

- --
Christophe Casalegno | Groupe Digital Network | UIN : 153305055
http://www.digital-network.net | http://www.securite-reseaux.com
Institut International des Hautes Etudes de la Cybercriminalité
Technical director | Security Intrusion techniques specialist.
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.4 (GNU/Linux)

iD8DBQFAv3kP0mOixX2DR8IRAhPJAKCJMPrHT/OwqBGPjMlmXMLWP4NW9gCfRpam
THFAA0W2VbyEn3KbcUzP+Zo =HbbA
-----END PGP SIGNATURE-----

On Thu Jun 03 2004 at 21:51, Christophe Casalegno wrote:

De plus tu trouveras souvent du test de vulnérabilité vendu pour du test
d'intrusion

Et vice versa, tu trouveras des appels d'offres bizarrement rédigés
qui annoncent une chose en titre et demande l'autre dans la suite du
texte. Hélas.

--
arboi@alussinan.org http://arboi.da.ru
FAQNOPI de fr.comp.securite http://faqnopi.da.ru/

On Tue Jun 01 2004 at 14:00, LaDDL wrote:

Avant même de parler du coût d'un test d'intrusion il faut savoir ce que
l'on a tester. Cela dépend aussi du type de la campagne de tests, sa
durée et de l'équipe engagée.

#mode troll on

Je dois t'avouer un truc, au cas où tu aurais échappé à ce que je
rabache en boucle depuis des années (je vieillis, je radote :)
Je n'aime pas les tests d'intrusions.

Non pas pour des raisons techniques, car c'est beaucoup plus amusant
de hacker une machine que de relever sa config, balancer un coup de
Nessus et faire un rapport avec les vulnérabilités sorties des
diverses bases avec les risques _potentiels_ associés.
Mais parce que je suis un technicien et pas un juriste. Et le test
d'intrusion pose d'après ce que j'en ai compris des problèmes
insurmontables vis à vis de la responsabilité civile, dont on ne peut
pas se dégager par une simple phrase sur un contrat. Toutes les
sociétés qui pratiquent les PEN-TEST font de la haute voltige avec le
code civil : il faudrait passer plus de temps à rédiger le contrat et
noter les risques potentiels que de faire la prestation.

Sans compter quelques histoires sordides où des entreprises
d'audit sérieuses ont été victimes de guéguerre chez leur client
et trainées en justice pour tentative d'intrusion. Ça ne tient pas dix
minutes devant un tribunal, mais c'est toujours désagréable.

Prévenir la DST ou autre service judiciaire avant le test n'est que de
la foutaise commerciale -- sous-entendu "je connais des gens à la DST,
je suis un barbouze".

--
arboi@alussinan.org http://arboi.da.ru
FAQNOPI de fr.comp.securite http://faqnopi.da.ru/

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Michel Arboi wrote:

Mais parce que je suis un technicien et pas un juriste. Et le test
d'intrusion pose d'après ce que j'en ai compris des problèmes
insurmontables vis à vis de la responsabilité civile, dont on ne peut
pas se dégager par une simple phrase sur un contrat. Toutes les
sociétés qui pratiquent les PEN-TEST font de la haute voltige avec le
code civil : il faudrait passer plus de temps à rédiger le contrat et
noter les risques potentiels que de faire la prestation.

L'encadrement juridique bien que délicat ne relève pas de l'impossibilité.
Le problème est plus pour le client qui en signant décharges, peut avoir
bien du mal à faire jouer son assurance en cas de problèmes. Mais un client
qui signe une clause du type : peut endommage irrémédialement les systèmes,
etc... doit savoir les risques qu'il prends.

Il est important par contre que le signataire dudit contrat figure sur le
kbis (dans le cas d'une entreprise) ou qu'il fournisse un mandat délivré
par quelqu'un y figurant (attestant que les systèmes lui appartiennent
bien, qu'il a les droits, etc...)

A la seconde ou le prestataire fait bel et bien la vérification des droits
et que le contrat n'est pas trop mal rédigé : peu de risques pour elle (en
ce qui me concerne je rajoute une clause de confidentialité de part et
d'autre notamment sur des techniques d'attaques éventuellements inconnues
du public).

Sans compter quelques histoires sordides où des entreprises
d'audit sérieuses ont été victimes de guéguerre chez leur client
et trainées en justice pour tentative d'intrusion. Ça ne tient pas dix
minutes devant un tribunal, mais c'est toujours désagréable.

Oui c'est clair, c'est pour ca qu'il est TRES important de vérifier qui
demande le test et s'il est bien le "patron" de la boite en question. Ne
pas se laisser avoir également dans les cas de sous traitance (ex le
serveur est en fait loué à un hébergeur externe, etc...) il faut dans ce
dernier cas avoir l'autorisation non seulement du client mais également de
son prestataire vu que SES installations vont probablement être testées.

Prévenir la DST ou autre service judiciaire avant le test n'est que de
la foutaise commerciale -- sous-entendu "je connais des gens à la DST,
je suis un barbouze".

ouaip, il faut surtout un contrat en bonne et due forme et SURTOUT quel que
soit le contrat, en fonction des lois en vigueur du pays, ne pas enfreindre
certaines lois ou le contrat ne prévaudra pas sur cette dernière.

amicalement,

- --
Christophe Casalegno | Groupe Digital Network | UIN : 153305055
http://www.digital-network.net | http://www.securite-reseaux.com
Institut International des Hautes Etudes de la Cybercriminalité
Technical director | Security Intrusion techniques specialist.
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.4 (GNU/Linux)

iD8DBQFAwF4N0mOixX2DR8IRAiO3AJ9w7UxANkA3qMHiBjKGX+YGF2C/DgCdGa0r
f5dl+XQRjdFM31efXAHdAIk =quOH
-----END PGP SIGNATURE-----