Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Wat zou ik vragen voor ethisch hacken?

25-01-2014, 15:27 door Anoniem, 5 reacties
Nu is er een groot bedrijf in Nederland die gebruik maakt van een zelf gemaakte financiële programma waarmee ze hun aandelen in de gaten houden, ze hebben mij gevraagd of ik het programma kon hacken om zo te kijken of ik hun aandelen kon manipuleren zodat ze weten of hun programma wel veilig is. Mijn vraag, ik zou echt niet weten wat ik nu voor zo iets moet vragen? Hebben jullie enig idee, werken jullie volgens een vast uur loon of een fixed prijs?
Reacties (5)
25-01-2014, 18:17 door Anoniem
Belangrijk is dat er goede afspraken gemaakt worden met de opdrachtgever. Indien het een groot bedrijf is, zoals je zelf zegt, zijn er ook grote belangen, maar wellicht ook grote risico's. Wat als er door jou toedoen per ongeluk een onderbreking in het werkproces van het bedrijf plaatsvindt? Dus zorg voor zeer goede afspraken, waarin ook de scope van jou opdracht in staat, en een vrijbrief voor eventuele risico's. In de scope staat onder andere wanneer je gaat testen, wat je gaat testen, en hoever je mag gaan... Daarnaast is het uiteindelijke rapport op zijn minst net zo belangrijk als de uitvoering, dus daar gaat ook tijd in zitten. Ook dat moet meegecalculeerd worden. Hierin uitgelegd wat je hebt gedaan, hoe je het hebt gedaan, maar ook hoe het opgelost kan worden.
Het NCSC heeft een whitepaper pentesten uitgegeven. Zoek daar even naar. Hierin ook een klein stukje over de kosten. Een goede pentester mag zo'n 200 euro per uur rekenen. Een complete, goed uitgevoerde en afgewerkte pentest kost tussen de 3000 en 6000 euro. Overigens kun je een goede pentest het best met 2 man uitvoeren. Dus als je hulp nodig hebt... In ieder geval succes!
25-01-2014, 20:00 door fvandillen
Alvorens je gaat praten over een prijs zou ik eerst eens goed nadenken over geheimhouding en aansprakelijkheid. Dat dien je echt te hebben vastgelegd op papier voordat je aan deze klus begint.

Stel je eens voor dat door jouw gehack het systeem plat komt te liggen, en dat bedrijf leidt daardoor (financiële) schade. Dan ben jij de eerste die mag betalen, tenzij je dat contractueel goed afdekt dat je voor eventuele gevolgen van je 'hack' niet aansprakelijk bent (zoals het slopen van databases en systemen).

Misschien iemand anders hier die daar meer over kan roepen? Ik ben zelf geen juridisch expert.

Qua kosten kan ik eigenlijk ook niets roepen, misschien eens rondkijken op websites die dat soort zaken aanbieden?
26-01-2014, 14:54 door Anoniem
Voordat je nadenkt over te starten: zorg dat je volledig zonder enig risico aan de slag kunt. Dus echt waterdichte contracten.
27-01-2014, 11:35 door Cornelius
Door fvandillen:Stel je eens voor dat door jouw gehack het systeem plat komt te liggen, en dat bedrijf leidt daardoor (financiële) schade.

Daar zou mijn zorg nog niet eens liggen, want dat is in alle standaardcontracten eigenlijk wel afgevangen. Maar wat als jij vandaag niets kan vinden en een stempel "goedgekeurd" geeft en morgen vindt er een hack plaats met een verlies van 10mio tot gevolg. Zorg dat je dat ook hebt afgedekt!

Daarnaast vraag ik me nog twee dingen af: (1) als je geen ervaring hebt met professioneel pentesten moet je je afvragen wat je toegevoegde waarde is. En (2), waarom huurt deze organisatie geen gespecialiseerd bedrijf in?
28-01-2014, 09:07 door Anoniem
E 24,95. En als de klant een bonuskaart heeft: E 22,95


Volgende lijstje is handig
- Hoeveel ben je waard per uur?
- Hoeveel werk is het werkelijk vs hoeveel werk kan ik rekenen?
- aantal uur * waarde per uur = bedrag op basis van na-calc;
- aantal uur * waarde per uur + 10%= bedrag op basis van fixed price;
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search