Security Professionals - ipfw add deny all from eindgebruikers to any

Security als ZZP'er

17-05-2016, 16:11 door almaric, 31 reacties
Hi,

Beveiliging (in de breedste zin van het woord) is hot en zal de komende jaren alleen maar hotter worden. Voor mij de reden om de overstap te gaan maken naar waar mijn passie ligt: beveiliging. Mijn focus zal met name gaan liggen op pentesting. Momenteel heb ik 7 jaar werkervaring (systeem-/netwerkbeheer, projectleiding, projectmatig doorvoeren maatregelen t.a.v. beveiliging in een overheidsorganisatie). Aangevuld met Post HBO opleidingen, etc. Kennis in de meest basale vorm heb ik (thanks Certified Secure). Deze wil ik uitbreiden met CEH, wellicht OSCP en vooral heel veel praktijkervaring. Helaas lukt het mij niet om ergens met (nog te) weinig specifieke security kennis aan de bak te komen (ondanks alle overige ervaring). Ook als junior niet (ik ben bereid een stap terug te doen omdat ik zo graag wil).

Omdat aan de bak komen zo lastig blijkt en ik meters wil maken, is het wellicht mogelijk om dit te combineren met een andere wens die ik al lang heb: voor mezelf beginnen. Dit is nogal wat en van één web pentest per maand kom je niet rond. Ook met een stuk advisering n.a.v. de pentest bevindingen wordt dit lastig. Er gaat natuurlijk ook veel tijd zitten in het verkrijgen van opdrachten.

Mijn vraag aan jullie: wat is jullie advies? Is er iemand die ervaring heeft in het beeld wat ik schets? Zijn er hier ZZP'ers die niets anders doen dan pentesten? Welke overige werkzaamheden komen er nog meer bij kijken? Etc. etc.

Groet!
Reacties (31)
17-05-2016, 16:26 door Anoniem
Al eens gedacht om in je vrije tijd, of als je goed bent, fulltime zzp'er aan deze programma's mee te doen?
https://hackerone.com/
https://www.zerocopter.com/
En zo zullen er nog wel een paar interessante bug bounty programs zijn.

Je zou ook eens contact op kunnen nemen met https://radicallyopensecurity.com/ die werken vrijwel uitsluitend met zelfstandigen, als ik het goed heb.
17-05-2016, 16:30 door almaric
Door Anoniem: Al eens gedacht om in je vrije tijd, of als je goed bent, fulltime zzp'er aan deze programma's mee te doen?
https://hackerone.com/
https://www.zerocopter.com/
En zo zullen er nog wel een paar interessante bug bounty programs zijn.

Je zou ook eens contact op kunnen nemen met https://radicallyopensecurity.com/ die werken vrijwel uitsluitend met zelfstandigen, als ik het goed heb.

Uiteraard, ik ben totaal niet lui ingesteld en ben (nu ik een keuze voor mijzelf gemaakt heb) ook weer bezig om de draad op te pakken en mij verder te specialiseren. Daarin neem ik je tips zeker mee, thanks!

Overigens lijkt het mij ook logisch dat stap 1 het verzamelen van (vooral heel veel) kennis is. En waar een wil is...
17-05-2016, 16:51 door Anoniem
Om je hele inkomen af te laten hangen van ZZP met specialisatie PEN testing is denk ik niet slim. Er is inderdaad een markt voor PEN testing. Echter wordt deze door diverse spelers al afgedicht. Het is immers niet alleen zaak om iets te testen (en wellicht een kwestbaarheid te vinden), maar ook om iets te certificeren. En je kan je bedenken dat een certificering van bijvoorbeeld FoxIT iets meer waar is dan een briefje van jou.

Heel vaak gaan IT'ers maar voor zichzelf werken omdat ze de baan van hun dromen niet kunnen vinden c.q. krijgen. Er is een reden waarom jij geen baan als PEN tester kan vinden. Het kan zijn ervaring, skills, certificering en wellicht ook krapte in de markt. Als ergens niet veel vacatures voor zijn, is er geen markt. Daartegen, als er wel veel vacatures zijn, maar niemand neemt je aan, scheelt er wat aan de eerder genoemde criteria.

Ga verder leren in je vrije tijd en prober te voldoen aan de criteria die de Security bedrijven aan je stellen. Je zal zien dat je dan een baan zal krijgen die je de kans geeft om ervaring op te doen die ertoe doet. Als onervaren ZZP'er het veld te betreden zal je toekomst er niet makkelijker op maken. We zitten niet meer rond het jaar 2000. Toen was een goede wil, hard werken en goed kunnen leren voldoende. Nu moet je ervaring en kennis hebben om te slagen.
18-05-2016, 05:11 door Anoniem
Als pentester kun je beter in een team werken dan als ZZP omdat een team beter werk kan leveren. Wil je ZZP dan zou ik meer in de advies / audit kant gaan zitten. Om als pentester binnen te komen helpt het om een certificaat te behalen (oscp) maar met name de bugbounties. Dat laat zien dat je vulnerabilities kunt vinden. CTF uitwerkingen kunnen ook helpen en ben je echt goed dan zou je zelfs je hele inkomen uit research kunnen halen. Naast hackerone heb je ook ZDI en anderen die oa MS exploits kopen.
18-05-2016, 09:16 door Erik van Straten
17-05-2016, 16:11 door almaric: [...]Voor mij de reden om de overstap te gaan maken naar waar mijn passie ligt: beveiliging. Mijn focus zal met name gaan liggen op pentesting.
Ook ik speel met de gedachte van (deels) ZZP-er worden, maar bij mij ligt de focus minder op pentesting (meer op het koppelen van de, vaak strikt gescheiden, werelden van ISO27001 en de werkvloer; ik heb ondertussen ook ervaring met de eerstgenoemde "ivoren toren").

Als het je leuk lijkt om ervaringen en ideeën uit te wisselen (wellicht een keer een bakkie doen samen) moet je maar een mailtje sturen naar xs4all.nl, een van mijn aliases erikvs2005 werkt op dit moment.

In elk geval heel veel succes gewenst!
18-05-2016, 11:06 door Anoniem
Ik Ben 16 jaar, zit op HAVO en ga over 2 jaar HBO ICT > security & infrastructure doen. Heb al ervaring met security. (Schoolnetwerk 'hacked' en bedrijf website 'lek' gerapporteerd, ik ben dus geen script kiddie meer...) ben dus erg met ICT bezig. (Op mn 11e al CMD .Bat scripties maken, sinds mn 13e met C# bezig)

Iemand ook aan mij advies?
18-05-2016, 11:11 door Anoniem
Helaas lukt het mij niet om ergens met (nog te) weinig specifieke security kennis aan de bak te komen (ondanks alle overige ervaring). Ook als junior niet (ik ben bereid een stap terug te doen omdat ik zo graag wil).

Is pentester dan wel de juiste richting voor je. Een pentester moet juist zeer veel ervaring hebben, en extensieve security kennis hebben (tenzij je een check-list wegwerker wil worden, die eigenlijk niet weet waar hij mee bezig is).
18-05-2016, 12:44 door cjkos
Wel apart dat je in je eerste zin veiligheid noemt 'in de breedste zin van het woord', en je vervolgens zo gaat beperken dat je feitelijk klem komt te zitten tussen de vraag en het aanbod.

Daar je geen werk in die richting kan vinden is een goede indicatie dat je grote moeite zal hebben met het vinden van een opdrachtgever. Ik ben bang dat je gelijk hebt en inderdaad de meeste tijd kwijt zal zijn aan marketing, en helaas weinig met je passie.

Al eens gedacht aan parttime-ZZP-er? Dat lijkt mij veiliger met een basis inkomen en je kan misschien via je werkgever een network aanleggen.

Eigenlijk totaal anders als wat je wil, maar dat heet investeren in een goede naam. Je alleen richten op Pen tester zal zeker ook je uurtarief bepalen. Minder verwachte betaalde opdrachten betekent een hoger uurloon, iets wat kan gaan wringen met het bestaande aanbod van je (ZZP-)collega's..


In elk geval veel succes gewenst.
18-05-2016, 12:44 door Anoniem
Het grootste risico dat je loopt als ZZP en pentesten is verantwoording. Stel: je doet een PEN test en vind niks. Alles is goed. Dat zet je in jouw rapport. De volgende dag wordt de betreffende klant gehacked. Er zat toch een lek (zero day of zo). Wie is er dan verantwoordelijk? Grote kans dat ze dan de schade willen verhalen op jou, want jij heb gezegt dat alles in orde was.
Als ZZPer ben je heel kwetsbaar.
18-05-2016, 12:52 door cjkos
Door Anoniem: Ik Ben 16 jaar, zit op HAVO en ga over 2 jaar HBO ICT > security & infrastructure doen. Heb al ervaring met security. (Schoolnetwerk 'hacked' en bedrijf website 'lek' gerapporteerd, ik ben dus geen script kiddie meer...) ben dus erg met ICT bezig. (Op mn 11e al CMD .Bat scripties maken, sinds mn 13e met C# bezig)

Iemand ook aan mij advies?

Mocht je vraag sarcastisch bedoeld zijn kun je onderstaande gewoon vergeten, in het andere geval:

Focus op wat je wil bereiken, maar houd je ogen en oren open om gebruik te maken van opportunities.
Belangrijkste advies, maak je opleiding af!

Zelfs als je halverwege toch besluit iets anders te willen doen!

Klinkt raar, maar wel waar.
Zal je verbazen hoeveel jongeren al bezig zijn met het maken van APPS. Dat papiertje zou weleens het verschil kunnen maken.

Have fun!
18-05-2016, 13:14 door SecOff
Pentesten zul je ook regelmatig voor bedrijven doen die niet goed weten wat de technische resultaten betekenen en wat ze moeten doen om kwetsbaarheden op te lossen. Het is daarom belangrijk een goede management samenvatting te kunnen maken die duidelijk maakt welke risico's (niet technisch maar vanuit bedrijfsoogpunt gezien) een organisatie loopt door de gevonden kwetsbaarheden. Daarnaast is advies t.a.v. het verhelpen van de kwetsbaarheden belangrijk.

Ik denk dat het voor nu belangrijk is om vooral ervaring op te doen. Over het algemeen worden alleen ZZP'ers voor security ingehuurd als ze al voldoende ervaring hebben. Voor een junior positie is een ZZP'er meestal te duur. Ik zou eerst een tijd bij een security bedrijf aan de slag gaan en voor jezelf beginnen als je voldoende ervaring hebt opgebouwd.

Als je als ZZP'er aan de slag wilt en je niet op langdurige detacheringsklussen richt is het voornamelijk van belang dat je het leuk vindt om te ondernemen. Aan acquisitie te doen, netwerken, administratie, productontwikkeling hoort er allemaal bij.

Ik heb een enkele keer wel eens een klus voor een beginnend pentester. Mocht je belangstelling hebben dan kun je altijd een keer een afspraak met me maken. Ik zit wel in Groningen :-)

Groet van een ervaren ZZP security consultant.
18-05-2016, 14:10 door almaric
Door SecOff: Pentesten zul je ook regelmatig voor bedrijven doen die niet goed weten wat de technische resultaten betekenen en wat ze moeten doen om kwetsbaarheden op te lossen. Het is daarom belangrijk een goede management samenvatting te kunnen maken die duidelijk maakt welke risico's (niet technisch maar vanuit bedrijfsoogpunt gezien) een organisatie loopt door de gevonden kwetsbaarheden. Daarnaast is advies t.a.v. het verhelpen van de kwetsbaarheden belangrijk.

Ik denk dat het voor nu belangrijk is om vooral ervaring op te doen. Over het algemeen worden alleen ZZP'ers voor security ingehuurd als ze al voldoende ervaring hebben. Voor een junior positie is een ZZP'er meestal te duur. Ik zou eerst een tijd bij een security bedrijf aan de slag gaan en voor jezelf beginnen als je voldoende ervaring hebt opgebouwd.

Als je als ZZP'er aan de slag wilt en je niet op langdurige detacheringsklussen richt is het voornamelijk van belang dat je het leuk vindt om te ondernemen. Aan acquisitie te doen, netwerken, administratie, productontwikkeling hoort er allemaal bij.

Ik heb een enkele keer wel eens een klus voor een beginnend pentester. Mocht je belangstelling hebben dan kun je altijd een keer een afspraak met me maken. Ik zit wel in Groningen :-)

Groet van een ervaren ZZP security consultant.

Dank voor je reactie. Graag zou ik een keer met je sparren. Hoe kan ik je contacten? :)
18-05-2016, 14:23 door Anoniem
Als je een baan zoekt als junior security medewerker met technische achtergrond zou je kunnen reageren op de vacature bij ESET Nederland (de vacature is inmiddels offline maar de functie staat nog steeds open http://www.eset.com/nl/vacatures/aspirant-security-guru/ ). Tot de werkzaamheden behoord onder andere pentesten van netwerkomgevingen als (web)applicaties, social engineering en awareness campagnes, kennisuitbreiding, testen van IoT apparaten, ...

Wanneer je toch als ZZP-er aan de slag wilt gaan zou je altijd kunnen proberen om zelfstandig bugs te vinden en deze te melden onder responsible disclosure. Via een blog kun je writeups delen en hierdoor naamsbekendheid vergaren. Meedoen aan een CTF kan hier ook bij helpen.
18-05-2016, 14:28 door SecOff
Door almaric:Dank voor je reactie. Graag zou ik een keer met je sparren. Hoe kan ik je contacten? :)
Stuur maar een mailtje naar het gmail.com adres: dituseridbestaatniet
18-05-2016, 15:02 door Anoniem
Hacken kan wel leuk lijken, maar security is iets heel anders dan hacken. Het gaat om het voorkomen van (succesvolle) aanvallen.

Pentesten is enorm overgewaardeerd en in feite verspilling van tijd en geld. Als je al iets vind, is dat niet meer dan een speldeprik en het levert geen structurele oplossing. Het gaat echt om code reviewen en de beveiliging controleren. Dat zet wel zoden aan de dijk.

Dus zorg dat je goed bent in beveiligen.
18-05-2016, 15:48 door almaric
Door SecOff:
Door almaric:Dank voor je reactie. Graag zou ik een keer met je sparren. Hoe kan ik je contacten? :)
Stuur maar een mailtje naar het gmail.com adres: dituseridbestaatniet
Bedankt, we maken binnenkort een afspraak!
18-05-2016, 17:29 door Anoniem
Misschien kan je eerst ervaring opdoen in een team met andere (ervaren) pentesters voordat je start als ZZPer? Bij ilionx zoeken we vaak nog mensen! Je kan contact met me opnemen via sveenendaal@ilionx.com dan kan ik je voorstellen aan onze unit.
18-05-2016, 17:36 door Anoniem
Door Anoniem:
Pentesten is enorm overgewaardeerd en in feite verspilling van tijd en geld. Als je al iets vind, is dat niet meer dan een speldeprik en het levert geen structurele oplossing. Het gaat echt om code reviewen en de beveiliging controleren. Dat zet wel zoden aan de dijk.
Huh? Een penetratietest heeft inderdaad pas zin als de organisatie bewust is van de noodzaak van security en al vele maatregelen heeft getroffen. Tevens helpt het om een incident response team te beoordelen op detectie en opvolging.

Een pentester zal proberen om zwakheden te vinden en in de meeste gevallen zal dit ook lukken. Hierbij zie je dat een team bijna verplicht is want welke aanvalsvectors heb je: OS clients/servers, Web, Mobile, IoT, Physical. De grootste hindernis is scoping en tijdslimiet, een echte aanvaller krijgt ook geen restricties opgelegd.

Een leuk voorbeeld: elk beveiligingsbeleid vereist het gebruik van anti-virus. Google eens op Tavis Ormandy en je ziet bug na bug in deze producten. Dit kan varieren van EoP tot RCE.

Tot slot, een code review kan ook onderdeel van een pentest vormen. Soms stelt de opdrachtgever het beschikbaar en soms "vind" je wel eens wat :-)
19-05-2016, 09:15 door DanielG
Hoi Almaric,

Misschien heb je zin om het toch nog een keer te proberen, bij ons zoeken we altijd leergierige mensen met een passie voor pentesten. Neem vooral contact op via recruitment@computest.nl.
19-05-2016, 09:25 door Anoniem
Door Anoniem: Het grootste risico dat je loopt als ZZP en pentesten is verantwoording. Stel: je doet een PEN test en vind niks. Alles is goed. Dat zet je in jouw rapport. De volgende dag wordt de betreffende klant gehacked. Er zat toch een lek (zero day of zo). Wie is er dan verantwoordelijk?

Als iemand claimt dat iets goed is na een test dan weet je eigenlijk al genoeg...
Immers een van de basis beginselen in de ICT is dat je met testen nooit kunt aantonen dat iets goed is!
Je kunt met testen alleen aantonen dat er een fout is, niet dat er geen fout is.

Het resultaat van een test kan alleen zijn een lijstje van bevindingen wat er niet goed is en verbeterd moet worden, het
kan NOOIT zijn een rapport dat alles goed is.
Dat zouden meer testers zich moeten realiseren. (niet alleen pentesters maar ook acceptatietesters e.d.)
19-05-2016, 12:51 door Anoniem
Door Anoniem:
Door Anoniem: Het grootste risico dat je loopt als ZZP en pentesten is verantwoording. Stel: je doet een PEN test en vind niks. Alles is goed. Dat zet je in jouw rapport. De volgende dag wordt de betreffende klant gehacked. Er zat toch een lek (zero day of zo). Wie is er dan verantwoordelijk?

Als iemand claimt dat iets goed is na een test dan weet je eigenlijk al genoeg...
Immers een van de basis beginselen in de ICT is dat je met testen nooit kunt aantonen dat iets goed is!
Je kunt met testen alleen aantonen dat er een fout is, niet dat er geen fout is.

Het resultaat van een test kan alleen zijn een lijstje van bevindingen wat er niet goed is en verbeterd moet worden, het
kan NOOIT zijn een rapport dat alles goed is.
Dat zouden meer testers zich moeten realiseren. (niet alleen pentesters maar ook acceptatietesters e.d.)

Neemt niet weg dat het belangrijk is om je algemene voorwaarden op orde te hebben, waarin je allerlei aansprakelijkheid uitsluit; om eventueel een verzekering te nemen (maar die zijn schreeuwend duur), of om toch maar een BV op te richten zodat je niet je huis hoeft te verkopen in de juridische strijd tegen een verbolgen klant.

Het punt is niet dat testers zich moeten realiseren dat absence of evidence NOT EQUALS evidence of absence (dat horen ze te weten, op straffe van verbanning uit de testgemeenschap), maar dat je opdrachtgever dat tussen de oren moet hebben. Goed uitleggen is het devies, en ook zorgen dat je belangen afgedekt zijn.

En daarnaast zul je keer op keer een non disclosure agreement moeten tekenen, zijn er bedrijven die nare voorwaarden hebben ten aanzien van betaling (niet binnen 60 dagen) en lijkt het me in jouw geval toch echt verstandig om eerst maar eens flink ervaring in de ICT zelf op te bouwen en dan pas door te groeien naar informatiebeveiliging. Diploma's, master degree, IQ of mooi haar, het weegt allemaal niet op tegen jarenlange ervaring en veel van de wereld gezien hebben. Sorry.
20-05-2016, 01:23 door Anoniem
Door Anoniem:
Door Anoniem:
Pentesten is enorm overgewaardeerd en in feite verspilling van tijd en geld. Als je al iets vind, is dat niet meer dan een speldeprik en het levert geen structurele oplossing. Het gaat echt om code reviewen en de beveiliging controleren. Dat zet wel zoden aan de dijk.
Huh? Een penetratietest heeft inderdaad pas zin als de organisatie bewust is van de noodzaak van security en al vele maatregelen heeft getroffen. Tevens helpt het om een incident response team te beoordelen op detectie en opvolging.

Een pentester zal proberen om zwakheden te vinden en in de meeste gevallen zal dit ook lukken. Hierbij zie je dat een team bijna verplicht is want welke aanvalsvectors heb je: OS clients/servers, Web, Mobile, IoT, Physical. De grootste hindernis is scoping en tijdslimiet, een echte aanvaller krijgt ook geen restricties opgelegd.

Een leuk voorbeeld: elk beveiligingsbeleid vereist het gebruik van anti-virus. Google eens op Tavis Ormandy en je ziet bug na bug in deze producten. Dit kan varieren van EoP tot RCE.

Tot slot, een code review kan ook onderdeel van een pentest vormen. Soms stelt de opdrachtgever het beschikbaar en soms "vind" je wel eens wat :-)

Nee, dat klopt niet. Code reviewen is geen pentesten. Een incident response team testen is ook geen pentest. Pentesten is enorm ineffectief en inefficient, het heeft in principe nooit zin.
20-05-2016, 09:58 door Anoniem
Door Anoniem: Het grootste risico dat je loopt als ZZP en pentesten is verantwoording. Stel: je doet een PEN test en vind niks. Alles is goed. Dat zet je in jouw rapport. De volgende dag wordt de betreffende klant gehacked. Er zat toch een lek (zero day of zo). Wie is er dan verantwoordelijk? Grote kans dat ze dan de schade willen verhalen op jou, want jij heb gezegt dat alles in orde was.
Als ZZPer ben je heel kwetsbaar.

Disclamer:

Resultaten behaald in het verleden bieden geen garantie voor de toekomst.
20-05-2016, 11:07 door Erik van Straten
18-05-2016, 15:02 door Anoniem: Hacken kan wel leuk lijken, maar security is iets heel anders dan hacken. Het gaat om het voorkomen van (succesvolle) aanvallen.
Eens.

18-05-2016, 15:02 door Anoniem: Pentesten is enorm overgewaardeerd en in feite verspilling van tijd en geld. Als je al iets vind, is dat niet meer dan een speldeprik en het levert geen structurele oplossing. Het gaat echt om code reviewen en de beveiliging controleren. Dat zet wel zoden aan de dijk.
Je hebt gelijk dat pentesten niet het meest efficiënte middel is om beveiliging te verbeteren. Helaas denken de meeste automobilisten dat zij beter rijden dan gemiddeld.

Vergelijkbaar denken de meeste ontwerpers dat hun systeem prima in elkaar zit, de meeste programmeurs dat ze voldoende aandacht besteden aan beveiliging en beheerders dat ze niks over het hoofd zien. En van elkaar denken ze dat de ander wel aan allerlei zaken zal hebben gedacht en zij persoonlijk niet aan alles aandacht hoeven te schenken (waar ze de tijd ook niet voor krijgen). Overzicht/terugkoppeling van tekentafel tot productie is, in de praktijk, vaak minimaal tot non-existent. Tussendoor lopen accountmanagers en directieleden deze mensen op te jagen, want de klant zit te wachten, de concurrent doet het mogelijk voor minder en je komt er meestal gewoon mee weg als je rotzooi levert. Dit alles bij elkaar leidt tot de puinhoop die we, vandaag de dag, ICT noemen. Met succesvolle sites als security.nl als gevolg.

Alleen al om die reden zijn pentests een uitstekend middel om organisaties, die denken dat ze het prima doen, wakker te schudden. Daarnaast dwingen ogen van derden; de motivatie om zaken te verbeteren is vaak veel groter dan dat een lokale security officer of enthousiaste ontwikkelaar dat probeert uit te dragen (al te vaak worden zij een hoek in geschopt, en de verleiding is dan zeer groot om schouderophaler te worden (kan ik uit eigen ervaring meedelen, maar tot nu toe weet ik die verleiding te weerstaan - al tot mijn 57e levensjaar).

18-05-2016, 17:36 door Anoniem:Huh? Een penetratietest heeft inderdaad pas zin als de organisatie bewust is van de noodzaak van security en al vele maatregelen heeft getroffen.
In mijn ervaring heeft een pentest juist zin als een organisatie zich nog onvoldoende insecurity aware is (en bereid er serieus tijd en geld aan te spenderen o.a. door mensen op te leiden, peer reviews te laten uitvoeren, ontwerpers niet alleen te laten specificeren welke functionaliteit gewenst is maar expliciet ook welke functionaliteit ONgewenst is - ondanks dat dit tot meer dan 2x zo lange documenten leidt, testers te laten testen wat niet hoort te werken etcetera).

20-05-2016, 01:23 door Anoniem: Pentesten is enorm ineffectief en inefficient, het heeft in principe nooit zin.
Of je dezelfde Anoniem bent van 18-05-2016, 15:02, weet ik niet, ik ben het in elk geval niet met jou eens - zie mijn argumenten hierboven.

20-05-2016, 01:23 door Anoniem: Code reviewen is geen pentesten.
Je hebt gelijk, maar goede pentesters zijn over het algemeen uitstekende code reviewers. Het zal mij persoonlijk een biet zijn hoe je haar of zijn werk vervolgens noemt. Als ik me niet vergis zijn we het er wel over eens dat beveiliging beter moet en kan, en dat je daarvoor alle beschikbare middelen op de economische meest voordelige wijze moet inzetten, met als doel voldoende organisatie-brede insecurity-awareness. En dat doel heiligt meer middelen dan sommige puristen je willen doen geloven.
20-05-2016, 12:27 door Dystopia


Nee, dat klopt niet. Code reviewen is geen pentesten. Een incident response team testen is ook geen pentest. Pentesten is enorm ineffectief en inefficient, het heeft in principe nooit zin.


Deze uitspraak is enigszins ongenuanceerd naar mijn mening en ervaring. De kwetsbaarheden in een applicatie, de configuratie van de applicatie en onderliggende componenten zelf zijn veelal op verschillende manieren boven tafel te krijgen. Er zijn vormen die alleen met een pentest ontdekt kunnen worden maar ook zaken die met een analyse van broncode en configuratie bestanden alleen boven tafel te krijgen zijn. Wel kun je stellen dat een blackbox pentest alleen ten opzichte van een whitebox pentest minder rendement heeft. Dat blijkt wel uit de ervaringen... Maar dan hebben we het ook over efficiency ten aanzien van de geïnvesteerde tijd en middelen.
20-05-2016, 15:38 door Anoniem
Door Anoniem: Het grootste risico dat je loopt als ZZP en pentesten is verantwoording. Stel: je doet een PEN test en vind niks. Alles is goed. Dat zet je in jouw rapport. De volgende dag wordt de betreffende klant gehacked. Er zat toch een lek (zero day of zo). Wie is er dan verantwoordelijk? Grote kans dat ze dan de schade willen verhalen op jou, want jij heb gezegt dat alles in orde was.
Als ZZPer ben je heel kwetsbaar.
Ware het niet dat pentesters niet testen of een systeem vrij is van lekker, maar enkel proberen zoveel mogelijk lekken te vinden.

"jij heb gezegt dat alles in orde was"
False. Dit doen security researchers nooit.
20-05-2016, 20:31 door Anoniem
Door Dystopia:


Nee, dat klopt niet. Code reviewen is geen pentesten. Een incident response team testen is ook geen pentest. Pentesten is enorm ineffectief en inefficient, het heeft in principe nooit zin.

Deze uitspraak is enigszins ongenuanceerd naar mijn mening en ervaring.

Onderzoek naar kwetsbaarheden in een applicatie is geen pentest. Het gaat daarbij om onderzoek naar onbekende lekken in software en devices.

Nogmaals, code reviewen is geen pentest. Het is code reviewen. Configuraties controleren is ook geen pentest, het is onderdeel van het controleren van de staat van beveiliging, met volledige toegang tot het systeem.

Pentest (penetratie test) is proberen met al dan niet bekende exploits toegang te verschaffen. Het klassieke hacken dus. Dat is nooit efficient omdat je zo slechts een miniem aantal security problemen kunt ontdekken. Dat moet je doen via een controle van de installatie, de gehele software en configuraties. Niet sexy, en misschien saai, maar zo moet het.

Overigens is het hacken in een doelbewust opgezette lab omgeving wel nodig om nieuwe kwetsbaarheden te vinden. Maar dat valt eerder onder de noemer primair security onderzoek. Ik zou dat geen pentesten willen noemen.
21-05-2016, 07:40 door Anoniem
Op een compleet ander vlak ben ik zelf begonnen met bloggen: zo bouw je ervaring op en heb je we precense die als reclame/portolio kan dienen.

Weet niet of je 'm al gezien had, maar pas zochten ze bij motiv nog pentesrers

Mvg

Tom
21-05-2016, 11:10 door Anoniem

Nogmaals, code reviewen is geen pentest. Het is code reviewen. Configuraties controleren is ook geen pentest.

Pentest (penetratie test) is proberen met al dan niet bekende exploits toegang te verschaffen.

Overigens is het hacken in een doelbewust opgezette lab omgeving wel nodig om nieuwe kwetsbaarheden te vinden. Maar dat valt eerder onder de noemer primair security onderzoek. Ik zou dat geen pentesten willen noemen.

Daar ben ik het oneens mee. Als je voltijd naar lekker zoekt,ja dan is het security research. Als je als pentester naar bekende lekken zoekt en alles is gepatcht dan ben ik je in mijn ogen verplicht om de rest van de tijd te spenderen aan andere manieren om binnen te komen dmv code review, security review of zero-day research. Of ben jij van mening dat je de opdrachtgever rapporeert dat alles op moment van testen in orde was?

Tevens blijf ik bij mijn standpunt dat een pentest ook gebruikt kan worden om detectie en response van een CIRT te testen. Mocht je een beter test alternatief hebben dan zie ik dat graag.
27-05-2016, 09:11 door Anoniem
Door almaric: Hi,
Mijn vraag aan jullie: wat is jullie advies? Is er iemand die ervaring heeft in het beeld wat ik schets? Zijn er hier ZZP'ers die niets anders doen dan pentesten? Welke overige werkzaamheden komen er nog meer bij kijken? Etc. etc.

De meeste mensen die geen freelancen hebben meestal al enige sporen verdient in het vakgebied dat zij bedienen, zodat potentiële opdrachtgevers ook echt wel bereidt zijn een stevig bedrag per uur voor iemand neer te leggen. Zij hopen daarmee natuurlijk altijd een stuk expertise in huis te halen die niet aanwezig is bij het eigen personeel. Als jij dus nu nog op niveau 0 zit, dan is dat erg lastig verkopen ben ik bang.

Waarom je niet 'aan de bak kan komen' weet ik niet, maar security jobs liggen nu echt letterlijk voor het oprapen. Ik heb een redelijk uitgebreid security c.v. en word helemaal platgespammed via LinkedIn op het ogenblik. Ik weet dus niet wat je precies hebt gedaan om ergens aan de slag te gaan met je ambitie, maar als je ook geen 'normale' baan kunt krijgen waarom denk je dat je dan wel succesvol aan freelance klussen kan komen?

Overigens deel ik je mening niet dat je met één pentest per maand niet rond zou kunnen komen. Een beetje pentest kost je zo twee weken (intake, uitvoer, rapportage) als éénpitter. Een pentester is een specialist, en dat moet je terug laten komen in je uurtarief, anders neemt een opdracht gever je ook niet serieus. Dus 125 per uur kun je zeker vragen. Dus 10K voor 2 weken werk. Daar kun je toch wel een leuke boterham aan over houden, ook nadat de fiscus is langsgeweest.
27-05-2016, 10:03 door Anoniem
Door Anoniem:

Nogmaals, code reviewen is geen pentest. Het is code reviewen. Configuraties controleren is ook geen pentest.

Pentest (penetratie test) is proberen met al dan niet bekende exploits toegang te verschaffen.

Overigens is het hacken in een doelbewust opgezette lab omgeving wel nodig om nieuwe kwetsbaarheden te vinden. Maar dat valt eerder onder de noemer primair security onderzoek. Ik zou dat geen pentesten willen noemen.

Daar ben ik het oneens mee. Als je voltijd naar lekker zoekt,ja dan is het security research. Als je als pentester naar bekende lekken zoekt en alles is gepatcht dan ben ik je in mijn ogen verplicht om de rest van de tijd te spenderen aan andere manieren om binnen te komen dmv code review, security review of zero-day research. Of ben jij van mening dat je de opdrachtgever rapporeert dat alles op moment van testen in orde was?

Tevens blijf ik bij mijn standpunt dat een pentest ook gebruikt kan worden om detectie en response van een CIRT te testen. Mocht je een beter test alternatief hebben dan zie ik dat graag.

Het lijkt me weinig zinvol om vast te houden aan een strakke definitie van pentesten. Uiteindelijk bepaalt de overeenkomst met je opdrachtgever wat je wel en niet gaat doen. En het is maar de vraag of die net zo denkt over de invulling van die term als jij. Alleen vastleggen dat je een "pentest" gaat doen, is natuurlijk vragen om een ontevreden klant.
Wij vragen expliciet ook om code review en andere onderzoeken, en vertellen wat we wel en niet willen. Pentest moet je ook goed definieren: wil je dat iemand ook probeert fysiek het gebouw binnen te dringen en daar systemen en netwerken te benaderen? Dat kan, maar als je dat niet wilt is het wel even schrikken als beveiliging ineens belt wat ze met die knakker moeten die zegt dat jij hem ingehuurd hebt...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.