http://forum.razved.info//index.php?t=155 ru http://forum.razved.info//index.php?t=155&p=1663#pp1663 http://forum.razved.info//index.php?t=155&p=1663#pp1663 <br>МВЛ написал:<blockquote><div style="height:1px;width:1px;overflow:hidden">[q]</div><br /> Согласен, что приведенный пример не совсем удачен. Наезд и разведка вещи не совместимые. Ведь не только вы выяснили "любопытного", но и вас срисовала, и на этом разведка закончилась. Расшифровка всегда считалась расшифровкой, как бы ее не пытались преподнести руководителю. Может иногда стоит немного потерпеть и любопытный сам нарвется на неприятность или "поделится" другой информацией, когда начнет думать что выполнил работу и имеет полное право расслабиться. В итоге совесть чиста, закон не нарушен и главное сон крепкий. <div style="height:1px;width:1px;overflow:hidden">[/q]</div></blockquote><br /><br />Собственно, взгляды с раных концов ковровой дорожки сильно отличаются. Если бы все было так, тов. Р.Зорге в частности благополучно на пенсии ловил бы рыбку до глубокой старости. Чего там? Сиди в Японии, да получай инфу. Скрытно. Однако бывают разные расклады. В т.ч. и такие. когда цена вопроса больше чем жизнь конкретного человека. Или когда время на решение не позволяет развивать процесс "как положено". <br /><br />Приведенный пример имел как раз такую специфику - времени на принятие решения было около двух часов. Наверное можно теоретизировать и далее и говорить, что если бы и тако бы все делалось правильно, такой срочности не возникло бы. Может и так. Однако она возникла. И принятое решение было самым мягким из обсуждаемых. Был риск, что результат получиться не тот. Если бы оппоненты работали тщательно. Но получилось все ОК. Установили личность - собственно ее установили сотрудники ГАИ. Вслед за этим выяснилась прямая связь с некими товарищами. Все. Стало ясно, как действовать. Тихонов Thu, 09 Jul 2009 17:21:26 +0400 http://forum.razved.info//index.php?t=155&p=1536#pp1536 http://forum.razved.info//index.php?t=155&p=1536#pp1536 <br>CI-KP написал:<blockquote><div style="height:1px;width:1px;overflow:hidden">[q]</div>Если это заказ владельца и он правильно юридически оформлен, то я не вижу проблемы<div style="height:1px;width:1px;overflow:hidden">[/q]</div></blockquote><br /><br />Вот именно. Почитайте внимательно методики по пентестингу - везде настоятельно рекомендуют взять письменное разрешение заказчика на проведение тех или иных действий. Плюс, либо в рамках договора либо отдельным документом заказчик должен заключить с вами соглашение о неразглашении своей конфиденциальной информации. <br /><br /> Vinni Wed, 08 Jul 2009 12:12:15 +0400 http://forum.razved.info//index.php?t=155&p=1517#pp1517 http://forum.razved.info//index.php?t=155&p=1517#pp1517 <br>dr_kennel написал:<blockquote><div style="height:1px;width:1px;overflow:hidden">[q]</div>это уже ПШ (но опять таки это вопрос как понимается КР в головах бизнесменов).<div style="height:1px;width:1px;overflow:hidden">[/q]</div></blockquote><br />В голове бизнесмена это может пониматься хоть как. Даже, как невинный розыгрыш конкурента. Это ж не его, если что, возьмут за филей, когда тот будет незаконно инфу сливать. Бизнесмен, ясно дело, не лох печальный - письменных договоров на незаконную добычу информации с исполнителем не станет заключать. И на очной ставке ничего не подтвердит. Так что, вариант "старший приказал!" тут никак не пройдет, а потому: "...признал виновным в совершении преступления, предусмотренного статьей 272 Уголовного кодекса Российской Федерации и приговорил..." Искендер Wed, 08 Jul 2009 07:01:12 +0400 http://forum.razved.info//index.php?t=155&p=1514#pp1514 http://forum.razved.info//index.php?t=155&p=1514#pp1514 Пост имею право редактировать - ибо не пообвыкся еще к форуму и есть привычка ctrl+enter зажимать))<br />А на Core Security свет клином не встал. Точно так же как и в стандарте не должно быть описания какими инструментами проводить аудит. <br /><br />P.S. Ну по всему видно г-н Loo любит быть правым а не искать правду. В таком ключе диалог никуда не ведет. dr_kennel Wed, 08 Jul 2009 00:02:02 +0400 http://forum.razved.info//index.php?t=155&p=1513#pp1513 http://forum.razved.info//index.php?t=155&p=1513#pp1513 Приятно мне читать то, что я вообще не понимаю.<br />Ну не 159-я, конечно. но чел явно мыслит в этом направлении.<br />Просто мелко. hound Wed, 08 Jul 2009 00:01:38 +0400 http://forum.razved.info//index.php?t=155&p=1512#pp1512 http://forum.razved.info//index.php?t=155&p=1512#pp1512 <b>dr_kennel</b> маленький совет на будущее, не редактируйте после опубликования посты без ремарки "Отредактировано", это плохой стиль. После приведенной ссылки на один из миллиона пентестер-фреймворк мне не интересно уже, на самом деле, разговаривать. Я бы понял, если бы была ссылка на продукты Core Security, а вот это аж грустно. Loo Tue, 07 Jul 2009 23:52:04 +0400 http://forum.razved.info//index.php?t=155&p=1511#pp1511 http://forum.razved.info//index.php?t=155&p=1511#pp1511 <i>О! Экстаз вообще :о))</i> А не будет ли Вам сложно, еще раз перечитать сообщение, и указать те моменты, где я "подозревал" Вас в проведении PCI DSS ? А не просто упомянул его в качестве одного из примеров? Мне как бы мало интересно на самом деле, так что вполне пойму, если Вы не обратите внимание на мой вопрос, корректный Вы наш. А вот осветить подробней, где же, пускай не в семействе ISO/IEC 27001, пускай даже в BSS, есть требования или рекомендации по использованию вот этой "социальной инженерии", как Вы выразились. Чувствую какой-то пробел громадный в подготовке, очень грустно это :о))) Хотя признаться честно, не участвовал ни разу в аудит СУИБ поставленного по ISO/IEC 27001. Loo Tue, 07 Jul 2009 23:42:52 +0400 http://forum.razved.info//index.php?t=155&p=1510#pp1510 http://forum.razved.info//index.php?t=155&p=1510#pp1510 <br>Loo написал:<blockquote><div style="height:1px;width:1px;overflow:hidden">[q]</div>при подготовке аудита на соответствие стандарту PCI DSS<div style="height:1px;width:1px;overflow:hidden">[/q]</div></blockquote><br />Вы путаете мокрое с холодным. Я не говорил ни слова о PCI DSS, к тому же:<br /><br />"Требования стандарта PCI DSS распространяется на организации, обрабатывающие информацию о держателях платежных карт. Если организация хранит, обрабатывает или передает в течение года информацию хотя бы об одной карточной транзакции или владельце платежной карты, то она должна соответствовать требованиям стандарта PCI DSS. Примерами таких организаций являются торгово-сервисные предприятия (розничные магазины и службы электронной коммерции), а также поставщики услуг, связанных с обработкой, хранением и передачей карточной информации (процессинговые центры, платежные шлюзы, call-центры, хранилища носителей резервных копий данных, организации, участвующие в персонализации карт и т. п.)."<br /><br />А есть еще такой стандасрт как ISO/IEC 27001. Вот на соответствие ему чаще всего и порводится тест на проникновение. В общемировой практике проведения пентестов это нормально. Посмотрите например сюда - www.vulnerabilityassessment.co.uk/Penetration%20Test.html <br /><br />И к тому же - хозяин (бизнеса) - барин, . <img src="http://forum.razved.info//smiles/wink.gif" align=absmiddle alt=":wink:"> dr_kennel Tue, 07 Jul 2009 23:22:51 +0400 http://forum.razved.info//index.php?t=155&p=1508#pp1508 http://forum.razved.info//index.php?t=155&p=1508#pp1508 А некоторые мои коллеги говорят. что лучше подходит статья по ОПГ (номер не помню, сорри). Не один же Вы... hound Tue, 07 Jul 2009 23:03:24 +0400 http://forum.razved.info//index.php?t=155&p=1507#pp1507 http://forum.razved.info//index.php?t=155&p=1507#pp1507 О, весело как :о)) <b>dr_kennel</b> при проведении пентестов, при подготовке аудита на соответствие стандарту PCI DSS используются приемы социотехник. Мало того, <b>Рекомендуется</b> использование социотехник. Которые, по моему скромному мнению, полностью попадают в определение КР. Так как проводятся <b>исключительно на основе информации из открытых источников</b> в актуальных на момент проведения теста точках коммуникаций (электронная почта, телефония, и т.д.) Физически инфильтрация в периметр обычно не разрешена, и в рамках PCI DSS не требуется. Ну конечно, если такое проникновение не указанно в договоре. Не указано в договоре явной ссылки на стандарт, такое требующий, значит Вы нарушили закон. Нет в договоре условия о проведени теста на попытку физического проникновения, Вы нарушили закон. <br />Но я не знаю ни одного стандарта, который содержит такое требование. За исключением военных. <br /> Loo Tue, 07 Jul 2009 22:56:19 +0400