Security Professionals
- ipfw add deny all from eindgebruikers to any
Reacties (33)
27-07-2010, 13:30 door
SirDice
27-07-2010, 13:41 door
cpt_m_
Leuke hobby heb je trouwens! Virussen verzamelen, wil je ze delen?
wat is het verschil met de collectie van: http://www.offensivecomputing.net/
27-07-2010, 14:04 door
[Account Verwijderd]
[Verwijderd]
27-07-2010, 14:15 door
cpt_m_
Door Anthony_A: Dank, en nee, tenzij je bij een IT security bedrijf werkt en je bedrijf een abo wil kopen natuurlijk ;-)
:)
27-07-2010, 14:48 door
[Account Verwijderd]
[Verwijderd]
je kunt eens kijken op de site van www.b-able.nl
Nog geen ervaring met ze in de praktijk, alleen verkennende gesprekken gehad.
Eerste indruk is dat ze wel over ruime kennis beschikken.
Nog geen ervaring met ze in de praktijk, alleen verkennende gesprekken gehad.
Eerste indruk is dat ze wel over ruime kennis beschikken.
Helaas moet ik je bericht over B-able tegenspreken.
B-able heeft bij ons een keer geprobeerd om een VPN oplossing met hardware tokens te installeren.
De desbetreffende engineer had verschillende keren google en collega's nodig om de alleen de
installatie wizard door te komen...
Maar om een lang verhaal, kort te maken de installatie is nooit verder van de grond gekomen, maar
wel een gepeperde rekening sturen voor de engineer (=kluns) die langs geweest was.
Misschien is mijn ervaring kan natuurlijk een incident zijn, maar ik hoor binnen de IT-branch (met 12 jaar ervaring)
vaker slechte verhalen over B-able.
TIP: Vraag of ze de engineer die verstand van zaken heeft om bij het ontmoetingsgesprek te komen.
Op deze manier kan je gelijk zelf peilen hoe het zit met hun kennis.
B-able heeft bij ons een keer geprobeerd om een VPN oplossing met hardware tokens te installeren.
De desbetreffende engineer had verschillende keren google en collega's nodig om de alleen de
installatie wizard door te komen...
Maar om een lang verhaal, kort te maken de installatie is nooit verder van de grond gekomen, maar
wel een gepeperde rekening sturen voor de engineer (=kluns) die langs geweest was.
Misschien is mijn ervaring kan natuurlijk een incident zijn, maar ik hoor binnen de IT-branch (met 12 jaar ervaring)
vaker slechte verhalen over B-able.
TIP: Vraag of ze de engineer die verstand van zaken heeft om bij het ontmoetingsgesprek te komen.
Op deze manier kan je gelijk zelf peilen hoe het zit met hun kennis.
Ik weet dat hier http://www.securedbyweb.nl/pm_template_columns_3.asp?PageID=2&mid=1 iemand werkt(te) die hierin is gespecialiseerd met zeer veel ervaring
Beter zoeken ;). Geen ervaringen: ITSX; Kahuna; Tunix; Dexlab; Secundity; KPMG; Viraso-it; ISSX; Capgemini; Sogetti; Akita; Obit; Cigital; Onsight; Classity; Paradoslabs; Secyourit; Vanveen.
Ongetwijfeld nog veel meer.
Ongetwijfeld nog veel meer.
Uitgebreid pen-testen is nutteloos, het had misschien wat nut 10 jaar geleden toen er schijnbaar nog maar weinig lekken bestonden, maar nu zeker niet meer. Laat het gewoon meteen hardenen. Onderdeel van het hardenen is controleren of alles correct is ingesteld.
28-07-2010, 15:34 door
cpt_m_
Door Anoniem: Uitgebreid pen-testen is nutteloos, het had misschien wat nut 10 jaar geleden toen er schijnbaar nog maar weinig lekken bestonden, maar nu zeker niet meer. Laat het gewoon meteen hardenen. Onderdeel van het hardenen is controleren of alles correct is ingesteld.
Correct me if i'm wrong: Doel van pentesting is om alles in kaart te brengen hierna ga je alles hardenen zoals jij dat noemt.Door cpt(m):
Door Anoniem: Uitgebreid pen-testen is nutteloos, het had misschien wat nut 10 jaar geleden toen er schijnbaar nog maar weinig lekken bestonden, maar nu zeker niet meer. Laat het gewoon meteen hardenen. Onderdeel van het hardenen is controleren of alles correct is ingesteld.
Correct me if i'm wrong: Doel van pentesting is om alles in kaart te brengen hierna ga je alles hardenen zoals jij dat noemt.Sure, I'll correct you. Er is helemaal niets wat jij kan doen met pen-testing dat je niet veel beter kan met hardenen (al is gewoon een veilig design van de grond af oneindig veel beter dan "hardenen" achteraf).
Het gevolg van pen-testing is niets meer dan het creëren van een suggestie van veiligheid. 't is spannend en leuk voor ex-hackertjes en kiddies, maar verder van geen belang. Bedrijfs-economisch gezien een desinvestering. Besteed je geld aan het máken van security.
Door Anoniem: Ik weet dat hier http://www.securedbyweb.nl/pm_template_columns_3.asp?PageID=2&mid=1 iemand werkt(te) die hierin is gespecialiseerd met zeer veel ervaring
Bedankt voor het compliment!!
Greetingz,
Jacco
Fox-IT, Madison, ITsec & Pine zijn wel de vier die de meeste pentests doen in Nederland denk ik (en mensen hebben die full-time pentests doen). Ik werk voor een van die vier maar ze kunnen allemaal wel een dergelijke pentest uitvoeren. Ik zou zeggen vraag gewoon offertes aan en kijk wie het beste je vraag kan beantwoorden. Er zijn ook genoeg kleine bedrijfjes die pentests doen, sommige zijn goed, de meeste verkopen geautomatiseerde scans als 'pentests', het is dan vaak lastig kwaliteit te bepalen.
Hardenen is leuk, maar je weet pas of het werkt als je het test. Meestal is er ook in gehardende netwerken genoeg om je op uit te leven als pentester. Het komt inderdaad vaak uit pentests dat systemen niet of slecht gehardened zijn, maar de problemen los je doorgaans niet met alleen hardening op. Bovendien gaat het hier zo te zien vooral om een webapplicatietest en dan kan je hardenen wat je wil, maar het gaat niet veel uithalen.
Uitgebreid pen-testen is nutteloos, het had misschien wat nut 10 jaar geleden toen er schijnbaar nog maar weinig lekken bestonden, maar nu zeker niet meer. Laat het gewoon meteen hardenen. Onderdeel van het hardenen is controleren of alles correct is ingesteld.
Hardenen is leuk, maar je weet pas of het werkt als je het test. Meestal is er ook in gehardende netwerken genoeg om je op uit te leven als pentester. Het komt inderdaad vaak uit pentests dat systemen niet of slecht gehardened zijn, maar de problemen los je doorgaans niet met alleen hardening op. Bovendien gaat het hier zo te zien vooral om een webapplicatietest en dan kan je hardenen wat je wil, maar het gaat niet veel uithalen.
Ik zou als eens een kijkje gaan nemen bij PHiSH IT Security. Dat is een klein bedrijf met een gigantisch hoeveelheid kennis aan boord.
Ik heb er zelf goeie ervaringen mee tegen een relatief lage prijs, als je interesse hebt kun je contact gegevens vind op de website (phish.nl, ik zie dat de nieuwe website helaas nog niet helemaal af is)
Ik heb er zelf goeie ervaringen mee tegen een relatief lage prijs, als je interesse hebt kun je contact gegevens vind op de website (phish.nl, ik zie dat de nieuwe website helaas nog niet helemaal af is)
heh, lol.
phish.nl een security bedrijf.. ze hebben zelf een xss vulnerability in hun contact form.
heb ze al gemaild. *zucht*
phish.nl een security bedrijf.. ze hebben zelf een xss vulnerability in hun contact form.
heb ze al gemaild. *zucht*
01-12-2010, 20:09 door
Syzygy
Ik ken het (niveau van het) europese EH team van BT en kan deze aanbevelen.
Door Anoniem:
Helaas moet ik je bericht over B-able tegenspreken.
B-able heeft bij ons een keer geprobeerd om een VPN oplossing met hardware tokens te installeren.
De desbetreffende engineer had verschillende keren google en collega's nodig om de alleen de
installatie wizard door te komen...
Maar om een lang verhaal, kort te maken de installatie is nooit verder van de grond gekomen, maar
wel een gepeperde rekening sturen voor de engineer (=kluns) die langs geweest was.
Misschien is mijn ervaring kan natuurlijk een incident zijn, maar ik hoor binnen de IT-branch (met 12 jaar ervaring)
vaker slechte verhalen over B-able.
TIP: Vraag of ze de engineer die verstand van zaken heeft om bij het ontmoetingsgesprek te komen.
Op deze manier kan je gelijk zelf peilen hoe het zit met hun kennis.
Helaas moet ik je bericht over B-able tegenspreken.
B-able heeft bij ons een keer geprobeerd om een VPN oplossing met hardware tokens te installeren.
De desbetreffende engineer had verschillende keren google en collega's nodig om de alleen de
installatie wizard door te komen...
Maar om een lang verhaal, kort te maken de installatie is nooit verder van de grond gekomen, maar
wel een gepeperde rekening sturen voor de engineer (=kluns) die langs geweest was.
Misschien is mijn ervaring kan natuurlijk een incident zijn, maar ik hoor binnen de IT-branch (met 12 jaar ervaring)
vaker slechte verhalen over B-able.
TIP: Vraag of ze de engineer die verstand van zaken heeft om bij het ontmoetingsgesprek te komen.
Op deze manier kan je gelijk zelf peilen hoe het zit met hun kennis.
12 jaar ervaring in de IT en dan als anoniem gaan roepen in een forum topic over het pentesten van website, dat bij jou club VPN oplossing niet naar behoren was geïnstalleerd? Vreemd hoor, ik heb daarentegen wel goede ervaringen met B-Able. Token oplossingen, encryptie, alles werkt goed en goede support.
Maar volgens mij focust B-Able zich niet op website pentesting maar voornamelijk security assesments van virtuele omgevingen. Op de website staat van wel dat ze iets met Web Threat Vulnerability assessments doen, misschien kun je eens informeren wat de mogelijkheden zijn.
De tip is altijd goed; vragen of er een engineer bij het ontmoetingsgesprek kan zijn is altijd handig omdat je dan sneller je vragen beantwoordt krijgt.
"Sure, I'll correct you. Er is helemaal niets wat jij kan doen met pen-testing dat je niet veel beter kan met hardenen (al is gewoon een veilig design van de grond af oneindig veel beter dan "hardenen" achteraf)."
Sure, en nadat iets gehardened is test jij zeker niet, bijvoorbeeld met een pentest, of het goed gedaan is ? Natuurlijk moet er aan hardening gedaan worden, maar het is altijd goed om vervolgens een externe partij in te schakelen om te kijken of er nog zaken te verbeteren zijn. Tenzij je natuurlijk zo perfect bent dat je nooit een second opinion wilt.
Sure, en nadat iets gehardened is test jij zeker niet, bijvoorbeeld met een pentest, of het goed gedaan is ? Natuurlijk moet er aan hardening gedaan worden, maar het is altijd goed om vervolgens een externe partij in te schakelen om te kijken of er nog zaken te verbeteren zijn. Tenzij je natuurlijk zo perfect bent dat je nooit een second opinion wilt.
Pen test is volgens QCIC.nl meer voor de leuk dan voor de handig, staat op hun site. En ze vertellen ook waarom.
Zeer serieus hardenen kunnen die gasten wel, maar dan infrastructuren die als prime target gezien worden, niet voor hobbie projectjes.
Pas alweer een paar keer als adviseurs genoemd bij grote headline verhalen in de media van noorwegen. Een paar jaar geleden ook al zo iets in australie.
bijzonder vreemd clubje ;-)
Wees zo vrij om ze om advies te vragen zou ik zeggen.
Zeer serieus hardenen kunnen die gasten wel, maar dan infrastructuren die als prime target gezien worden, niet voor hobbie projectjes.
Pas alweer een paar keer als adviseurs genoemd bij grote headline verhalen in de media van noorwegen. Een paar jaar geleden ook al zo iets in australie.
bijzonder vreemd clubje ;-)
Wees zo vrij om ze om advies te vragen zou ik zeggen.
Door Anoniem: je kunt eens kijken op de site van www.b-able.nl
Nog geen ervaring met ze in de praktijk, alleen verkennende gesprekken gehad.
Eerste indruk is dat ze wel over ruime kennis beschikken.
Nog geen ervaring met ze in de praktijk, alleen verkennende gesprekken gehad.
Eerste indruk is dat ze wel over ruime kennis beschikken.
Als je naar de beveiliging van hun website kijkt, lijkt 't wel mee te vallen met die 'ruime kennis'.
lijkt net zo'n tokotje als issx.nl, een paar standaard trucjes voor wie ze nog niet kent en er voor wil betalen.
dan kan je zeker beter naar pine.nl gaan, die hebben de kennis wel in huis.
Door Anoniem: Ik weet dat hier http://www.securedbyweb.nl/pm_template_columns_3.asp?PageID=2&mid=1 iemand werkt(te) die hierin is gespecialiseerd met zeer veel ervaring
You must be joking!
Hun infra is de typische Mickey$oft default install. Maar misschien mag die specialist alleen buiten de deur z'n specialisme laten zien ;-)
[/quote]Correct me if i'm wrong: Doel van pentesting is om alles in kaart te brengen hierna ga je alles hardenen zoals jij dat noemt.[/quote]
You are wrong :)
Eerst kijken hoe de deur precies open staat, en dan pas een degelijke deur bestellen, is alleen leuk voor 't uurtje factuurtje.
Je kan heel simpel binnen 5min zien of er wel of niet serieus aan beveiliging gedaan is, daar is zeker geen cowboy pen-test voor nodig.
You are wrong :)
Eerst kijken hoe de deur precies open staat, en dan pas een degelijke deur bestellen, is alleen leuk voor 't uurtje factuurtje.
Je kan heel simpel binnen 5min zien of er wel of niet serieus aan beveiliging gedaan is, daar is zeker geen cowboy pen-test voor nodig.
Door Anoniem: Ik zou als eens een kijkje gaan nemen bij PHiSH IT Security. Dat is een klein bedrijf met een gigantisch hoeveelheid kennis aan boord.
Ik heb er zelf goeie ervaringen mee tegen een relatief lage prijs, als je interesse hebt kun je contact gegevens vind op de website (phish.nl, ik zie dat de nieuwe website helaas nog niet helemaal af is)
Ik heb er zelf goeie ervaringen mee tegen een relatief lage prijs, als je interesse hebt kun je contact gegevens vind op de website (phish.nl, ik zie dat de nieuwe website helaas nog niet helemaal af is)
Ja....ja....
Zeker nog niet af ja, niet eens basis hardening gedaan, wel default (enter)(enter)(enter) install.
Maar zullen wel van mening zijn dat het niet belangrijk is, en aan hun default template + stock foto's web site maker is om dat voor hun te doen, ofzo?
Ben nu wel nieuwsgierig wat PHiSH denkt toe te gaan voegen aan de markt?
Door Anoniem: Wij van TUNIX adviseren TUNIX... ;-))
Wij niet van Tunix adviseren dat Tunix z'n "Server: TUNIX-httpscreen/4.0" config toch nog eens even helemaal laat bekijken. Lijkt er op dat dat al een tijdje niet meer goed gedaan is en er nu wat langs glipt.
Al waren wat mensen van hun die bij de ING binnen zaten wel goed bezig, en kan een van die mensen ook goed BBQ'n ;-)
Door Anoniem:
Pen test is volgens QCIC.nl meer voor de leuk dan voor de handig, staat op hun site. En ze vertellen ook waarom.
Zeer serieus hardenen kunnen die gasten wel, maar dan infrastructuren die als prime target gezien worden, niet voor hobbie projectjes.
Pas alweer een paar keer als adviseurs genoemd bij grote headline verhalen in de media van noorwegen. Een paar jaar geleden ook al zo iets in australie.
bijzonder vreemd clubje ;-)
Wees zo vrij om ze om advies te vragen zou ik zeggen.
Pen test is volgens QCIC.nl meer voor de leuk dan voor de handig, staat op hun site. En ze vertellen ook waarom.
Zeer serieus hardenen kunnen die gasten wel, maar dan infrastructuren die als prime target gezien worden, niet voor hobbie projectjes.
Pas alweer een paar keer als adviseurs genoemd bij grote headline verhalen in de media van noorwegen. Een paar jaar geleden ook al zo iets in australie.
bijzonder vreemd clubje ;-)
Wees zo vrij om ze om advies te vragen zou ik zeggen.
Waarom doen al of je niet van dat 'clubje' bent, als 't zo duidelijk is dat jij gewoon voor verkopertje speeld ?
En dat dan ook nog op dit forum, waar potentiele klanten zeker nooit komen, omdat ze al die nerdy ver plas wedstrijdjes niet grappig vinden.
Groetjes,
Tante anna.
Ik weet er niet veel van af. Maar had op school ooit een filmpje over Govcert. Zouden aan overheidsbeveiliging doen. Verder is Fox-IT natuurlijk prima.
Door Anoniem: "Sure, I'll correct you. Er is helemaal niets wat jij kan doen met pen-testing dat je niet veel beter kan met hardenen (al is gewoon een veilig design van de grond af oneindig veel beter dan "hardenen" achteraf)."
Sure, en nadat iets gehardened is test jij zeker niet, bijvoorbeeld met een pentest, of het goed gedaan is ? Natuurlijk moet er aan hardening gedaan worden, maar het is altijd goed om vervolgens een externe partij in te schakelen om te kijken of er nog zaken te verbeteren zijn. Tenzij je natuurlijk zo perfect bent dat je nooit een second opinion wilt.
Sure, en nadat iets gehardened is test jij zeker niet, bijvoorbeeld met een pentest, of het goed gedaan is ? Natuurlijk moet er aan hardening gedaan worden, maar het is altijd goed om vervolgens een externe partij in te schakelen om te kijken of er nog zaken te verbeteren zijn. Tenzij je natuurlijk zo perfect bent dat je nooit een second opinion wilt.
Natuurlijk test je of het goed gedaan is, maar een pen-test is daarbij maar een marginaal hulpmiddel. Pen-tests zijn vooral goed in false positives en false negatives, naast het herkennen van oude lekken. Het geeft een vals gevoel van veiligheid.
Kijk vooral naar de werkelijke staat van de beveiliging. Dat wil dus zeggen op het systeem zelf. Dat is waar het echt om gaat.
Dag Anton,
Ik lees net je berichtje van 6 maand geleden. Ik ben erg benieuwd welke organisatie je uitgekozen hebt toentertijd voor je pentesten. Heb je ooit wel eens gedacht aan Sogeti? een internationale club die samen met ESEC Frankrijk en OWASP zich heeft gespecialiseerd in security en (pen)testen. Wellicht een idee om aldaar bij de afd Solutions je licht voor toekomstige testen op te zetten?
groetjes
Vincent
Ik lees net je berichtje van 6 maand geleden. Ik ben erg benieuwd welke organisatie je uitgekozen hebt toentertijd voor je pentesten. Heb je ooit wel eens gedacht aan Sogeti? een internationale club die samen met ESEC Frankrijk en OWASP zich heeft gespecialiseerd in security en (pen)testen. Wellicht een idee om aldaar bij de afd Solutions je licht voor toekomstige testen op te zetten?
groetjes
Vincent
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
