Door Siem: Bedankt voor de reacties, om te verduidelijken het gaat dus om een klant van mijn stagebedrijf waar zij zelf het beheer in handen hebben en daar ook veel te zeggen hebben binnen dat bedrijf (beetje kind aan huis). De pentest is niet noodzakelijk maar gewoon om als opdracht te gebruiken voor mijn stage. Mijn doel is om op basis van een aantal scans en door gebruik te maken van dergelijke tooling een advies uit te brengen over hoe veilig hun omgeving is. Ik ga ook geen onnodige risico's nemen als ik bijvoorbeeld een zwakte heb gevonden in een van de systemen door te proberen om echt in het systeem te komen. De pentest zal vrij oppervlakkig blijven.
De vraag is een beetje wat de schaal en verwachting zijn - van de eindklant, van je stagebedrijf, en van jou.
En wiens wens/idee de pentest is.
Er zitten hier wel heel veel mensen die achter elke kans een gevaar zien, en acteren alsof elke pentest op een Intensive Care hartmonitor uitgevoerd wordt, en iedere eindklant de intentie heeft om elke kans aan te grijpen om de leverancier het vel over de over te halen.
Dat is natuurlijk soms het geval - maar meestal niet .
Gezien jouw eigen gebrek aan ervaring , en het ontbreken van een begeleidende ervaren pentester, gaat het hooguit laaghangend fruit opleveren.
Dat is niet verkeerd - je moet beginnen met de grootste / simpelste problemen aan te pakken .
Er moet alleen niet de verwachting zijn dat ze daarna een überveilig perfecte situatie hebben - want de kans is groot dat jij niet alles vindt.
Ook _jouw_ verwachting moet je tempereren - je leert best een hoop door een keer iets zelf te _doen_ , maar wat je nu niet krijgt is feedback van een senior pentester, en sommige dingen zul je niet aan denken, of gewoon onhandig doen.
Het is hier wel prettig dat jouw stagebedrijf blijkbaar ook de beheerder is - dan wordt het praktisch gezien , wat jij stuk maakt mag en moet je (/jullie) ook zelf repareren .
Het is natuurlijk wel een 'slager keurt eigen vlees' geval - wat jij vindt aan problemen zijn problemen die je stagebedrijf gemaakt heeft, of heeft laten zitten.
Het wordt daarmee ook iets van een interne verbeterslag , waar moet je stagebedrijf meer op letten als ze dingen beheren bij een klant .
Wat ze daarmee naar de klant doen - overleg dat wel, want bij de eindklant roepen "jezus wat een brakke zooi hier" terwijl je stagebedrijf daarvoor verantwoordelijk is maak je geen vrienden mee. Je hoeft niet te liegen , maar het is niet aan jou om een zakelijke relatie kapot te maken.
Het *doel* van een vrijwaringsverklaring is uiteindelijk om je in te dekken - aangezien een pentest feitelijk neerkomt op computervredebreuk - en dus strafbaar is als het zonder toestemming van de eigenaar van de systemen gebeurt .
Daarnaast is er enig risico op verstoring , en daar ben je normaal gesproken ook aansprakelijk voor - en in de vrijwaringsverklaring wijs je op de mogelijkheid, beloof je zorgvuldig te zijn, en sluit je aansprakelijkheid als het toch nog misgaat uit.
Als de situatie inderdaad is zoals het klinkt - kleine IT dienstverlener die een goede relatie heeft met een kleine klant - wordt die soep niet zo heet gegeten.
Je bedrijf zal al weten wat er belangrijk is voor de klant , en hoe/wanneer je kunt testen zonder veel risico ('vrijdag na 15:00' ?) .
Zoek een aantal voorbeelden , lees ze grondig door, bedenk wat er nu eigenlijk staat, en bespreek dat met de accountmanager/directeur/jurist van je stagebedrijf .
In elk geval degene die weet wat het bedrijf *nu* contractueel (en daarnaast informeel) belooft aan de klant .
In de situatie 'beheerbedrijf doet pentest van door henzelf beheerde apparatuur' wordt het eerder een aanvulling op het bestaande beheercontract dan iets aparts .
Het wordt wel iets spannender als jij ook gaan pentesten tegen apparatuur van de klant zelf, of van andere leveranciers (gebouwsysteem ? internet gateway ? ) - daar moet je over nadenken , of misschien vanaf blijven.
En denk na over je eigen verwachtingen, en wat je uit je stage wilt of moet halen.
Je kunt 'm niet opvoeren als volwaardige stage "pentester" - wegens gebrek aan begeleiding.
Maar een stage als verbetering van een beheerde IT dienst, wegwerken van voor de hand liggende security problemen, en met het nodige eigen initiatief lijkt je prima op weg.
(kijk, een stagair bij een pentest toko die alleen maar de kant en klaar ingerichte tools start, vinkjes checked en er een rapport omheen flanst leert nou ook niet bijster veel - minder dan iemand die helemaal zelf begint met de tools en de problemen te onderzoeken )