<div dir="ltr">Unfortunately it is probably just due diligence and who you have perform it will not be as important as that you had it done. If your client has someone who mildly knows what they are doing they may look at the scope of the test. Without knowing more information about your situation the things I would look at when hiring someone like this are their experience, references, insurance, etc...<div>
<br></div><div>I will give Stephen Haywood a good recommendation FWIW.</div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Thu, Mar 27, 2014 at 8:58 AM, Joseph Simoneau <span dir="ltr"><<a href="mailto:joseph.simoneau@gmail.com" target="_blank">joseph.simoneau@gmail.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><p dir="ltr">If it'll satisfy your requirements for professionalism, I can get in contact with the greyhat club at Georgia tech.</p>

<p dir="ltr">We're all students, mostly undergrads, but I'm sure we'd love to put a team together for travel (if necessary, not sure what scenarios you're looking at), possibly a pittance, and resume fodder.</p>


<p dir="ltr">Some of us definitely know what we're doing; some have interned or co-op'd; and graduates tend to get hired by firms like PWC and BishopFox. </p>
<p dir="ltr">If you're interested, send me some information, and I'll ask for interest at the meeting tonight. </p><span class="HOEnZb"><font color="#888888">
<p dir="ltr">-js</p>
</font></span><div style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div class="h5"><div><div style="font-size:10pt;font-family:times new roman,new york,times,serif">Our "network administrator" at the main office quit over a year ago and a replacement was never hired.<br>

<a href="http://www.linkedin.com/pub/christopher-silver/7/6a8/341" target="_blank">http://www.linkedin.com/pub/christopher-silver/7/6a8/341</a><br><br>Our "network administrator" at our "NOC" quit over a year ago and never got replaced.<span><br>

<a href="http://www.linkedin.com/in/mlaman" target="_blank">www.linkedin.com/in/mlaman</a></span><br><br>Our "phone system guy" quit a year ago, a replacement was hired, but I've seen him, like, once.  When the phone/fax systems goes down, they call ME.<br>

<a href="http://www.linkedin.com/profile/view?id=49461976" target="_blank">http://www.linkedin.com/profile/view?id=49461976</a><br><br>So guess what?  I and one of the other programmers on my team inherited all these extra support duties (without a single f'ing penny of a pay raise, mind you).<br>

<br>We inherited hardware and software that hasn't been updated in years (insert career-damaging-but-painfully-true
 my-boss-is-a-cheap-bastard-and-doesn't-spend-money-on-upgrades comment here)<br><br>We know basic firewall, iptables, am mindful of sql injection, can install/run/monitor virus scanners etc, but we are not security experts nor do we play one on t.v.    <br>

<br>If this situation wasn't stressful enough, it has now come to a boil as a potential (big!) client "demands" proof of pen testing before they will let us host their data.    At this point I'm spread way to thin and told my boss today that he needs to crack open that wallet and hire an outside pen tester.    Anyone on the list "qualified" to do it?    Willing to work for peanuts?<br>

<br>What defines a qualified pen tester?  I see what appears to be "free" software I could download and run myself, if I was inclined to take on more responsibility w/o pay.    I suppose this free software would be a "good start" but is a pen test done
 by an "internal" employee good enough for the client, I doubt it.<br><br><br><div><br></div></div></div><br></div></div><div class="">_______________________________________________<br>
Chugalug mailing list<br>
<a href="mailto:Chugalug@chugalug.org" target="_blank">Chugalug@chugalug.org</a><br>
<a href="http://chugalug.org/cgi-bin/mailman/listinfo/chugalug" target="_blank">http://chugalug.org/cgi-bin/mailman/listinfo/chugalug</a><br>
<br></div></div>
<br>_______________________________________________<br>
Chugalug mailing list<br>
<a href="mailto:Chugalug@chugalug.org">Chugalug@chugalug.org</a><br>
<a href="http://chugalug.org/cgi-bin/mailman/listinfo/chugalug" target="_blank">http://chugalug.org/cgi-bin/mailman/listinfo/chugalug</a><br>
<br></blockquote></div><br><br clear="all"><div><br></div>-- <br><div dir="ltr">Chris Rimondi | <a href="http://twitter.com/crimondi" target="_blank">http://twitter.com/crimondi</a> | <a href="http://securitygrit.com" target="_blank">securitygrit.com</a></div>

</div>