<html><body><div style="color:#000; background-color:#fff; font-family:times new roman, new york, times, serif;font-size:10pt">as of this morning I was told to not spend any more time finding a pen tester.    <br><br>I predict, 2 weeks from now, I'll be asked "have you found a pen tester yet?!"<br><br>my. brain. is. melting.<br><br><div style="font-family: times new roman, new york, times, serif; font-size: 10pt;"> <div style="font-family: times new roman, new york, times, serif; font-size: 12pt;"> <div dir="ltr"> <hr size="1">  <font face="Arial" size="2"> <b><span style="font-weight:bold;">From:</span></b> Stephen Kraus <ub3ratl4sf00@gmail.com><br> <b><span style="font-weight: bold;">To:</span></b> Chattanooga Unix Gnu Android Linux Users Group <chugalug@chugalug.org> <br> <b><span style="font-weight: bold;">Sent:</span></b> Thursday, March 27, 2014 10:15 AM<br> <b><span style="font-weight: bold;">Subject:</span></b> Re:
 [Chugalug] penetrate me!<br> </font> </div> <div class="y_msg_container"><br><div id="yiv2430611810"><div><div dir="ltr">Man, sounds like the company I'm working for: All the IT got left by the wayside and was in a mess when I came in.</div><div class="yiv2430611810gmail_extra"><br clear="none"><br clear="none"><div class="yiv2430611810yqt4514325144" id="yiv2430611810yqtfd29955"><div class="yiv2430611810gmail_quote">On Thu, Mar 27, 2014 at 9:34 AM, Christopher Rimondi <span dir="ltr"><<a rel="nofollow" shape="rect" ymailto="mailto:chris.rimondi@gmail.com" target="_blank" href="mailto:chris.rimondi@gmail.com">chris.rimondi@gmail.com</a>></span> wrote:<br clear="none">
<blockquote class="yiv2430611810gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;"><div dir="ltr">Unfortunately it is probably just due diligence and who you have perform it will not be as important as that you had it done. If your client has someone who mildly knows what they are doing they may look at the scope of the test. Without knowing more information about your situation the things I would look at when hiring someone like this are their experience, references, insurance, etc...<div>

<br clear="none"></div><div>I will give Stephen Haywood a good recommendation FWIW.</div></div><div class="yiv2430611810gmail_extra"><div><div class="yiv2430611810h5"><br clear="none"><br clear="none"><div class="yiv2430611810gmail_quote">On Thu, Mar 27, 2014 at 8:58 AM, Joseph Simoneau <span dir="ltr"><<a rel="nofollow" shape="rect" ymailto="mailto:joseph.simoneau@gmail.com" target="_blank" href="mailto:joseph.simoneau@gmail.com">joseph.simoneau@gmail.com</a>></span> wrote:<br clear="none">

<blockquote class="yiv2430611810gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;"><div dir="ltr">If it'll satisfy your requirements for professionalism, I can get in contact with the greyhat club at Georgia tech.</div>


<div dir="ltr">We're all students, mostly undergrads, but I'm sure we'd love to put a team together for travel (if necessary, not sure what scenarios you're looking at), possibly a pittance, and resume fodder.</div>



<div dir="ltr">Some of us definitely know what we're doing; some have interned or co-op'd; and graduates tend to get hired by firms like PWC and BishopFox. </div>
<div dir="ltr">If you're interested, send me some information, and I'll ask for interest at the meeting tonight. </div><span><font color="#888888">
</font></span><div dir="ltr">-js</div>
<div style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;"><div><div><div><div style="font-size:10pt;font-family:times new roman, new york, times, serif;">Our "network administrator" at the main office quit over a year ago and a replacement was never hired.<br clear="none">


<a rel="nofollow" shape="rect" target="_blank" href="http://www.linkedin.com/pub/christopher-silver/7/6a8/341">http://www.linkedin.com/pub/christopher-silver/7/6a8/341</a><br clear="none"><br clear="none">Our "network administrator" at our "NOC" quit over a year ago and never got replaced.<span><br clear="none">


<a rel="nofollow" shape="rect" target="_blank" href="http://www.linkedin.com/in/mlaman">www.linkedin.com/in/mlaman</a></span><br clear="none"><br clear="none">Our "phone system guy" quit a year ago, a replacement was hired, but I've seen him, like, once.  When the phone/fax systems goes down, they call ME.<br clear="none">


<a rel="nofollow" shape="rect" target="_blank" href="http://www.linkedin.com/profile/view?id=49461976">http://www.linkedin.com/profile/view?id=49461976</a><br clear="none"><br clear="none">So guess what?  I and one of the other programmers on my team inherited all these extra support duties (without a single f'ing penny of a pay raise, mind you).<br clear="none">


<br clear="none">We inherited hardware and software that hasn't been updated in years (insert career-damaging-but-painfully-true
 my-boss-is-a-cheap-bastard-and-doesn't-spend-money-on-upgrades comment here)<br clear="none"><br clear="none">We know basic firewall, iptables, am mindful of sql injection, can install/run/monitor virus scanners etc, but we are not security experts nor do we play one on t.v.    <br clear="none">


<br clear="none">If this situation wasn't stressful enough, it has now come to a boil as a potential (big!) client "demands" proof of pen testing before they will let us host their data.    At this point I'm spread way to thin and told my boss today that he needs to crack open that wallet and hire an outside pen tester.    Anyone on the list "qualified" to do it?    Willing to work for peanuts?<br clear="none">


<br clear="none">What defines a qualified pen tester?  I see what appears to be "free" software I could download and run myself, if I was inclined to take on more responsibility w/o pay.    I suppose this free software would be a "good start" but is a pen test done
 by an "internal" employee good enough for the client, I doubt it.<br clear="none"><br clear="none"><br clear="none"><div><br clear="none"></div></div></div><br clear="none"></div></div><div>_______________________________________________<br clear="none">
Chugalug mailing list<br clear="none">
<a rel="nofollow" shape="rect" ymailto="mailto:Chugalug@chugalug.org" target="_blank" href="mailto:Chugalug@chugalug.org">Chugalug@chugalug.org</a><br clear="none">
<a rel="nofollow" shape="rect" target="_blank" href="http://chugalug.org/cgi-bin/mailman/listinfo/chugalug">http://chugalug.org/cgi-bin/mailman/listinfo/chugalug</a><br clear="none">
<br clear="none"></div></div>
<br clear="none">_______________________________________________<br clear="none">
Chugalug mailing list<br clear="none">
<a rel="nofollow" shape="rect" ymailto="mailto:Chugalug@chugalug.org" target="_blank" href="mailto:Chugalug@chugalug.org">Chugalug@chugalug.org</a><br clear="none">
<a rel="nofollow" shape="rect" target="_blank" href="http://chugalug.org/cgi-bin/mailman/listinfo/chugalug">http://chugalug.org/cgi-bin/mailman/listinfo/chugalug</a><br clear="none">
<br clear="none"></blockquote></div><br clear="none"><br clear="all"><div><br clear="none"></div></div></div><span class="yiv2430611810HOEnZb"><font color="#888888">-- <br clear="none"></font></span><div dir="ltr">Chris Rimondi | <a rel="nofollow" shape="rect" target="_blank" href="http://twitter.com/crimondi">http://twitter.com/crimondi</a> | <a rel="nofollow" shape="rect" target="_blank" href="http://securitygrit.com/">securitygrit.com</a></div>


</div>
<br clear="none">_______________________________________________<br clear="none">
Chugalug mailing list<br clear="none">
<a rel="nofollow" shape="rect" ymailto="mailto:Chugalug@chugalug.org" target="_blank" href="mailto:Chugalug@chugalug.org">Chugalug@chugalug.org</a><br clear="none">
<a rel="nofollow" shape="rect" target="_blank" href="http://chugalug.org/cgi-bin/mailman/listinfo/chugalug">http://chugalug.org/cgi-bin/mailman/listinfo/chugalug</a><br clear="none">
<br clear="none"></blockquote></div><br clear="none"></div></div></div></div><br><div class="yqt4514325144" id="yqtfd95682">_______________________________________________<br clear="none">Chugalug mailing list<br clear="none"><a shape="rect" ymailto="mailto:Chugalug@chugalug.org" href="mailto:Chugalug@chugalug.org">Chugalug@chugalug.org</a><br clear="none"><a shape="rect" href="http://chugalug.org/cgi-bin/mailman/listinfo/chugalug" target="_blank">http://chugalug.org/cgi-bin/mailman/listinfo/chugalug</a><br clear="none"></div><br><br></div> </div> </div>  </div></body></html>