<html>
  <head>
    <meta content="text/html; charset=ISO-8859-1"
      http-equiv="Content-Type">
  </head>
  <body bgcolor="#FFFFFF" text="#000000">
    <div class="moz-cite-prefix">I've dealt with pentesters before, it's
      kind of aggravating when I have working exploits they don't find
      and we're forking over tons of money for them to go on some
      tangent that results in nothing... :\<br>
      <br>
      Though I as I understand it the market is going the way of SEO and
      the like, once valid, now full of a lot of people that barely know
      how to do it and will just run the same tools you found and charge
      you insane amounts of money for it.<br>
      <br>
      Your client will probably want someone that can rubber stamp a pen
      test on you, so sadly it'll take more than someone that just <i>knows</i>
      security but can give you the paperwork to back it up and a
      company name.<br>
      <br>
      <pre class="moz-signature" cols="72">William Roush
<a class="moz-txt-link-abbreviated" href="mailto:william.roush@roushtech.net">william.roush@roushtech.net</a>
423-463-0592

<a class="moz-txt-link-freetext" href="http://www.roushtech.net/blog/">http://www.roushtech.net/blog/</a>


</pre>
      On 3/27/2014 12:58 AM, Ed King wrote:<br>
    </div>
    <blockquote
      cite="mid:1395896320.57172.YahooMailNeo@web184805.mail.gq1.yahoo.com"
      type="cite">
      <div style="color:#000; background-color:#fff; font-family:times
        new roman, new york, times, serif;font-size:10pt">Our "network
        administrator" at the main office quit over a year ago and a
        replacement was never hired.<br>
        <a class="moz-txt-link-freetext" href="http://www.linkedin.com/pub/christopher-silver/7/6a8/341">http://www.linkedin.com/pub/christopher-silver/7/6a8/341</a><br>
        <br>
        Our "network administrator" at our "NOC" quit over a year ago
        and never got replaced.<span><br>
          <a class="moz-txt-link-abbreviated" href="http://www.linkedin.com/in/mlaman">www.linkedin.com/in/mlaman</a></span><br>
        <br>
        Our "phone system guy" quit a year ago, a replacement was hired,
        but I've seen him, like, once.  When the phone/fax systems goes
        down, they call ME.<br>
        <a class="moz-txt-link-freetext" href="http://www.linkedin.com/profile/view?id=49461976">http://www.linkedin.com/profile/view?id=49461976</a><br>
        <br>
        So guess what?  I and one of the other programmers on my team
        inherited all these extra support duties (without a single f'ing
        penny of a pay raise, mind you).<br>
        <br>
        We inherited hardware and software that hasn't been updated in
        years (insert career-damaging-but-painfully-true
        my-boss-is-a-cheap-bastard-and-doesn't-spend-money-on-upgrades
        comment here)<br>
        <br>
        We know basic firewall, iptables, am mindful of sql injection,
        can install/run/monitor virus scanners etc, but we are not
        security experts nor do we play one on t.v.    <br>
        <br>
        If this situation wasn't stressful enough, it has now come to a
        boil as a potential (big!) client "demands" proof of pen testing
        before they will let us host their data.    At this point I'm
        spread way to thin and told my boss today that he needs to crack
        open that wallet and hire an outside pen tester.    Anyone on
        the list "qualified" to do it?    Willing to work for peanuts?<br>
        <br>
        What defines a qualified pen tester?  I see what appears to be
        "free" software I could download and run myself, if I was
        inclined to take on more responsibility w/o pay.    I suppose
        this free software would be a "good start" but is a pen test
        done by an "internal" employee good enough for the client, I
        doubt it.<br>
        <br>
        <br>
        <div><br>
        </div>
      </div>
      <br>
      <fieldset class="mimeAttachmentHeader"></fieldset>
      <br>
      <pre wrap="">_______________________________________________
Chugalug mailing list
<a class="moz-txt-link-abbreviated" href="mailto:Chugalug@chugalug.org">Chugalug@chugalug.org</a>
<a class="moz-txt-link-freetext" href="http://chugalug.org/cgi-bin/mailman/listinfo/chugalug">http://chugalug.org/cgi-bin/mailman/listinfo/chugalug</a>
</pre>
    </blockquote>
    <br>
  </body>
</html>