Paolo Perego
Paolo Perego Specialista di sicurezza applicativa e certificato OSCE e OSCP, amo spaccare e ricostruire il codice in maniera sicura. Sono cintura nera di taekwon-do, marito e papà. Ranger Caotico Neutrale, scrivo su @codiceinsicuro.

Quanto costa un pentest?

Quanto costa un pentest? Photo by on Unsplash
1080 parole - Lo leggerai in 6 minuti

Chi di voi non si è mai sentito rivolgere questa domanda, dopo aver descritto il perché serve testare un sito alla ricerca di issue di security?

Ma quanto costerebbe fare questo penetration test?

Magari specificando già in anticipo il budget che si avrebbe a disposizione:

Sì, ho capito l’attività, ma io a budget ho 1000 €

Storie di vita vissuta: la quotazione pilotata

Quando non buco siti e revisiono codice per il mio datore di lavoro, la sera dopo aver letto la storia ai bimbi faccio qualche attività come freelance (se ci sono).

L’anno scorso a Gennaio mi contatta un Senior Project Manager di una webagency con cui avevo fatto una bella attività di test su un portale concorso per un lettore di ebook. Soddisfatto io con un bel po’ di findings, soddisfatto il cliente, soddisfatta la webagency. Tutti contenti. Bene.

Qualche mese dopo quel lavoro, a Gennaio appunto, mi contatta un nuovo referente dell’agenzia che mi chiede una quotazione per il penetration test di un’applicazione web per un loro cliente.

Io gli faccio qualche domanda per capire di cosa stiamo parlando e la risposta per “ma quanto è grande l’applicazione? quanto è complessa? me la puoi descrivere?” la risposta è stata:

Noi l’applicazione non l’abbiamo ancora scritta, ma non sarà complessa vedrai e comunque per l’attività non ho a budget più di 400€. Tuttavia poi faremo tanti lavori insieme, abbiamo tanti progetti e blablabla.

Purtroppo ci sono troppi professionisti nel mio campo che, di fronte ad un cretino simile, calano le brache e credono alle promesse di una lunga e duratura collaborazione per qualche tozzo di pane. Tenete conto che l’analisi di quel progetto sarebbe stata ibrida, pentest e code review.

Inutile dire che dopo aver detto loro che non era modo di lavorare, soprattutto con un profilo senior, e che il budget stimato era ridicolo, i rapporti si sono interrotti qui.

Buono sì, fesso no.

Lo fareste con altri professionisti?

Un po’ come se voi andaste in un negozio di elettrodomestici, dicendo al commesso “voglio esattamente quel televisore. Quanto costa? Ah, tenga presente che io non ho più di 800€” e abbiate indicato l’ultimo modello LCD 3D che sul mercato tocca i 2K.

Un po’ come se voi andaste in gioielleria, dicendo al commesso “senta io vorrei un anello d’oro con incastonati sopra almeno 3 carati di diamanti. Però guardi, io non voglio spendere più di 500€”.

Un po’ come se voi andaste dal concessionario, dicendo all’addetto vendite “senta io vorrei l’ultimo modello di SUV nella versione full optional. Però guardi, io non spendo più di 20K ma non si preoccupi che mando qui mio cuGGino a prendere tante auto”.

Il Senior Project Manager di quella webagency come si sarebbe rivolto ad un altro professionista in un campo non ICT?

Probabilmente non avrebbe tenuto la cresta alta pensando di essere una divinità nel campo dei media e della comunicazione digitale. Probabilmente avrebbe sì previsto un budget massimo, realistico, e avrebbe contrattato dopo la quotazione.

Come fare una stima realistica? Quanto costa un penetration test?

Ritorniamo quindi alla nostra domanda iniziale: “quanto costa un penetration test?”. La risposta corretta a questa domanda è… suspence… dipende.

Il primo fattore, quello base che determina il costo di un’attività di application security, è chiaramente la seniority del professionista che hai di fronte.

Quando ho dovuto operarmi al crociato, sono andato a cercare il migliore in questo campo (opera anche nel settore pubblico, basta attendere qualche mese in lista d’attesa), non sono andato in un ospedale qualsiasi. Probabilmente avrei avuto una buona operazione comunque, tuttavia i dettagli nello scegliere il migliore fanno la differenza. La tecnica utilizzata, l’esperienza, le tecniche di riabilitazione e dopo 3 anni posso ancora fare sport dove le sollecitazioni al ginocchio sono molto violente.

Voi dovete fare un test di security, chi chiamareste? Magari per un sito poco importante, un sito vetrina, potrete affidarvi ad un profilo junior, magari per conoscervi reciprocamente e contenere i costi. Lui farebbe comunque esperienza e riceverebbe un giusto compenso.

Ma per un sito importante con premi in denaro, a chi affiderete il test? Decisamente ad un profilo più senior, che sicuramente costa di più ma ti da garanzie che non si limiterà a lanciare qualche tool e darti un report.

Il primo problema è proprio quello di saper scegliere il professionista e non pensare solo al risparmio, per avere comunque un proprio margine elevato sul progetto.

Parlando di cifre, una forchetta tra le 200 e le 300€ lorde al giorno per un junior non sono scandalose e invece per un senior qualcosa che può andare tra le 500 e le 700€. Sono cifre un po’ a naso, basate su quello che ho visto e che ho proposto in questi anni.

E’ chiaro che il nome blasonato potrebbe anche chiedervi di più. Il problema è se qualcuno si offre a meno. So che ingolosisce fare un test di security spendendo 400€ per una settimana di attività, ma praticamente è buttare via i soldi. Un professionista si fa pagare e deve essere pagato il giusto. Sottopagare un lavoro tecnico vuol dire che non hai di fronte un professionista, quindi stai dando soldi a qualcuno che farà un lavoro approssimativo e quindi stai buttando via i tuoi soldi.

Immagina se il sito che il tuo fantomatico cugino che fa pentest a 300€ viene bucato poco dopo il lancio. Lui in fondo è junior, non dico che è giustificato ma ci sta che la poca esperienza non garantisca il 100% dell’accuratezza. Tu fai una figura pessima con il tuo cliente. Il tuo cliente fa una figura peggiore con i propri clienti.

Nessuno vince, nessuno è contento.

Off by one

Dovremmo essere ormai abituati che un servizio va pagato in relazione al valore che ci porta, alla difficoltà nell’esecuzione e alla qualità che ci viene offerta. Questo, purtroppo, non vale ancora nel mondo delle yeah yeah startup innovative, anche se iniziano a vedersi qualche mosca bianca.

Sposando questa filosofia, scegliete con cura lo specialista a cui affidarvi e non decidete a priori un budget… affidatevi alle sue stime e magari cercate di capire insieme il perché di uhn preventivo che vi sembra troppo alto.

Sì, potete chiederne uno anche a me

UPDATE Stefano mi fa notare che le rate ipotizzate vanno bene nel caso si tratti di un freelance. Nel caso di società di consulenza, potete considerare un overhead di +50%.

Vuoi aiutarmi a portare avanti il progetto Codice Insicuro con una donazione? Fantastico, allora non ti basta che premere il pulsante qui sotto.

Supporta il progetto

comments powered by Disqus
Codice Insicuro, blog di Cyber Security, sviluppo sicuro, code review e altro.   Non perdere neanche un post, iscriviti ora alla mailing list