Hlavní navigace

Názory k článku Webové aplikace s sebou přinášejí různě závažná rizika

  • Článek je starý, nové názory již nelze přidávat.
  • 29. 7. 2010 2:04

    Honza (neregistrovaný) ---.eurotel.cz

    Bezpečnostní rating tohoto typu a přijímaná protiopatření jsou pěkná blbost! Už jenom proto, že hodnoty neznáme, ale pouze odhadujeme a navíc se v ČASE VŠECHNY HODNOTY MĚNÍ!
    Například provozuji server s rodinnými alby pár kolegů. Pravděpodobnost útoku je někde mezi 0–5%. Za měsíc později, mi ale můj známý Bill Gates chce vyjádřit podporu tím, že se zaregistruje a nahraje své soukromé fotografie – pravděpodobnost útoku je nyní asi tak 10 000% :-DD
    Stejně tak se mění i cílová skupina útočníků – s každým členem, s každým novým uloženým bitem do webové aplikace. Nemůžeme totiž předpokládat KDO a CO tam zrovna uloží, tímpádem nemůžeme pracovat s dost důležitou proměnou, na které závisí celý zbytek všech ostatních předpokladů.
    Navíc ani nezáleží na tom, co je tam skutečně uložené, ale co si okolní svět myslí, že je tam uložené – hodnoty ratingu a potencionální rizika se tedy mění hlavně VNĚ webové aplikace.
    Rating tedy pracuje s omylem a jeho výsledek nemůže být nikdy jiný než mylný :-)

    Samozřejmě chápu tu potřebu lidí všechno vyjádřit čísly a nejlépe v bodech nebo ještě lépe v procentech. Ale to se speciálně u bezpečnosti NEDA. Nelze říct nebezpečí útoku je 5%; 65%; 80%… Vždy existují věci, které se nedají numericky zhodnotit.
    Ale kdo ví, třeba se jednou dozvím, že podle „musical classic ratingu“ byl Bach skladatel dobrý přesně na 91,685% :-DDD

  • 29. 7. 2010 5:21

    Savoj (neregistrovaný) ---.anonymouse.org

    Ty tomu zase nějak rozumíš. Samozřejmě že se jedná jen o odhady. Záleží na firmě, jak si nastaví hodnocení rizik. Podobné ratingy máš v každém seriózním auditu. Když děláš třeba pro banku bezpečnostní audit, tak klient chce vědět, jak jsou závažné jednotlivé nálezy.

  • 29. 7. 2010 6:16

    J (neregistrovaný) 2001:470:9e70:----:----:----:----:----

    Dyk jo, tupym managorum se predhodi cislicka, oni zaplati a spokojenost je oboustrana. Pokud se ty cislicka navic skulikujou tak, ze je nezbytne nutne koupit „reseni“ (nic jinyho managori nekupujou) firmy XYZ, tim lip.

  • 29. 7. 2010 8:41

    en (neregistrovaný) 212.27.218.---

    Uvedení v omyl s úmyslem získat majektový prospěch – až 3 roky nepodmíněně.

  • 29. 7. 2010 10:55

    sm (neregistrovaný) 83.240.52.---

    „Za použití metodiky X je riziko Y. Pokud koupíme řešení od Z, sníží se nám riziko na polovinu.“ – to není žádný omyl, to je jen nicneříkající blábol. Buď managor metodice věří, nebo je to manažer.

  • 30. 7. 2010 15:11

    Petr Závodský (neregistrovaný) ---.ecommerce.cz

    Jedná-li se o určení závažnosti rizik sebou vyvíjené aplikace, potom vlastně kupujete od sebe. Kolik lidí nasadíte na opravy? Kolik budete muset zaplatit za kvalitu vámi vyvíjené aplikace?
    Tím chci říci – že nemusíte kupovat řešení třetí strany a nemyslím si, že podobné způsoby určení závažnosti rizik zas tak často neslouží za účelem prodeje řešení.

  • 7. 8. 2010 15:48

    Tom (neregistrovaný) 94.230.147.---

    Právnickou osobu nemůžete uvěznit. Za veškeré škody samozřejmě neodpovídá, pokud to jen trochu půjde, má ve smlouvě klauzule typu „odlišný právní názor“.

  • 29. 7. 2010 12:37

    Honza (neregistrovaný) ---.eurotel.cz

    Já tomu právě rozumím hodně a proto se tomu směju :-) Tohle prostě nejde dělat „bodově“ nebo procentuálně. Problém je potřeba detailně popsat a neexistují na to tabulky, protože každý systém je v něčem originální a nelze ho zaškatulkovat.
    Lékaři si také předávají lékařské zprávy a nálezy a nedělají ratingy, že „srdce paní Novákové funguje na 83%“ :-D
    Ratingy jsou vždycky „pro blbce“, protože i hňup pozná větší číslo a tak se dokáže orientovat. Naopak pokud by se měl řídit vlastním mozkem, tak je vyřízenej.
    Pak ještě existuje druhý důvod ratingu a to je ten, že mají něco skrývat nebo protlačit něco někakm, co by běžným schvalováním neprošlo. Například bezpečnostní audit v bance, jak jste zmínil. Když si někdo přečte, že dopadnul na 96%, tak je v klidu a tím se banka vyhne zveřejňování podrobností. Takže například jedna banka, kde jsem kdysi pracoval, měla chybu v zabezpečení bankomatů, kdy bylo možné provést výběr z karty ještě cca 15 sekund po jejím VYTAZENI klientem – tedy PENIZE MOHLA VYBRAT NEOPRAVENA OSOBA BEZ SEBEMENSI NAMAHY. No toto si někdo přečíst, tak už asi utíká od banky pryč… Ale protože existují ratingy v bezpečnostních auditech, tak bezpečnost místo 96% jenom 95% přece není tak hrozná, ne? :-))

  • 29. 7. 2010 12:48

    en (neregistrovaný) 212.27.218.---

    To je trochu zjednodušený pohled. Jednak nevím, kde bych se jako klient banky dověděl o ratingu jejich bankomatů, a za další mě to jako klienta banky ani nenapadlo. Takže si myslím, že takový rating je pro majitele bankomatu a tomu je zase naprosto jedno _jak_ se ty peníze ztrácejí. Důležité je pro mne jaké je riziko, resp. s jakou ztrátou mohu počítat, abych mohl vypočítat poplatky, které tu ztrátu pokryjí. A tato informace pochopitelně je platná v nějakém omezeném čase a obsahuje nepřímo i zkutečnost, nakolik se o takové chybě ví atd. atd.

  • 29. 7. 2010 17:17

    _r3450n_ (neregistrovaný) 165.72.200.---

    V tomhle ma Honza podle me pravdu. Vsichni se to snazi okecat a zamaskovat dulezite detaily pod velke cisla ktere neobsahuji slova.

  • 30. 7. 2010 15:15

    Petr Závodský (neregistrovaný) ---.ecommerce.cz

    Ona to většinou ve výsledku nebývají čísla, ale slova. Např. „kritické“, „vysoké riziko“ … „nález informačního charakteru“ aj. Anebo obrázky.

  • 29. 7. 2010 23:48

    BLEK. (neregistrovaný) ---.strcechy.adsl-llu.static.bluetone.cz
    Škoda s tím bankomatem je taková:

    a) nepřijde na to nikdo — nula b) přijde na to zlodejíček, co si to nechá pro sebe a bude si sám krást — nakrade pár desítek až stovek tisíc c) přijde na to někdo, kdo to dá na internet — zničená reputace u internetové komunity (ale lidí, co čtou internet je ještě malé procento v populaci, takže to ustojíš) d) přijde na to někdo a dá to novinářovi do televizních novin — můžeš tu síť bankomatů rovnou zavřít, množství pitomců co si to půjdou po shlédnutí zpráv vyzkoušet bude ohromné

    A ať tu chybu audituješ jak chceš, nemůžeš předpokládat, jaký z těchto scénářů nastane.

    Šíření té bezpečnostní chyby je nestabilní proces. Třeba jako když dáš kuličku na vrchol kopečku a zeptáš se kam se skutálí — když ten pokus mnohokrát opakuješ, zjistíš, že průměrná poloha kuličky je uvnitř toho kopečku, pod místem, kde jsi ji pustil. Ale ve skutečnosti tam nebude ani v jenom případě.

  • 30. 7. 2010 0:36

    en (neregistrovaný) 212.27.218.---

    Takže vy byste se nedokázal rozhodnout mezi variantami bankomatů s různými chybami? A přesto taková rozhodnutí postupují manažeři často. Musí, protože IT odborníci dělají chyby a ideální produkt neexistuje. Považujete snad takové rozhodnutí za loterii? Že je vlastně jedno, co za produkt/řešení se zvolí? Kdyby to byla pravda, tak asi pojišťovnictví neexistuje.

  • 30. 7. 2010 21:21

    BLEK. (neregistrovaný) ---.strcechy.adsl-llu.static.bluetone.cz
    Normálně by se člověk měl rozhodnout podle popisu těch chyb ne podle tvrzení, že „bankomat A je bezpečný na 96% a bankomat B je bezpečný na 98%“.

    Pro manažery je ale ještě jedna důležitá věc, k čemu se ten rating dá použít. Až se tam opravdu najde chyba a je z toho průser, manažer ukáže „já jsem postupoval podle auditu renomované agentury X“ a zbaví se odpovědnosti. Kdyby manažer udělal rozhodnutí sám a našla se tam ta stejná chyba, tak by za to letěl.

    Vem si třeba proč se někde zavádí ISO900×. Ne kvůli zvýšení kvality. Ale aby střední management mohl zvednout ruce a říct „my máme certifikát na to, že pracujeme kvalitně“, kdyby náhodou chtěl vysoký management do něčeho rejpat.

  • 30. 7. 2010 21:50

    en (neregistrovaný) 212.27.218.---

    Podle popisu chyb? To lze dost těžko porovnávat. Je lepší slaná nebo sladká chuť? Abyste to mohl porovnat, tak si (byť podvědomě) musíte zvolit nějakou číselnou metriku. Provnat lze čísla – např. chutná mi většinou (tj. >50%) slaná jídla apod.

    Rating jen znamená, že mi tu metriku někdo připravil. Když vím, co znamená a umím s tím pracovat, tak v tom není problém. Detaily nemusí být podstatné (především pokud se týká statisticky významné množiny).

  • 30. 7. 2010 22:29

    BLEK. (neregistrovaný) ---.strcechy.adsl-llu.static.bluetone.cz
    Řeknu třeba příklad: nepoužívám AES, používám Serpent, protože na Serpent není žádný známý útok, zatímco na implementaci AES je ( http://www.wisdom.weizmann.ac.il/~tromer/papers/cache.pdf ).

    Nicméně kdybych byl v nějaké instituci, musel bych používat AES, protože AES je standard. Komise vybrala AES mimo jiné i na základě toho, že je „rychlý“, ale jaksi se zapomnělo na to, že ta rychlá softwarová implementace je nebezpečná na víceuživatelských počítačích.

    Není technický problém použít Google a Wikipedii a najít šifrovací algoritmus, vůči kterému nejsou žádné slabiny (není na to potřeba formální metrika, prostě si stačí útoky na jednotlivé algoritmy vyhledat). Ale kdyby to takhle bezpečnostní expert dělal, tak rychle skončí na dlažbě. Musí se řídit normami, i když jsou ty normy špatné (AES).

    Ze stejného důvodu např. spousta bank používala DES, i v době, kdy bylo známo, že je prolomitelný (asi se nestalo, že by je kvůli tomu někdo vykradl, ale jednou se stalo, že banka prohrála soud, protože u soudu bylo dokázáno, že DES prolomit lze, a tedy určité důkazy nebyly uznány).

  • 31. 7. 2010 11:46

    en (neregistrovaný) 212.27.218.---

    Chápu, že je to diskutabilní, ale podle mne(!) si to mozek implicitně stejně převede na čísla. Tzn. pokud jde o „bezpečnost šifer“, tak to, že u jedné jsou známé útoky a u druhé nejsou veřejně známé znamená, že pravděpodobnost prolomení té první je vyšší než u druhé. Tj. zase porovnáváte čísla. Automaticky, ani si to nemusíte uvědomit.

    Která ze dvou šifer je bezpečnější, když na obě budou veřejně známé útoky? Jak je porovnáte? Fakt, že na AES je veřejně znám útok z něho nedělá automaticky nebezpečnou šifru. Bezpečnost není černobílá.

  • 30. 7. 2010 10:55

    Karel (neregistrovaný) 93.90.162.---

    Zrovna tahle chyba byla v televizi zveřejněna. Jako prevence. Ona totiž fungovala trochu jinak. Pokud jste byl v nabídce výběru, měl jste možnost výběr stornovat, karta vám vyjela. Jenže po nějakou dobu po tom stačilo stisknout klávesu pro výběr a bankomat peníze vydal, přestože karta v něm už nebyla. Pokud jste peníze normálně vybrali, bankomat vám je vydal, rozloučil se a byli jste v bezpečí. Problém byl jen v případě že jste nevybrali, ale stornovali. A toho využilo několik chytráků. Vy jste přišli k bankomatu, vložili kartu, zadali pin a najednou se u vás objevil „technik“ a řekl vám „ježíš, já jdu ten bankomat opravovat/doplňo­vat/nejsou v něm peníze“ a doporučí vám rychle vše stornovat, jinak že vám bankomat kartu „sežere“. Vy zmáčknete storno, karta vyjede, vy si ji vezmete, no a „technik“ si rychle stoupne mezi vás a bankomat, abyste neviděli na obrazovku a nenápadně stiskne tlačítko pro výběr, zatímco se vám omlouvá a vysvětluje „já už volal na ústředí ať ho deaktivují apod.“ Vy tedy nevidíte, že bankomat nějaké peníze vydal, storno jste zmáčkli sami a kartu jste měli celou dobu na očích a v ruce. Vše vypadá normálně a říkáte si, že i kdyby to byl podvodník, tak se beztak vaší karty ani nedotkl. No, obrali tenkrát docela dost lidí, ale naštěstí ne o moc (to „nejvyšší“ tlačítko bylo tehdy tusím 2000 Kč?)

    Jinak s vámi souhlasím. Pokud k nějakému jevu dochází dostatečně často, pak ho mohu statisticky změřit a vykázat nějaké reálné číslo (kulička nejčastěji končí na východ od kopečku). Dokonce i průměrnou polohu dokážu vypočítat. Použil bych polární souřadnice a vyšla by mi nějaká rozumná hodnota (byť to skutečně nemusí být žádná z naměřených). Takže statistika by fungovala. Pokud ale chci ohodnotit něco, k čemu moc nedochází, pak jsem odsouzen jen k počtu pravděpodobnosti a to je ohromně ošemetná věc. Vede právě na vámi popsaný výsledek, že nejpravděpodobnější je „teleportace“ kuličky skrz kopec nebo to, že se kulička ani nehne. Fakt, že jde o nesmyslné situace kupodivu pravděpodobnost nijak neznehodnocuje. To je ta krásná vlastnost neopakovatelných jevů :-)

    Takže jediné, co jsem ochoten v oblasti IT bezpečnosti akceptovat, je buďto odhad rizika (například v článku popsaná metoda vedoucí na bezrozměrné číslo), nebo statistika z naměřených dat (kolikrát na mně kdo a jak útočil a kolik a jakých útoků uspělo). Bohužel málokterý server je natolik populární, aby skutečně měl nějaká statistická data (na google.com asi útočí stovky lidí denně, na omackaasyn.cz zřejmě nikdo za celý rok). Takže pan Omáčka skončí u ratingu rizika, což je bezrozměrné číslo. Pokud podnikne nějaká opatření a při dalším auditu dosáhne lepšího čísla, pak riziko kleslo. Ovšem pokud někdo začne počítat rozdíl nebo podíl těch dvou výsledků, tak rychle pryč! Pokud někdo dokonce začne ty výsledky vykládat (96 procent), tak to už je na žalobu nebo na Chocholouška…

  • 30. 7. 2010 10:25

    Karel (neregistrovaný) 93.90.162.---

    Neexistuje žádný pan X, který by byl majitelem bankomatu. Bankomaty vždy vlastní firmy a tam je zaměstnáno více lidí na více úrovních. Šéf technického oddělení samozřejmě ví o problému s bakomatem a jeho lidé na něm usilovně pracují. Ale tenhle šéf nemá vůbec žádný zájem o to, aby mu stál jeho šéf za zadkem a neustále se ptal „a už je to opraveno?“ „no co s tím uděláte?“ „dva týdny a vy to pořád nemáte vyřešeno?“ A právě pro tohle se používají metriky :-) Vykážete šéfovi, že pracujete na 96 procent a on je spokojen a nezajímá se o detaily, vy máte klid na práci a můžete se věnovat tomu, co je opravdu důležité.

    Tohle funguje všude :-) I u nás – výrobní ředitel má velký zájem na tom, aby měl maximum informací a dat, protože podle nich řídí výrobu. Ale zároveň má zájem na tom, aby jeho nadřízení měli jen minimum informací a dat. Tak se stanovila malá sada metrik a ty on reportuje. Cíl pro tento měsíc je 32, skutečný výsledek je 33, manažeři jsou spokojení a výrobní ředitel má klid na řešení problému, že jedna z linek několikrát za den umře a musí ji resuscitovat lidé z IT.

    Osobně si mysím, že takhle je to správně. Šéf nadnárodní korporace by skutečně neměl řešit, že na jedné z poboček dostali od dodavatele šarži šroubků se závitem mimo toleranci. On má dostávat pouze agregovaná data, informace globálního významu. Prostě pár čísel, pomocí kterých si ověřuje, že na to jeho podřízení nezačli kašlat nebo že nedošlo k nějakému zásadnímu problému. Bohužel v oblasti „internetové bezpečnosti“ ještě žádné číslo spočítat neumíme, protože jsme v oblasti pravděpodobnosti, nikoliv statistiky. Ve chvíli, kdy na mé servery bude někdo útočit několikrát denně a budu mít statistiku z mého ID/IC, budu mít reálné číslo k vykazování. Dokud ale toto nesleduji (nebo není co sledovat), je to jako počítat spolehlivost dodávek od dodavatele, od kterého jsem zatím nikdy nic nekoupil.

  • 30. 7. 2010 12:08

    en (neregistrovaný) 212.27.218.---

    (Poznámka na úvod: osoba nemusí být jen fyzická, ale i právnická. Nehledě k tomu, že nevidím právní důvod, proč by síť bankomatů nemohla provozovat OSVČ.)

    a můžete se věnovat tomu, co je opravdu důležité.
    A v tomhle jsou podle mne technici obecně(!) dost špatní. Často řeší blbosti místo z obchodního hlediska důležitých věcí. Proto ty uštěpačné poznámky mezi techniky a obchodníky/ve­doucími/manaže­ry, které jsou mimochodem obousměrné. Neříkám, že šéf IT oddělení je technik. Naopak je spíš manažer ostatně pokud organizace nemá IT ředitele, je jeho provoz podřízen většinou finančnímu řediteli.

  • 30. 7. 2010 21:33

    BLEK. (neregistrovaný) ---.strcechy.adsl-llu.static.bluetone.cz
    A jednoho dne se v té metrice najde nedokonalost, pracovníci přijdou na nějakou činnost, která snižuje výsledek práce, ale zvyšuje metriku.

    A top management bude spokojený, protože jim roste metrika, nižší šéfové, kteří tuto záškodnickou činnost podporují, budou povyšováni, zatímco výsledek jde do kopru. Až se na to přijde, může být už pozdě s tím cokoli dělat, protože celá organizace bude zasviněna bezcharakterními lidmi uvažujícími způsobem „jak si mám zvýšit metriku“.

    Znám skutečně případy, kdy k tomuto došlo.

  • 30. 7. 2010 14:53

    Petr Závodský (neregistrovaný) ---.ecommerce.cz

    Stejně jako jakákoliv metodika, návod, … i toto je doporučení, z kterého si zájemce může vytáhnout, co potřebuje. Lze použít třeba i obrázky (třeba prasátko, mráček atd. :-)) pro označení závažnosti toho či onoho rizika. Můžete střílet od pasu, to je na zkušenosti, ale v případě, že provádíte např. penetrační test pro někoho jiného (banku, mobilního operátora, …), může být detailnější popis toho, jak jste se dopracoval k ohodnocení toho či onoho rizika, vhodným komunikačním prostředkem mezi vámi a klientem. Před zahájením penetračního testování (anebo auditu) je někdy (opravdu někdy) vhodné, aby si klient i zhotovitel určili, podle jakých kritérií budou míru rizika stanovovat. Obvykle klienta opravdu nejdříve zajímá, jaký dopad bezpečnostní díra může mít (často se konkrétní riziko spojuje s podnikatelskými riziky).
    Máte-li po provedeném penetračním testování seznam řekněme několika stovek rizik, můžete je seřadit podle závažnosti. Je-li na někom, aby tyto nálezy opravil, lze pak snadno říci, které nálezy se ošetří dříve, které později a které vůbec.
    Osobně bych u velkých aplikací a u aplikací s možným značným dopadem volil detailnější popis toho, jak určit závažnost rizik. V případě jednoduchých webových aplikací bych volil jednoduchý systém – třeba i obrázkový, ale jednoznačný.

  • 30. 7. 2010 15:05

    Petr Závodský (neregistrovaný) ---.ecommerce.cz

    Neříkám,že s Vámi v některých bodech nesouhlasím a ani nechci tvrdit, že tomu nerozumíte – jen zřejmě máte jinou zkušenost. Ale dobře. Představte si, že jste provedl penetrační test. Máte 5 nálezů. Seřaďte je podle závažnosti. Jak to uděláte? Provedete jiný penetrační test – máte 3.000 nálezů. Zkuste i tyto nálezy seřadit podle závažnosti. Jak to uděláte?
    Řekněme, že máte týmu vývojářů sdělit, které nálezy mají opravit dříve, které později a které vůbec. Jak budete postupovat? Jak jim svůj postup obhájíte? Jak moc nákladné budou opravy?

  • 30. 7. 2010 15:23

    a (neregistrovaný) ---.homecredit.cz

    ó to koukám, pán má velké sebevědomí, rozumím tomu hodně říkáte??
    beztak jste jen vývojář, který umí myslet jen podle návodů.
    Zkuste trochy myslet sám za sebe.
    Ten článek rozhodně je velmi profesionální. Pro někoho, kdo do penetračního testování nedělá může být nesrozumitelný, či neuchopitelný – stejně jako pro Vás.
    Tak by se ale neměl vyjadřovat.
    Článek je velmi kvalitní.

  • 30. 7. 2010 20:00

    bez přezdívky

    At chcete nebo nechcete nejakej rating potrebujete, abyste se byl schopen se rychle orientovat na jaka rizika se zamerit drive.
    Prece neni vubec zajimave jestli je to pro jednu aplikaci 5.61 a pro druhou 7.31. Dulezity je vztah. Kdyz budete mit rating pro 20 aplikaci/zra­nitelnosti kolem 5 a pro jednu kolem 8 , na kterou se pri zabezpecovani vrhnete nejdrive?
    Osobne mam tedy radeji kdyz se dozvim nejen sumarni cislo, ale take co k nemu vedlo, ale to uz je na tvurci analyzy.
    Napriklad u Oracle CPU – vidim base score 10.0 a vim ze je pruser :) a v tabulce je strucna reference jak se k cisu doslo. Je mi jedno jaky jsou tam desetinky. Jde o to ze tu metodiku maji stejnou uz par let, tak se da ocekavat jak bude zranitelnost zavazna.
    http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujan2010.html
    Michal Ambroz

  • 29. 7. 2010 11:36

    Karel (neregistrovaný) 93.90.162.---

    Osobně mi na této metodě vadí, že ačkoliv pracuje s pravděpodobností, výsledek vydává za statistický údaj. Výsledný údaj je jen pravděpodobnost a proto:

    • Samotná hodnota nic nezanemaná a je bezrozměrná
    • Hodnoty pro dvě různé aplikace jsou neporovnatelné
    • Různé hodnoty (v čase) pro jednu aplikaci jsou souměřitelné pouze jako „roste/klesá“, nikoliv v číslech. Mohu tedy říci, že riziko klesá, ale nemohu říci nic jako „riziko kleslo o 10 procent“.
  • 29. 7. 2010 15:56

    Ivan Nový (neregistrovaný) ---.218.broadband11.iol.cz

    navíc základní riziko je dáno počtem útoků ku počtu stránek. Antilopy si taky celkem klidně žijí v blízkosti lvů.

  • 29. 7. 2010 15:59

    Ivan Nový (neregistrovaný) ---.218.broadband11.iol.cz

    když všichni mají kolem vás zamčené dveře, potencionální zloděj si sebou přinese potřebné nářadí, bez ohledu na to, že zrovna vy nezamykáte :-)

  • 7. 8. 2010 16:35

    MCE

    Odhad pravděpodobnosti hrozby aneb jak technicky zdatní jsou potenciální útočníci.

    Zamysleli jste se nad těmi čísly v závorkách? Jestliže k realizaci hrozby nejsou potřeba žádné znalosti a může jí realizovat v podstatě každý, měla by být tomuto faktoru přidělena vyšší váha, než když jsou požadovány znalosti kvalifikovaného penetračního testera. Proč? Protože pravděpodobnost této hroby je mnohem vyšší. Body by měly být v tomto případě seřazeny sestupně. To znamená, že žádné technické dovednosti měly obdržet (9) a kvalifikovaný penetrační tester (1).