En general, siempre doy la bienvenida a la competencia, incluso, tengo afan de compartir conocimientos y aprender, por eso aperture el canal #hackingperu en irc.freenode.net.
Pero, hoy vi un brochure una empresa que muchos sabemos no es tal, es mas bien, el cachuelo de un excelente tipo y excelente profesional de Seguridad.
Lo gracioso de su brochure es que indica :
"Emisión de certificado de “sistema o red segura”, si pasa airosamente todas las pruebas de seguridad." Wow! Que autoridad tienen para dar un certificado de este tipo?!! No tiene a nadie certificado en Ethical Hacking ni menos indican usar alguna metodologia reconocida en dichas lides.
Mas adelante hay otra parte jocosa : "Nuestros expertos comentan:.....En nuestra trayectoria, como especialistas de seguridad, hemos visto a más de una empresa de tecnología sorprender, incluso, a entidades financieras, con reportes de intrusión imprecisos, que fueron generados por herramientas comerciales de escaneo de vulnerabilidad, haciendo creer que lo ofrecido era un “hacking ético”. Antes de ser sorprendido, contáctenos." PERO, mas adelante indican "...empleando (sólo) donde fuera necesario las más famosas herramientas de escrutinio de vulnerabilidades de sistemas, entre ellas Nessus, Metasploit, Nikto, WebScarab y otras más de índole experto." Aca si les fallo la redaccion porque :
1. Que me digan como pueden cumplir en tiempos adecuados sin usar PRIMERO herramientas como las mencionadas.
2. Cuales de esas no son automatizadas ?! Osea, las "malas" son las comerciales y como estas no lo son, son las "buenas" ?
3. Nadie que labore en estos temas considera a Nikto usable hoy en dia y Metasploit es un framework para analisis de exploits, no para evaluar !!!
Naaaaaaaaa, un pobre brochure para alguien tan bueno como el dueño de esa empresa...!!!
