Thursday, January 31, 2008

Sobre certificaciones de Ethical Hacking y otras hierbas

Hace mas de un mes respondi un mail a una lista de seguridad. Hace años que no participo de listas de interes escribiendo, solamente las leo, pero, como podran apreciar, si revisan el thread en los archivos de securityfocus.com, no solo en Perú se hablan sandeces.

Es obvio, como le decia a un amigo de esta lista, que yo he de defender la certificacion de CEH porque a pesar del tiempo transcurrido, seguimos siendo solamente 2 en Perú y no mas de 20 en Latino America.

Tambien es obvio que los demas defiendan las que tienen, pero, lo que nadie puede cambiar es el hecho que hasta hoy solamente existen 3 certificaciones que garantizan que los consultores sepan el comportamiento de un atacante versus el comportamiento de alguien dedicado a defender.

En este terreno caen todos los cursos y certificaciones que hacen analisis de intrusiones, osea, analisis post penetracion del atacante, y aquellos que se anuncian como incluir tecnicas de hacking y cuando se revisa el desarrollo del curso se trata solamente de enseñar el uso de algunas herramientas de evaluacion de seguridad informatica.

Dicho eso, me reafirmo en que los unicos cursos y certificaciones relacionadas a ethical hacking son los entregados por ISECOM, Mile2 y EC Council.

Como comentario local puedo mencionar que en el taller de ethical hacking realizamos en mi empresa han llegado varias personas que han llevado esos cursos de pseudo-hacking en otras microempresas o pseudo-empresas y descubren el mundo real de los atacantes. Igual, no los convierte ni en atacantes ni en ethical hackers porque solo el desarrollo tecnico y profesional es lo que permiten obtener dicha posicion.

Hay un curso que SANS esta por estrenar, mientras no lo estrene, no existe.

En lo personal, aprecio el desarrollo de las empresas peruanas, sin embargo, hay las que lo hacen por meritos propios y hay las que se llenan la boca de elogios a si mismos y se irrogan capacidades y sitiales que no tienen. Como propone Eric Raymond, al hacker de verdad se le reconoce como tal, el de mentira se autodenomina hacker.

Antes de ayer escuche otra cosa que me gusto tambien : los que saben como hacerlo, lo hacen y los que no, son instructores.

Saludos!


From: Walter Cuestas <wcuestas@gmail.com>
> > To: pen-test@securityfocus.com
> > Sent: Thursday, December 20, 2007 12:20:49 AM
> > Subject: Re: GCIA, GSEC, GCIH, CISSP, CEH ???
> >
> > Just to say that every comment about CEH seems to be based on
> > versiones previous to 5 (some comments seems based on books from EC
> > Council and 2 others that are so far from current EC Council
> > material).
> > Today, CEH is the start point and next steps for people who wants to
> > demonstrate their knowledge and expertise, thtrough certifications,
> > are ECSA and finally get LPT (if you need this one).
> >
> > Since the first mail of this thread, I have reviewed every syllabus,
> > exam topics, exam and labs demos, training videos and so on.
> >
> > IMHO, there are just three sources for pen test related certifications
> > : EC Council, ISECOM and Mile2 (based on CEH).
> >
> > SANS has a lot of certifications that are good complement for CEH,
> > OPST, OPSA, CPTS and CPTE, but, I can't find an specific pen test
> > certification from SANS.
> >
> > Also, as all of you know, there is no certification neither a set of
> > exams that really demonstrate the actual knowledge of people.
> > These certifications are just a complement for a professional career.
> >
> > BTW, I have reviewed some of the recommended training based on videos
> > and they seem to be just BackTrack courses.
> >
> >
> > >
> > > Regards,

Wednesday, January 02, 2008

Primer post del 2007 : DE TODO !!!

Normalmente escribo al final del año, pero, ahora me dedique mas a cumplir un objetivo de limpieza en mi casa y pasar tiempo con los mios que con la chamba y cosas asi, buen, un balance en verdad.
Entonces, no puedo evitar tocar algunos puntos del año pasado :
1.Me mude para aca. Mi viejo y querido blog-city decidio empezar a cobrar por los blog y con ellos me corri para esta suerte de conjunto habitacional de los blogs. Si alguien esta interesado en mis posts en blog-city, los he puesto en HTML y comprimido, los pueden descargar desde este URL.
2. Familia : fue un año muy duro. De hecho la situacion economica planteo situaciones dificiles, pero, mas alla de eso, mantener un matrimonio tantos años con personas tan "peculiares" como nosotros, es un reto complejo y bien dificil de evitar que los hijos sean participes y se vean muy afectados.
A esto puedo sumar la nueva experiencia de una hija adolescente en un medio educativo con un sin fin de taras y fallas "voluntarias" que afectan a una joven a pesar de su capacidad intelectual y formacion humana.
Me queda la certeza de saber que estamos haciendo lo correcto, de estar convencido que mis 3 hijos tienen un talento sin fin, una bondad sin limites, una belleza sin par y que asumen retos y los cumplen con exito :
Mafi encabeza este año la lista no solo por las calificaciones del colegio sino por un comportamiento destacado en cada cosa que ha hecho, sea intelectual, cultural, social y fisica. No importa lo que sea, ella lo hace bien. Tal vez su logro mas destacado fue el segundo puesto en el concurso de Ingles del colegio y seguir siendo la mas elocuente de los Cuestas-Zegarra.
Sigue Scarlett, la adolescente que debio sumar, por un error mio, la "adolescencia molinarina" a su vida, pero, que con la ayuda de personas interesadas en la formacion de nuestros hijos, consiguio superar sus temores y alcanzar posiciones de exito. Ella tenia miedo a las Matematicas, termino de finalista en el concurso del colegio, gracias al apoyo de su profesor y la gente en la casa. Sigue siendo la mas loca y lider de sus hermanos.
Dejo al final al chato Aarom adrede, porque primero son las mujeres y porque es el engreido de todos :) El chato es hablador (con propiedad y estilo geneticamente heredado), galan (no hay mujer que se le resista), habil (cuando quiere, hace unos golazos), inteligente (sus calificaciones y capacidad de concentracion lo demuestran), tragon (dejaria de ser Cuestas Zegarra si no fuera tragon) y buen hombre. Su mayor logro : cinturon blanco-punta amarilla en 9no KUP de Tae Kwon Do.
De mi esposa no pongo nada porque en su vida "internet" yo no existo, ella si existe en la mia, pero, no le dare mas espacio que este parrafo.
Mi familia tambien esta compuesta por mi madre, mujer sumamente complicada, pero, es mi madre, y mi abuela, a la cual considero debo mucho y cuya enfermedad nos ha complicado mucho a todos.
Este año mi familia tuvo la enorme suerte de estar siempre junta, unida y fuerte ante cada acontecimiento negativo, de esos que el 2007 trajo a montones, como el terremoto de Agosto donde estabamos todos juntos e incluso mi madre llego a los pocos minutos.
3. Amigos : ha sido un año muy peculiar en este sentido porque sufri varias decepciones, imagino que yo tambien decepcione.
Este año no puedo calificar como otros al "Amigo del Año", quien estuvo mas cercano a mi y me hace muy feliz, es mi hijo, asi que tocaria decir que tuve 3 Mejores Amigos en el 2007 : Aarom, Scarlett y Mafi.
Si quiero mencionar a varios Amigos : VLemos, sencillamente, amigo incondicional; GVallejo, me demostro el dia del terremoto que no me equivoque al hacerlo padrino de Mafi, no la solto para nada, es raro, pero, lo acepto como es; RCastelo, ha vivido momentos muy dificiles y creo que eso ha hecho que seamos mas amigos.
Los que me decepcionaron fueron 2, al menos son los que me dejaron mas dañado, mejor no los menciono.
4. Profesional : el 2007 no fue destacado por alguna certificacion, de hecho, no obtuve una tan importante como el CEH que aun sigue siendo LA certificacion en Ethical Hacking, pero, si creo que aprendi mucho, desarrolle muchas habilidades, comparti lo que aprendi, entregue buenos resultados a los clientes y gane experiencias valiosisimas.
5. Agradecimientos : aunque esto no es como el Oscar, si creo que debo agradecer a muchas personas por su apoyo, sus opiniones, su interes, su compañia, por creer en mi : PTrejos, CRenzo, RPortocarrero,JMunoz, ATello, BColom, FNeira, MGalvez, MUrizar, MMunoz, MLazaro, YSuarez, VPazce, FTrujillo y claro, Alicia Cuestas Zegarra que a pesar de renegar, siempre esta alli apoyandome.
6. Open-Sec (o el trabajo en si) : que duro es hacer empresa en Perú, si, duro y dificil, como he visto el 2007 en general, con logros y mayor presencia, con nuevos proyectos y retos, pero, con mas problemas relacionados al medio peruano que cualquier otra cosa.
Este año me sirvio para confirmar una vez mas que la coima esta afincada en nuestras organizaciones sin importar si son estatales o privadas. Esto es, si una organizacion es coimera, lo seguira siendo y digo "organizacion" porque existen verdaderas mafias al respecto.
Le interesa a alguien ? No, de hecho hemos tenido experiencias multiples de este tipo : empresas que ponen cualquier documento para ganar un concurso y dicho documento no es revisado complacientemente y de acuerdo a los intere$e$ del negocio, empresas que ponen a personas que no estan en su staff o personas que finalmente no ejecutan los proyectos, empresas cuyo personal tiene su empresa para "cachuelos" y hacen que los contraten para labores criticas en forma indirecta y hasta montan un circo de concurso publico, empresas que piden servicios importantes a empresas importantes, pero, que cierran trato con quien acepta coimear, etc, etc, etc, etc.
Este año decidimos terminar de aceptar subcontrataciones porque son la instititucionalizacion del "perro muerto" o "te pago cuando me de la gana".
Obtuvimos excelentes clientes, siendo el mejor uno de los bancos mas grandes en Perú; iniciamos dando servicios de computacion forense; seguimos siendo el mejor equipo de ethical hacking de Perú y si se nos escapo algun negocio al respecto, fue por competencia, leal o desleal (la de las coimas y arreglos previos).
La competencia leal nos da duro por nuestra carencia de capacidad en ventas, algo que parece ser nuestro karma.
El tema de Linux se enfoco en VoIP y con ello definimos una nueva meta para el 2008.
Open-Sec se consolida como empresa, mas alla del exito en el mercado, entra en una etapa de estabilidad que hacia el 2009 debe determinar un crecimiento bien importante.
7. Ranking :
La mejor familia del 2007 : Los Cuestas-Zegarra
Los mejores hijos del 2007 : Scarlett (aka kireitor), Mafalda (aka mafitac), Aarom (aka el chato)
Las mejores mujeres del 2007 : Las de mi casa : Esposa, Madre, Abuela.
El exito laboral del 2007 : el proyecto realizado para el BCP.
El mejor proyecto Linux del 2007: SuSE y GW en el BBVA.
El evento del 2007 : Open-Sec Day 2007.
Los peores errores del 2007 : trabajar para el PJ, MINEDU e I-Sec. Eso nos demostro que ni la excelente calidad de nuestro trabajo hace que las personas necias se comporten en forma reciproca.
Lo peor del 2007 : la sensacion y casi conviccion que Alan Garcia dejara nuestro pais peor que en su primer mandato.
Los mayores momentos de orgullo : cuando MafitaC saco el segundo puesto en el concurso de Ingles, cuando Scarlett paso a la final del concurso de Matematica, cuando Aarom obtuvo su cinturon blanco de punta amarilla.
La distro del 2007 : OpenSUSE de lejos!

Y que hay para el 2008 ? Mucho mas !
1. Familia : cambio de colegio de Scarlett, seguir mas pegado a mis hijos, quiero ser su padre y mejor Amigo, mas empeño en mantener el matrimonio, mas paciencia con mi madre, tranquilidad para mi abuela, mas tiempo FELIZ.
2. Profesional : este año debo obtener 2 certificaciones : una de SANS sobre hacking o el CLP y la otra es la de dCAP.
3. Open-Sec : wow! Mulitples retos : hacer dinero con VoIP como partner de Digium en Perú y Ecuador, basta de soporte comunitario ineficiente o de alianzas con empresas extranjeras que hablan mucho y hacen poco; seguir haciendo negocios en base a seguridad informatica, ethical hacking a fondo; realizar inversiones rentables en Perú y Ecuador; certificar mas a nuestro personal; nuevo local; nuevos consultores, tecnicos y vendedor; mantener clientes como el banco y crecer con ellos y en base a ellos.
4. Mensajes aparte :
- Acabemos con los "pirañas de cabina" y "hackers de blog".
- Hagamos del negocio VoIP basado en Linux algo serio.
- Demuestrame que Trixbox es mas limitado que un Asterisk.
- Compartamos el conocimiento.

Espero que todos los buenos deseos de las personas se cumplan este año.

Bienvenido 2008!!!