Wednesday, September 10, 2008

GIAC Incident Handler no es lo mismo que un Ethical Hacker

Más allá de quiénes ostentan esta certificación de GIAC/SANS o quienes venden cursos de manejo de incidentes como cursos de hacking, la palabra formal de Ed Skoudis, instructor/consultor de SANS y autor de los cursos 504 y 560, es :

What is the focus of SANS Security 560, and how does it differ from SANS Security 504?
SANS Security 560 deals with penetration testing and ethical hacking, in depth, covering numerous techniques for finding and exploiting flaws in a target environment using a consistent, high-quality testing regimen. SANS Security 504 focuses on incident handling, addressing practical methods for preparing for, detecting, and responding to computer attacks. In short, 560 covers penetration testing and ethical hacking, while 504 addresses incident handling.

Aren't the courses pretty much the same?
Not at all. 560 is very different from 504. We cover a variety of different tools in each class. Even when both classes cover the same topic or tool, they cover it from a completely different perspective. Take Metasploit and password attacks as examples. In 504, we talk about how these attacks work, emphasizing how to defend against them, and addressing how incident handlers can respond to their use. In 560, we get a lot deeper, talking about how to use each and every tool, with detailed, hands-on exercises that cover some of the features that incident handlers don't really need to know about but pen testers will likely use quite often. The idea is that incident handlers need to know what the attacks are from a broad perspective so that they can detect and respond to them in their environment. But, incident handlers don't need to know how to launch every one of the attacks we cover. Penetration testers, on the other hand, need to be able to use every tool we analyze, not just recognize its use against their environments. Thus, SANS 560 has triple the amount of hands-on exercises as 504, which itself includes numerous useful exercises tailored for incident handlers.

From a bottom-line perspective, 504 is more broad because incident handlers need to know about a lot of attack vectors that are typically not allowed for penetration testers by the rules of engagement. For example, incident handlers need to understand how to respond to bots and rootkits. But, the vast majority of penetration testers are prohibited from installing bots or rootkits on target machines. In the end, 560 is deeper, because penetration testers need hands-on experience with each tool, while 504 is more broad, because incident handlers need to focus on recognizing each tool's use in their environments.

Does 560 supersede 504 or supplant it?
No. 560 does not supersede 504. 504 is still a vital course, which we will continue to update and offer, supporting people in their careers as incident handlers. 560 is for penetration testers and ethical hackers.

I've already taken 504. Should I take 560 as a follow-on?
560 was designed as a perfect follow-on for people who have already taken 504 and are looking to get into more depth with tools used in professional penetration testing and ethical hacking. 560 is not recycled 504 material; it is an entirely new class with an entirely new set of slides and exercises.

I've taken neither 504 nor 560. Where should I start?
If you are more interested in incident handling, 504 is the course for you. If you need to develop your penetration testing skills, start with 560. Neither course is a pre-requisite for the other.

Por si no quedo claro, el curso SANS Security 504: Hacker Techniques, Exploits, and Incident Handling es post-mortem, el atacante ya se te metió y quieres aprender a lidiar con él/ella y que no se te vuelva a meter. El curso 560 Network Penetration Testing and Ethical Hacking es para aprender las técnicas y conocer las herramientas usadas por los atacantes más comúnes.

Habrá que esperar que alguno de los certificados locales GIAC/SANS se animen a tomar el challenge o llevar el curso para que lo puedan impartir acá.

Aprovecho el post para dar una estadística local, ya son 4 CEHs los que existen en nuestro querido Perú :
1. Ricardo Berrospi (SBS).
2. Eduardo Delgado (Deloitte).
3. Cesar Cuadra (Freelance, asociado a Open-Sec).
4. WCuestas (Open-Sec).

Alguien más ?

4 comments:

Andres said...

Saludos cordiales, efectivamente ambos son cursos muy similares en contenido pero distintos en el fondo, mientras que el 504 define una metodologia de manejo de incidentes y ademas, te explica las herramientas y escenarios que son empleadas por los atacantes, el 560 explica una metodologia de pentesting, se enfoca en pocas herramientas pero a profundidad, es curioso como Ed al inicio del curso 560 indica que este no es introductorio y aquellos que crean que conocen muy poco del tema deberian inscribirse en el 401 o 504 je. Espero que el CEH V6 haya mejorado y no sea solo un conjunto de herramientas que ni se usan en los pentestings actuales como lo ha sido hasta la V5, en todo caso prefiero los cursos de Offensive Security, que a mi modesto parecer la evaluacion final de este ultimo es mas real que un simple conjunto de preguntas y respuestas para marcar, como lo son el 504, 560 e inclusive el CEH, que por cierto esta sobrevaluado en el mercado.

WCuestas said...

Este tema siempre es apasionante por algunas razones :
1. La preferencia por alguna certificacion.
2. La NO preferencia por NINGUNA certificacion (al considerar que no representan algo importante o que no son lo suficientemente exigentes).
3. El afan por las certificaciones.
YO solo puedo opinar asi :
A. Las certificaciones demuestran un nivel de conocimiento determinado.
B. No hay certificacion que demuestre el conocimiento completo o potencial de las personas.
C. TODAS las certificaciones son alcanzables.
D. He revisado los examenes de practica de GPEN y son como el de CEH en nivel de exigencia y vigencia de las herramientas. Esta semana dare el examen y confio en aprobarlo en base a como me ha ido con esos examene de practica.
E. Hay una idea generalizada que en el curso de CEH enseñan solamente a manejar herramientas y muchas de ellas desactualizadas. Esto no es cierto. Se enseñan tecnicas a traves de las herramientas, de forma tal, que uno pueda hacer un idle scan o usar un exploit mas alla de las herramientas. Las herramientas obsoletas se presentan rapidamente y siempre etiquetadas en el material como OBSOLETAS.
F. Creo que despues del GPEN ire por el de Offensive Security, sobre el cual se habla mucho, pero, pude revisar el material que adquirio un amigo y el nivel de conocimiento es el mismo que el de CEH y GPEN. He leido posts donde indican que despues de ese curso se ponen a desarrollar exploits, pero, eso sera por capacidad propia ya que la pequeña explicacion que se da en ese curso no es suficiente e, incluso, en el CEH se tienen material de auto-estudio que va mas alla sobre temas como este.

Al final, creo que TODAS las certificaciones estan sobrevaloradas debido al esfuerzo de los que las ostentan (marketing personal y empresarial) y de los que no las tienen (detractores).

Andres, por que tu blog no es abierto ?

Andres said...

Comparto las primeras tres opiniones, inclusive hay mucha controversia respecto a los CEH, pero bueno siempre ha sido, es y sera asi respecto a las certificaciones, estas solo acreditan que el aprobado conoce un nivel basico en la mayoria de los casos.
No he revisado muchos examenes de practica, solo hice los que provee SANS una vez para ambos GPEN y GCIH, tampoco he revisado demasiado el de CEH, inclusive el examen de certificacion de la ultima version no esta disponible aun pero bueno, por lo que he podido apreciar ambos examenes no tienen el mismo nivel de exigencia, en GPEN te preguntan detalles que los encuentras facil y rapidamente en el material de apoyo, mientras que en CEH las preguntas son mas variadas y solo algunas veces especificas. Aunque preferiria que los examenes de certificacion sean mas como los CtF de 504 y 560, o que estos tengan un valor en la calificacion final de la certificacion :).
Respecto a la vigencia de los cursos, esto es curioso, recuerdo que uno de los instructores del 560 al final de una clase menciono multiples herramientas que son vigentes pero no se encontraban en el material de apoyo, y comentaba lo mismo de siempre, las herramientas pierden vigencia rapidamente y blablabla...
No tengo el gusto de haber realizado el curso CEH aun, quizas despues quien sabe, pero si he podido revisar los materiales de estudio de las versiones 4 y 5, quizas en los laboratios la situacion sea distinta pero bueno, espero poder hacer ese curso pronto, aunque el unico autorizado en latinoamerica es Etek, e inclusive (de palabras de EcCouncil Latinoamerica) solo se puede hacer el examen si se realiza el curso previamente.
Respecto a los cursos de Offensive Security, desde mi punto de vista son totalmente practicos y por experiencia propia, puedo comentar que el nivel de conocimiento no es el mismo, en Offsec101 se profundiza en algunos aspectos como es el desbordamiento de buffers y la practica en ambientes reales y no en sistemas operativos sin services packs :), aunque como en todo curso el material es basico y si depende de cada alumno el poder ampliar dicho conocimiento pero bueno, Mati es un buen tutor y te motiva a conocer y aprender mas, como tambien lo es Ed a su estilo.
Para finalizar, el blog no es abierto porque no es solo mio, es de mi equipo del curso SEC560, el cual contiene informacion referente al CtF del curso y por pedido expreso de SANS no se puede publicar aquello.

WCuestas said...

Los cursos de CEH los pueden dictar los ATC de EC Council, hay variosn en Latino America. Si estas tambien en Sudamerica, si Etek CREO que es el unico, pero, mas alla de eso, es el que recomiendo porque las personas que han llevado el curso con ellos quedan satisfechas.
La certificacion se puede obtener mediante el examen en un VUE o Prometric si EC Council lo aprueba en base a una evaluacion de la experiencia de quien quiere rendir el examen, tienen un formato para ello en su web (yo lo hice asi).
Si asistes al curso o compras el kit de autoestudio, se debe tomar el examen en un ATC.
En mi empresa dictamos un workshop de ethical hacking que pasa por las mismas condiciones : enseñar tecnicas mediante el uso de herramientas y siempre hay nuevas herramientas en cada edicion del workshop. No usamos laboratorios preparados para que los resultados sean "exitosos", por el contrario, enfrentamos a los asistentes a escenarios reales. Asi lo hace tambien EC Council.
En el examen de CEH no se puede llevar material de apoyo de ningun tipo.
De hecho, los ejercicio de CtF (Capture the Flag) son una forma de medir como avanzan los participantes en un curso, al menos eso hacemos nosotros.