Thursday, January 31, 2008

Sobre certificaciones de Ethical Hacking y otras hierbas

Hace mas de un mes respondi un mail a una lista de seguridad. Hace años que no participo de listas de interes escribiendo, solamente las leo, pero, como podran apreciar, si revisan el thread en los archivos de securityfocus.com, no solo en Perú se hablan sandeces.

Es obvio, como le decia a un amigo de esta lista, que yo he de defender la certificacion de CEH porque a pesar del tiempo transcurrido, seguimos siendo solamente 2 en Perú y no mas de 20 en Latino America.

Tambien es obvio que los demas defiendan las que tienen, pero, lo que nadie puede cambiar es el hecho que hasta hoy solamente existen 3 certificaciones que garantizan que los consultores sepan el comportamiento de un atacante versus el comportamiento de alguien dedicado a defender.

En este terreno caen todos los cursos y certificaciones que hacen analisis de intrusiones, osea, analisis post penetracion del atacante, y aquellos que se anuncian como incluir tecnicas de hacking y cuando se revisa el desarrollo del curso se trata solamente de enseñar el uso de algunas herramientas de evaluacion de seguridad informatica.

Dicho eso, me reafirmo en que los unicos cursos y certificaciones relacionadas a ethical hacking son los entregados por ISECOM, Mile2 y EC Council.

Como comentario local puedo mencionar que en el taller de ethical hacking realizamos en mi empresa han llegado varias personas que han llevado esos cursos de pseudo-hacking en otras microempresas o pseudo-empresas y descubren el mundo real de los atacantes. Igual, no los convierte ni en atacantes ni en ethical hackers porque solo el desarrollo tecnico y profesional es lo que permiten obtener dicha posicion.

Hay un curso que SANS esta por estrenar, mientras no lo estrene, no existe.

En lo personal, aprecio el desarrollo de las empresas peruanas, sin embargo, hay las que lo hacen por meritos propios y hay las que se llenan la boca de elogios a si mismos y se irrogan capacidades y sitiales que no tienen. Como propone Eric Raymond, al hacker de verdad se le reconoce como tal, el de mentira se autodenomina hacker.

Antes de ayer escuche otra cosa que me gusto tambien : los que saben como hacerlo, lo hacen y los que no, son instructores.

Saludos!


From: Walter Cuestas <wcuestas@gmail.com>
> > To: pen-test@securityfocus.com
> > Sent: Thursday, December 20, 2007 12:20:49 AM
> > Subject: Re: GCIA, GSEC, GCIH, CISSP, CEH ???
> >
> > Just to say that every comment about CEH seems to be based on
> > versiones previous to 5 (some comments seems based on books from EC
> > Council and 2 others that are so far from current EC Council
> > material).
> > Today, CEH is the start point and next steps for people who wants to
> > demonstrate their knowledge and expertise, thtrough certifications,
> > are ECSA and finally get LPT (if you need this one).
> >
> > Since the first mail of this thread, I have reviewed every syllabus,
> > exam topics, exam and labs demos, training videos and so on.
> >
> > IMHO, there are just three sources for pen test related certifications
> > : EC Council, ISECOM and Mile2 (based on CEH).
> >
> > SANS has a lot of certifications that are good complement for CEH,
> > OPST, OPSA, CPTS and CPTE, but, I can't find an specific pen test
> > certification from SANS.
> >
> > Also, as all of you know, there is no certification neither a set of
> > exams that really demonstrate the actual knowledge of people.
> > These certifications are just a complement for a professional career.
> >
> > BTW, I have reviewed some of the recommended training based on videos
> > and they seem to be just BackTrack courses.
> >
> >
> > >
> > > Regards,

No comments: