RSS |

Blog de Omar

Just another WordPress weblog

Advertisement

Posts Tagged ‘ ceh ’

Hace ya algún tiempo que rondaba mi cabeza dar el examen de CPTE, la falta de tiempo (de dinero y de demonios internos que debía terminar por aniquilar) terminaban siempre por desanimarme de rendir el dichoso examen. Sin embargo, hace dos semanas volví a empilarme por esta certificación y aunque tenía pensado rendirlo en unos días posteriores, mi reciente tendinitis en la parte posterior de la rodilla izquierda me ha postrado en la cama y obligado a repasar lo necesario para rendir el examen hoy mismo.

Así como lo escuchan, llevo 02 días de descanso tendido en mi cama, colocándome ridiculamente pañitos de agua caliente en la rodilla e improvisando una botella de plástico como bolsa de agua caliente, al parecer el recorrer las calles por una hora con diez minutos sin detenerme y completar 13 kilómetros me ha terminado por pasar factura; y aunque algunos lo llamen mala suerte, yo lo llamo un designio del destino que me ha advertido que no debe retrasar más el examen CPTE.

image

 

¿Qué es el examen CPTE?

CPTE son las iniciales de Certified Penetration Testing Engineer y es un examen de certificación internacional otorgado por la organización MILE2. Por lo que he leído en algún momento MILE2 había adoptado el examen CEH como parte de la capacitación requerida para calificar a las personas que contaban con conocimientos en seguridad informática, sin embargo, al parecer algún tipo de diferencias entre las partes hizo que MILE2 dejara de un lado el examen CEH y ofertara (y ganará algo de “dineros”) su propio examen de certificación.

Los motivos formales por los cuales MILE2 dice haberse separado de ECCouncil es:

  • MILE2 está orientado y focalizado en temas de PENETRACIÓN y no sólo en técnicas de Hacking.
  • La certificación CPTE está mas actualizado que la certificación CEH (esto es muy subjetivo, saquen ustedes sus propias conclusiones)

Aquí pueden leer más sobre los propios argumentados por MILE2 en los que hacen un benchmarking entre CEH vs CPTE : [AQUÍ].

Nunca me ha parecido buena onda que las personas (y menos la empresas) se publiciten o vayan diciendo por el mundo que son mejores que “los otros” ya que siempre terminan tirándole barro a esos otros (de esos tipos abundan), parece que se quedaron con la mentalidad de un colegial de 12 años que sólo encuentra sobresalir hundiendo a su compañero de clase; ese feeling me ha dejado el post escrito por MILE2. Deberían resaltar sus bondades y no hablar del CEH, mala estrategia!!

¿Qué necesitas para rendir el examen CPTE?

  1. No necesitas experiencia como requisito obligatorio, es decir, sólo necesitas estudiar y aprobar el examen. Para ser CEH si requieres experiencia, aquí pueden encontrar información de lo requerido para ser un CEH: [AQUÍ]
  2. Sólo necesitas pagar el examen en la página de MILE2 [AQUÍ] y seleccionar el examen que deseas rendir, antes necesitas registrarte con una cuenta en el sitio web.
  3. Necesitas trescientos dólares americanos (US$ 300.00), eso es lo que vale el examen. Para ser un CEH necesitas US$ 600.00 dólares si es que no has llevado el curso oficial.
  4. Si bien no es obligatorio tener experiencia, el rendir el examen será mucho mas fácil si antes has hecho hacking o has estudiado algún curso de seguridad informática.

Características del examen

Tiempo: 120 minutos para rendirlo
Mecanismo: Online, es decir, pagas por la web y sentadito desde la comodidad de tu casa rindes el examen.
Cantidad de preguntas: 100  preguntas de múltiples opciones
Aprobar el examen: 70 preguntas respondidas de manera correcta como mínimo.
El resultado: Apenas terminas el examen te brindan el resultado y puedes dibujar una sonrisa de alegría en tu rostro o tirar tu billetera al piso por haber regalado US$ 300 dólares.
Tiempo de duración del certificado: 01 año desde que apruebas el examen.

Mi opinión….

Nadie me la ha pedido pero como es mi blog igual la daré, lo que no me parece es lo siguiente:

  1. ¿Nada de experiencia? algo de experiencia se debería solicitar, ¿no les parece? ECCouncil sólo pide experiencia si no llevas el curso oficial (que está re-caro el examen oficial dicho sea de paso).
  2. Rendir el examen desde la comodidad de tu casa creo que le quita un poco de seriedad y formalidad, deberían cambiar esto para que la certificación sea tomada más en serio en el mercado.
  3. El examen no es difícil, si has llevado un buen curso de seguridad informática y con un algo de experiencia eres un fuerte candidato para rendir el examen con éxito.
  4. Me parece que la experiencia sigue siendo el mejor camino para rendir con éxito este examen ya que se preguntan mucho sobre herramientas que si antes no has usado será difícil de aprender muy rápido.

Agradecimientos

Un agradecimiento a Juan Oliva (http://jroliva.wordpress.com/) quien me muy chevere me dio sus opiniones sobre el examen y me explicó los pasos para poder rendirlo.

Bueno ya está, ya soy un CPTE, es decir literalmente estoy certificado como un buen penetrador de sistemas – vaya nombrecito, no? Risa.

Saludos a todos.

************************************************************

Ahora que estoy tirado en mi cama una ballena varada en la orilla del mar (una vez más) encontré esta canción que hace mucho no escuchaba y que ahora me viene bien.

************************************************************

Popularity: 33% [?]

logo_cehHace sólo unos días he actualizado mi certificado CEH, de la versión 6 a la versión 7, eso quiere decir que pertenezco nuevamente a la lista de hackers buenos en su versión 7.
Escribo este post con el objetivo que todas las personas que están interesados en la certificación CEH puedan conocer cual es el procedimiento exacto para realizarlo (ya que al principio puede ser algo enmarañado), los requisitos, mi opinión sobre los cursos dictados por instituciones y sobre todo los TIPs para poder rendir el examen.

Importante: Si piensan pagar algún monto de dinero por un curso que les promete certificarse como CEH deberían primero leer esto para que no les pinten pajaritos ( o sea… no los engañen con cursos milagrosos).

FAQ sobre la certificación CEH

1. ¿Cuáles son los requisitos para certificarse como CEH?

Existen dos maneras para poder certificarse como CEH:

A) Postular directamente para rendir el examen, es decir, si eres un autodidacta y decidiste prepararte por tu cuenta y no has llevado un curso oficial de CEH. Si escoges esta modalidad debes de contar con por lo menos 02 años de experiencia “demostrable” en seguridad de información. “Demostrable” es sólo un decir.

B) Si no cuentas con la experiencia requerida y no cuentas con tiempo para estudiar por tu cuenta, Ec-Council te ofrece un curso oficial de 40 horas y sin tener ningún tipo de experiencia quedas autorizado para rendir el examen. (las ventajas de llevar un curso oficial)

2. ¿Cuál es la actual versión de CEH? CEHv6, CEHv7, CEHv8

A la fecha – 25/07/2012 – la versión más actual de CEH es la 7, sin embargo, Ec-Council realizó algo extremadamente extraño, en Enero del 2012 habilitó de manera temporal el examen en su versión 8 pero por algún motivo extraño fue retirado después de sólo 01 mes de haber estado activado, la respuesta oficial de Ec-Council es que sólo se trato de una prueba pero en ese lapso hubieron personas que postularon y pasaron el examen y son certificados como CEHv8. Sospecho que el examen fue mal planteado y que tuvieron que retirarlo sin hacer muchos aspavientos y sin que nadie se de cuenta para evitar la vergüenza.

La versión 8 de CEH estará disponible a mediados del 2013, no hay una fecha establecida todavía (y tal vez 2014 porque así suelen demorar).

3. ¿Cuánto tiempo tiene de validez mi certificación?

Las certificaciones de Ec-Council como la de CEH son validas por 02 años son válidas por 03 años (https://cert.eccouncil.org/wp-content/uploads/2011/11/CEH-Candidate-Handbook-v1.6-13022012.pdf), eso quiere decir que después de ese tiempo tu certificado deja de tener validez porque expira, sin embargo, si estas ejerciendo actividades de seguridad de información debes enviar los certificados de los trabajos realizados para que tu certificado de CEH tenga validez después de 03 años.
Cabe mencionar que si eres certificado CEHv7 y después de 03 años has justificado que trabajas en seguridad de información tu certificado seguirá teniendo validez pero eso no quiere decir que hagas upgrade del mismo, la única manera de obtener una nueva versión del certificado es rindiendo el examen correspondiente.

4. ¿Cuánto cuesta certificarme como CEH?

Certificarse como CEH puede resultar realmente caro (en comparación a otras certificaciones en el mercado) o puede resultar sólo medianamente caro, me voy a explicar mejor, como mencioné en un principio hay dos manera de certificarse:

A) Llevando el curso oficial de CEH

Esta es la manera más cara, el valor del curso oficial no siempre es el mismo pero tiene un costo que está entre US$ 1000.00 – US$ 1,800.00 dólares y depende mucho el precio si es que se incluye el valor del examen de CEH (por lo general el curso que cuesta US$ 900.00 dólares no incluye el examen), es decir, a parte del curso que tiene una duración de 40 horas se incluye en el costo el voucher de pago por el concepto de examen. He visto que en algunos casos el curso oficial con examen incluido llegar a costar hasta US$ 2,000.00 dólares.

Ventajas:
- Si no tienes experiencia justificable en seguridad de información o informática, llevando el curso oficial, Ec-Council ya no te exige ningún tipo de experiencia.
- Te entregarán el material oficial de certificación (02 libros del grosor de una biblia + 06 discos con las tools necesarias para desarrollar los libros) 
- Es como cuando se postula a la universidad a través de un centro PRE autorizado, tienes una ligera ventaja.

Desventajas:
- El precio es elevado ya que si jalas el examen pierdes el dinero invertido y AUCH puede doler.
- Yo recomiendo tener experiencia en seguridad para poder rendir el examen, no es necesario tener mucha experiencia pero si conocimientos de redes, sistemas operativos y servidores; opino que si no se tiene un conocimiento básico de los mismos estas aprobando un curso sólo de paporreta.

B) Sin llevar el curso oficial: autodidacta

Modestia aparte me encuentro en este grupo, nunca he llevado el curso oficial porque invertir US$ 1,800.00 me resultó algo caro y fuera de mi alcance (los que puedan llevarlo y pagarlo me parece bien), para aquellas personas que son autodidactas y se sienten listas para rendir el examen el costo es el siguiente:

  • Pago por código de autorización (reemplaza al curso oficial y es un tramite para certificar que tienes experiencia de 02 años): US$ 100.00
  • Pago por el concepto del examen: US$ 500.00
  • Es decir, en total se requiere sólo US$ 600.00 y nada más.

Ventajas:
- Un costo mucho menor comparado con llevar el curso oficial.
- Es más fácil aprobar un examen con cierta experiencia profesional

Desventajas:
- Debes de pagar US$ 100.00 dólares para obtener el código de autorización que certifica que tienes experiencia y no es necesario que lleves el curso oficial
- “No se entrega el material oficial”, lo coloco entre comillas debido a que todo se consigue en esta vida y en internet jejeje.

5. ¿Dónde debo estudiar para certificarme como CEH?

Después de haber leído las ventajas/desventajas de llevar un curso oficial, debes escoger si deseas llevar el curso oficial de CEH o decides prepararte de alguna otra manera.
Para llevar el curso oficial de CEH depende del país donde te encuentres, por lo general lo dictan LAS CONSULTORAS autorizadas y sólo se aperturan los cursos una o dos veces al año, no he visto hasta ahora que alguna universidad al menos en Perú este autorizada por Ec-Council para dictar un curso oficial.

Si deseas llevar un curso NO OFICIAL porque aun sientes que requieres una mayor preparación, deberías evaluar la currícula del curso, se debe considerar que la misma se parezca lo más posible al curso OFICIAL, sinceramente he visto currículas  que dejan mucho que desear y no están correctamente orientadas a una certificación CEH.

Opinión:
Mi opinión es que se debe llevar un curso NO OFICIAL bien estructurado y después de eso rendir el examen, creo que llevar el curso oficial está algo caro y de pronto fuera del alcance de muchas personas que tienen muchas ganas de certificarse como CEH, un buen curso NO OFICIAL no tiene nada que envidiarle a uno OFICIAL, puede resultar hasta mejor.
Sin embargo, si estas en la posibilidad de poder llevar el curso oficial, en hora buena, llévalo y aprovéchalo al máximo, por ejemplo, yo (Omar Palomino) estoy realizando los trámites con Ec-Council para convertirme en CEI (CEH Instructor oficial) y poder dictar cursos oficiales de CEH, no se cuanto demoré este proceso pero estimo que para el próximo año, 2013, ya debo ser un CEH Instructor (CEI).

6. ¿Cuántas preguntas tiene el examen, cuanto dura y con cuánto lo apruebo?

El examen es una computadora especialmente diseñada para este tipo de exámenes, sólo hay una ventana abierta con el examen y no puedes hacer absolutamente nada mas.
El examen dura 4,5 horas y tiene 150 preguntas. El examen es aprobado si es que respondes más del 70% de las preguntas correctamente.

7. ¿Cuál es el procedimiento para acceder al examen?

Así hayas llevado el curso OFICIAL, alguno NO OFICIAL o hayas decidido estudiar solito en tu casa, los pasos técnicos para postular son los mismos, aquí los detallo:

  • Obtener código de autorización (omitir si llevas curso oficial)
    • Escoger la opción STORE en la parte superior
    • Pagar US$ 100.00 dólares por el item 81
  • Llenar registro para aplicar a examen CEH
    • Se debe solicitar as través de correo electrónico a certmanager@eccouncil.org el envío del formato y enviarlo debidamente completado
  • Obtener código de voucher por el concepto del examen
    • Escoger la opción STORE en la parte superior
    • Pagar US$ 500.00 dólares por el item 85
  • Programar tu examen en Prometric
    • Enviar a través de correo electrónico a certmanager@eccouncil.org el código de autorización (lo que costó US$ 100.00) y el código de voucher para rendir examen (lo que costó US$ 500.00)
    • Ingresar a http://www.register.prometric.com crearse una cuenta y programar el examen en alguno de los centros autorizados dependiendo de cada país.
  • Rendir el examen
    • Finalmente, después de haber programado tu examen en la página de PROMETRIC sólo debes ir a la institución donde programaste el examen presentar tu documento de identidad y tomarte un litro de agua de azahar para no tener nervios durante el examen que dura 04 horas aprox.
    • Por último, te entregan un registro de haber aprobado el examen (si es que lo apruebas) y el certificado físico estará llegando a tu casa en 02 meses.

Adjunto mis certificados de CEHv7 y CEHv6, espero que todo lo escrito les sea de utilidad. Saludos.

CEHv7

ceh_thumb1

DSC02896_thumb

Popularity: 59% [?]

Suena extremadamente raro decir “hacker”, “hackero”, “hackerito” o algún otro sinónimo bastante chapucero  que recuerdo haber escuchado en alguna reunión.  La situación menos favorable a la que te puedes enfrentar es cuando alguna persona te hace la tantas veces repetida pregunta:

- “¿Y tú a que te dedicas?” u otra pregunta que es  prima hermana de la primera: “¿En qué trabaja usted, joven?”

¿Por qué suelen hacer esa pregunta? A falta de un motivo razonable me he limitado a contestarla tratando de que ser hacker no suene nada malo o muy complicado de entender; sin embargo, y como todo, no siempre es sencillo torear este tipo de preguntas cuando proviene de la persona menos esperada y en el lugar menos esperado, un taxi tico de color amarillo pálido.

Corría hacia algún lugar, como siempre, y tenia un especial apuro en llegar a mi destino, detuve el primer taxi que se acercaba,  ni siquiera advertí en  mirar al chofer y solo atine a decirle:

- ¿Cuánto a Canevaro y Moreyra?

El taxista respondió a mi pregunta con otra avispada pregunta, denotando su basta experiencia en el oficio.

- ¿En la misma esquina, joven?- refuto rápidamente.

En realidad era una cuadra y media mas adelante, pero si el taxista tenia cierta experiencia yo también contaba con alguna.

- Si señor, en la misma esquina. ¿Cuánto?

- ¿Siete soles?

- Seis soles maestro, esta cerca – di mi ultima oferta para  terminar de negociar y coloqué mi mano sobre la manija de la puerta listo para cerrar el trato.

El taxista, asintió con la cabeza y abordé raudamente al taxi, solo importaba llegar al destino lo antes posible para cumplir  mi misión. A pesar de lo corto de la negociación y lo corto del  camino, no paso ni un minuto para que se nos atravesara el primer semáforo, note que los semáforos cuentan con ciertas señales que activan un mecanismo oscuro en el cerebro de los taxistas, activan la profesión de psicólogo amateur, estoy casi seguro que la luz ámbar es la culpable de esto;  así que repentina y casi en cámara lenta el taxista volteo su cabeza hacia un costado, esbozo una leve sonrisa e hizo su habitual pregunta, la misma que hace a todos sus ocasionales acompañantes.

- ¿Joven, a qué se dedica usted?

Debo de admitir que el hecho que me dijera “joven” me gusto mucho, y es que a veces siento que a mis 25 años estoy casi volteando la esquina de mi vida. Lamentablemente su pregunta no tuvo buena acogida, como explicarle al señor taxista lo complejo de ser un hacker; habían dos posibilidades: la primera, la más probable, que el señor no sepa la definición de esta bendita palabra y no lo culpo en lo absoluto debido a que el señor tenia cerca de 45 años, deducción hecha a ojo de buen cubero, y era una sospecha valedera; la segunda posibilidad era que el señor taxista tuviera el “pensamiento mágico sobre el hacker” y me terminara pidiendo que hackeara el correo de una eventual amante que tuviera para hurgar en su vida privada. Por desgracia, debido a lo apurado que estaba, solté la palabra hacker en mi respuesta.

- Señor, me dedico a hackear.

El cuadragenario chofer, tenia el “pensamiento mágico”, maldición!!

- Entonces usted puede entrar a los correos de otros, verdad?

Damn! ¿así nos ve el común de la gente?¿Así nos ve el mundo ajeno a sistemas  informáticos?  ese es el estereotipo bajo el que viviré toda mi vida?, me pregunte a mi mismo con cierto estupor.

- Bueno, no siempre….. a veces se puede ……a veces no se puede, hay muchos factores – argumenté.

- Vaya entonces espero que nunca se entere cual es mi correo electrónico, jejeje.

Fingí una carcajada, no sabia como reaccionar ante esa situación y estoy seguro que mi carcajada sólo demostraba cierta incomodidad y nerviosismo. Debía buscar alguna salida a la pregunta y tenia que ser rápido, no quería mas preguntas al respecto o peor aún, no quería que el señor me terminara preguntando como hacia para hackear las bases de datos extremadamente protegidas de Hotmail, Gmail, YahooMail y cuanto sistema de correo electrónico existiera. Tenia que buscar una solución a mi metida de pata y sólo encontré una, bastante trillada y miserable pero una solución al fin y al cabo.

Yo no suelo dormir en cualquier asiento, sólo duermo sentando cuando estoy extremadamente cansado, es mas ni siquiera puedo dormir en el sillón de mi sala; aunque ahora que lo recuerdo, en mis años de juventud y en los tiempos de épicas borracheras universitarias a base de “chuchuhuasi”, me quedé dormido en algún wáter en la casa de algunos compañeros de clase, pero sólo fueron casos excepcionales, al menos eso recuerdo. El problema era que en ese momento no tenia sueño, al contrario en 15 minutos debía llegar a mi destino y empezar a trabajar. Soy muy malo fingiendo pero tenia que hacerlo, bostece de manera grotesca y ruidosa para que el taxista advirtiera que su pasajero tenia sueño, me frote el brazo izquierdo con la mano derecha e hice todos los clásicos ademanes que una persona con sueño tenia que hacer, lamentablemente mi pequeña actuación debió ser muy mala que ni yo me la creí, lo único que faltaba era hacer la finta de que dormiría hasta llegar a mi destino y comunicárselo al chofer; me arme de valentía y exclamé:

- Señor, me avisa al llegar por favor!! – mostrando cierta preocupación por no pasarme de mi destino, así concluí mi penosa actuación, acomodando mi cabeza sobre un costado del asiento.

No paso mucho y llegamos al destino, pagué lo acordado y el señor se despidió con inusual cordialidad. Descendí rápidamente del taxi, mire de reojo al taxista y devolví la amabilidad con otra fingida sonrisa. Seguramente era la primera vez que un pasajero le daba el tipo de respuesta  que yo le di, será algo que nunca sabré, susurrándome a mi mismo. Nunca mas diré lo que hago utilizando la palabra “hacker” o alguna conjugación de esta palabra, estaba decidido la próxima vez que alguien me interrogue sobre mi profesión, diré: “Soy consultor de TI” y no daré mayor detalle, aunque en realidad y en el fondo sea un “Ethical Hacker”, un “hacker ético”, “un hacker buena gente”; en conclusión un “hacker bonachón”.

“Lo malo de ser hacker” tiene muchas aristas y muchas mas anécdotas que espero algún día poder contarlas en mi blog.

DSC00032

DSC02896

Popularity: 26% [?]