Bueno, después de algo más de un mes, me decido a escribir esta entrada acerca de la certificación de eLearnSecurity, eJPT. Espero que le ayude a alguien.
Antes de nada, si has venido buscando pistas, soluciones o cualquier otro tipo de información sobre el examen, déjame decirte que te has equivocado de sitio. Si por el contrario, te interesa mi opinión, sigue leyendo.
La certificación la obtuve el 29 de mayo de 2021 después de casi 12 horas de examen, pero antes de eso, pongámonos en antecedentes.
Llevo trabajando en la parte de seguridad desde 2015 (si mal no recuerdo xD). He hecho auditorías web, de red, móviles (las menos), etc. Desde principios de este año, me he puesto las pilas con HackTheBox, TryHackMe y VulnHub (aunque esta última es la que más he usado siempre).
Esto quiere decir que lo sé todo y que he pasado el examen en 1 hora y todo perfecto. Para nada, más bien todo lo contrario. Soy de la opinión de que por muchos años que lleves haciendo algo, te faltan aún más conocimientos por adquirir, es decir, que hay que seguir aprendiendo a diario.
Bueno, vamos a lo que vamos que me empiezo a dispersar xD.
Antes de programar el examen, realicé los cursos gratuitos que tienen en INE:
Penetration Testing Basics
Penetration Testing: Preliminary Skills & Programming
Penetration Testing Prerequisites
He de decir que los cursos están bastante bien, aunque ya conocía la gran mayoría, me vino bien para refrescar conocimientos e incluso para aprender ciertas cosas que no conocía.
Una vez terminé los cursos, creo que tardé 3 días en ver y hacer todos (a razón de 8 horas diarias), empecé a plantearme el examen. La verdad que como siempre, estaba nervioso (me pasa desde niño) y como no tenía muy claro como iba el examen, me leí como 7 u 8 webs en las que, como hago yo ahora, daban su punto de vista sobre el examen.
El mismo día 29 de mayo a las 8:00 de la mañana ya está sentado en el ordenador con la web abierta y con el ratón apuntando el botón de "comenzar examen".
Una cosa que no me quedaba clara era el acceso al examen, a pesar de estar explicado en la web, a mí, no me terminaba de convencer. Cierto es que no estoy acostumbrado a los exámenes de las certificaciones, igual eso tiene que ver xD.
Total, que decidí desayunar con calma y al volver, conseguí acceder con la VPN que te facilitan y la "monté" en mi máquina atacante (Kali 2020 actualizada la noche anterior y con 2 snapshoot diferentes por si acaso, una antes de actualizar). A partir de ahí, comenzaba mi examen (eran las 10:30 aprox.).
La primera máquina estaba terminada en los primeros 30 minutos, lo cual me pareció raro (los que me conocen ya saben que confío poco en mí) así que, decidí revisar todo por si acaso la había liado.
Ya la cosa se complicó en las siguientes máquinas y de 30 minutos nada xD. Me tocó investigar varias cosas que no me cuadraban y que estaba enfocando mal, así que, decir que en esos momentos, levantarse, dar un paseo por la casa, comer unas nueces e ir al baño vienen bien.
Terminé el examen a las 22:00, lo que serían unas 12 horas como decía al principio, pero hay que descontar el hacer una paella para comer, comer, las paradas al baño, paseos, atender a tu hija, etc. Así que, supongo que de tiempo real serían unas 10 horas. ¿Es mucho tiempo? Pues ni idea, porque no he hecho otros exámenes y no sabría comparar. La verdad es que tienes 3 días para hacer el examen (creo), pero no te van a hacer falta por muy junior que seas. Eso si, no te confíes, porque tiras por un sitio porque llevas toda la vida haciéndolo así y no sale, igual hay que pensar...
¿Es difícil el examen?
La respuesta corta es no. Pero esto no quiere decir que dependiendo de tus skills te sea más o menos difícil.
¿Se puede sacar la certificación solo con los cursos del INE?
Posiblemente si, pero ya te digo que hay cositas que no están en los cursos y que como no sepas, te van a hacer perder mucho tiempo por no hablar de los nervios. Mejor ir "sobre preparado" que andar pasando penurias.
¿El examen es 100% práctico?
Si, peeeero, es verdad que hay un test con 20 preguntas que debes responder para aprobar. Las preguntas son sobre lo que vas haciendo en las máquinas, es decir, si no vulneras una máquina, no vas a responder las preguntas, porque no son genéricas, "van a pillar" para que tengas que hacer todo en las máquinas.
¿Cuánto cuesta el examen?
200$. Al cambio a fecha de mi examen fueron 184 € aproximadamente.
¿Has tenido algún problema con las máquinas? (a nivel de conocimientos).
No, pero sí que es cierto que tuve problemas con cierta cosa que no puedo decir para no dar pistas. Pero vamos, que si tienes buenos conocimientos, al final te das cuenta y reaccionas.
¿Puedes usar herramientas automatizadas (metasploit o sqlmap)?
Si, y no hay ningún problema. Es mejor hacerlo a mano y saber lo que haces en todo momento, pero en la vida real, hay que saber usar SQLmap, metasploit o cualquier otra herramienta que facilite o disminuya el tiempo de espera.
¿El examen es "proctored"?
No, y para mí es una ventaja. Recuerdo lo mal que lo pasé en el CEH con el tipo mirando por la cámara...
En resumen:
Me pareció un examen bastante bueno, mucho mejor sin duda que el CEH, que en mi opinión no vale para absolutamente nada. Muy divertido, que te pone a prueba y que obviamente, no saqué con las 20/20 preguntas, fallé en dos, así que, no puedo decir que tenga un 100% en el examen (tampoco me preocupa).
¿Qué certificación será la siguiente?
Las siguientes son el CSIO y Attacking and Defending AD que ya están pagadas y estoy en ello. Lo que no se es a por cuál iré cuando termine, pero siendo muy claro, creo que nunca iré a por el OSCP o ninguna de Offesive Security, ¿el motivo? Muy claro, no quiero pasar un día de mierda (he leído a mucha gente) haciendo un examen con un tío mirando lo que hago y tener que hacerlo en 24 horas.
Sinceramente, ¿alguien cree que por hacer un examen en 24 horas y "monitorizado" eres mejor? Yo creo que no, y como no tengo ni pizca de ganas de estar puteado para demostrar NADA, dudo que haga esa certificación algún día.
Prefiero mil veces las de eLearn Security, que son igual de buenas, y no tengo que pasarlo mal. Esto es mi opinión, pero insisto que no tengo por qué pasar un mal trago por demostrar nada a nadie. Esto es para divertirse, no para pasarlo mal, y no va a hacer que sea mejor profesional.
Y para el que me diga que de otra forma alguien podría hacer el examen por ti, le diré que tienes un problema si haces algo así. Tengo 41 años y pelos en los huevos, no necesito a nadie que haga nada por mí. Más que nada porque al final te van a pillar en el trabajo cuando vean que no sabes hacer las cosas. Mejor ir con la verdad por delante y saber tus limitaciones :D.
Si tienes alguna pregunta que no haya respondido, no dudes en dejarla en comentarios o mandarme un correo.
Nos vemos en la siguiente.
0 comentarios:
Publicar un comentario