Hackeando el CISA
El sabado hice por fin el examen CISA, asi que vuelvo a tener vida propia.Estaba muy agobiado, hacia mucho tiempo que no me presentaba a un examen y me he puesto de los nervios. Es mas, creo que este es el primer examen al que me presento en mi vida que tenia verdaderas ganas de aprobar. En la carrera me la sudaba aprobar o suspender, habia una convocatoria al año siguiente y estaba de maravilla en mi casa tocandome las narices asi que no tenia problemas en alargarlo un curso mas. Sin embargo el suspender este examen significaba retrasar doce meses mis planes: no iba a poder introducirme en el mundo profesional que queria, me iba a tocar seguir con lo mismo hasta la proxima convocatoria y se me hacia muy largo.
El examen fue en el colegio americano de valencia. Esta en el quinto pino, en una urbanizacion de pijos a treinta kilometros de la capital. Diria que es porque no los encuentren los de Al-Qaeda, pero creo que lo construyeron antes de toda la movida. Menos mal que me aconsejaron que me pasara antes para aprenderme el camino, porque si no aun estaria dando vueltas por los montes de puzol a ver si lo encontraba.
Habia que estar alli a las ocho. Eramos unas cuarenta personas, con cara de sueño y un poco nerviosas, perdidas y sin nada que hacer en medio de la nada. Me aburria, asi que como futuro experto en auditoria y seguridad, no pude menos que fijarme en los procedimientos de control que tomaban los examinadores para evitar los fraudes en el examen. Tras una inspeccion in situ del sistema de trabajo, llegue a la conclusion de que... estan emparrados.
El examinador jefe era americano. Un tipo nervioso, alto y con coleta que no paraba de dar vueltas de un sitio a otro intentando coordinar el examen, parecia mas preocupado que los que nos examinabamos. Le ayudaba una mujer con pinta de cincuentona inglesa estandar, un poco regordeta y amable, debia trabajar alli en el colegio. Tambien habia una argentina preciosa que fue la que nos vigilo en mi aula, una mina de metro ochenta con la voz de seda y los ojos oscuros como la miel de caña que mas que mirar acariciaba. Estuvo a punto de despistarme pero no consiguio quebrar mi concentracion en el examen ni impedir mi analisis de los metodos de seguridad.
El examinador jefe o Chief Examiner (CHE en adelante) tenia una actitud un poco infantil, se preocupaba mas por temas inutiles y aparentes que por los verdaderos puntos donde podiamos engañarle. Por ejemplo: al entrar, teniamos que mostrar el DNI y firmar en una lista. Estaba haciendolo la madame y de repente llego el chief examiner (desde ahora el Che) y se puso a decirle todo alterado... "ese? ese? ese de la camisa a rallas le has tomado nota?" y corria para dentro y para fuera como un loco. Vamos a ver, Che: ¿que leches va a hacer colandose el de las rallas si no esta apuntado al examen? Porque un sabado a las ocho de la madrugada y en un monte a treinta kilometros de valencia no es que hubiese ningun despistado que pasase por alli...
Pero voy a hacer un analisis un poco mas estructurado, que para eso llevo tres meses dejandome los cuernos. Las formas de cometer fraude en un examen son de tres tipos:
- 1-Previas a la prueba
- 2-Durante el examen
- 3-Posteriores a la prueba
El punto 3 no tuve oportunidad de comprobarlo. Aqui es donde debe ser mas dificil cometer un fraude, que consisitiria en "pegar el cambiazo". Yo me fui una hora antes despues de que terminase el plazo y fui el primero en entregarlo, de modo que no me pude fijar en las medidas de vigilancia que tomaban. Supongo que custodiaran medianamente bien los examenes, y si en un instituto ya estaba dificil utilizar este medio en este examen en el que se juegan su prestigio seran muy cuidadosos.
Sin embargo hay una cosa que no gestionan bien: el fraude cometido contra el alumno, en vez de contra la entidad examinadora. Los alumnos nos quedamos sin ninguna garantia sobre si nuestra hoja de respuestas sera manipulada. Esta escrita a lapiz, y al examinador no le costaria nada cambiar unas cuantas preguntas, o perderla accidentalmente. Ya se que no es lo habitual, pero no les costaria mucho sellar una copia de la hoja de respuestas y darla como comprobante. Imagino que no lo haran porque eso les daria muchos quebraderos de cabeza y les obligaria a remitir los originales a cada sitio examinador para las comprobaciones de fraudes. Me fio de ISACA pero seiscientos euros son seiscientos euros y no me gustaria que me tangasen.
Pero es en el punto 2, durante el examen, donde lo intentan llevar bien pero la cagan. Ahi es donde estan las oportunidades mas claras de fraude. Voy a enumerar las mas evidentes, no se si se molestara la gente de ISACA, pero no creo en la seguridad por ocultacion asi que si quieren que espabilen y que las busquen, aunque en el fondo tampoco creo que tengan mayor importancia.
Las formas en las que podemos engañar a los examinadores durante la realizacion de la prueba son las siguientes:
- a) Conseguir ayuda exterior
- b) Presentar a alguien por ti
- c) Memoria auxiliar de almacenamiento externo (chuletas)
El punto a) es dificil, eramos pocas personas en el aula y vigilan bien. Se podria usar el pinglanillo pero seria dificil la transmision de 200 preguntas, asi que por aqui nada especial.
El punto b) es factible. De hecho, no solo es factible sino sencillisimo, eso si, necesitas gastarte algo de pasta y tener a una persona que estudie por ti. Hay dos posibilidades: la primera, es que se apunten los dos al examen. Como solo comprueban la identidad al entrar, basta con que cada uno ponga el nombre del otro al entregar el examen. Eso si, la inscripcion te cuesta el doble pero dada la pasta que vale un curso de preparacion, te sale rentable. La otra opcion es que el sustituto se cuele: basta con que se meta detras del grupo o se haya escondido previamente en los baños. Al que va a ser sustituido se le comprueba la identidad al entrar, va a mear antes del examen y sale convertido por arte de magia en la otra persona. Sencillo pero efectivo, como todos los buenos timos.
El punto c) se puede conseguir de forma parcial. Y digo parcial porque hay otra debilidad de control muy grave: ¡¡te dejan ir al servicio!! ¡¡SOLO!! ¡¡Y TODAS LAS VECES QUE QUIERAS!!!. Nada mas sencillo que llevar una chuleta o una PDA en el pantalon, ir al servicio y repasar los temas tranquilamente. Señol examinadol, esto no es Estados Unidos, espabilese un poco... Es mas, antes de entrar al examen te dan un tour por la zona y te dejan entrar al servicio a que puedas esconder convenientemente todo el material que uses luego.
Resumiendo: si le echas un poco de cara puedes conseguir copiarte. De todas formas se presenta gente mas o menos seria, no es como un examen de la carrera donde vale todo con tal de aprobar. Ademas, por el tipo de examen como no tengas los conceptos muy claros de poco te van a servir las chuletas, por lo que debes de contar con ayuda externa. Existen fallos en el sistema pero habria que ser muy caradura para aprovecharse de ellos, y el que tuviese esa cara seguramente deberia llevarse unos puntos de mas por lo bien preparado que esta para la profesion.
En cuanto a mi, el examen me salio bastante bien asi que espero ser un auditor informatico en breve. Ahora es cuando empieza el trabajo duro, me toca buscarme la vida para aprender de verdad ya que esto al fin y al cabo solo sirve para tener un titulo oficial que te permita meterme un poco "en el ajo". En ocho o diez semanas me diran el resultado. Espero tener un poco mas de tiempo a partir de ahora para ir actualizando esto, que se me esta llenando de polvo.
Por cierto, ¡¡he encontrado por fin una moleskine!! En abacus acaban de traer un pedido y tienen de todas. Son tan buenas como habia leido, vale la pena pagar los 10 euros que cuesta. Tienen... no se... la forma que tiene que tener un cuaderno de notas. El tamaño exacto, la calidad de las hojas necesaria... Creo que lo voy a disfrutar.
Comentario:
El examen me fue muy bien, de hecho lo aprobé, aunque por otros temas no me he dedicado a la auditoría. De todas formas, creo que han cambiado bastante el temario y los métodos desde entonces, así que no se si mi experiencia te servirá de algo.
De todas formas mi consejo es que hagas muchos test y que utilices el sentido común, es lo más práctico.
Comentario:
Ya se que es algo tarde, para el comentario digo, pero queria saber como te fue el examen, pues..... bueno, me estoy planteando hacerlo tambien.
Como no se muy bein como funciona esto o si, este tipo de "mensajes" logarará atravesar las barreras de mi empresa... si no recibo respuesta tuya en unos dias, lo intento por otro lado, no se...en tu escritorio?
Gracias anticipadas
Salvador
Como no se muy bein como funciona esto o si, este tipo de "mensajes" logarará atravesar las barreras de mi empresa... si no recibo respuesta tuya en unos dias, lo intento por otro lado, no se...en tu escritorio?
Gracias anticipadas
Salvador
Comentario:
´²µÚ¼äµÄÕýµã×ÔÅÄ
ÈËÌåÒÕÊõÁíÀà
ÊÓƵ¼Ïñ¼¤ÇéÊÓƵ
ÐÔ¸ÐÃÀÅ®´²ÉÏ×ÔÅÄ
»ÆÉ«ÍøÕ¾
É«Çé
Ãâ·ÑµçÓ°
Ãâ·ÑµçÓ°
ÐÔ¸ÐÃÀÅ®´²ÉÏ×ÔÅÄ
Å®ÐÔÍβ¿Ð´Õæ
СµçÓ°
ÈËÌåÒÕÊõ ͼ¼
´²µÚ¼äµÄÕýµã×ÔÅÄ
¶µãͼƬ
Å®ÐÔ×îÒ×Ï×Éíʱ¿Ì
×ÔÅÄDV
͵ÅļÏó
ÃÀÅ®ÓÕ»óдÕæ×ÔÅĶÌƬ
ÈËÌåÒÕÊõÁíÀà
³ÉÈËС˵
»ÆÉ«ÍøÕ¾
³ÉÈËÂÛ̳
³ÉÈËͼƬ
×ß¹â
Èý¼¶Æ¬
ÊÓƵ¼Ïñ¼¤ÇéÊÓƵ
18dy-ÍѹìµçÓ°,tuogui
ÐÔ¸ÐÃÀÅ®´²ÉÏ×ÔÅÄ
É«ÇéÓ°Òô-¼¤ÇéдÕæmediaÇéÉ«
¼¤¶¯µçÓ°-18dy
18dy-¼¤¶¯µçÓ°
ÈËÌåÒÕÊõÁíÀà
ÊÓƵ¼Ïñ¼¤ÇéÊÓƵ
ÐÔ¸ÐÃÀÅ®´²ÉÏ×ÔÅÄ
»ÆÉ«ÍøÕ¾
É«Çé
Ãâ·ÑµçÓ°
Ãâ·ÑµçÓ°
ÐÔ¸ÐÃÀÅ®´²ÉÏ×ÔÅÄ
Å®ÐÔÍβ¿Ð´Õæ
СµçÓ°
ÈËÌåÒÕÊõ ͼ¼
´²µÚ¼äµÄÕýµã×ÔÅÄ
¶µãͼƬ
Å®ÐÔ×îÒ×Ï×Éíʱ¿Ì
×ÔÅÄDV
͵ÅļÏó
ÃÀÅ®ÓÕ»óдÕæ×ÔÅĶÌƬ
ÈËÌåÒÕÊõÁíÀà
³ÉÈËС˵
»ÆÉ«ÍøÕ¾
³ÉÈËÂÛ̳
³ÉÈËͼƬ
×ß¹â
Èý¼¶Æ¬
ÊÓƵ¼Ïñ¼¤ÇéÊÓƵ
18dy-ÍѹìµçÓ°,tuogui
ÐÔ¸ÐÃÀÅ®´²ÉÏ×ÔÅÄ
É«ÇéÓ°Òô-¼¤ÇéдÕæmediaÇéÉ«
¼¤¶¯µçÓ°-18dy
18dy-¼¤¶¯µçÓ°
Comentario:
Pues si te viene bien, puedes, quieres y eso...te lo agradeceré eternamente (o casi)
Un beso.
Un beso.
Comentario:
Odio los examenes, estoy deseando terminarlos y pa un rato que me meto a mirar blogs... no parais de recordarmelos!!!!! ajjaja
Un saludo
Un saludo
Comentario:
Ummm.... quiza pudiesemos hacer algo, si tengo un rato me paso por abacus y a ver si te la pudiesen enviar aunque no la tengan en catalogo.
Comentario:
No tienen moleskines en el catálogo, así que no puedo pedir unas cuantas. De momento no voy a ir a Valencia y ¡las necesito tanto!