[ES] Análisis Forense en AWS: introducción

English version here.

AWS siempre está monitorizando cualquier uso no autorizado de sus/nuestros recursos. Si tienes docenas de servicios ejecutándose en AWS, en algún momento serás avisado de un incidente debido a varias razones como compartir accidentalmente una contraseña en Github, una mala configuración de un servidor que lo hace fácil de atacar, servicios con vulnerabilidades, DoS o DDoS, 0days, etc… Así que debes estar preparado para realizar un análisis forense y/o gestionar la respuesta ante incidentes de tu infraestructura en AWS.

Recuerda, encaso de incidente debes mantener la calma y procura seguir un procedimiento definido, no dejes este proceso en manos del azar porque probablemente tu o tu jefe este lo suficientemente nervioso como para no esperar ni pensar. Siempre es mucho mejor seguir una guía previamente testeada que tu intuición (que ya la usarás después).

ADVERTENCIA: si has llegado a este artículo de forma desesperada haciendo una búsqueda en Google, te recomiendo probar todos los comandos antes en un entorno controlado como tu laboratorio o sistemas de pruebas. Como decía, deberías tener una guia de respuesta a incidentes y proceso de análisis forense antes de que ocurra un incidente.

En este artículo quiero recomendar algunos pasos y trucos que nosotros hemos usado en algún momento. Doy por hecho que tienes el cliente de linea de comandos de AWS ya instalado, si no es así mira aquí: http://docs.aws.amazon.com/general/latest/gr/GetTheTools.html. Todos los comandos están basados en una posible instancia comprometida en EC2 (Linux), pero la mayoría de estos comandos “aws” se pueden usar también para servidores Windows aunque no lo he probado. Todas estas acciones también se pueden realizar mediante la AWS Cosole. Estos serían algunos de los pasos a tener en cuenta:

1) Desactiva o borra el Access Key. Si una AWS Access Key ha sido comprometida  (AWS te lo hará saber en un correo electrónico u tu lo notarás pagando una gran factura) o te das cuenta que lo has publicado en Github:

aws iam list-access-keys
aws iam update-access-key --access-key-id AKIAIOSFODNN7EXAMPLE \
--status Inactive --user-name Bob
aws iam delete-access-key --access-key AKIDPMS9RO4H3FEXAMPLE \
--user-name Bob

2) En caso de que la Key sea comprometida, comprueba si algún recurso ha sido creado usando esa Key, en todas las regiones. Es común ver que alguien ha usado tus claves para lanzar instancias EC2 en otras regiones de AWS así que comprueba todas buscando instancias que te parezcan sospechosas. Aquí un ejemplo para buscar instancias creadas en la región us-east-1 desde el 9 de Marzo de 2016:

aws ec2 describe-instances --region us-east-1 \
--query 'Reservations[].Instances[?LaunchTime>=`2016-03-9`][].{id: InstanceId, type: InstanceType, launched: LaunchTime}'

3) Contacta con el equipo de soporte de AWS y avísales del incidente, están siempre dispuestos a ayudar y en caso necesario escalarán al equipo de seguridad de AWS.

4) Aisla la instancia, en este caso cuando hablo de YOUR.IP.ADDRESS.HERE, puede ser la IP pública de tu oficina o un servidor intermedio donde saltar y hacer el análisis:

    • Crea un security group para aislar la isntancia, ojo con la diferencia entre EC2-Classic y EC2-VPC, apunta el Group-ID
aws ec2 create-security-group --group-name isolation-sg \
--description "Security group to isolate EC2-Classic instances"
aws ec2 create-security-group --group-name isolation-sg \
--description "Security group to isolate a EC2-VPC instance" --vpc-id vpc-1a2b3c4d 
# where vpc-1a2b3c4d is the VPC ID that the instance is member of
    • Configura una regla para permitir SSH solo desde tu IP pública, aunque primero debes saber tu IP pública:
dig +short myip.opendns.com @resolver1.opendns.com
aws ec2 authorize-security-group-ingress --group-name isolation-sg \
--protocol tcp --port 22 --cidr YOUR.IP.ADDRESS.HERE/32
aws ec2 authorize-security-group-ingress --group-id sg-BLOCK-ID \
--protocol tcp --port 22 --cidr YOUR.IP.ADDRESS.HERE/32 
# note the difference between both commands in group-name \
and group-id, sg-BLOCK-ID is the ID of your isolation-sg
    • Los EC2-Classic Security Groups no soportan reglas de trafico saliente (solo entrante). Sin embargo, para EC2-VPC Security Groups, reglas de trafico saliente se puede configurar con estos comandos:
aws ec2 revoke-security-group-egress --group-id sg-BLOCK-ID \
--protocol '-1' --port all --cidr '0.0.0.0/0’ 
# removed rule that allows all outbound traffic
aws ec2 authorize-security-group-egress --group-id sg-BLOCK-ID \
--protocol 'tcp' --port 80 --cidr '0.0.0.0/0’ 
# place a port or IP if you want to enable some other outbound \
 traffic otherwise do not execute this command.
    • Aplica ese Security Group a la instancia comprometida:
aws ec2 modify-instance-attribute --instance-id i-INSTANCE-ID \
--groups sg-BLOCK-ID 
# where sg-BLOCK-ID is the ID of your isolation-sg
aws iam put-user-policy --user-name MyUser --policy-name MyPowerUserRole \
--policy-document file://C:\Temp\MyPolicyFile.json

5) Etiqueta la instancia para marcarla como “en investigación”:

aws ec2 create-tags –-resources i-INSTANCE-ID \
–tags "Key=Environment, Value=Quarantine:REFERENCE-ID"

6) Guarda los metadatatos de la instancia:

    • Más información sobre la instancia comprometida:
aws ec2 describe-instances --instance-ids i-INSTANCE-ID > forensic-metadata.log
or
aws ec2 describe-instances --filters "Name=ip-address,Values=xx.xx.xx.xx"
    • La salida de consola, puede ser útil dependiendo del tipo de ataque o compromiso aunque recuerda que deberías tener un sistema de logs centralizado:
aws ec2 get-console-output --instance-id i-INSTANCE-ID

7) Crea un Snapshot del volumen o volúmenes de la instancia comprometida para el análisis forense:

aws ec2 create-snapshot –-volume-id vol-xxxx –-description "IR-ResponderName- Date-REFERENCE-ID"
    • Ese snapshot no se modificará o montará, sino que trabajaremos con un volumen.

8) Ahora podemos seguir dos caminos, Parar la instancia:

aws ec2 stop-instances --instance-ids i-INSTANCE-ID
    • Dejarla ejecutándose, si podemos, en cuyo caso deberíamos aislarla también desde dentro  (iptables) y hacer un volcado de la memoria RAM usando LiME.

9) Crea un Volume desde el snapshot:

    • Piensa que región vas a usar, y otras opciones como  –region us-east-1 –availability-zone us-east-1a –volume-type y personaliza los comandos siguientes:
aws ec2 create-volume --snapshot-id snap-abcd1234
    • Toma nota del volumen:
aws ec2 describe-volumes

10) Monta ese volumen en tu distribución favorita de análisis forense y comienza la investigación.

Iré añadiendo más información en futuros artículos, por ahora esto es una introducción adecuada.

Si quieres aprender mucho más sobre este tema, voy a dar un curso online sobre Análisis forense en AWS, GCE y Azure en español con Securizame, más info aquí.

Forense2-1

Algunas referencias que he usado:

https://securosis.com/blog/my-500-cloud-security-screwup

https://securosis.com/blog/cloud-forensics-101

http://www.slideshare.net/AmazonWebServices/sec316-your-architecture-w-security-incident-response-simulations

http://sysforensics.org/2014/10/forensics-in-the-amazon-cloud-ec2/

My talk about “Alfresco Backup and Recovery Tool” in the Alfresco Summit

All recorded videos has been published recently in the Alfresco Summit portal and here you go my talk “Alfresco Backup and Recovery Tool: A Real World Backup Solution” I gave in both Boston and Barcelona. I was the first public presentation about Alfresco BART.

Thanks to all who attended this session and made it one of the most-well attended and highest-rated in both cities. I’m looking forward to keep talking covering security topics as usual (I already have some “hack-ideas”…).

If you only want to see the demo, it starts at minute 33:

The presentation is published in Slideshare as well:

Remember you can download here the White Paper I mention during the talk.

If you only want to see the practical demo (best resolution in the talk video above), you can enjoy it here:

Any questions and comments are always welcome!

Video del webinar “Uso práctico de Alfresco” (demo)

Aquí comparto el video del webinar en el que hago una demo de Alfresco sobre temas como:

  • Introducción a Alfresco Share
  • Clasificación automática de ficheros por correo entrante: Gestión de Facturas
  • Workflow
  • Edición de PDFs (marca de agua)
  • Alfresco One, colaboración y nube híbrida.
  • Sincronización
  • Alfresco Mobile
  • Edición en linea con MS Office
  • Búsquedas
  • Desktop Sync
  • Publicación Social

Espero que os resulte útil.

Crónica y materiales de la Alfresco DevCon 2012

Si estáis relacionados de alguna forma con Alfresco sabréis que hace unas semanas celebramos la conferencia anual de desarrolladores en Berlín y en San José (EEUU). Este año he tenido la suerte de poder participar en ambas sesiones como voluntario y como ponente. En Berlín hice la charla sobre “Alfresco Security Best Practices” con demo incluida y en San José repetí la de seguridad y también una breve charla de 5 minutos sobre “Monitoring Alfresco with Nagios/Icinga”. Esta última era una charla novedosa para mi ya que se trataba de hablar de un tema durante 5 minutos con 15 segundos por slide con un máximo de 24 slides, una experiencia interesante sin duda, además permitía a mucha gente participar y dar a conocer algo relacionado con Alfresco de forma breve y concisa. Hubo dos sessiones de estas “mini-charlas” llamadas lightning talks en cada DevCon y merecieron mucho la pena.

Durante las conferencias, principalmente técnicas, se mostraron tanto novedades del producto como desarrollos, módulos, personalizaciones y usos novedosos de Alfresco. Fue un éxito de asistencia, contamos con casi 800 asistentes entre ambos eventos.

En la conferencia de cierre tanto en Berlín como en San José, Jeff Potts, nuestro Chief Community Officer, anunció que el año que viene no habrá DevCon tal como la veníamos celebrando en los últimos años, sino que será una conferencia más abierta tanto a usuarios finales como de negocio además de técnicos, de esta forma conseguiremos un evento más plural y que llegará a más gente de diferentes perfiles.

Al haber en algunas ocasiones 3 conferencias a la vez, ere difícil elegir, ya que la calidad de las mismas era bastante elevada. Me gustaría destacar las conferencias en las que estuve y que me gustaron,

Teniendo en cuenta que mi perfil es más de sistemas, no fui a las que eran puramente de desarrollo y personalización pero oí muy buenas críticas de las siguientes:

No dejes pasar la oportunidad, puedes descargar los materiales, presentaciones e incluso código de ejemplo en la web, sección sesiones, entrando a cada una de ellas.

Espero veros el próximo año en el congreso de Alfresco 2013!

Aquí os dejo las presentaciones de mis dos charlas:

Por cierto, en la hackathon que hicimos en la DevCon de San José (dia previo para hacer desarrollos) actualicé la nueva versión del plugin de Nagios para Alfresco, puedes descargarlo aquí.

Video del webinar “Alfresco One, sincronización y mucho más”

En este video mostramos en que consiste esta nueva oferta llamada Alfresco One, las nuevas características de Alfresco y capacidades de sincronización. La demo comienza a partir del minuto 21 (Sincronización con la nube, Alfresco Mobile y Alfresco Desktop Sync). En definitiva, las nuevas tecnologías están cambiando la forma en que las organizaciones trabajan con los contenidos, cómo los comparten, como se realizan los procesos de negocio y como se organizan. Desde la nube a instalaciones de Alfresco en local y la necesidad de acceso a los contenidos desde dispositivos móviles. Aprende como Alfresco resuelve estos problemas para usuarios, departamentos de IT y organizaciones en general.

Alfresco One, sincronización y mucho más from Alfresco Spain Portugal on Vimeo.

[GTranslate]

Video y presentación del webinar “Nuevo Alfresco Records Management 2.0″

Coma ya anuncié en un artículo anterior, hemos hecho un webinar donde presentamos las nuevas aportaciones del módulo de Record Management de Alfresco y como podemos gestionar de una manera fácil y fiable los registros de una organización. Aquí está el video y la presentación utilizados.

Nuevo Alfresco Records Management 2.0 from Alfresco Spain Portugal on Vimeo.

La presentación en Slideshare:

Nuevo módulo Alfresco Records Management 2.0

Recientemente se ha anunciado la disponibilidad de Alfresco Records Management 2.0, disponible por ahora para clientes Enterprise. Este módulo es una ampliación de las características de Alfresco para facilitar la gestión de registros, en este caso se ha reescrito el módulo para crear esta nueva implementación que funciona en la versión 4.0 de Alfresco.

RM 2.0 incluye todas las funcionalidades de Alfresco RM 1.0 pero con algunos cambios importantes y mejoras para soportar implementaciones reales de gestión de registros en todo el mundo (no solo válidas para DOD 5015.2). De forma resumida, estas son algunas de las mejoras:

  • Soporte de planes de archivo multi-nivel (multi-level file plans), ya no está limitado a tres niveles como el anterior.
  • Interfaz de usuario mejorada, adaptada a la versión 4 de Alfresco.
  • Posibilidad de guardar búsquedas.
  • Extensibilidad y personalización, ahora es más fácil personalizar el módulo y adaptarlo, igual que se hace con la nueva versión de Alfresco Share 4.
  • Soporte IMAP para añadir registros más fácilmente.

Alfresco RM 2.0 funciona a partir de la versión 4.0.2. Y necesitamos tener Lucene como motor de indexación para poder utilizarlo.

¿Cuando va a soportar SOLR? Desde Alfresco se está trabajando para que la próxima revisión de RM (2.0.1) soporte SOLR, por lo que no será dentro de mucho tiempo.

¿Está disponible para la versión Community? Actualmente no hay disponibilidad del módulo para la versión Community pero el código se publicará con la próxima release de la Community, posiblemente en octubre de este año, así que toca esperar unos meses.

¿Está disponible en español? La versión actual está solamente en inglés pero estamos preparando la traducción al español, esperamos tenerla disponible en unas semanas.

¿Quieres conocer más sobre gestión de registros con Alfresco? ¿Quieres conocer mejor el producto y saber como te puede resolver tus necesidades? Regístrate al próximo webinar que hacemos el 5 de septiembre donde lo contaremos todo:
http://www.alfresco.com/es/about/events/2012/09/rm/

Puedes descargar y probar el RM para Enterprise 4.0.2 desde aquí http://www.alfresco.com/products/enterprise/trial

Certificación de Alfresco, examen ACA y mi experiencia en certificaciones

Actualizado Julio 2014

En los últimos años he hecho varias certificaciones (exámenes), hice el examen Linux LPI en Abril del 2005, Red Hat RHCE en Julio de 2007, el Alfresco Train the Trainer (para dar cursos) en Septiembre de 2007, ITILv3 en 2009, Alfresco Certified Administrator (ACA) y recientemente el AWS Certified Solutions Architect en Abril 2014. Cada uno de esos exámenes fueron diferentes tanto en formato como en dificultad.

En este artículo quiero compartir mi experiencia en esas certificaciones, para poneros en contexto e intentar orientaros sobre la mejor forma de afrontar y preparar los exámenes de certificación de Alfresco basado en mi opinión y también en lo que me han comentado otras personas que los han hecho.

Como podéis ver en el portal Alfresco University, existen dos títulos en el catálogo de certificaciones de Alfresco, ACA (Alfresco Certified Administrator) y ACE (Alfresco Certified Engineer). El primero orientado más a personal de sistemas, seguridad y administradores que quieren demostrar su dominio sobre la instalación, configuración, mantenimiento y resolución de problemas, el segundo orientado a desarrolladores, integradores y que dominan la personalización de la aplicación en las diferentes opciones que ofrece Alfresco.

Mi experiencia previa en el mundo de los exámenes de certificación, opiniones sobre algunos de los que he hecho:

  • Linux LPI constó de dos exámenes tipo test, que se realizan en un centro especializado, de  formato muy parecido a los de Alfresco, no me parecieron muy difícil aunque ya tenía unos años de experiencia en Linux e hice los cursos oficiales de LPI, eso ayudó mucho ya que están orientados al examen.
  • El examen de certificación RedHat RHCE fue sin lugar a dudas el más difícil y del que me siento más orgulloso tener, por dos razones, primero porque me resultó muy completo y técnico, tuve que estudiar muchísimo para sacarlo y segundo porque llevaba años deseando tener esa certificación que pienso es muy valorada en el mundo del TI. Este examen fue totalmente práctico y separado en dos partes, una sobre resolución de problemas en una instalación de Red Hat y la segunda parte había que montar una serie de servicios que se indicaban en una hoja de trabajo. Hice el curso oficial previo al examen (4 días) que estaba relativamente orientado al examen y me ayudó mucho pero lo que más me ayudó fue la experiencia que ya tenía y lo mucho que estudié y practiqué los días antes del examen. Pensad que el curso previo al examen lo hicimos 8 personas pero solo pasaron el examen 3. La experiencia previa y estudiar a conciencia es clave.
  • El examen de certificación Train the Trainer de Alfresco fue en un formato totalmente diferente a los anteriores ya que fue como un examen oral después de un curso de 3 días. A pesar de mi nivel de inglés en aquellos entonces lo pasé pero también tuve que estudiar y preparar el discurso.
  • El test para AWS Certified Solutions Architect no me pareció fácil en absoluto, sobre todo teniendo en cuenta que había hecho el curso Architecting on AWS esa misma semana. Lo cierto es que para pasar esa certificación hay que tener bastante experiencia en AWS y haber trabajado con los diferentes productos y componentes de AWS, de lo contrario es muy difícil pasarlo.

Preparación de la certificación de Alfresco:

Obviamente, la primera respuesta y no es por “vender”, es hacer los cursos oficiales con materiales oficiales, haz todos los que puedas, en serio, te ayudarán mucho, puedes ver los próximos cursos aquí. Piensa que aunque hayas hecho los cursos y tengas experiencia también deberás estudiar o al menos repasar antes del examen.

En el momento de escribir este artículo las preguntas del examen están basadas en versiones 3.4 aunque la mayoría son genéricas que son útiles para la versión 4.0.

La tipología de las preguntas están organizadas en base a al siguiente información (ver los PDF – blueprints en estas webs):

Más información:

  • En este post de Carlos Miguens (Training Manager de Alfresco) puedes ver algunas preguntas de ejemplo que puedes encontrar en el examen – en inglés, también más información en este otro artículo suyo.
  • Tienes un buen puñado de preguntas frecuentes que te resolverán muchas dudas en esta web – en inglés.
  • Alex Ugartondo escribió en abril un artículo en español sobre su experiencia cuando hizo el examen del ACE, con algunas recomendaciones sobre la preparación.
  • Actualizado 25/Mayo/2012: Puedes ver unas preguntas de ejemplo y probar si estás preparado en el siguiente test del ACE y aquí del ACA.

MAS INFORMACION:

 

El examen:

Lo primero que debes hacer es decidir una fecha y marcarla en tu agenda, procura tener ese día tranquilo para poder repasar. Yo prefiero hacer los exámenes por la tarde pero cada uno tiene sus preferencias.

Novedad! A partir de Agosto se ampliarán 15 minutos los exámenes para los países de habla no inglesa.

Una vez sepas cuando quieres examinarte puedes ir a la web de Pearson Vue, sección Alfresco, aquí. En la sección “Locate a Test Center” puedes ver el centro Pearson Vue más cercano a ti. Una vez localizado puedes registrarte y poner fecha a tu examen, eso puedes hacerlo siguiendo los pasos que te indican pinchando en “Schedule a Test”.

Los exámenes ACA (Alfresco Certified Administrator) y el ACE (Alfresco Certified Engineer) son en inglés tienen una duración de 60 minutos y 60 preguntas tipo test que pueden ser de múltiples respuestas, gráficas, con código  o ficheros de configuración con preguntas relacionadas y de tipo verdadero/falso. Para pasar el examen debes acertar al menos el 70% de las preguntas. Al finalizar el examen obtienes automáticamente el resultado del mismo. ¿Que ocurre si no apruebo el examen? Puedes volver a examinarte dos semanas más tarde (pagando igual que en el primer examen), si el segundo intento también suspendes deberás esperar 3 meses para el siguiente examen.

Como dije antes, hice el ACA, el precio total son 195 dólares, unos 150€. El ACE cuesta lo mismo.

Una vez registrado y seleccionado el examen (ACA o ACE) tienes que seleccionar el centro donde te vas a examinar, en mi caso seleccioné el Instituto FOC, en el municipio de Maracena, a 15 minutos del centro de Granada (España). En ese mismo centro me examiné de Linux LPI e incluso fui profesor de Linux y Seguridad hace unos años, así que me iba a encontrar como en casa. No penséis que uno puede copiar o aprovechar que conoce a la gente del centro de examen, durante la duración de la prueba te graban en video para poder auditar tu examen y debes dejar fuera de la sala del examen cualquier cosa que lleves en los bolsillos (teléfono móvil, etc.). No hay opción de vulnerar el sistema, si sabes apruebas, si no, suspendes.

Antes del examen se explica todo en el propio sistema informático. Durante el mismo tienes la posibilidad de marcar las preguntas en las tienes dudas para revisarlas al terminar las 60, antes de finalizar. Las preguntas de una sola elección tienen las respuestas redondeadas y las de varias cuadraditos son con múltiples respuestas, pero siempre se indican cuantas son las que tienes que elegir, y no puedes avanzar a la siguiente si no eliges el numero pedido o respondes cada pregunta. Durante el examen también te dan una especie de pizarra tamaño folio para poder tomar notas, que te retiran al terminar el examen.

Consejo clave:

  • No te lo vas a creer, pero el mejor consejo que te puedo dar es ESTUDIA, salvo que seas un gurú deberás prepararte el examen. Si quieres tener la certificación tienes que estudiar, depende de tu nivel de experiencia será más o menos costoso pero debes hacerlo. Como mínimo hacerlo a conciencia una semana antes del examen. A mi me gusta hacerlo por las noches oyendo música, y en casi todos los casos anteriores estuve al menos una semana sacrificando horas de sueño, pero os aseguro que mereció la pena, no solo en lo profesional sino también en lo personal, un reto superado, ahora vamos a por otro!
  • ¿Qué materiales puedes utilizar? Aparte de los que te entreguen en los cursos oficiales de Alfresco, te aseguro que te va a ayudar mucho para el ACA el pdf Alfresco Enterprise Administrator (que está disponible para clientes en la web de soporte). También hay información muy útil en la wiki de Alfresco y más ordenada en docs.alfresco.com. Otros recursos muy válidos para el ACE son los libros Professional Alfresco, Alfresco Developer Guide o incluso Alfresco 3 Web Services. Tanto para el ACE como para el ACA debes dominar bien la parte de modelado de datos, workflow, sobre módulos AMP, auditoría y buenas prácticas en general. Para ACA, estudia bien sobre los modelos, como desplegarlos, multitenancy, configuraciones en general (subsistemas y alfresco-global.properties), autenticación, amp, auditorías, permisos, reglas, búsquedas, contentstoreselector, configuración y tuning de jvm, etc. Algunas preguntas son muy específicas en cuanto a algún detalle de configuración. Conozco gente con experiencia que me han dicho que con la wiki y docs.alfresco.com han tenido suficiente, depende de ti. Seguro que irán saliendo materiales más ad-hoc como ocurre con otras tecnologías, recuerda que es una certificación de reciente creación.
  • El día del examen ve 30 minutos antes al lugar del examen para evitar prisas de última hora, debes firmar unos documentos y registrarte en el centro del examen. No olvides llevar tu documentación, al menos dos documentos que te identifiquen (por ejemplo el documento de identidad y carné de conducir).

Conclusiones:

  • En contra:
    • Tienes 60 minutos para hacer 60 preguntas, así que date prisa, no dudes, marca las dudosas para repasar al final pero no pierdas tiempo. Ampliado a 80 minutos si no hablas inglés nativo.
    • Es en inglés y para los que no somos nativos debemos leer con mucho cuidado, aunque no son complejas las preguntas no es igual que ser nativo, debes leer las preguntas como mínimo dos veces para asegurarte que lo entiendes bien.
    • Si quieres aprobar el examen debes contestar bien al menos el 70% de las preguntas. En otras certificaciones que he hecho el % es un poco inferior, eso dice mucho de una certificación.
    • No hay ningún examen de prueba para hacerse una idea o un material específico de referencia, salvo lo que he comentado anteriormente, es el precio que hay que pagar por la novedad, pero ya irán saliendo más artículos como este y materiales.
  • A favor:
    • Estas certificaciones son nuevas y al obtenerlas marcas la diferencia. Es conocido por mucha gente que no son fáciles aprobar, eso hace que cuando sacas la certificación tenga mucho más valor. Te puedes vender mejor y demostrar realmente que dominas la tecnología, eres garantía. Cada vez más clientes solicitan estas certificaciones y los partners también.
    • El examen es más barato que otras certificaciones, 195 dólares, (en torno a 150€ dependiendo del cambio del dólar americano).
    • Seguramente aprendas algo nuevo haciendo el examen.

    Y dicho eso, ¿a que esperas para hacer tu examen y demostrar lo que vales? Podrás decir que eres:

    Ánimo y cuéntame tu experiencia en los comentarios.

ACTUALIZACION, comentarios de mi compañero Nathan McMinn:

1.  CMIS.  There are quite a few CMIS questions that I recall from the test and blueprint.  Make sure you are up to speed on CMIS basics.  Things like the URLs used to access it, the types of bindings, the basic domain model and query structure.  All of this stuff is best learned from the specification:

http://docs.oasis-open.org/cmis/CMIS/v1.1/os/CMIS-v1.1-os.html

2.  Freemarker!  The test pool has a bit about freemarker directives and how we use it.  If you know the basics of what’s in the template author’s guide you shouldn’t be surprised by any of these questions:

http://freemarker.org/docs/dgui.html

3.  Alfresco APIs and development.  Expect quite a few questions about our Javascript API.  Specifically, the root scoped API objects and their functions.  Our docs and the wiki cover this pretty well

4.  Content modeling.  Know the limitations of models, how inheritance works and what the various pieces and parts are (aspects, types, properties, etc).  Our docs and the wiki cover this pretty well.  Reviewing our OOTB content models is the best way to get familiar with this, IMHO.

For 3 and 4, read Jeff Potts’ excellent guides on ecmarchitect.com.  In fact, if you haven’t already gone through all of the tutorials in his developer series, now is an excellent time to do so.  Probably 60-70% of the ACE exam is covered there.

5.  The overall architecture.  Some of these might be repeat questions from the ACA.  Speaking of which, when I took the ACE there was about 10-15% total overlap between the two exams.  So, take the ACA first, and you are well on your way to the ACE.

6.  Deployments.  Know how to package and deploy extensions, the various methods of doing so, and the pros/cons of each.  This includes all types of extensions, including models, workflows, web scripts, Java code, etc.  Understand the differences between classpath and data dictionary extension deployment.

7.  Permissions and security.  Know what the various roles are (both at the repo level and the Share site level).  Know what these roles can/cannot do.  Know what a doc owner can do.  Know the auth chain, how it is configured by default.  Understand ACLs, ACEs and the inheritance of permissions.

8.  SOLR.  Everything you need to know about SOLR for the exam should be covered in this blog post.  It is a couple years old, but does a great job explaining how it works w/Alfresco.

http://www.ixxus.com/blog/2012/06/getting-going-solr-alfresco-4

Anyway, I hope you find that useful.  The exam isn’t too tough, but it does cover a lot of ground.