Informacijos apsauga .LT » Blog Archive » Web hacking mokymai
Web hacking mokymai
2008-04-28 15:25 parašė Audrius
1 balas2 balai3 balai4 balai5 balai (Įvertinimai: 9. Vidutinis balas: 4.11 iš 5 galimų. Įvertink ir Tu.)
Loading ... Loading ...

Šiemet organizuoju “WEB HACKING: įveikti internetą” mokymus. Kursui tuoj bus vieneri metai, bet visą tą laiką jis sėkmingai atnaujinamas. Savaitgalį į jį sudėjau ir paskutinio masinio nulaužimo analizę. Įdomiai ta visa ataka padaryta. Pirmą kartą mokymai truko 2 dienas, po to 3, dabar jau neaišku ar į 3 normaliai tilpti pavyks. Bet gal apie viską nuo pradžių.

Mokymai vyks gegužės 19-21 dienomis Vilniuje. Dalyvaudami šiuose kursuose Jūs perprasite įsilaužėlių naudojamą metodiką (būtent ji daugiausiai ir nagrinėjama), išmoksite mąstyti kaip įsilaužėlis ir veikti kaip įsilaužėlis. Žinoma, žinodami jų metodus žinosite ir kaip geriau nuo to apsisaugoti. Temų kurso metu apimama daug. Juk tinklalapis negali veikti be operacinės sistemos, tinklo, serverio, jį prižiūrinčių žmonių ir t.t. Todėl nagrinėjam ne tik tinklalapius, bet ir tinklo, operacinių sistemų pažeidžiamumus, naudojam įvairią programinę įrangą ir savas galvas. Beveik po kiekvienos temos yra atliekama praktinė užduotis. Kartais detaliai nagrinėjam įvairius įsilaužimus ir atvejus kodėl taip nutiko. Žinoma, tokie pavyzdžiai visi yra su lietuviškais tinklalapiais (yra ten ir blogas.lt įtrauktas, ir kitų žinomų sistemų). Daugiausiai praktikos būna 3 dieną. Jei prieš tai visi praktiniai pavyzdžiai būna suskirstyti pagal temas, tai tą dieną tokio atskyrimo nėra, nes visi bando surasti tinkle paslėptą serverį, išsiaiškinti jo pažeidžiamumus, laužti elektroninį banką. Bankas, žinoma, nėra tikras ir specialiai paruoštas tik mokymams. Tiesa, šioje užduotyje dalyviai gali nuspręsti ką nori daryti: ar laikinai tapti saugumo auditoriumi ir išgaudyti kuo dagiau banko pažeidžiamumų ar atlikti banko “deface” tituliniam puslapiui. Pastarąjį padaryti nėra paprasta ir kol kas pavyko tik vienam žmogui. :) Žodžiu, veikti mokymuose būna ką ir tik skaidrių ekrane akimis sekti netenka. Pagal dalyvių vertinimus ir atsiliepimus matau, kad su kursų turiniu viskas daugiau nei gerai. Iki šiol mokymuose dalyvavo bankų, valstybinių įstaigų, didelių ir mažų bendrovių atstovai bei privatūs asmenys. Žodžiu, apribojimų pagal veiklos sritį nėra. Po gegužės mėn. sekanti data mokymams numatoma jau tik antroje rudens pusėje. Detalesnis aprašymas su turiniu, data ir kaina yra šiuo adresu: http://www.isec.lt/pdf/Web_hacking.pdf. Laisvos vietos belikusios tik kelios, tad dar gali prisijungti ir tu.

» Temos: Apie viską, Gerietis
» Žymėtis: kaip.tik.ten :: topix.lt :: del.icio.us

Įrašo gairės:

« Užsikrėsti žalingomis programomis Jums padės… Susisiekimo ministerija    ::    Hoax’ai ir el. pašto adresai »

Komentarai
  1. 2008-04-28 21:41 mxm rašė:

    Gaila, kad tokie kursai nepritaikyti studentams. Na teks turbūt pradėti taupyti, noras labai didelis nueiti į šituos apmokymus. Na viliuosi, po kokių dviejų metų turėsiu atliekamus 2000 Lt. :D

  2. 2008-04-28 22:07 Audrius rašė:

    Po dviejų metų darbas tave į tokius kursus išleis. :)

  3. 2008-04-29 01:42 Marijus rašė:

    Smagu, kad tokie kursai pamažu įsibėgėja ir Lietuvoje. Tik klausimas nekuklokas, kokios gerbiamojo kompetencijos be 10 metų IT saugumo srityje priverstų mane ateiti į šiuos kursus? Omeny turiu kompiuterinių tinklų ir IT saugumo sertifikatus.

  4. 2008-04-29 08:49 Audrius rašė:

    Sertifikato neturiu nei vieno, nes srityje kurioje dirbu jų tiesiog nėra, o kitus laikytis iki šiol nebuvo jokio poreikio. Nėra dėl to, kad security bendruomenė pati apsaugos įveikimo metodus išradinėja, t.y. ši bendruomenė visuomet turi būti priekyje prieš tą apsaugą kuriančius. Kas gali ir kas išdrįstų tokiems kurti sertifikatus? Na taip, yra saugumietiški visokie CISSP, CISM, CISA ir t.t., bet jie visi daugiau organizacinės saugumo dalies, kuri taip greitai nesikeičia kaip technologinė. CEH? Atleisk, bet geriau jokio negu CEH. CEH nesuteikia žinių ir atsilieka maždaug metais. CEH’as tik išmoko kur kokius mygtukus spaudžioti, kokias komandas rašyti, bet dažnai visiškai neaiškina kodėl taip viskas vyksta. Be CEH’o dar nevertinu MCP, CCNA ir kitų pirmo lygio (pradinių) sertifikatų. Kodėl? Nes lietuviai pratę nusirašinėti ir šiuos egzaminus jie labai dažnai laiko gerai išsistudijavę visokius TestKing’us. T.y. žinių beveik nulis, bet atsakymą į klausimą gali mintinai pasakyti. Tiesa, kažkada buvau pasiruošęs laikyti keletą Microsoft’o ir CCND sertifikatus, bet kadangi darbdaviui jų nereikėjo, o man asmeniškai už juos mokėti nesinorėjo, tai jie taip ir liko nelaikyti. Jeigu tau reikia ne mano žinių, bet medalių ant mano krūtinės, tuomet aš esu ne tas žmogus, kuris tau tiktų. O priešingu atveju galim padiskutuoti kaip apeinamos ugniasienės, kaip kuriami metasploito moduliai ir kodėl automatiniai skeneriai tik sukuria saugumo iliuziją.

  5. 2008-04-29 18:30 Di rašė:

    Ar bus mokoma HAOX’U lauzymo?

  6. 2008-04-30 16:26 ElKa rašė:

    mxm yra stovyklų tokių kaip, kad hacker highschool, tačiau manau ten ne tiek rimtai užsiima kaip per šiuos kursus. Nesidomėjau asmeniškai gali užmesti akį pats http://www.hhs.lt/

  7. 2008-04-30 23:05 Audrius rašė:

    Di (arba oo), kaip aš tavęs pasiilgau. :) Ypač tų tavo komentarų ne į temą. Na gerai gerai, pripažįstu, tu gali geriau nei aš. Žinoma, jei tik pradėtum… ;)

  8. 2008-05-01 16:10 mxm rašė:

    Pražiūrėjau anksčiau, tą nuorodą, būčiau apsidžiaugęs pamatęs prieš keletą metų, daugiau išmokčiau sėdėdamas prie kopiuterio dabar, nei toje mokykloje. Mane domina rimtesni dalykai, kaip seminarai, kur tikrai gali stipriai tobulėti. Iškilo toks klausimas, kaip įsisukti studentui į tokį verslą, kaip gerbiamasis, šios svetainės administratorius, Audrius? Dabar mano pagrindinis tikslas, tapti saugumo analitiku ir būti nepralenkiamu savo srityje. Dirbti tokioje firmoje, kaip http://www.isec.lt, ar po daugelio metų ikurti ir pačiam alternatyvią firmą. Na gal ir esu per didelis idealistas, bet yra kaip yra :)

  9. 2008-05-01 17:58 Di rašė:

    mxm pradek nuo HOAX’u hackinimo

  10. 2008-05-04 18:27 Tru_Hacker rašė:

    Bandau iveikti try2hack.lt, ar mokymai man padetu?

  11. 2008-05-05 23:02 Audrius rašė:

    Tru_Hacker, negi nieko įdomesnio nerandi? Tengi taip viskas primityvu…

  12. 2008-05-05 23:27 Audrius rašė:

    mxm, dabar seminarų ir visokių konferencijų saugumo tematika pasaulyje vyksta labai daug. Tik turėk pinigų ir spėk visur sudalyvauti. Europoje viena žinomesnių būtų BlackHat konferencija. Dėl nepralenkiamumo saugumo srityje… Na čia tikslą išsikeli labai didelį. Jeigu nori būti analitiku ir dar nepralenkiamu, tai nepakanka mokėti surasti exploit’ą ir jį paleisti. Pirma reikia žinoti įvairias technologijas, žinoti kaip jos veikia, pakankamai gerai išmanyti tinklus, duomenų bazes, operacines sistemas ir jų komponentus, mokėti programuoti bent keliomis skirtingo lygio programavimo kalbomis (nes jos skirtingos), pačiam padirbėti adminu, nukentėti nuo hakerio ir pačiam juo pabūti, perprasti žmonių psichologiją ir sugebėti mąstyti nestandartiškai. Ir vis tiek būsi pralenkiamas. Kodėl? Nes technologijų pernelyg daug, kad sugebėtum jas visas įsisavinti ir tiesiog vienose srityse stipresnis būsi tu, kitose - kiti. Įkurti savo įmonę? Na nėra ten kažkokių stebuklų. Samdomam darbe iš to daugiau uždirbdavau, o dabar didesnės pajamos yra iš kitų šaltinių. Įmonė yra tiesiog veiklos legalizavimas ir tiek. Didelis verslas ten irgi sunkiai įmanomas, daugiau padaryti nei pats spėji negali, reikiamų žmonių trūkumas didelis ir t.t. Čia juk konsultacijos, ne gamyba kokia. Pristatyti daugiau staklių, kad daugiau padarytum, negali. :)

  13. 2008-05-06 15:04 Marijus rašė:

    Neprofesionalus požiūris į savo darbą. Sakai nėra nė vieno sertifikato toje srityje, kurioje Tu dirbi (kiek suprantu tai daugiau WEB application security, bent jau seminaras bus šia tema)? Turbūt nieko negirdėjai apie rengiamą WASC sertifikaciją ir apie dirbančius žmonės ten?
    Dabar kaip tik žiūrinėju CEHv5 programą ir matau, kad yra exploit’ų rašymo modulis. Kodėl pagooglinęs neradau nė vieno Tavo viešo PoC ar full disclosure? Gal vis tik praverstų tas CEH’as..? Nekalbant jau apie tikrai grynai techninius “Offensive Security 101 v.2.0″ ir “Tactical Exploitation”, kurį beje išdrįso į viešumą išleisti patys “Metasploit” kūrėjai HD Moore ir Matt Miller.
    Nori nenori tas medalis ant krūtinės rodo šiokią tokią kompetenciją. O kalbant apie CCNA, taip, kai mokėmės kartu su kolegomis, kai kuriems tai buvo tik klausimų įvedinėjimas į google.lt, bet jie net nesiruošė ir nesiruošia laikyti CCNA, išklausė ir tiek, nes palyginus su kitais pradinio lygio sertifikatais, mano nuomone, CCNA yra vienas iš sunkesnių. O jei žmogus turi CCNA tai aš tikrai žinau, kad jis skiria OSI modelį nuo TCP/IP ir žino, kuriuose layeriuose iš tikrųjų gali būti redaguojama informacija ir kodėl. Nekalbant apie tai, kad tai vienintelis kelias link CCSP, CCIE Security, kuriuos turi tikrai ne kiekvienas.
    Kaip kuriami metaslpoito moduliai labai puikiai aprašyta “Metasploit Toolkit for Penetration Testing, Exploit Development, and Vulnerability Research” knygoje, kaip apeinamos ugniasienės puikiai su pavyzdžiais išdėstyta “Offensive Security 101 v.2.0″, o kad automatiniai skeneriai visada atsiliks nuo 0day.. manau apie tai net diskutuoti neverta..

  14. 2008-05-06 16:34 Audrius rašė:

    Marijau, tai dabar Tu man parodyk kur galima išsilaikyti “Offensive Security 101 v.2.0″ ir “Tactical Exploitation” sertifikatus? Šiuos kursus aš taip pat laikau rimtais. Kursai yra, o sertifikacija kur? Jei įdomus CEH kursas ir planuoji jame sudalyvauti, tai palauk v6, nes jis netrukus pasirodys. Jei daugiau security veikloje padalyvautum, tai pats pamatytum, kad CEH’as yra komercija ir daugiau žinių gautum nuolat skaitydamas įvairius whitepaper’ius bei kitus security dokumentus. Beje, kodėl būtinai CEH, o ne pvz. CPTS ar kiti analogiški? Nes pirmieji už visus garsiau rinkoje apie save šaukia? Man asmeniškai šiuo metu sertifikatų nereikia, nes nedalyvauju valstybiniuose konkursuose, nesiekiu jokio partnerio statuso pas didelį gamintoją, atlyginimo tai neįtakoja ir t.t. Kiekvienas sertifikatas reiškia mažiausiai 600 Lt išlaidų, kuriuos turėsiu mokėti pats. O sertifikatai sensta ir jų galiojimo laikas baigiasi, tad nematau visiškai jokio tikslo išleisti krūvą pinigų, ko nauda šiuo metu būtų labai abejotina. Dabar kur kas daugiau naudos matau pvz. iš BlackHat konferencijos, nei iš CEH sertifikato.
    O pagrindinio automatinių skenerių trūkumo taip ir nežinai. Ne dėl 0day problemos atsiranda ir ne dėl to, kad jų skeneriai nesuranda. Klaidas daro žmonės, o automatinės priemonės jų logikos perprasti nemoka. Tai ir yra pagrindinis skenerio minusas.

  15. 2008-05-12 23:18 Marijus rašė:

    O tai 0day ne žmogaus (programuotojo) padarytos klaidos išnaudojimas? Dažniausiai juk taip, ne? :>
    CEH’ą sakiau, kaip pavyzdį, kol kas manęs jis dar taip pat rimtai nedomina.
    Ir kas be ko, kad tokios konferencijos kaip Phreaknic, Def Con, Blackhat, CanSec West, CCC Camp, ToorCon ar Hitb yra žymiai vertingesnės nei sertifikatas, nes jose sutinki žmones, kurie demonstruoja šios dienos IT saugumo problemas. Bet technologiniu požiūriu ir žinių kaupimo bei supratimo, o vėliau jų analizei bei palyginimui rimti kursai (su sertifikatais) duoda labai daug.
    Čia kiekvieno asmeninis reikalas, kaip jis nori tobulėti, anksčiau ar vėliau vis tiek “nuo šaknų” viską sužinai tik eidamas link galutinio tikslo skirtingu keliu. Manau, supranti ką noriu pasakyti :)

  16. 2008-05-24 17:12 pradedantis rašė:

    Labai norėčiau dalyvaut kitame susitikime tik vat kaina tai tikrai milžiniška, bet tikriausiai verta tiek mokėt už suteikiamas žinias. Bet vis dėlto teks toliau po interna naršyti ir jieškoti pačiam info apie įsilaužimus :(

  17. 2008-05-26 13:00 p rašė:

    Buvau, faina. Gerai susisteminti turimas žinias. Jei neturi supratimo apie ką tai bus sunkoka. Tiesa man įdomesnės temos buvo praeitos paviršutiniškai :/. Visumoj patenkintas. Planuoju į hands-on wireless haking.

    p.s. galbūt norint realesniu, reiktu kokius free bootcamp tipo nedidelius renginukus.


Palikite komentarą