We got an extra PenTest course in the summer! Learn to hack computers to protect your own.
Excellent 4.9 out of 5 feedback.
Enroll now, we start on w21 Monday 2019-05-20.
Intensive course: Eight days of hacking. Mandatory attendance. No tasks after the course end date.
Starts on w21 Monday 2019-05-20, ends on w22 Tuesday 2019-05-28. No teaching on weekend. Teaching is in Finnish, a lot of material is in English.
Check out the first instance, including agenda, prerequisites, homework and a lot of feedback.
Enroll now!
Teaching in the course is in Finnish, so the rest of this page will be in Finnish.
Kertausmateriaalia
Tämä materiaali on vapaaehtoista, jos osaat ne jo.
- Wikipedia: Internet protocol suite (eli TCP/IP pino)
- Command Line Basics (eli Linuxin komentokehote)
- Commands for Admin
- PostgreSQL Install and One Table Database – SQL CRUD tutorial for Ubuntu
- FreeCodeCamp.org: Javascript Algorithms And Data Structures Certification: Basic JavaScript: Introduction to JavaScript
Oppimistavoitteet
Opintojakson suoritettuaan opiskelija
– Tuntee tunkeutumistestauksen prosessin pääpiirteissään
– Tietää, että tunkeutumistestaukselle on lailliset ja eettiset rajat
– Osaa kartoittaa kohdejärjestelmän haavoittuvuuksia
– Osaa hyödyntää valmiita hyökkäyksiä (exploit) ja liittää niihin hyötykuorman käyttäen kurssille valittua työkalua
– Osaa soveltaa tavallisimpia hyökkäyksiä weppisovelluksia vastaan, kun kohdeohjelmistot ovat helppoja ja haavoittuvia.
– Osaa hankkia tunkeutumistestauksessa tarvittavia ohjelmistoja
Kurssilta ei saa mukaansa ilmaista pakettia nollapäivähaavoittuvuuksia, eikä kurssi anna mitään erityisoikeuksia eikä ammattinimikkeitä.
Aikataulu
Alustava aikataulu, johon tulee muutoksia kurssin kuluessa.
Lähiopetus 9-16 labrassa 5004. Läsnäolo välttämätöntä.
- ma. Kokonaiskuva. Kurssin sääntöjen hyväksyntä ja alkutesti. Yleiskuva. Kohteiden rajaus (scope), lailliset rajat, etiikka, nuhteeton tausta. Hyökkäykseen sopivien työkalujen hankinta. Harjoitusmaalien hankinta.
- ti. Hyökkäykset weppiin. WebGoat. OWASP 10. Hyökkäysproxyt. mitmproxy. Ilmoittautuneille OWASP Helsinki Chapter Meeting 17:30.
- ke. Tiedustelu. “Mittaa kahdesti, leikkaa kerran”. Passiivinen ja aktiivinen tiedustelu. Porttiskannus, verkkojen skannaus ja niiden oheistekniikat. KKO 2003:36. Nmap-porttiskanneri. Lähiopetus päättyy kello 15:00.
- to. Valmiiden hyökkäysten käyttö. Metasploit. Käyttöönotto. Porttiskannausten tallentaminen tietokantaan. Murtotekniikan ja etähallintaohjelmiston yhdistäminen. Harjoitushyökkäyksiä.
- pe. Salasanojen murtaminen. Murtaminen tiivisteistä. Sanakirjahyökkäys verkon yli. Salaustekniikoita. Etähallinta tunkeutumistestauksessa. Meterpreter.
- ma. Troijan hevoset. Kalastelu. MsfVenom.
- ti. Arvioitava laboratorioharjoitus.
Intensiivikurssi päättyy tiistaina. Sen jälkeen kurssilla ei ole mitään tehtäviä eikä palautuksia.
Linkkejä
Moodle Tunkeutumistestaus (vaatii HH tunnuksen)
Palautetta
Palaute on todella tärkeä tapa kehittää kurssia – kiitos kommenteista jo etukäteen.
1) Vapaamuotoinen palaute kommenttina tämän kurssisivun perään.
Vapaamuotoiseen palautteeseen saa kirjoittaa mitä vain, eikä kysymyksiä tarvitse toistaa. Mutta tässä vinkiksi:
- Opitko jotakin – eli osaatko nyt sellaista, mitä et osannut ennen kurssia?
- Teitkö jotain ensimmäistä kertaa? Hyökkäsit weppiin, käytit jotain työkalua, skannasit kokonaisen verkon; käytit jotain kieltä, tekniikkaa tai työkalua?
- Oliko opittu hyödyllistä? Luuletko, että sille on käyttöä esim. tulevaisuudessa töissä tai kotona?
- Miten voisin parantaa kurssia?
- Viihdyitkö kurssilla?
- Mitä pidit opiskelijoiden esityksistä?
- Suosittelisitko kurssia? Kenelle kurssi sopisi? Koulutoverille tai kollegalle?
2) Numeerinen palaute Haaga-Helian e-lomakkeelle
- Vertailukohtana tyypillinen Haaga-Helian kurssi
Kiitos palautteesta ja todella tiiviistä seitsemästä päivästä!
h1.
a) CTF walktrough. Katso verkosta (esim Youtubesta) jonkin capture the flag -kilpailun ratkaisu. Mitä uusia työkaluja opit? Kokeile jotain mainittua työkalua (tarvittaessa koneella, joka ei ole kiinni Internetissä).
b) Kali Live USB. Tee Kali Live USB -tikku. Kokele, että se käynnistyy. Vinkki: käytä USB3-tikkua ja dd:tä. Olet tarkkana, mitä laitat of= kohtaan, ettet kirjoita kovalevysi päälle.
https://docs.kali.org/downloading/kali-linux-live-usb-install
h2
a) Ratkaise jokin WebGoatin tehtävä. Hyödynsitkö jotain OWASP10 -haavoittuvuutta? Mitä niistä?
b) Mainitse esimerkki MITRE:n Att&ck tekniikasta, joka soveltuu weppiin. Osaatko antaa esimerkin hyökkäyksestä tai haittaohjelmasta, jossa sitä on käytetty?
Päivitys: vaihtoehtotehtävä molemmille a ja b kohdille: lyhyt raportti illan OWASP Helsinki tapahtumasta
h3. WebGoat
h4.
a) Hedelmiä matalalla. Mitkä vaikuttavat HackTheBoxin helpoimmilta kohteilta? Tiedustele HackTheBox-verkko esimerkiksi porttiskannerilla ja ryömijällä. Noudata Rules-kohdassa annettua scopea.
b) Bonus: murtaudu jollekin HackTheBoxin maalikoneelle. Voit katsoa weppiliittymästä vinkkiä siitä, mitkä koneet ovat helppoja.
Kun raportoit HackTheBoxin ratkaisuja, laita raportit yhteisen salasanan taakse, ettemme pilaa kilpailua. Muut jutut voi julkaista normaalisti, kunhan viittaat lähteisiin.
# A very vulnerable target computer, package by my student Toni
Vagrant.configure(“2”) do |config|
config.vm.box = “tonijaaskelainen/ms2”
config.vm.network “private_network”, :type => ‘dhcp’, :name => ‘vboxnet0’, :adapter => 1
end
h5.
a) Konfferenssi kotona. Katso jokin esitys pentest-aiheisesta konfferenssista ja kommentoi sen parhaita paloja. Esim. Disoebey, RSA, BlackHat…
b) Metasploitable. Korkkaa jokin uusi palvelu Metasploitablesta (jokin muu kuin vsftpd). Voit käyttää Metasploitable 2 tai 3.
c) HackTheBox, korkkaa jokin kone.
Hauskaa hakkerointia!
Kotitehtäviä:
https://nikohakala646432229.wordpress.com/
Here’s a link to my pentest blog. You can email me to get the password to some of the articles: https://santerispentest.home.blog/
Pentest learning in english by Niko Tiittanen.
https://nikotiittanenblog.wordpress.com/
Irene Kunnari blogi: https://irenekunnari.wordpress.com/
https://jforelius.wordpress.com/
WebGoat ja HackTheBox.
https://hakala.home.blog/
Kotitehtäviä + raportti OWASP Helsinki Chapter meetingistä:
https://ictkaarenmaa.wordpress.com/blog/
H1:
https://mjmblogweb.wordpress.com/2019/05/20/penetration-testing-ict4tn027-3004-course-assignment-h1/
https://pentest1.home.blog/
Pentest -tunkeutumiskurssin kotitehtävät:
https://penetrationtestingkurssi.home.blog/
pentesthäsmäkkää ja tavallisempaa linuxointia löytyy osoitteesta https://helkera.wordpress.com/
Olli Stenroosin blogi https://blog.ollistenroos.com/
Kotitehtäviä:
https://akozlov.home.blog/
Topi Manninen
https://topimanninen.wordpress.com/
Kotitehtavia
https://github.com/smtnsk/tunkeutumistestaus
osa kotitehtävistä https://mikaelahallenberg.home.blog/
http://www.gurinkonstantin.com/index.php/homework-from-penetration-testing-tunkeutumistestaus-ict4tn027-3004/
https://github.com/Risto12/pentest-h
Kotitehtävät
H4-HTB
https://mjmblogweb.wordpress.com/2019/05/27/h4-hackthebox/
Opin löytämään haavoittuvuuksia www selaimella. En osannut ennen kurssia lainkaan haavoittuvuuksien havannointia.
Ensimmäistä kertaa kokeilin weppiin eli WebGoattiin tunkeutumista.
Hyödylliseksi pidin, kun opin tunnistamaan eri hyökkäykset, haittaohjelmat sekä seuraukset eri hyökkäyksille ja niiden ehkäiseminen. Uskon vahvasti että opittu tieto on hyödyllistä työelämässä.
Parantaisin kurssi lisäämällä enemmän materiaalia kaikist aiheista mitä käsiteltiin kurssilla.
Viihdyin hyvin kurssilla ja suositteln kurssia muillekin.
Pidin muiden opiskelijoiden esityksistä ja suosittelen lisää niit tuleville kursseille.
Suosittelen vahvasti kaikille kurssia, jotka ovat kiinnostuneita hakkeroinnista, tietoturvasta sekä tunnistamaan hyökkäykset verkossa, niiden seuraukset ja toimenpiteet niiden ehkäisemiseksi.
Opin kurssista paljonkin. Opin käyttämään komentoriviä tehokkaammin, ymmärrän edes jotenkin mikä on Kali Linux ja mihin sitä käytetään, osaan suurinpiirtein selittää ymmärrettävästi ummikolle miten “hakkerointi” tapahtuu ja osaan etsiä lisätietoa aiheesta.
Kaikki, paitsi komentorivi ja web-hakkerointi oli itselle täysin uutta ja tein ja kehityin paljon viikon aikana. Koen myös, että kaikesta oppimastani oli hyötyä sellaisenaan ja uskon innostukseni kantavan vielä pidemmälle oppimisessa.
Tykkäsin teoriaopetuksesta, sillä opin parhaiten kun ymmärrän, miksi jotain asiaa tehdään, joten pidin paljon Teron höpötyssessioista. Pitäisin hyödyllisenä jonkin sortin kirjallista kertausta kurssilla käydyistä aiheista, joskin netti on niitä varmasti täynnä ja terkarvinencom toiminee myös pätevänä lähteenä.
Viihdyin kurssilla ja pidin paljon kurssitovereiden esityksistä. Oli innostavaa kuulla muiden näkemyksiä ja kokemuksia kurssiin liittyvistä aiheista.
Suosittelisin kurssia koodaritovereilleni ja työkavereilleni ja aion pitää töissä aiheesta lyhyen show&tell -tilaisuuden, jotta muut fronttikehittäjänäprääjät mahdollisesti saisivat myös saman innostuksen kipinän jonka olen itse kurssin ansiosta kokenut.
Kurssi on ollut tosi hyödyllinen ja avannut silmiä tietoturvaa kohtaan. Opin paljon uutta ja aihe on hyvin kiinnostava kun tietoturvamurroista tulee isoilla otsikoilla uutisia usein. Voin lämpimästi suositella kurssia myöhemmän vaiheen opiskelijoille ja myös työssään webin kanssa näprääville koodareille. Uudet opit tältä kurssilta tulevat varmasti suoraan käyttöön.
Kurssin aikana tulee paljon uusia termejä, konsepteja ja työkalujen nimiä jotka voi helposti mennä ohi koska osaa näistä uusista jutuista ei käytetä. Jonkinlainen muistiinpano olisi kumminkin hyvä jäädä näistäkin työkaluista ja konsepteista mitä ei ole käytetty. Kurssia voisi kehittää niin että jokaiselta tunnilta tulisi erimerkiksi näille sivuille lyhyt uusien työkalujen ja muiden nimien lista ja esimerkiksi hyvin lyhyt kuvaus.
Kurssi oli loistava. Kurssilla käytiin aluksi hyvin läpi mikä on sallittua ja mikä ei.
Oli hienoa päästä kokeilemaan itse turvallisessa ympäristössä miten haavoittuvia tietokoneet/ohjelmat ovat. Monia haavoittuvuuksia ei pysty vain teorialla oppimaan.
Kurssin rakenne oli myös hyvä, sillä lähdettiin hitaasti helpoilla “harjoituksilla” esim.
WebGoat.
Ehdottomasti haluaisin osallistua jos tästä on tulossa jatkokurssi.
Myös kaikki muut Linuxiin liittyvät kurssit on plussaa.
Olin kurssia ennen hieman epävarma riittäsivätkö taitoni edes alkuun pääsemiseen ‘hakkeroinnin’ maailmassa, mutta epävarmuuteni onneksi katosi kurssin aikana. Kurssilla opin suuren paketin erilaisia pentesting työkaluja, tekniikoita, sääntöjä ja kieliä. Tein kurssilla ensimmäisen verkon skannauksen, haittaohjelman, fyysisesti tiirikoin lukon ja murtauduin harjoitusmaaliin webissä. Kurssilla opittu tulee aivan varmasti hyödynnetyksi työelämässä ja taitoja tulen käyttämään vapaa-ajallakin harjoittelussa. Ainut kurssin parannus voisi olla enemmän opiskelijoiden esityksiä, vaikka niitäkin oli jo melko suuri määrä kurssilla. Aina kotiin päästyä odotti mitä kaikkea ensi kerralla pääsisi oppimaan ja tekemään. Kurssia suosittelisin kaikille, jotka haluavat täydentää taitojaan tietoturvallisuudessa, sorminäppäryydessä ja ylipäänsä tietokoneellla.
Sain hyvän yleiskuvan tunkeutumistestauksesta. Opin skannaamaan portteja, murtamaan yksinkertaisia salasanoja. Kaikki oli uutta kurssilla, en tiennyt hakkeroinnista mitään. Opittu oli hyödyllistä, ja aion hyödyntää sitä tulevaisuudessa.
Kurssilla oli liikaa asiaa tai tehtäviä intensiivikurssiksi verratuna muihin intensiivikursseihin. Viihdyin kuitenkin kurssilla, koska opin ainakin jotain. Muiden opiskelijoiden esitykset olivat ihan kivoja, mutta en tiedä miten tarpeellisia, kun oli niin vähän aikaa kurssilla. Suosittelen kurssia sellaiselle, joka haluaa oppia jotain tunkeutumistestauksesta, jos on tosi paljon aikaa.
Opitko jotakin – eli osaatko nyt sellaista, mitä et osannut ennen kurssia?
Opin erittäin paljon teoriaa ja parhaita käytäntöjä PenTestaamisesta sekä pääsin testaamaan opittuani teriaa sekä käytäntöjä.
———
Teitkö jotain ensimmäistä kertaa?
Olen aikaisemmin yrittänyt harjoitella Kali Linux:n käyttöä, mutta työkalujen haastavuuden takia en päässyt niitä harjoittelemaan. Nyt osaan sujuvasti käyttää Kalia. Lähes kaikki mitä tein liittyen PenTestiin oli uutta lukuun ottamatta porttiskannausta.
———
Hyökkäsit weppiin, käytit jotain työkalua, skannasit kokonaisen verkon; käytit jotain kieltä, tekniikkaa tai työkalua?
Käytin paljon työkaluja, tekniikoita ja aavistuksen verran kieltä.
———
Oliko opittu hyödyllistä?
Kaikki opittu oli erittäin hyödyllistä.
———
Luuletko, että sille on käyttöä esim. tulevaisuudessa töissä tai kotona?
Olen tilannut työnantajalleni ulkopuoliset PenTestaajat, mutta ymmärtämättä koko kokonaisuutta. Nyt kun olen ollut ns. pöydän toisella puolella ymmärrän 70% enemmän mitä tarkoittaa haavoittuvuus.
———
Miten voisin parantaa kurssia?
Kertoa miten kannattaisi esiintyä, ennen kuin esityksiä aletaan pitämään. Kertoa ns. säännöt (esittäydy, esitä aiheesi lyhyesti ja pidä esitys).
———
Viihdyitkö kurssilla?
Paras käymäni kurssi toistaiseksi.
———
Mitä pidit opiskelijoiden esityksistä?
Todella hyviä esityksiä murtautumisesta – ei vain tietokoneisiin.
———
Suosittelisitko kurssia? Kenelle kurssi sopisi? Koulutoverille tai kollegalle?
Kurssi soveltuu erinomaisesti tietoturvasta kiinnostuneille henkilöille. Kurssia voin suositella lähes kenelle tahansa, joka osaa Linux:n perusteet.
Kurssipalaute:
Opin erittäin paljon aihealueesta viikon sisällä.
Teimme käytännössä asioita, joita monet kurssit saattavat vain jättää sivuaiheeksi.
Esimerkiksi hyökkäsin ensimmäistä kertaa toiseen tietokoneeseen saadakseni rootit. Tämän lisäksi porttiskannasin koneita ja exploittasin havoittuvuuksia metasploitable koneella ja paria konetta hacktheboxissa.
Tunneilla opitut aiheet ovat todella hyödyllisiä, ja sille on käyttöä kotona ja työelämässä.
Kurssilla tuli tosin todella kiire harjoitella kaikkia asioita. Se johtui lähinnä siitä, että kurssi suoritettiin intensiivikurssina.
Mielestäni kurssissa oli silti kivaa oppia uusia asioita.
Sanoisin että tämä kurssi on ollut haaga-helian parhaimpia kursseja tähän mennessä.
Opin PenTestauksen perusteet, eli yleisesti käytettyjä metodeita, hyökkäystapoja, mahdollisia työkaluja ja aiheen terminologiaa.
Murtauduin kurssilla ensimmäistä kertaa harjoitusmaaliksi suunnitellulle palvelimelle, joka kuitenkin simuloi tosielämässä käytettävää webbipalvelua.
Uskon, että kurssilla opetetuista asioista on hyötyä niin työelämässä, kuin kotonakin. Omien webbipalvelvuiden ja sovelluksien tietoturvallisuutta on hyvä miettiä jo ohjelmoinnin aikana.
En keksi kurssista juuri parannettavaa. Asiaa tuli niin paljon, että syvemmän oppimisen kannalta olisi parempi, jos kurssi kestäisi pidempään. Toistaalta intensiivi malli soveltuu kurssille hyvin, sillä silloin ei välttämättä ole lisäksi muita kursseja käytävänä.
Viihdyin kurssilla erittäin hyvin, jokainen päivä oli erittäin mielenkiintoinen. Tosin yleinen jaksaminen oli kyllä kurssilla opettavan asian määrän vuoksi koetuksella.
Muiden opiskelijoiden esitykset toivat useaan asiaan lisäsyvyyttä ja mukavaa vaihelua. Tukivat hyvin oppimista.
Suosittelisin kurssia erittäin lämpimästi kaikille Haaga-Helian infran ja ohjelmistotuotannon opiskelijoille.
Palautetta kurssista
Opin paljon web palveluiden haavoittuvuudesta ja sain ihan uuden näkymän koko webbin kannalta. Ennen ei tullut edes ajatelleeksi miten haavoittuvaisia suurinosa web ohjelmista ym. oikeasti ovatkaan.
Pääsin kurssilla ensimmäistä kertaa murtautumaan oikeasti ja se oli yllättävän yksinkertaista siihen verrattuna mitä ennen olin ajatellut. Kurssilla myös käytin ensimmäistä kertaa esimerkiksi metasploit-frameworkkia, nmappia ja hydraa. Sain myös paremman kuvan siitä miten helpot salasanat ovat todellakin iso haavoittuvuus.
Uskoisin siis että kurssi on todella hyödyllinen etenkin web ohjelmoijille ja infra opiskelijoille, ja ihan muutenkin muille kiinnostuneille.
Kurssi oli kylläkin aika rankka koska joka päivä meni kurssin parissa myös kotona läksyjen tekemiseen.
Kurssilla myös oli muutama oppilaiden tekemä esitys eri aiheista jotka olivat kiinnostavia ja todella hyödyllisiä kuten tiirikointi ja esitys vanhoista viruksista.
Kokonaisuudessaan sanoisin että kurssin arvosanaksi tulisi 5/5
Paljon uutta tuli opittua, mutta tällä tahdilla siitä ei ehtinyt sisäistää paljoakaan. Intensiivitoteutus oli itselleni turhan raskas. Ovi joka oli aiemmin kiinni on nyt kuitenkin auennut, mikä kurssin tarkoitus taisi ollakkin. Loppukesä tulee kulumaan asioihin syventyessä ja lippuja keräillessä. Kiitos mainiosta kurssista!
Kurssilla tuli opittua runsaasti uusia asioita niin teorian kuin käytännön saralla. Kurssilta sai myös hyvät lähtökohdat aiheiden itsenäiseen opiskeluun tulevaisuudessa. Mikäli kurssi järjestetään myös vielä vastaisuudessa olisi mielestäni hyvä, että toteutus tapahtuisi täysimittaisena kurssina intensiivin sijaan. Opiskelijoiden esitykset toivat mukavaa vaihtelua käytännön harjoitteluun, mutta olisivat sopineet ehkä paremmin kurssille jolla aika ei ole niin tiukilla. Kurssi tulisi kuulua pakollisena kaikille niin infran kuin ohjelmistotuotannon parissa puuhaileville ja suosittelen sitä ehdottomasti jokaiselle tietotekniikasta kiinnostuneelle.
Tämä kurssi oli varmasti paras kurssi, jolle olen koskaan osallistunut. Vaikka olin itse jo vapaa-ajalla harrastanut jonkin sortin pentestingiä, niin opin silti joka päivä uutta. Mikään päivä ei tuntunut itsääntoistavalta. Kurssi oli myös hyvin käytännöläheinen ja opittiin paljon uusia työkaluja, lähestymistapoja, tekniikoita ja ajatusmallia.
Uskon tämän kurssin olevan todella hyödyllinen jokaiselle IT-alalla työskentelevälle, niin sysadminille kuin ohjelmistokehittäjälle. Etenkin jos tietoturva kiinnostaa ja tällainen offensive security, niin uskon tämän antavan hyvät mahdollisuudet sille alueelle.
Tulen edelleenkin tekemään Hacktheboxeja vapaa-ajalla ja samalla toki etsin työpaikkaa infosec-hommiin. Tämä aihe on minulle erityisen mielenkiintoinen ja haluan jatkaa tällaisten asioiden kanssa työskentelyä.
Kurssi oli minusta loistava sellaisenaan. Ainoastaan, miten minusta voisi parantaa kurssia olisi pituuden lisääminen. Tuntui, että 7*7 tuntia lähiopetusta oli hieman liian vähän, etenkin kun aihe ja opetustapa olivat niin mielenkiintoisia. Kaikki hyvä loppuu aikanaan. Minä viihdyin todella hyvin kurssilla. Sain tutustuttua ihmisiin, joita kiinnostaa samat asiat ja opin joka päivä uusia asioita.
Opiskelijoiden esitykset olivat kiinnostavia ja opettivat sellaisiakin asioita, mitä ei normaalisti tulisi opeteltua itsenäisesti. Oli mukavaa saada ensimmäistä kertaa “haravoitua” munalukko auki ja tietää mitä venäläisille hakkerifoorumeille kuuluu.
Suosittelisin tätä kurssia aivan jokaiselle, joka on vähänkin kiinnostunut tietoturvasta, tietotekniikasta tai ohjelmoinnista. Ehdottomasti aion taas valistaa kaikille koulutovereilleni tästä kurssista ja kerron sen loistavista puolista.
Kiitos kurssista!
Kurssin aikana opin paljon penetratiotestauksen teoriaa ja käytäntöä. Systemaattinen työtapa oli myös tärkeä oppi. Miten dokumentoida testausta jne. Tiedon hankkiminen oli mielestäni tärkeä aihe, mistä saa tietoa ja laadukasta tietoa. Kurssilla tuli myös riittävästi erilaisia työkaluja penetraatiotestaamiseen. Kurssilta sai myös ideoita, miten aihetta opiskelee / harjoittelee jatkossa.
Käytännössä kaikki kurssilla oli uutta, jonkin verran olin lukenut penetraatiotestauksesta teoriatasolla. Mutta aihetta on mahdoton oppia vain lukemalla, pitää harjoitella. Kurssin aikana tuli käytettyä riittävästi erilaisia työkaluja, kuten nmap porttiaskannaukseen. Myös web hyökkäykset olivat uutta, vaikka niitä on teoriatasolla käyty muilla kursseila läpi, vasta käytännön kokeilu tuottaa syvempää oppimista.
Kurssin materiaali ja kurssilla opittu on varmasti hyödyllista omassa elämässä ja työelämässä. Tietoturva on kuitenkin erittäin tärkeä asia nykyaikana. Jos osaa hyökätä osaa myös puolustautua. Hyökkäysteknikoiden tunteminen auttaa ymmärtämänä hyökkääjän toimintaa.
Kurssi oli tiivis, ja paljon asiaa. Kurssille tullessa on riittävä tietotekninen osaaminen välttämätöntä. Esitietovaatimuksena voisi olla vaikka hack-the-box lippu tai jotain. Se ainakin osoittaa, että esitiedot ovat hallussa. Ja jos on esitietoja on seuraaminen helpompaa. Ainakin itse toivon, että olisin kkokeillut murtotyökaluja ja murtautumisen prosessia ennakkoon.
Kurssilla oli hauskaa, mukana jaksoi olla vaikka kurssi oli todella tiivis ja intensiivinen. Teron opettamistapa on kannustava ja innostava.
Kurssilla oli paljon muiden opiskelijoiden esityksiä. Mielestäni oli hienoa, että niille oli aikaa kurssilla. Muiden esitysten kautta oppii asioita, joihin ei muuten tulisi törmänneeksi, kuten tiirikointi.
Kurssia voisi suositella opiskelijoille, joilla on intoa ja halua tehdä paljon töitä. Palkintona on mielenkiintoisen asioiden oppiminen.
Opin vaivaisessa seitsemässä päivässä työkaluista, tunkeutumistestauksesta, metodeista ja eettisistä rajoista. Näillä tiedoilla pystyisin jatkamaan itsenäistä harjoittelua ja itseni kehittämistä.
En ollut ennen murtautunut tietokoneelle pelkän internet-yhteyden välityksellä, ilman fyysistä kontaktia tietokoneeseen. Käytin useita eri työkaluja, joita opeteltiin kurssin aikana.
Uskon, että kurssilla opetetut asiat ovat hyödyllisiä oikeassa elämässä ja niillä voisi murtautua heikosti suojattuihin maaleihin.
Viihdyin todella paljon kurssilla. Kurssi oli rankka ja aikataulu todella kireä, mutta tälläistä määrää tietoa ei voi saada tai sisäistää ilman suurta henkilökohtaista panostusta.
Tykkäsin että sain itse esittää omia pieniä projektejani sekä olin iloinen, että sain nähdä muidenkin esityksiä. Esitykset olivat laadultaan todella hyviä ja kiinnostavia seurata.
Suosittelen kurssia IT-asioista kiinnostuille, joilla on aikaa panostaa käytännössä koko hereilläolo aikansa yhden viikon ajan tunkeutumistestauksen opettelemiseen. Näen henkilökohtaisesti, että saadakseen kaiken kurssista irti, on käytettävä aikaa kotitehtävien aktiiviseen tekemiseen. Tämä tarkoittaa erittäin vähän vapaa-aikaa kyseisellä viikolla, jos esimerkiksi yrittää hacktheboxin maalikoneita saada hakkeroitua. Linux ja verkot kannattaa olla tutut, antaa enemmän aikaa keskittyä olennaiseen.
Tämä kurssi todella avasi silmäni sille, kuinka haavoittuvia erilaiset järjestelmät saattavat olla, ja kuinka helppoa asiansa osaavan ihmisen on käyttää hyväksi tällaisia haavoittuvuuksia. Oletin, että hakkerointi sisältäisi paljon enemmän ns. käsityötä, mutta tuntuukin, että kaikki mahdollinen on automatisoitu jonkin työkalun toimesta niin, että laajatkin prosessit sujuvat yllättävän kätevästi.
Ohjelmoijana tämä kurssi on saanut myös minut hyvin tietoiseksi siitä, mihin kaikkeen kannattaa varautua softaa kehittäessä, mikä on todella hyvä asia, sillä muussa opetuksessa ohjelmointiin liittyviä tietoturvakäytäntöjä on käyty läpi lähinnä ohimennen teoriatasolla.
Kurssin opetus oli taas laadukasta ja tunneilla oli hyvin mukavaa olla, mutta kurssin lyhyestä kestosta johtuen stressasin itse siitä, että tuntui ettei aikaa syvällisempään oppimiseen ollut aina riittävästi. Tai olisi varmaankin ollut, jos olisi ollut valmis tekemään huomattavia uhrauksia kaiken muun ajankäytön suhteen siten, että olisi hackaamisen lisäksi vain nukkunut 😀 Kurssi olisi toiminut ehkä paremmin pidemmässä muodossa niin että kotona hackaamiseen olisi jäänyt enemmän aikaa.
Suosittelisin kurssia kaikille halukkaille, mutta kannattaa varautua siihen, että ainakin itselleni kurssi vaikutti vaikeammalta kuin esimerkiksi Linux-palvelimet -kurssi, ja tällä kurssilla myös omalla ajalla tapahtuva työskentely olisi ollut paljon tärkeämpää. Kurssi on myös hyvin käytäntöpainotteinen, joten pelkästä teoriasta kiinnostuneiden kannattaa ehkä harkita osallistumista huolellisesti.
Opin kurssilla valtavasti uusia asioita, en ollut esim. Ennen edes portti skannannut mitään konetta, koska en tiennyt miten laillista tämmöinen toiminta on. Sain kurssilta ainkin perus asiat haltuun ja pääsin, jopa murtautumaan sallittuihin koneisiin HackTheBoxissa ja paikallis verkossa Vagrant virtuaali koneeseen.
Todella hyvä kurssi suosittelen kaikkille, jotka osaa Linuxin alkeet, tietoverkkojen perusteet ja jos haluaa oppia miten löytää sallittuja maaleja penetration testaukseen.
Palaute
Kurssilla opetettiin murtautumisesta todella paljon asiaa, mielestäni hieman liikaakin. Intensiivitoteutuksella 6 tuntia olisi mielestäni ehdoton maksimiaika että opetusta pystyy seuraamaan tehokkaasti, jos olisi yksi tunti viikossa niin 7 tuntia ei haittaisi. Rönsyilyä eri aiheisiin oli hieman liikaa, toki kaikki oli täyttä asiaa mutta tahti oli mielestäni liian kova seitsemään päivään sovitettavaksi. Läksyjen muuttaminen vapaaehtoisiksi oli askel oikeaan suuntaan, mutta työmäärä oli silti liian suuri, ainakin oppilaalle joka ei ole ennen tehnyt mitään murtautumiseen liittyvää (vaikka linuxista osaakin enemmän kuin perusteet). Kurssilla oli kaksi ryhmää, ennenkin murtautumista harrastaneet ja ne, ketkä eivät olleet, ja kurssilla mentiin ensin mainitun ryhmän ehdoilla. Esim. aikaisemmin kirjoitetut komennot olisi voinut aina jättää näkyviin, ja antaa hitaampien työskennellä ensimmäisen työkalun kanssa samalla kun nopeammille opettaa toista. Tahti oli niin kova, että ehdin tuskin pintaraapaisun tasolla tutkia käsiteltyjä työkaluja. Jos kaikki läksyt olisi tehnyt huolellisesti (mikä on edellytys itselle työkalun oppimiseen oikeasti), olisi kurssi vienyt n. 11 tuntia vuorokaudessa. Kurssilla oli siis rautaista asiaa, mutta liian kova tahti/työmäärä eikä sitä oltu suhteutettu intensiivitoteutukseen.
Minulla ei ollut aiempaa kokemusta pentestauksesta, joten opin kurssin aikana todella paljon siitä miten sitä tehdään ja mitä työkaluja voi käyttää. Kurssi intensiivimuotoisena oli aika haasteellinen, koska etenemisvauhti oli melko nopea ja se olisi vaatinut täyspäiväistä työtä, jotta olisi sisäistänyt kaikki asiat hyvin. Itse en valitettavasti pystynyt omistamaan kaikkea aikaani kurssille. Kurssin aiheet ovat hyvin kiinnostavia ja opetus oli tehokasta ja siksi sinne oli joka päivä mukava tulla. Tylsää ei kurssin aikana tullut. Muiden opikelijoiden esitykset olivat hyvin kiinnostavia ja opin niistäkin paljon uutta. Kurssi soveltuu mielestäni kaikille joilla on kiinnostusta ja jotka ovat valmiita tekemään paljon töitä ja kuluttamaan paljon aikaa siihen.
Palautetta PenTest intensiivi-kurssista:
Tulin kurssille ilman aikaisempia käytännön pentest-taitoja, eli lähes kaikki kurssilla käyty asia tuli uutena. Kurssin opetus-ja työskentelytavat tukivat kuitenkin vahvasti oppimista eri lähtötasoilta, jonka ansiosta oli mahdollista oppia paljon uusia asioita näinkin lyhyessä ajassa.
Uskon, että kurssilla opitut taidot tulevat olemaan hyödyllisiä ja itselläni ainakin kasvoi motivaatio entisestään oppia aiheesta lisää. Intensiivi-muodossaan tämä kurssi toimii aloittelijoille johdatuksena pentestingiin ja kurssilla keräsin kattavat muistiinpanot siitä, miten tästä kannattaa jatkaa oppimista – ei olisi yhtä hyvin itsenäisesti löytänyt tietoa siitä miten aloittaa.
Minusta oli hyvä, että läksyt olivat intensiivi-kurssilla vapaaehtoisia, koska itselläni ainakin työt rajoittivat läksyjen tekemiseen olevaa aikaa. Toisenlaisessa toteutuksessa läksyt toimivat varmasti paremmin, kun aikaa niiden tekemiseen on enemmän.
Viihdyin kurssilla todella hyvin, ja olisin mielelläni viihtynyt vielä pitempäänkin vaikka “kesäloma” onkin. Oli mukavaa aina tulla tunnille, ilmapiiri tällä kurssilla oli rento ja kannustava. Oli kiva, että muilta opiskelijoilta tuli myös esityksiä, koska erilaisista näkökulmista tähän aiheeseen on aina hyötyä.
Suosittelisin kurssia kaikille, jotka ovat kiinnostuneita aiheesta ja hallitsevat jo Linuxin komentoriviä ja ymmärtää ohjelmoinnin alkeita. Kurssilla on mielestäni myös tärkeää, että olet motivoitunut oppimaan aiheesta myös itsenäisesti ja lähdet siihen rohkeasti omalta tasoltasi.
Kurssi oli kokonaisuutena aivan loistava. Opin todella paljon ja suurin osa hyökkäysmetodeista ja -työkaluista olivat minulle täysin uusia. SQL-injektio taisi olla ainoa, jota olen ennen kokeillut johonkin harjoitusmaaliin. Oppimani asiat ovat varmasti hyödyllisiä riippumatta siitä päädynkö työskentelemään spesifisti tietoturvan parissa vai yleisemmin verkkojen ja palvelinten kanssa. Kurssi on myös saanut minut miettimään omia tietoturvakäytäntöjäni arjessa ja oman palvelimeni ylläpidossa. Intensiivitoteutusmuoto oli erittäin innostava, mutta raskas (varsinkin kun tein sen virheen että otin viikonlopulle työvuoroja). Pitkät päivät 9-16 olivat hyviä, mutta pidempi aika harjoitella ja sulatella oppimaansa tuntien välillä olisi voinut auttaa oppimista. Yleisestä väsymyksestä ja liian vähästä unesta huolimatta viihdyin kurssilla erinomaisesti ja odotin aina innoissani, mitä uutta pääsen oppimaan. Muiden opiskelijoiden pitämät esitykset olivat loistavia lisiä kurssin tarjontaan, etenkin tiirikointiesitys oli mielenkiintoinen ja sai minut miettimään tunkeutumistestausta laajemmalta kannalta. Suosittelisin kurssia käytännössä kaikille, jotka haluavat oikeasti oppia enemmän tietoturvasta ja joilla on tarvittavat esitiedot.
Harjoitus sivuja HTBn lisäksi
https://www.vulnhub.com/
Ladattavia VMiä
Sivulta löytyy myös paljon linkkejä erilaisiin resursseihin.
Sivulta löytyy myös apua ympäristön setuppaamiseen.
Koneet ladataan ja sitten ajetaan virtuaalikoneina siis omalla koneella.
Vaikuttaisi siltä että sivulle ei tarvitse kirjautua.
https://www.enigmagroup.org/
Erillaisia harjoituksia javascriptiä, SQL injectioita, XSS “aloittelijoille”.
Sitten kun ne on hanskassa niin voi aloittaa hakkeroimaan koneita.
Cryptograafisia harjoituksia.
Sivulla voi tehdä ilmaiseksi harjoituksia. Mutta pitää kirjautua sisään.
Sivulle pitää kirjautua ja varmaan myös maksaa että pystyy tekemään kaikki harjoitukset.