Hlavní myšlenka
Přijď prozkoumat tajuplný svět hackingu a množství jeho jednotlivých zákoutí. Průvodcem na této cestě Vám bude zkušený etický hacker s mnohaletou praxí, který se s Vámi podělí o své zkušenosti.
Co se na školení naučíte
Jak zmapovat síť a vyhlédnout vhodné cíle? Jak identifikovat zranitelnosti v serverových službách a jak skrze ně získat přístup na server? Jak dále eskalovat privilegia? Jak kompromitovat uživatelskou stanici s MS Windows? A jak tomu zabránit? Jaké jsou nejzávažnější zranitelnosti webových aplikací? Je vaše VoIP infrastruktura zranitelná? Co je to Darknet a co OSINT? Jakými prostředky bankomat brání útočníkům, aby se dostal k uloženým penězům? Jde se k těmto penězům dostat bez použití hrubé síly? Lze hacknout auto? А co mobilní telefon?
To vše a mnohé další bude zodpovězeno v rámci kurzu Hacking v Praxi 2, který přímo navazuje na kurz Hacking v Praxi 1.
Pro koho je školení určeno
- Správci sítí a systémoví administrátoři
- Programátoři, vývojáři a testeři
- Zájemci o práci etického hackera či nadšenci do IT Security obecně
Potřebné znalosti účastníka
- Znalost prostředí operačních systémů Windows a Linux
- Základní orientace v problematice bezpečnosti v sítích TCP/IP
Náplň školení:
Osnova školení vychází z dlouholeté praxe zkušeného etického hackera a pokrývá různorodá témata z oblasti počítačové bezpečnosti s důrazem na předání zkušeností z reálných penetračních testů, útoků a jejich analýzy.
V rámci tématu Síťová bezpečnost je podrobně probrán postup hackera při útoku na síťovou infrastrukturu - od mapování sítě, až po detekci zranitelností a jejich exploitaci. Důraz je potom dáván na objasnění pojmu Red Teaming a detailní popis jeho jednotlivých fází. Téma Hacking pracovní stanice navazuje na předchozí hacking systémů MS Windows probíraný v první části školení a zaměřuje se na eskalaci privilegií především prostřednictvím fyzického přístupu. V tématu Bezpečnost webových aplikací je představen projekt OWASP a jsou prakticky demonstrovány nejzávažnější zranitelnosti na testovací webové aplikaci. V rámci tématu Bezpečnost VoIP jsou popsány typické zranitelnosti nejen koncových VoIP zařízení, ale i ústředen a jsou vysvětleny útoky na jednotlivé VoIP protokoly. Téma Zabezpečení bankomatu v praxi nabízí poměrně unikátní vhled do způsobu zabezpečení a hackingu bankomatů – veškeré prezentované informace vycházejí z přímé zkušenosti z penetračních testů bankomatů různých značek. Nejen tato témata budou detailně probrána na školení Hacking v Praxi 2.
3denní kurz | 9:00 - 16:00 hod | s obědem
[Kód kurzu: AM222]
Obsah školení:
Síťová bezpečnost
Kali Linux - seznámení. Průzkum sítě. Skenování portů. Identifikace operačních systémů a služeb. Identifikace zranitelností a srovnání Vulnerability scannerů. Exploitace – živá ukázka postupu hackera. Eskalace privilegií. Metasploitable2 a Metasploitable3. Vulnhub a HackTheBox. Praktická demonstrace kompromitace několika zranitelných serverů. Linux - Ukládání hesel a jejich cracking. Linux - Extrakce plaintext hesel z paměti. Red Teaming, Purple Teaming.
Hacking pracovní stanice
Útoku prostřednictvím fyzického přístupu. Metody eskalace privilegií. Útok na systémové služby. Startup Repair Attack. Sticky Keys Attack. Firewire Inception Attack. Cold Boot Attack. AppLocker Bypass.
Zabezpečení pracovní stanice
Role antiviru. Šifrování. Aktualizace. Fyzické zabezpečení.
Bezpečnost webových aplikací
Metodika OWASP Testing Guide. OWASP Top 10. SQLi, XSS, CSRF, XXE. Živá demonstrace jednotlivých zranitelností. Porovnání nástrojů. Zkušenosti z penetračních testů webů.
Bezpečnost VoIP
SIP Caller number / name spoofing. SIP Denial of Service. Odposlech hovorů. Zranitelnosti koncových VoIP telefonů. Kompromitace ústředny.
Bezpečnost mobilních telefonů
Sběr dat o uživatelích v systémech Android, Apple iOS a Windows Mobile. Ukládání historie a zajímavé soubory. SMS of Death. Šifrování hovorů. Vektory útoku na komunikaci.
Fyzická bezpečnost. Pattern vs PIN. Smudge Attack, Spearphone Attack. Obcházení biometrické autentizace.
Zabezpečení bankomatu v praxi
Popis HW a SW bankomatů používaných v ČR. Popis zabezpečení a zranitelných míst. Ukázky typů útoků. Money Jackpotting. Skimming. Fyzické útoky. Zkušenosti z reálných penetračních testů bankomatů.
Hacking automobilů
Útoky na centrální odemykání. Útoky na senzory. Útoky na CAN sběrnici.
Ekosystém Darknetu
Anonymizační sítě, Deepnet a darknet, TOR a jeho struktura. Hidden Service - včetně reálných ukázek. Black Markety jeho zboží a služby. Drogy, zbraně, falešné bankovky, pasy. Praní špinavých Bitcoinů. Útoky v síti TOR (deanonymizace uživatelů, poskytovatelů služeb, Hidden Services). Největší TOR a Bitcoin aféry.
Hackerské nástroje NSA
Analýza ShadowBrokers úniku hackerských nástrojů. Praktická ukázka a popis jednotlivých nástrojů a exploitů. EternalBlue, EternalRomance, EternalSynergy, EternalChampion. Fuzzbench, DoublePulsar, DanderSpritz.
Sociální sítě - Velký bratr a anonymita
Přehled sociálních sítí se zaměřením na Facebook. Sběr dat o uživatelích a stínové profily. Facebook Graph API Explorer. Možnost zneužití útočníky. Sledování Googlem.
Steganografie
Historie. Moderní využití včetně příkladů. Podprahová reklama. Microdotting – konspirační teorie nebo skutečnost? Ukázka na aféře úniku dat z NSA. Skrytí souboru do jiného souboru. Alternate Data Stream v NTFS systémech.
DoS a DDoS útoky
Botnety a jejich vývoj, Trendy. Útoky zahlcením linky. Amplification attack. Slow HTTP DoS. Hash Collision DoS. XML Bomb. DDoS jako služba, ukázka nabídek. DDoS jako prostředek vydírání.
Kurz bude otevřen po naplnění minimálního počtu 4 účastníků!
Lektor
IT bezpečnosti se věnuje již více než 15 let a má bohaté zkušenosti s penetračními testy pro přední společnosti z odvětví Banking, Telco a Utility a taktéž pro státní instituce. Kromě klasik, jakými je bezpečnost webových aplikací a infrastruktury, se zabývá také bezpečností bankomatů, Wi-Fi sítí, mobilních zařízení, Windows Active Directory či RFID.
Kromě samotné práce o hackingu také rád mluví, v minulosti přednášel na konferencích (HackerFest CZ/SK, OWASP Chapter Meeting, konference Security, Barcamp, OpenAlt a další) či jako host na akademické půdě českých a slovenských univerzit. Mimo IT je jeho vášní cestování a s ním spojené poznávání cizích kultur.
Je držitelem certifikací Certified Information Systems Security Professional (CISSP) a Certified Ethical Hacker (CEH) a je připraven se s Vámi podělit o své zkušenosti z praxe profesionálního etického hackera.
Možnosti ubytování a parkování
