DEFR

Swiss Open Systems User Group

Workshop-Tage 2011

15.09. - WS 16: Open Source Security Toolbox – Angriff ist die beste Verteidigung

Ganztages-Workshop

[WS1] [WS2] [WS3] [WS4] [WS5] [WS6] [WS7] [WS8] [WS9] [WS10] [WS11] [WS12] [WS13] [WS14] [WS15] [WS16]
[Gesamtprogramm] [Dinner] [Anmeldung]

Referent

Jochen Vogele

Dipl. Inform. Jochen Vogele is working for a Swiss bank as a Solution Architect/Engineer in the field of “Premium Security”. He holds a master degree of computer science from the University of Ulm (Germany) and is a certified ethical hacker.  

Einleitung

RSA, Sony, Stuxnet, … täglich nimmt das Risiko zu, Opfer eines Hackerangriffs zu werden. Neben der Komplexität steigt auch die Anzahl der entdeckten unautorisierten Zugriffe.  Dabei steht den Angreifern eine grosse Menge an ausgeklügelten Tools zur Verfügung.  Es stellt sich nicht die Frage, ob jemand in Ihr System eindringen kann, sondern nur wann es soweit sein wird.

If you know others and know yourself, you will not
Be imperilled in a hundred battles.
Sun Tzu – The Art of War (late-sixth century BC)

Programm

(kurze) Einführung Ethical Hacking - Systematik und Vorgehensweise bei einem Penetrationstest  (white hat hacking, vulnerability testing)

Reconnaissance: Wissen ist Macht – Techniken und Tools, um sich umfassend über das Angriffsziel zu informieren

  • Footprinting
  • Information Gathering / Google Hacking

Scanning: Die aus der Auskundschafts-Phase gewonnen Informationen werden genutzt, um das Zielnetzwerk genauer zu untersuchen. Dazu können unter anderem Tools wie port scanner, network mapper oder vulnerability scanner zum Einsatz kommen

  • Scanning Typen, Techniken & Tools

Gaining Access: Dies ist die eigentliche Hacking-Phase, in der entdeckte Schwachstellen ausgenutzt werden, um Zugriff auf das Zielsystem zu erlangen.

  • Spoofing: MITM / Session Hijacking
  • Vulnerability Scanning & Exploit-Frameworks

Hands-On: Hacking Wireless Network, OS Hacking, Password Cracking...

Tools: Google, Shodan, NMap, WireShark, Nessus, Metasploit, John the Ripper, BackTrack 5 und viele mehr

Slides: Englisch; Vortragssprache: Deutsch

Um den Missbrauch der gelernten Inhalte zu verhindern, unterschreiben die Kursteilnehmer vor dem Kurs eine entsprechende Vereinbarung.

Kursziel

Das Ziel des Workshops ist eine Einführung in die Thematik der Durchführung von sog. Penetrationstests, sowie das Sammeln praktischer Erfahrung mit spezialisierten Open-Source-Programmen.  Da Sie die Möglichkeiten eines Hackers, seine Tools und Tricks kennen, schützen Sie sich gezielt vor möglichen Angriffen. Dank praxisnahen Übungen und Szenarios können Sie das Erlernte sofort zur Entdeckung und Behebung von sicherheitsrelevanten Schwachstellen einsetzen.

Adressaten

Dieser Workshop richtet sich an alle

  • Netwerkadministratoren
  • IT-Sicherheitsbeauftragte mit technischem Hintergrund
  • technische Revisoren / Auditoren
  • Ambitionierte Anwender/-innen

die daran interessiert sind mehr über „ethical hacking“ und Penetration-Testing zu erfahren um IT Systeme sicherer zu machen.

Voraussetzungen

  • Sicherer Umgang mit Computern
  • Grundlegendes Verständnis zu gängigen Protokollen (TCP/IP, ARP, DNS, UDP,..), sowie Kenntnisse zu Grundlagen der WLAN-Technologie von Vorteil

max. Teilnehmerzahl

15

Infrastruktur

Bitte nehmen Sie einen Laptop an die Workshop-Tage mit.


Auswertung der Teilnehmer-Feedbacks

Basis 13 Feedbacks

kein Lerneffekt < > viel gelernt überhaupt nicht < > voll und ganz nie wieder < > jederzeit
Lerneffekt des Kurses Entsprach der Kurs
Ihren Erwartungen?
Würden Sie den Kurs
wiederbesuchen?
 
überhaupt nicht < > voll und ganz überhaupt nicht < > sehr zu viel Theorie < > zu viel Praxis
Würden Sie den Kurs
weiterempfehlen?
Nützen Ihnen die
Informationen bei Ihrer Arbeit?
War das Verhältnis
von Theorie und Praxis
ausgewogen?
 
zu kurz < > zu lang zu hoch < > zu tief dauernd < > überhaupt nicht
Wie war die Vortragsdauer
im Verhältnis zum Inhalt?
Wie war das Vortragsniveau
Verhältnis zu Ihren im
Vorkenntnissen?
Wie oft haben Sie
sich gelangweilt?
 
zu komplex < > zu einfach überhaupt nicht < > voll und ganz überhaupt nicht < > voll und ganz
Waren die Beispiele
angemessen?
Hat der Referent den Inhalt
verständlich vermittelt?
Ging der Referent
auf die Teilnehmer ein?
 
  • Morgen was etwas "langfädig" und "basic". Nachmittag war super.
  • Etwas leise. Sonst sehr spannend! Danke!
  • Einführung zu lang, am Nachmittag hat dann die Zeit ein bisschen gefehlt.
  • Am Anfang etwas langsam (Video)
    "private" Fragen und deren Antworte blieben privat -> gab "Pausen" für die anderen
  • Danke!
  • Praktische Beispiele, Tafeleinsatz, Betreuung -> sehr gut! Hinweise: Auflösung Beamer grösser. Zu Beginn Setup langsamer: IP-Adressen etc., ev. Checkliste
  • Etwas besser vorbereiten (Anforderungen, VMs etc), Zeitmanagement verbessern. Sonst gut, Danke.
  • Application security / Web App Security wäre ein gutes Thema (2x)

Letzte Änderung:  30.06.2016

/ch/open is Member of ICT Switzerland
Swiss Open Systems User Group • /ch/open • Postfach 2322 • 8033 Zürich • http://www.ch-open.ch