Workshop-Tage 2011
15.09. - WS 16: Open Source Security Toolbox – Angriff ist die beste Verteidigung
Ganztages-Workshop
[WS1] [WS2] [WS3] [WS4] [WS5] [WS6] [WS7] [WS8] [WS9] [WS10] [WS11] [WS12] [WS13] [WS14] [WS15] [WS16]
[Gesamtprogramm] [Dinner] [Anmeldung]
Referent
Jochen Vogele
Dipl. Inform. Jochen Vogele is working for a Swiss bank as a Solution Architect/Engineer in the field of “Premium Security”. He holds a master degree of computer science from the University of Ulm (Germany) and is a certified ethical hacker.
Einleitung
RSA, Sony, Stuxnet, … täglich nimmt das Risiko zu, Opfer eines Hackerangriffs zu werden. Neben der Komplexität steigt auch die Anzahl der entdeckten unautorisierten Zugriffe. Dabei steht den Angreifern eine grosse Menge an ausgeklügelten Tools zur Verfügung. Es stellt sich nicht die Frage, ob jemand in Ihr System eindringen kann, sondern nur wann es soweit sein wird.
If you know others and know yourself, you will not
Be imperilled in a hundred battles.
Sun Tzu – The Art of War (late-sixth century BC)
Programm
(kurze) Einführung Ethical Hacking - Systematik und Vorgehensweise bei einem Penetrationstest (white hat hacking, vulnerability testing)
Reconnaissance: Wissen ist Macht – Techniken und Tools, um sich umfassend über das Angriffsziel zu informieren
- Footprinting
- Information Gathering / Google Hacking
Scanning: Die aus der Auskundschafts-Phase gewonnen Informationen werden genutzt, um das Zielnetzwerk genauer zu untersuchen. Dazu können unter anderem Tools wie port scanner, network mapper oder vulnerability scanner zum Einsatz kommen
- Scanning Typen, Techniken & Tools
Gaining Access: Dies ist die eigentliche Hacking-Phase, in der entdeckte Schwachstellen ausgenutzt werden, um Zugriff auf das Zielsystem zu erlangen.
- Spoofing: MITM / Session Hijacking
- Vulnerability Scanning & Exploit-Frameworks
Hands-On: Hacking Wireless Network, OS Hacking, Password Cracking...
Tools: Google, Shodan, NMap, WireShark, Nessus, Metasploit, John the Ripper, BackTrack 5 und viele mehr
Slides: Englisch; Vortragssprache: Deutsch
Um den Missbrauch der gelernten Inhalte zu verhindern, unterschreiben die Kursteilnehmer vor dem Kurs eine entsprechende Vereinbarung.
Kursziel
Das Ziel des Workshops ist eine Einführung in die Thematik der Durchführung von sog. Penetrationstests, sowie das Sammeln praktischer Erfahrung mit spezialisierten Open-Source-Programmen. Da Sie die Möglichkeiten eines Hackers, seine Tools und Tricks kennen, schützen Sie sich gezielt vor möglichen Angriffen. Dank praxisnahen Übungen und Szenarios können Sie das Erlernte sofort zur Entdeckung und Behebung von sicherheitsrelevanten Schwachstellen einsetzen.
Adressaten
Dieser Workshop richtet sich an alle
- Netwerkadministratoren
- IT-Sicherheitsbeauftragte mit technischem Hintergrund
- technische Revisoren / Auditoren
- Ambitionierte Anwender/-innen
die daran interessiert sind mehr über „ethical hacking“ und Penetration-Testing zu erfahren um IT Systeme sicherer zu machen.
Voraussetzungen
- Sicherer Umgang mit Computern
- Grundlegendes Verständnis zu gängigen Protokollen (TCP/IP, ARP, DNS, UDP,..), sowie Kenntnisse zu Grundlagen der WLAN-Technologie von Vorteil
max. Teilnehmerzahl
15
Infrastruktur
Für den Workshop wird ein eigenes Notebook benötigt.
Auswertung der Teilnehmer-Feedbacks
Basis 13 Feedbacks
 |  |  |  |  | | | | | | | | | | |
| kein Lerneffekt < > viel gelernt | überhaupt nicht < > voll und ganz | nie wieder < > jederzeit | ||||||||||||
| Lerneffekt des Kurses | Entsprach der Kurs Ihren Erwartungen? | Würden Sie den Kurs wiederbesuchen? | ||||||||||||
| | | | | | | | | | | | | | |
| überhaupt nicht < > voll und ganz | überhaupt nicht < > sehr | zu viel Theorie < > zu viel Praxis | ||||||||||||
| Würden Sie den Kurs weiterempfehlen? | Nützen Ihnen die Informationen bei Ihrer Arbeit? | War das Verhältnis von Theorie und Praxis ausgewogen? | ||||||||||||
| | | | | | | | | | | | | | |
| zu kurz < > zu lang | zu hoch < > zu tief | dauernd < > überhaupt nicht | ||||||||||||
| Wie war die Vortragsdauer im Verhältnis zum Inhalt? | Wie war das Vortragsniveau Verhältnis zu Ihren im Vorkenntnissen? | Wie oft haben Sie sich gelangweilt? | ||||||||||||
| | | | | | | | | | | | | | |
| zu komplex < > zu einfach | überhaupt nicht < > voll und ganz | überhaupt nicht < > voll und ganz | ||||||||||||
| Waren die Beispiele angemessen? | Hat der Referent den Inhalt verständlich vermittelt? | Ging der Referent auf die Teilnehmer ein? | ||||||||||||
- Morgen was etwas "langfädig" und "basic". Nachmittag war super.
- Etwas leise. Sonst sehr spannend! Danke!
- Einführung zu lang, am Nachmittag hat dann die Zeit ein bisschen gefehlt.
- Am Anfang etwas langsam (Video)
"private" Fragen und deren Antworte blieben privat -> gab "Pausen" für die anderen - Danke!
- Praktische Beispiele, Tafeleinsatz, Betreuung -> sehr gut! Hinweise: Auflösung Beamer grösser. Zu Beginn Setup langsamer: IP-Adressen etc., ev. Checkliste
- Etwas besser vorbereiten (Anforderungen, VMs etc), Zeitmanagement verbessern. Sonst gut, Danke.
- Application security / Web App Security wäre ein gutes Thema (2x)
