Ich komme gerade aus dem Trainings Teil in Las Vegas. Dies war mein zweiter Black Hat, und es war genauso gut wie der erste. Ich nahm die Kampf Ausgabe des Hacking By Numbers natürlich hier ist meine Bewertung:

Überprüfung

Die Hacking By Numbers Kurse sind ein getan durch, einem südafrikanischen Sicherheitsfirma. Die Kurse sind so dargestellt, als Kadett, Boot Camp, Web 2.0, Kampf und Generalstabschef Ausgaben. Ich hatte vorher die Bootcamp-Ausgabe besucht (das erinnert mich, ich brauche eine Bewertung zu, dass zu schreiben), die die empfohlene Pre-req für Kampf Ausgabe ist.

Hier ist die Übersicht über die Black-Hat-Website:

Dieser Kurs ist das Flaggschiff Kurs der etablierten Hacking nach Zahlen Serie. Von der ersten Stunde zu den letzten Minuten Studenten sind in verschiedenen Angriffsszenarien gelegt, da sie gegen die Uhr auf "Capture the Flag". In der SensePost Tradition liegen die Lösungen viel mehr in der Technik und eine Out-of-Box-Denkprozess als bei der Verwendung von Skripten oder Tools. Jede Übung soll eine bestimmte Lektion zu erteilen und wird im Detail diskutiert werden, nachdem sie abgeschlossen ist. Auf diese Weise lernen Sie von Ihrem Lehrer, Ihre Kollegen und Ihre eigenen Erfolge und Misserfolge. Die "Capture the Flag" Übungen haben alle realen Szenarien zu replizieren, wurde entwickelt, um mit Real-Life-Hacker Blöcke auf dem Weg zu stolpern. Die Studierenden müssen mit mehreren Firewalls, IDS-Geräte und Home-gesponnenen roten Heringe in ihre Aufgaben zu bewältigen, die Herausforderung zu vervollständigen. Während der Übungen werden SensePost führenden technischen Spezialisten diskutieren mögliche Angriffe, mögliche Alternativen und sogar Verteidigung für dieSzenario in Frage. Die Übungen reichen von der einfachen Schicht einer Angriffe auf komplexere Angriffe Kombinationen von Schwachstellen in Webanwendungen und TCP / IP verdeckte Kanäle erfordern. Alle Werkzeuge, die Dokumentation und die erforderlichen Lesematerial wird den Studenten zur Verfügung gestellt werden.

Struktur

Der Kurs ist zwei Tage lang und wird vollständig auf. Der Lehrer, Marco, hat einen fantastischen Job als Führer, sondern als ein Dozent. Der gesamte Kurs ist eine Reihe von "pracs", in dem ein anderer Stift Testtechnik ausgeübt wird. Es ist wichtig zu beachten, dass diese "pracs" basierte Bewertungen auf realen Welt geschaffen wurden. Nach einem Intro 20 Minuten, die gerade in den Kampf geworfen in erster Linie aus SensePost Erfahrung gewonnenen Perlen der Weisheit enthalten, waren wir; gerade wie in der Werbung, war dies natürlich alle Hack.

Für jede "prak" sind Sie drei Dinge gegeben: das Ziel, Empfohlene Werkzeuge und Obscure Hinweise. Das Ziel gibt Ihnen den Endpunkt sowie das Endziel. Die meisten der Ende Ziele war, sich auf eine Wall of Fame zu platzieren (typisch für CTF Herausforderungen). Der empfohlene Werkzeuge Teil soll ein sehr einfaches Hinweis sein, wenn Sie keine Ahnung, wo hatte zu beginnen. Die obskure Hinweise waren genau das. Sie dienten einen wertvollen Zweck am Ende Lernziel des Kurses. Nach dem Abschluss der "Pra", würde zeigen, eine Überprüfung der Hinweise eine klare Umkehrdenkprozess, die Sie gut auf einem Pen-Test dienen würde, wenn Sie es zu internalisieren waren.

Als Hürde bei einem "prak" überwunden werden, würde der Lehrer zu kämpfen geben Hilfe für diejenigen starten. In einigen Fällen würde er weitere Hinweise geben, aber vor allem würde er die zugrunde liegende Technologie für die mit ihm nicht vertraut verwendet wird helfen, zu beschreiben. Damit wurde sichergestellt, dass Sie das Beste aus der Ausübung von nicht immer hängen gebliebenen auf Schritt-one bekommen konnte. Ansonsten könnten Sie bis zu verpassen den Rest der Spaß beenden.

Nach jedem "Pra", fragt die Lehrer würde dann die Klasse auf die Methoden, die sie verwendet, um das Ziel zu erreichen. Ich war an seiner Fähigkeit erstaunt, um sofort neu erstellen und eines Schülers Methode auf mehreren Plattformen zu modellieren. Im Gegensatz zu vielen Trainings, in dem Sie Board warten auf eine Demo arbeiten zu bekommen, war der Lehrer in vollständige Synchronisierung mit dem Tempo der Studenten, nicht zu schnell, noch auf die Zeit ziehen.

Inhalt

Der Inhalt war auf jeden Fall das Meisterwerk dieser Ausbildung. Einige Trainings sind einfach zu teuer "Script Kiddie" Tutorials, die auf YouTube gefunden werden konnte. Allerdings HBN: Kampf war nichts dergleichen. Nicht ein einziges Mal habe ich berühren Nessus, Metasploit, oder einen anderen Rahmen. Ich war angenehm in der kleinen Spanne von Werkzeugen während des gesamten Prozesses genutzt überrascht. Meist war es eine Mischung aus, eine Art von Inline-Proxy und CLI.

Während mit einem der SensePost Tester sprechen, erklärte er mir, dass eines der Themen in der Branche ist die begrenzte "Sicht" der Tester. So viele Stift Tests durchgeführt, indem ausgeführt wird, oder eine andere Schwachstellen-Scanner, und Dumping den Bericht über ihre Kunden. Selbst wenn sie auf gehen Schwachstellen zu überprüfen, ist es in der Regel unter Verwendung von getan, oder eine andere Verwertung Rahmen. Dies lässt natürlich viele Fehlalarme, und noch schlimmer, falsch negative Ergebnisse. Aus diesem Grund HBN: Kampf so wirksam ist. Der Kurs basiert auf dem Prinzip aufgebaut, dass kein System vollkommen sicher ist; Sie müssen einfach das Loch zu finden, die realen Fähigkeiten zu entdecken nimmt.

Im Einklang mit diesem Prinzip waren die Übungen sehr technisch und sehr klug; sie nur erforderlich, Muster zu erkennen und Denken außerhalb der Box. Einige meiner Lieblings-Praktiken beteiligt zu tun:

• IPS-Bypass
• Protokoll Umkehren
• Sicherheitsmaßnahme Umgehen
• angekettet Ausbeutung
• System Misconfiguration
• Dickes App Angriffe

Insgesamt verließ ich den Kurs sehr gut ausgestattet fühlen und viel besser vorbereitet.

Schlussfolgerung

Das war ein fantastischer Kurs! Es war im Wesentlichen von zwei Tagen aus der realen Welt Einschätzungen gewonnenen Pen-Testing Fähigkeiten zu lernen. Ich fühle mich wie ein besseres Verständnis der zugrunde liegenden Technologie gemeinsam (und seltene) Implementierungen haben. Es gab nur sehr wenige (wenn überhaupt) technische Fragen, und der Lehrer war freundlich, und ein wahrer Experte; zeigte er eine umfassende Verständnis aller verwendeten Technologien. Ich empfehle, dass jeder an diesem Kurs teilnehmen. Es wird auf jeden Fall Ihre "Blick" in Ihren Stift Tests erweitern, während auch Sie tolle kleine Tricks zu unterrichten.

Besuchen Sie SensePost der Webiste!