10:39
24/8/2010

Jak wypadły pierwsze szkolenia Niebezpiecznika?

Tydzień temu zakończyliśmy pierwsze dwie edycje Niebezpiecznikowych szkoleń. Bardzo się cieszę, że w końcu udało mi się poznać kilku stałych bywalców Niebezpiecznika osobiście. Poniżej małe podsumowanie i opinie uczestników.

Co robiliśmy?

Celem naszego szkolenia “Atakowanie i Ochrona Webaplikacji” było przede wszystkim przekazanie skondensowanej wiedzy umożliwiającej podniesienie poziomu zabezpieczeń coraz popularniejszych w firmach aplikacji webowych. Przypomnę, że szkolenie jest kierowane do programistów i administratorów, ale i początkujący pentesterzy znajdą w nim coś dla siebie.

Szkolenie zaprojektowaliśmy tak, aby większość czasu zajmowały praktyczne laboratoria — mocno wierzymy, że nauka przez praktykę ma sens. Uczestnicy naszych szkoleń zapoznali się z interesującymi narzędziami służącymi do wykrywania i zatrzymywania ataków na serwisy internetowe i poznali programistyczne tricki, które pozwolą im bezpieczniej pisać webaplikacje. Kilkanaście razy wcielili się także w rolę atakującego, którego zadanie polegało na znalezieniu i wykorzystaniu luk w specjalnie przygotowanej webaplikacji (tak, aby można było m.in. poznać hasła użytkowników, przejąć konto administratora, wykraść zabezpieczone hasłem dane, przeprowadzając ataki SQL injection, RFI, session hijacking, itp).

Jednym słowem, byliśmy bardzo evil :)

Co już ulepszyliśmy?

Co ciekawe, o ile nasz poligon labowy dla większości osób z drugiej grupy okazał się raczej trudny do przejścia, to dla paru osób z pierwszej grupy był dość łatwy :-) Z powyższego wyciągnęliśmy wniosek, że czasem ciężko jest dopasować poziom trudności danego ćwiczenia jednocześnie do 10 osób z różnych środowisk i o różnych umiejętnościach (wśród uczestników szkolenia były osoby, które dopiero co poznwały SQL injection, ale i administratorzy baz danych z kilkuletnim stażem). Od teraz wszystkie laby mają dwa poziomy — uczestnicy szkoleń będą mogli wybrać wersję łatwą i trudną. Będziemy się też starali kompletować grupy skłądające się z osób o podobnych umiejętnościach.

Kilka minut straciliśmy też na ściąganie i instalację oprogramowania na komputerach uczestników, i właśnie na to najczęściej zwracali uwagę się uczestnicy w ankietach poszkoleniowych. Wiadomo, każdy chce hackować, a nie klikać “dalej, dalej, ok, akceptuj, dalej” ;-) Dlatego mamy już przygotowany specjalny obraz maszyny dla uczestnika — innymi słowy, koniec z ręcznym instalowaniem aplikacji. Szczerze mówiac, nie wiem, jak mogliśmy założyć, że kogoś może interesować konfiguracja oprogramowania… :P

Jak widać, na naszym szkoleniu i my się czegoś nauczyliśmy ;)

Opinie uczestników

Ankiety poszkoleniowe pokazały, że zdecydowana większość osób poznała kilka nowych technik ataku i ochrony webaplikacji oraz podniosła lub usystematyzowała swoją wiedzę z tematu bezpieczeństwa. Wszyscy wyrazili chęć uczestnictwa w kolejnych Niebezpiecznikowych szkoleniach i zadeklarowali, że poleciliby to szkolenie innym osobom — to cieszy mnie najbardziej. Jedynym minusem było to, że szkolenie musi się kiedyś skończyć ;)

Poniżej kilka opinii uczestników:

Wyśmienite szkolenie dla wszystkich, którzy chcą dowiedzieć się czegoś więcej o bezpieczeństwie w sieci. Informacje podawane są w bardzo przystępnej formie, a do tego można je od razu wykorzystać w praktyce na przygotowanych (dziurawych) aplikacjach. Nie jest to kolejne szkolenie typu “było fajnie, ale za tydzień wszystko zapomnę”. Wiedza, która jest przekazywana podczas szkolenia przydaje się na co dzień, dodatkowo zwiększając świadomość niebezpieczeństw, które mogą na nas czyhać w sieci.
— Piotr Młocek, Uniwerstet Jagielloński

Samo szkolenie rozpoczęło się na poziomie dla mnie nieco za niskim jak uważałem, choć po czasie muszę przyznać, że dobrze usystematyzowało moją wiedzę. Z czasem było coraz trudniej – aż do momentu, gdy nie dałem rady.

Podczas szkolenia Piotr zapoznał nas z wieloma aspektami bezpieczeństwa aplikacji web – nie tylko jak wygląda atakowanie samej aplikacji, ale także środowiska w którym ona działa – czasem jest to łatwiejsze. Odpowiedzią na znalezione luki było wskazanie sposobów zabezpieczania aplikacji/serwerów na dany typ ataku. Warto tu zaznaczyć, że większość szkolenia opierała się na ćwiczeniach praktycznych. Testy penetracyjne jakie przeprowadzaliśmy dały mi wiele do myślenia. Wiem, że nieco kodu trzeba będzie poprawić. Konfiguracja serwerów też nie pozostanie taka sama. Dwa dni szkolenia przerwane były wieczorkiem przy piwie/kawie/soku z rozmowami o różnych aspektach IT – nie koniecznie bezpieczeństwa, choć był to temat przewodni.
Krzysztof Błachut

Szkolenie daje dość szeroki obraz zagrożeń na jakie narażone są ‘nasze’ aplikacje www. Na szkoleniu można się dowiedzieć ‘czego nie wypuszczać na świat’ :) a jeśli chcemy to zrobić to ile jeszcze jest do zrobienia by być w miarę spokojnym o bezpieczeństwo aplikacji.
— Grzegorz Dulny, Enigma Systemy Ochrony Informacji

Piotr bardzo fajnie, prostym językiem opowiadał o bezpieczeństwie webaplikacji, podawał przykłady z życia wzięte – co mi się bardzo podobało. Super, że było dużo ćwiczeń praktycznych – tak człowiek najlepiej zapamiętuje. Podobała mi się także przyjazna, luźna atmosfera. Doceniam także bardzo dobrą organizację szkolenia (przerwy, obiady, sprzęt – wszystko bez zarzutu).
— Anna Ptak, PolSource

Jak widać, nie tylko ze względu na obiady, kawę, ciasteczka i popołudniowe piwo warto wybrać się na nasze szkolenie ;)

Zapisz się, za 200PLN taniej

Zbliża się koniec roku, niebawem będziecie musieli sponiewierać swoje budżety szkoleniowe, bo inaczej za rok je Wam zabiorą. Sponiewierajcie je więc wspólnie z nami ;) Poniżej terminy najbliższych szkoleń.

Jeśli wyślecie zgłoszenie do końca tego tygodnia i opłacicie je do końca sierpnia, dostaniecie 200PLN rabatu
Jeśli jesteś zainteresowany innym terminem, niż powyższy, wpisz poniżej swójego e-mail, a powiadomimy Cię w momencie otwarcia rejestracji na kolejne terminy:

Przeczytaj także:

15 komentarzy

Dodaj komentarz
  1. Przepraszam, ja trąba jestem i nie mogę nigdzie znaleźć ceny tych szkoleń (poza tym, że 200zł taniej).

  2. Co z osobami które nie mogą się stawić w Krakowie?
    Macie jakąś wersję eLearningową, czy może jakaś tele konferencja? Softu do tego jest dużo.
    Nie odcinajcie się od potencjalnych klientów :)

    • Wojtek: pracujemy nad tym… Szkoda, że teleportacja jeszcze nie jest możliwa w tej wersji wszechświata ;-)

  3. Dzięki za info. Czekam z niecierpliwością, a w międzyczasie zobaczę co da się zrobić z tym teleportem ;)

  4. Zagadnienia, które szczególnie by mnie interesowały (od strony praktycznej):
    1) Tworzenie mapy badanej aplikacji
    2) Organizacja informacji na temat znalezionych błędów
    3) Przygotowanie raportu

    Eksperymentuje z wykorzystaniem map myśli, ale efekty są takie sobie.
    Zdaje sobie sprawę, że wszystkie te “organizacyjne” sprawy nie są
    tak ekscytujące jak same techniki ataku, myślę jednak, że nie mniej ważne.

    A może któryś z czytelników zechciałby się podzielić swoim doświadczeniem,
    na temat w/w zagadnień?

  5. Ja od dłuższego czasu notuję sobie rezultaty testów w mindmapie. Może i nie jest to rozwiązanie idealne, przekształcenie takiej notatki na coś, co można pokazać dalej wymaga też trochę pracy. Z drugiej strony nie znalazłem (jeszcze?) bardziej efektywnego sposobu notowania. Przyglądałem się też projektowi Dradis (http://dradisframework.org/), ale bez głębszych emocji.

    Przy notowaniu w postaci mindmapy problemem jest, przynajmniej dla mnie, wybór organizacji notatki. Czasami buduję ją w oparciu o pliki aplikacji, czasami natomiast o formatki i funkcje. To też zależy od samej aplikacji, ale wydaje mi się jednak, że rozpisanie “funkcjonalne” jest wygodniejsze.

    • Ja korzystam z FreeMind (cross-platformowy, darmowy, niestety javowy, ale posiada liczne sposoby exportu danych).

  6. Godny polecenia jest też http://www.xmind.net/

  7. Ja w ostatnim czasie zamieniłem FreeMind na FreePlane. W zasadzie jest to prawie to samo (fork), ale jakoś FreePlane zaczął mi bardziej odpowiadać, choć trudno mi jest powiedzieć w czym konkretnie jest lepszy od FreeMind.

  8. @Paweł

    Jestem właśnie na etapie wypracowania metodycznego podejścia do problemu. Coś w stylu standardu/szablonu opisu funkcjonalności (url, attack surface, priorytet, zależności itp…), ale ciągle to koło wychodzi mi jakieś takie kwadratowe :) Trudno znaleźć wartościowy przykład z życia wzięty, ale rozumiem, że każdy magik ukrywa szczegóły swoich sztuczek ;)

  9. @Dariusz: To nie jest ukrywanie sztuczek. Po prostu uważam, że to, co dla mnie jest OK nie musi być wcale takie dla innych. Z tego powodu często nie wdaję się w szczegóły, by nie narzucić swojego sposobu innym. Poza tym chwila z google i znajdziesz przykład, który kiedyś udostępniłem :)

  10. W takim razie może zainteresuje Was PentestMGMT (http://pentester.jogger.pl/2010/08/08/pentestmgmt-devblog-1/) by carstein. Jeszcze nie jest to rozwiązanie idealne, ale używam go od czasu do czasu i nie narzekam. Jeśli nie PentestMGMT to jak większość już wypowiadających się osób używam mindmap.

  11. Mnie interesuje konfiguracja oprogramowania ;-). Ale fakt faktem, nie po to się idzie na takie szkolenie ;-D.

  12. Jeśli chodzi o konfigurację oprogramowania, to wcale nie jest ona tak trywialna, jak może się wydawać. Niektóre narzędzia mają swoją “specyfikę”, którą trzeba znać i wiedzieć jak z nią żyć lub jak ją obejść. Opisywałem swoje walki z JBroFuzz (u mnie nadal nie działa: http://wampir.mroczna-zaloga.org/archives/862-jbrofuzz-ii-problem-jak-byl-tak-jest.html), straciłem też sporo czasu próbując skorzystać z Watobo by na końcu dogrzebać się do informacji, że błąd leżał w wykorzystanej wersji Ruby. x5s, rozszerzenie do Fiddlera, z kolei lubi dwukrotnie zakodować wysyłane dane, w związku z czym wyniki jego działania są wówczas nieprawidłowe. Z Fiddlerem są też drobne problemy w przypadku wykorzystania uwierzytelnienia zintegrowanego (NTLM, Kerberos), z którymi ja radzę sobie puszczając Fiddlera przez Burp. Burp z kolei nie potrafi(ł) sobie poradzić z certyfikatem klienta na karcie, więc czasami to z kolei puszczam Burpa przez Fiddlera.

    Wiele takich przykładów mogłoby się pojawić w trakcie szkolenia. Bo samo ściąganie programu i instalacja go wysoce zaawansowaną nextologią rzeczywiście mija się z celem.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: