Tunkeutumistestaus - ICI005AS3A - Opinto-opas

Tunkeutumistestaus, 5 op - ICI005AS3A

Tulevat toteutukset

Tunkeutumistestaus ICI005AS3A-3001 25.03.2024-17.05.2024 5 op (ITB5PAICI1, ...) +-
Toimipiste

Pasilan toimipiste

Opetuskieli

Suomi

Ajoitus

25.03.2024 - 17.05.2024

Ilmoittautumisaika

02.01.2024 - 22.03.2024
Ryhmä
- ITB5PAICI1
- CONTACT
- BLENDED
- IT5PAICI1
Opettaja

Tero Karvinen

Paikkoja

15 - 50

Koulutus

TRATI Tradenomi tietojenkäsittely

T&K-osuus

0.00 op

Virtuaaliosuus

0.00 op

Arviointiasteikko

H-5

Käynnissä olevat toteutukset

Ei käynnissä olevia toteutuksia.

Päättyneet toteutukset

Ei päättyneitä toteutuksia.

Opintojakson suoritettuaan opiskelija

– Tuntee tunkeutumistestauksen prosessin pääpiirteissään
– Tietää, että tunkeutumistestaukselle on lailliset ja eettiset rajat
– Osaa kartoittaa kohdejärjestelmän haavoittuvuuksia
– Osaa hyödyntää valmiita hyökkäyksiä (exploit) ja liittää niihin hyötykuorman käyttäen kurssille valittua työkalua
– Osaa soveltaa tavallisimpia hyökkäyksiä weppisovelluksia vastaan, kun kohdeohjelmistot ovat helppoja ja haavoittuvia.
– Osaa hankkia tunkeutumistestauksessa tarvittavia ohjelmistoja

Kurssilta ei saa mukaansa ilmaista pakettia nollapäivähaavoittuvuuksia, eikä kurssi anna mitään erityisoikeuksia eikä ammattinimikkeitä.

Tunkeutumistestauksessa (penetration testing) järjestelmän tietoturvaa parannetaan hyökkäämällä siihen oikeaa hyökkäystä muistuttavalla tavalla, mutta järjestelmän omistajan tilauksesta ja luvalla. Tunkeutumistestaus auttaa tunnistamaan ja priorisoimaan riskejä. Testiraportin perusteella järjestelmän turvallisuutta parannetaan korjaamalla havaitut puutteet. Tietoturvasta huolehtiminen on pakollinen osa minkä tahansa yrityksen toimintaa. Riskialttiilla aloilla standardit voivat myös velvoittaa tunkeutumistestaukseen tai haavoittuvuusskannaukseen.

Edistynyt kurssi, tähän alustavaan aikatauluun tulee muutoksia kurssin aikana.

1. Alkutesti ja osallistujien valinta. Nykytila ja lämmitelyharjoitus. Laki ja etiikka.
2. Tiedustelu.
3. Tunkeutuminen.
4. Weppi.
5. Salaus ja salasanat.
6. Asiakspään hyökkäyksiä.
7. Verkkohyökkäyksiä.
8. Arvioitava lopputehtävä.

- Teoria opetetaan käytäntöön sidottuna: kunkin työkalun yhteydessä esitetään aiheeseen liittyvät käsitteet.
- Työskennellään oikeilla tietokoneilla
- Kannustetaan opiskelijoita hankkimaan tuotantovälineet itselleen.
- Kannustetaan tulosten julkaisuun.

Kurssin aikana jaettava ja linkitetty materiaali sisältää sovellusten virallisia oppaita, kolmannen osapuolen tekemiä ohjeita, videoita ja muita verkkomateriaaleja. Mikäli ryhmän taso ja aikataulu sallii, materiaalina on myös lähdekoodeja ja akateemisia, vertaisarvioituja artikkeleita.

Opettele murtautumaan tietokoneille. Kun tiedät hakkereiden metkut, osaat suojata omat ja työnantajan koneet. Opit hankkimaan tarvittavat työkalut itsellesi ja harjoittelemaan murtautumista käytännössä, turvallisesti ja laillisesti.

Tämä kurssi on saanut huippupalautteen, parhaimmillaan 5.0 / 5 eli jokainen osallistuja antoi parhaan mahdollisen palautteen. Kurssi on haastava, ja edellyttää perustietoja Linuxista, ohjelmoinnin alkeista ja TCP/IP-pinosta.

Kurssi on saanut huippupalautteen. Suurin osa kaikista kurssin käyneistä opiskelijoista on antanut palautteen kiitettävä 5/5. Palautekeskiarvot ovat kiitettäviä, välillä 4.7 - 5.0 / 5. Opiskelijoiden toiveet vaikuttivat ratkaisevasti kurssin perustamiseen. Viimeisimpien palautteiden perusteella on tehty tarkistuksia kurssin vaativuuteen, muutettu työkalujen valintoja sekä selkiytetty viitekehystä.

Kurssi on haastava ja edellyttää itsenäistä ongelmanratkaisua.

Palautetta, vanhoja kotitehtäviä ja linkkejä opiskelijoiden esimerkkiratkaisuihin

http://TeroKarvinen.com

Alkutestin suorittaminen on edellytys kurssille pääsyyn. Mikäli hakijoita on enemmän kuin kurssille mahtuu, alkutestin pisteet ratkaisevat etusijan.

Alkutestillä testataan

– Linuxin perusteiden hallinta (esim. komentokehote, demonit, tiedostojärjestelmän rakenne, ssh. Linuxin asentaminen omaan virtuaalikoneeseen. Esim. "Linux palvelimet" -kurssi.)
– Verkkojen perusteet (esim. TCP/IP pino, paketti, ARP, TCP, UDP, HTTP, ICMP, SSL/TLS, socket, IP-osoite, portti, asiakas-palvelin-arkkitehtuuri)
– Ohjelmoinnin alkeet (muuttuja, suoritusjärjestys, ehtolause, silmukka, funktio, olio)

Kurssilla työskennellään pääasiassa Linuxin komentokehotteessa.

Kurssille pääsy edellyttää myös kurssin sääntöjen hyväksymistä.

Tuntee eettiset ja lailliset rajat tunkeutumistestaukselle. Pystyy harjoittelemaan tekniikoita häiritsemättä järjestelmien toimintaa.

Tunnistaa tavallisimpia haavoittuvuuksia. Onnistuu tunkeutumaan erittäin haavoittuviksi tehtyihin järjestelmiin tai käyttämällä valmiita työkaluja mekaanisesti. Kykenee ratkomaan yksinkertaisia sormiharjoituksia tunnilla ja läksyissä.

Pystyy tunkeutumaan haavoittuviin järjestelmiin sekä wepissä, salasanahyökkäyksillä että infrastruktuuria vastaan. Pystyy soveltamaan helppoja tunkeutumistyökaluja hieman muuttuviin tilanteisiin. Tunnistaa ja välttää aktiivisesti tunkeutumistestauksesta aiheutuvia riskejä.

Hallitsee alempien arvosanojen vaatimustason.

Pystyy tunkeutumaan haavoittuviin järjestelmiin todellista ympäristöä muistuttavassa tilanteessa. Osaa yhdistellä yksinkertaisia hyökkäyksiä tavoitteen saavuttamiseksi. Pystyy turvallisesti kokeilemaan itselleen uusia työkaluja.

Hallitsee alempien arvosanojen vaatimustason.