•   Penetration Testing ICT4TN027-3010 24.10.2022-16.12.2022  5   (TN5PC, ...) +-
    Osaamistavoitteet
    Opintojakson suoritettuaan opiskelija
    – Tuntee tunkeutumistestauksen prosessin pääpiirteissään
    – Tietää, että tunkeutumistestaukselle on lailliset ja eettiset rajat
    – Osaa kartoittaa kohdejärjestelmän haavoittuvuuksia
    – Osaa hyödyntää valmiita hyökkäyksiä (exploit) ja liittää niihin hyötykuorman käyttäen kurssille valittua työkalua
    – Osaa soveltaa tavallisimpia hyökkäyksiä weppisovelluksia vastaan, kun kohdeohjelmistot ovat helppoja ja haavoittuvia.
    – Osaa hankkia tunkeutumistestauksessa tarvittavia ohjelmistoja

    Kurssilta ei saa mukaansa ilmaista pakettia nollapäivähaavoittuvuuksia, eikä kurssi anna mitään erityisoikeuksia eikä ammattinimikkeitä.
    Lähtötaso ja sidonnaisuudet muihin opintojaksoihin
    Alkutestin suorittaminen on edellytys kurssille pääsyyn. Mikäli hakijoita on enemmän kuin kurssille mahtuu, alkutestin pisteet ratkaisevat etusijan.
    Alkutestillä testataan

    – Linuxin perusteiden hallinta (esim. komentokehote, demonit, tiedostojärjestelmän rakenne, ssh. Esim. "Linux palvelimet" -kurssi.
    – Verkkojen perusteet (esim. TCP/IP pino, paketti, ARP, TCP, UDP, HTTP, ICMP, SSL/TLS, socket, IP-osoite, portti, asiakas-palvelin-arkkitehtuuri)
    – Ohjelmoinnin perusteet (muuttuja, suoritusjärjestys, ehtolause, silmukka, funktio, olio)

    Kurssilla työskennellään pääasiassa Linuxin komentokehotteessa.

    Kurssille pääsy edellyttää myös kurssin sääntöjen hyväksymistä.
    Sisältö
    Tunkeutumistestauksessa (penetration testing) järjestelmän tietoturvaa parannetaan hyökkäämällä siihen oikeaa hyökkäystä muistuttavalla tavalla, mutta järjestelmän omistajan tilauksesta ja luvalla. Tunkeutumistestaus auttaa tunnistamaan ja priorisoimaan riskejä. Testiraportin perusteella järjestelmän turvallisuutta parannetaan korjaamalla havaitut puutteet. Tietoturvasta huolehtiminen on pakollinen osa minkä tahansa yrityksen toimintaa. Riskialttiilla aloilla standardit voivat myös velvoittaa tunkeutumistestaukseen tai haavoittuvuusskannaukseen.

    Edistynyt kurssi, tähän alustavaan aikatauluun tulee muutoksia kurssin aikana.
    1. Alkutesti ja osallistujien valinta. Nykytila ja lämmitelyharjoitus. Laki ja etiikka.
    2. Tiedustelu.
    3. Tunkeutuminen.
    4. Weppi.
    5. Salaus ja salasanat.
    6. Troijan hevoset, keihäskalastus ja juottopaikat.
    7. Verkkohyökkäyksiä.
    8. Arvioitava harjoitus tai koe.
    Arviointikriteerit
    Arviointikriteeri - arvosana 1
    Tuntee eettiset ja lailliset rajat tunkeutumistestaukselle. Pystyy harjoittelemaan tekniikoita häiritsemättä järjestelmien toimintaa.

    Tunnistaa tavallisimpia haavoittuvuuksia. Onnistuu tunkeutumaan erittäin haavoittuviksi tehtyihin järjestelmiin tai käyttämällä valmiita työkaluja mekaanisesti. Kykenee ratkomaan yksinkertaisia sormiharjoituksia tunnilla ja läksyissä.
    Arviointikriteeri - arvosana 3
    Pystyy tunkeutumaan haavoittuviin järjestelmiin sekä wepissä, salasanahyökkäyksillä että infrastruktuuria vastaan. Pystyy soveltamaan helppoja tunkeutumistyökaluja hieman muuttuviin tilanteisiin. Tunnistaa ja välttää aktiivisesti tunkeutumistestauksesta aiheutuvia riskejä.

    Hallitsee alempien arvosanojen vaatimustason.
    Arviointikriteeri - arvosana 5
    Pystyy tunkeutumaan haavoittuviin järjestelmiin todellista ympäristöä muistuttavassa tilanteessa. Osaa yhdistellä yksinkertaisia hyökkäyksiä tavoitteen saavuttamiseksi. Pystyy turvallisesti kokeilemaan itselleen uusia työkaluja.

    Hallitsee alempien arvosanojen vaatimustason.
    Lisätiedot
    Kurssi on saanut huippupalautteen. Suurin osa kaikista kurssin käyneistä opiskelijoista on antanut palautteen kiitettävä 5/5. Palautekeskiarvot ovat kiitettäviä, välillä 4.7 - 4.9 / 5. Opiskelijoiden toiveet vaikuttivat ratkaisevasti kurssin perustamiseen. Viimeisimpien palautteiden perusteella on tehty tarkistuksia kurssin vaativuuteen, muutettu työkalujen valintoja sekä selkiytetty viitekehystä.

    Kurssi on haastava ja edellyttää itsenäistä ongelmanratkaisua.

    Palautetta, vanhoja kotitehtäviä ja niiden esimerkkiratkaisuja:

    http://TeroKarvinen.com
    Opetusmenetelmät ja ohjaus

    ONLINE: kokonaan etänä, edellyttää aktiivista osallistumista oppitunteihin videokonfferenssissa.

    - Teoria opetetaan käytäntöön sidottuna: kunkin työkalun yhteydessä esitetään aiheeseen liittyvät käsitteet.
    - Työskennellään omilla tietokoneilla virtuaalikoneissa tai suoraan raudalla.
    - Kannustetaan opiskelijoita hankkimaan tuotantovälineet itselleen.
    - Kannustetaan tulosten julkaisuun.
    - Käytetään alun jälkeen pääosin komentokehotetta (yksiselitteistä, samat komennot toimivat kaikkialla, palvelinten kanssa oletus).

    Osallistumiseen tarvitaan

    - Videokonfferenssiin: tietokone, kuulokemikrofoni, kamera, internet-yhteys.
    - Linux-käyttöön: tietokone, jolla voit ohjeiden mukaan asentaa virtuaalikoneen ja Linuxin (edistyneemmät voivat toki asentaa Linuxin ihan oikean, erillisen koneen raudalle).

    Kurssille osallistuminen edellyttää kurssin sääntöjen hyväksymistä.

    Oppimateriaali ja suositeltava kirjallisuus

    Kurssilla esitetyt artikkelit, joista mahdollisia esimerkkejä alla. Käytetään suosittuja vapaita työkaluja niin paljon kuin käytännöllistä, jotta työkalut jäävät opiskelijan käyttöön kurssin jälkeen.

    Esimerkiksi

    - € Santos et al 2018: Hacking Web Applications The Art of Hacking Series LiveLessons (video)
    - € Percival & Samancioglu 2020: The Complete Ethical Hacking Course (video)
    - Hutchins et al 2011: Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains
    - Skelton et al 2020: Everything you need to know about FFUF
    - OWASP 10
    - Kali Linux
    - Virtualbox
    - Metasploit framework
    - fuff
    - ZED Attack Proxy
    - Webgoat, Metasploitable, Vulnhub

    Materiaali tarkentuu kurssin aikana. Maksulliset sisällöt saattavat löytyä ilmaiseksi Haaga-Helian opiskelijatunnuksilla kirjaston sivuilta.

    Työelämäyhteydet

    Edellisellä toteutuksella oli runsaasti korkeatasoisia vierailijoita. Vierailujen toteutuminen vaihtelee toteutuksittain riippuen potentiaalisten vierailijoiden aikatauluista ja muista käytännön seikoista.

    Toimipiste

    Pasilan toimipiste

    Tenttien ajankohdat ja uusintamahdollisuudet

    Ei tenttiä.

    Opetuskieli

    Suomi

    Kansainvälisyys

    Oppimateriaali ja työkalut ovat pääosin englanninkielisiä. Tehtäväraportit saa kirjoittaa oman valinnan mukaan suomeksi tai englanniksi. Edistyneimmät opiskelijat voivat halutessaan osallistua kansainvälisiin projekteihin esimerkiksi julkaisemalla tekemiään moduleja tai raportoimalla bugeja.

    Ajoitus

    24.10.2022 - 16.12.2022

    Ilmoittautumisaika

    13.06.2022 - 21.10.2022

    Aikataulu

    1. Alkutesti ja osallistujien valinta. Nykytila ja lämmitelyharjoitus. Laki ja etiikka.
    2. Tiedustelu.
    3. Tunkeutuminen.
    4. Weppi.
    5. Salaus ja salasanat.
    6. Troijan hevoset, keihäskalastus ja juottopaikat.
    7. Verkkohyökkäyksiä.
    8. Arvioitava harjoitus tai koe.

    Aikataulu on alustava ja muuttuu kurssin aikana.

    Ryhmä
    • TN5PC
    • ONLINE
    • TN5PA
    Toteutuksen valinnaiset oppimistavat

    Opiskelijan halutessa suorittaa opintojakso AHOT-menettelyä käyttäen tulee opiskelijan ilmoittautua normaalisti opintojaksolle ja ottaa kurssin alkaessa yhteyttä opintojakson opettajaan AHOT-menettelyn käynnistämiseksi. AHOT edellyttää nimenomaan PenTesting-taitojen osaamista ennestään esimerkiksi työn ja harrastusten kautta; pelkkä haavoittuvuusskannereiden ajaminen tai kirjallisuuteen perehtyminen ei riitä. Jos olet esimerkiksi menestynyt CTF-kilpailuissa tai tehnyt tunkeutumistestausta työksesi, kannattaa harkita AHOT:tia. Ennen AHOT-menettelyn aloittamista kannattaa katsoa kurssin kotisivulta vanhoja harjoitustehtäviä ja arvioida, onko AHOT-menettelyyn realistisia mahdollisuuksia.

    Opettaja

    Tero Karvinen

    Paikkoja

    15 - 30

    Arviointitavat

    Ohjeelliset painoarvot.

    - Läksyt 50%
    - Arvioitava harjoitus 50%

    Arvosana on kokonaisarvio kurssin suorituksista.

    Koulutus

    HETI Degree Programme in Business Information Technology

    Virtuaaliosuus

    5 op

    Arviointiasteikko

    H-5