•   Tunkeutumistestaus ICI005AS3A-3002 24.03.2025-16.05.2025  5   (ITB5PAICI1, ...) +-
    Osaamistavoitteet
    Opintojakson suoritettuaan opiskelija

    – Tuntee tunkeutumistestauksen prosessin pääpiirteissään
    – Tietää, että tunkeutumistestaukselle on lailliset ja eettiset rajat
    – Osaa kartoittaa kohdejärjestelmän haavoittuvuuksia
    – Osaa hyödyntää valmiita hyökkäyksiä (exploit) ja liittää niihin hyötykuorman käyttäen kurssille valittua työkalua
    – Osaa soveltaa tavallisimpia hyökkäyksiä weppisovelluksia vastaan, kun kohdeohjelmistot ovat helppoja ja haavoittuvia.
    – Osaa hankkia tunkeutumistestauksessa tarvittavia ohjelmistoja

    Kurssilta ei saa mukaansa ilmaista pakettia nollapäivähaavoittuvuuksia, eikä kurssi anna mitään erityisoikeuksia eikä ammattinimikkeitä.
    Lähtötaso ja sidonnaisuudet muihin opintojaksoihin
    Alkutestin suorittaminen on edellytys kurssille pääsyyn. Mikäli hakijoita on enemmän kuin kurssille mahtuu, alkutestin pisteet ratkaisevat etusijan.

    Alkutestillä testataan

    – Linuxin perusteiden hallinta (esim. komentokehote, demonit, tiedostojärjestelmän rakenne, ssh. Linuxin asentaminen omaan virtuaalikoneeseen. Esim. "Linux palvelimet" -kurssi.)
    – Verkkojen perusteet (esim. TCP/IP pino, paketti, ARP, TCP, UDP, HTTP, ICMP, SSL/TLS, socket, IP-osoite, portti, asiakas-palvelin-arkkitehtuuri)
    – Ohjelmoinnin alkeet (muuttuja, suoritusjärjestys, ehtolause, silmukka, funktio, olio)

    Kurssilla työskennellään pääasiassa Linuxin komentokehotteessa.

    Kurssille pääsy edellyttää myös kurssin sääntöjen hyväksymistä.
    Sisältö
    Tunkeutumistestauksessa (penetration testing) järjestelmän tietoturvaa parannetaan hyökkäämällä siihen oikeaa hyökkäystä muistuttavalla tavalla, mutta järjestelmän omistajan tilauksesta ja luvalla. Tunkeutumistestaus auttaa tunnistamaan ja priorisoimaan riskejä. Testiraportin perusteella järjestelmän turvallisuutta parannetaan korjaamalla havaitut puutteet. Tietoturvasta huolehtiminen on pakollinen osa minkä tahansa yrityksen toimintaa. Riskialttiilla aloilla standardit voivat myös velvoittaa tunkeutumistestaukseen tai haavoittuvuusskannaukseen.

    Edistynyt kurssi, tähän alustavaan aikatauluun tulee muutoksia kurssin aikana.

    1. Alkutesti ja osallistujien valinta. Nykytila ja lämmitelyharjoitus. Laki ja etiikka.
    2. Tiedustelu.
    3. Tunkeutuminen.
    4. Weppi.
    5. Salaus ja salasanat.
    6. Asiakspään hyökkäyksiä.
    7. Verkkohyökkäyksiä.
    8. Arvioitava lopputehtävä.
    Arviointikriteerit
    Arviointikriteeri - arvosana 1
    Tuntee eettiset ja lailliset rajat tunkeutumistestaukselle. Pystyy harjoittelemaan tekniikoita häiritsemättä järjestelmien toimintaa.

    Tunnistaa tavallisimpia haavoittuvuuksia. Onnistuu tunkeutumaan erittäin haavoittuviksi tehtyihin järjestelmiin tai käyttämällä valmiita työkaluja mekaanisesti. Kykenee ratkomaan yksinkertaisia sormiharjoituksia tunnilla ja läksyissä.
    Arviointikriteeri - arvosana 3
    Pystyy tunkeutumaan haavoittuviin järjestelmiin sekä wepissä, salasanahyökkäyksillä että infrastruktuuria vastaan. Pystyy soveltamaan helppoja tunkeutumistyökaluja hieman muuttuviin tilanteisiin. Tunnistaa ja välttää aktiivisesti tunkeutumistestauksesta aiheutuvia riskejä.

    Hallitsee alempien arvosanojen vaatimustason.
    Arviointikriteeri - arvosana 5
    Pystyy tunkeutumaan haavoittuviin järjestelmiin todellista ympäristöä muistuttavassa tilanteessa. Osaa yhdistellä yksinkertaisia hyökkäyksiä tavoitteen saavuttamiseksi. Pystyy turvallisesti kokeilemaan itselleen uusia työkaluja.

    Hallitsee alempien arvosanojen vaatimustason.
    Lisätiedot
    Kurssi on saanut huippupalautteen. Suurin osa kaikista kurssin käyneistä opiskelijoista on antanut palautteen kiitettävä 5/5. Palautekeskiarvot ovat kiitettäviä, välillä 4.7 - 5.0 / 5. Opiskelijoiden toiveet vaikuttivat ratkaisevasti kurssin perustamiseen. Viimeisimpien palautteiden perusteella on tehty tarkistuksia kurssin vaativuuteen, muutettu työkalujen valintoja sekä selkiytetty viitekehystä.

    Kurssi on haastava ja edellyttää itsenäistä ongelmanratkaisua.

    Palautetta, vanhoja kotitehtäviä ja linkkejä opiskelijoiden esimerkkiratkaisuihin

    http://TeroKarvinen.com
    Opetusmenetelmät ja ohjaus

    Teoriaa ja käytännön hakkerointia. Tarkoituksena oppia murtautumaan tietojärjestelmiin.

    - Oppitunnit viikottain Pasilassa.
    - Läksyt viikottain. Lyhyt teoriatehtävä, laajat käytännön tunkeutumisharjoitukset.

    Kurssi on saavuttanut 5.0 / 5 palautteen, parhaalla toteutuksella jokainen osallistuja antoi palautteen ja jokainen palaute oli paras mahdollinen 5.

    Lisätietoa kurssin kotisivulta https://terokarvinen.com/tunkeutumistestaus/

    Oppimateriaali ja suositeltava kirjallisuus

    Kurssin aikana jaettava ja linkitetty materiaali sisältää sovellusten virallisia oppaita, kolmannen osapuolen tekemiä ohjeita, videoita ja muita verkkomateriaaleja. Mikäli ryhmän taso ja aikataulu sallii, materiaalina on myös lähdekoodeja ja akateemisia, vertaisarvioituja artikkeleita.

    Kunkin toteutuksen luettava materiaali valitaan kurssin edetessä, mutta kurssin sivulta saa osviittaa oheislukemistosta: https://terokarvinen.com/tunkeutumistestaus/#luettavaa-ja-linkkeja

    Työelämäyhteydet

    Aiemmilla toteutuksilla on käynyt korkeatasoisia vierailijoita. Vieralijoiden tulo riippuu heidän aikatauluistaan ja vaihtelee toteutuksittain. (Macintoshin käyttäjille: Apple Macintosh M1, M2, M3... ei sovi kurssin käyttöön, sillä se käyttää arm64-arkkitehtuuria. Kurssille kannattaa ottaa tavallinen PC-läppäri, koska monet harjoituksissa käytettävät sovellukset ja virtuaalikoneet on saatavissa vain tavallisimmalla amd64-arkkitehtuurilla. Käyttöjärjestelmäsi voi olla esimerkiksi Linux tai Windows, kunhan prosessorin arkkitehtuuri on se tavallisin amd64.)

    Toimipiste

    Pasilan toimipiste

    Tenttien ajankohdat ja uusintamahdollisuudet

    Ei tenttiä.

    Opetuskieli

    Suomi

    Kansainvälisyys

    Käytetään kansainvälisiä materiaaleja. Kannustetaan omien materiaalien ja raporttien julkaisuun.

    Kurssilla pitää osata sujuvan suomen lisäksi lukea ja kirjoittaa englantia.

    Ajoitus

    24.03.2025 - 16.05.2025

    Oppimistehtävät

    Oppitunnilla tehtävät tehtävät sekä viikottaiset läksyt.

    Ilmoittautumisaika

    02.01.2025 - 21.03.2025

    Aikataulu

    Alustava aikataulu

    - Tunkeutumisen yleiskuva. Järjestäytyminen. Kybertappoketju.
    - Aktiivinen tiedustelu. Porttiskannaus ja oheistekniikat. Valvonta snifferillä.
    - Valmiiden hyökkäysten käyttö. Etähallinta. Reverse shell ja bind shell. Virtuaalisen laboratorion rakentaminen.
    - Salasanojen murtaminen. Hashcat. Jumbo John. Käyttäjien salasanat. Tiedostojen salasanat. Sanakirjahyökkäys.
    - Weppipalveluihin murtautuminen. IDOR, path traversal, SSRF. Välimiesproxyt, ZAP tai mitmproxy. Harjoitusympäristöt weppiin.
    - Weppipalveluihin murtautuminen. SQLi. Keksit. CSRF. Oman TLS salatun liikenteen purkaminen.
    - Lipunryöstö, arvioitava laboratorioharjoitus.

    Tämä on edistynyt kurssi, joten tuntien aiheisiin voi tulla muutoksia kurssin edetessä.

    Ryhmä
    • ITB5PAICI1
    • CONTACT
    • BLENDED
    • IT5PAICI1
    Toteutuksen valinnaiset oppimistavat

    Opiskelijan halutessa suorittaa opintojakso AHOT-menettelyä käyttäen tulee opiskelijan ilmoittautua normaalisti opintojaksolle ja ottaa kurssin alkaessa yhteyttä opintojakson opettajaan AHOT-menettelyn käynnistämiseksi. AHOT edellyttää näyttöjä tunkeutumisesta, minkä voi osoittaa esimerkiksi sopivalla työkokemuksella tai menestyksellä lipunryöstössä. AHOT:n aloittaminen edellyttää tiedollisen osaamisen lisäksi käytännön tunkeutumistaitoja.

    Opettaja

    Tero Karvinen

    Paikkoja

    15 - 40

    Arviointitavat

    Arvioinnin osa-alueet:

    - Aktiivinen osallistuminen oppitunteihin
    - Läksyjen raportit ja ristiinarvionti
    - Lipunryöstö

    Arvosana perustuu kokonaisarvioon kaikista suorituksista.

    Koulutus

    TRATI Tradenomi tietojenkäsittely

    T&K-osuus

    0.00 op

    Virtuaaliosuus

    0.00 op

    Arviointiasteikko

    H-5