AEH – Advanced Ethical Hacking

Predstavljamo vam edinstveno izobraževanje iz naprednega etičnega hekanja

Naš program izobraževanja je zasnovan tako, da udeležence popelje skozi napredne tehnike in prakse, ki jim omogočajo prepoznavanje skritih ranljivosti v omrežjih, aplikacijah in sistemih.
Certificiranje vključuje učenje naprednih tehnik, kako odkriti skrite ranljivosti v omrežjih, aplikacijah in sistemih, ki jih običajni varnostni pregledi pogosto spregledajo.
Penetracijski testi na realnih sistemih:
Udeleženci bodo imeli dostop do simuliranih okolij, kjer bodo izvajali penetracijske teste in simulirali napade. Na ta način bodo pridobili dragocene praktične izkušnje pri obvladovanju groženj.

Namen izobraževanja

Naučili se boste, kako napadalci izvajajo kompleksne napade, kot so socialni inženiring, omrežni vdori, izkoriščanje ranljivosti programske opreme in kako zgraditi obrambo proti njim.

Napredno etično hekanje: Iskanje skritih ranljivosti (Discovering Hidden Vulnerabilities)

Napredni etični heking je zasnovan za izvajalce penetracijskih testov, SOC analitike, študente, ter navdušence ki želijo nadgraditi svoje veščine in iščejo zahtevne laboratorijske izzive za izboljšanje svojih sposobnosti pri svojih dosedanjih tehnikah izvedbe projektov.

Za koga je izobraževanje?

Napredni etični heking je zasnovan za izvajalce penetracijskih testov, SOC analitike, študente, ki želijo nadgraditi svoje veščine.

Veščine / Znanje

Osnovno poznavanje orodij za penetracijsko testiranje
Osnovno razumevanje operacijskih sistemov Windows in Linux
Osnovne veščine izkoriščanja spletnih aplikacij
Osnovno poznavanje skriptnih jezikov
Osnovno razumevanje sistema Windows Active Directory
Osnovno poznavanje orodja PowerShell
Osnovno znanje pivotiranja

Naravnanost/Miselnost

Pripravljenost na obsežno raziskovanje
Potrpežljivost in vztrajnost
Razmišljanje izven okvirjev
Ključna pozornost do podrobnosti
Pripravljenost na razumevanje orodij za izkoriščanje ranljivosti

Kaj boste pridobili?

Napredni etični heking ponuja okolje polno izzivov, ki vključuje operacijska sistema Linux in Windows.
S tem laboratorijem boste izboljšali svoje veščine na področju zbiranja informacij in situacijske ozaveščenosti, se naučili izkoriščanja ranljivosti preko Windows in Linux ranljivosti, pridobili poznavanje Command & Control (C2) in še veliko več!
Z uspešnim zaključkom tega laboratorija boste dokazali svoje veščine penetracijskega testiranja, vključno z:

Enumeracijo
Razvojem izkoriščanj (Exploit Development)
Poviševanjem privilegijev (Privilege Escalation)
Lateralnim premikanjem
Napadi na spletne aplikacije (Web Application Attacks)
Napadi na Active Directory (AD Attacks)

Učni načrt

Dobrodošli na celovitem tečaju etičnega hekanja!

V petih dneh boste pridobili široko paleto znanj in praktičnih veščin za izvajanje etičnega hekanja, z zaključnim izpitom, kjer boste svoje znanje preizkusili na simuliranem okolju.

Zakaj se prijaviti?

Naučili se boste ključnih tehnik etičnega hekanja.
Pridobili boste praktične izkušnje z najbolj razširjenimi orodji in metodologijami.
Preizkusili boste svoje znanje v simuliranemu realističnemu okolju, podobnemu resničnim situacijam.

Kaj potrebujete?

Prenosni računalnik.
Predhodno znanje ni potrebno, je pa dobrodošlo – sicer pa začnemo od osnov.
Pridružite se in postanite etični heker, ki varuje digitalno prihodnost!

1. dan: Temelji etičnega hekanja

Teme: OSINT, Osnove Linuxa, Osnove omrežij, Wireshark, APT napadi, Pivoting:

OSINT (Open Source Intelligence):Tehnike in orodja za zbiranje podatkov.
Praktična vaja: Identifikacija ključnih informacij o cilju.

Osnove Linuxa: Uporaba ukazne vrstice (CLI), delo z datotekami, skriptami in uporabniškimi pravicami.

Osnove omrežij: OSI model, protokoli (TCP/IP, DNS, HTTP), osnove VPN-jev.

Diagnostika in spremljanje omrežij z orodji.
Analiza omrežnega prometa, filtriranje podatkov, prepoznavanje sumljivih aktivnosti.
Praktična vaja: Zajem in analiza omrežnega prometa.

APT napadi (Advanced Persistent Threats: Strategije napadalcev in faze napadov.
Praktična vaja: Prepoznavanje APT vzorcev v omrežnem prometu.

Pivoting: Koncept pivotinga za dostop do notranjih omrežij.
Praktična vaja: Uporaba SSH tunelov za prehod na ciljne naprave.

2. dan: Spletne aplikacije in eskalacija pravic

Teme: Napadi na spletne aplikacije (WebApps) in eskalacija uporabnikov v Linuxu

WebAPP napadi

Brute-force: Tehnike za gesla in kako se braniti.
Command Injection: Izvajanje ukazov prek ranljivih aplikacij.
CSRF: Napadi na uporabniške seje.
SQL Injection: Eksfiltracija podatkov iz baz.
XSS: Vbrizganje zlonamerne kode v brskalnik.
File Inclusion: Dostop do občutljivih datotek na strežniku.
Praktična vaja: Simulacija napadov na testne spletne aplikacije.

Linux eskalacija pravic

Prepoznavanje slabih konfiguracij.
Izkoriščanje ranljivih avtomatiziranih opravil.
Zloraba binarnih datotek z dvignjenimi pravicami.
Praktična vaja: Eskalacija pravic na simuliranem sistemu.

3. dan: Windows in AD napadi

Teme: Napadi na Windows sisteme in Active Directory (AD)

Napadi na Windows

Uporaba ponovljenih gesel za dostop.
Izkoriščanje slabih nastavitev omrežnih datotečnih storitev.
Tehnike, kot sta Pass-the-Ticket in Golden Ticket.
Pridobivanje dostopa prek ranljivih baz podatkov.
Praktična vaja: Simulacija napadov na Windows okolje.

Active Directory

Struktura in pogoste ranljivosti.
Izkoriščanje ranljivosti z različnimi orodji.
Praktična vaja: Napad na testno AD okolje.

4. dan: Napadi na PKI infrastrukturo

Teme: Razumevanje in zloraba PKI infrastrukture

Kaj je PKI (Public Key Infrastructure)?

Mehanizmi delovanja certifikatov in ključev.
Napake v konfiguracijah PKI sistemov.
Napadi na PKI

Prepoznavanje in izkoriščanje slabih konfiguracij.
Kraja in uporaba digitalnih certifikatov.
Praktična vaja

Simulacija napadov na PKI infrastrukturo.
Prepoznavanje in odpravljanje slabih nastavitev.

5. dan: Final Exam – Zaključni preizkus

Praktični izpit: Vdor v simulirano okolje

Udeleženci bodo prejeli pripravljeno simulirano okolje, ki bo vključevalo različne sisteme in ranljivosti (Linux, Windows in spletne aplikacije).

Cilji:

1. Ugotoviti ranljivosti.
2. Pridobiti dostop do sistemov.
3. Eskalirati pravice.
4. Dokumentirati ugotovitve in predlagati rešitve za izboljšanje varnosti.

Ocenjevanje:

1. Uspešnost pri identifikaciji ranljivosti.
2. Učinkovitost izvedenih tehnik.
3. Kakovost pripravljenega končnega poročila.

Certificiranje

Vsak posameznik, ki bo uspešno zaključil izobraževanje, bo prejel zasluženo priznanje za svoje dosežke in prizadevno delo. Udeleženci bodo ob zaključku prejeli certifikat, ki potrjuje pridobljeno znanje in veščine na področju etičnega hekinga in penetracijskega testiranja. Poleg tega bo vsak prejemnik nagrajen z častnim kovančkom, ki simbolizira predanost, vztrajnost in izjemne rezultate, dosežene med izobraževanjem. Kot dodatno priznanje za vložen trud in angažiranost pa bodo udeleženci prejeli še simbolično nagrado, ki predstavlja motivacijo za nadaljnji razvoj na tem področju. Ta kombinacija nagrad poudarja pomen truda, znanja in zavzetosti pri doseganju ciljev.

Pogosto zastavljena vprašanja (FAQ)

Kaj je napredno etično hekanje?

Napredno etično hekanje vključuje poglobljene tehnike in orodja za identifikacijo in odpravljanje ranljivosti v sistemih. Namen je simulirati napade in izboljšati varnostne ukrepe organizacij, brez povzročanja škode.

Kakšne predhodne izkušnje so potrebne?

Priporočljivo je, da imate:

Sposobnost razmišljanja izven okvirjev in pripravljenost na raziskovanje.
Osnovno znanje penetracijskega testiranja.
Razumevanje operacijskih sistemov Windows in Linux.

Kako dolgo traja program?

Program traja 5 dni in poteka na določeni lokaciji, kjer boste imeli dostop do vseh potrebnih orodij, infrastrukture in podpore za uspešno zaključitev izobraževanja. Lokacija bo navedena ob prijavi, program pa je zasnovan tako, da omogoča intenzivno in osredotočeno učenje z neposredno praktično uporabo znanja.

Koliko ur na dan traja program?

Program traja 8 ur dnevno z vmesnimi odmori za počitek, malico ali kosilo. Predviden čas trajanja predavanj je od 8:00 do 16:00. Po potrebi boste lahko zastavljena vprašanja poslali tudi prek kanalov za komunikacijo in vam bomo glede na časovno razpoložljivost odgovorili izven terminskega časa izobraževanja.