Hacking v praxi 2

Přijď prozkoumat tajuplný svět hackingu a množství jeho jednotlivých zákoutí. Průvodcem na této cestě Vám bude zkušený etický hacker s mnohaletou praxí, který se s Vámi podělí o své zkušenosti.

Pozor! Při zakoupení obou školení v balíčku Hacking v praxi 1 + Hacking v praxi 2 ušetříte 4 000 Kč.

Co se na školení naučíte

Jak zmapovat síť a vyhlédnout vhodné cíle? Jak identifikovat zranitelnosti v serverových službách a jak skrze ně získat přístup na server? Jak dále eskalovat privilegia? Jak kompromitovat uživatelskou stanici s MS Windows? A jak tomu zabránit? Jaké jsou nejzávažnější zranitelnosti webových aplikací? Je vaše VoIP infrastruktura zranitelná? Co je to Darknet a co OSINT? Jakými prostředky bankomat brání útočníkům, aby se dostal k uloženým penězům? Jde se k těmto penězům dostat bez použití hrubé síly? Lze hacknout auto? А co mobilní telefon?

To vše a mnohé další bude zodpovězeno v rámci kurzu Hacking v Praxi 2, který přímo navazuje na kurz Hacking v Praxi 1.

Pro koho je školení určeno

• Správci sítí a systémoví administrátoři
• Programátoři, vývojáři testeři
• Zájemci o práci etického hackeru či nadšenci do IT Security obecně

Potřebné znalosti účastníka

• Znalost prostředí operačních systémů Windows a Linux
• Základní orientace v problematice bezpečnosti v sítích TCP/IP.

Náplň školení

Osnova školení vychází z dlouholeté praxe zkušeného etického hackera a pokrývá různorodá témata z oblasti počítačové bezpečnosti s důrazem na předání zkušení z reálných penetračních testů, útoků a jejich analýzy.

Síťová bezpečnost

• Kali Linux – seznámení
• Průzkum sítě
• Skenování portů
• Identifikace operačních systémů a služeb
• Identifikace zranitelností a srovnání Vulnerability scannerů
• Exploitace – živá ukázka postupu hackera
• Eskalace privilegií
• Metasploitable2 a Metasploitable3
• Vulnhub a HackTheBox
• Praktická demonstrace kompromitace několika zranitelných serverů
• Linux – Ukládání hesel a jejich cracking
• Linux – Extrakce plaintext hesel z paměti
• Red Teaming, Purple Teaming

Hacking pracovní stanice

• Útoku prostřednictvím fyzického přístupu
• Metody eskalace privilegií
• Útok na systémové služby
• Startup Repair Attack
• Sticky Keys Attack
• Firewire Inception Attack
• Cold Boot Attack

Zabezpečení pracovní stanice

• Role antiviru
• Šifrování
• Aktualizace
• Fyzické zabezpečení

Bezpečnost webových aplikací

• Metodika OWASP Testing Guide
• OWASP Top 10
• SQLi, XSS, CSRF, XXE, …
• Živá demonstrace jednotlivých zranitelností
• Porovnání nástrojů
• Zkušenosti z penetračních testů webů

Bezpečnost VoIP

• SIP Caller number / name spoofing
• SIP Denial of Service
• Odposlech hovorů
• Zranitelnosti koncových VoIP telefonů
• Kompromitace ústředny

Bezpečnost mobilních telefonů

• Sběr dat o uživatelích v systémech Android, Apple iOS a Windows Mobile
• Ukládání historie a zajímavé soubory
• SMS of Death
• Šifrování hovorů
• Vektory útoku na komunikaci
• Fyzická bezpečnost
• Pattern vs PIN
• Smudge Attack, Spearphone Attack
• Obcházení biometrické autentizace

Zabezpečení bankomatu v praxi

• Popis HW a SW bankomatů používaných v ČR
• Popis zabezpečení a zranitelných míst
• Ukázky typů útoků
• Money Jackpotting
• Skimming
• Fyzické útoky
• Zkušenosti z reálných penetračních testů bankomatů

Hacking automobilů

• Útoky na centrální odemykání
• Útoky na senzory
• Útoky na CAN sběrnici

Ekosystém Darknetu

• Anonymizační sítě, Deepnet a darknet, TOR a jeho struktura
• Hidden Service – včetně reálných ukázek
• Black Markety jeho zboží a služby
• Drogy, zbraně, falešné bankovky, pasy, …
• Praní špinavých Bitcoinů
• Útoky v síti TOR (deanonymizace uživatelů, poskytovatelů služeb, Hidden Services)
• Největší TOR a Bitcoin aféry

Hackerské nástroje NSA

• Analýza ShadowBrokers úniku hackerských nástrojů
• Praktická ukázka a popis jednotlivých nástrojů a exploitů
• EternalBlue, EternalRomance, EternalSynergy, EternalChampion
• Fuzzbench, DoublePulsar, DanderSpritz

Sociální sítě – Velký bratr a anonymita

• Přehled sociálních sítí se zaměřením na Facebook
• Sběr dat o uživatelích a stínové profily
• Facebook Graph API Explorer
• Možnost zneužití útočníky
• Sledování Googlem

Steganografie

• Historie
• Moderní využití včetně příkladů
• Podprahová reklama
• Microdotting – konspirační teorie nebo skutečnost?
• Ukázka na aféře úniku dat z NSA
• Skrytí souboru do jiného souboru
• Alternate Data Stream v NTFS systémech

DoS a DDoS útoky

• Botnety a jejich vývoj, Trendy
• Útoky zahlcením linky
• Amplification attack
• Slow HTTP DoS
• Hash Collision DoS
• XML Bomb
• DDoS jako služba, ukázka nabídek
• DDoS jako prostředek vydírání

Na školení je nutné

Mít vlastní notebook! Nainstalovaný (VirtualBox / VMware + Kali Linux) výhodou.

Co je v ceně školení

• certifikát absolventa školení
• elektronické, příp. tištěné materiály a podklady
• oběd v restauraci, teplé i studené nápoje po celý den

V případě nepříznivé virové situace bude školení probíhat online!

Školení bude probíhat na platformě Zoom (https://zoom.us/), účastníci obdrží ID konference, do které se připojí.