ENSA - Biztonságcentrikus rendszerüzemeltetés

EC-Council Network Security Administrator

Az ENSA több mint egy sima hálózatbiztonsági tanfolyam. Az ENSA egy gondolkodásmód. Biztonságcentrikus gondolkodásmód, mely lehetővé teszi, hogy informatikai rendszereinket biztonságosabban üzemeltessük.

Az IT-biztonsággal kapcsolatos legfrissebb jelentések szerint a biztonsági problémák több mint 90%-át üzemeltetési hiba okozza. Ezek 70%-át egyszerű műveletekkel meg lehetett volna akadályozni. De ami a legmegdöbbentőbb, az adatvesztések, lopások 70%-ára külsősök hívják fel a figyelmet - az érintett cégek többségénél még csak észre sem veszik az adatok illetéktelen kezekbe jutását! A megoldás a biztonságcentrikus gondolkodásmód elterjesztése. Nem véletlen, hogy amerikai kormányzati körökben minden informatikustól elvárják, hogy CNSS NSTISSI-4011-es minősítéssel rendelkezzen. Ez az út. Ez a jövő.

Kiknek ajánljuk az ENSA-képzést?

A biztonságcentrikus gondolkodásmód minden informatikus számára létfontosságú. Azoknak is ajánljuk a tanfolyamot, akik már elvégeztek korábban egy hálózatbiztonsági képzést, mert a fejlődés nem állt meg, az IP, az SSL, az IPSEC, WiFi stb. újdonságainak elsajátítására ez az egyhetes tanfolyam kiválóan alkalmas.

Így ír erről a HWSW: http://www.hwsw.hu/hirek/43293/netacademia-biztonsag-oktatas-rendszergazda-uzemeltetes.html

A tanfolyam weboldala: http://netacademia.net/Tanfolyam/ENSA

Az elmúlt években a „tudásalapú társadalom” fokozatosan leértékelte a hagyományos állami diplomákat szerte a világon, azon egyszerű oknál fogva, hogy diplomája ma már mindenkinek van, és az ráadásul szinte biztosan elavult (öt éves!) tudást takar. Ezzel szemben fokozatosan felértékelődnek a speciális szaktudást bizonyító iparágspecifikus minősítések. Egyre nagyobb az igény, hogy szélesebb körben sok-sok iparág számára elérhetővé váljanak a saját, egyedi minősítési rendszerek.

Ismerünk több olyan vizsgáztatórendszert, amely erre a célra jött létre, de szolgáltatásaik alapvetően elérhetetlenek a „normális méretű” vállalkozások számára. Ügyfeleik a nagyonmultik, és az egész infrastruktúra, valamint az árképzés a hatalmas cégek igényeire épül. Emellett ezek a cégek meglepően rugalmatlanok, vizsgarendszereik elavultak, sok esetben vizsgaszoftvereik instabilak is, ami teljes nonszensz – lenne, ha nem lennének monopolhelyzetben.

Úgy tűnik, eljött az idő egy modern, rugalmas, méretezhető, bárki számára elérhető vizsgáztatási és minősítési rendszer létrehozására. Ez lesz a NetAcademia által fejlesztett SilverExam, mely a Microsoft Silverlight –technológia lehetőségeit kihasználva egyszerre lesz online és offline futtatható, minden részletében multimédiás képességekkel felruházott, közösségteremtő, ingyenes, de egyben akár profittermelő, a cégek számára presztízsnövelő kézi készülék.

A rendszert nem a nulláról, hanem a Tocsi által még 2000-ben „megölt”, de zombiként azóta is funkcionáló, az országban sok helyen még ma is használt, sokak által ismert, IE4-re „optimalizált” vizsgarendszer, a VOK tapasztalataira építve készítjük el. A belső működés logikája – a vizsgáztatás tekintetében – adott, bevált, jól működik. Néhány funkció, amelyet egy az egyben átveszünk: a VOK erőssége a vizsgakeverés, vagyis „egyedi” vizsgák előállítása egy nagy kérdéshalmazból, valamint „egyedi” kérdések előállítása több helyes és sok helytelen válasz megfelelő kombinálásával. Átvesszük a jól átgondolt pontozási rendszert is, amely ügyesen kikerüli az olyan csapdákat, hogy ha két válasz jó az ötből, de te mindent bepipálsz, nyertél :)

Erre kell ráhúznunk egy új bőrt, majd megvalósítanunk az új funkcionalitást, ami a következő: a SilverExam különlegessége, hogy egyfajta közösségi szolgáltatás is egyben, lehetővé teszi, hogy bárki vizsgakérdéseket gyártson, azt értékesítse, és ebből bevételre tegyen szert. Ez a megoldás próbál választ adni a vizsgarendszerek egyik legégetőbb problémájára, hogy a kérdések elkészítése örök probléma, arra valahogy már sohasem marad energia. A kérdésgyártás kinyitásával a közösség elé visszük a problémát, és ez megsokszorozza a kérdésgyártók körét. Természetesen a kérdések minőségi besorolása is megvalósításra kerül (a gagyitól a profiig).

A SilverExam bárki számára lehetővé teszi, hogy vizsgákat és „diplomákat” hozzon létre, amelyek szintén bárki számára, vagy akár zárt, meghívásos körben elérhető legyen. Költségszempontból a SilverExam teljesen rugalmas, a vizsgaárakat a vizsga kiírója találja ki és adja meg.

A kérdések értékesítése és a közösségi bevételgenerálás a vizsgán keresztül zajlik: az esedékes díjat a vizsgázó (és nem a vizsgáztató) fizeti, így a fizetős kérdések beépítése más vizsgákba nem a vizsgáztatót terheli: a vizsga kiírója vizsgakérdés-viszonteladó is egyben.

Reményeink szerint ezzel az „alkotással” nemcsak a saját igényeinket (NetAcademia) fogjuk kielégíteni, mert más cégek, vállalkozások is értik, érzik, hogy saját minősítési rendszer felépítésével nemcsak szakembereiket, hanem önmagukat is építik. Egyéni minősítési rendszer kialakítása = hosszú távon garantáltan megtérülő presztízsberuházás.

És hogy mikor lesz kész? Ma, október 29-én még alfa változatunk sincs, de van egy határidőnk, december 21-e, ha jól emlékszem. Az egész elképzelést bepályáztuk a Microsoft Metro programba, melyrőll ebben a blogban lehet olvasni: http://www.shanmcarthur.net/microsoft-partner-program/metro. Lesz majd bétatesztelésünk, meg ilyesmi. Majdnem két hónap nagy idő, ez alatt hegyeket lehet elhordani, nemhogy egy vacak kis vizsgaszoftvert megírni! Reméljük...

A fiam a nyári táborozásból úgy jött vissza, hogy már csak újmagyarul tud beszélni. A fiatalság ugyanis felfedezte a magyar nyelvben eleve megbúvó, de felfedezésre váró lehetőséget, az automatikus ragozást. Itt vannak mindjárt az automatikus tárgyeset mintapéldái: sajt, bot, és minden t-végű szó. Van ám más is: automatikus részeshatározó: tányér, szekér, na és persze az egér. Na ebből a kettő fajtából most alkotok mondatot is, hogy mi öregek is ércsük:

-Kimegyek a konyhába tányér' és teszek rá sajt - mondja a fiam tévézés közben. Nekem meg hirtelen feláll a hátamon a szőr :)

Az idegen szavak sem kivételek, például a Michelin szó (a gumiabroncs) automatikus helyhatározót tartalmaz. Min gurul ez a kamion? Mislen. Rengeteg szó automatikus birtokos esetben van: lámpa, alma, szoba stb. Kié ez a lámp? Ez itt a Zoli lámpa.

Mit kenegetnek a bácsik szét az úton? Aszfalt.

Na kábé ennyi. Időhatározós példán nem gondolkodtam, de jöhet, aki szeretne lefárasztani, ne kíméljen!

 

Írtam erről a WiZiQ-ról. Az első éles bevetésen, 82 főnyi Linux-tanfolyam hallgatósága előtt a videómegosztási képessége berosált. 25-30 másodperces késés a hanghoz képest az messze az elviselhetetlen felett van, erre jött rá, hogy videót közvetít a szerencsétlen (MPEG), vagyis olyan kockás a kép, hogy "öröm" nézni. Nem bántom tovább a WiZiQ-t, atöbbi dolga máig szuper, használjuk is rendesen. 

Régi fixa ideám, hogy a képernyőképet nem videóként kell sem rögzíteni, sem továbbítani. Elkezdtem nyomozni RDP-alapú megoldás után, és rá is bukkantam arra az infóra, hogy a Windowsban például API-szinten rendelkezésre áll az RDP-közvetítés, csak nem írták meg. Ahogy így nyomulok fel-alá, találtam egy több mint kiváló megoldást. Nulla másodperc késleltetés, tűéles kép, villámgyors, 82 nézővel letesztelve. Egy mini webszerver, amelyik mindig lekapja az éppen aktuális ablak képét, csinál belőle egy JPEG-et, és böngészőből lehet nézni. A saját weblapja olyan html-t ad ki a kliensnek, amelyik a szerveren beállított frekvenciával újrakéri a képeket, és ennyi a megoldás. 

Ingyenes. Próbáljátok ki, oktatáson kívül valszeg másra is jó lehet. A neve: ScreenStream. 360 kilobájt, felfér egy 3 és feles flopira . Már persze ha az DD-s :-D

Még a nyáron - titokban - írtam egy ASP.NET könyvet. Hogy miért nem tettem ki eddig, arra ugyan van magyarázat, de irracionális, úgyhogy hagyjuk. Ezennel közreadom:

Napra pontosan három hónappal a Boltamarson.com indulása után (2009. június 29.-én) belevágtam a régóta ígérgetett becsületkassza megvalósításába. A Boltamarson weboldalt nem én fejlesztettem, hanem a hírekből is ismert Kátai Sándor, és az volt a haditerv, hogy mindvégig ő fejleszti ezt a rendszert, hiszen ha megcsinálni megtudta, karbantartani csak tudja, nem? Látszik, hogy mekkora adag naivitással vágtunk bele ebbe a projektbe. Az idő előrehaladtával a fejlesztési feladatok mennyisége nem csökkent, hanem egyenesen nőtt, és nem lassuló, hanem gyorsuló ütemben. Egy pár hete világossá vált, ha nem kezd bele a munkába mégegy programozó, a feladatok maguk alá temetik Sanyit, és a becsületkassza sem jön létre soha.

Fóti Marcell
kötöttpályás programozó
webwállalkozó

Így történt, hogy botcsinálta programozóként magam estem neki a fizetéssel kapcsolatos önálló weboldal, a Bankamarson.com fejlesztésének. Annak ellenére, hogy aktívan nem programozok és nem is tanítom J, a kollégáim tapasztalatait és elveit ellopva mégiscsak el tudtam készíteni a programot. És kifejezetten, nagyon-nagyon élveztem a munkát!

Az a sok okosság, ügyes technológiaválasztás, előrelátás és tervezés, ami ebben a doksiban van, úgy jött létre, hogy hiányos alaptudásomat telefonos segítséggel egészítettem ki, és valahányszor nekimentem a betonfalnak, csörgettem a vonal túlsó végén a megfelelő szakembert: Katit, Tocsit, Zolit, a NetAcademia Oktatóközpont tanárait.

Műfaját tekintve ez a dolgozat egy regény. Az elején kell elkezdeni olvasni, és a végén kell abbahagyni. Lehet benne ugrálni és keresni, de kereszthivatkozások vannak benne, így ha valaki ugrik pár fejezetet, nem fogja érteni az oda-vissza utalásokat.

Kiknek írtam? Olyanoknak, akik már pedzegették az ASP.NET-et, és egy komolyabb munkába szeretnének már végre belevágni. Ez a megközelítés azért fontos, mert rávilágít arra, mi nincs ebben a könyvben. Nincs benne a Visual Studio és az ASP.NET tételes, átfogó ismertetése a bal felső saroktól a jobb alsóig. Nem fogok fölülről lefelé végigmenni a Toolbox triviális elemein. „Normális” könyvekben a legelső vezérlő, amivel foglalkozik a szerző, a Label. Nálam ez a vezérlő valahol a hatvanadik oldal táján bukkan fel, mert akkor lesz rá először szükség.

Töltsd le az egész doksit (100 oldal :-).

Hogy ez akkor most konkurense az asp.net tanfolyamainknak? Nem hinném. Ez "csak" egy másik nézőpont. Úgyhogy még mindig van értelme jelentkezni a Nagy Dotnet Képzésre :)

Mint azt egy korábbi írásomban jeleztem, az online kommunikáció tökéletes felforgatására készül a Google a Wave nevű bigyóval. No kérem, elérhető a cucc a wave.google.com címen. Az egyetlen baj, hogy már megint szórakoznak a meghívókkal, így "csak úgy" nem engednek be. Ha valaki esetleg meg tudna hívni, mert valamilyen csoda folytán bent van már, tegye már meg legyen szíves!

Nemzetközi elismerés a hazai IT-biztonsági oktatásnak

A szeptember végén Miamiban megrendezett Hacker Halted konferencián az IT-biztonság oktatása terén elért kiemelkedő eredményeiért szakmai kiválóság díjat kapott a NetAcademia Oktatóközpont. Tovább...

 

 

No nézd csak, mit talált Ago kínjában! Linux tanfolyam indul a jövő héten az IT Factoryban, és hát kissé problematikusnak tűnt az az ötlet, hogy ezt is Microsoft Live Meetinggel közvetítsük a Linuxos hallgatóság nagy örömére. Vergődtünk így, vergődtünk úgy, és Ago ezt találta: http://www.wiziq.com

Ez egy online oktatási célszerszám, és szociális háló és fizetési és jövedelemelosztási rendszer és tartalommegosztó és... ez baromi jó! Ne felejtsük el, hogy "más gyártók" termékeitől eltérően teljesen ingyenes. Ígéretük szerint még hallgatókat is vadásznak Neked - bár ebben nem hiszek. Gyorsan ki is próbáltuk a Wirtuális Tantermet még innen Hágából, hogy mennyire élvezhető Magyarországon az adás, és azt kell mondjam, pöpec.

Most pedig feltöltöttem egy pépétét (mindenféle formátumot fel lehet töltetni), amit a szájton is lehet lapozgatni, meg be lehet ágyazi ahova jólesik. Például ide. Először kicsiben:

Majd nagyban is a változatsság kedvéért:

Az online órarendről és egyéb nyalánkságokról már nem is beszélek!

Napjainkban a legsikeresebb hackertámadási mód az emberek átejtése a palánkon: a social engineering. Minek hosszú napok munkájával megtörni egy jelszót, ha a tulajdonosa egy Sport szeletért cserében megmondja?

A már korábban említett Verizon Data Breach Reportból is látszik, hogy az adatvesztések-adatlopások 110%-a emberi izére vezethető vissza, sok esetben social engineeringre, vagy kombinált támadásra. Hogyan lehet ellene védekezni? A hagyományos SE Awareness tanfolyamok teljesen hatástalanok, mert általában van bennük egy sereg jó kis anekdota, milyen hülyék voltak mások, majd jól megmondják, hogy ne legyél hülye. Csakhogy "az a gyanús, ami nem gyanús!"

Az egész Social Engineering arról szól, hogyan helyezhető át egy áldozat olyan környezetbe, kontextusba, hogy minden tette, amit elkövet, továbbra is helyesnek látszik. Lássunk egy példát. Hogyan veszel rá egy böcsületes, kockafejű katonát háborús helyzetben, hogy tagadja meg a parancsot? Hát nem érvekkel és kéréssel, az tuti. Hanem a valóság megváltoztatásával. Elég, ha "megtudja", hogy a felettese áruló. Magától dezertálni fog :)))))

Na valami ilyesmi. A kontextus hatalma. Az áldozat minden tette teljesen helyes AZ ÚJ VALÓSÁGBAN. Nesze neked "ne légy hülye, te kis hülye"!

Az SE eme vetületéről nem sokan vesznek tudomást. Most azonban összeállt egy team, és elkezdte tudományos alapokra helyezni a megtévesztés művészetét. Most zajlik egy redszerezett gyűjtemény, Framework összeálltása, melyet szeptember 1-én publikáltak. Itt található: http://www.social-engineer.org/framework/Social_Engineering_Framework. A csapat vezetője egy magyarnak tűnő (valami Hadnagy nevű) ember, nem tudom, tényleg magyar-e, de már ez is igen jó hír, hiszen közismert, hogy milyen zseniálisok a magyarok, még akkor is, ha nem is magyarok :))))

Mindig csodálkoztam, hogyan képesek emberek zero day exploitot találni mindenféle programban. Emlékszem, a NetAcademia indulásakor, amikor még annyira üres volt a lap, hogy kínkeservvel tudtam csak valamivel megtölteni, már akkor is ez foglalkoztatott. Így hát felraktam egy bögredíjat annak, aki talál nekem egy új bugot. Megtaláltam az eredeti lapot az archive.org-on, bár a bögrés "jelenet" nincs rajta, de azért öröm nézni, mennyire béna. Például a logó. http://web.archive.org/web/20001017183219/http://www.netacademia.net/

Mondanom sem kell, egyetlen bugot sem küldött be soha senki, pedig hosszú ideig "árultam" a bögrét. Ebből le is szűrtem a tanulságot, hogy bugot találni nem lehet, aki talál, az vagy hülye bitember, vagy szerencsés flótás.

Ez a hitem ezen a héten rendült meg, az ECSA-tanfolyamon. Képzeljétek, saját zero day exploitot fejlesztettünk a tanfolyamon egy FTP szerverhez, majd jól betoltuk a metasploit frameworkba, hogy mindenféle ügyes payloaddal meg lehessen hívni. Mindig mondtam, hogy az ECSA egy HiperHekker-képző, csak éppen nem tudtam, hogy ENNYIRE az. Jó, benne van a tananyagban olyan, hogy exploit készítése, na de hogy tényleg, működőképesen megcsináljuk, ezt meg kellett tapasztalnom ahhoz, hogy elhiggyem. Petya, le a kalappal!

Ahhoz, hogy az ember saját exploittal állhasson ki a "világpiacra", megfelelő szerszámok kellenek. Ilyenek a fuzzerek, vagy másképpen összezavarók. Ezek a bigyók arra valók, hogy strukturált, tervezett módon szórjanak érvénytelen adatot az alkalmazások mindenféle testnyílásába (nyitott port, ablak, registrykulcs, inputfájl stb.), melytől azok általában megdöglenek. Amint megvan az elhasalás, onnantól következik az agymunka: vajon az adott lefagyás helyett tudunk-e saját kódot futtatni? Mondjuk egy jó kis távoli hozzáférést elindítani az áldozat gépén, vagy létrehozni egy adminfelhasználót - ilyesmik.

Ha ez is megvan (a tanfolyamon 3 óra, a valóságban 3 hét), már meg is állhatnánk, mert bizonyítást nyert, hogy van egy frankó, kihasználható biztonsági rés egy adott progiban. De a játék folytatódik: a Metasploit Framework alá beíllesztve igen kényelmesen váltogathatunka különböző payloadok között!