Εκπαίδευση Μηχανικού DevSecOps EC-Council (ECDE) Κομμάτι εκπαίδευσης

Το Certified Ethical Hacker (C|EH® v13 AI) είναι ένα εξειδικευμένο και μοναδικό εκπαιδευτικό πρόγραμμα που σας διδάσκει όλα όσα χρειάζεστε για την ηθική χάκινγκ με πρακτική εκπαίδευση, εργαστήρια, αξιολόγηση, μια προσομοίωση εμπλοκής (πρακτική εξάσκηση) και παγκόσμιο διαγωνισμό hacking. Παραμείνετε μπροστά με τις πιο περιζήτητες δεξιότητες που απαιτούνται για να επιτύχετε στον τομέα της κυβερνοασφάλειας.

Το μάθημα είναι διαπιστευμένο από το EC-Council και διεξάγεται από διαπιστευμένο εκπαιδευτή με τη χρήση διαπιστευμένων υλικών και εκπαιδευτικού περιβάλλοντος.

Αυτό είναι το διαπιστευμένο εκπαιδευτικό πρόγραμμα Certified Ethical Hacker που προετοιμάζει για την εξέταση Certified Ethical Hacker 312-50.

Η υλοποίηση μιας ασφαλούς δικτυακής εφαρμογής μπορεί να είναι δύσκολη, ακόμα και για προγραμματιστές που έχουν ήδη χρησιμοποιήσει διάφορα κρυπτογραφικά δομικά στοιχεία (όπως κρυπτογράφηση και ψηφιακές υπογραφές). Για να βοηθήσουμε τους συμμετέχοντες να κατανοήσουν τον ρόλο και τη χρήση αυτών των κρυπτογραφικών πρωτογενών, παρέχεται πρώτα ένα στέρεο υπόβαθρο στις βασικές απαιτήσεις της ασφαλούς επικοινωνίας – ασφαλής επιβεβαίωση, ακεραιότητα, εμπιστευτικότητα, απομακρυσμένη ταυτοποίηση και ανωνυμία – ενώ παράλληλα παρουσιάζονται τα τυπικά προβλήματα που μπορούν να βλάψουν αυτές τις απαιτήσεις, μαζί με πραγματικές λύσεις.

Καθώς κρίσιμη πτυχή της ασφάλειας δικτύων είναι η κρυπτογραφία, συζητούνται επίσης οι σημαντικότεροι κρυπτογραφικοί αλγόριθμοι στη συμμετρική κρυπτογραφία, τον κατακερματισμό, την ασύμμετρη κρυπτογραφία και τη συμφωνία κλειδιών. Αντί να παρουσιάζεται ένα εις βάθος μαθηματικό υπόβαθρο, αυτά τα στοιχεία αναλύονται από την οπτική του προγραμματιστή, δείχνοντας τυπικά παραδείγματα περιπτώσεων χρήσης και πρακτικές σκέψεις σχετικά με τη χρήση της κρυπτογραφίας, όπως οι υποδομές δημοσίου κλειδιού. Εισάγονται πρωτόκολλα ασφαλείας σε πολλές περιοχές της ασφαλούς επικοινωνίας, με εις βάθος συζήτηση των πιο ευρέως χρησιμοποιούμενων οικογενειών πρωτοκόλλων, όπως IPSEC και SSL/TLS.

Συζητούνται τυπικές κρυπτογραφικές ευπάθειες, τόσο σε σχέση με συγκεκριμένους κρυπτογραφικούς αλγορίθμους όσο και με κρυπτογραφικά πρωτόκολλα, όπως BEAST, CRIME, TIME, BREACH, FREAK, Logjam, Padding oracle, Lucky Thirteen, POODLE και παρόμοια, καθώς και η επίθεση χρονισμού RSA. Σε κάθε περίπτωση, περιγράφονται οι πρακτικές επιπτώσεις και οι πιθανές συνέπειες κάθε προβλήματος, και πάλι χωρίς να υπεισέρχονται σε βαθιές μαθηματικές λεπτομέρειες.

Τέλος, δεδομένου ότι η τεχνολογία XML είναι κεντρική για την ανταλλαγή δεδομένων από δικτυακές εφαρμογές, περιγράφονται οι πτυχές ασφάλειας της XML. Αυτό περιλαμβάνει τη χρήση της XML μέσα σε υπηρεσίες ιστού και μηνύματα SOAP, μαζί με μέτρα προστασίας όπως η υπογραφή XML και η κρυπτογράφηση XML – καθώς και αδυναμίες σε αυτά τα μέτρα προστασίας και θέματα ασφάλειας ειδικά για την XML, όπως η έγχυση XML, οι επιθέσεις XML External Entity (XXE), οι βόμβες XML και η έγχυση XPath.

Οι συμμετέχοντες που θα παρακολουθήσουν αυτό το μάθημα θα

• Κατανοήσουν τις βασικές έννοιες της ασφάλειας, της ασφάλειας πληροφορικής και της ασφαλούς κωδικοποίησης
• Κατανοήσουν τις απαιτήσεις της ασφαλούς επικοινωνίας
• Μάθουν για επιθέσεις δικτύου και άμυνες σε διαφορετικά επίπεδα του μοντέλου OSI
• Αποκτήσουν μια πρακτική κατανόηση της κρυπτογραφίας
• Κατανοήσουν τα βασικά πρωτόκολλα ασφαλείας
• Κατανοήσουν ορισμένες πρόσφατες επιθέσεις εναντίον κρυπτοσυστημάτων
• Λάβουν πληροφορίες για ορισμένες πρόσφατες σχετικές ευπάθειες
• Κατανοήσουν τις έννοιες ασφάλειας των υπηρεσιών ιστού
• Λάβουν πηγές και περαιτέρω αναγνώσματα για πρακτικές ασφαλούς κωδικοποίησης

Κοινό

Προγραμματιστές, Επαγγελματίες

Η συγγραφή ασφαλούς κώδικα σε C και C++ απαιτεί αυστηρή άμυνα ενάντια σε κακόβουλη εκμετάλλευση, καταστροφή μνήμης και παρακάμψεις επικύρωσης εισόδου. Το πρόγραμμα εξετάζει μοτίβα ευπαθειών όπως υπερχειλίσεις buffer, χρήση μετά την αποδέσμευση (use-after-free), υπερχειλίσεις ακεραίων και σύγχυση τύπων. Οι συμμετέχοντες εφαρμόζουν οδηγίες ασφαλούς προγραμματισμού, εργαλεία στατικής ανάλυσης και τεχνικές αμυντικού προγραμματισμού για την εξάλειψη αδυναμιών, την επιβολή καθαρισμού εισόδου και την παράδοση ενισχυμένου λογισμικού ανθεκτικού σε κυβερνοεπιθέσεις.

Ακόμη και έμπειροι προγραμματιστές Java δεν κατέχουν σε βάθος τις διάφορες υπηρεσίες ασφαλείας που προσφέρει η Java, και επίσης δεν γνωρίζουν τις διαφορετικές ευπάθειες που σχετίζονται με διαδικτυακές εφαρμογές γραμμένες σε Java.

Το μάθημα – εκτός από την εισαγωγή στα στοιχεία ασφαλείας της Standard Java Edition – ασχολείται με θέματα ασφάλειας της Java Enterprise Edition (JEE) και των υπηρεσιών ιστού. Η συζήτηση συγκεκριμένων υπηρεσιών προηγείται των βασικών αρχών της κρυπτογράφησης και της ασφαλούς επικοινωνίας. Διάφορες ασκήσεις αντιμετωπίζουν δηλωτικές και προγραμματιστικές τεχνικές ασφαλείας στη JEE, ενώ συζητιέται τόσο η ασφάλεια επιπέδου μεταφοράς όσο και η ασφάλεια από άκρο σε άκρο των υπηρεσιών ιστού. Η χρήση όλων των στοιχείων παρουσιάζεται μέσω αρκετών πρακτικών ασκήσεων, όπου οι συμμετέχοντες μπορούν να δοκιμάσουν οι ίδιοι τα συζητούμενα API και εργαλεία.

Το μάθημα εξετάζει και εξηγεί επίσης τα πιο συχνά και σοβαρά προγραμματιστικά σφάλματα της γλώσσας Java και της πλατφόρμας, καθώς και ευπάθειες που σχετίζονται με τον ιστό. Πέρα από τα τυπικά σφάλματα που διαπράττουν οι προγραμματιστές Java, οι εισαγόμενες ευπάθειες ασφαλείας καλύπτουν τόσο ζητήματα ειδικά για τη γλώσσα όσο και προβλήματα που προέρχονται από το περιβάλλον εκτέλεσης. Όλες οι ευπάθειες και οι σχετικές επιθέσεις επιδεικνύονται μέσω εύκολα κατανοητών ασκήσεων, ακολουθούμενες από τις συνιστώμενες οδηγίες κωδικοποίησης και τις πιθανές τεχνικές μετριασμού.

Οι συμμετέχοντες σε αυτό το μάθημα θα

• Κατανοήσουν τις βασικές έννοιες της ασφάλειας, της ασφάλειας πληροφοριακών συστημάτων και της ασφαλούς κωδικοποίησης
• Μάθουν ευπάθειες ιστού πέρα από το OWASP Top Ten και γνωρίσουν πώς να τις αποφεύγουν
• Κατανοήσουν έννοιες ασφάλειας των υπηρεσιών ιστού
• Μάθουν να χρησιμοποιούν διάφορα χαρακτηριστικά ασφαλείας του περιβάλλοντος ανάπτυξης Java
• Αποκτήσουν πρακτική κατανόηση της κρυπτογράφησης
• Κατανοήσουν λύσεις ασφάλειας της Java EE
• Μάθουν για τυπικά σφάλματα κωδικοποίησης και πώς να τα αποφεύγουν
• Ενημερωθούν για κάποιες πρόσφατες ευπάθειες στο πλαίσιο της Java
• Αποκτήσουν πρακτική γνώση στη χρήση εργαλείων ελέγχου ασφαλείας
• Πάρουν πηγές και περαιτέρω αναγνώσεις σχετικά με πρακτικές ασφαλούς κωδικοποίησης

Κοινό

Προγραμματιστές

Σήμερα υπάρχουν πολλές γλώσσες προγραμματισμού που επιτρέπουν τη συλλογισμό κώδικα σε περιβάλλοντα .NET και ASP.NET. Το περιβάλλον αυτό παρέχει ισχυρά εργαλεία για την ανάπτυξη ασφαλείας, αλλά οι προγραμματιστές θα πρέπει να γνωρίζουν πώς να εφαρμόζουν τεχνικές προγραμματισμού σε επίπεδο αρχιτεκτονικής και κώδικα, ώστε να υλοποιούν την επιθυμητή λειτουργικότητα ασφαλείας, να αποφεύγουν ευπάθειες ή να περιορίζουν την εκμετάλλευσή τους.

Στόχος αυτού του σεμιναρίου είναι να διδάξει τους προγραμματιστές, μέσω πληθώρας πρακτικών ασκήσεων, τον τρόπο πρόληψης εκτέλεσης ευprivileged ενεργειών από μη αξιόπιστο κώδικα, προστασίας πόρων μέσω ισχυρών μηχανισμών ταυτοποίησης και εξουσιοδότησης, παροχής κλήσεων διαδικασίας από απόσταση (remote procedure calls), διαχείρισης συνεδριών, εισαγωγής διαφορετικών υλοποιήσεων για συγκεκριμένες λειτουργικότητες και πολλών άλλων.

Η εισαγωγή διάφορων ευπαθειών ξεκινά με την παρουσίαση τυπικών προβλημάτων προγραμματισμού που συνδέονται με τη χρήση του .NET, ενώ η συζήτηση για τις ευπάθειες του ASP.NET ασχολείται επίσης με διάφορες ρυθμίσεις περιβάλλοντος και τις επιπτώσεις τους. Τέλος, το θέμα των ευπαθειών που είναι συγκεκριμένες για το ASP.NET δεν ασχολείται μόνο με ορισμένες γενικές προκλήσεις ασφαλείας των εφαρμογών web, αλλά και με ειδικά ζητήματα και μεθόδους επίθεσης, όπως η επίθεση στο ViewState ή οι επιθέσεις κατάληξης συμβολοσειράς.

Τα άτομα που θα παρακολουθήσουν αυτό το σεμινάρια θα

• Κατανοήσουν τις βασικές έννοιες της ασφάλειας, της ψηφιακής ασφάλειας και της ασφαλούς προγραμματιστικής πρακτικής
• Μάθουν για ευπάθειες web πέρα από το OWASP Top Ten και θα γνωρίζουν πώς να τις αποφεύγουν
• Μάθουν να χρησιμοποιούν διάφορες λειτουργίες ασφαλείας του περιβάλλοντος ανάπτυξης .NET
• Αποκτήσουν πρακτική γνώση στη χρήση εργαλείων δοκιμής ασφαλείας
• Μάθουν για τυπικά λάθη προγραμματισμού και τον τρόπο για να τα αποφύγουν
• Προσλάβουν πληροφορίες για ορισμένες πρόσφατες ευπάθειες στα .NET και ASP.NET
• Λάβουν πηγές και περαιτέρω βιβλιογραφία σχετικά με τις πρακτικές ασφαλούς προγραμματισμού

Κοινό

Προγραμματιστές

To μάθημα προσφέρει απαραίτητες δεξιότητες για PHP προγραμματιστές απαραίτητες για να κάνουν τις εφαρμογές τους ανθистατικές σε σύγχρονες επιθέσεις μέσω του διαδικτύου. Τα web κίνδυνα συζητούνται μέσω παραδειγμάτων βασισμένων στο PHP, πηγάζοντας από τα δέκα κορυφαία OWASP, επιτέλουν διάφορες επιθέσεις ένταξης, επιθέσεις σεναρίων, επιθέσεις κατά της διαχείρισης συνεδριών PHP, αναπήρειες άμεσων αναφορών αντικειμένων, θέματα με την κατανόηση αρχείων, και πολλά άλλα. Τα κίνδυνα σχετικά με το PHP εισάγονται ομαδοποιημένα στους κανονικούς τύπους κινδύνων, όπως η απώλεια ή εσφαλμένη επαλήθευση εισόδου, λανθασμένη διαχείριση λαθών και εξαίρεσεων, η εσφαλμένη χρήση ασφαλιστικών προϊόντων και τα προβλήματα σχετικά με την ώρα και την κατάσταση. Για αυτό, συζητούμε επιθέσεις όπως η παραίτηση open_basedir, απόβολη-διακοπή μέσω magic float ή την επίθεση σύγκρουσης hash table. Σε όλες τις περιπτώσεις, οι συμμετέχοντες θα γίνονται γνωστοί με τις πιο σημαντικές τεχνικές και λειτουργίες που θα χρησιμοποιήσουν για να αντιμετωπίσουν τα εξαιρετικά κινδύνων.

Ένα ειδικό βάρος δίδεται στην ασφάλεια πλευράς-πελάτη, εξετάζοντας τα ζητήματα ασφαλείας του JavaScript, Ajax και HTML5. Παρουσιάζονται μια σειρά από ασφαλειακές επεκτάσεις PHP όπως hash, mcrypt και OpenSSL για την κρυπτογράφηση, ή Ctype, ext/filter και HTML Purifier για επαλήθευση εισόδου. Οι καλύτερες πρακτικές σκληροποίησης δίνονται με σχέση με την ρύθμιση PHP (setting php.ini), Apache και του διακομιστή. Τέλος, δίδεται μια γενική εικόνα σε διάφορα ασφαλειακά εργαλεία και τεχνικές που οι προγραμματιστές και οι δοκιμαστές μπορούν να χρησιμοποιήσουν, συμπεριλαμβανομένων των ασφαλειακών σανίδων, επίθεσης και εκμετάλλευσης πακέτων, διαχύνατρων, ιδιοκτήτης διακομιστών, εργαλείων βέβαιου αποσκόπησης και στατικών αναλυτών πηγαίου κώδικα.

Η εισαγωγή των κινδύνων και οι πρακτικές ρύθμισης υποστηρίζονται από μια σειρά διευθυνόμενων εργασιών που δείχνουν τα αποτελέσματα επιτυχημένων επιθέσεων, υποδεικνύουν πώς να εφαρμοστούν τεχνικές αντιμετώπισης και ξεκινούν τη χρήση διάφορων επεκτάσεων και εργαλείων.

Οι συμμετέχοντες που συμμετέχουν σε αυτό το μάθημα θα

• Κατανοήσουν βασικά επιστημονικά όρια ασφαλείας, IT ασφαλείας και άμειρας κώδικα
• Μεταθέσουν Web κινδύνων πέρα από το OWASP Top Ten και θα γνωρίζουν πώς να τα εξαλείψουν
• Μεταθέσουν πλευρά-πελάτης κινδύνων και άμειρας κώδικα
• Έχουν βασική κατανόηση της κρυπτογράφησης
• Μεταθέσουν χρησιμοποίηση διάφορων ασφαλειακών προϊόντων του PHP
• Μεταθέσουν συνήθεις λάθη κώδικα και πώς να τα εξαλείψουν
• Ενημερωθούν για πρόσφατους κινδύνους στο PHP framework
• Θα έχουν πρακτική γνώση χρήσης ασφαλειακών εργαλείων δοκιμής
• Ενημερωθούν για πηγές και περαιτέρω μάθηση σχετικά με την άμειρα κώδικα

Δυστυχία

Προγραμματιστές

Η συνδυασμένη εκπαίδευση SDL Core προσφέρει μια εις βάθος κατανόηση του ασφαλούς σχεδιασμού, ανάπτυξης και ελέγχου λογισμικού μέσω του Microsoft Secure Development Lifecycle (SDL). Παρέχει μια επισκόπηση επιπέδου 100 των βασικών δομικών στοιχείων του SDL, ακολουθούμενη από τεχνικές σχεδιασμού που εφαρμόζονται για την ανίχνευση και διόρθωση ελαττωμάτων στα αρχικά στάδια της διαδικασίας ανάπτυξης.

Ασχολούμενο με τη φάση ανάπτυξης, το μάθημα παρέχει μια επισκόπηση των τυπικών σφαλμάτων προγραμματισμού που σχετίζονται με την ασφάλεια, τόσο σε διαχειριζόμενο όσο και σε μη διαχειριζόμενο κώδικα. Παρουσιάζονται μέθοδοι επίθεσης για τις συζητούμενες ευπάθειες, μαζί με τις αντίστοιχες τεχνικές μετριασμού, όλα εξηγούνται μέσα από μια σειρά πρακτικών ασκήσεων που προσφέρουν διασκεδαστική εμπειρία hacking στους συμμετέχοντες. Η εισαγωγή στις διάφορες μεθόδους ελέγχου ασφάλειας ακολουθείται από την επίδειξη της αποτελεσματικότητας διαφόρων εργαλείων ελέγχου. Οι συμμετέχοντες μπορούν να κατανοήσουν τη λειτουργία αυτών των εργαλείων μέσω μιας σειράς πρακτικών ασκήσεων, εφαρμόζοντας τα εργαλεία στον ήδη συζητηθέντα ευάλωτο κώδικα.

Οι συμμετέχοντες σε αυτό το μάθημα θα

Κατανοήσουν βασικές έννοιες ασφάλειας, ασφάλειας πληροφοριακών συστημάτων και ασφαλούς προγραμματισμού

Γνωρίσουν τα βασικά βήματα του Microsoft Secure Development Lifecycle

Μάθουν ασφαλείς πρακτικές σχεδιασμού και ανάπτυξης

Μάθουν για τις αρχές ασφαλούς υλοποίησης

Κατανοήσουν τη μεθοδολογία ελέγχου ασφάλειας

• Αποκτήσουν πηγές και πρόσθετη βιβλιογραφία για πρακτικές ασφαλούς προγραμματισμού

Κοινό

Προγραμματιστές, Διευθυντές

Σε αυτό το κεφαλαικά καθοδηγούμενο, ζωντανό μάθημα σε Ελλάδα, οι συμμετέχοντες θα μάθουν πώς να διαμορφώσουν την κατάλληλη στρατηγική ασφάλειας για να αντιμετωπίσουν το πρόβλημα της ασφάλειας DevOps.

Αυτή η Μάθηση στο Ελλάδα όριζε να βοηθήσει στο εξής:

1. Να βοηθήσει τους Προγραμματιστές να κυριάρτησουν τις τεχνικές γραφής Ασφαλού Κώδικα
2. Να βοηθήσει τους Δοκιμαστές λογισμικού να δοκιμάσουν την ασφάλεια της εφαρμογής πριν τη δημοσίευσή της στο περιβάλλον παραγωγής
3. Να βοηθήσει τους Αρχιτέκτονες λογισμικού να καταλάβουν τις επιθετικές κινήσεις που περιβάλλουν τις εφαρμογές
4. Να βοηθήσει τους ηγέτες ομάδων να καθορίσουν τις ασφαλειακές πρότυπα για τους προγραμματιστές
5. Να βοηθήσει τους Αδελφούς του Δικτύου να ρυθμίσουν τα Server για να αποφύγουν λάθος κατασκευές

Αυτό το μάθημα καλύπτει τα συνцепτά ασφαλούς κώδικα και τους κανόνες με Java, μέσω της μεθοδολογίας δοκιμής Open Web Application Security Project (OWASP). Το Open Web Application Security Project είναι μια διαδικτυακή κοινότητα που δημιουργεί ελεύθερα διαθέσιμα άρθρα, μεθοδολογίες, τεκμηρίωση, εργαλεία και τεχνολογίες στο πεδίο της ασφάλειας διαδικτυακών εφαρμογών.

Αυτό το μάθημα καλύπτει τις έννοιες και τις αρχές ασφαλούς κώδικα με ASP.net μέσω της μεθοδολογίας δοκιμών του Open Web Application Security Project (OWASP). Το OWASP είναι μια διαδικτυακή κοινότητα που δημιουργεί ελεύθερα διαθέσιμα άρθρα, μεθοδολογίες, τεκμηρίωση, εργαλεία και τεχνολογίες στον τομέα της ασφάλειας διαδικτυακών εφαρμογών. 

Αυτό το μάθημα εξερευνά τις δυνατότητες ασφαλείας του .NET Framework και τον τρόπο ασφάλισης των διαδικτυακών εφαρμογών.