A Certified Ethical Hacker is a skilled professional who understands and knows how to look for weaknesses and vulnerabilities in target systems and uses the same knowledge and tools as a malicious hacker, but in a lawful and legitimate manner to assess the security posture of a target system(s). The CEH credential certifies individuals in the specific network security discipline of Ethical Hacking from a vendor-neutral perspective.

 

Participants' feedback:

Tečaja Etični heker, ki ga organizira Housing, sem se udeležil z namenom pridobitve znanja varnostnega preverjanja informacijskega sistema, boljšega razumevanja aktualnih kibernetskih groženj, hkrati pa pravočasne in pravilne identifikacije le-teh. Tečaj je vsa moja pričakovanje popolnoma upravičil. Poleg tega, da sem pridobil teoretično podlago, ki omogoča nadaljnjo nadgradnjo znanja s področja varnosti informacijskih sistemov, smo vse predstavljene primere informacijskih groženj tudi praktično obdelali.

Vsa pridobljena znanja in informacije za delo varnostnega inženirja banke pomenijo veliko dodatno vrednost in ne pomenijo samo lažjega razumevanja kibernetskih groženj, temveč tudi omogočajo dejansko ugotavljanje varnostnih ranljivosti sistema.

Tečaj je namenjen predvsem strokovnjakom s področja informacijske varnosti, katerih namen ni samo poznavanje zakonodaje in oblikovanje varnostnih politik, temveč tudi konkretno odkrivanje varnostnih ranljivost in način izrabljanja teh ranljivosti s pomočjo priznanih metod hekerjev.

- Martin Majer, Deželna banka Slovenije

Moj vtis o tečaju je pozitiven. Danes znanje hitro zastara in še posebej na tem področju bi ga bilo potrebno pogosto obnavljati. S tečajem sem dobil vpogled na kaj vse bi morali biti pozorni pri zagotavljanju osnovnega nivoja varnosti informacijskih sistemov v organizacijah. Prikazano nam je bilo, kako zlonamerni hekerji poskušajo vdirati v naše sisteme in metode, ki se jih pri tem poslužujejo. Tečaj bi priporočil sistemskim administratorjem, varnostnim inženirjem in vodjem služb za informatiko.

- Aljoša Zorč, Fakulteta za upravo   

Petdnevni tečaj etičnega hekanja zajema:

• OSINT metodologije – vsak tečajnik bo na primeru svojega podjetja pasivno preiskal javno dostopne podatke, IP naslovni prostor, poddomene, metapodatke, indeksirane spletne strani idr. Spoznali bomo spetne storitve, ki nenehno zbirajo informacije o spletu. Velikokrat se pokažejo infomacije, za katere si podjetja ne želijo, da so javno dostopne.
• Pregled zunanjega omrežja – pregledali bomo aktualne spletne napade in na podlagi predpripravljenega laboratorija spoznali, kako napadalci vdirajo in izrabijo infrastrukturo podjetij iz zunanjega omrežja. Podrobneje si bomo ogledali napade na ključne strežnike (dns, smtp, ipd.) ter prikazali, kako lahko iz zunanjega omrežja vdremo v infrastrukturo notranjega omrežja organizacije. Udeleženci skozi vodene primere aktivno spoznavajo hekerska orodja in metodologije. Poseben poudarek posvetimo tudi dnevniškim datotekam in odkrivanju napadov.
• Pregled spletnih strani – udeleženci tečaja se seznanijo z OWASP TOP 10 metodologijo ter najpogostejšimi vdori na spletnih straneh. V predpripravljenem laboratoriju je več ranljivih spletnih strani na različnih mestih in različnih vratih, ki jih bodo morali tečajniki preko namigov sami odkriti. Nekatere ranljivosti so trivialne, druge zahtevajo več zaporednih korakov za popoln prevzem sistema. Na vodenih primerih spoznavamo najpogostejša orodja za vdore v spletne strani, posebej se osredotočamo na tiste primere, ki jih Špehonja z ekipo najpogosteje srečuje med izvedbo varnostnih pregledov ter penetracijskih testov v slovenskem okolju.
• Pregled notranjega omrežja – pri izvedi notranjega varnostnega pregleda v 90% organizacij že v prvem dnevu pridobimo vsaj en domenski uporabniški račun, ki odpira nove možnosti lateralnega gibanja po omrežju. Spoznali bomo kako napadalci enumerirajo dosegljive naprave ter storitve, najpogostejše ranljivosti notranjega omrežja in jih na predpripravljeni domenski infrastrukturi tudi izkoristili. Spoznali se bomo tudi z drugimi tehnikami, kot so obratni inženiring ter binarna zloraba storitev.

Od udeležencev se pričakuje:
• osnovno poznavanje Linux operacijskega sistema,
• osnovno predznanje Windows operacijskega sistema,
• poznavanje bash, cmd oziroma sorodnih lupin
• poznavanje internetnega sklada protokolov (TPC/IP),
• osnove podatkovnih baz,
• osnovno predznanje s področja etičnega hekanja.

Location: Housing Pearson Vue test center Ljubljana and Zagreb
Enrollement: at the official web page / at Housing Pearson Vue test center
Official web page: eccouncil.org
Test type: different tests (you choose the one that suites you best)
Price: depends on the test (from 114 EUR to 1093 EUR)

The benefits for the owner of the certificate are better career prospects and awareness of the level of competence. The certificate provides detailed information about the work area an IT expert can perform. Certificates achieve better employment options and results.

Boštjan Špehonja

je višji svetovalec informacijske varnosti s kar nekaj mednarodno priznanimi certifikati na področju etičnega hekanja (Certified Ethical Hacker – Master, Certified Network Defense Arcihtect, Security+, CEH Practical). Kot zunanji strokovni sodelavec sodeluje s podjetji Unistar ter Pro.Astec, kjer je v vlogi projektnega vodje zadolžen za vodenje skupine ter izvedbo projektov varnostnih pregledov. Ima širok nabor večletnih izkušenj, saj mu je pregled svojega IKT okolja zaupalo že preko 100 organizacij, kot so podjetja s kritično infrastrukturo, banke, zavarovalnice, ministrstva, zdravstvene organizacije ter številna druga podjetja.

Redno ga srečujemo kot predavatelja na največjih konferencah informacijske varnosti v Sloveniji, izvaja pa tudi izobraževanja in delavnice na temo varne uporabe interneta in etičnega hekanja. Je soustanovitelj fundacije SICEH (Slovenian Certified Ethical Hackers) ter gostujoči strokovnjak na Univerzi v Mariboru in Gea Collegu, zraven pa vodi še svoje podjetje GO-LIX d.o.o. V lanskem letu je odkril ranljivost na uradni strani podjetja Microsoft in si tako prislužil objavo na spletni strani “Security Researcher Acknowledgments for Microsoft Online Services”, kjer ta IT velikan varnostnim raziskovalcem pripiše zasluge za dvig informacijske varnosti svojega okolja.