Markmið námskeiðsins er að fá þátttakendur til að tileinka sér hugarfar hakkarans auk þess að kynna þá fyrir algengum veikleikum í hugbúnaði og birtingarmyndum þeirra.
Námskeiðið samanstendur af stuttum fyrirlestrum í bland við hagnýt verkefni í kennsluvettvangi Ambögu þar sem þátttakendur læra nýta sér þekkta veikleika í hugbúnaðarkerfum. Æfingarnar líkja eftir raunverulegum veikleikum í vefkerfum og tilgangur verkefnanna er að þjálfa þátttakendur í að koma auga á veikleika í hugbúnaðarkerfum, auk þess að dýpka skilning þeirra á þeim áhrifum sem misnotkun veikleika getur haft í för með sér.
Eftir námskeiðið ættu þátttakendur að hafa öðlast þá færni að horfa á hugbúnað, þar með talinn sinn eiginn, með gagnrýnum augum og nýtt þá færni til að koma auga á og lagfæra öryggisveikleika. Þessi valdefling gerir forriturum kleift að framkvæma sínar eigin öryggisprófanir á eigin hugbúnaði, enda eru þeir í einstakri stöðu til þess, þekkjandi hugbúnaðinn ítarlega.
Efnistök
Námsefnið byggir á lista yfir algenga öryggisgalla í hugbúnaði sem gefinn er út af Open Worldwide Application Security Project (OWASP), oft kallaður OWASP Top 10. Námsefnið tekur mið af hugbúnaðarþróun fyrir vefinn, þ.e. þeim sem þróa vefsíður, vefþjónustur eða aðrar lausnir sem taka á móti gögnum yfir Internetið. Að því sögðu, þá á stærstur hluti efnisins við flesta hugbúnaðarþróun og það getur því einnig verið gagnlegt fyrir forritara sem vinna t.d. eingöngu í bakvinnslu.
Þeir flokkar öryggisgalla sem farið er yfir í námskeiðinu eru eftirfarandi:
- Rökvillur
- Auðkenning
- Aðgangsstýring
- Innspýtingar (e. injections)
- Veikleikar sem tengjast vöfrum (biðlum)
- Server-Side Request Forgery (SSRF)
- Brestir í öryggisstillingum
- Brestir í dulritun
Sé þess óskað er hægt að sníða efnið að þörfum forritunarteymisins. Sjái teymið t.d. ekki um smíði framenda er hægt að sleppa því efni sem tengist vöfrum.
Kennsluaðferðir
Hvert skipti hefst á u.þ.b. 45 mínútna fyrirlestri, en eftir gefst þátttakendum tækifæri á að spreyta sig á verkefnum þar sem þau nýta og efla þekkingu sína á efni fyrirlestursins. Leiðbeinandinn er þátttakendum innan handar við lausn verkefnanna.
Þjálfunin fer fram í kennsluvettvangi Ambögu þar sem þátttakendum gefst kostur á að sjá raunverulega veikleika í raunhæfum vefkerfum. Markmið verkefnanna er að nýta veikleikana til að líkja eftir öryggisbresti. Kerfið er, að sjálfsögðu, lokað og felur ekki í sér raunverulegar árásir á neinn hugbúnað í rekstri, heldur líkir aðeins eftir þeim. Markmið þessara æfinga er bæði að kynna þátttakendur fyrir því hvað misnotkun á veikleikum hefur í för með sér en einnig að sýna þeim fram á áhrifin sem öryggisbresturinn getur valdið.
Þátttakendur safna stigum við að leysa verkefnin og býður vettvangurinn upp á að halda utan um stigatöflu. Oft skapast skemmtilegur keppnisandi í kringum stigatöfluna og getur það þannig virkað sem hvati á hópinn að leysa sem flest verkefni. Þátttakendur stjórna undir hvaða nafni þeir birtast á stigatöflunni og geta því valið að vera nafnlausir, en einnig er hægt að slökkva alfarið á þessum eiginleika vettvangsins sé þess óskað af verkkaupa.
Tungumál
Kennsluefnið, þ.e. fyrirlestrar og verkefni, er allt á ensku. Flutningur fyrirlestra getur bæði farið fram á ensku og íslensku.
Skipulag
Miðað er við að skipulag námskeiðsins sé eftirfarandi.
| Skipti | Lengd | Efni |
|---|---|---|
| 1 | 2 klst | Rökvillur, auðkenning og aðgangsstýring |
| 2 | 2 klst | Innspýtingarveikleikar |
| 3 | 2 klst | Veikleikar tengdir vafranum og SSRF |
| 4 | 2 klst | Brestir í stillingum og dulritun |
Markmið
Þetta námskeið er hugsað sem grunnþjálfun í netöryggi fyrir forritara og aðalmarkmið þess er að kynna forritara fyrir hugarfari hakkarans (e. adversarial thinking, hacker mindset). Hugbúnaður er oft þróaður undir tímapressu og öryggi á það til að sitja á hakanum á meðan meginmarkmið þróunarinnar er að fá allt til að virka. Með því að gefa forriturum þessa innsýn inn í hugarfar hakkarans gefum við þeim þau vopn sem nauðsynleg eru til að horfa gagnrýnið á sinn eigin hugbúnað og koma þannig auga á hugsanlega öryggisbresti áður en þeir eru misnotaðir.
Í þessu námskeiði verður ekki fjallað um nein tól eins og vefsel (e. proxies), sem notuð eru við öryggisúttektir, né varnarmiðuð tól eins og eldveggi og kóðarýnitól (e. source code analysis tools). Ambaga býður upp á námskeið sem fara í notkun slíkra tóla, en þau eru hugsuð sem framhaldsnámskeið eftir grunnnámskeiðið.
Hagnýtar upplýsingar
Fyrirtæki, stofnanir og stærri hópar
Miðað er við að námskeiðið sé haldið í fjögur skipti, hvert skipti tvær klukkustundir, samtals átta klukkustundir, dreift yfir tvær vikur, t.d. mánudag og fimmtudag tvær vikur í röð. Nákvæm útfærsla er þó samningsatriði og hægt er að komast til móts við flestar kröfur verkkaupa þegar kemur að skipulagi.
Alla jafna eru námskeið haldin í persónu hjá verkkaupa, sem útvegar sal eða fundaherbergi þar sem leiðbeinandi Ambögu getur haldið fyrirlestra og aðstoðað við verkefnavinnu. Sé þess óskað getur Ambaga útvegað kennslurými. Hægt er að komast til móts við starfsfólk sem er í fjarvinnu með notkun fjarfundabúnaðar.
Verð námskeiðsins veltur á fjölda þátttakenda. Hafðu samband til að óska eftir tilboði.
Einstaklingar
Auk þess að bjóða upp á námskeið fyrir fyrirtæki, heldur Ambaga reglulega námskeið fyrir einstaklinga. Námskeiðið fer fram á höfuðborgarsvæðinu og sér Ambaga um að útvega kennslurými. Hafðu samband til að fá nánari upplýsingar um tímasetningu.
Verð fyrir slíkt námskeið er 180.000 kr (með vsk) á mann.