Na naszej konferencji What The H@ack było ponad 60 wykładów. Zebraliśmy oceny prelegentów i zdecydowanie wasze serca i umysły zdobył Paweł Maziarz. Gdy więc zaproponował mi udział w swoim szkoleniu, nie zastanawiałem się ani sekundy.
Na What The H@ck zaprosiliśmy wiele gwiazd polskiej sceny InfoSec – i gwiazdy nie zawiodły, wszystkie oceniliście bardzo wysoko. W walce o pierwsze miejsce rankingu pogodził je jednak czarny koń zawodów, Paweł, ze swoim wykładem o PowerShellu. Sam niestety na wykładzie Pawła nie byłem, więc gdy pojawiła się okazja, by go posłuchać na żywo, pojechałem do Wrocławia na szkolenie APT Masterclass. Oto moja relacja z dwóch dni spędzonych na barce.
W ostatnim akapicie znajdziecie informacje o najbliższej edycji szkolenia i kodzie rabatowym.
Program szkolenia
Dlaczego na barce? Dlatego, że właśnie na wodzie ulokowana była sala szkoleniowa. Dostaliśmy kabinę dziobową, więc widoki były dobre, a dodatkową atrakcją był pękający w czasie odwilży lód i związane z tym niespodziewane ruchy barki.
Pod hasłem „APT Masterclass” kryć się może wiele tematów. Paweł wybrał te, które tworzą kompletną podróż, a nawet dwie: jedna to droga zespołu atakującego, który krok po kroku zdobywa infrastrukturę atakowanej firmy, a druga, odbywana równolegle, to droga zespołu broniącego, który te ataki identyfikuje i neutralizuje. Wszystko odbywa się w środowisku wirtualnym, w którym jednak znajduje się prawdziwa infrastruktura zarówno napastników, jak i obrońców. Uczestnicy dostają dostęp do systemów, w których mogą z jednej strony przypuszczać ataki na firmę stworzoną przez Pawła, a z drugiej mogą obserwować ich objawy po stronie obronnej. Paweł opisuje obie perspektywy, a uczestnicy mogą sami decydować, które ćwiczenia wolą przeprowadzać samodzielnie, a które obserwować na rzutniku. Przyznam, że sam większość obserwowałem – ale to głównie dlatego, że jestem prostym dziennikarzem i trenerem i pewnie nie nadążyłbym za pozostałymi uczestnikami.
Atrakcje
Nie będę psuł Wam zabawy w odkrywanie kolejnych niespodzianek przygotowanych przez Pawła – powiem tylko, że w ciągu tych dwóch dni zdążycie zaatakować i obronić wiele systemów. Będziecie walczyć z phishingiem, włamywać się do baz danych, przejmować stacje pracowników, podsłuchiwać ruch, monitorować logowania, łamać hasła, budować botnety i wykorzystywać podatności w różnych systemach. Ale to nie wszystko – ponieważ Paweł wie, że i tak wszyscy najbardziej lubią gadżety. A Paweł też lubi gadżety i część z nich przynosi ze sobą.
Po szkoleniu na pewno zaczniecie innym wzrokiem patrzeć na karty zbliżeniowe kolegów z biura (i dowiecie się, jakie tylne furtki potrafią zaszyć w nich Chińczycy). Zobaczycie na żywo – i sami spróbujecie – wielu sztuczek, których atakujący używają, gdy mają fizyczny dostęp do infrastruktury atakowanej firmy. Zobaczycie też, jak ten fizyczny dostęp można uzyskać – Paweł takich historii ma w zanadrzu tyle, że na miejscu osób odpowiedzialnych za bezpieczeństwo fizyczne powiesiłbym jego zdjęcie w firmowej recepcji pod nagłówkiem „Jeśli go widzisz, to dzwoń po ochronę”.
Oprócz samego szkolenia uczestnicy otrzymują także materiał „na drogę”. Jest to między innymi zdalny dostęp do środowiska treningowego oraz platformy dla uczestników.
Atmosfera
Na szkoleniach zawartość merytoryczna jest istotna, ale często efektywność samego procesu edukacyjnego zależy od tego, w jakiej atmosferze się on odbywa. Paweł jest typem wykładowcy, u którego trudno się nudzić. Chętnie dzieli się swoimi doświadczeniami (a ma ich niemało), do większości omawianych przypadków ma historię „z pola walki”, więc nie miałem ani przez chwilę poczucia, że serwuje nam teorię – dużo bardziej przypominało to pamiętniki komandosa niż wykład na WAT. Paweł do tego nie tworzy sztucznego dystansu i dobrze się z nim pracuje podczas wykonywania ćwiczeń.
Dobrego prowadzącego najlepiej poznaje się w sytuacjach kryzysowych, kiedy coś nie działa lub pada trudne pytanie – i tu muszę przyznać, że zazdroszczę Pawłowi opanowania i umiejętności szybkiego rozwiązania wszystkich problemów, na jakie może natrafić. Nie było pytania, którego nie zostawił bez odpowiedzi, a większość z nich ilustrował na żywo w praktyce. Mało jest osób, które jednocześnie potrafią tłumaczyć skomplikowane zagadnienia i demonstrować je na ekranie, wpisując zawiłe komendy. Do tej pory na tej liście miałem tylko Michała Sajdaka i Paulę Januszkiewicz, ale po tym szkoleniu dopisałem do niej także Pawła Maziarza.
Wady
Szkolenia perfekcyjne w każdym calu zdarzają się rzadko i muszą być zamawiane indywidualnie. Na pewno jedną z wad APT Masterclass jest to, że nie każdy będzie mógł z niego w pełni skorzystać. Nie jest to miejsce dla osób, które chcą się dopiero zorientować, o co w bezpieczeństwie chodzi. W zależności od poziomu umiejętności w danym obszarze niektórzy uczestnicy mogą różne fragmenty uznać za zbyt łatwe lub zbyt trudne. Na szczęście zadań w środowisku stworzonym przez Pawła nie brakuje, zatem każdy może zająć się tematami, które mu pasują. Zdecydowaną wadą jest też czas trwania szkolenia – mam wrażenie, że gdyby zajęło ono pięć dni roboczych, to Paweł też wypełniłby je ciekawą treścią.
Już wkrótce w Warszawie
Za tydzień, w dniach 4-5 marca, kolejna edycja APT Masterclass odbędzie się w Warszawie. Zarejestrować się możecie na stronie projektu.
Za napisanie tego artykułu nie wziąłem od Pawła ani grosza. Nie chwaliłbym jego szkolenia, gdybym nie uważał, że jest dobre. Jeżeli w formularzu zgłoszeniowym wspomnicie, że zapisaliście się po lekturze mojego artykułu, to Paweł da Wam rabat 10%, a mi zapłaci za pomoc w rekrutacji. Ale możecie także kodu nie podawać, a ja i tak będę zadowolony, że trafiliście na dobre szkolenie :)
Jeśli jeszcze się zastanawiacie, to możecie na rozgrzewkę poczytać artykuły z bloga Pawła:
Komentarze
A czy jest w sieci gdzieś dostępne nagranie rzeczonego z występu Pawła Maziarze?
Nie.
Kapitalne przykłady na blogu.
Od jakiegoś czasu w trakcie wewnętrznych sesji „Threat Hunting” patrzymy również na to, jakie też procesy odpalają userzy maszynowi, np nginx / httpd / apache / mysql.
Jak ktoś widzi powershella odpalonego przez SYSTEM to albo incydent albo edukować admina (dowolną metodą edukacji).
Hm, z tym edukowaniem – i to dowolną metodą – to problem. Był kiedyś taki Prof. PAN, który mawiał: „walić zająca pałą w łeb, to nauczy się zapałki zapalać”. A co powiedzieć o adminach, którzy w ogóle nie wiedzą, co to jest java script, prawidłowe funkcjonowanie AD, a co dopiero PowerShell? Tu już nawet pała nie pomoże …