• Lad mig sige dette med det samme: Jeg har aldrig haft ret høje tanker om diverse certificeringer indenfor IT verdenen. For mig har de primært været til for at de folk der afholder dem kan tjene penge, og endda i visse tilfælde tjene på at folk skal betale jævnligt for at beholde deres certificering. CISSP -- jeg tænker bl.a på dig. Derudover har jeg aldrig ment at multiple choice eksaminer demonstrerer et godt kendskab til sit emne, men snarere at man er god til at lære udenad. Det udelukker naturligvis ikke at dygtige folk har certificeringer, men de fleste certificeringer er IMO til for at HR afdelinger har et filter at sortere folk på, fremfor at være til for at uddanne de mest kvalificerede folk.

    Nå, nok om min rant mod certificeringer generelt. Det er ikke hvad dette indlæg skal handle om. Det skal derimod handle om at jeg rent faktisk selv har taget en certificering 🙂

    Jeg havde kigge på nogle af de forskellige certificeringer indenfor IT sikkerhed, men de fleste ramte lige præcist de kriterier ovenfor som jeg ikke bryder mig om. Under min søgen faldt jeg dog over certificeringer fra Offensive Security som jeg fandt ret interessante. Det vigtigste for mig er at man ikke bliver holdt i hånden hele vejen igennem, men derimod på egen hånd skal finde frem til løsningerne bl.a. ud fra den baggrundsviden man tilegner sig gennem kurset. Derudover er selve certificeringen 100% hands on. Ingen multiple choice spørgsmål, men 24 timer til at demonstrere at man har de evner der skal til for at bestå.

    De har flere certificeringer, men man skal jo starte et sted så jeg havde primært kigget på deres certificering som Offensive Security Certified Professional (OSCP). For at tage denne certificering skal man først følge et kursusforløb som de kalder Penetration Testing With BackTrack (PWB) hvilket er et introduktionskursus til penetration testing. Dem der kender mig ved at jeg har beskæftiget mig en del med IT sikkerhed både på det praktiske og det mere teoretiske plan, og jeg har da også haft en god idé om hvordan man angreb IT systemer og fandt sårbarheder i dem, men det har aldrig været mit primære område. Det havde jeg tænkt mig at lave lidt om på nu, så for også at få den vinkel på IT sikkerhed, tilmeldte jeg mig PWB kurset, som min arbejdsgiver heldigvis indvilligede i at betale for.

    Selve kurset foregår online. Man får en stak videoer (ca. 7 timer i alt) og en PDF fil på ca. 350 sider der supplerer videoerne (eller er det omvendt?) og så får man adgang via en VPN forbindelse til et netværk af maksiner, der alle har diverse sårbarheder i den installerede software. I løbet af kurset skal man så hacke sig ind på så mange af maskinerne som muligt, og fra nogle af dem kan man få adgang til flere netværk med endnu flere maskiner. Af hensyn til andre der måske skal tage kurset kan jeg ikke sige ret meget om hvad man udsættes for, men det er en blanding af alle mulige styresystemer og forskellige sårbarheder man skal udnytte som fx Buffer Overflows, SQL Injection, XSS attacks, LFI/RFI, og mange flere.

    Selve kurset var udfordrende. Især fordi man i materialet mest lærer de grundlæggende ting og hvordan man skal tænke for at finde den slags sårbarheder og udnytte dem. Det betyder så at man efter at have gennemgået alt materialet tror at man ved en del, men når man så kaster sig over netværket, så går man meget hurtigt i stå. Og her adskiller kurset sig fra mange andre, for nu skal man til at tænke ud af boksen og selv finde løsninger der ikke er gennemgået i kurset. Der er både en IRC kanal og et forum hvor man kan få hjælp, men spørger man om hjælp får man blot svaret “Try Harder”, så det holdt jeg mig fra. At dømme efter indlæggene på forummet er det ikke alle der kan lide denne form for undervisning, og mange ser ud til at droppe kurset undervejs. Det skyldes sikkert også til dels at man skal betale for den tid man bruger på deres netværk (30, 60 eller 90 dage med mulighed for at købe forlængelse af perioden derefter), og da kurset for stort set alle er meget mere tidskrævende end man havde forestillet sig, så bliver nogen nødt til at stoppe af økonomiske grunde… gætter jeg i hvert fald på. Dertil kommer at de underdriver forudsætningerne for kurset. Ja, man kan måske klare sig uden programmeringserfaring og kun med basalt kendskab til Linux og netværk, men så skal man bruge en del tid under kurset på at sætte sig ind i det.

    Jeg startede med 90 dage, men med et fuldtidsarbejde og andre fritidsinteresser havde jeg klart undervurderet den tid der skulle bruges på det. Da de 90 dage var gået var jeg igennem kursusmaterialet, havde hacket en ca. 10 maskiner og følte at jeg var gået helt i stå. Jeg havde prøvet alt jeg kunne komme i tanke om, og kom ingen vegne. Heldigvis fik jeg lov at købe 60 dage mere som jeg nu dedikerede til at sætte mig grundigt ind i området ved at søge på internettet, se videoer, læse artikler, etc. Og så begyndte det hele at give mening. Ens tankegang blev sporet hen på den rette måde at angribe den slags problemer på, og en efter en faldt de næste ca. 40 maskiner på netværket. Da der var to uger tilbage af min tid, valgte jeg at droppe øvelserne og i stedet begynde på den rapport man skulle lave, og det var en god idé, for den endte på ca. 320 sider.

    Nu var kurset slut og kun certificeringen tilbage. Jeg bookede tid til den på deres hjemmeside og fik at vide at jeg ville få tilsendt mine loginoplysninger til et helt nyt netværk på det tidspunkt eksamen startede. Fra det tidspunkt havde jeg 24 timer til at angribe en række maskiner og opnå points nok til at bestå certificeringen.

    Jeg kan desværre ikke sige ret meget om selve eksamen, men efter ca. 6 timer ud af de 24 havde jeg points nok til at bestå. Herefter prøvede jeg lidt ekstra og så gik jeg i seng. Dagen efter hackede jeg lidt videre indtil jeg begyndte at skrive den rapport man skulle aflevere for at dokumentere ens angreb. Den tog et par timer at lave, men faktisk havde man 24 timer ekstra til den efter at ens eksamenstid var slut. Jeg ville dog hellere holde weekend, så jeg fik skrevet den ret hurtigt 🙂 Derefter indsendte jeg rapporten fra kurset og fra eksamen og ventede…

    Et døgns tid efter fik jeg en mail om at jeg havde bestået!

    Et meget lærerigt (og hårdt) kursus som jeg godt kan anbefale til folk der gerne vil vide noget om offensive security. Vær dog forberedt på at bruge en del tid på det 🙂

    Posted by Michael @ 15:44

3 kommentarer til OSCP certificering

  • Ursula siger:

    TILLYKKE!!!
    En rapport på 320!!! Jeg er imponeret:)
    Det kalder man en opkvalificering!

  • Hans Østergaard siger:

    Hej Michael.
    Sidst du fortalte om denne certificering, fik jeg ikke fornemmelsen af, at det var så omfangsrigt, men det kom jo også lidt bag på dig, kan jeg forstå. Tillykke med at du har bestået-… hacker! :-). Jeg er stolt af dig. Vi snakkes ved. Far

  • Michael siger:

    Jeg tror snarere at man kalder det spild af tid med den rapport 🙂 Mange af siderne var kode der bare var klippe-klistret ind, og der har næppe været nogen i den anden ende der har læst den, da jeg sikkert bestod på eksamensrapporten.