Eğitimin Adı : OSCP (Penetration Testing with Kali Linux)
Eğitimin Konusu İle Alakalı Etiketler : Siber Güvenlik, Linux, Windows, Sızma Testi, Yetki Yükseltme, Web Uygulama Güvenliği, Bellek Taşması
Incelemeyi Yazan : İsim vermek istenmedi
Eğitim İçin Gerekli Ön Bilgi : Giriş seviyede linux, windows, temel yazılım bilgisi
Teknik Zorluğu : 5 üzerinden 3
Eğitim Ücreti : 2 aylık 1000 USD
Eğitim Türü : Çevrimiçi (Online)
Kimler İçin : Yeni başlayan, orta düzey bilgili
Sertifika : OSCP
İncelemeyi Yazan Hakkında Bilgiler
Yaklaşık 2 yıl veritabanı ve yazılım projelerinde çalışarak yazılım tecrübesi edindikten sonra güvenlik sektörüne geçiş yaptım. Yaklaşık olarak 1 buçuk yıldır bu alanda çalışıyorum. Yazılımı güvenlik ile birleştirmek, bu kursu aldığım zaman karşılaştığım problemleri çözümleme aşamasında baya katkı sağladı ve zafiyetin kaynağını anlamamda çok yardımcı oldu. Bu eğitimi alma sebebim ise şu ana kadar öğrendiğim herşeyi pratik yaparak kendimin ne aşamada olduğunu görmek ve sektörde saygı duyulan bir eğitim olmasıydı. Güvenlik konusunda belirli bir aşama kaydettiğimi göstermesi adına benim için önemli bir eğitimdi.
Eğitim İçeriği
Eğitim alındığında kişiye lab erişimi için vpn bağlantısı, konuların yer aldığı pdf dökümanı ve bu dökümandaki uygulamaların yapıldığı video dosyaları verilmektedir.
Eğitim başlıkları:
-
Finding Files
-
Essential Tools
-
Passive Information Gathering
-
Active Information Gathering
-
Vulnerability Scanning
-
Buffer Overflow
-
WIN32 Buffer Overflow Exploitation
-
Linux Buffer Overflow Exploitation
-
Working With Exploits
-
File Transfers
-
Privilege Escalation
-
Client Side Attacks
-
Web Application Attacks
-
Password Attacks
-
Port Redirection And Tunneling
-
The Metasploit Framework
-
Bypassing Antivirus Software
-
Assembling The Pieces: Penetration Test Breakdown
Eğitim dökümanları (pdf ve videolar) öyle her şeyi size öğretecek kadar geniş ve detaylı değil. Fakat lab ortamı bu eksikliği kapatıyor. Fakat eğitimi alanlar için bir forumu ve irc kanalları var. Oralardan soru sorabiliyorsunuz.
Eğitimin Artı Yönleri
Eğitim bol bol zafiyetli makinenin olduğu gerçek hayatta da karşımıza çıkma olasılığı yüksek olan senaryolar içeren lab ortamı sunduğundan benim için en önemli artısı bu oldu. Her makinede sizi bol bol araştımaya ve bilgi toplamaya yönlendirmeleri eğitimin artı yönlerindendi. Lab ortamındaki makinelerde herhangi bir sıkıntı yaşandığında bu makineleri revert edebileceğimiz arayüz sunmaları da artı yönlerindendi. Sertifika için gerçek dünyaya uygun sınav uygulanması ve sonrasında gerçek bir sızma testi raporu yazmamız eğitici olması açısından faydalıydı. Sınav gününü ve saatini kendimizin belirlemesi ve acil bir iş çıktığında bu günü değiştirebilmemiz yine bir artı yönüydü. Sınavın online olması sınav saatinde kişinin rahat hissettiği ortamda sınava girebilmesi açısından güzel bir kolaylıktı. Sınavın başlangıç ve bitiş saatlerinin otomatik olması bu zamanlarda problem yaşanmaması da yine güzel yanlarındandı. Eğitim alındığında çalışmamızı yapabileceğimiz sanal makinenin ve eğitim pdf ve videolarının iletilmesi de yine güzel yanlarındandı. Son olarak öğrencilerin forumda da tartışabiliyorlar. Burada sizinle beraber hazırlanan kişiler ile tartışabiliyorsunuz ancak labtaki makinelerin çözümünü paylaşmanıza izin vermiyorlar.
Eğitimin Eksi Yönleri
Eğitimin en çok eksik bulduğum tarafı gönderilen materyallerin basit olması, bu materyallere göre labtaki makinelerin daha zor olmasıydı. Güvenlik sektöründe yeni olmama rağmen gönderilen pdfteki konulardan çok küçük bir kısmını bilmiyordum açıkçası materyaller bana çok fazla birşey katmadı. İkinci büyük eksiklik ise sınavda çıkan soruların seçildiği soru havuzlarının kısıtlı olması. Eğer bir arkadaşınız ile aynı ayda sınava girecekseniz aynı soruların ya da sorulardan bazılarının aynı olması muhtemel. Bir diğer olumsuz yanı ise sınava tek başınıza mı yoksa bir kaç kişi ile mi girdiğinizin kontrolü yoktu yani arkadaş grubuyla beraber girebiliyorsunuz sınava. Ancak ben aldığım zamanlarda bunu engellemek adına kamera ile denetim yapılacaktı şuan uygulanmaya başlandı mı bilmiyorum. Bir diğer eksi yönü ise lab ortamının sadece size özgü olmaması. Yani sizinle aynı anda birden fazla kişi aynı makineye bakabiliyor ve eğer o kişi makineyi revert ederse sizin yaptıklarınız da siliniyor ve baştan yapmak zorunda kalıyorsunuz. Son olarak bu biraz eğitimi alan kişinin hatası olsa da eğer sınavı başarılı geçip sınav sonunda gönderilecek raporu şirketin istediği şekilde yazmazsanız sizi başarısız sayabiliyorlar. Ekran görüntüsü alırken çok dikkatli olmak lazım.
Sertifika / Sınav Hakkında Bilgiler,
Benim sınava hazırlanma aşamam bir işte çalışıyor olmam nedeniyle çok yoğun geçti. Gece 4 e kadar labtaki bilgisayarlara bakıp sabah 8 de uyanıp işe gitmek zorunda olduğumdan baya yorucu bir 2 ay geçirmiştim. Ancak sınavı başarıyla geçince bunların hepsine değiyor ☺ Offensive security’nin sitesinde eğitim lab ortamının açık kalma süresine göre belirlediği fiyatlar mevcut. Ben 2 aylık lab almıştım. Rahat olması açısından ve paranız varsa 3 aylık almanızı tavsiye ederim. 2 aylık 1000 dolar ödemiştim. Çalışma konusunda tavsiyelerim verilen materyalleri çok hızlı bir şekilde bitirin ki labtaki makinelere çok süre kalsın. Çünkü her makinenin zorluk derecesi birbirinden farklı ve bir makineyi almak bazen günlerinizi alabiliyor. Labtaki tüm makineleri çözebilmek için lab süresi boyunca hergün bakmak gerekiyor yoksa çok makine olduğu için hepsini çözmek yetişmeyebiliyor. Kısacası bu işe girecekseniz 2 ya da 3 ay fedakarlık edip kapanıp eğitimin hakkını vermek gerekiyor. Süreç sonunda hem güzel bir sertifikanız hem de güzel bir temel oluşturmuş olacaksınız.
Sınav sürecinden bahsetmek gerekirse sizin seçtiğiniz gün ve saatte sınav başlıyor 24 saat sürüyor. Bu zaman dilimini çok iyi ayarlamanızı tavsiye ederim. Yine bir tavsiye olarak ben sınava sabah başlamayı tercih ettim cünkü gece başlayınca bir süre sonra uykunuz gelebiliyor ancak sabah başlayınca daha fazla süre ayakta kalabiliyorsunuz. Süre bittikten sonra ise raporu yazmak için yine bir 24 saatiniz var. Raporu göndermezseniz başarısız sayılıyorsunuz. Sınav sırasında ekran görüntüsünü düzgün sırayla ve düzenli almak raporu yazarken büyük kolaylık sağlamaktadır.
SONUÇ
Özetlemek gerekirse hazırlık sürecinin çok iyi geçirilmesini tavsiye ediyorum. Hazırlanmadan geçilmesi zor bir sınav. Sınava girmeden önce sınav hakkında bazı kısıtlamalar var (metasploit kullanımı sınırlı, sqlmap yasak vs.) bunları dikkatle okumanızı tavsiye ediyorum. Sınava giren bir çok kişi tavsiye niteliğinde makaleler paylaşıyor onları okuyup kendinize sınavda buna göre plan yapabilirsiniz (ara verme, uyku, yemek vs.) Sınavdan başarısız olmanız durumunda sadece sınav ücretini ödeyerek (tekrar eğitim almanıza gerek yok) tekrar sınava girebilirsiniz. Artılarını ve eksilerini değerlendirdiğimizde ben eğitimin alınması yeni başlayan veya orta düzeyde tecrübeli kişilere katkı sağlayacağını düşünüyorum ve tavsiye ediyorum.