Zu Inhalt springen

Lab401 Workshop: Physisches Pentesting mit verdecktem Eindringen

Lab401 Workshop: Physisches Pentesting mit verdecktem Eindringen

Einführung

Physische Penetration ohne Verletzung ist ein Eckpfeiler von Penetrationstests.
Kunden aller Erfahrungsstufen werden diesen Workshop als kompetente physische Penetrationstester verlassen.

Der Schwerpunkt liegt auf praktischem Training: Schlösser knacken, Riegel und Sicherheitstüren umgehen, Schlüssel fälschen, Schlüssel von einem Bild entschlüsseln, Privilegienerweiterung bei einfachen und fortgeschrittenen Hauptschlüsselsystemen erlernen, RF- und RFID-Berechtigungsnachweise identifizieren und duplizieren...

Nach der dreitägigen Schulung verfügen die Kunden über die notwendigen Fähigkeiten und Werkzeuge, um eine Vielzahl von Orten zu überprüfen und zu betreten, darunter öffentliche (Hotels usw.), gewerbliche (Büros, Firmensitze, Lagerhäuser) und industrielle Standorte (kritische Infrastrukturen: Strom, Sicherheit usw.)


Alexandre Triffault

Experte für physische Sicherheit

Sicherheitstrainer für Pentester, Informatiker und das Militär seit 10 Jahren, Alexandre Triffault ( @Frenchkey_FR ) entwickelt Werkzeuge und Techniken, um physische Sicherheitsvorrichtungen zu umgehen (https://www.intrusion.eu/) . Spezialisiert auf den 3D-Druck von Schlüsseln und Werkzeugen, besteht seine Arbeit darin, Schwachstellen in elektronischen oder mechanischen Zugangskontrollsystemen zu finden und auszunutzen.

Er ist Weltmeister in der Abdrucktechnik (LockCon 2016). Er ist außerdem wissenschaftlicher Mitarbeiter des Labors für Virologie und Kryptologie bei ESIEA und gibt Kurse in physischer Sicherheit an mehreren IT-Schulen und bietet Schulungen und Beratung für mehrere staatliche und private Organisationen in Europa an. Im Laufe der Jahre hat er seine Forschungen auf verschiedenen internationalen Konferenzen und Workshops vorgetragen, wie Nuit du Hack (FR), Defcon Lockpick Village (US), Hackito Ergo Sum (FR), LockCon (NL), SigSegV1 (FR), IT Defense (DE), GS Days (FR)...

Vorgesehenes Publikum

  • Pentester
  • Red-Teamer
  • CISO
  • Sicherheitsfachleute
  • Strafverfolgungsbehörden / Regierung

Voraussetzungen

  • Es sind keine Vorkenntnisse über Schlösser, Schlüssel oder Lockpicking erforderlich.
  • Ein Interesse an physischer Sicherheit
  • Kunden können ihre eigenen Schlösser, Schlüssel und Werkzeuge mitbringen, falls gewünscht

Materialien zum Mitnehmen

  • Ausführliches Schulungshandbuch.
  • Lockpicking-Kit
  • Bypass-Kit
  • RFID/RF-Aufklärungswerkzeuge

Kommende Termine

  • 📅 15. bis 17. Juni 2020 📍 Paris, Frankreich 🇫🇷/🇬🇧
  • 📅 15. bis 17. Juli 2020 📍 Paris, Frankreich 🇫🇷/🇬🇧
Anmeldung für einen kommenden Workshop
Anmeldung für Workshop
Anmeldung für Veranstaltungs-Updates

Detaillierte Kursübersicht

Erster Tag

Einführung in das physische Eindringen + Angriffe auf gängige Büroschlösser

Tag 1 bietet einen Überblick über die möglichen Ziele und Szenarien, die einem Angreifer in der realen Welt zur Verfügung stehen, sowie die erste Lockpicking-Sitzung des Kurses.

Physische Eindringungsvektoren
  • Soziales Engineering
  • Klettern
  • Öffnung des Zugangs
Entdeckung der physischen Sicherheit
  • Die verschiedenen Arten von Schlössern
  • Wie sie funktionieren
  • Wie man sie identifiziert
Einführung in Szenarien
  • Gelegenheitseinbrecher (Opportunist)
  • Organisiertes Einbrecherteam
  • Industriespionage
Wafer-Schlösser
  • Identifizierung
  • Lockpicking
  • Entschlüsselung
  • Rüttler
Röhrenschlösser
  • Identifizierung
  • Selbsteinprägung
  • Lockpicking

Tag zwei

Stiftzuhaltungsschlösser + Vorhängeschlösser (Kombinationen und mit Schlüssel)

Tag 2 konzentriert sich auf das Erlernen und Üben verschiedener Lockpicking- und Bypass-Techniken an Stiftzuhaltungsschlössern, Vorhängeschlössern und Kombinationen.

Stiftzuhaltungsschlösser Lockpicking
  • Raking/Single Pin Picking
  • Spezifische Werkzeuge
  • Technik
  • Tipps und Tricks
Lockpick-Pistolen
  • Mechanische Pickpistole
  • Elektronische Pickpistole
  • Tension Tools im Detail
Vorhängeschlösser mit Schlüssel
  • Dietriche
  • Kämme
  • Unterlegscheiben (wo möglich)
  • Klingenumgehung (soweit kompatibel)

Tag drei

Der Schlüssel, die Tür, die RF- und die RFID-Vektoren

An Tag 3 ist es an der Zeit, über den Tellerrand hinauszuschauen, da dem Pentester mehrere zusätzliche Angriffsvektoren zur Verfügung stehen.

Schlüsselduplikation
  • Abformen
  • Ablage
  • Foto-Dekodierung
  • Spezielle Techniken
Höckerschlüssel
  • Kennzeichnung
  • Fabrikation
  • Verschiedene Techniken (Push/Pull)
Wörterbuch-Angriffe
  • Einführung
  • Identifizierung
  • Kompatible Schlösser
Zerstörungsfreies Eindringen
  • Tagesschlösser
  • Über Riegel
  • Über Griffe
  • Unter-Tür
  • Not-/Druckstangen-Türen
RF
  • Identifizierung
  • Angriffs-Vektoren
  • Anfällige Systeme
RFID
  • Einführung
  • Identifizierung
  • Angriffsvektoren

Workshop Schlussfolgerung

  • Zusammenfassung: Angriffsvektoren
  • Zusammenfassung: Werkzeuge und Techniken
  • Mögliche Gegenmaßnahmen
  • Hausaufgaben: Wie man Fähigkeiten entwickelt
  • Rechtliches: Nicht in den Knast gehen

Wie kann man teilnehmen?

Die Workshops finden in regelmäßigen Abständen statt, wobei bei Bedarf auch die Möglichkeit von Einzelsitzungen besteht. Wenn Sie über anstehende Workshop-Termine informiert werden möchten, tragen Sie sich in unsere Workshop-Mailingliste ein.

Anmeldung für einen bevorstehenden Workshop
Anmeldung für Workshop
Anmeldung für Veranstaltungs-Updates