Lab401 Workshop: Physisches Pentesting mit verdecktem Eindringen
Einführung
Physische Penetration ohne Verletzung ist ein Eckpfeiler von Penetrationstests.
Kunden aller Erfahrungsstufen werden diesen Workshop als kompetente physische Penetrationstester verlassen.
Der Schwerpunkt liegt auf praktischem Training: Schlösser knacken, Riegel und Sicherheitstüren umgehen, Schlüssel fälschen, Schlüssel von einem Bild entschlüsseln, Privilegienerweiterung bei einfachen und fortgeschrittenen Hauptschlüsselsystemen erlernen, RF- und RFID-Berechtigungsnachweise identifizieren und duplizieren...
Nach der dreitägigen Schulung verfügen die Kunden über die notwendigen Fähigkeiten und Werkzeuge, um eine Vielzahl von Orten zu überprüfen und zu betreten, darunter öffentliche (Hotels usw.), gewerbliche (Büros, Firmensitze, Lagerhäuser) und industrielle Standorte (kritische Infrastrukturen: Strom, Sicherheit usw.)
Alexandre Triffault
Experte für physische Sicherheit
Sicherheitstrainer für Pentester, Informatiker und das Militär seit 10 Jahren, Alexandre Triffault ( @Frenchkey_FR ) entwickelt Werkzeuge und Techniken, um physische Sicherheitsvorrichtungen zu umgehen (https://www.intrusion.eu/) . Spezialisiert auf den 3D-Druck von Schlüsseln und Werkzeugen, besteht seine Arbeit darin, Schwachstellen in elektronischen oder mechanischen Zugangskontrollsystemen zu finden und auszunutzen.
Er ist Weltmeister in der Abdrucktechnik (LockCon 2016). Er ist außerdem wissenschaftlicher Mitarbeiter des Labors für Virologie und Kryptologie bei ESIEA und gibt Kurse in physischer Sicherheit an mehreren IT-Schulen und bietet Schulungen und Beratung für mehrere staatliche und private Organisationen in Europa an. Im Laufe der Jahre hat er seine Forschungen auf verschiedenen internationalen Konferenzen und Workshops vorgetragen, wie Nuit du Hack (FR), Defcon Lockpick Village (US), Hackito Ergo Sum (FR), LockCon (NL), SigSegV1 (FR), IT Defense (DE), GS Days (FR)...
Vorgesehenes Publikum
- Pentester
- Red-Teamer
- CISO
- Sicherheitsfachleute
- Strafverfolgungsbehörden / Regierung
Voraussetzungen
- Es sind keine Vorkenntnisse über Schlösser, Schlüssel oder Lockpicking erforderlich.
- Ein Interesse an physischer Sicherheit
- Kunden können ihre eigenen Schlösser, Schlüssel und Werkzeuge mitbringen, falls gewünscht
Materialien zum Mitnehmen
- Ausführliches Schulungshandbuch.
- Lockpicking-Kit
- Bypass-Kit
- RFID/RF-Aufklärungswerkzeuge
Kommende Termine
- 📅 15. bis 17. Juni 2020 📍 Paris, Frankreich 🇫🇷/🇬🇧
- 📅 15. bis 17. Juli 2020 📍 Paris, Frankreich 🇫🇷/🇬🇧
Anmeldung für einen kommenden Workshop
Anmeldung für WorkshopDetaillierte Kursübersicht
Erster Tag
Einführung in das physische Eindringen + Angriffe auf gängige Büroschlösser
Tag 1 bietet einen Überblick über die möglichen Ziele und Szenarien, die einem Angreifer in der realen Welt zur Verfügung stehen, sowie die erste Lockpicking-Sitzung des Kurses.
- Soziales Engineering
- Klettern
- Öffnung des Zugangs
- Die verschiedenen Arten von Schlössern
- Wie sie funktionieren
- Wie man sie identifiziert
- Gelegenheitseinbrecher (Opportunist)
- Organisiertes Einbrecherteam
- Industriespionage
- Identifizierung
- Lockpicking
- Entschlüsselung
- Rüttler
- Identifizierung
- Selbsteinprägung
- Lockpicking
Tag zwei
Stiftzuhaltungsschlösser + Vorhängeschlösser (Kombinationen und mit Schlüssel)
Tag 2 konzentriert sich auf das Erlernen und Üben verschiedener Lockpicking- und Bypass-Techniken an Stiftzuhaltungsschlössern, Vorhängeschlössern und Kombinationen.
- Raking/Single Pin Picking
- Spezifische Werkzeuge
- Technik
- Tipps und Tricks
- Mechanische Pickpistole
- Elektronische Pickpistole
- Tension Tools im Detail
- Dietriche
- Kämme
- Unterlegscheiben (wo möglich)
- Klingenumgehung (soweit kompatibel)
Tag drei
Der Schlüssel, die Tür, die RF- und die RFID-Vektoren
An Tag 3 ist es an der Zeit, über den Tellerrand hinauszuschauen, da dem Pentester mehrere zusätzliche Angriffsvektoren zur Verfügung stehen.
- Abformen
- Ablage
- Foto-Dekodierung
- Spezielle Techniken
- Kennzeichnung
- Fabrikation
- Verschiedene Techniken (Push/Pull)
- Einführung
- Identifizierung
- Kompatible Schlösser
- Tagesschlösser
- Über Riegel
- Über Griffe
- Unter-Tür
- Not-/Druckstangen-Türen
- Identifizierung
- Angriffs-Vektoren
- Anfällige Systeme
- Einführung
- Identifizierung
- Angriffsvektoren
Workshop Schlussfolgerung
- Zusammenfassung: Angriffsvektoren
- Zusammenfassung: Werkzeuge und Techniken
- Mögliche Gegenmaßnahmen
- Hausaufgaben: Wie man Fähigkeiten entwickelt
- Rechtliches: Nicht in den Knast gehen
Wie kann man teilnehmen?
Die Workshops finden in regelmäßigen Abständen statt, wobei bei Bedarf auch die Möglichkeit von Einzelsitzungen besteht. Wenn Sie über anstehende Workshop-Termine informiert werden möchten, tragen Sie sich in unsere Workshop-Mailingliste ein.