| ... | @@ -13,13 +13,19 @@ En un principio se discutieron qué acercamientos al problema del entrenamiento |
... | @@ -13,13 +13,19 @@ En un principio se discutieron qué acercamientos al problema del entrenamiento |
|
|
Donde al estudiante se le presentan distintos tipos de vulnerabilidades, se le brinda información acerca de las mismas y se le pide que resuelva pequeños problemas relacionados con dichas vulnerabilidades.
|
|
Donde al estudiante se le presentan distintos tipos de vulnerabilidades, se le brinda información acerca de las mismas y se le pide que resuelva pequeños problemas relacionados con dichas vulnerabilidades.
|
|
|
|
|
|
|
|
La mayor virtud de este enfoque es que no solo provee al estudiante con toda la información requerida para realizar cada etapa, sino que evita que el mismo se "tranque" en un problema y se rinda, ya que a cada paso se le pueden brindar pistas para que avance.
|
|
La mayor virtud de este enfoque es que no solo provee al estudiante con toda la información requerida para realizar cada etapa, sino que evita que el mismo se "tranque" en un problema y se rinda, ya que a cada paso se le pueden brindar pistas para que avance.
|
|
|
|
|
|
|
|
Para este tipo de entrenamiento encontramos varias herramientas útiles. Una es por ejemplo el Owasp Site Generator (https://www.owasp.org/index.php/Owasp_SiteGenerator). Esta herramienta permite crear páginas web dinámicamente en base a archivos XML con vulnerabilidades predefinidas (algunas simples, fáciles de explotar/detectar y otras más complejas). Trabaja sobre el framework .NET y las páginas contienen Javascript, Flash, Java, etc.
|
|
|
|
|
|
|
|
|
|
|
* Entrenamiento en base a **retos**:
|
|
* Entrenamiento en base a **retos**:
|
|
|
|
|
|
|
|
Un enfoque "sink or swim" en el cual se pone al estudiante frente a un escenario del cual posee muy poca o nula información y se le pide alcance ciertos objetivos (desde obtener información acerca del servidor de la página hasta lograr obtener poderes de superusuario en el mismo).
|
|
Un enfoque "sink or swim" en el cual se pone al estudiante frente a un escenario del cual posee muy poca o nula información y se le pide alcance ciertos objetivos (desde obtener información acerca del servidor de la página hasta lograr obtener poderes de superusuario en el mismo).
|
|
|
|
|
|
|
|
Este enfoque puede ser muy interactivo y generar un nivel de involucramiento en el usuario que facilita la incorporación de nuevos conocimientos.
|
|
Este enfoque puede ser muy interactivo y generar un nivel de involucramiento en el usuario que facilita la incorporación de nuevos conocimientos.
|
|
|
|
|
|
|
|
Sopesando las ventajas y desventajas de ambos enfoques se observó que un acercamiento mixto al problema sería la solución óptima: una serie de lecciones guiadas seguidas de uno o más retos (potencialmente opcionales) relacionados a los temas tratados en las leccones. Hipotetizamos que esto permitirá que el usuario adquiera los conocimientos teóricos y prácticos de los problemas relacionados a la seguridad informática en un entorno que promueve el pensamiento creativo al mismo tiempo que provee las herramientas necesarias para realizar cada tarea que se propone.
|
|
Para este tipo de entrenamiento también encontramos varias herramientas útiles. Por ejemplo, Foundstone ofrece simulaciones de sitios reales, como por ejemplo el sitio web de un banco sobre el framework .NET (http://www.mcafee.com/us/downloads/free-tools/hacme-bank.aspx) con web services para estudiar e intentar exploits reales, o el sitio de un casino online (http://www.mcafee.com/us/downloads/free-tools/hacme-casino.aspx) escrito sobre Ruby on Rails que permite estudiar los problemas de seguridad que potencialmente pueden surgir en este tipo de aplicaciones.
|
|
|
|
|
|
|
|
Sopesando las ventajas y desventajas de ambos enfoques se observó que un acercamiento mixto al problema sería la solución óptima: una serie de lecciones guiadas seguidas de uno o más retos (potencialmente opcionales) relacionados a los temas tratados en las lecciones. Creemos que esto permitirá al usuario adquirir los conocimientos teóricos y prácticos de los problemas relacionados a la seguridad informática en un entorno que promueve el pensamiento creativo al mismo tiempo que provee las herramientas necesarias para realizar cada tarea que se propone.
|
|
|
|
|
|
|
|
## Temario
|
|
## Temario
|
|
|
|
|
|
| ... | |
... | |
| ... | | ... | |
