Die Zertifizierung zum CEH — Certified Ethical Hacker — ist mir immer wieder aufgefallen. So ist sie in sehr vielen amerikanischen Job-Beschreibungen als Voraussetzung angegeben. Interessant genug, um mal herauszufinden, was man in einem CEH-Training lernt und wie anspruchsvoll der Test ist.
Daher habe ich mich für die “Hacker Halted”-Konferenz und Live-Class vom 09. bis 15. Oktober in Miami angemeldet. Diese wird von EC-Council (der Organisation hinter der CEH-Zertifizierung) ausgerichtet und kann entweder als dreitägige Konferenz oder aus der Kombination vier Tage Training und der Konferenz gebucht werden.
Miami ist mit seinen ca. 25 bis 28 Grad auch im Oktober noch schön warm und nach Feierabend ist es draussen wirklich noch angenehm. Die Konferenz fand im Hotel Intercontinental in Downtown Miami statt, was eine durchaus schöne Umgebung ist. Passend für einen deutschen Besucher gab es vom 4. bis 9. Oktober auch das “Oktoberfest” im Hotel mit typisch deutschen Spezialitäten und dem typischen Oktoberfest-Bier:
Nicht bestätigen kann ich aber das Vorurteil, dass Miami eine reine Rentner-Stadt sei. Den Altersdurchschnitt habe ich nun wirklich nicht herunter gezogen, eher das Gegenteil.
Und eines meiner Lieblings-Motive habe ich natürlich auch wieder gefunden (im Bayfront Park, einem Einkaufszentrum):
Das Training
Die angebotenen Trainings wurden damit beworben, dass sie von den besten EC-Council CEH-Master-Trainern abgehalten würden. Und das sollte ja ein Zeichen für Qualität sein. Für den letzten Tag war sodann auch die Prüfung angesetzt.
Das Training lief allerdings doch anders, als ich es erwartet hatte.
Dass zum Start nicht alle Unterlagen da sind, das kann ja mal vorkommen. EC-Council hat es aber erst zum Ende des Kurses (eine halbe Stunde vor der Prüfung) geschafft, die Unterlagen für die meisten Teilnehmer nachzureichen. Manche haben die Unterlagen innerhalb dieser Woche überhaupt nicht bekommen. Wie man sich ohne Unterlagen auf die Prüfung vorbereiten soll, wurde später dann noch “beantwortet” … Dann fiel auf, dass dieses Training auch neben den fehlenden Unterlagen komplett unorganisiert war. Und das war nicht nur die Kaffeversorgung, sondern auch die Basis für ein gutes Training: Das Netzwerk. Ich kann nicht verstehen, wie man mehrere parallel stattfindende Hacker-Trainings mit insgesamt über 100 Teilnehmern (jeder mit einem PC und teilweise mehreren VMs) ohne ein separat aufgebautes Netzwerk stattfinden lassen kann. Ich habe mich nicht gewundert, dass das Netz regelmäßig zusammengebrochen ist und auch das Hotelnetz in den Tod gerissen hat. Auch dazu gleich noch mehr.
Am ersten Tag wurde als erstes eine DVD mit den Kurstools verteilt. Auf dieser befand sich neben diversen freien Tools und einer nicht funktionierenden Win2k-Server VM eine WindowsXP-VM als Vollversion, ein kommerzieller Webapplication-Scanner samt zugehörigem Crack und zwei Vollversionen von Testengines für den CEH-Test. Das hätte ich dann bei einem direkt von EC-Council ausgerichteten Training nicht erwartet. Und auch nicht in einem Training mit einem “Ethical” im Titel.
Der erste Tag war dann aber doch sehr vielversprechend. Der Trainer hat sehr gut erklärt und einige Themen wurden bei mir aufgefrischt und auch ein paar Lücken gefüllt. Weiteres Erstaunen gab es zum Ende des Trainings, mit der Aufforderung, jeden Abend 200 der Testfragen durchzuarbeiten. Unterlagen, die man durcharbeiten konnte gab es ja nicht, aber darauf hatte ich dann doch keine Lust. Miami bei Nacht ist aber klasse.
Der zweite Tag war dann das schlimmste Trainingserlebnis, das ich je mitgemacht habe. Angekündigt war für diesen Tag Nessus und (worauf ich mich besonders gefreut habe) Metasploit. Allerdings wurden vom Beginn um 8:30 bis ca. 14:00 nur Testfragen durchgearbeitet. Danach sollte es mit Exploit-Techniken weitergehen. Diese hat der Trainer an echten Webseiten gezeigt, bzw. nach ein paar Minuten versucht zu zeigen. Denn das Netzwerk ist mal wieder komplett zusammen gebrochen. Die nächsten zwei Stunden gingen dann mit dem Versuch drauf, ein neues geswitchtes Netz aufzubauen. Leider haben die Cisco 1900er Switche kein Auto-MDI und Crossover-Kabel waren leider auch nicht da. Nach ca. zwei Stunden stand dann aber doch ein Netz zur Verfügung, mit der UMTS-Broadband-Karte eines Teilnehmers. Der Metasploit-Teil war dann leider nur eine Vorführung von ein paar Funktionen, aber kein Wissenstransfer. Positiv war dann aber der Hinweis auf einen freien webbasierten Kurs, den ich auf jeden Fall durcharbeiten werde. Die Aufforderung zu den nächsten 200 Testfragen habe ich zugunsten von Miami bei Nacht wieder ignoriert. Das Leuchten der Hochhäuser ist fast so schön wie in Las Vegas.
Am dritten Tag gab es zum Glück nur ca. zwei Stunden Testfragen. Der Rest soll Webapplication-Security gewesen sein. Irgendwie ist das meiste dabei an mir vorbei gegangen. Oder effektiv wurde wirklich nur ein wenig XSS und SQL-Injection gemacht. Die meiste Zeit wurde wieder mit dem nicht funktionierendn Netz gekämpft. Und ein kurzer Blick auf die Methoden des Risk-Assessment waren an diesem Tag auch dabei. Als dann für den vierten und letzten Tag angekündigt wurde, dass an dem Tag kein Stoff durchgenommen wird, sondern nur ein Test-Examen (mit dieser vermutlich gecrackten Testsoftware) gemacht werden soll, da war mir klar, dass ich einen riesengroßen Fehler gemacht habe. Ich frage mich nur noch, ob der Fehler war, das Training überhaupt zu buchen oder aber ein Training zu buchen, bei dem am Kursende auch gleich die Prüfung gemacht werden soll. Vermutlich letzteres; von diesem Gedanken hängt halt auch ab, ob ich in Zukunft noch eine Hacker Halted besuchen werde (zweite Chance), oder ob das eine einmalige Sache bleibt. 200 Testfragen? Nun, dieser Beitrag wollte unbedingt angefangen werden. Und das geht am Hotel-Pool mit dem iPad, einem hervorragenden Mochito/Mojito und Blick auf das Meer und das nächtliche Miami Beach auch sehr gut.
Der vierte Tag bestand dann wie angekündigt am Vormittag wieder komplett aus Testfragen. Dabei habe ich dann u.a. gelernt, dass ein WLAN so lange nicht sicher ist, bis man WEP aktiviert. Zumindest in der Prüfung.
Nachmittags war dann ab ca. 14:30 die Prüfung dran. Da ich komischerweise einer der wenigen mit Internetzugang war, konnte ich die Web-based Prüfung machen, ca. 2/3 der Teilnehmer wurden auf einen späteren Termin in dieser Woche vertröstet. Die Lust auf diese Zertifizierung hatte ich zwar zu diesem Zeitpunkt schon fast komplett verloren, aber auslassen wollte ich sie dann doch nicht (Jäger und Sammler halt). Mit dem recht niedrigen Passingscore von 70% hat sich dann auch die Strategie bewährt, die Prüfungsfragen nicht auswendig zu lernen, wie uns aufgetragen wurde. Sehr vieles war mir u.a. aus der GCIH-Vorbereitung bekannt und oftmals hilft auch der “educated Guess”. Naja, Certified Ethical Hacker bin ich jetzt dann auch. Ein zusätzlicher Nachteil dieses Tests war, dass man keine Kommentare zu den Fragen hinterlassen konnte. Bei den Cisco-Tests bringt das zwar auch nichts, aber es befreit, wenn man in den Kommentaren jemanden beschimpfen kann, wenn eine Testfrage mal wieder komplett sinnfrei ist. Und davon gab es auch in dieser Prüfung etliche.
Gewundert hat mich auch, was ich so alles an Tools nicht kannte, die in den Fragen vorkamen. Das eine oder andere werde ich in den inzwischen vorhandenen Unterlagen aber sicher nachlesen.
Und das Resumé zum Training und dem CEH?
Der CEH hebt meiner Meinung nach den Begriff Papier-Zertifizierung auf eine ganz neue Ebene, die selbst Microsoft früher nicht erreicht hat. Wenn in einem direkt von EC-Council ausgerichteten Training die Zertifizierungs-Integrität schon so mit Füßen getreten wird, dann besteht der Wert des Zertifikats wirklich nur aus dem Materialwert der HP-Tinte mit der die Zertifikate ausgedruckt werden. Effektiv kann man sagen, das der CEH hier einfach mit der Trainingsgebühr gekauft werden kann. Zumindest wenn man gut im Auswendig lernen ist.
Es zeigt sich aber auch hier irgendwie “you get what you pay for”. SANS-Trainings kosten über 50% mehr, haben dafür aber auch ein vielfaches an Gegenwert. Dort werde ich auch demnächst wieder ein Security-Training besuchen.
Die Konferenz:
Diese bestand aus zwei Tagen Vorträgen und einem weiteren Tag Training.
Wenn ich zur Cisco Networkers geschrieben habe, dass das WLan dort anfänglich meist instabil ist, so war es hier zum großen Teil einfach nicht existent, wie beim Training vorher auch schon. Auch hier war mir unbegreiflich, wie man sich bei so einer Konferenz auf das Hotel-WLan verlassen kann. Die fehlende Organisation, die sich schon im Training gezeigt hat, wurde hier konsequent fortgeführt.
In den zwei Tagen der Konferenz habe ich dann etliche Vorträge angehört, die von “sehr gut” bis zu “da hat der Vortragende wohl nur mit Zuhörern aus dem Marketing gerechnet” reichten. Die meisten waren dann aber doch recht gut und informativ.
Am Abend des zweiten Tages war dann auch die Hacker Halted Party. Der Club “Blush” wurde komplett reserviert und von 21 Uhr bis Mitternacht war “Open Bar”. Der Name des Clubs war Programm, denn es gab mehrere Bühnen mit durchaus attraktiven Tänzerinnen und auch die Bedienung war durchweg aufreizend angezogen. Aber hey, als wenn wir EDV-Heinis uns von solchen billigen Reizen beeinflussen lassen würden … 😉
Am Freitag war dann noch ein halber Tag Hands-On Training. In der ursprünglichen Programmbeschreibung war zwar 9:00 Uhr bis 15:00 Uhr angegeben, effektiv war es aber nur von 9:30 Uhr bis 12:30 Uhr. Vielleicht, um ein Mittagessen einzusparen? Apropos Hands-On … Steckdosen gab es nur in den Raumecken. Dass man für ein Hands-On-Training evtl. doch Strom am Notebook benötigt, das wussten die Organisatoren wohl nicht. Und mein MBP hat leider noch nicht diese neuen Akkus mit der enormen Laufzeit.
Die abschließende Frage ist natürlich ob sich diese Konferenz lohnt und ob man wieder herkommen sollte?
Insgesamt muss ich leider sagen, dass viel angekündigt, aber bei weitem nicht alles gehalten wurde. Ich habe interessante Kontakte geknüpft und die Party … ja, ok, auch nicht schlecht. 🙂 Aber ich habe ja noch ein dreiviertel Jahr Zeit, mich zu entscheiden, ob ich bei der nächsten Hacker Halted wieder dabei bin.
Bist du jetzt nicht “gezungen” an weiteren Konferenzen teilzunehmend amit du den Status erhalten kannst ?
Wäre interesant ob die Kurse hierzulande besser organisiert sind bzw ob man da was brauchbares lernen kann, das hier ist ja eher ein abschreckendes Beispiel 🙂
Aber selbst wenn der Kurs gut gemacht wird, erm WEP ? Windows Server 2k ?! Das sind schon mal Dinge auf die man eigentlich in freier Wildbahn bzw dort wo es was interessantes zu holen gibt nicht mehr antreffen sollte.
Was sind den die “unbekannten” Tools ? Bzw wo gibts den freien metasploit Kurs ?
Auch für den CEH gibt es das Konzept der “continuing Education”. Das muss aber nicht die Konferenz sein, sondern kann in vielen Weisen erfüllt werden. Jetzt muss ich alles was Weiterbildung war halt nicht nur beim ISC2 eintragen, sondern auch beim EC-Council.
Ob die Kurse hier besser sind? Nun, schlechter ist kaum möglich …
Den Metasploit-Kurs gibt es bei Offensive-Security:
http://www.offensive-security.com/metasploit-unleashed/Metasploit_Unleashed_Information_Security_Training
Danke für diesen Beitrag, ich fand diese Zertifizierung schon immer etwas suspekt. Nach dieser Schilderung werde ich mich doch einmal mit denen hier beschäftigen:
http://www.isecom.org/osstmm/