10 Nisan 2016 Pazar

CEHv9 Üzerine

18 Şubat günü BGA'nın Istanbul ofisinde, lanet olası emperyal sertifika şirketi olan EC-Council'in Certified Ethical Hacker olarak bilinen CEH sertifikası için sınava girdim.

Sınav bildiğiniz üzere 125 sorudan oluşuyor ve 4 saat gibi abartı bir süresi var. Çoktan çok seçmeli tarzda sorulardan oluşuyor.

Sınava nasıl hazırlandığımı, ne yapmanız, nerelere çalışmanız gerektiğini anlatan tavsiyelerde bulunmadan önce vereceğim bir ön uyarı olacak -kendi çapımda, herhangi bir iddaası bulunmayan biri olarak.-
Elinizde imkanınız var ise Kali linux'un yapımcıları olan Offensive Security'nin, OSCP olarak bilinen sertifikasına hazırlanın. Tamamen pratik üzerine kurulu bu sertifika ile eliniz kirleniyor, işin içine giriyorsunuz. Fakat CEH çoğunlukla teoriler ile ve arada bu işlerde kullanılan bir kaç araçtan bahsediyor. Yanisi CEH'ten uzak durun eğer alma mecburiyetiniz yok ise. Kendi dökümanlarında sürekli windoz ile işlem yapıyorlar bir de namıssızlar. La bu Linux size ne etti Ec-Council.
Sınavı geçmek aslında basit. Eğer iyi kötü sektörün içinde iseniz veya meraklı, okumayı seven biriyseniz zaten bir çok konuyla ilgili fikriniz vardır. Ve bunlar çalışma/sınav sırasında işinize yarayacaktır. Şahsen öğrencilik zamanımda -sanki mezun olalı yıllar olmuş gibi :)-  ilgi alanımda olsun, olmasın bir çok blog, döküman okurdum. Onların çokça faydasını gördüm.

Sertifikayı almaya niyetli ve temel web, network, sistem bilginizin olduğunu varsayarsak düzenli olarak soru çözerek işi kolayca bitirebilirsiniz.
Bunun için size iki yol;
  1. Skillset efsanesi ile tanışın.
  2. Ortamlarda dolaşan CEH soru dump'ını 1 defa çözün
İlkini yapar iseniz ikincisine gerek bile yok aslında. Neden mi? Çünkü, Skillset zaten soru dumpları ve benzeri olan, sınavda çıkabilecek soruları içeriyor.

Skillset, Skillset, Skillset

Şuan adını da iyice duyurduğu için programını genişletip paralı üyelikler sunmaya başladılar. Fakat ücretsiz üyelik size sınavlar için yeter de artar bile.
Sitede bulunan ve hazırlanabileceğiniz sertifikaların listesi şöyle bişey;

İlk çıktığı zamanlara göre çok iyi bir değişim gösterdiler.Soruları kategoriler halinde sunuyorlar, kategoriler halindeki sorularda zorluk seviyelerine göre level-level karşınıza çıkıyor.

Sınava girdikten sonraki gün adamlar yeni bir özellik getirdi. -şansımı seviim-
CEH sınavını simüle eden bir test. Bu test ile CEH sınavında olduğu gibi 125 soru karşınıza çıkıyor ve çözmeye çalışıyorsunuz.
İsterseniz normal kategorilerden sorular ile kendinizi bu teste hazır hissettikten sonra burada zaman geçirebilirsiniz.

Skillset üzerinde olan soruları, en azından her kategorinin yarısına kadar, çözdükten sonra CEH isimli sınav size kek gelecektir. Çünkü sorular inanılmaz benzer çıkabiliyor.
Hızlı soru çözen, test mantığıyla yardıran biri olduğum için kısa sürede çok soru çözebiliyordum.
İşteyken canım sıkıldığında 2-3 test çözerdim, akşam evde yardırırdım, derken 2bin küsür soru çözmüşüz. Sınava girdiğimden bu yana bakmıyordum, son görüntü bu şekilde olmuş.

Farklı modlar gelmiş sanırım. Artık onları keşfetmek size kalıyor.


Sınav Tecrübesi

Sınav online olduğu için bilgisayar başında, browser üzerinden gerçekleşiyor. Sınavı düzenleyen kurum ortamı hazırladıktan sonra gerisi sizin başlamanıza kalıyor. Soruları çözdükçe/gördükçe bir combobox'un içi soru numaraları ve başlığıyla doluyor ve sorular arasında geçiş yapabiliyorsunuz. İstediğiniz gibi geri dönüp takıldığınız sorulara bakabilirsiniz.
Bileceğiniz üzere sınavın dili ingilizce. Sınavı bitirme butonuna, End Exam veya End Task mıydı hatırlayamadım, basana kadar süreniz dahilinde sorular arasında istediğiniz gibi dolaşabilirsiniz.

Hızlı bir şekilde soruları çözmeye başladım ve yaklaşık 1 saatte tüm soruları bitirdim. Fakat derin bir şekilde sorular üzerine düşünmeden yaptığım için böyle oldu. Emin olmadığım soruların numaralarını bir kağıda not almıştım. Daha sonra dönüp bunlara tekrardan baktım ve sınavı başa sardım :)
Bu sefer ağır ağır, zamanın tadını çıkararak çözdüm. Bu arada yanlışlarımı görüp bir kaç sorunun da cevabını değiştirdim. Böylesi bir gidiş hoşuma gitmişti ve faydası oldu diyebilirim, çünkü soruları tekrar okuduğum zaman aklımda belli bir cevap beliriyordu.

Sınavda karşıma çıkan sorulardan hatırladıklarım;
  • Risk assessment, policy, procedure kavramları
  • Black box - White box pentesting kavramları, ayrı ayrı 2 soru şeklinde
  • Nmap ile ilgili 3-5 soru vardı
  • CSRF, XSS gibi zafiyetler sözel şekilde vardı
  • OWASP Mobile Top 10 ile ilgili bir soru
  • Ethical heçkırlık ile ilgili sorular
  • Pentest sırasında karşılaştığınız extrem bir durumda nasıl aksiyon alacağınız ile ilgili soru
  • Windows LM Hash özelliklerine dair soru
  • Regulatory compliance'lar ile ilgili sorular
  • Covert channel 
  • Güncel güvenlik zafiyetleri
  • Shellshock ile ilgili 2 soru vardı sanırım 
  • HeartBleed zafiyeti
  • gibi gibi,

Sınav sonucu aldığım görüntü ile yazıyı sonlandıralım.






4 yorum:

  1. OSCP ye hazırlanmayla ilgili önerileriniz var mı

    YanıtlaSil
    Yanıtlar
    1. merhaba, yakın zaman OSCP aldım. musait oldugum bir zamanda onun hakkında da bir blog yazısı yazma planım mevcut.

      Sil
    2. Yunus hocam merhaba, ben 10 kasım 2017 tarihinde ceh sınavına girdim bga'da geçtim sınavı, digital sertifikayı aldım fakat ev adresime hala gelmedi, 1.5 ay oldu sizce normal mi? Sizinki kaç günde gelmişti hocam?

      Sil
  2. Hey Thanks for sharing this blog its very helpful to implement in our work.



    Regards
    Hire a Hacker for Facebook

    YanıtlaSil