Tero Karvinen - Learn Free software with me

Apache installed with Ansible - quick notes

Thu, 09 Apr 2026 16:10:04 +0300

Install Apache 2 web server automatically. Serves a web site on the front page of http://localhost. Pages can be edited as a normal user - without root or sudo.

Simplified Ansible role. An example of package-file-server pattern. Just notes, no tutorial.

Using these short notes require a working Ansible configuration - Hello Ansible.

Package-file-service pattern

Daemons, like Apache2 web server, are somewhat similar. They are configured with package-file-service pattern. Install the daemon, change configuration by editing files, start it.

package - sudo apt-get install apache2
files - sudoedit /etc/apache2/...
service - sudo systemctl restart apache2

Changes to configuration files only take effect after you kick the daemon. Thus, file in tasks/main.yml notify the handler "restart apache2".

tree of roles/apache2/

roles/apache2/ # All files related to "apache2" role
├── files/ # Master copies of files
│   └── example.com.conf
├── handlers/ # restarting services
│   └── main.yml
└── tasks/ # most ansible code
└── main.yml

tasks/main.yml

- apt:
 name: apache2
 state: present

- copy:
 dest: "/etc/apache2/sites-available/example.com.conf"
 src: "example.com.conf"
 owner: "root"
 group: "root"
 mode: "0644"
 notify: restart apache2

- file:
 src: /etc/apache2/sites-available/example.com.conf
 dest: /etc/apache2/sites-enabled/example.com.conf
 owner: root
 group: root
 state: link
 notify: restart apache2

handlers/main.yml

- name: restart apache2
 systemd:
 name: apache2
 state: restarted

files/example.com.conf

# Managed file, changes will be overwritten

<VirtualHost *:80>
 ServerName example.com
 DocumentRoot /home/tero/publicsite/

 <Directory /home/tero/publicsite/>
 require all granted
 </Directory>
</VirtualHost>

Adminstrivia

Apache httpd logo is a trademark of The Apache Software Foundation.

Passwordless Sudo with Ansible

Thu, 02 Apr 2026 16:44:50 +0300

Sudo without password, automatically. Short example role for ansible.

The role

creates a new user in "sudoless" group
adds a sudoers.d/ NOPASSWD rule for the group

Prerequisites

Applying this example file requires you to have Ansible working.

Tero's rule #1 for IaC: Manual before auto.

So it's a good idea to try creating passwordless sudo manually first.

Draft: This article has commands written from memory. It has not gone trough quality assuarance and testing yet.

Tree

$ tree -F
./
├── ansible.cfg
├── hosts.ini
├── roles/
│   ├── antero/
│   │   └── tasks/
│   │   └── main.yml
│   └── world/
│   └── tasks/
│   └── main.yml
└── site.yml

Role - antero

cat roles/antero/tasks/main.yml

- group:
 name: "sudoless"
 state: present
- user:
 name: "antero"
 state: present
 groups: ["sudoless", "sudo", "adm"]
- authorized_key:
 user: "antero"
 key: "ssh-ed25519 U2VlIHlvdSBhdCBUZXJvS2FydmluZW4uY29tIQ== tero@example.com"
- copy:
 dest: "/etc/sudoers.d/sudoless"
 content: "%sudoless ALL = (ALL) NOPASSWD: ALL\n"
 owner: "root"
 group: "root"
 mode: "0644"

First run - chicken or egg?

For the first run, you don't yet have sudo without password.

Let's make ansible try for sudo rights. Add "become: true" in the correct block in site.yml:

- hosts: all
 become: true
 roles:
 - world
 - antero

$ ansible-playbook site.yml

Now it should complain that sudo needs password. Ansible asks this with -K aka --ask-become-password.

$ ansible-playbook site.yml --ask-become-password

Tips

When you got it to work manually, you have your example. Copy it to automation!

Copy paste paths.
Copy files or file contents.
Use 'stat' to check for modes (permissions). Do not guess octal permissions, you have to understand them to avoid privesc worries.

Some IaC programs only reliably understand octal modes (numbers), and only as strings. I would also recommend explicit leading zero meaning no special permissions (no setgid...). So "0644", in quotes. Maybe it has improved over the years? Who knows.

Sudo without password

Thu, 02 Apr 2026 16:04:03 +0300

Ansible needs root on the slave. One way is to allow 'sudo' without password.

Summary for gurus (the rest of us can read the article):

$ cat /etc/sudoers.d/sudoless
%sudoless ALL = (ALL) NOPASSWD: ALL

Draft: This article has commands written from memory. It has not gone trough quality assuarance and testing yet.

This short tutorial assumes you know the basics of Linux command line and have installed openssh-server.

Create the new user

Let's create a user and add it to "sudoless" group that we'll set up later. We'll call him antero, a neologism from "Ansible" and "Tero", yours truly.

Always use only good passwords. Never use bad passwords, even for a moment. Practice doing it right, don't practice doing it wrong.

$ sudo adduser antero
$ sudo groupadd sudoless
$ sudo adduser antero sudoless

Broken sudo insurance

Open a new window, ssh to target machine as needed. Then open a root shell using sudo.

If we break sudo, this might be a way to fix it. Otherwise, broken sudo prevents us from using sudo to fix the broken files.

$ sudo -i # just while fiddling with sudoers

We don't wont to work in the root shell (where the prompt is a hash "#").

So leave the root shell window behind and go back to the normal window.

New sudoers rule

Let's create a sudoers rule that allows members of "sudoless" group use 'sudo' without password.

Visudo runs our default $EDITOR. But has some checks for obvious errors.

As usual, we'll use .d/ dirs if available. And luckily, sudoers has /etc/sudoers.d/.

$ sudo visudo /etc/sudoers.d/sudoless

Add our oneliner there

%sudoless ALL = (ALL) NOPASSWD: ALL

What does the sudoers line mean?

Token	Meaning
%sudoless	Percent "%" means group
ALL	All computers
=	Literal equals "=", a separator
(ALL)	Runas: may become any user, including root
NOPASSWD	Tag: don't prompt for password
:	Literal colon ":", a separator
ALL	All commands permitted

So it's something like:

%group COMPUTERS: (RUNAS) TAG: COMMANDS.

Test

not tested == not done

New groups are effective only after logout-login. So if you're logged in as "antero", log out and back.

If you have recently given 'sudo' commands as "antero", sudo will remember your credentials for a while. Use 'sudo -k' to forget them.

$ ssh antero@localhost
$ sudo -k
$ sudo echo "See you at TeroKarvinen.com"
See you at TeroKarvinen.com

No password asked? Great! You now have passwordless sudo. You could use it with Ansible.

Adminstrivia

Sudo logo my Mark Stillman 2019, received under CC-BY-4.0.

DORA & Threat Lead Penetration Testing with Marko

Tue, 31 Mar 2026 14:54:33 +0300

Banks are now required to do red teaming exercises. Marko Buuri (Bank of Finland) showed us how TIBER-FI helps to create threat intel based red teaming exercises.

Marko's visit was part of my Penetration Testing course. You can join my list to get invitations to similar events.

Synopsis

Cybersecurity red team testing has evolved from underground art to regulated operations in the European financial sector. This lecture explores the requirement for advanced threat-led penetration testing in EU's DORA regulation, and practical guidance on how those projects are organized and delivered according to the TIBER-EU guidance across Europe.

Slides

Buuri 2026: DORA and TLPT testing - Lecture for Haaga-Helia on 31 March 2026 (pdf, 2 MB)

Slides taster

You can download the whole deck.

Bio

Marko Buuri is cyber security adviser in the Bank of Finland (Suomen Pankki). He has over 20 years of in-house and consulting cyber experience. Since 2020 he's been involved in implementing and operating TIBER-FI red team testing framework for the financial sector in Finland.

SSH public key - Login without password

Thu, 26 Mar 2026 14:50:58 +0200

SSH is the leading solution for securily logging into servers.

Many products use SSH in the background: git, rsync, ansible...

Public key authentication is quite convenient. You don't need to type your password for every 'git push' or 'ansible-playbook'. Use correctly, it can also make your server more secure.

This example is written for Debian 13-trixie.

Draft: This article has commands written from memory. It has not gone trough quality assuarance and testing yet.

Install SSH

Install the OpenSSH-server package

$ sudo apt-get update
$ sudo apt-get -y install ssh

Make SSH daemon start on boot (enable) and also start it now (--now)

$ sudo systemctl enable --now ssh

Test SSH

Normally, you would say user@host, such as tero@example.com. Here, we can leave out username, as it's the same on both machines.

$ ssh localhost

With 'w', you can see yourself logged in twice: once on the desktop, once trough ssh.

remote$ exit

Generate a keypair

$ ssh-keygen # enter enter enter to accept the defaults

If you already have a keypair, don't overwrite it. The public key ($HOME/.ssh/id_*.pub) is literally public, you can use the same public key in all hosts. The public key ends with ".pub".

If you need the public key for VPS (virtual private server) provider, you can see and copy-paste your keys with 'head $HOME/.ssh/id*.pub'.

Copy it to hosts where you can already log in.

$ ssh-copy-id localhost

Once you've entered your password for the last time, ssh-copy-id adds your public key into .ssh/authorized_keys on the remote machine. Now your key is authorized for logins.

Your public key is used automatically

$ ssh localhost

Did you log in without giving your password?

Well done, you've now automated login with SSH public keys.

Troubleshooting

Here are some helpfull troubleshooting commands.

Client side:

$ ssh -v localhost

Server side:

$ sudo journalctl --follow
$ sudo systemctl status ssh

Hello Ansible

Thu, 26 Mar 2026 14:39:42 +0200

Write infrastructure-as-code, control multiple machines easily.

In this Ansible tutorial, we create a single file in /tmp/.

In this whole tutorial, we'll create only 4 folders and 4 short files. But I'll show you how to build it step by step, so you can understand and adapt the process.

Draft: This article has commands written from memory. It has not gone trough quality assuarance and testing yet.

Background

Ansible is a configuration management tool. You write your infrastructure as code (IaC). You describe the end state, and ansible only makes changes if they are needed.

Ansible works trough SSH. Thus, the slave computers only need SSH daemon and Python installed.

This tutorial is tested with Debian 13-Trixie. You can probably adapt it to other Linuxes, like Kali or Ubuntu. We'll use ssh daemon on the same host for testing, so the master and the slave are the same computer here.

Test SSH account (without Ansible)

Ansible works trough SSH. Let's first test that we can use SSH without Ansbile.

It's advertised as "agentless", and indeed there is no slave daemon for ansible. It still needs SSH daemon and Python on slave machine. Ansible (the command) is only needed on master side. Master computer is also known as "controller" in Ansible lingo.

It's a good idea to set up passwordless SSH authentication for the account used with ansible. Check out Karvinen 2026: SSH public key - Login without password.

$ ssh localhost
remote$ exit

Install Ansible

Ansible is convenintly in Debian repositories.

$ sudo apt-get update
$ sudo apt-get install ansible micro bash-completion tree

Only ansible is really needed. Extras make it easier to work: - micro (text editor) - bash-completion (tab fills current word) - tree (show a tree of files and folders)

Test SSH with Ansible

Let's make a folder for our Ansible configuration.

$ cd
$ mkdir ansible/
$ cd ansible/

Let's write a list of hosts we'll be controlling. Create "hosts.ini", and add "localhost" there.

$ micro hosts.ini
$ cat hosts.ini
localhost

Later, we can add more hosts. One line per host. The hosts can be grouped, so we can have hosts in "web" category and five in "db".

Now we can make Ansible run a command on all hosts.

$ ansible all -a 'uptime' -i hosts.ini
...
localhost | CHANGED | rc=0 >>
15:24:39 up 14 days, 20:36, 2 users, load average: 0.55, 0.44, 0.47

We're just testing ansible here. If we just wanted to run command on remote machine, we could have 'ssh localhost "uptime"'.

Did you see the uptime? Great, Ansible can now use SSH to one host.

<a name="pythonversion"

Convenience: Stop whining about Python version

Why does Ansible have to whine about Python version? Oh, it could change - who could have guessed...

$ ansible all -a 'uptime' -i hosts.ini
[WARNING]: Host 'localhost' is using the discovered Python interpreter at '/usr/bin/python3.13', but future installation of another Python interpreter could cause a different interpreter to be discovered. See https://docs.ansible.com/ansible-core/2.19/reference_appendices/interpreter_discovery.html for more information.
localhost | CHANGED | rc=0 >>
15:29:24 up 14 days, 20:41, 2 users, load average: 0.27, 0.29, 0.39

Let's tell it to use the obvious Python command. We can add variables to host groups in inventory. This one we'll add to all.

$ micro hosts.ini
$ cat hosts.ini
localhost
[all:vars]
ansible_python_interpreter=/usr/bin/python3

So our only host "localhost" at the top, and variables for all hosts at the bottom.

Let's try again:

ansible$ ansible all -a 'uptime' -i hosts.ini
localhost | CHANGED | rc=0 >>
15:31:18 up 14 days, 20:43, 2 users, load average: 0.18, 0.27, 0.37

We can see that the Python version warning is gone.

Convenience: Just use my hosts.ini

Don't want to write "-i hosts.ini" for each 'ansible' and 'ansible-playbook' command?

You can add hosts.ini to ansible.cfg, so you don't need to add it to each command line.

$ micro ansible.cfg
$ cat ansible.cfg
[defaults]
inventory = hosts.ini

Now we don't need to add "-i hosts.ini" to every 'ansible' and 'ansbile-playbook' commands.

$ ansible all -a "uptime"
localhost | CHANGED | rc=0 >>
15:22:18 up 14 days, 20:34, 2 users, load average: 0.35, 0.37, 0.46

Site.yml - what computers get which roles

Site.yml lists wich groups of computers get which configuration (roles).

We want all computers to get the role "hello". We have not written the role yet.

$ micro site.yml
$ cat site.yml
- hosts: all
roles:
- hello

Let's run our new playbook, site.yml

$ ansible-playbook site.yml
[ERROR]: the role 'hello' was not found in /home/tero/code/terokarvinen-com/ansible/roles/:...
Origin: /home/tero/code/terokarvinen-com/ansible/site.yml:3:7
1 - hosts: all
2 roles:
3 - hello
^ column 7

Great, an error message! Most error messages bring us two letters: good news and bad news.

Good news: ansible-playbook has read our file, site.yml. It's even quoting some text from it.
Bad news: the role "hello" does not exist. Well, we have not written it yet.

First role - create a file

Role is one configured thing, for example nginx, apache2, postgresql...

But first, we'll create a "hello" role. It will create a file in /tmp/, on the slave computer. It's so simple it doesn't even need sudo.

Roles are in roles/ folder. There could be roles/nginx/, roles/postgresql/... But here, we'll have roles/hello/.

Each role folder will have standard subfolders. We'll just have tasks/. Often, we'll also see handlers/ for kicking daemons. The entry point, the code that get's run automatically, is in main.yml.

$ mkdir -p roles/hello/tasks/
$ micro roles/hello/tasks/main.yml
$ cat roles/hello/tasks/main.yml
- copy:
dest: /tmp/hello-ansible
content: "See you at TeroKarvinen.com!\n"

Let's run our playbook. Site.yml calls roles/hello/, tasks/main.yml is run automatically:

$ ansible-playbook site.yml
PLAY [all]
TASK [Gathering Facts]
ok: [localhost]
TASK [hello : copy]
changed: [localhost]
PLAY RECAP
localhost : ok=2 changed=1 unreachable=0 failed=0 skipped=0 rescued=0 ignored=0

Hey, it has "changed=1". So it claims to have changed the file on the slave.

Let's verify using a different tool.

$ ssh localhost 'cat /tmp/hello-ansible'
See you at TeroKarvinen.com!

Did you see the file on slave? Great, your first "Hello, Ansible world" has run.

Convenience: Show me what you do

Default is pretty terse:

TASK [hello : copy]
changed: [localhost]

A popular solution would be giving each task a name that repeats the code: "Copy our hello world text to the file /tmp/hello". To me, this would be similar to this C code: "i++; // increment the value of i by one". It would make sense to name a block of tasks in ansible, but this is not supported yet.

Luckily, we can make ansible print what it does. Add display_args_to_stdout:

$ micro ansible.cfg
$ cat ansible.cfg
[defaults]
inventory = hosts.ini
display_args_to_stdout = true

Now, let's run our playbook again:

$ ansible-playbook site.yml
...
TASK [hello : copy dest=/tmp/hello-ansible, content=See you at TeroKarvinen.com!
]
ok: [localhost]

Now we can see what it does:

- old: "hello : copy"
- new: "hello : copy dest=/tmp/hello-ansible, content=See you at TeroKarvinen.com!"

End result

This is what we have in the end

$ tree -F
./
├── ansible.cfg # generic configuration
├── hosts.ini # list of slave computers
├── roles/
│   └── hello/
│   └── tasks/
│   └── main.yml # code for "hello" role"
└── site.yml # which roles run on which slave
4 directories, 4 files
$ head -1000 ansible.cfg hosts.ini site.yml roles/hello/tasks/main.yml
==> ansible.cfg <== # generic configuration
[defaults]
inventory = hosts.ini
display_args_to_stdout = true
==> hosts.ini <== # list of slave computers
localhost
[all:vars]
ansible_python_interpreter=/usr/bin/python3
==> site.yml <== # which roles run on which slave
- hosts: all
roles:
- hello
==> roles/hello/tasks/main.yml <== # code for "hello" role
- copy:
dest: /tmp/hello-ansible
content: "See you at TeroKarvinen.com!\n"

And to run it all, we just run the playbook:

$ ansible-playbook site.yml
...
localhost : ok=2 changed=0 unreachable=0 failed=0 skipped=0 rescued=0 ignored=0

Troubleshooting Ansible

No trouble? No troubleshooting needed. Go enjoy your ansible!

No inventory

$ ansible all -a "uptime"
[WARNING]: No inventory was parsed, only implicit localhost is available
[WARNING]: provided hosts list is empty, only localhost is available. Note that the implicit localhost does not match 'all'
$

See: Convenience: Just use my hosts.ini

Ansible does not detect hosts inventory hosts.ini automatically. Use a command line flag for that:

$ ansible all -a "uptime" -i hosts.ini
...
localhost | CHANGED | rc=0 >>
15:17:49 up 14 days, 20:29, 2 users, load average: 0.25, 0.41, 0.51

You can add hosts.ini to ansible.cfg, so you don't need to add it to each command line.

$ micro ansible.cfg
$ cat ansible.cfg
[defaults]
inventory = hosts.ini

Now we don't need to add "-i hosts.ini" to every 'ansible' and 'ansbile-playbook' commands.

$ ansible all -a "uptime"
...
localhost | CHANGED | rc=0 >>
15:22:18 up 14 days, 20:34, 2 users, load average: 0.35, 0.37, 0.46

Discovered Python interpreter

$ ansible all -a 'uptime' -i hosts.ini
[WARNING]: Host 'localhost' is using the discovered Python interpreter at '/usr/bin/python3.13', but future installation of another Python interpreter could cause a different interpreter to be discovered. See https://docs.ansible.com/ansible-core/2.19/reference_appendices/interpreter_discovery.html for more information.

See Convenience: Stop whining about Python version.

Indent is two spaces: Tabs are usually invalid in YAML

[ERROR]: YAML parsing failed: Tabs are usually invalid in YAML.

Yes, my brain hurts, too. Why can't YAML use tabs like normal people?

You must indent with spaces. Each indent is two spaces. The error message will show where the mistake is:

[ERROR]: YAML parsing failed: Tabs are usually invalid in YAML.
Origin: ...ansible/site.yml:3:1
1 - hosts: all
2 roles:
3 - hello
^ column 1

Indent ignores the dash: conflicting action statements

[ERROR]: conflicting action statements: copy, dest Origin: ...ansible/roles/hello/tasks/main.yml:1:3

1 - copy: ^ column 3

$ cat roles/hello/tasks/main.yml
- copy:
dest: /tmp/hello-ansible # WRONG - too little indent
content: "Blah" # WRONG - too little indent

We want to have "copy", which has two children, "dest" and "content".

Correct:

- copy: # no indent, dash is first char on line
dest: /tmp/hello-ansible # four spaces on the left, two spaces from "c" in copy
content: "See you at TeroKarvinen.com!\n" # four spaces on the left, two from "c"

"But it looks like four" - I know, I know. It's two from the start of the word above, ignoring the dash.

Sudo needed

After a wait: "Task failed: Module failed: Failed to lock apt for exclusive operation: Failed to lock directory" and other error messages.

Ansible needs sudo on the slave to do administration. It does not complain when creating files on /tmp/, because anyone can create files there. But as soon as you start doing any normal sysop things, you will need sudo.

Add "become: true". That means becoming the sudo user on slave machine.

$ cat site.yml
- hosts: all
become: true
roles:
- apt
- sshd
# ...

Now it will probably complain it does not know your sudo password.

$ ansible-playbook site.yml --ask-become-pass

Now it asks your sudo password before running the commands.

If you get tired of typing your sudo password, there are many ways around it, with different levels of security. For example, you can create an ansible specific user with passwordless sudo. Or use ansible vault. Or pass. Or even read sudo password from file, which sounds less than secure.

Palvelinten Hallinta

Thu, 26 Mar 2026 09:52:19 +0200

Control 10, ~~100~~, ~~1000~~ many computers.

Or control 2071 computers, like Jussi did on a earlier course. Or handle 7 different operating systems and OS versions with a single master, like Matias.

Best instance got 5.0 / 5 feedback - all respondents gave the best grade 5.

Course, both instances
Course name and code	Palvelinten hallinta ICI001AS3A-3011 and -3013
Timing	2026 period 4, late spring, w13-w20
Credits	5 cr
Language	Finnish (+reading material in English)
Feedback	Reached 5.0 / 5 * Excellent feedback
Classes	-3011 online ke 17:40-20:30. -3013 pa5001 to 11:00-13:45. Both have mandatory participation.
Max students	50 online, 40 Pasila. (Come to the first class if you're queuing for place)
Remote	One course instance -3011 is fully remote. Other -3013 is face-to-face in Pasila pa5001.
First class	Online-3011 2026-03-25 w13 Wed 17:40 Zoom. Pasila-3013 2026-03-26 w13 Thu 11:00 pa5001, bring laptop.
Services	Moodle: Palvelinten hallinta -3011 online Wednesday evening; -3013 Thursday, Zoom, Laksu. Optional: Tero's list.

I've done some research on configuration management systems. I have written my doctoral dissertation on applying malware command and control techniques to benign configuration management systems. I've given an invited speech in IEEE ICIM Chengdu and a plenary speech in IEEE ICIM Oxford; I’ve also been teaching these modern methods to companies. Previous feedback for this course has been from very good 4.3 to excellent ~~4.9~~ 5.0 out of 5.

As the course is in Finnish, the rest of this page will be in Finnish.

Opintojakson suoritettuaan opiskelija

Osaa hallita palvelimia kuvailemalla tavoitetilan (idempotenssi)
Osaa tehdä asetukset pelkkänä tekstinä ja versioitavasti (infrastruktuuri koodina)
Pystyy tekemään tavalliset ylläpitotoimet valitulla työkalulla (yksi totuus)

Esitiedot

Esitiedot, kertaa nämä.

Opettele komennot ja hakemistot ulkoa. Harjoittele niitä kokeilemalla moneen kertaan Linuxissa.

Linuxin komennot, apt Command Line Basics Revisited
Tiedostojärjestelmän rakenne (etc, var…). Alkeet löytyvät samasta Command Line Basics Revisited
Demonien hallinta (esim Apache) Install Apache Web Server on Ubuntu (paitsi demonin potkaisu nykyisin 'sudo systemctl restart apache2')
Linuxin asentaminen virtuaalikoneeseen

Aikataulu

Kurssi kestää 8 viikkoa. Edellyttää aktiivista osallistumista etäopetukseen videokonfferensissa lukkariin merkittynä aikana. Läksyt palautetaan 24 h ennen seuraavan oppitunnin alkua ja ristiinarvioidaan kahden luokkakaverin työt. Tämä alustava aikataulu elää kurssin aikana.

Tunnit tiistaisin online 08:00 - 10:45 videokonfferenssina.

Päivä	Aihe
Perusteet
w13	1. Hei maailma. Järjestäytyminen: osallistujat, kurssin käytänteet. Keskitetyn hallinnan periaateet, infra koodina. Raportit, git web-käyttö, MarkDown kertaus. Hei maailma!
w14	2. Infraa koodina. Konfiguraation kirjoittaminen koodiksi.
w15	3. Pkg-file-service eli demonien hallinta. Käsin tehdyn konfiguraation automatisointi.
w16	4. Esimerkkipalvelin. Käytännön esimerkki palvelimen konfiguroinnista.
w17	5. Versionhallinta. Git: init, clone, add, commit, pull, push, log. GitHub ja muut avustavat palvelut. Omien modulien aloitus., 2 hengen ryhmät.
Soveltaminen
w18	6. Soveltaminen. Käytännön tekniikoita ja esimerkkejä. Ongelmanratkaisua. / Torstain ryhmällä omien modulien esittely alkaa.
w19	7. Omien modulien esittely I.
w20	8. Omien modulien esittely II. (2026-05-14 w20 Thu on Helatorstai, torstain ryhmällä ei tuntia. Keskiviikon ryhmän online-opetus normaalisti.)

Oheismateriaalia, lukemista ja asennuspaketteja

Debian stable 13-trixie levykuva debian-live-13.4.0-amd64-xfce.iso (3.6 GB) Kun uusia versioita tulee, linkki vanhenee. Uusi löytyy samasta kansiosta.

Karvinen 2021: Install Debian on Virtualbox

Karvinen 2023: Create a Web Page Using Github

VirtualBox.org

Karvinen 2020: Command Line Basics Revisited

Ansible Community Documentation

Salo ym 2026: BlueTeamLab. Käynnissä olevassa projektissa rakennetaan SOC-harjoitusympäristöä. Linux, Windows, AD. OpenTofu, Ansible. VirtualBoxia ohjataan OpenTofulla.

Arviointi

Osien ohjeelliset painoarvot ovat: kotitehtävät 70% ja oma moduli 30%. Arvosana perustuu kokonaisarvioon suorituksista. Kaikki kotitehtävät pitää tehdä ajallaan. Etäopetukseen pitää osallistua aktiivisesti.

Vanhoja toteutuksia

Palvelinten hallinta ICI001AS3A-3008 - 2025p2 loppusyksy

Palvelinten hallinta ICI001AS3A-3010 - 2024 periodi 2, loppusyksy

Vanhoja toteutuksia vuoteen 2018 asti

Läksyt

Palautus 24 h ennen seuraavaa lukujärjestykseen merkittyä aikaa. Weppisivulle (HTML), ja palauta linkki Laksuun. Halutessasi voit laittaa linkin myös kommentiksi tämän sivun perään, niin sivusi saa lisää kävijöitä ja nousee PageRankissa.

Nämä läksyt ovat alustavia. Läksyt ovat virallisia vasta, kun ne on annettu tunnilla. Tämä on edistynyt kurssi, joten pystymme tekemään muutoksia kurssin kuluessa ja sovittamaan läksyt aiheen mukaan. Jos et uskalla tai muuten halua julkaista, voit laittaa weppisivun salasanan taakse (sama salasana koko kurssille ja jokaiselle tehtävälle, ei kirjautumista eri tunnuksilla eri henkilöille) ja jakaa salasanan kurssilaisten kanssa - mutta suosittelen julkaisua. Kotisivutilaa saa esim wordpress.com, github.com, gitlab.com ja monista muista paikoista.

Suosittu ja helppo tapa on laittaa raportit Githubiin.

Kaikki käytetyt lähteet tulee merkitä raporttiin: kurssin tehtäväsivu, kurssikavereiden raportit, man-sivut, kirjat. Mikäli tekoälyltä kysyy neuvoa, se on merkittävä lähteeksi. Tekoälyt hallusinoivat, tiedot on suositeltavaa tarkistaa. Tiivistelmiä tai esseitä ei saa generoida tekoälyllä eikä muilla vastaavilla tekniikoilla, vaan ne on kirjoitettava itse.

Kaikkien ajan säästämiseksi poistan kurssilta ne, jotka eivät palauta tehtäviä ajallaan.

Tekoälyn käyttö: Tällä kurssilla on samat AI säännöt kuin YAMK:n kurssillani: "AI and large language models (LLM): You can ask AI or LLM a question and use the answer as facts for your own answer, written in your own words. AI must be marked as a reference, with details such as prompt (and for advanced users system prompts, temperature, jailbreaks...). LLMs tend to hallucinate, so you should check answers from more reliable sources. It's not allowed to generate text with AI or similar technologies. For example, it's not allowed to generate essay answers or summaries with AI, LLM or similar technologies."

h1 Hei Ansiblen maailma

Hei maailma! Yleensä kaikki ohjelmat alkavat siitä. Hei maailma testaa, että ympäristö toimii.

Tässä kotitehtävässä harjoitellaan itse tunnilla kurkattuja ja osin kokeiltuja juttuja, jotta tehtävistä ei tule liian vaikeita. Jos olet aiemmin tehnyt nämä, voit simuloida puhtaan tilanteen - näin tehdään myöhemmin myös IaC-koodeja testatessa. Voit esimerkiksi pysäyttää ja poistaa ssh-demonin, poistaa authorized_keys... Katso vinkit alla.

x) Lue ja tiivistä. (Tässä x-alakohdassa ei tarvitse tehdä testejä tietokoneella, vain lukeminen tai kuunteleminen ja tiivistelmä riittää. Tiivistämiseen riittää muutama ranskalainen viiva. Ei siis vaadita pitkää eikä essee-muotoista tiivistelmää. Lisää kuhunkin jokin oma kysymys tai huomio.)
- Karvinen 2026: SSH public key - Login without password
- Karvinen 2026: Hello Ansible
a) Sshecrets. Asenna SSH-demoni ja testaa se kirjautumalla SSH:lla.
b) Pubkey. Automatisoi ssh-kirjautuminen julkisella avaimella.
c) Hei Ansible. Tee hei maailma ansiblella ja kokeile sitä SSH:n yli.
d) Vapaaehtoinen bonus, vaikea: kokeile Ansiblella jokin näista asetuksista: paketin asennus, asetustiedosto /etc/ alle, käynnistä jokin demoni, tee uusi käyttäjä. Tarvitset todennäköisesti sudoa, become: true.

Kuten aina, palauta linkki Laksuun, ristiinarvioi vähintään 2.

Vinkit

(Komennot alla ulkomuistista)

SSH-demonin poistaminen asennuskokeilua varten. Tämän voi tehdä localhost:lla. Älä tee etänä palvelimelle, tai yhteytesi katkeaa.

$ sudo systemctl stop ssh
$ sudo apt-get purge openssh-server

Julkisen avaimen poistaminen

remote$ mv -v $HOME/.ssh/authorized_keys $HOME/DISABLED_authorized_keys

Ansiblen asetukset voit vaan tehdä uuteen kansioon ja ajaa sieltä.

Testaamatta == tekemättä. Kun asennat tai säädät jotain, osoita testillä, että se toimii.

Eikö toimi? Raportoi erityisen tarkasti, jotta voimme pähkiä sitä tunnilla yhdessä. Myös tarkat virheilmoitukset talteen.

h2 Voileipä

x) Lue ja tiivistä. (Tässä x-alakohdassa ei tarvitse tehdä testejä tietokoneella, vain lukeminen tai kuunteleminen ja tiivistelmä riittää. Tiivistämiseen riittää muutama ranskalainen viiva. Ei siis vaadita pitkää eikä essee-muotoista tiivistelmää. Lisää kuhunkin jokin oma kysymys tai huomio.)
- Karvinen 2026: Sudo without password
- Munroe 2006: xkcd 149: Sandwitch
- Karvinen 2026: Passwordless Sudo with Ansible
- Ansiblen sisäänrakennettu dokumentaatio ansible-doc -kommennolla.
  - Kustakin vain
    - Johdantokappale (Usein MODULE alla, päättyy OPTIONS alkuun)
    - Nimetyt optiot selityksineen
    - Esimerkeistä (EXAMPLES) jokin helppo ja keskeinen esimerkki
  - 'ansible-doc copy': content, dest, src; owner, group, mode;
  - 'ansible-doc apt': name, state, update_cache.
  - 'ansible-doc file': path, recurse, src, state. owner, group, mode;
  - 'ansible-doc user': name; create_home, comment, groups, shell, state, system.
  - 'ansible-doc authorized_key': user, key.
a) Sudoless. Tee ansiblea varten tunnus, jolla voi käyttää sudoa ilman salasanaa. Sekä ssh-kirjautuminen että sudon käyttö tulee olla ansbilea varten automatisoitu.
b) Antero. Tee salasanaton, automaattisesti ssh:lla kirjautuva tunnus Ansiblella.
c) Package. Asenna kaksi pakettia ansiblella.
d) File. Kirjoita orjalle useamman rivin mittainen tiedosto Ansiblella. Määrittele sen omistaja, omistava ryhmä ja oikeudet. Käytä oikeuksille oktaalinumeroa, esim. "0600". Kerro, mitä oikeudet ovat symbolisessa muodossa, esim. "-rwxr--r--". Selitä, mitä kukin käyttäjä saa tehdä tuolle tiedostolle.
e) Jotain muuta. Näytä esimerkki ansiblen käskystä, jota ei ole vielä käsitelty kurssilla tai kotitehtävissä. Voit ottaa jonkun muun modulin kuin apt, file, copy, user tai authorized_key. Tai voit käyttää ominaisuutta, jota ei vielä ole demonstroitu. Jos tiivistystehtävässä x on mainittu ominaisuuksia, joita ei tunneilla tai läksyissä kokeiltu, nekin kelpaavat.

Vinkit

Rakenna tila paloittain. Tottakai se toimii kopioimalla malli ja muuttamalla muutama muuttuja. Mutta hetken päästä näitä pitäisi rakentaa myös ilman mallia.
'ansible-doc user', 'ansible-doc --list'
Etkö jaksa odottaa?
- 'ansible-doc --list > doc-list.txt'
- helppolukuisempana 'ansible-doc --list|grep -oP '^\S+'>doc-list.txt'
Paketin asennus: apt
File:
- copy: src: foo.txt -> roles/superd/files/foo.txt

h3 Demoni

Package, file, service

x) Lue ja tiivistä. (Tässä x-alakohdassa ei tarvitse tehdä testejä tietokoneella, vain lukeminen tai kuunteleminen ja tiivistelmä riittää. Tiivistämiseen riittää muutama ranskalainen viiva. Ei siis vaadita pitkää eikä essee-muotoista tiivistelmää. Lisää kuhunkin jokin oma kysymys tai huomio.)
- Karvinen 2026: Apache installed with Ansible - quick notes
- Ansible Community Documentation: Handlers: running operations on change
  - Handlers: running operations on change (johdantokappale pääotsikon alta)
  - Notifying handlers
- 'ansible-doc service':
  - johdantokappale (MODULE alta)
  - enabled
  - name
  - state
  - EXAMPLES
a) Apassi. Asenna Apache 2 käsin. Weppisivun tulee näkyä palvelimen etusivulla. Sivun tulee olla tavallisen käyttäjän muokattavissa, ilman root- tai sudo-oikeuksia.
b) Moottorix. Asenna Nginx käsin. Weppisivun tulee näkyä palvelimen etusivulla. Sivun tulee olla tavallisen käyttäjän muokattavissa, ilman root- tai sudo-oikeuksia. (Muista sammuttaa Apache ensin.)
c) Automoottorix. Automatisoi Nginx asennus Ansiblella. Ylläpitäjän osuus Ansiblella riittää, itse HTML-weppisivut voi tehdä käsin.
d) Vapaaehtoinen bonus: Osiris-T. Osiris-T asentaa Wazuhin ja tarvittavat virtuaalikoneet. Voit lähettää vihamielistä verkkoliikennettä (tcpreplay), siepata sen (suricata) ja saat tulokset suoraan dashboardille (wazuh). Enemmän alpha kuin se kreikkalainen kirjain. Mutta Oskari, Nico ja Arttu ilahtuvat, jos kokeilet. Häkämies, Saario, Mukkula 2026: Osiris-T. Häkämies etal 2026: How to Install.

Vinkit

Ensin käsin, sitten automaattisesti
Pienen testattava kokonaisuus kerrallaan
Lue lokeja. Weppipalvelimen virheilmoitukset ovat lokeissa, käyttäjälle näkyvä weppisivu ei kerro juuri mitään.
Kaksi demonia ei voi kuunnella samaa porttia. Sulje siis nginx ennen apachen asennusta ja päinvastoin.
'ansible-doc apt': name, state, update_cache. EXAMPLES.
'ansible-doc copy': dest, src; owner, group, mode. EXAMPLES.
'ansible-doc file': src, dest, state. owner, group. EXAMPLES.
nginx asennus on samantapainen kuin Apachen
- sites-available/default - tiedoston lopussa on esimerkki yksinkertaisesta konfiguraatiosta
- 'sudo nginx -t' on samantapainen kuin 'sudo apache2ctl configtest'
Kotisivut käyttäjänä
- Weppipalvelin pyörinee käyttäjänä www-data, ryhmä www-data. Jos tiedoston omistaa tero:tero, niin www-data on others eli viimeiset kolme kirjainta.
- Jotta se näkee sivut, kansioihin pitää olla x-oikeus ja tiedostoihin r.
- /home/tero/publicsite/index.html
  - chmod ugo+x /home/tero/
  - chmod ugo+x /home/tero/publicsite/
  - chmod ugo+r /home/tero/publicsite/index.html
- Tarkista oikeudet 'ls -t' ja 'stat'

Adminstrivia

Sudo logo my Mark Stillman 2019, received under CC-BY-4.0.

Apache httpd logo is a trademark of The Apache Software Foundation.

Tunkeutumistestaus

Sun, 22 Mar 2026 13:06:12 +0200

Learn to hack computers to protect your own. In the course, you will break into target computers.

Excellent feedback, reached 5.0 out of 5.


Course name and code	Tunkeutumistestaus ICI005AS3A-3004 (study guide)
Timing	2026 period 4 late spring, w13-w20
Credits	5 cr
Classes	Tuesdays 08:00 - 10:45, Pasila pa5001, bring your laptop
Max students	40
Language	Finnish (+reading material in English)
Remote	No, fully contact in Pasila classroom
Feedback	5.0 / 5 Excellent feedback*
Services	Moodle: Tunkeutumistestaus, Laksu. Voluntary extra: Tero's list.
First class	2026-03-24 w13 Tue 08:00, pa5001, bring your laptop.

* Best instance 5.0/5, every student gave feedback and every feedback was 5. Lowest 4.5/5 excellent, typical 4.9/5 excellent. Use of penetration testing techniques requires legal and ethical considerations. To safely use these tools, tactics and procedures, you might need to obtain contracts and permissions; and posses adequate technical skills. Check your local laws.

Teaching is in Finnish, so the rest of this page will be in Finnish.

Tunkeutumistestaus on eettisen hakkeroinnin kurssi. Opit, miten murtaudutaan tietokoneille, jotta voisit suojata omat ja toimeksiantajan järjestelmät. Nämä tekniikat, ohjelmat ja taktiikat ovat luvallisia vain tietyissä tilanteissa. Usein pitää hankkia lupia ja tehdä sopimuksia. Lisäksi näiden tekniikoiden turvalliseen käyttöön tarvitaan teknistä taitoa. Perehdy itse paikallisiin lakeihin.

Oppimistavoitteet

Opintojakson suoritettuaan opiskelija

Tuntee tunkeutumistestauksen prosessin pääpiirteissään
Tietää, että tunkeutumistestaukselle on lailliset ja eettiset rajat
Osaa kartoittaa kohdejärjestelmän haavoittuvuuksia
Osaa hyödyntää valmiita hyökkäyksiä (exploit) ja liittää niihin hyötykuorman käyttäen kurssille valittua työkalua
Osaa soveltaa tavallisimpia hyökkäyksiä weppisovelluksia vastaan, kun kohdeohjelmistot ovat helppoja ja haavoittuvia.
Osaa hankkia tunkeutumistestauksessa tarvittavia ohjelmistoja

Kurssilta ei saa mukaansa ilmaista pakettia nollapäivähaavoittuvuuksia, eikä kurssi anna mitään erityisoikeuksia eikä ammattinimikkeitä.

Aikataulu

Tiistaisin 08:00 - 10:45 Pasila pa5001.

Päivä	Aihe
2026-03-24 w13 Tue	1. Tunkeutumisen yleiskuva. Järjestäytyminen. Kybertappoketju.
2026-03-31 w14 Tue	2. 9 Vierailija Marko Buuri, cybersecurity adviser, Suomen Pankki: DORA & threat lead penetration testing. Harjoitusympäristöt, ulkopuoliset ja oma virtuaalilaboratorio.
2026-04-07 w15 Tue	3. Aktiivinen tiedustelu. Porttiskannaus ja oheistekniikat. Valvonta snifferillä.
2026-04-14 w16 Tue	4. Vierailija Sam: Winning OSINT competition in Ukraine. Weppiin murtautuminen. IDOR, path traversal, SSRF. Välimiesproxyt, ZAP tai mitmproxy. Harjoitusympäristöt weppiin.
2026-04-21 w17 Tue	5. 9 HT8: Robin Niinemets, Ilja Ylikangas, Henry Isakoff: How we started winning CTFs. Weppiin murtautuminen. SQLi. Keksit. CSRF. Oman TLS-salatun liikenteen purkaminen. Norjalaisia vieraita seuraamassa, Noroff.
2026-04-28 w18 Tue	6. Haittaohjelmat ja takaovet. Bind ja reverse shell. Metasploit ja Msfvenom.
2026-05-05 w19 Tue	7. Vierailija Niklas Särökaari: Latest attacks I've caught. Salasanojen murtaminen. Käyttäjien salasanat. Sanakirjahyökkäys. Hashcat.
2026-05-12 w20 Tue	8. Lipunryöstö, arvioitava laboratorioharjoitus.

Tämä on edistynyt kurssi, joten tuntien aiheisiin voi tulla muutoksia kurssin edetessä.

Kertausmateriaalia

Tämä materiaali on vapaaehtoista, jos osaat ne jo. Lähteet ovat esimerkkejä, voit osata/opetella nuo asiat mistä vain haluat. Esimerkiksi ohjelmoinnin alkeita harjoitella tai osata aivan millä vain kielellä (Python, C...). Jos kurssilla järjestetään alkutesti, kysymykset eivät rajoitu kertauspaketin materiaaliin.

TCP/IP-pino: Wikipedia: Internet protocol suite
Linuxin komentokehote: Command Line Basics Revisited (ja Linuxin asennus Install Debian on VirtualBox)
Tietokantojen alkeet (millä vain alustalla): PostgreSQL Install and One Table Database - SQL CRUD tutorial for Ubuntu
Ohjelmoinnin alkeet (millä vain kielellä). Python on myös hyvä vaihtoehto. FreeCodeCamp.org: Javascript Algorithms And Data Structures Certification: Basic JavaScript: Introduction to JavaScript

Luettavaa ja linkkejä

€ Maksulliset aineistot saattavat näkyä ilmaiseksi Haaga-Helian tunnuksilla kirjaston kautta. Haaga-Helialla on käyttöoikeus O'Reilly Learning -kirjoihin (ent. Safari).

Työkaluja kurssille

Install Debian on VirtualBox
Remote Learning Tools for Tero's Courses
Kali Linux. Uusi levykuva kali-linux-2021.1-live-amd64.iso (vanha levykuva kali-linux-2020.3-live-amd64.iso). Kun linkki menee vanhaksi, etsi Kalin kotisivulta tuorein amd64-arkkitehtuurin live-tikun iso-kuva.

L2 weppihyökkäyksiä - tukee läksyä h2

OWASP 10 2017 (pdf), erityisesti ne hyökkäykset, joita aiot kohta tehdä eli A2 Broken Authentication, A3 Sensitive Data Exposure, A7 Cross Site Scripting; sekä viime kerralla harjoiteltu A1 Injection.
€ Santos et al 2018: Hacking Web Applications The Art of Hacking Series LiveLessons (video): Security Penetration Testing for Today's DevOps and Cloud Environments: 6.3 Understanding SQL Injection ja 6.4 Exploiting SQL Injection Vulnerabilities sekä Lesson 5: Authentication and Session Management Vulnerabilities
€ Percival & Samancioglu 2020: The Complete Ethical Hacking Course (video): Chapter 21: Cross Site Scripting
Hutchins et al 2011: Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains

Yleiskuva, harjoitusmaaleja, web

MITRE ATT&CK
Darknet Diaries . Podcastien kuunteluun kännykällä AntennaPod löytyy F-Droidista
MitmProxy on Kali and Xubuntu
Install Webgoat 8 - Learn Web Pentesting. (It's also possible to install old version 7 of WebGoat with Docker).
OWASP 10 2017 (pdf). Tällä hetkellä 2021-02-02 uusin versio.

Aktiivinen tiedustelu. HackTheBox.

€ Santos et al: The Art of Hacking (Video Collection): [..] 4.3 Surveying Essential Tools for Active Reconnaissance: Port Scanning and Web Service Review
man nmap (laaja, silmäily riittää)
Kokonaisia blogeja ja videokanavia, vilkaise, ei tarvitse katsoa 200 h videota:
- https://tools.kali.org/tools-listing
- 0xdf https://0xdf.gitlab.io/
- ippsec https://www.youtube.com/channel/UCa6eh7gCkpPo5XXUDfygQQA/videos
- John Hammond https://www.youtube.com/user/RootOfTheNull/videos?sort=p
- Youtube-videoiden katseluun kännykällä NewPipe F-Droidista. Youtube-videoiden nopeuden säätöön codebicycle Video Speed Controller addon Firefoxille.

Passwords, Learning to Learn tools

infosecn1nja 2020: Red-Teaming-Toolkit
Taylor et al 2018: The Art of Hacking: Hacking User Credentials €

Web Fuzzing, Second to Last Words

Hoikkala "joohoi" 2020: ffuf - Fast web fuzzer written in Go
Hoikkala "joohoi" 2020: Still Fuzzing Faster (U fool). In HelSec Virtual Meetup #1.
Miettinen 2020: iPhone BFU Acquisition and Analysis. In HelSec Virtual Meetup #1.

Metasploit

€ Jaswal 2020: Mastering Metasploit - 4ed: Chapter 1: Approaching a Penetration Test Using Metasploit (kohdasta "Conducting a penetration test with Metasploit" luvun loppuun)
Karvinen 2018: Install Metasploitable 3 – Vulnerable Target Computer (Article uses rapid7/metasploitable3-ub1404 , see also "rapid7/metasploitable3-win2k8")

Vanhoja toteutuksia

Tunkeutumistestaus ICI001AS3A-3002 - 2024p4-loppusyksy

Tunkeutumistestaus 2024p2

Tunkeutumistestaus ici005as3a-3001 loppukevät pa2004

Tunkeutumistestaus ict4tn027-3012 loppusyksy online

Tunkeutumistestaus ict4tn027-3009

Tunkeutumistestaus ict4tn027-3010 - Syksy 2022

Tunkeutumistestaus ict4tn027-3007 - 2022p4 late spring

Tunkeutumistestaus ict4tn027-3008 - 2021 Autumn

itc4tn027-3005: Tunkeutumistestaus eli eettinen hakkerointi -kurssi

Penetration Testing Course 2020 Autumn - Tunkeutumistestaus ict4tn027-3006

Penetration Testing Course 2020 Spring - Tunkeutumistestaus ict4tn027-3003

Haku "Tunkeutumistestaus"

Läksyt

Palauta linkki Laksuun 24 h ennen seuraavaa lukujärjestykseen merkittyä kurssivarausta. Tehtävät ovat pakollinen ja tärkeä osa kurssia.

Läksyt ovat virallisia vasta, kun ne on vahvistettu (yleensä oppitunnin päätteeksi). Tämä on edistynyt kurssi, joten ohjelmaan tulee yleensä muutoksia kurssin aikana. Osa tehtävistä edellyttää huolellisuuden lisäksi tietoja ja taitoja työkalujen käytöstä, jottei synny vahinkoja - tee vasta, kun tiedät oikeat työtavat.

Läksyt käydään läpi seuraavalla tapaamiskerralla, ratkotaan yhdessä ongelmia ja annetaan suullista palautetta. Arvosana kotitehtäväpaketista tulee vasta kurssin lopuksi, mutta tehtävät tulee silti palauttaa aina vuorokautta ennen seuraavia tunteja. Julkaiseminen on vapaaehtoista, mutta erittäin suositeltavaa. Jos et jostain syystä uskalla tai muuten halua julkaista, voit laittaa työn weppisivulle salasanan taakse (kaikille kotitehtäville sama salasana) ja jakaa tämän salasanan kurssilaisten kanssa. Jos tuntien yhteydessä järjestetään testejä läksyjen aiheista, niiden pisteet sisältyvät arvostelun kohtaan läksyt.

Läksyt pitää tehdä tietokoneella kokeilemalla ja raportoida tapahtumien kulku, ellei kyseisessä alakohdassa erikseen muuta lue. Raportti tulee kirjoittaa samalla, kun työskentelee.

Tehtäviä saa aloittaa vasta, kun on hyväksynyt kurssin säännöt.

h1 Kybertappoketju

Tehtäviä saa aloittaa vasta, kun on hyväksynyt kurssin säännöt. Koneet on eristettävä Internetistä hyökkäysten harjoittelun ajaksi.

Tehtävät ovat virallisia vasta, kun ne on annettu tehtäväksi. Niitä ei tule aloittaa etukäteen, koska niiden sisältö voi vielä muuttua olennaisesti.

Update 2026-03-24 w13 Tue 1530: Lisäsin HTB VPN -vinkit. Merkkasin, että oikeustapausesta riittää vilkaisu.

x) Lue/katso/kuuntele ja tiivistä. (Tässä x-alakohdassa ei tarvitse tehdä testejä tietokoneella, vain lukeminen tai kuunteleminen ja tiivistelmä riittää. Tiivistämiseen riittää muutama ranskalainen viiva. Kannataa lisätä kustakin oma huomio, idea tai kysymys.)
- Herrasmieshakkerit (RSS) tai Darknet Diaries (RSS) , yksi vapaavalintainen jakso jommasta kummasta. Voi kuunnella myös lenkillä, pyykiä viikatessa tms. Siisti koti / hyvä kunto kaupan päälle.
- Hutchins et al 2011: Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains, chapters Abstract, 3.2 Intrusion Kill Chain.
- € Santos et al: The Art of Hacking (Video Collection): 4.3 Surveying Essential Tools for Active Reconnaissance. Sisältää porttiskannauksen. 5 videota, yhteensä noin 20 min.
- KKO 2003:36. (Vain silmäily, ei tarvitse lukea kokonaan eikä varsinkaan tehdä syvällistä analyysia).
a) Asenna Kali virtuaalikoneeseen. (Jos asennuksessa ei ole mitään ongelmia tai olet asentanut jo aiemmin, tarkkaa raporttia tästä alakohdasta ei tarvita. Kerro silloin kuitenkin, mikä versio ja millä asennustavalla. Jos on ongelmia, niin tarkka ja toistettava raportti).
b) Irrota Kali-virtuaalikone verkosta. Todista testein, että kone ei saa yhteyttä Internetiin (esim. 'ping 8.8.8.8')
c) Porttiskannaa 1000 tavallisinta tcp-porttia omasta koneestasi (nmap -T4 -A localhost). Selitä komennon paramterit. Analysoi ja selitä tulokset.
d) Asenna kaksi vapaavalintaista demonia ja skannaa uudelleen. Analysoi ja selitä erot.
e) Ratkaise vapaavalintainen kone HackTheBoxista. Omalle tasolle sopiva, useimmille varmaan Starting Pointista. Valitse kone, jota et ole ratkaissut vielä. Ei tunnilla näytetty Meow. (Propellihatuille: jos teet vaikeampia ei-starting-point koneita, niin retired tai vastaava kone, josta saa julkaista writeupin).

Vinkkejä

Sivun tekeminen wepiin onnistuu helposti Githubilla. Karvinen 2023: Create a Web Page Using Github
Podcastien kuunteluun AntennaPod löytyy F-Droid:sta ja Google Play:sta. Tietysti podcasteja voi kuunnella sadoilla muillakin ohjelmilla.
Halutessasi voit käyttää myös muita virtualisointiympäristöjä kuin VirtualBoxia, esim Macilla UTM tai Linuxilla virt-manager (libvirt, qemu). Tämä edellyttää toki omaa soveltamista.
Suosittelen Kaliin 4 GB muistia
OffSec Ltd 2023: Prebuilt Virtual Machines
Tutustu tarvittaessa itse etsimiisi lähteisiin, kuten man-sivuihin ja ohjelmien dokumentaatioon.
HackTheBox:n OpenVPN-yhteyden asennus (ulkomuistista)
- Oikea HackTheBoxin alue on "Practice hands-on Labs" https://app.hackthebox.com/home (ei Academy)
- Tallenna ruutukaappaus säännöistä ennen aloitusta. HTB oikealla ylhäällä, kysymysmerkin alla.
- Lataa Starting Point foo.ovpn
  - Connect-nappi, HackTheBoxin oikeassa yläreunassa
  - Oikealla ylhäällä "Connect", "Starting point"
- Tuo (import) yhteys Network Manager:iin
  - Network manager - Linuxissa ala/yläpalkissa tarjottimella (tray, notification area), naaras ethernet-portin kuva tai koneet haalaavat -ikoni (riippuen versiosta). Tai komentoriviltä 'nmcli'.
  - VPN Connections: Create. "Import" on alimmaisena, ja valikkoa pitää kelata alaspäin.
- VPN päälle, testaus.
  - VPN päälle löytyy samasta Network Manager -kuvakkeesta.
  - 'ping 8.8.8.8' - pitäisi toimia (vastata) VPN pois päältä, ja lakata vastaamasta kun laitat VPN päälle.
Muista laittaa lähdeviitteet. Viittaa joka tehtävästä kurssiin ja kaikkiin muihinkin käyttämiisi lähteisiin.
O'Reilly Learning videot ja kirjat pääset lukemaan ilmaiseksi HH tunnuksilla, kun kirjaudut kirjaston Haaga-Helia A-Z kautta.
Kun olet irroittanut Internetin ja valmiina skannaamaan, varmista. Kokeile, että Google tai DuckDuckGo ei aukea selaimella, että et voi pingata esim 8.8.8.8. Kokeile, että maalikoneesi vastaa pingiin. Jos maalikoneella on weppipalvelin, kannattaa katsoa selaimella, että sieltä aukeaa olettamasi sivu.
Tietoja verkosta
- ip a; ifconfig
- ip route
- ipcalc 10.0.0.1/24
- ping 8.8.8.8
Ole huolellinen, irrota harjoituskoneet Internetistä skannausten ja hyökkäysten ajaksi. Mitään ulkopuolisia koneita ei saa skannata eikä mihinkään ulkopuolisiin koneisiin saa tunkeutua.
Jokin tehtävä voi olla vaikea. Tee ja raportoi silloin kaikki mitä osaat. Listaa lähteet, joista hait ohjeita. Onko jotain vielä kokeiltavana? Mitä haasteita on vielä ratkaisun tiellä? Mitä virheimoituksia tai vastaavia tulee? Voit myös katsoa wepistä esimerkkiratkaisun - muista viitata lähteeseen ja merkitä, missä kohdassa katsoit ratkaisua. Ja katsotaan yhdessä tunnilla loput.
Ongelmallisista kohdista raportoidaan erityisen tarkasti, jotta voimme antaa vinkkejä haasteisiin.

h2 DORA the Explora

Can you say TIBER-FI?

x) Lue/katso/kuuntele ja tiivistä. (Tässä x-alakohdassa ei tarvitse tehdä testejä tietokoneella, vain lukeminen tai kuunteleminen ja tiivistelmä riittää. Tiivistämiseen riittää muutama ranskalainen viiva. Lisää mukaan jokin oma havainto, idea tai kysymys)
- Buuri 2026: DORA and TLPT testing - Lecture for Haaga-Helia on 31 March 2026 (pdf, 2 MB)
- DORA (Regulation ... on digital operational resilience for the financial sector) (vain nämä kaksi artiklaa):
  - Article 26 "Advanced testing of ICT tools, systems and processes based on TLPT"
  - Article 27 "Requirements for testers for the carrying out of TLPT"
- TIBER-FI procedures and guidelines (pdf, 1 MB) (vain tämä kohta):
  - 5.4 Testing phase: Red team testing (johdantokappale suoraan 5.4 alta, "5.4.1 Red team test plan creation" alkuun asti)
- Vapaaehtoinen bonus: Buuri 2026: D26 - Releasing Your Inner TIBER in Regulated Adversary Simulations. Video, 45 min. Disobey 2026.
a) Asenna Metasploitable 2 virtuaalikoneeseen.
b) Tee Kalin ja Metasploitablen välille virtuaaliverkko. Jos säätelet VirtualBoxista
- Kali saa yhteyden Internettiin, mutta sen voi laittaa pois päältä
- Kalin ja Metasploitablen välillä on host-only network, niin että porttiskannatessa ym. koneet on eristetty intenetistä, mutta ne saavat yhteyden toisiinsa
c) Harjoittelemme omassa virtuaaliverkossa, jossa on Kali ja Metaspoitable. Osoita testein, että 1) koneet eivät saa yhteyttä Internetiin 2) Koneet saavat yhteyden toisiinsa.
d) Etsi Metasploitable porttiskannaamalla (nmap -sn). Tarkista selaimella, että löysit oikean IP:n - Metasploitablen weppipalvelimen etusivulla lukee Metasploitable.
e) Porttiskannaa Metasploitable huolellisesti ja kaikki portit (nmap -A -T4 -p-). Poimi 2-3 hyökkääjälle kiinnostavinta porttia. Analysoi ja selitä tulokset näiden porttien osalta. Voit hakea analyysin tueksi tietoa verkosta, muista merkitä lähteet.
f) Vapaaehtoinen bonus: Sisään vaan. Pääsetkö murtautumaan Metasploitableen?
g) Vapaaehtoinen bonus: jos haluat, voit jo kokeilla metasploit-hyökkäysohjelmaa omaan harjoitusmaaliisi. Tätä katsotaan myöhemmin yhdessäkin. (Muista irrottaa kone Internetistä kokeilujen ajaksi. 'sudo msfdb init', 'sudo msfconsole').

Vinkkejä

Virtuaalikoneiisin voi asentaa uusia verkkokortteja vain, kun ne ovat sammuksissa
Kannattaa lukea Valkamon artikkelista VirtualBox-osuus ennenkuin ryhdyt asentamaan virtuaalikoneita. Valkamo 2022: Hacking into a Target Using Metasploit: Metasploitable
VirtualBoxissa host-only-networking on kätevä. Voit laittaa Kaliin kaksi verkkokorttia, toinen NAT:lla Internetiin ja toinen host-only-network:n. Verkkoasetusten advanced-kohdasta voi vetää virtuaalisen verkkokaapelin irti ja kiinni, vaikka kone on päällä.
Jos Metasploitable 2 -maali ei löydy omasta verkosta (arp, arpwatch, netdiscover, nmap -sn...), voit kirjatua sisään (msfadmin:msfadmin) ja 'ifconfig' tai 'ip addr'. Metasploitable 2:n kannattaa laittaa vain yksi "Host only networking" verkkokortti, se ei toimi itsestään kahden verkkokortin kanssa.

h3 EternalHomework

x) Lue/katso/kuuntele ja tiivistä. (Tässä x-alakohdassa ei tarvitse tehdä testejä tietokoneella, vain lukeminen tai kuunteleminen ja tiivistelmä riittää. Tiivistämiseen riittää muutama ranskalainen viiva.)
- € Jaswal 2020: Mastering Metasploit - 4ed: Chapter 1: Approaching a Penetration Test Using Metasploit (kohdasta Conducting a penetration test with Metasploit luvun loppuun eli "Summary" loppuun)
- Mitä 'nmap -sn' tekee? Älä arvaa, vaan perustele lähteillä. Mistä tiedät, että käyttämäsi lähde on luotettava?
b) Tallenna porttiskannauksen tuloksia Metasploitin tietokantoihin. Skannaa niin, että Metasploitable tulee mukaan. Kannattaa ottaa mukaan ainakin versioskannaus -sV (joka on banner grabbing plus).
c) Tarkastele Metasploitin tietokantoihin tallennettuja tietoja komennoilla "hosts" ja "services". Kokeile suodattaa näitä listoja tai hakea niistä.
d) Internet famous. Etsi Metasploitablen mukana tulevista hyökkäyksistä (en: exploits; search) sellainen, joka on ollut julkisuudessa.
e) Vertaile nmap:n omaa tiedostoon tallennusta (-oA foo) ja db_nmap:n tallennusta tietokantoihin. Mitkä ovat eri tiedostomuotojen ja Metasploitin tietokannan hyvät puolet?
f) Murtaudu Metasploitablen vsftpd-palveluun
g) Kerää levittäytymisessä (lateral movement) tarvittavaa tietoa metasploitablesta. Analysoi tiedot. Selitä, miten niitä voisi hyödyntää.
h) Murtaudu Metasploitableen jollain toisella tavalla. (Jos tämä kohta on vaikea, voit tarvittaessa turvautua verkosta löytyviin läpikävelyohjeisiin. Merkitse silloin raporttiin, missä määrin tarvitsit niitä).
i) Demonstroi Meterpretrin ominaisuuksia.
j) Tallenna shell-sessio tekstitiedostoon script-työkalulla (script -fa log001.txt) tai tmux:lla.
k) Pivot point. Laita kaikki harjoituksen tiedostot (script -fa, nmap -oA...) samaan kansioon. Hae sopiva pivot point (sovellus, versio, osoite, MAC-numero) 'grep -r' -komennolla. Keksi uskottava esimerkkikysymys, johon haet vastausta.
l) Attaaack! Mitä Mitre Attack taktiikoita ja tekniikoita käytit tässä harjoituksessa? (Tässä alakohdassa "Attaack!" ei tarvitse tehdä lisää testejä koneella, koska testit on jo tehty.)
m) Vapaaehtoinen: Etsi esimerkki Mitre Attack proseduurista (procedure), jossa joku uhkatoimija on käyttänyt samoja tekniikoita.
n) Vapaaehtoinen: Titityy. Saatko Metasploitableen tty-shellin, eli esimerkiksi avattua koko ruudulle piirtävän nano:n?
o) Vapaaehtoinen, vaikea: Kokeile jotain kilpailevaa hyökkäystyökalua tai vihamielistä etäkäyttötyökalua, kuten Sliver tai Scarecrow.
p) Vapaaehtoinen: Asenna ja korkkaa Metasploitable 3. Karvinen 2018: Install Metasploitable 3 – Vulnerable Target Computer
q) Vapaaehtoinen: Peekaboo. Demonstroi, kuinka hyökkääjä vakoilee meterpreterillä. Kuuntele mikrofonilla, ota kuvia tai videota kameralla. (Huolehdi, ettei ulkopuolisia joudu kuunnelluksi tai katselluksi.)

Vinkkejä

O'Reilly Learning videot ja kirjat pääset lukemaan ilmaiseksi HH tunnuksilla, kun kirjaudut kirjaston kautta.
Jos Metasploitable 2 -maali ei löydy omasta verkosta (arp, arpwatch, netdiscover, nmap -sn...), voit kirjatua sisään (msfadmin:msfadmin) ja 'ifconfig' tai 'ip addr'. Metasploitable 2:n kannattaa laittaa vain yksi "Host only networking" verkkokortti, se ei toimi itsestään kahden verkkokortin kanssa.
Murtautumiseen Metasploitable 2:n löytyy esimerkkiratkaisuja Metasploitable 2 Exploitability Guide. Tämä on läpikävelyohje, joten kannattaa yrittää ensin itse.
Mitre Attack Enterprise Matrix
- Tactic, välitavoitteita, esim. TA0003 Persistence
- Techique, keinoja, esim. T1189 Drive-by Compromise
- Mitre FAQ
grep -ir
- grep -ir -C 3 --color=always terokarvinen.com|less -R

MsfConsole vinkit (ulkomuistista)

Tässä siis ulkomuistista, voit etsiä näistä lisätietoa ja oikean kirjoitusasun.

$ sudo msfdb init
$ sudo msfconsole
msf> db_nmap localhost
msf> services
msf> hosts
msf>
msf> workspaces
msf> sessions
msf> sessions --help
msf>
msf> search vsftpd
msf> use 0
msf> setg RHOSTS 127.0.0.1 # huolellisesti, tähän hyökätään kohta
msf>
msf> show options
msf> exploit
msf>
msf> sessions 1
shell
ctrl-Z
msf> session -u 1

Täysin Laillinen Sertifikaatti

x) Lue/katso ja tiivistä. (Tässä x-alakohdassa ei tarvitse tehdä testejä tietokoneella, vain lukeminen tai kuunteleminen ja tiivistelmä riittää. Tiivistämiseen riittää muutama ranskalainen viiva kustakin artikkelista - ei pitkiä esseitä. Kannattaa lisätä myös jokin oma ajatus, idea, huomio tai kysymys.)
- OWASP 2021: OWASP Top 10:2021
  - A01:2021 – Broken Access Control (IDOR ja path traversal ovat osa tätä)
- PortSwigget Academy:
a) Totally Legit Sertificate. Asenna OWASP ZAP, generoi CA-sertifikaatti ja asenna se selaimeesi. Laita ZAP proxyksi selaimeesi. Laita ZAP sieppaamaan myös kuvat, niitä tarvitaan tämän kerran kotitehtävissä. Osoita, että hakupyynnöt ilmestyvät ZAP:n käyttöliittymään. (Ei toimine localhost:lla ilman Foxyproxya)
b) Kettumaista. Asenna "FoxyProxy Standard" Firefox Addon, ja lisää ZAP proxyksi siihen. Käytä FoxyProxyn "Patterns" -toimintoa, niin että vain valitsemasi weppisivut ohjataan Proxyyn. (Läksyssä ohjataan varmaankin PortSwigger Labs ja localhost.)
PortSwigger Labs. Ratkaise tehtävät. Selitä ratkaisusi: mitä palvelimella tapahtuu, mitä eri osat tekevät, miten hyökkäys löytyi, mistä vika johtuu. Kannattaa käyttää ZAPia, vaikka malliratkaisut käyttävät harjoitusten tekijän maksullista ohjelmaa. Monet tehtävät voi ratkaista myös pelkällä selaimella. Malliratkaisun kopioiminen ZAP:n tai selaimeen ei ole vastaus tehtävään, vaan ratkaisu ja haavoittuvuuden etsiminen on selitettävä ja perusteltava.
- Cross Site Scripting (XSS)
  - c) Reflected XSS into HTML context with nothing encoded
  - d) Stored XSS into HTML context with nothing encoded
  - e) Selitä esimerkin avulla, mitä hyökkääjä hyötyy XSS-hyökkäyksestä. Alert("Hei Tero!") ei vielä tarjoa kummoista pääsyä. (Tässä alakohdassa ei tarvitse tehdä testejä tietokoneella, pelkkä lyhyt ja selkeä selitys riittää.)
- Path traversal
  - f) File path traversal, simple case. Laita tarvittaessa Zapissa kuvien sieppaus päälle.
  - g) File path traversal, traversal sequences blocked with absolute path bypass
  - h) File path traversal, traversal sequences stripped non-recursively
- Insecure Direct Object Reference (IDOR)
  - i) Insecure direct object references
j) Vapaaehtoinen, helppo: Asenna pencode ja muunna sillä jokin merkkijono (encode a string).
k) Vapaaehtoinen: Mitmproxy. Asenna MitmProxy. Esittele sitä terminaalissa (TUI). Ota TLS-purku käyttöön. Poimi historiasta hakupyyntö, muokkaa sitä ja lähetä uudelleen.
l) Vapaaehtoinen: Ratkaise lisää PortSwigger Labs -tehtäviä. Kannattaa tehdä helpoimmat "Apprentice" -tason tehtävät ensin.

Vinkit

Firefox ei enää ohjaa proxyyn liikennettä mihinkään 127-alkuiseen IP-osoitteeseen eikä localhostiin. Mutta Foxyproxyn avulla se onnistuu.
Zap asennus
- Nykyisin Kalissa 'sudo apt-get install zaproxy', 'zaproxy' näytti toimivan, joten kannattaa kokeilla sitä ensin.
- OWASP ZAP Download-sivun sopivin JAR on "Cross Platform Package", noin 250 MB.
- Kalissa 'sudo apt-get install zaproxy'
Proxya voi testata vaikkapa Metasploitablen weppipalveluiden kanssa. Tai asentaa WebGoatin Podmaniin. Tai käyttää läksyn PortSwigger Labsin harjoituksia.
- Älä tee hyökkäyksiä mihinkään muualle kuin harjoitusmaaleihin
ZAP TLS-yhteyksien avaamiseen CA-sertifikaatti
- Löytyy Tools: Options: Network alta, hakusanaksi "Certificate".
  - Joissain versioissa haku ei suodata listaa, vaan värittää osumat oranssilla. Ja tietysti oikea sertifikaatti on piilossa, niin että pitää klikkaamalla avata listaa. Sertifikaattikohtia on kaksi, tässä turha asiakkaan sertifikaatti ja oikea, tarvittava palvelimen sertifikaatti (Server Certificate tms).
- Firefoxissa Settings ja hakusanaksi "Certificate"
ZAP:n tärkein toiminto: Requester tab.
- Löytyy historiasta oikeaa nappia painamalla. Myös Ctrl-W.
- Muokkaa hakupyyntöä ja lähetä. Vastaus näkyy vieresssä. Korjaa ja lähetä uudelleen.
ZAP hakupyynnön pysäytys
- Vain, jos Requester eli saman pyynnön uudelleenlähetys ei toimi.
- Puussa olevista osoitteista oikeaa nappia, menusta "Break..."
- Tee pyyntö selaimella
- Pyyntö näkyy ZAPissa oikealla ylhäällä "Break" välilehdellä.
- Muokaa pyynnön tekstiä, lähetä eteenpäin yläreunan työkalupallin Play-symbolia klikkaamalla
ZAP kuvien sieppaus muistaakseni Options: Display: ...images.
- Osa tässäkin läksynä olevista harjoituksista edellyttää, että kuvien sieppaus on päällä.
- Monissa ZAP:n versioissa jättää kokonaan kuvat näyttämättä oletuksena.
PortSwiggerin tehtävissä voi käyttää välimiesproxyna ZAP:ia tai MitmProxya. Ei siis tarvitse ostaa noiden harjoitusten tekijän kuuluisaa ohjelmaa.
Pencoder - loistava ohjelma stringien muunteluun fuff:n tekijältä. Esim. URLEncode, base64...
- Pencoder asennus ulkomuistista: hae Github-sivu "fuff pencode", Releases, pencode*linux_amd64.tar.gz, pura paketti, aja valmis binääri, kopioi se /usr/local/bin/.
Viittaa
- Viittasithan kurssiin ja tehtäväsivuun?
- Viittasithan kaikkiin käyttämiisi artikkeleihin?
- Viittasithan muiden tehtäväraportteihin, jos käytit lähteenä?
- Videoihin, man-sivuihin, ohjelmiin, StackOverflowhun...
- Viittasithan kaikkiin muihinkin lähteisiin?
Hakkeroimaan oppii hakkeroimalla.

Fuzzy

Opit käyttämään maailman johtavaa weppifuzzeria: ffuf. Sen opettaa meille tunnilla itse työkalun tekijä, joohoi.

x) Lue/katso/kuuntele ja tiivistä. (Tässä x-alakohdassa ei tarvitse tehdä testejä tietokoneella, vain lukeminen tai kuunteleminen ja tiivistelmä riittää. Tiivistämiseen riittää muutama ranskalainen viiva. Lisää mukaan jokin oma idea, huomio, kysymys tai kommentti.)
- Karvinen 2023: Find Hidden Web Directories - Fuzz URLs with ffuf
- Jompi kumpi, Hoikkalan video tai teksti:
  - Hoikkala 2023: ffuf README.md, tai
  - Hoikkala "joohoi" 2020: Still Fuzzing Faster (U fool). In HelSec Virtual meetup #1. (Noin tunnin mittainen)
a) Fuzzzz. Ratkaise dirfuz-1 artikkelista Karvinen 2023: Find Hidden Web Directories - Fuzz URLs with ffuf.
b) Fuff me. Asenna FuffMe-harjoitusmaali. Karvinen 2023: Fuffme - Install Web Fuzzing Target on Debian
Ratkaise ffufme harjoitukset - kaikki paitsi ei "Content Discovery - Pipes".
- c) Basic Content Discovery
- d) Content Discovery With Recursion
- e) Content Discovery With File Extensions
- f) No 404 Status
- g) Param Mining
- h) Rate Limited
- i) Subdomains - Virtual Host Enumeration

Syyskuu2025!

Nyt levitään! Opit murtamaan salasanoja.

Update 2025-09-24 w39 Wed: Korjasin numeron h4 -> h5 Syyskuu2025!

x) Lue/katso ja tiivistä. (Tässä x-alakohdassa ei tarvitse tehdä testejä tietokoneella, vain lukeminen tai kuunteleminen ja tiivistelmä riittää. Tiivistämiseen riittää muutama ranskalainen viiva kustakin artikkelista. Kannattaa lisätä myös jokin oma ajatus, idea, huomio tai kysymys.)
- Karvinen 2022: Cracking Passwords with Hashcat
- Karvinen 2023: Crack File Password With John
- € Santos et al 2017: Security Penetration Testing - The Art of Hacking Series LiveLessons: Lesson 6: Hacking User Credentials (8 videos, about 30 min)
a) Asenna Hashcat ja testaa sen toiminta murtamalla esimerkkisalasana.
c) Asenna John the Ripper ja testaa sen toiminta murtamalla jonkin esimerkkitiedoston salasana.
e) Tiedosto. Tee itse tai etsi verkosta jokin salakirjoitettu tiedosto, jonka saat auki. Murra sen salaus. (Jokin muu formaatti kuin aiemmissa alakohdissa kokeilemasi).
f) Tiiviste. Tee itse tai etsi verkosta salasanan tiiviste, jonka saat auki. Murra sen salaus. (Jokin muu formaatti kuin aiemmissa alakohdissa kokeilemasi. Voit esim. tehdä käyttäjän Linuxiin ja murtaa sen salasanan.)
g) Tee msfvenom-työkalulla haittaohjelma, joka soittaa kotiin (reverse shell). Ota yhteys vastaan metasploitin multi/handler -työkalulla.
- Haittaohjelma ei saa olla automaattisesti leviävä. Msfvenom tekee tyypillisillä asetuksilla ohjelman, joka avaa reverse shellin, kun sen ajaa, mutta joka ei leviä eikä tee muutenkaan mitään itsestään.
- Raporttiin riittävät pelkät komennot ja raportti haitakkeen tekemisestä, itse binääriä ei ole pakko laittaa verkkoon. Mikäli laitat binäärin verkkoon, pakkaa se salakirjoitettuun zip-pakettiin ja laita salasanaksi "infected". Latauslinkin yhteydessä on oltava selkeä varoitus siitä, että kyseessä on haittaohjelma (malware), jota ei tule ajaa tuotantokoneilla. Salasanan voit halutessasi kertoa varoitusten yhteydessä.
- Palvelimen päässä pitää olla reikä tulimuurissa. Reverse shell tarkoittaa, että palvelin on hyökkäyskoneella.
h) Vapaaehtoinen: Tee Sliver-työkalulla haittaohjelma, joka soittaa kotiin.
i) Vapaaehtoinen: Tee PoshC2-työkalulla haittaohjelma, joka soittaa kotiin.
j) Vapaaehtoinen: Tee Mythic-työkalulla haittaohjelma, joka soittaa kotiin.
k) Vapaaehtoinen: Asenna Windows-virtuaalikone ja tee kotiin soittava haittaohjelma siihen. Itse tykkään Linuxista ja käytän paljon sitä, tässä hieman vaihtelua. Windows-käyttäjät ovat myös usein tottuneet (paketinhallinnan puutteessa) lataamaan ohjelmia weppisivuilta.

Vinkit

O'Reilly Learning videot ja kirjat pääset lukemaan ilmaiseksi HH tunnuksilla, kun kirjaudut kirjaston kautta.
Irrota tarvittasessa koneet netistä testien ajaksi.
Metasploit msfconsole multi/handler
- laita samat asetukset kuin msfvenom
- muista 'set payload'
- 'run -j' ajaa taustalla, sessiot ovat 'sessions'
- prosessoriarkkitehtuuri kohteen mukaan

Esimerkki ulkomuistista, pitää itse soveltaa

$ msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=127.0.0.1 LPORT=8080 -o infected

Simpukoita

a) Snif Venom! Näytä esimerkki yhteydestä: reverse shell msfvenom:lla tehdystä binääristä -> metasploit multi/handler. Tarkastele yhteysttä snifferillä, kuten Wireshark. Mitä havaitset? Mistä ominaisuuksista yhteyden voi tunnistaa? Millä muutoksilla tunnistamista voi vaikeuttaa?
b) Hello, Sliver. Näytä esimerkki http-yhteydestä Sliverillä.
c) Sniff Sliver! Tarkastele Sliverin http-yhteyttä snifferillä. Mitä havaitset? Mistä ominaisuuksista yhteyden voi tunnistaa?
d) Sliverillä voit muuttaa yhteyden ominaisuuksia. Kokeile ja näytä esimerkkejä. Muista todeta testein, että muutokset toimivat.
e) Sliverillä voi tehdä monenlaista kohteessa, ruutukaappauksista alkaen. Näytä esimerkkejä toiminnoista.
f) Vapaaehtoinen: Kokeile Sliver-binääriä Windowsissa.
g) Vapaaehtoinen: Tee Windows-asennusohjelma, joka asentaa jonkin tavallisen ohjelman ja sen yhteydessä Sliver-haitakkeen. Haittakkeen sisältävät binäärit pitää laittaa salattuun malware-sample.zip -pakettiin, jonka salasana on "infected". Paketin latauksen yhteydessä tulee olla selkeä varoitus, että kyseessä on esimerkki haittaohjelmasta (malware).
h) Vapaaehtoinen: Kokeile Unicorn evasion -työkalua.
i) Vapaaehtoinen: Kokeile Veil evasion -työkalua.

Maalisuoralla

Olet kohta läpäissyt yhden koulumme vaikeimmista kursseista. Tsemppiä loppumetreille!

Opit seuraamaan tiedettä - oikeita vertaisarvioituja artikkeleita hakkeroinnista. HackTheBox taas on yksi palvelu lisää käytännön harjoitteluun.

Ps. Stallman audiksessa ensi torstaina! 2025-10-09 w41 Thu Happy Hacking Day.

x) Lue/katso ja tiivistä. (Tässä x-alakohdassa ei tarvitse tehdä testejä tietokoneella, vain lukeminen tai kuunteleminen ja tiivistelmä riittää. Tiivistämiseen riittää muutama ranskalainen viiva kustakin artikkelista. Kannattaa lisätä myös jokin oma ajatus, idea, huomio tai kysymys.)
- Karvinen 2025: Start Your Research with a Review Article
- Review. Etsi vapaavalintainen review eli katsausartikkeli, joka liittyy kurssin aiheisiin.
  - Artikkelin pitää olla JUFO-arvioidusta julkaisusta eli jufo-taso 1, 2 tai 3.
  - Mieluiten tuore, julkaisusta alle 2 vuotta.
  - Artikkeleita löytyy scholar.google.com/ncr
  - Jos artikkeli on pitkä, yli 4 sivua, voit perustaa tiivistelmäsi silmäilyyn, kunhan mainitset tästä tiivistelmässäsi.
  - Tiivistä sisältöä, älä pelkästään toista otsikoita tai puhu pelkkää metatekstiä. Väärin: "Jännittävä artikkeli rikollisuudesta Fobarstanissa, jossa on kiinnostava hyökkäys." Oikein: "Fobarstainin rikolliset ovat käyttäneet 2025 alkaen automurtoihin SnapBox-välimieshyökkäystä. Proof-of-concept on saatavilla Githubista..."
a) Lippuvalmistelu. Valmistele kone ensi viikon lipunryöstöön. Tästä kohdasta ei tarvita kattavaa raporttia, riittää pelkkä luettelo siitä, miten ratkaisit allaolevat kysymykset. Jos sinulla on esimerkiksi valmis, toimiva Kali VM tavallisella PC:llä, tässä ei tarvitse tehdä juuri mitään.
- amd64. Haasteet voivat sisältää amd64-binäärejä. Nämä toimivat itsestään perus-PC:ssä, joita lähes kaikkien koneet ovat. Macintosheissa (M1, M2, M3...) hankala tehdä tehtävää, joten kannattaa ottaa tavallinen amd64-kone.
- Netti. Koneesta pitää päästä nettiin, jotta voit palauttaa liput. Voi olla kätevää, että saat nettiyhteyden katkaistuksi, jotta porttiskannailu ym. on huoletonta.
- Too many secrets. Opettaja voi tarkastaa lipunryöstön koneesi ja tutkia kaikkia siellä olevia tiedostoja. Jos käytät pelkästään virtuaalikonetta (myös selailu, muistiinpanot ym virtuaalikoneesta), tarkastaminen koskee vain sitä. Katso, ettei tällä koneella ole luottamuksellisia tietoja.
- Koneella saa olla haluamasi ohjelmat ja työkalut. Työkaluista ja ohjelmista pitää antaa opettajalle kopio, jos ne eivät ole yleisesti käytettyjä, tunnettuja ja saatavilla olevia vapaita ohjelmia.
- Jos lipunryöstön koneella on muistiinpanoja, niistä on annettava kopio opettajalle sähköpostilla. Omia muistiinpanoja saa olla, mutta ei ole pakko. Lipunryöstössä saa lukea julkisia lähteitä, kuten opettajan kotisivuja sekä omia ja toisten julkisia raportteja.
- Paikallinen tekoäly. Omaa tekoälyä ei tarvita lipunryöstössä, eikä siitä todennäköisesti ole juuri hyötyä. Mutta siltä varalta, että joku miettii tätä: Paikallisen tekoälyn käyttö lipunryöstössä on sallittu, jos ilmoittaa Terolle etukäteen sähköpostilla siitä, antaa opettajalle sähköpostitse täydellisen kopion keskustelusta tekoälyn kanssa ja kaikki paramaterit, sekä kopion tekoälyn koodista ja painoista tai linkin niihin. Ulkopuolisen tekoälyn käyttö verkon yli on lipunryöstössä kielletty.
b) HTB Dancing. Ratkaise HackTheBox.com: Starting Point: Tier 0: Dancing.
c) HTB Responder. Ratkaise HackTheBox.com: Starting Point: Tier 1: Responder.
d) Vapaaehtoinen: Tilaa Google Scholarlista omaan alaasi liittyvät artikkelit sähköpostiin. Jo otsikoista saa hyvän käsityksen artikkeleista. Kun olet saanut muutaman viestin, muista tiukentaa filtteriä - haluat vain viestit jotka haluat.
e) Vapaaehtoinen: HTB Academy. Kokeile HackTheBox Academyn ilmaista sisältöä.
f) Vapaaehtoinen: HTB Starting point: Tier 2: Archetype.

Vinkit:

HackTheBox (HTB)
- Vaatii ilmaisen rekisteröitymisen
- Käytä OpenVPN-yhteyttä omalta virtuaalikoneelta.
- Starting Point VPN on eri verkko kuin tavallinen HackTheBox Labs VPN.
- Testaa, että paketit eivät vuoda verkkoon.
- Etsi säännöt HTB:n sivulta; lue; ja tallenna itsellesi esimerkiksi kuvakaappauksena
- Tässä olevat tehtävät voi tehdä ilmaiseksi rekisteröitymällä palveluun
- Koneen kohdalla on lueteltu aiheet tageissa
  - Tagit antavat viitteitä haavoittuvuuksista
    - WinRM, XAMPP, SMB, Responder, Remote File Inclusion, Remote Code Execution...
  - Kun mukana on vieraita tekniikoita ja työkaluja
    - Hae itse lisätietoa. Itsenäinen tiedon hakeminen on välttämätöntä, jos haluat murtautua johonkin todellisiin järjestelmiin.
    - Muista merkitä lähteet
- Starting point -tehtäviin löytyy malliratkaisut "Official Writeup"
  - Yritä ensin itse. Tee pari punnerrusta. Juo lasi vettä. Jaloittele. Mieti eri lähestymistapoja. Tee hypoteeseja.
  - Mutta älä hakkaa päätä seinään loputtomasti. Kun ideat on käytetty, niin tietysti jossain vaiheessa kannattaa katsoa vinkit seuraavaan askeleeseen.
  - Viittaa malliratkaisuuun kuten muihinkin lähteisiin.
  - Jos jäät jumiin, voit myös vilkaista vain askeleen malliratkaisusta ja jatkaa treeniä itse siitä.
- "Very easy" - joopa joo, varmaan jollekin...
HTB Academy
- Voi kokeilla ilmaiseksi esimerkkisisällöllä
- Haaga-Helian sähköpostiosoitteella rekisteröitymällä suurin osa sisällöstä (myös Pentester path) vajaat 10 EUR/kk.
  - Tässä läksyssä ei tarvitse ostaa mitään maksullisia palveluita.

Huomaa myös h8 Bonus

Onnea lipunryöstöön!

h8 Bonus

Vapaaehtoinen bonus: luettele ja linkitä tähän tekemäsi

a) Vapaaehtoiset tehtävät
b) Ristiinarvioinnin jälkeen olennaisesti parannetut tehtävät
c) Kurssin ulkopuolella tekemäsi kiinnostavat hakkerointihaasteet, esimerkiksi
- Projektit
- HackTheBox korkatut koneet, mukaan ruutukaappaus pistesivustasi. Erottele retired ja non-retired. (Ei non-retired boksien läpikävelyohjeita julkiseen weppiin)
- Lipunryöstöt

Tehtävän määräaika on 24 h ennen viimeisen opetuskerran alkua. Tämä bonustehtävä on kokonaan vapaaehtoinen.

Verkkoon tunkeutuminen ja tiedustelu

Sun, 22 Mar 2026 12:47:03 +0200

Attack the network between machines. Capture radio transmissions. Copy key cards. Attack WiFi.

Maybe even some software radio...


Course name and code	Verkkoon tunkeutuminen ja tiedustelu ICI013AS3A-3003 (opinto-opas)
Translated name	Network Attacks and Reconnaissance
Timing	2026 period 4, late spring (2026 w13-w20)
Credits	5 cr
Classes	Pasila, classroom pa5001
Max students	30 (Fully booked. Queuing? Come to the first class.)
Language	Finnish (+reading material in English)
Remote	No, fully contact in Pasila classroom, mandatory attendance
Feedback	Erinomainen 4.5 /5
Services	Moodle: Verkkoon tunkeutuminen ja tiedustelu, Laksu. Voluntary extra: Tero's list.
Teachers	Tero Karvinen and Lari Iso-Anttila
First class	2026-03-23 w13 Mon 08:00, pa5001, bring your laptop
Enroll	in Peppi

Aikataulu

Päivä	Aihe, ope
2026-03-23 w13 Mon	1. Kokonaiskuva: teoria, tärkeimmät mallit - Tero
2026-03-30 w14 Mon	2. Liikenteen sieppaaminen ja analyysi - Tero
2026-04-06 w15 Mon	(Pääsiäisvapaa, ei oppituntia)
2026-04-13 w16 Mon	4. NFC ja RFID - Lari
2026-04-20 w17 Mon	5. Laboratorio- ja simulaatioympäristöt hyökkäyksissä - Lari
2026-04-27 w18 Mon	6. WiFi - Lari
2026-05-04 w19 Mon	7. Radiosignaalien automaattinen purkaminen - Tero
2026-05-11 w20 Mon	8. Lipunryöstö - Tero, Lari

Opetus maanantaisin 08:00 - 10:45 pa5001.

Läppäri mukaan, Linux virtuaalikoneessa. (Apple Mac-käyttäjät: kurssilla pitää pystyä ajamaan tavallisia amd64-binäärejä, suosittelemme "tavallista PC-läppäriä" eli amd64-prosessoria. Tavalliset amd64-binäärit eivät toimi M1, M2, M3, M4 Maceissa ainakaan helposti.)

Aikataulu on alustava ja kurssi on edistynyt, joten aiheet voivat vielä muuttua kurssin aikana.

Lähtötaso

Kurssin alkaessa tulee osata

Verkkojen perusteet
Linuxin alkeet
Asentaa Linux virtuaalikoneeseen omalle koneelle

Millä tahansa tavalla hankitut esitiedot kelpaavat. Tiedot on voinut hankkia esimerkiksi kursseilla "Linux palvelimet" tai "Tietoverkkojen perusteet", mutta itse opeteltu sopii myös.

Esitiedot tarkistetaan tarvittaessa kyselyllä, ja kurssille valittavat voidaan tarvittaessa valita alkutestin perusteella.

Voit halutessasi kerrata tai opetella taidot alta ennen kurssia. Jos osaat aiheet jo, kertauspakettia ei tarvitse lukea.

Kertauspaketti

Jos osaat nämä asiat jo, et tarvitse kertauspakettia.

Jos kurssilla järjestetään alkutesti, sen kysymykset eivät välttämättä rajoitu tässä lueteltuihin lähteisiin.

Verkkojen perusteet

Nämä ovat siis jokapäiväisiä TCP/IP:n perusteita, joita olet varmaan joskus käyttänyt.

IP-osoite (ip address), maski (network mask), nimipalvelin (domain name server), oletusreititin (default gateway)
Asiakas-palvelin-arkkitehtuuri (client-server)
Portti, kuunteleva portti, yläportti (ephemeral port), muutama tärkein TCP-portti (22, 53, 80, 443)
Pinomallin ajatus (abstraction layers, kerros puhuu vain viereiselle kerrokselle)
TCP/IP-pinon neljä kerrosta (application esim. HTTP, transport TCP, Internet IP, Link ARP)
Seuraavan hypyn reitityksen perusajatus (next hop routing, ei reititystekniikoita)
Verkkotyökalujen alkeet. Esimerkiksi oma ip-osoite (ip a, hostname -I), nimipalvelutiedot (host terokarvinen.com), onko portti auki (nc -vz localhost 80; telnet localhost 80), latenssin mittaus (ping 8.8.8.8).

Wikipedia: Internet protocol suite

Linuxin alkeet

Linuxia käytetään työkaluna. Perustaidot riittävät. Kurssi ei edellytä laajoja Linuxin ylläpitotaitoja.

Komentokehotteen käyttö
Pääkäyttäjän oikeudet (sudo)
Pakentinhallinta (apt-get)
Hakemistorakenne (esim. /home/tero/, /etc/, /, /var/log, /usr/bin/, /usr/local/bin/)
Lokit (sudo journalctl -n 20; /var/log/apache2/error.log)

Opettele komennot tästä: Karvinen 2020: Command Line Basics Revisited

Helpointa kerrata nämä asentamalla Linux virtuaalikoneeseen ja leikkimällä sillä.

Linuxin asentaminen virtuaalikoneeseen

Esimerkiksi Debianin asentaminen VirtualBoxiin (ohje alla)
Voit käyttää muitakin virtualisointiratkaisuja, jos pystyt itse soveltamaan ja ratkomaan niihin liittyvät haasteet (esim QEMU, lib-virt, virt-manager...)
Jos oma koneesi on uusi M1, M2 tai M3-prosessorilla varustettu Mac, niin tulee osata asentaa Linux virtuaalikoneeseen tässä (arm64) ympäristössä.

Tällä asennusohjeella opiskelijat ovat asentaneet satoja Linuxeja: Install Debian on Virtualbox - Updated 2024

Notes on Mac M1 install: Carr 2024: a) Bookworm

Vanhoja toteutuksia

Verkkoon tunkeutuminen ja tiedustelu ICI013AS3A-3001 loppukeväällä 2025p4

Läksyt

Suosittu ja helppo tapa on laittaa raportit Githubiin.

Kaikkien ajan säästämiseksi poistan kurssilta ne, jotka eivät palauta tehtäviä ajallaan.

h0 Hei maailma

a) Vapaaehtoinen: Hei maailma. Sieppaa liikennettä WireSharkilla. Merkitse TCP/IP-pinon kerrokset ruutukaappaukseen. Raportti sivuna weppiin. Palauta linkki Laksuun ja ristiinarvioi vähintään kaksi.

Vinkit

Karvinen 2023: Create a Web Page Using Github

Update 2025-10-21 w43 Tue: päivitin vastaamaan tunnilla annettua tehtävää.

h1 Sniff

x) Lue ja tiivistä. (Tässä x-alakohdassa ei tarvitse tehdä testejä tietokoneella, vain lukeminen tai kuunteleminen ja tiivistelmä riittää. Tiivistämiseen riittää muutama ranskalainen viiva.)
- Karvinen 2025: Wireshark - Getting Started
- Karvinen 2025: Network Interface Names on Linux
a) Linux. Asenna Debian tai Kali Linux virtuaalikoneeseen. (Tätä alakohtaa ei poikkeuksellisesti tarvitse raportoida, jos sinulla ei ole mitään ongelmia. Jos on mitään haasteita, tee täsmällinen raportti)
b) Ei voi kalastaa. Osoita, että pystyt katkaisemaan ja palauttamaan virtuaalikoneen Internet-yhteyden.
c) Wireshark. Asenna Wireshark. Sieppaa liikennettä Wiresharkilla. (Vain omaa liikennettäsi. Voit käyttää tähän esimerkiksi virtuaalikonetta).
d) Oikeesti TCP/IP. Osoita TCP/IP-mallin neljä kerrosta yhdestä siepatusta paketista. Voit selityksen tueksi laatikoida ne ruutukaappauksesta. (Voit käyttää vastauksesi osana ruutukaappaustasi h0-tehtävästä, mutta tässä tehtävässä tarvitaan myös sanallinen selitys.)
e) Mitäs tuli surffattua? Avaa surfing-secure.pcap. Tutustu siihen pintapuolisesti ja kuvaile, millainen kaappaus on kyseessä. Tässä siis vain lyhyesti ja yleisellä tasolla. Voit esimerkiksi vilkaista, montako konetta näkyy, mitä protokollia pistää silmään. Määrästä voit arvioida esimerkiksi pakettien lukumäärää, kaappauksen kokoa ja kestoa.
f) Vapaaehtoinen, vaikea: Mitä selainta käyttäjä käyttää? surfing-secure.pcap (Päivitys 2025-03-31 w14 ma - muutin tehtävän vapaaehtoiseksi Giang:n suosituksesta)
g) Minkä merkkinen verkkokortti käyttäjällä on? surfing-secure.pcap
h) Millä weppipalvelimella käyttäjä on surffaillut? surfing-secure.pcap
- Huonoja uutisia: yhteys on suojattu TLS-salauksella.
i) Analyysi. Sieppaa pieni määrä omaa liikennettäsi. Analysoi se, eli selitä mahdollisimman perusteellisesti, mitä tapahtuu. (Tässä pääpaino on siis analyysillä ja selityksellä, joten liikennettä kannattaa ottaa tarkasteluun todella vähän - vaikka vain pari pakettia. Gurut huomio: Selitä myös mielestäsi yksinkertaiset asiat.)

Vinkit

Karvinen 2024: Install Debian on Virtualbox - Updated 2024
Verkkoyhteyttä testatessa voi vaikkapa ottaa yhteyttä Internet-mammuttien nimipalvelimiin, joilla on helposti muistettavat numerot
- ping 1.1.1.1 # Cloudfare
- ping 8.8.8.8 # Google
TCP/IP-pinosta löytyy hyvä kertaus: Wikipedia: Internet protocol suite
Läpikävely selaimen selvittämiseen kohdassa f. Giang 2025: H1 Sniff: f) Mitä selainta käyttäjä käyttää? (spoiler)

Update 2025-10-21 w43 Tue: Lisäsin d-kohtaan, että halutessaan voi hyödyntää h0-tehtävän ruutukaappausta tässä.

Teron tehtävä.

h2: Lempiväri: violetti

h2 Taustaa

Tässä taustaosiossa olevia linkattuja artikkeleita ei tarvitse lukea tai tiivistää, ellei tehtävissä erikseen pyydetä.

Tämän tehtävän tavoite on tunnistaa hyökkäystyökaluja; ja välttää tunnistamista.

Mitään ulkopuolisia koneita ei saa porttiskannata. Irrota tarvittaessa koneet Internetistä testien ajaksi. Kohdista kaikki hyökkäykset ja porttiskannaukset vain annettuihin harjoitusmaaleihin. Tehtävän saa aloittaa vasta, kun on hyväksynyt kurssin säännöt.

Kybertappoketjusta (kuva, artikkeli) opimme, että hyökkääjä altistuu tunnistamiselle hyökkäyksen jokaisessa vaiheessa. Työkalut jättävät jälkiä, joista hyökkäyksen voi tunnistaa.

Itse hyökätessämme voimme asentaa laboratorioon puolustajan järjestelmää muistuttavan ympäristön. Silloin voimme säätää hyökkäystyökalut vaikeasti tunnistettaviksi.

Tässä harjoituksessa

Tunnistetaan hyökkääjän porttiskannaus
Kilpavarustellaan - hyökkääjä piiloutuu, mutta riittäkö se?
Muokataan hyökkäystyökalua väistämään tunnistusta
Arvioidaan omia hyökkäystyökaluja kahdesta näkökulmasta
- Verkkoliikenne - yleinen tapa
- Kohdejärjestelmän loki - erityinen, tiettyyn puolustajaan sovellettu

Läheiset käsitteet (taustatietoa, ei tarvitse tiivistää eikä lukea kokonaan)

Tuskan pyramidi (Bianco 2013: Pyramid of Pain)
Kybertappoketju (Hutchins et al 2011: Cyber Kill Chain)
Timanttimalli (Caltagirone et al 2013: Diamond Model)
MITRE ATT&CK (Mitrellä jäi caps-lockki JUMIIN)

h2 Tehtävänannot

Kaikissa kohdissa edellytetään analyysia ja selitystä. Selvitä ja selitä siis komentojen ja komentoriviparametrien merkitys. Selitä, mitä tulokset tarkoittavat; ja mitä niistä tulisi ymmärtää. Lue vinkit, ennenkuin aloitat.

x) Lue ja vastaa lyhyesti kysymyksiin. Tässä alakohdassa x ei tällä kertaa tarvitse lukea artikkeleita kokonaan, ei tarvitse tiivistää niitä, eikä tehdä testejä koneella.
- Selitä tuskan pyramidin idea 1-2 virkkeellä. Bianco 2013: Pyramid of Pain. (Katso eritoten pyramidin kuvaa.)
- Selitä timanttimallin (Diamond Model) idea 1-2 virkkeellä. Tekijä esittelee sen aika juhlallisesti, voit myös etsiä yksinkertaisempia artikkeleita hakukoneella tai kelata suoraan timantin kuvaan. Caltagirone et al 2013: Diamond Model
a) Apache log. Asenna Apache-weppipalvelin paikalliselle virtuaalikoneellesi. Surffaa palvelimellesi salaamattomalla HTTP-yhteydellä, http://localhost . Etsi omaa sivulataustasi vastaava lokirivi. Analysoi yksi tällainen lokirivi, eli selitä sen kaikki kohdat. (Jos Apache ei ole kovin tuttu, voit tätä tehtävää varten vain asentaa sen ja testata oletusweppisivulla. Eli ei tarvitse tehdä omia kotisvuja tms.)
b) Nmapped. Porttiskannaa oma weppipalvelimesi käyttäen localhost-osoitetta ja 'nmap -A' päällä. Selitä tulokset. (Pelkkä http-portti 80/tcp riittää)
c) Skriptit. Mitkä skriptit olivat automaattisesti päällä, kun käytit "-A" parametria? (Näkyy avoimien porttinumeroiden alta, http-blah, http-blöh...).
d) Jäljet lokissa. Etsi weppipalvelimen lokeista jäljet porttiskannauksesta (NSE eli Nmap Scripting Engine -skripteistä skannauksessa). Löydätkö sanan "nmap" isolla tai pienellä? Selitä osumat. Millaisilla hauilla tai säännöillä voisit tunnistaa porttiskannauksen jostain muusta lokista, jos se on niin laaja, että et pysty lukemaan itse kaikkia rivejä?
e) Wire sharking. Sieppaa verkkoliikenne porttiskannatessa Wiresharkilla. Huomaa, että localhost käyttää "Loopback adapter" eli "lo". Tallenna pcap. Etsi kohdat, joilla on sana "nmap" ja kommentoi niitä. Jokaisen paketin jokaista kohtaa ei tarvitse analysoida, yleisempi tarkastelu riittää.
f) Net grep. Sieppaa verkkoliikenne 'ngrep' komennolla ja näytä kohdat, joissa on sana "nmap".
g) Agentti. Vaihda nmap:n user-agent niin, että se näyttää tavalliselta weppiselaimelta.
h) Pienemmät jäljet. Porttiskannaa weppipalvelimesi uudelleen localhost-osoitteella. Tarkastele sekä Apachen lokia että siepattua verkkoliikennettä. Mikä on muuttunut, kun vaihdoit user-agent:n? Löytyykö lokista edelleen tekstijono "nmap"?
i) Hieman vaikeampi: LoWeR ChEcK. Poista skritiskannauksesta viimeinenkin "nmap" -teksti. Etsi löytämääsi tekstiä /usr/share/nmap -hakemistosta ja korvaa se toisella. Tee porttiskannaus ja tarkista, että "nmap" ei näy isolla eikä pienellä kirjoitettuna Apachen lokissa eikä siepatussa verkkoliikenteessä. (Tässä tehtävässä voit muokata suoraan lua-skriptejä /usr/share/nmap alta, 'sudoedit'. Muokatun version paketoiminen siis rajataan ulos tehtävästä.)
j) FCC ID. Etsi valitsemasi langattoman laitteen tiedot FCC ID:llä. Mitä liikenteen purkamista tai manipuloimista hyödyttävää tietoa löydät?
k) Vapaaehtoinen, vaikea: Invisible, invincible. Etsi jokin toinen nmap:n skripti, jonka verkkoliikenteessä esiintyy merkkijono "nmap" isolla tai pienellä. Muuta nmap:n koodia niin, että tuo merkkijono ei enää näy verkkoliikenteessä.

Vinkit

Nämä komennot ovat ulkomuistista, niissä saattaa olla kirjjoitusvirheittä.
Apachen asennus
- sudo apt-get update
- sudo apt-get install apache2
- sudo systemctl start apache2
Apachen lokit
- /var/log/apache2/
- sudo tail -F /var/log/apache2/access.log
- (Useimmat muut lokit ovat nykyisin 'sudo journalctl --follow')
Porttiskannaus
- 'sudo nmap -A localhost'
- 'sudo nmap -T4 -vv -A -p 80 localhost'
- Vain omia koneita saa porttiskannata
- Kannattaa irrottaa kone Internetistä testien ajaksi
- KKO 2003:36 ja tämä siis 17-vuotiaalle eli juridisesti lapselle. Tekopäivä 1998, oikeudessa edelleen 2003. Käsittely oikeudessa kesti siis pidempään kuin mitä taposta olisi tullut istuttavaa. Esimerkki eri henkilöistä ja tapauksesta: Taposta vankeutta alle 7 vuotta, ensikertalaisen alennus 50%, istuttavaa noin 3.5 vuotta.
Wireshark
- Näytä vain paketit, joissa on tietty sana? Dislay filter: frame contains "nmap"
sudo ngrep -d lo -i nmap
Nmap
- --script-args http.useragent="BSD experimental on XBox350 alpha (emulated on Nokia 3110)"
- Mitä tiedostoja on asentunut nmap:n mukana? 'dpkg --listfiles nmap nmap-common'
- Missä niistä mainitaan jokin tietty skripti, vaikkapa http-title? 'dpkg --listfiles nmap nmap-common |grep http-title'
- Nmap:n skriptit ja niiden käyttämä kirjasto löytyvät /usr/share/nmap/
- Voit hakea jotain hakusanaa kaikista hakemistoista työhakemistosta alaspäin
  - grep -ir "tero"

Teron tehtävä.

h3 Messuilla

Osallistu Cyber Security Nordic -tapahtumaan.

x) Läksyksi tästä tapahtumasta teidän tulee tehdä lyhyt raportti siitä, mitä yrityksiä tapasitte, mitä mielenkiintoisia palveluita / tuotteita (max 3kpl) löysitte. (Tässä alakohdassa ei tarvitse tehdä testejä koneella.)

Suosittelen osallistumaan messuille. Mikäli et missään tapauksessa halua osallistua messuille, voit vaihtoehtotehtävänä laatia tiivistelmän täyspitkästä hakkeritapahtuman esityksestä verkosta löytämästäsi videosta (esim. Disobey, Black Hat...).

Teron ja Larin tehtävä.

h4 NFC ja RFID

a) Tarkastele käytössäsi olevia RFID tuotteita, mieti miten hyvin olet suojautunut RFID urkinnalta?
b) Tutustu APDU komentojen rakenteeseen (voit käyttää tekoälyä tutustumiseen)
c) Tutki ja kerro minkä mielenkiintoisen RFID hakkerointi uutiset löysit. (Vinkki, useimmat liittyvät henkilökortteihin)

Larin tehtävä.

h5 Laboratorio- ja simulaatioympäristöt hyökkäyksissä

Lataathan mininet virtuaalikoneen ennen luentoa ja pyrit saaman sen käyntiin.

a) Tutustu seuraavaan työkaluun https://github.com/kgretzky/evilginx2 . Vastaa seuraaviin kysymyksiin
- Asensitko työkalun, jos asensit niin kirjoita miten sen teit.
- Mitä teit työkalun kanssa?
- Onnistuitko huijaamaan liikennettä
b) Sinulla on käytössäsi mininet-ympäristö. Luo ympäristö, jossa voit tehdä TCP SYN-Flood hyökkäyksen.
- Kirjoita miten loit mininet ympäristön ja miten toteutit hyökkäyksen.

VMWare Fusion and Workstation

Mininet-harjoitus kone (Lari avaa latauksen ilmoittamanaan aikana)

Larin tehtävä.

h6 WiFi

a) Tutustu wifi challenge lab 2.1 harjoitus ympäristöön ja käytä tarvittaessa hyväksesi jo olemassa olevia ohjeita.
b) Kirjoita raportti siitä mitä opit ja mitkä asia yllättivät sinut kun tutustuit harjoitukseen.
c) Miten suhtautumisesi WLanin turvallisuuteen muuttui sen jälkeen kun teit harjoitukset?

WiFiChallenge Lab v2.1

Larin tehtävä

h7 Aaltoja harjaamassa

Lapsena softaradiot olivat tieteisfiktiota. Sitten salaisia projekteja. Sitten kalliita. Ja nyt käytössämme alkaen 25 EUR.

Tässä harjoituksessa analysoit siepattuja signaaleja sekä automaattisesti että hieman myös käsin.

Lue myös vinkit ennen kuin aloitat käytännön harjoitukset.

x) Lue ja tiivistä. (Tässä x-alakohdassa ei tarvitse tehdä testejä tietokoneella, vain lukeminen tai kuunteleminen ja tiivistelmä riittää. Tiivistämiseen riittää muutama ranskalainen viiva.)
- Hubacek 2019: Universal Radio Hacker SDR Tutorial on 433 MHz radio plugs (Video, alkaen 3:19 ja päättyen 7:40. Yhteensä noin 4 min.)
- Cornelius 2022: Decode 433.92 MHz weather station data
- Vapaaehtoinen, vaikeahko: Lohner 2019: Decoding ASK/OOK_PPM Signals with URH and rtl_433
a) WebSDR. Etäkäytä WebSDR-ohjelmaradiota, joka on kaukana sinusta ja kuuntele radioliikennettä. Radioliikenne tulee siepata niin, että radiovastaanotin on joko eri maassa tai vähintään 400 km paikasta, jossa teet tätä tehtävää. Käytä esimerkkinä julkista, suurelle yleisölle tarkoitettua viestiä, esimerkiksi yleisradiolähetystä. Kerro löytämäsi taajuus, aallonpituus ja modulaatio. Kuvaile askeleet ja ota ruutukaappaus. (Tehtävässä ei saa ilmaista sellaisen viestin sisältöä tai olemassaoloa, joka ei ole tarkoitettu julkiseksi. Voit sen sijaan kuvailla, miten sait julkisen radiolähetyksen kuulumaan kaiuttimistasi. Julkisten, esimerkiksi yleisradiolähetysten sisältöä saa tietysti kuvailla.)
b) rtl_433. Asenna rtl_433 automaattista analyysia varten. Kokeile, että voit ajaa sitä. './rtl_433' vastaa "rtl_433 version 25.02 branch..."
c) Automaattinen analyysi. Mitä tässä näytteessä tapahtuu? Mitä tunnisteita (id yms) löydät? Converted_433.92M_2000k.cs8. Analysoi näyte 'rtl_433' ohjelmalla.
d) Too compex 16? Olet nauhoittanut näytteen 'urh' -ohjelmalla .complex16s-muodossa. Muunna näyte rtl_433-yhteensopivaan muotoon ja analysoi se. Näyte Recorded-HackRF-20250411_183354-433_92MHz-2MSps-2MHz.complex16s
e) Ultimate. Asenna URH, the Ultimate Radio Hacker.
Tarkastele näytettä 1-on-on-on-HackRF-20250412_113805-433_912MHz-2MSps-2MHz.complex16s. Siinä Nexan pistorasian kaukosäätimen valon 1 ON -nappia on painettu kolmesti. Käytä Ultimate Radio Hacker 'urh' -ohjelmaa.
- f) Yleiskuva. Kuvaile näytettä yleisesti: kuinka pitkä, millä taajuudella, milloin nauhoitettu? Miltä näyte silmämääräisesti näyttää?
- g) Bittistä. Demoduloi signaali niin, että saat raakabittejä. Mikä on oikea modulaatio? Miten pitkä yksi raakabitti on ajassa? Kuvaile tätä aikaa vertaamalla sitä johonkin. (Monissa singaaleissa on line encoding, eli lopullisia bittejä varten näitä "raakabittejä" on vielä käsiteltävä)
h) Vapaaehtoinen: Sdr++. Kokeile sdr++ -sovellusta ja esittele sillä jokin "hei maailma" -tyyppinen esimerkki.
i) Vapaaehtoinen, vaikeahko: GNU Radio. Asenne GNU Radio ja tee sillä yksinkertainen "Hei maailma".

Vinkit

WebSDR
- Löydät asemia hakukoneilla. Niitä voi käyttää selaimella.
- Valitse taajuus ja modulaatio. Säätele, kunnes radiolähetys kuuluu kaiuttimista.
rtl_433
- Purkaa automaattisesti lukuisia protokollia
- Tukee muitakin taajuuksia kuin 433 MHz
- Kalissa 'sudo apt-get install rtl_433' (ja Sid:ssä)
- Debianissa ja muissa
  - Projektin Github-sivulta merbanan/rtl_433
  - Releases-sivulta tuorein versio, jossa on:
    - Linux
    - amd64
    - SoapySDR (ei vaikuta tähän harjoitukseen, mutta vaaditaan esim HackRF-tukeen)
    - Omaan järjestelmään sopiva OpenSSL versio, Debian 12-Bookworm kanssa 3
  - $ sudo apt-get -y install atool wget libssl-dev libtool libusb-1.0-0-dev librtlsdr-dev rtl-sdr libsoapysdr-dev
  - $ wget https://github.com/merbanan/rtl_433/releases/download/25.02/rtl_433-soapysdr-openssl3-Linux-amd64-25.02.zip
  - $ aunpack rtl*.zip
- Voi lukea suoraan radiolta (oletus) tai tiedostosta
  - $ rtl_433 -r foo_433.92M_1000k.cs8
  - $ man rtl_433
- Tiedostomuodon muuttaminen 'urh' complex16s -> 'rtl_433' cs8
  - Vain tiedoston nimi muuttuu
  - Tiedoston nimessä pitää olla oikea taajuus (center frequency) ja näytteenottotaajuus (sample rate)
  - Erottimena alaviiva
  - foo_433.92M_1000k.cs8
  - File name meta data
Ultimate Radio Hacker 'urh'
- URH avulla voi analysoida lähetteitä
- Tässä kokeilemme analyysin alkuvaiheita, joissa saadut bitit eivät vielä ole niitä lopullisia bittejä
- Helppo asennus, sopii valmiiksi kaapattujen signaalien analyysiin
  - $ sudo apt-get update
  - $ sudo apt-get -y install pipx
  - $ pipx install urh
  - $ pipx ensurepath
  - sulje ja avaa terminaali
  - $ urh
  - URH graafinen käyttöliittymä aukeaa
- Signaalien sieppaamiseen tarvitaan laitetuki omalle softaradiolle. Tätä varten jouduin itse kääntämään sorsista ja säätelemään. Tässä tehtävässä et tarvitse laitetukea softaradiolle.
- Voit leikata (crop) signaalia valitsemalla sen aallosta. Crop löytyy kontekstivalikosta, joka aukeaa hiiren oikealla napilla.
Gqrx löytyy Debianin paketinhallinnasta
Läpikävely (walktrough / spoiler): Nurminen 2025: h3 Aaltoja harjaamassa

h8 Bonus

Vapaaehtoinen: Bonus: luettele ja linkitä tähän tekemäsi

a) Vapaaehtoiset tehtävät
b) Arvioinnin jälkeen olennaisesti parannetut tehtävät
c) Kurssin ulkopuolinen sovellusten hakkeroinnin menestys
- Esimerkiksi lipunryöstöissä sovellusten hakkeroinnista

Määräaika 24 h ennen viimeistä tapaamiskertaa eli sama kuin edellisellä tehtävällä.

Information Security - 2026 early spring

Mon, 05 Jan 2026 17:05:43 +0200

Understand adversarial view on security. Recognize key concepts of security. Be able to safely practice hands-on with security tools.

Face-to-face in a real life classroom. In English.


Course name and code:	Information Security ICI002AS2AE-3006 (study guide)
Timing	2026 period 3, w03-w11, not w08
Credits	5 ECTS
Classes	Thursdays 11:00 - 13:45, in Pasila pa5001, bring your laptop
Max students	30. Sold out. Still likely to get a place from queue.
Language	English
Type	Contact, in physical classroom, mandatory participation [as requested]
Feedback	4.4 / 5 Very good feedback, best implementation 4.8/5 excellent *
Services	Moodle, Laksu. Optionally Tero's list.
First class	2026-01-15 w03 Thu 11:00, Pasila pa5001, physically present with your laptop
Enroll	Very good change to get a place from the queue. Enroll in Peppi and come to the first class.

* I'm giving other security courses, too. Penetration testing (challenging course in Finnish) has reached excellent 5.0 /5, with every participant giving feedback and each feedback being 5. And Master level (YAMK) Trust to Blockchain has reached excellent 4.9 /5.

Goals

After completing this course, you will

Understand adversarial view on security
Recognize key concepts of security
Be able to safely practice hands-on with security tools

Hands-on exercises will emphasize environments fully controlled by you, using free open source software in your possession.

Schedule

Thursdays 11:00 - 13:45, in Pasila pa5001, bring your laptop.

Date	Theme
2026-01-15 w03 Thu	1. Organizing. Threath modeling.
2026-01-22 w04 Thu	2. Cyber kill chain. First presentations. Themes: Governance, risk and compliance; Wildcard. Malte. Alexander: Phishing attacks. Aleksi: Basic online safety. Jaime.
2026-01-29 w05 Thu	3. Practice environments. Themes: Cyber attacks, malware, adversary methods. Suprim: Pratice Environments.
2026-02-05 w06 Thu	4. Web security. OWASP 10. Themes: Web security, application security, audits. Julien: Web security, app security and audits. Niroj. Maaz. Ezza.
2026-02-12 w07 Thu	5. Encryption. Asymmetric vs symmetric. GPG. SSH. Themes: Encryption and communication security. Steeve. Lee.
2026-02-26 w09 Thu	6. Passwords. Hashes introduction. Themes: Identity, passwords, authentication.
2026-03-05 w10 Thu	7. Themes: New developements. OSINT. Arshpreet: New developments in OSINT and role of TOR. Jonas: Darknets. Suman: Identity, passwords and authentication. Optional: Darknet, TOR.
2026-03-12 w11 Thu	8. Recap. Themes: Case examples. E.g. from your work. Moosa. Sajjad.

Eight security classes in Pasila. All classes require active participation. I have changed this course to contact (physically in the class) as requested in the feedback.

Presentations are related to themes.

There will likely be updates to the contents of the classes as the course advances.

You can reserve a spot for your presentation as soon as on the second class.

Assessment

Active participation in classes
Homework and cross evaluation (66%)
Presentation (33%)

Evaluation of the course is based on totality of the work presented.

Previous courses

Feedback

Thanks already! Your feedback is very important to me. I will read it all (twice+) and make improvements. Please give your feedback to two channels.

1) Free form feedback as a comment on this page

Write your comment on this page.

You can write what ever you want. No need to repeat the questions, but they are here to get you started.

Did you learn something? Do you now know something you did not know before the course? (Models, frameworks, ideas, tools?)
Did you do something for the first time? (Broke passwords, broke into web service, create treath models, used password manager, encrypted messages? Used some technique or a tool for the first time?)
Is this useful? Are these skills useful in companies?
How did you like the presentations? Interesting subject? Did you like presenting? Useful information? Actionable?
How did you like comments and feedback? Did you get answers to your questions? (from classmates, teacher; to your homework, presentations)
Feelings: did you enjoy the course?
How could I improve the course? (I can make almost any change here, if it's important)
Would you recommend the course? Have you already recommended it? Who would benefit from the course (a colleague, a fellow student)?

2) Numeric feedback to Haaga-Helia feedback system (Peppi)

Feedback in MyNet (Peppi)

1-worst, 5-best

Your active participation in studies
Achieving the learning goals
The study methods supported learning
The study environment supported learning
Benefits to your career

Open, you can copy the same answer you gave earlier

What promoted your learning?
How would you develop the implementation / group of implementations further so that the learning goals could be achieved better?

Your overall assessment of the implementation, 1-worst, 5-best

How likely would you recommend the course to your fellow students? 1-worst, 10-best.

Thank you for your feedback, and thank you for our course!

Optional: Keep up with Linux & security, join Tero's list. (And get invitations to visitors on security)

See you in my future courses!

Homework

Homeworks are done with a computer and reported at the same time. If some task does not require performing tests with a computer, it's specied writing.

Each homework is returned

24 h before start of next lecture
you can publish your homework report in any website you like
return a link to Laksu
cross-evaluate two other homeworks

To save everyone's time, I will remove those from the course who don't return homework, or who don't cross evaluate class mates work.

Github is a convenient place to publish your reports, others are Gitlab and Wordpress.com. I highly recommend publishing your work, it seems to help getting (better) job offers. But if you don't dare or want to publish, you can put your web page behind a password (e.g. in Wordpress.com, same password for all reports), and share this password with your group.

AI and large language models (LLM): You can ask AI or LLM a question and use the answer as facts for your own answer, written in your own words. AI must be marked as a reference, with details such as prompt (and for advanced users system prompts, temperature, jailbreaks...). LLMs tend to hallucinate, so you should check answers from more reliable sources. It's not allowed to generate text with AI or similar technologies. For example, it's not allowed to generate essay answers or summaries with AI, LLM or similar technologies.

The homeworks are official after they are given in the class. Don't start them before, because they might change.

h0 Hello, web!

a) Publish a web page. Show that you can make headings (h1 #, h2 ##...), paragraphs (p, empty line), links (a http://example.com) and code style (code or pre, four spaces at start of line). Markdown recommended.

Tips

Karvinen 2023: Create a Web Page Using Github

h1 Should Tero wear a helmet?

x) Read / watch / listen and summarize (This subtask x does not require tests with a computer. Some bullets per article is enough for your summary, feel free to write more if you like. Add some question or idea of your own.)
- Threat modeling
  - Braiterman et al 2020: Threat modeling manifesto
  - Shostack 2022: Welcome to the Worlds Shortest Threat Modeling Course (12 parts, about 15 min total, audio is enough for all except video 7 "Data flow diagrams")
  - OWASP CheatSheets Series Team 2021: Threat Modeling Cheat Sheet
- Infosec scene
  - Any episode from Darknet Diaries Podcast. (Try picking an episode that's different from everyone else, e.g. not the latest and not one that's prominently on the front page.)
a) Security hygiene. What basic security practices should everyone follow? Are there some security hygiene practicies that every company or average Joe should follow? (This subtask does not require tests with a computer. A bullet list is enough)
b) Make-belief boogie-man - a threat model for imaginary company.
- This subtask does not require tests with a computer.
- Create an imaginary company and create threat model.
- Business requirements come from business, technical specialist help with tech. Inlude this in your narrative.
- Your analysis should cover all parts of the four question model (four key questions in Threat modeling manifesto)
  - (1) What are we working on?
    - Our assets
      - Priorization, key assets
      - E.g. customer health data is a crown jevel, personel gaming server is probably not
    - Security supports business
    - Draw a diagram of the company systems
    - Customer is the king
      - What do we have to do the serve the customer (to keep getting paid)
      - How does customer see our systems? Touchpoints?
    - Write a description.
  - (2) What can go wrong?
    - Apply one or more named models: Attack trees, STRIDE, CIA, ATT&CK...
      - Give some examples of identified risks - you don't need to find all risks or likely vulnerabilites, as there would be too many for this homework.
    - Priorize biggest risks
      - High expected value (or other very high risk)
      - Expected value = probability * monetary value
      - Expected value is a tool for discussion, it's not exact science as we have to guestimate the input numbers
    - Are you targetted by specific threat actors? Are there actors that target your geographical or political area or industry?
      - Known TTPs? (tactics, techniques, procedures)
      - COI - Capability, Opportunity, Intent
    - Business continuity
      - We have to keep serving the customer to receive money.
      - Stakeholders (customer, employees...) trust us. Trust is hard to get and easy to lose.
  - (3) What are we going to do about it?
    - Can you: reduce attack surface, limit entry points...
    - META: Mitigage, Eliminate, Transfer, Accept.
  - (4) Did we do a good enough job?
    - Security audits, pentests, assesments, continous threat modeling and evaluation
    - Process, not a one time job. It never ends.

Tips:

Reading is for you.
- Read the articles.
  - You learn the subject matter required to
    - complete the tasks
    - understand how the tasks are related to the field of infosec
  - You learn the channels to follow the scene after the course
- Don't generate content with AI. Not understanding the arcticle will make it harder and harder to succeed in the future. Generating a lot of useless AI spam for classmates to read is disrespectful of their time.
- You can answer with just a few bullets.
Refer to sources
- Any book, page, video, man-page, report you use for home work task should be listed as a source.
- This task page is of course one source for the report: Karvinen 2024: Information Security Course, https://terokarvinen.com/information-security/
Work on your own level
- If you have background in security and IT, feel free to challenge yourself.
- If you're just starting, just fumble around - bravely try the models. We will not implement your plan, nothing will happen in real life even if your threat model is not perfect.
Security hygiene
- No brainer: Wouldn't it be great if you could just recommend some practices - even before conducting laboursome threat modeling?
Threat modeling
- Think about the moment when you're using this in real life. You sit down on a table. You identify risks and choose how to use your limited resources. You colleagues will trust you can keep company systems safe and running.
Darknet Diaries
- AntennaPod is convenient Android program for listening podcasts. It's available in F-Droid and Google Play. Of course, there are hundreds if not thousands other programs for podcasts, too.
- Pick any episode. Check descriptions, and pick one that's likely to be suitable here. It's recommended to pick other than the latest or the one on top of the homepage, so we can look at different episodes.
When cross evaluating
- Give comments
- Use the whole scale (5 is every non-voluntary task solved and reported clearly)

h2 Kill Chain

We'll start zooming in from threat modeling ("what & why") to cyber kill chain ("how").

x) Read and summarize. (This subtask x does not require tests with a computer. Some bullets per article is enough for your summary - no extended essays. Add a bullet for your own question or insight)
- Hutchins et al 2011: Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains, chapters Abstract, 3.2 Intrusion Kill Chain.
a) Tactics, tools and procedures
- This subtask x does not require tests with a computer
- Briefly look at MITRE ATT&CK Matrix for Enterprise. You don't need to read it completely, as it's quite large.
- Read the "General" part of the FAQ
- Answer in the context of MITRE ATT&CK, and pick examples that are different from the chapter in task x.
  - Define tactic and give an example of a specific tactic.
  - Define technique and subtechnique, and give an example of each.
  - Define procedure, and give an example of each.
b) Download Linux image on your laptop's hard drive, so that you have it ready for the next class. debian-live-13*-amd64-xfce.iso. (You don't need to install it yet. Next week, we'll Install Debian Linux on Virtualbox.)
c) Voluntary bonus: Attack story Write a story of an attack. Use ATT&CK vocabulary; number tactics, techniques and procedures. Also name defensive actions. You can decide how far the attack goes and if it's stopped.
d) Voluntary bonus: Install Linux on a virtual machine. See tutorials 1, 2, 3

Tips

In "Read and summarize":
- read first, then summarize
- summarize key content
  - not just headings
  - don't just describe the article, tell the main things it says
- add a question, an idea or a comment of your own to each article
Refer & link any sources you use
- Course / the classes
- Homework task page
- Homework reports by other students
- Any web pages
- Manuals, Articles, Man pages...
- Referencing your sources is required

h3 Hello Lab

This week, you start building your own hacking lab. You learn hacking by hacking.

x) Read/watch/listen and summarize (This subtask x does not require tests with a computer. Some bullets per article is enough for your summary, feel free to write more if you like. Add a bullet for your own idea or question.)
- Karvinen 2021: Install Debian on Virtualbox - Updated 2024
- Karvinen 2020: Command Line Basics Revisited
a) Can't fish. Disable networking and show that packets don't go trough. For example, use 'ping 1.1.1.1' (Cloudfare DNS server) or 'ping 8.8.8.8' (Google DNS server). Do this task on your Linux.
b) Local only. Portscan your own computer using "localhost" address. It's illegal to portscan computers you don't own. Disconnect computer from the Internet while testing. Analyze your results. Do this task on your Linux.
c) Daemon scan. Install a daemon (a server application) and port scan again. For example, you could install Apache web server or OpenSSH secure remote shell. Analyze the differences to scan without the daemon. Do this task on your Linux.
d) Bandit oh-five. Solve Over The Wire: Bandit the first five levels (0-4). (Alternative task: you can instead do and report five harder levels if your Linux background makes this an easy task).
e) Voluntary bonus task: Underthewire: Century, a couple of levels. I have not tried this one myself, so also interested to hear your views. Inspired by OverTheWire, but for Windows Powershell.

Tips

If you get stuck
- Don't worry: Computers are cranky, that's why they pay hackers well
- Solve and report all parts you can do
- Return your partial report in time
- Google/Duck. That's what the pros do, too. Write down a reference to the sources you used.
- If you need to look at a walktrough (an exact solution to this homework, task or flag), clearly mark where you needed it.
- Solve the trouble part as far as you can. Report all approaches taken.
- Ask about the challenges in the class, likely someone else had the same thing

For x - "Read and summarize":

Just some bullets per article is enough.
I want to you understand the content.
Also learn about channels/books/blogs/articles to follow to keep up with infosec after the course

Can't fish

Also test commands when Internet is connected. This way, you show that the command is correctly testing the network.
You can kill 'ping' with ctrl-C
Explain what each part of command does
Explain how the result shows that network is disabled.

Port scanning
- Finland even has our highest court case where a minor (17 years old) was punished for port scanning. Court case took years, 1998-2003. KKO:2003:36. It's in Finnish, but Firefox has offline machine translation from Finnish to English.
- You can install nmap with apt-get.
Daemon
- 'sudo apt-get update'
- 'sudo apt-get -y install apache2' # you could also install "ssh"
- 'sudo systemctl start apache2' # you can use start, stop, restart, status. You can control any daemon, like "ssh"
OverTheWire
- Some tasks list useful commands. You can see more info on each command with 'man', for example 'man find'.
- If you get completely stuck, and can't advance even after reading the friendly manual and trying (and documenting) multiple approaches, solutions are easy to find on the net. If you need to use a walktrough, remember to mark it as a reference.
UnderTheWire
- ssh century1@century.underthewire.tech
- If your ssh command gives error: "Terminal initialization failure. See server logs for more info. Hint: Try requesting a different terminal environment. Connection to century.underthewire.tech closed.", use 'export TERM="xterm-256color"'. (As noted by Leo)

h4 Johnny Tables

Remember to keep it safe, legal and ethical. Especially if you grasp OWASP 10, you still can't try these to machines you don't own.

You're only allowed to start these tasks after accepting course rules in Moodle.

x) Read and summarize (This subtask x does not require tests with a computer. Some bullets per article is enough for your summary. Try to get an idea, then briefly explain in your own words. Be brief. Add your own comment, question or idea on each.)
- OWASP: OWASP 10 2021.
  - A01:2021 - Broken Access Control
  - A05:2021 - Security Misconfiguration
  - A06:2021 - Vulnerable and Outdated Components
  - A03:2021 - Injection
  - (ps. I think these might be my favourite vulnerability categories...)
- Munroe: xkcd 327: Exploits of a Mom
a) Goat. Install WebGoat 2023.4.
b) F12. Solve Webgoat 2023.4: General: Developer tools.
c) Not outdated. Update all operating system and all applications in your Linux.
d) Sequel. Solve SQLZoo:
- 0 SELECT basics
- 2 SELECT from World: First two subtasks: "1. You can use WHERE..." and "2. Find the countries...".
e) Solve Portswigger Labs: Lab: SQL injection vulnerability in WHERE clause allowing retrieval of hidden data. Explain how and why! How can you find the vulnerabitiy? What each part of the exploit does?
m) Voluntary bonus: WebGoat: SQL Injection
n) Voluntary bonus: solve some Portswigger labs marked as Apprentice (easy level)

Tips:

If you get stuck
F12 Developer tools: I'm using Firefox F12. But it probably works on Chromium, too.
You can update all software in Linux with
- Open terminal
- 'sudo apt-get update'
- 'sudo apt-get dist-upgrade'
- If this is your first full upgrade, reboot (it's only needed for kernel upgrades)
SQLZoo
- If you've got a lot of experience with databases already and SQLZoo is too easy, you can instead install a relational database (Postgre, Mariadb...) and show CRUD (create, read, update, delete) operations using command line client and SQL.
- Yes, I think they really run your queries on database management system
- In SQL, you can often write long numbers in engineering notation, nine zeroes after two as 2e9 instead of 2000000000
Johnny tables
- You only need your browser (even though the official example solution uses a paid tool by the makers of the lab)
- Try different places. But if you're completely out of options: peek the solution, apply it to use just browser (no mitm proxy needed), mention in your report the hints used - and try to explain how the solution works.
WebGoat
- What kind of quotes did SQL have?
- If you raise everyone's salaries, are you the richest anymore?
- The names here are the same as in OWASP 10 2021 and OWASP 10 2017.
- In injections, it's nice to know:
  - SQL string delimiter (single quote, aphostrophe) "'" (end of user input, start of my hostile injection)
  - SQL comment (double dash) "--" (end of my evil injection, you can ignore the rest, dear database management system)
  - There are many ways to do SQL injection
b) Injected. Solve WebGoat:
- A1 Injection (intro)

Update 2025-09-11 w37 Thu: Fixed a typo in "SELECT FROM world".

h5 Uryyb, Greb!

Public keys. You use them every day. Would you like to know more?

Also starring: my favourite crypto textbook. PGP and SSH, my favourite encryption tools / standards.

x) Read and summarize (This subtask x does not require tests with a computer. Some bullets per article is enough for your summary, feel free to write more if you like)
- € Schneier 2015: Applied Cryptography: Chapter 1: Foundations
- Karvinen 2023: PGP - Send Encrypted and Signed Message - gpg
a) Install OpenSSH server, connect to it using 'ssh' client.
b) Automate SSH connection using public keys.
c) Password manager, open and cloudless. Choose a password manager that 1) works without cloud 2) is free, open source sofware. Install it. Demonstrate its use. Explain why a password manager is needed i.e. what kind of attacks or threats it protects against.
d) Alternative: Do either d) "Pretty Good indeed" or s) "ETAOIN". Pretty Good indeed. Encrypt and decrypt a message with 'gnupg', using PGP public key cryptography. (Note that here you learn each step; for end users, you can often automate and make it look simple)
e) Presentation material. Return your presentation material (e.g. slides) as h9. They can be a PDF or a web page. (This task does not require tests with a computer. If you have already returned h9, you don't need to do it again. Only PDF and web page formats accepted, no docx, no pptx, no odt.)
m) Voluntary bonus: Encrypt and decrypt messages using a tool other than 'gnupg'. Explain each step. Why did you choose the tool you used here? Evaluate the tool.
n) Voluntary bonus: send and receive encrypted message over email.
o) Voluntary bonus: Find out frequency distribution of letters for a language that you know (other than English). What are the six most common letters? (This subtask y does not require tests with a computer if the question can be answered without them)
r) Voluntary bonus: TLS. Choose a transport layer security (TLS) certificate used for the web. Explain key fields. How do you / browser know it's legit? Who says so?
s) Alternative: Do either d) "Pretty Good indeed" or s) "ETAOIN": ETAOIN. Crack this ciphertext:
- HDMH'B TH. KWU'YI AWR WSSTOTMJJK M OWQINYIMLIY! MB KWU BII, BTGPJI BUNBHTHUHTWA OTPDIYB OMA NI NYWLIA RTHD SYIEUIAOK MAMJKBTB. BII KWU MH DHHP://HIYWLMYCTAIA.OWG
t) Voluntary bonus, easy: try rot13, the military grade top-secret encryption of the top-2 empire of year zero. Could double rot13 provide extra security? Why?
u) Voluntary difficult multiweek bonus, requries coding skills: Cryptopals (recommended, if you have what it takes).

Tips:

Gnupg is explained in the article.
I do hope you're using a password manager. If not, this is a good day to start.
Frequency distributions for most languages can be found in search engines and probably Wikipedia
ETAOIN
- This challenge can be solved with pen and paper, no coder skills required. (Like most things, it's faster with a computer, though.)
- Just like this course, the cleartext is in English
- Looking at word lengths and spaces, this ciphertext is likely using a simple substitution cipher.
- Use your eyes - can you identify possible common words or parts of them?
- After ruling out Caesar (e.g. rot13), we can use frequency analysis
- Most common letter in English is E, the second most common is T... The frequency table is ETAOIN shrdlu.
  - Frequency is about statistics and probability. It's not guaranteed that E is the most common, it's just likely. Especially short texts make statistical analysis less efficient.
  - It's much more likely that most common letters are from ETAOIN than the from the least frequent j, x or z.
- Use your sisu
  - If first guess does not crack it, try another one.
  - Make notes as you work.
  - Document your approaches and how far you can get, even if you couldn't crack the whole thing.
O'Reilly Learning € (former Safari) is a bit pricey, but Haaga-Helia students get free access trough Haaga-Helia library A-Z page.
SSH is the leading tool to control servers
- 'sudo apt-get update' 'sudo apt-get install ssh', 'sudo systemctl start ssh', 'whoami', 'ssh tero@localhost', 'exit'
- Public key authentication 'ssh-keygen', 'ssh-copy-id tero@localhost'

Deadline for this task is after winter holiday, 2025-02-24 w09 Mon 11:00. But as they say, early bird gets the worm.

h6 February2026!

x) Read or watch and summarize (This subtask x does not require tests with a computer. Some bullets per article is enough for your summary, feel free to write more if you like)
- € Schneier 2015: Applied Cryptography: 2.3 One-Way Functions and 2.4 One-Way Hash Functions.
a) Install Hashcat. Test it with a sample hash. See Karvinen 2022: Cracking Passwords with Hashcat
b) Crack this hash: d595b2086532422bbe654bc07ea030df
m) Voluntary: Compile John the Ripper, Jumbo version. Karvinen 2023: Crack File Password With John.
n) Voluntary: Crack a zip file password
o) Voluntary: create a password protected file other than ZIP. Crack the password. How many formats can you handle?
p) Voluntary: Watch and summarize: Forbes 2019: Jackpotting ATM's (Automated Teller Machines) - Its easier than you might think. Presented in Disobey 2019.

Tips:

O'Reilly Learning € (former Safari) is a bit pricey, but Haaga-Helia students get free access trough Haaga-Helia library A-Z page.

h7 Going Dark

In Finland, it's legal to use TOR at the time of writing. If you're remotely taking this course online from another juristiction, laws might be different. Obviously, it's illegal to do illegal things in TOR, just like it's illegal to do illegal things anywhere. Only do legal things.

x) Read and summarize (briefly, e.g. with some bullets)

Quintin 2014: 7 Things You Should Know About Tor
Shavers & Bair 2016: Hiding Behind the Keyboard: The Tor Browser €; subchapters: "Introduction", "History and Intended Use of The Onion Router", "How The Onion Router Works", "Tracking Criminals Using TOR".

a) Install TOR browser and access TOR network (.onion addresses).

b) Browse TOR network, find, take screenshots and comment

search engine for onion sites
marketplace
forum
a site for a well known organization that has a physical street address in the real world

c) Voluntary: Browse I2P network. Install necessary software.

d) Voluntary or alternative task: No onion. You can do this task in place of a and b. Install a darknet browser other than TOR, such as I2P or Freenet. Search, screenshot and describe examples of contents there.

e) Voluntary: Crypto hunter. Find Bitcoin address from a darknet site. Use the public ledger to find out if money has been transferred to that address.

Tips

Alternatives for installing TOR
- https://www.torproject.org/download/ (probably easiest)
- sudo apt-get update; sudo apt-get install torbrowser-launcher
- https://tails.net/
- https://www.whonix.org/
OPSEC is hard, any single tool will not magically make you untraceable
Be cautious: don't trust anonymous sites, don't enter your name or other personal details anywhere.
O'Reilly Learning € (former Safari) is a bit pricey, but Haaga-Helia students get free access trough Haaga-Helia library A-Z page.
Bitcoin explorer
Other darknets include
- GNUnet
- Hypanet
- I2P

This mostly applies to online courses: If you are currently in a juristiction where using TOR is illegal (e.g. taking the course remotely from a repressive country), you obviously can't install it and do the related tasks if it's illegal where you are. For those cases, alternative task is: based on literature only (no hands on tests, no installation), compare anonymous/pseudonymous networks, such as TOR, I2P, Freenet and others. How do their goals, technology and other features differ? How are they similar?

The deadline for voluntary h8 is the same as h7.

h8 bonus

a) Voluntary: Improved. List and link the tasks you have significantly improved after they have been cross evaluated.
b) Voluntary: Extras: List and link voluntary extra tasks you have completed.

The deadline for voluntary h8 is the same as h7.

Adminstrivia

I will keep updating this page during and after the course.

Tero Karvinen - Learn Free software with me

Apache installed with Ansible - quick notes

Package-file-service pattern

tree of roles/apache2/

tasks/main.yml

handlers/main.yml

files/example.com.conf

Adminstrivia

Passwordless Sudo with Ansible

Prerequisites

Tree

Role - antero

First run - chicken or egg?

Tips

Sudo without password

Create the new user

Broken sudo insurance

New sudoers rule

Test

Adminstrivia

DORA & Threat Lead Penetration Testing with Marko

Synopsis

Slides

Links

Slides taster

Bio

SSH public key - Login without password

Install SSH

Test SSH

Automatic login with SSH public key

Troubleshooting

Hello Ansible

Background

Test SSH account (without Ansible)

Install Ansible

Test SSH with Ansible

Convenience: Stop whining about Python version

Convenience: Just use my hosts.ini

Site.yml - what computers get which roles

First role - create a file

Convenience: Show me what you do

End result

Troubleshooting Ansible

No inventory

Discovered Python interpreter

Indent is two spaces: Tabs are usually invalid in YAML

Indent ignores the dash: conflicting action statements

Sudo needed

Palvelinten Hallinta

Opintojakson suoritettuaan opiskelija

Esitiedot

Aikataulu

Oheismateriaalia, lukemista ja asennuspaketteja

Arviointi

Vanhoja toteutuksia

Läksyt

h1 Hei Ansiblen maailma

h2 Voileipä

h3 Demoni

Adminstrivia

Tunkeutumistestaus

Oppimistavoitteet

Aikataulu

Kertausmateriaalia

Luettavaa ja linkkejä

Vanhoja toteutuksia

Läksyt

h1 Kybertappoketju

h2 DORA the Explora

h3 EternalHomework

Täysin Laillinen Sertifikaatti

Fuzzy

Syyskuu2025!

Simpukoita

Maalisuoralla

h8 Bonus

Verkkoon tunkeutuminen ja tiedustelu

Aikataulu

Lähtötaso

Kertauspaketti