Der OffSec Learn Fundamentals Kurs soll - wie der Name schon sagt - die Grundlagen der IT-Security vermitteln. Der Kurs kann bequem über die OffSec-Webseite erworben werden. Bevor man starten kann, muss allerdings eine Registrierung durchlaufen werden, bei der unter anderem die eigene Identität anhand einer Personalausweiskopie verifiziert wird. Danach steht die Lernumgebung für ein Jahr zur Verfügung.
Als ich die den Kurs gebucht habe, waren folgende Themengebiete vorhanden:
Ebenfalls enthalten ist der Zugang zu diversen Playgrounds (Übungsmaschinen), PEN-103 Kali Linux Revealed (inkl. einem Prüfungsversuch) sowie PEN-210 Offensive Security Wireless Attacks (inkl. einem Prüfungsversuch). Alle Inhalt sind in englischer Sprache verfasst.
Die Lernplattform ist intuitiv aufgebaut und man findet sich schnell zu recht, ansonsten kriegt findet man viele Hilfestellungen mit Erläuterungen in einem Hilfebereich. Daneben existiert ein eigener Discord-Channel auf dem sich OffSec-Mentoren und andere Studenten zu Themen und Aufgaben austauschen.
Tipp:Der Discord-Channel ist eine gute Sache, hier kommt man schnell in Kontakt mit anderen Studenten und ein Austausch ist immer sehr hilfreich
Die Themengebiete unterteilen sich dann jeweils wieder in einzelne Kapitel, die gelernt werden können (z.B. sind in PEN-100 folgende Kapitel enthalten: Linux-Gundlagen, Windows-Grundlagen, Einführung in Batch-Programmierung,Einführung in Python,...). Die einzelnen Kapitel sind nach meinem Empfinden recht logisch aufgebaut und der Lehrstoff wird gut vermittelt. In den Kapiteln wird der Lernstoff oft durch Übungsaufgaben abgefragt, so dass man den Lernerfolg direkt überprüfen kann. Die Übungsaufgaben sind entweder inhaltliche Fragen über den zuvor vermittelten Lerninhalt oder aber praktische Übungen auf virtuelle Maschinen, die den Lernstoff direkt in einen praktischen Kontext setzen.
Tipp: Die Übungsaufgaben haben es teilweise in sich, hier ist der Austausch über den Discord-Channel sehr hilftreich.
Die Kapitel finden sich teilweise in mehreren Themengebieten wieder, so tauchen beispielsweise die Linux-Grundlagen bei PEN-100 als auch bei WEB-100 auf. Der Bearbeitungsstand der Kapitel wird jedoch in die jeweiligen Themengebiete gespiegelt, so dass die Kapitel natürlich nur einmal bearbeitet werden müssen.
Wenn man alle Kapitel eines Themengebietes abgearbeitet hat , kann man für die Themengebiete (z.B. PEN-100) ein Assessment ablegen. Ein Assessment ist eine Überprüfung des Wissenstands zu einem Themengebiet und besteht aus 30 Aufgaben die auf praktischen Übungen basieren, die in virtuellen Maschinen gelöst werden müssen. In der Regel erhält man hier eine "Flag" (Text-ID), wenn die Aufgabe richtig gelöst wurde. Für die Bearbeitung der 30 Aufgaben hat man 6 Stunden(!) Zeit, was einem zunächst recht lang vorkommt. Aber Vorsicht, meiner Erfahrung nach, ist die Zeit sehr gut austariert! Einige der Aufgaben sind doch recht komplex und es baut sich ein gewisser Stress durch den Prüfungscharakter auf (zumindest war es bei mir so). Um zu bestehen muss man mindestens 80% der Aufgabe lösen (also 24 von 30), wenn man dann noch 80% der Übungsaufgaben aus den Kapiteln erledigt hat erhält man eine Auszeichnung (Badge). Eigentlich eine coole Sache, die motiviert.
Hinweis: Die Assessments sind zur Zeit kostenfrei und können nach einer Cool-Down-Phase von 7 Tagen beliebig oft wiederholt werden.
Tipp: Fragen und Lösungen mitschreiben. Sollte man das Assessment nicht bestehen, hilft dies beim nächsten Anlauf. Die Fragen sind zwar nicht immer identisch, variieren in der Regel aber mehr oder weniger geringfügig.