SCMP|A – Sec4US Certified Mobile Pentester – Android – Exam Guide

A SCMP|A é uma certificação 100% prática focada teste de invasão (penetration testing) em aplicações Android e suas integrações. Ao passar na certificação, o profissional comprova conhecimentos avançados em segurança ofensiva aplicada aos testes de invasão em aplicações Android.

Para a obtenção da SCMP|A, você será testado no tocante aos seguintes assuntos:

    • Preparação do ambiente para testes de intrusão (Pentest) em dispositivos Android
    • Engenharia reversa de aplicações Android
    • Identificação de funções importantes, mesmo ofuscadas
  • Quebra de proteções (SSL pinning, root, debug, screenshot e Mutual TLS)
  • Entendimento da interação com as APIs por parte de dispositivos Móveis Android
  • Quebra de criptografia adicional customizada
  • Entendimento e exploração das principais vulnerabilidades do OWASP Mobile Security Top 10
  • Falhas lógicas

Processo de certificação

Introdução

Este guia explicará o passo a passo para a realização do exame e obtenção da certificação Sec4US Certified Mobile Pentester – Android (SCMP|A). A primeira sessão explicará de forma geral o processo de compra, marcação e realização do exame, a sessão 2 descreve de forma mais detalhada o foco do exame bem como os procedimentos e cuidados durante, e a sessão 3 especifica as instruções após o exame.

Você tem 48 horas para completar o exame. Isso significa que se o exame iniciar as 08:00 horário de Brasília, seu exame finalizará as 07:59 dois dias depois.

Uma vez o exame finalizado, você terá mais 24 horas para enviar sua documentação. O procedimento de envio da documentação será explicado mais a frente neste documento.

Sessão 1: Processo de compra e agendamento do exame

  1. Compra do voucher do exame:
    1. A compra do voucher de certificação será por meio da URL https://sec4us.lojaintegrada.com.br/certificacao-17356603. Após a compra você receberá no seu e-mail, um link para o portal onde poderá dar início ao seu exame.
  2. Realização do exame
    1. Após a aquisição do voucher você poderá iniciar o exame a qualquer momento;
    2. O voucher regular tem validade de 180 dias a partir do momento de sua compra.
    3. Todo o processo após a compra do voucher ocorre dentro do nosso portal https://portal.sec4us.com.br/products/
  3. Assinatura do contrato de serviço (Master Services Agreement ou “MSA”)
    1. O MSA é assinado digitalmente
    2. Após a assinatura do MSA nosso time interno fará a validação do seu documento de identificação anexado ao mesmo. Essa validação pode demorar até 7 dias úteis.
    3. Este processo pode ser realizado a qualquer momento, mesmo antes do prazo em que você deseja realizar o exame.
  4. Realize o seu exame
    1. Após clicar no botão “iniciar o exame” você terá acesso a todas as informações de engajamento necessárias para a realização dele, bem como iniciará o acesso ao ambiente via VPN.
    2. A VPN terá o acesso liberado durante todas as 48 horas do exame.
    3. Uma vez o exame iniciado não poderá ser pausado ou cancelado;
  5. Envio do relatório
    1. Uma vez finalizado as 48 horas do exame você terá mais 24 horas para o envio do relatório.
    2. O envio do relatório pode ser realizado a qualquer momento após o início do exame, porém ao enviar o relatório, o exame é automaticamente finalizado, fazendo com que todos os recursos provisionados para o exame (incluindo VPN) sejam automaticamente finalizadas.
    3. Maiores detalhes quanto ao formato do relatório e forma de envio serão detalhados abaixo neste documento.
  6. Resultado do exame
    1. Após o envio do relatório nosso time de revisores retornará com o resultado em até 30 dias úteis;
    2. O resultado indica somente se foi aprovado ou não. Não haverá qualquer outro retorno como pontos alcançados, falhas e etc.
    3. Caso você não seja aprovado em sua primeira tentativa, terá mais uma chance de realizar o exame (re-take) de forma gratuita. Porém para poder realizar o re-take gratuito é obrigatório o envio do relatório na primeira tentativa.
    4. O candidato que não enviar o relatório em sua primeira tentativa é automaticamente considerado como desistente, não podendo realizar uma nova tentativa de forma gratuita.

Sessão 2: Realização do exame

Escopo do exame

Este exame consiste em um ou mais aplicativos Android para realização dos desafios propostos. Os servidores e APIs acessadas pelos aplicativos são acessíveis por meio do laboratório do exame. Uma vez obtido acesso ao conteúdo (flag) proposto pelo desafio o mesmo deve ser submetido no painel do exame.

 

O equipamento, bem como os softwares a serem utilizados pelo candidato são de sua livre escolha e propriedade, desde que as ferramentas selecionadas sejam open-source ou gratuitas, portanto, é imprescindível que o candidato já esteja com tudo instalado por exemplo: Burp Community, Android Studio e demais ferramentas que julgar necessário para o início do exame.

Restrição de ferramentas e metodologia

Para este exame serão aceitas somente ferramentas de uso público gratuitas e/ou open-source. As ferramentas licencias e pagas são vetadas neste exame, mesmo que você e/ou sua empresa tenha a ferramenta devidamente licenciada.

 

NÃO é permitido a utilização de um dispositivo Android físico, sendo que só será permitido utilização de dispositivo Android Emulado (usando o emulador de sua preferência). A API Level necessária para o exame é.a 30.

Requisito de documentação

Você deverá documentar o passo a passo para a realização dos desafios, incluindo comandos, problemas nos comandos, resultados de tela, captura de tela em forma de relatório exportado em formato PDF. Sua documentação deve ser suficiente para que outra pessoa possa reproduzir o passo a passo obtendo o mesmo resultado. A falha na documentação ou o não fornecimento de todas as informações necessárias para a reprodução do passo a passo pode implicar na não contabilização dos pontos propostos para o desafio.

Uma vez o seu relatório enviado, caso constate qualquer problema, ausência de captura de tela ou qualquer outra informação, não será possível o reenvio do mesmo, e nem será solicitado pelo nosso time de revisores.

Pontuação do exame

O Exame irá propor uma pontuação para cada objetivo. Cada objetivo especifica os seus requisitos próprios, requisitos estes que precisam ser cumpridos em totalidade para a obtenção de todos os pontos. Você deve adquirir uma pontuação mínima de 70 pontos para ser aprovado no exame. O exame tem como pontuação máxima 100 pontos.

Conexão com o laboratório do exame

O acesso ao painel do exame bem como aos servidores e APIs utilizados pelos aplicativos se dará por meio de uma VPN. O ambiente de VPN pode ser utilizado em qualquer plataforma que suporte o OpenVPN, porém o suporte em caso de problema será somente em ambiente Windows e Linux.

  1. Após iniciar o seu exame você terá acesso para download do pacote de conexão com a VPN, realize o download do arquivo exam-connection.zip
  2. Extraia o conteúdo do ZIP
  3. Inicie a conexão com o OpenVPN. Caso tenha dúvida de como realizar este processo verifique o manual passo a passo de conexão com a VPN.
  4. Entre com as credenciais (usuário e senha), enviados ao seu e-mail no momento do início do exame.

Painel do exame

Após iniciar o seu exame, no mesmo painel você terá acesso para:

  1. Visualizar os desafios propostos
  2. Realizar o download dos arquivos necessários para a execução dos desafios
  3. Reverter as máquinas virtuais
  4. Submeter as flags
  5. Submeter o relatório final do exame

Problemas com a internet

O ambiente do exame é exclusivo e dedicado para você, de forma que não haverá nenhuma interferência externa no ambiente. É esperado que você tenha um plano de contingência em caso de qualquer problema fora do nosso controle (como ter uma internet backup caso a principal ofereça problema).

Nossos exames são de longa duração, sendo assim é esperado que você realize paradas para descanso, dormir, se alimentar, etc.

Caso tenha qualquer outro problema, por favor nos envie um e-mail com o seu SCID para “certificacoes AT sec4us DOT com DOT br” imediatamente. Lembre-se de incluir todos os detalhes do problema, como: capturas de tela, logs erros, etc.

Note que só realizaremos a extensão do tempo do exame caso seja constatado um problema em nossa estrutura e sob nosso total controle.

Assinatura e aprovação do (Master Services Agreement ou “MSA”)

Esta subseção fala do procedimento de monitoramento e controle de qualidade do exame, por favor leia com atenção e tenha certeza de que todos os itens ficaram claros.

Em qualquer momento antes da realização do exame (não tendo limitação de datas) você deve realizar a assinatura do MSA diretamente em nosso portal do exame (https://portal.sec4us.com.br).

No momento da assinatura do MSA você será solicitado para anexar um documento de identificação com foto (RG, CNH, Passaporte, Registro de conselho/classe). Não são aceitos crachás de empresas e documentos não oficiais.

Após a assinatura do MSA nosso time interno realizará a validação do MSA e documento de identificação anexado. Este processo de validação pode demorar até 7 dias úteis, desta forma se programe para realizá-lo antes da data em que deseja realizar o seu exame.

Não existe uma limitação/exigência de tempo mínimo e máximo para a assinatura do MSA, sendo que o mesmo pode ser realizado a qualquer momento dentro do período de validade do voucher do exame. Desta forma recomendamos assiná-lo assim que realizar a aquisição do voucher, pois desta forma você terá liberado para iniciar o seu exame a qualquer momento desejado.

Monitoramento e gravação

Esta subseção fala do procedimento de monitoramento e controle de qualidade do exame, por favor leia com atenção e tenha certeza de que todos os itens ficaram claros.

Todos os nossos exames são monitorados e gravados, sendo assim ao iniciar o seu exame você deverá acessar o nosso sistema de monitoramento, onde será requisitado a manter sua câmera e todas as telas utilizadas para o exame disponíveis para o sistema de monitoramento.

Antes de iniciar a realização do exame inicie o aplicativo de monitoramento e mostre para a câmera um documento oficial com foto (RG, CNH, Passaporte, Registro de conselho/classe). Não são aceitos crachás de empresas e documentos não oficiais.

Este mesmo documento exibido na câmera deverá ser enviado juntamente com seu relatório do exame.

Nota: O documento enviado e a gravação do exame serão utilizados somente para comprovação de autenticidade do executor do exame e auditoria interna. Eles serão sumariamente excluídos logo após a avaliação do relatório final.

Sessão 3: Instruções de envio

Checklist de envio

  • O seu relatório do exame deve ser em formato PDF sem senha
  • Você deve usar o seguinte formato para o nome do arquivo PDF “SCMPA-SC-XXXXX-Exam-Data.pdf”, onde SC-XXXXX é o seu SCID
  • Os arquivos PDF devem estar armazenados em um único arquivo .7z (Não deve ser colocado nenhuma senha)
  • O arquivo zip deve ser nomeado conforme o formato “SCMPA -SC-XXXXX-Exam-Data.7z”, onde SC-XXXXX é o seu SCID
  • Você deve se certificar que o seu arquivo .7z não tenha mais de 300MB e quando extraído os arquivos não tenham juntos mais de 400MB.
  • Você deve enviar o arquivo .7z por meio do portal do exame.

Nota: O nome do arquivo não é sensível a maiúsculo e minúsculo (case insensitive), de forma que você deve enviar seguindo exatamente as estruturas de nome acima. Caso haja qualquer divergência nosso sistema não aceitará o envio do arquivo.

Arquivo do relatório

O seu relatório final deve ser enviado em formato PDF posteriormente compactando em um arquivo .7z. Antes de enviar o seu relatório verifique se o seu arquivo em formato PDF está correto e não apresenta nenhum erro.

O arquivo deve ser nomeado conforme o formato “SCMPA-SC-XXXXX-Exam-Data.pdf”, onde SC-XXXXX é o seu SCID

Arquivo final

O arquivo .7z contendo o arquivo relatório em PDF não pode ser compactado usando senha pois nosso sistema não irá aceitar arquivos compactados com senha.

O arquivo PDF SCMPA-SC-XXXXX-Exam-Data.pdf deve ser compactado em um único arquivo .7z conforme abaixo

root@sec4us:~# 7z a SCMPA-SC-XXXXX-Exam-Data.7z SCMPA-SC-XXXXX-Exam-Data.pdf
7-Zip [64] 16.02 : Copyright (c) 1999-2016 Igor Pavlov : 2016-05-21
p7zip Version 16.02 (locale=en_US.UTF-8,Utf16=on,HugeFiles=on,64 bits)
Scanning the drive:
1 files, 46 bytes (1 KiB)

Creating archive: SCMPA-SC-XXXXX-Exam-Data.7z

Items to compress: 1

Files read from disk: 1
Everything is Ok

Envio do arquivo

O arquivo .7z deve ser enviado em até 24 horas após o final do exame.

O tamanho limite dos arquivos descompactados é de 400MB e compactados é de 300MB, caso um dos tamanhos exceda estes limites o sistema não permitirá o envio do relatório.

Após o envio do seu arquivo será apresentado a você o hash MD5 do arquivo .7z juntamente com o botão de “Confirmar e enviar o relatório”. Se certifique de verificar se o hash é exatamente o mesmo que o seu arquivo local. Caso haja alguma diferença, clique em “Selecionar um novo arquivo” e faça o upload do arquivo novamente.

root@sec4us:~# md5sum SCMPA-SC-XXXXX-Exam-Data.7z
9eef4b3285e7b473b05dcfd597837fd4 SCMPA-SC-XXXXX-Exam-Data.7z

Caso nenhum arquivo seja enviado no prazo de 24 horas após a finalização do exame, o candidato é automaticamente considerado como desistente, de forma que não terá o direito a realização de uma nova tentativa gratuita. Sendo é esperado que o candidato envie um relatório mesmo que não tenha completado todos os desafios propostos.

Aviso de recebimento

Uma vez completado o envio do seu relatório, você receberá um e-mail de confirmação de recebimento. Caso você não receba este e-mail verifique se você realmente clicou no botão “Confirmar e enviar o relatório” no painel de envio após a verificação do hash MD5. Adicionalmente recomendamos a verificação em sua caixa de SPAM ou ferramenta de SPAM corporativa (caso exista).

Resultado

Você receberá um resultado do exame (aprovado ou reprovado) em até 30 dias úteis após o envio da documentação. Note que não enviaremos nenhuma pontuação ou solução dos desafios.