IoT là một xu hướng sắp tới trong ngành CNTT ngày nay; có rất nhiều thiết bị IoT trên thị trường, nhưng có một sự hiểu biết tối thiểu về cách bảo vệ chúng. Nếu học viên là người đam mê bảo mật hoặc pentester, khóa học này sẽ giúp học viên hiểu cách khai thác và bảo mật các thiết bị IoT.
Khóa học này tuân theo cách tiếp cận dựa trên công thức, mang đến cho học viên trải nghiệm thực tế trong việc bảo mật các thiết bị thông minh sắp tới. Nó bắt đầu với các công thức thực tế về cách phân tích kiến trúc thiết bị IoT và xác định các lỗ hổng. Sau đó, nó tập trung vào việc nâng cao bộ kỹ năng pentesting của học viên, hướng dẫn cho học viên cách khai thác một thiết bị IoT dễ bị lỗ hổng, cùng với việc xác định các lỗ hổng trong phần firmware của thiết bị IoT. Tiếp theo, khóa học này cung cấp cho học viên cách bảo mật các thiết bị nhúng và khai thác các thiết bị thông minh bằng các kỹ thuật phần cứng. tiếp theo, khóa học này cho học viên thấy các kỹ thuật pentesting phần cứng tiên tiến, cùng với việc pentest IoT dựa trên phần mềm được xác định bằng phần mềm với Zigbee và Z-Wave. Cuối cùng, khóa học này cũng đề cập đến cách sử dụng các kỹ thuật pentesting mới và độc đáo cho các thiết bị IoT khác nhau, cùng với các thiết bị thông minh được kết nối với đám mây.
Đến cuối cuốn khóa học, học viên sẽ hiểu biết tương đối khá về cách sử dụng các kỹ thuật pentesting khác nhau để khai thác và bảo mật các thiết bị IoT khác nhau.
Mục tiêu khóa học:
- Thiết lập thực hành pentesting IoT
- Khám phá các khái niệm mô hình mối đe dọa khác nhau
- Thể hiện khả năng phân tích và khai thác lỗ hổng phần firmware
- Thể hiện sự tự động hóa phân tích nhị phân ứng dụng cho iOS và Android bằng MobSF
- Thiết lập Burp Suite và sử dụng nó để kiểm thử ứng dụng web
- Xác định sơ đồ chân UART và JTAG, solder headers và gỡ lỗi phần cứng
- Nhận giải pháp cho các giao thức không dây phổ biến
- Khám phá các thực tiễn tốt nhất về bảo mật di động và firmware
- Nắm vững các kỹ thuật khai thác IoT tiên tiến khác nhau và tự động hóa bảo mật
Khóa học phù hợp với các đối tượng:
- Chuyên viên/kỹ sư bảo mật (pentester, red team) muốn mở rộng sang IoT/embedded.
- Kỹ sư phần mềm/nhúng muốn hiểu lỗ hổng firmware, web/mobile liên quan thiết bị IoT.
- Kỹ sư phần cứng/firmware, người làm firmware QA muốn nắm kỹ thuật tấn công để gia cố sản phẩm.
- Nhà quản trị/kiến trúc sư hệ thống cần đánh giá rủi ro an ninh cho dự án IoT.
Học viên nên biết:
- Lập trình & hệ điều hành: thành thạo ít nhất một ngôn ngữ (Python, C/C++) và làm việc tốt trên Linux.
- Mạng & web: hiểu TCP/IP, HTTP(S), cơ bản về web app security (XSS/CSRF/command injection).
- Nhúng & firmware: kiến thức cơ bản về kiến trúc vi điều khiển/SoC (ARM/MIPS), GPIO, serial/UART.
- Điện tử cơ bản: đọc sơ đồ, dùng multimeter, nối dây, hiểu bus/I²C/SPI; ưu tiên có kinh nghiệm hàn/cắm mạch.
- Mobile app basics: hiểu cấu trúc app Android/iOS, khả năng decompile/analyze (APK/IPA) là lợi thế.
- Công cụ pentest: quen với ít nhất một số công cụ như Burp Suite, Wireshark; sẵn sàng học MobSF, firmware-mod-kit, JTAG/SWD tools, SDR.
Phần 1: IoT Penetration Testing
- Introduction
- Defining the IoT ecosystem and penetration testing life cycle
- Firmware 101
- Web applications in IoT
- Mobile applications in IoT
- Device basics
- Introduction to IoT’s wireless communications
- Setting up an IoT pen testing lab
Phần 2: IoT Threat Modeling
- Introduction
- Getting familiar with threat modeling concepts
- Anatomy of threat modeling an IoT device
- Threat modeling firmware
- Threat modeling of an IoT web application
- Threat modeling an IoT mobile application
- Threat modeling IoT device hardware
- Threat modeling IoT radio communication
Phần 3: Analyzing and Exploiting Firmware
- Introduction
- Defining firmware analysis methodology
- Obtaining firmware
- Analyzing firmware
- Analyzing filesystem contents
- Emulating firmware for dynamic analysis
- Getting started with ARM and MIPS
- Exploiting MIPS
- Backdooring firmware with firmware-mod-kit (FMK)
Phần 4: Exploitation of Embedded Web Applications
- Introduction
- Getting started with web app security testing
- Using Burp Suite
- Using OWASP ZAP
- Exploiting command injection
- Exploiting XSS
- Exploiting CSRF
Phần 5: Exploiting IoT Mobile Applications
- Introduction
- Acquiring IoT mobile applications
- Decompiling Android applications
- Decrypting iOS applications
- Using MobSF for static analysis
- Analyzing iOS data storage with idb
- Analyzing Android data storage
- Performing dynamic analysis testing
Phần 6: IoT Device Hacking
- Introduction
- Hardware exploitation versus software exploitation
- Hardware hacking methodology
- Hardware reconnaissance techniques
- Electronics 101
- Identifying buses and interfaces
- Serial interfacing for embedded devices
- NAND glitching
- JTAG debugging and exploitation
Phần 7: Radio Hacking
- Introduction
- Getting familiar with SDR
- Hands-on with SDR tools
- Understanding and exploiting ZigBee
- Gaining insight into Z-Wave
- Understanding and exploiting BLE
Phần 8: Firmware Security Best Practices
- Introduction
- Preventing memory-corruption vulnerabilities
- Preventing injection attacks
- Securing firmware updates
- Securing sensitive information
- Hardening embedded frameworks
- Securing third-party code and components
Phần 9: Mobile Security Best Practices
- Introduction
- Storing data securely
- Implementing authentication controls
- Securing data in transit
- Securely using Android and iOS platform components
- Securing third-party code and components
- Employing reverse engineering protections
Phần 10: Securing Hardware
- Introduction
- Hardware best practices
- Uncommon screw types
- Antitamper and hardware protection mechanisms
- Side channel attack protections
- Exposed interfaces
- Encrypting communication data and TPM
Phần 11: Advanced IoT Exploitation and Security Automation
- Introduction
- Finding ROP gadgets
- Chaining web security vulnerabilities
- Configuring continuous integration testing for firmware
- Configuring continuous integration testing for web applications
- Configuring continuous integration testing for mobile application
Bạn vui lòng liên hệ với Tư vấn viên qua mục chat trên website hoặc gọi đến số 024 3771 0668 để được tư vấn chi tiết về lộ trình học tập và chi phí!
