Open in app

Sign in

Write

Sign in

Minha review da certificação SCMPA da Sec4US

Introdução

Joas Antonio
5 min readMay 17, 2022

Fui convidado pelo Mestre Helvio Júnior para realizar de forma beta a prova de certificação, sem nenhum treinamento, dica ou ajuda, apenas meu conhecimento para explorar uma aplicação.

O SCMP|A é um exame 100% prático que consiste na realização de uma avaliação de segurança em uma aplicação Android e seu ecossistema para uma empresa fictícia. Ao iniciar o exame o candidato receberá uma aplicação Android no formato APK. Este aplicativo deve ser instalado em um emulador API level 30 na infraestrutura do candidato e o teste de invasão deve ser realizado seguindo as melhores técnicas e metodologia para quebrar todas as proteções e desafios impostos pelo aplicativo, após todas as quebras o candidato será mais uma vez desafiado a entender a logica da aplicação para encontrar as possíveis vulnerabilidades que permitam obter vantagem e realizar ações que possam impactar no negócio do cliente.

Ao final do exame o candidato entregará um relatório detalhado com o passo a passo de todo o processo de ataque, bem como todas as vulnerabilidades encontradas no decorrer da avaliação.

O candidato terá 48 horas ininterruptas para a realização da avaliação e obtenção de todas as evidências necessárias para a elaboração do relatório. Após o final dessas 48 horas o candidato terá mais 24 horas para a elaboração e entrega do relatório conforme os requisitos propostos.

De forma geral e simplificada, para a realização do exame o candidato deve:
a) adquirir o voucher do exame por meio da nossa loja virtual (clicando no botão “Comprar o voucher para a realização do exame”),
b) realizar a assinatura (digital com a DocuSign) do nosso contrato de serviço (Master Services Agreement ou “MSA”),
c) iniciar o exame a qualquer momento que desejar (dentro do período de validade do voucher)..

É diferente de certificações como a eMAPT que eu fiz, ao qual achei mais fácil, pois era apenas levantar algumas vulnerabilidades e criar um apk que explore, que não é o que o cliente deseja. Por isso a SCMPA se tornou algo diferencial por trazer o M10 da OWASP e assim explorar um aplicativo em varias camadas, que vão desde a camada envolvendo o próprio SO do Android, até a engenharia reversa da aplicação para encontrar brechas de segurança, mas me limito a dizer isso para não dar spoiler mais ainda da prova.

Percepção de um fracassado

Você achou que eu passei? Não! Mas relaxa, a prova não é difícil se você é alguém que faz e vive de pentest mobile, apesar de eu realizar e possuir certificações sobre o assunto, não significa que passarei na prova SCMPA, pois tem sempre particularidades em cada prova que você vai ver nas Instruções de Engajamento. Eu adorei que a Sec4us usou a metodologia Try Harder, pois só quem vivenciou os desafios da Offensive Security sabe que não tem uma receita de bolo pronta, mesma coisa da eLearnSecurity, porém você vai se deparar com conceitos que as vezes não vê no seu dia a dia. Um spoiler foi eu ter me prendido na proteção do APK e ter tentado alguns meios de contornar e não obter sucesso, além de problemas no meu ambiente e por isso que eu recomendo ter um ambiente estável e preparado para realizar pentest em qualquer tipo de aplicação, além de ferramentas que você utilizar totalmente pronta.

Posso usar ferramentas pagas? Não! A prova você pode fazer totalmente free e ainda criar scripts com Python para automatizar algo no Burp Suite só isso posso dizer. Além disso a prova exige mais que um report comercial, mas também um APK com todas as falhas encontradas e ai você imagine como pode fazer isso, pois não vou revelar mais nada.

A prova te prepara pro mercado de trabalho?

Sim! Já passei por treinamentos de Mobile e certificações e a SCMPA entra no quadro daquelas que vai te preparar para desafios do mercado, não só isso, vai fazer você pensar fora da caixa. Eu particularmente amei a prova, mesmo não obtendo êxito nela, pois é uma prova diferencial e você vai notar isso quando fizer.

Qual a trilha de certificação você definiria?

Agora com a nova certificação de PenTest Mobile, existe aquelas que já tem reconhecimento grande no mercado, mas como todas as outras com certeza tem muito a se torna uma das grandes. Por isso eu atualizo a minha trilha para as seguintes certificações:

CMWAPT > eMAPT > SCMPA > GMOB

Além dos cursos complementares que ensinam uma técnica ou outra de forma diferente.

Como devo me preparar?

Enferrujado e falta de concentração, eu vou dar algumas dicas para que você se prepare nos estudos e para fazer a prova.

  1. Entre no mundo de PenTest Mobile, existe vários cursos para introdução
  2. Entenda de desenvolvimento, pois é importante, principalmente Java
  3. Crie uma metodologia de PenTest Mobile própria para te ajudar, existe o site Hacktrickz e Mindmaps que ajudam muito
  4. Monte seu laboratório para realizar seu PenTest e um Toolkit perfeito
  5. Use a técnica de pomodoro para fazer a prova, vai te ajudar bastante
  6. Aprenda sobre API Pentesting, também vai te ajudar na prova ;)

Sobre o Exame

Precisa fazer o curso da SCMPA para passar na prova? Eu recomendo! Pois o que ele passa no curso, vai cair na prova e mais um pouco, então estar mais preparado ainda é importante. Você tem uma pontuação minima de 70 para passar + relatórios ao qual será analisado, se passar do prazo e não tiver entrega do relatório você será desqualificado, mesmo se você passar em pontuação.

Você vai ter que conhecer muitas técnicas de restrições e como bypassar, ao qual me limitei em apenas umas e não fui mais além e isso acabou me condenando na prova.

Dispositivos celulares particular é proibido, mas usar Genymotion ou AVD do Android Studio é essencial, então prepare seu ambiente em um desses cenários.

Fiquei algumas horas acordado, mas resolvendo problemas do meu ambiente, pois os emuladores não funcionavam ou enchia o meu disco e precisava esvaziar ele para rodar algumas ferramentas ou baixar. Por isso, recomendo ter um ambiente pronto e estável o mais atualizado possível.

Conclusão

É uma nova certificação, o mercado de pentest mobile estava precisando e espero que ganhe peso aqui no Brasil e você que deseja fazer pentest mobile mais aprofundado, eu recomendo se preparar para essa certificação que vai te ajudar bastante no teu desenvolvimento. Mesmo eu não passando, me fez adquirir alguns cursos para me aprimorar mais, pois é uma necessidade grande.

https://sec4us.com.br/certificacao/scmpa-sec4us-certified-mobile-pentester-android/

Mobile
Pentest
Sec4us
Scmpa
Certification

--

--

Joas Antonio

Written by Joas Antonio

120 Followers

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams