Corso di VAPT di dispositivi IoT

Vulnerability Assessment di dispositivi IoT

Verificare la sicurezza di dispositivi IoT (Internet Of Things)

 

Durata: 2gg (16h)

 

A chi è rivolto il corso?
Responsabili di Sicurezza Informatica, Tecnici di Sicurezza Informatica, IT Security Auditors

 

Prerequisiti:
Conoscenze base di Sistemi Operativi (Windows, Linux)

 

Obbiettivi:
Comprendere le vulnerabilità che possono minare la sicurezza di dispositivi IoT. Conoscere le metodologie ed i tools utilizzabili per eseguire un Vulnerability Assessment di sistemi IoT.

 

Sommario degli argomenti:

 

Introduzione alla sicurezza dei dispositivi IoT

  • Standard e linee guida
  • Architettura di un sistema IoT
  • Protocolli di comunicazione utilizzati da dispositivi IoT

 

Metodologia per eseguire VAPT di dispositivi IoT

  • Attacchi tipici a dispositivi IoT
  • Fasi per l'esecuzione di un VAPT di dispositivi IoT
  • Risk Analisys
  • Threat Modeling

 

Assessment di sicurezza dell'hardware dei dispositivi IoT

  • Verifica di sicurezza delle interfacce UART
  • Verifica di sicurezza delle interfacce I2C
  • Verifica di sicurezza delle interfacce SPI
  • Verifica di sicurezza dell'interfaccia di debug JTAG
  • Estrazione ed analisi del firmware

 

Assessment di sicurezza dei protocolli radio dei dispositivi IoT

  • Range di frequenza utilizzati dai protocolli radio di dispositivi IoT e tools per SDR (Software Defined Radio)
  • Attacchi di tipo Replay e contromisure
  • Assessment di sicurezza sul protocollo BLE (Bluetooth Low Energy)
  • Assessment di sicurezza sul protocollo ZigBee

 

Assessment di sicurezza sull'infrastruttura web/cloud di sistemi IoT

  • Linee guide OWASP per l'assessment di sicurezza di applicazioni web
  • Tools di ausilio per il VAPT di applicazioni web
  • Validazione dell'Input
  • Attacchi XSS (Cross Site Scripting), lab, contromisure
  • Attacchi SQL Injection, lab, contromisure
  • Attacchi OS Command injection, lab, contromisure
  • Attacchi mediante upload non validato di file, lab, contromisure
  • Attacchi di tipo LIF/RFI, lab, contromisure
  • Attacchi di tipo XXE, lab, contromisure
  • Attacchi da Deserializzazione non sicura, contromisure

 

Richiesta Preventivo

Cerca

Copyright © 2021 Ing. Gianluca Golinelli. Tutti i diritti riservati.