More Related Content
Similar to とあるセキュリティ会社のIoTセキュリティチームの日常(ErrataはDescription参照) (20)
More from Tatsuya (達也) Katsuhara (勝原) (8)
とあるセキュリティ会社のIoTセキュリティチームの日常(ErrataはDescription参照)
- 3. 自己紹介
勝原達也 - NRIセキュアテクノロジーズ所属
• デジタル・アイデンティティ(2007~2015)
に関するよしなしごと
• Web/プラットフォーム脆弱性診断(2015~2017)
に関するよしなしごと
• IoT /ハードウェア/重要インフラセキュリティ(2017~)
に関するよしなしごと
- 12. 遭遇した診断事例 (公開できるものだけですが)
• JTAGはロックされてからが勝負
• EEPROM上の値からIDコード長のバイナリを切り出して、ひたすら
ブルートフォースしてロック解除。
• UART経由でアクセスできる、組み込みOSが提供するコンソールの機能
でIDコードが読み取れてしまいロック解除。
• 上記類似だが、コンソールが提供するメモリ書き換えの機能で、
設定ブロックを書き換えてロック解除。
• プロセッサの特殊ブートモード経由で、書き込みプロテクトのかかっ
ていない設定ブロックを書き換えてロック解除。
他にもエグいのがいくつか。
- 13. 遭遇した診断事例 (公開できるものだけですが)
• LTEモジュールは、スマートなシングルボードコンピュータ
• LTEモジュール内で稼働する組み込みOSに(機器によるが)複数手段で接続し、
Busybox経由で上位サーバに正面玄関からアクセス。
• 「LTEは専用線みたいなものだから大丈夫」という過信には注意。
• CPUのSPI端子から、SPIで通信するペリフェラルデバイスとの通信がモニタで
きるので、例えばLTEモジュールに対するATコマンドからAPN/CHAP ID,PWなど
は比較的容易に把握できる。
(マネージドなIoTデバイスは一般的に認証コンテキストでアクセス制御され
ているので、別端末に同じ値を設定しても接続できないはずだが)
• IDA Proでリバースエンジニアリング
• 時間が潤沢にある案件かつ、解析許可をとったうえで。
• コアロジックを改ざんしたファームウェアや、独自Exploit作成の解析起点。
- 15. しくじり事例 (公開できるものだけですが)
• 純正デバッガ挙動でデバイス文鎮化
• プロセッサに対してデバッガ接続時、デバッグロックが検出されると、
マニュアルに記載されていない暗黙の機能が動作。
• デバッガから内蔵FlashのMass Eraseが行われ、ファームウェア消失。
• プロセッサのブートモード理解不足で文鎮化
• ブートモードを切り替えた際の挙動を追いきれておらず、
モードを切り替えた瞬間に内蔵FlashでMass Eraseが動作し、
ファームウェア消失。(自己消去型プロセッサ)
• ケーブル品質のせいで書き込みエラーであわや文鎮化
• (おそらく)自作のケーブル品質が悪い影響で、
改ざんファームウェアを書き込み中にエラー終了で動作不良。
• ブロック分割して少しずつ書き込んだら運良く復活。
・・・やってしまった
- 17. 今後取り組みたい技術テーマ (公開できるものだけですが)
# 今後やりたいこと 課題
1 サイドチャネル攻撃をガチでやりたい。 サーモグラフィーを買って、あとはそういう案件を作るだけ。
2 AIスピーカーやAIB◯解体して、セキュリティ向上に寄与したい。 大人の事情には徹底配慮。倫理的な問題もあるような気がする。
4 世の中のARMプロセッサのセキュリティ機能整理して、セキュリ
ティ向上に寄与したい。
ARMプロセッサ作っている会社多すぎてつらい。
5 ヒートガンで多様なBGAパッケージを攻略して、セキュリティ向上
に寄与したい。(先人:Exploitee.rs)
火災報知器やスプリンクラーを動作させるのは絶対に避けなければな
らない。
6 近距離無線通信(LPWA、日本だと920MHz帯域)のケーパビリティに
一層磨きをかけたい。
仕様がたくさんある、つらい 。(Zigbee、Wi-SUN、LoRaWAN)
7 LTEモジュール解析を深掘りして「専用線扱い」されている経路の
抜け穴を把握する。
• docomo:そこまで種類多くない
• KDDI:メジャーなものがある
• Softbank:バリエーション多すぎ
6 LTEモジュールのeSIMを差し替えして偽装基地局に誘導し、SIM鍵
による暗号化を解いたペイロードを解析する。
• 機材高い・・・
• 電波法遵守(シールドボックス/電波暗室)
7 レーザーを特定領域に当ててビット反転を発生させたり、ドライ
アイスで温度を下げたり、電圧を下げて機能不全を発生されるな
ど、物理現象を利用してJTAGロックを解除したい。
大学・企業などの研究所で真剣に取り組んでいる人がいるらしい領域。
道のりは遥か遠い。(永遠にたどり着かないかも)
8 衛星のセキュリティ診断したい(先人:IOActive) そもそもどうやる?(許可、案件、責任などなど)
取り組みたいことは他にも山ほど。悩みは尽きない。