Upgrade to Pro — share decks privately, control downloads, hide ads and more …

よくあるバックドアの話(公開版)

Avatar for NV NV
April 28, 2018
Technology
2
540

 よくあるバックドアの話(公開版)

@IoTSecJP東京 #3

Avatar for NV

NV

April 28, 2018
Tweet

More Decks by NV

See All by NV
ゲームのボツデータを見てみよう
Avatar for NV nvsofts
1
520
eMMCの話
Avatar for NV nvsofts
2
2.2k
%sの話
Avatar for NV nvsofts
1
1.4k
DOOMに関するあれこれ
Avatar for NV nvsofts
0
490
IoTハックに使える買って良かったと思うもの
Avatar for NV nvsofts
0
2.2k
BLEな()おもちゃを調べてみる
Avatar for NV nvsofts
3
1.3k

Other Decks in Technology

See All in Technology
ユニットテストに対する考え方の変遷 / Everyone should watch his live coding
Avatar for mdstoy mdstoy
0
120
KAGのLT会 #8 - 東京リージョンでGAしたAmazon Q in QuickSightを使って、報告用の資料を作ってみた
Avatar for arap / 0air 0air
0
200
ZOZOのAI活用実践〜社内基盤からサービス応用まで〜
Avatar for ZOZO Developers zozotech
PRO
0
170
AI駆動開発を推進するためにサービス開発チームで 取り組んでいること
Avatar for おーしろ noayaoshiro
0
160
Access-what? why and how, A11Y for All - Nordic.js 2025
Avatar for Geisy Domiciano gdomiciano
1
110
自作LLM Native GORM Pluginで実現する AI Agentバックテスト基盤構築
Avatar for po3rin po3rin
2
250
神回のメカニズムと再現方法/Mechanisms and Playbook for Kamikai scrumat2025
Avatar for moriyuya moriyuya
4
520
LLMアプリケーション開発におけるセキュリティリスクと対策 / LLM Application Security
Avatar for GMO Flatt Security flatt_security
7
1.8k
KMP の Swift export
Avatar for Koki Hirokawa kokihirokawa
0
330
非エンジニアのあなたもできる&もうやってる!コンテキストエンジニアリング
Avatar for ファインディ株式会社(イベント資料アップ用) findy_eventslides
3
910
Oracle Cloud Infrastructure:2025年9月度サービス・アップデート
Avatar for oracle4engineer oracle4engineer
PRO
0
390
extension 現場で使えるXcodeショートカット一覧
Avatar for とんとんぼ ktombow
0
210

Featured

See All Featured
Music & Morning Musume
Avatar for Bryan Veloso bryan
46
6.8k
Optimizing for Happiness
Avatar for Tom Preston-Werner mojombo
379
70k
Designing Experiences People Love
Avatar for Jonathan Moore moore
142
24k
Docker and Python
Avatar for Tania Allard trallard
46
3.6k
Dealing with People You Can't Stand - Big Design 2015
Avatar for Cassini Nazir cassininazir
367
27k
Principles of Awesome APIs and How to Build Them.
Avatar for Keavy McMinn keavy
127
17k
YesSQL, Process and Tooling at Scale
Avatar for Rocio Delgado rocio
173
14k
Distributed Sagas: A Protocol for Coordinating Microservices
Avatar for Caitie McCaffrey caitiem20
333
22k
How To Stay Up To Date on Web Technology
Avatar for Chris Coyier chriscoyier
791
250k
KATA
Avatar for Megan Lloyd mclloyd
32
15k
Why You Should Never Use an ORM
Avatar for John Nunemaker jnunemaker
PRO
59
9.6k
Why Our Code Smells
Avatar for Brandon Keepers bkeepers
PRO
339
57k

Transcript

  1. よくあるバックドアの話 NV(@nvsofts)

  2. 自己紹介 名前:NV ◦ Twitter: @nvsofts 個人サークル「えぬえす工房」代表 ◦ https://www.ns-koubou.com/ ◦ 最近は市販機器をハックする同人誌を書いています

    普段は都内にあるセキュリティ会社でIoTセキュリティなど をやっています

  3. バックドアとは? 英和辞典で引いてみると・・・? backdoor [báck・dòor] 形容詞 1. 裏口の. 2. 秘密(手段)の.

  4. バックドアとは? 要するに裏口のことだけど、情報セキュリティ的には

  5. バックドアとは? 要するに裏口のことだけど、情報セキュリティ的には 「クラッカーが再度の侵入を容易にするために作るもの」 と説明される(一般の人向けには)

  6. しかし 開発者が意図的にセキュリティに穴をあけることもある

  7. しかし 開発者が意図的にセキュリティに穴をあけることもある → これもバックドアと呼ばれる! 今回はこっちの話です

  8. 別にこれって 組み込み機器として見たら珍しいことではない

  9. 別にこれって 組み込み機器として見たら珍しいことではない ◦ そもそも脆弱なものという認識がない (作った当時はそれで許される雰囲気があった、etc)

  10. 別にこれって 組み込み機器として見たら珍しいことではない ◦ そもそも脆弱なものという認識がない (作った当時はそれで許される雰囲気があった、etc) ◦ 開発時に使っていたが、リリース時に消すのを忘れた

  11. 別にこれって 組み込み機器として見たら珍しいことではない ◦ そもそも脆弱なものという認識がない (作った当時はそれで許される雰囲気があった、etc) ◦ 開発時に使っていたが、リリース時に消すのを忘れた ◦ サービスマン用に残してある (意外と便利なんですよねぇ~これって

    って感じで)

  12. よくあるやつ 組み込み機器でよくあるのが以下のようなもの 1. USBデバイスやSDカードが接続される 2. 接続されたデバイス内のデータを調べる 3. 特定の情報が含まれていた場合、デバイス内に含まれ ているプログラムを実行する

  13. 組み込みLinuxで調べる デバイス管理を行っているudevやmdevの設定ファイルを 見ると良い ◦ /etc/udev/rules.d 以下のファイル ◦ /lib/udev/rules.d 以下のファイル ◦

    /etc/mdev.conf

  14. 組み込みLinuxで調べる サービス定義を調べるのも良い (起動時に一度だけチェックする場合もあるため) ◦ /etc/init.d 以下のファイル ◦ /etc/systemd/system 以下のファイル ◦

    /lib/systemd/system 以下のファイル など

  15. ポイント バックドアと言うだけあって、基本的にはセキュリティが低 下した方法になる 例えば、 ◦ ファームウェアの検証が行われない ◦ 外部からのデータを無条件に読んだり実行したりする ◦ 最悪、機器が死ぬ

    あたりは想定できる

  16. まとめ ◦ 開発者がバックドアを何らかの理由で設置する場合がある ◦ 製品のセキュリティを低下させる ◦ 組み込み開発者の気持ちになって考えよう