Upgrade to Pro — share decks privately, control downloads, hide ads and more …

よくあるバックドアの話(公開版)

Avatar for NV NV
April 28, 2018
Technology
2
540

 よくあるバックドアの話(公開版)

@IoTSecJP東京 #3

Avatar for NV

NV

April 28, 2018
Tweet

More Decks by NV

See All by NV
ゲームのボツデータを見てみよう
Avatar for NV nvsofts
1
520
eMMCの話
Avatar for NV nvsofts
2
2.2k
%sの話
Avatar for NV nvsofts
1
1.4k
DOOMに関するあれこれ
Avatar for NV nvsofts
0
490
IoTハックに使える買って良かったと思うもの
Avatar for NV nvsofts
0
2.2k
BLEな()おもちゃを調べてみる
Avatar for NV nvsofts
3
1.3k

Other Decks in Technology

See All in Technology
[ JAWS-UG 東京 CommunityBuilders Night #2 ]SlackとAmazon Q Developerで 運用効率化を模索する
Avatar for sh_fk2 sh_fk2
3
380
未経験者・初心者に贈る!40分でわかるAndroidアプリ開発の今と大事なポイント
Avatar for operandoOS operando
5
360
AI開発ツールCreateがAnythingになったよ
Avatar for s sato tendasato
0
120
RSCの時代にReactとフレームワークの境界を探る
Avatar for uhyo uhyo
10
3.3k
Snowflake Intelligenceにはこうやって立ち向かう!クラシルが考えるAI Readyなデータ基盤と活用のためのDataOps
Avatar for harry gappy50
0
110
研究開発と製品開発、両利きのロボティクス
Avatar for Yutaka Kondo youtalk
1
520
Aurora DSQLはサーバーレスアーキテクチャの常識を変えるのか
Avatar for TomoyaIwata iwatatomoya
1
800
おやつは300円まで!の最適化を模索してみた
Avatar for PERSOL CAREER Dev | techtekt techtekt
PRO
0
290
Obsidian応用活用術
Avatar for 松濤Vimmer onikun94
1
470
Rustから学ぶ 非同期処理の仕組み
Avatar for skanehira skanehira
1
130
エラーとアクセシビリティ
Avatar for Tajima Sachiko schktjm
1
1.2k
「全員プロダクトマネージャー」を実現する、Cursorによる仕様検討の自動運転
Avatar for Michiru Kato applism118
19
9.3k

Featured

See All Featured
Building an army of robots
Avatar for Kyle Neath kneath
306
46k
Practical Orchestrator
Avatar for Shlomi Noach shlominoach
190
11k
The MySQL Ecosystem @ GitHub 2015
Avatar for Sam Lambert samlambert
251
13k
10 Git Anti Patterns You Should be Aware of
Avatar for Lemi Orhan Ergin lemiorhan
PRO
656
61k
Helping Users Find Their Own Way: Creating Modern Search Experiences
Avatar for Dan Newman danielanewman
29
2.9k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
Avatar for Eileen M. Uchitelle eileencodes
26
3k
Save Time (by Creating Custom Rails Generators)
Avatar for Garrett Dimon garrettdimon
PRO
32
1.5k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
Avatar for Eileen M. Uchitelle eileencodes
36
2.5k
Building a Modern Day 
E-commerce SEO Strategy
Avatar for Aleyda Solis aleyda
43
7.6k
Thoughts on Productivity
Avatar for Jon Yablonski jonyablonski
70
4.8k
Statistics for Hackers
Avatar for Jake VanderPlas jakevdp
799
220k
Building Better People: How to give real-time feedback that sticks.
Avatar for Will Jessup wjessup
368
19k

Transcript

  1. よくあるバックドアの話 NV(@nvsofts)

  2. 自己紹介 名前:NV ◦ Twitter: @nvsofts 個人サークル「えぬえす工房」代表 ◦ https://www.ns-koubou.com/ ◦ 最近は市販機器をハックする同人誌を書いています

    普段は都内にあるセキュリティ会社でIoTセキュリティなど をやっています

  3. バックドアとは? 英和辞典で引いてみると・・・? backdoor [báck・dòor] 形容詞 1. 裏口の. 2. 秘密(手段)の.

  4. バックドアとは? 要するに裏口のことだけど、情報セキュリティ的には

  5. バックドアとは? 要するに裏口のことだけど、情報セキュリティ的には 「クラッカーが再度の侵入を容易にするために作るもの」 と説明される(一般の人向けには)

  6. しかし 開発者が意図的にセキュリティに穴をあけることもある

  7. しかし 開発者が意図的にセキュリティに穴をあけることもある → これもバックドアと呼ばれる! 今回はこっちの話です

  8. 別にこれって 組み込み機器として見たら珍しいことではない

  9. 別にこれって 組み込み機器として見たら珍しいことではない ◦ そもそも脆弱なものという認識がない (作った当時はそれで許される雰囲気があった、etc)

  10. 別にこれって 組み込み機器として見たら珍しいことではない ◦ そもそも脆弱なものという認識がない (作った当時はそれで許される雰囲気があった、etc) ◦ 開発時に使っていたが、リリース時に消すのを忘れた

  11. 別にこれって 組み込み機器として見たら珍しいことではない ◦ そもそも脆弱なものという認識がない (作った当時はそれで許される雰囲気があった、etc) ◦ 開発時に使っていたが、リリース時に消すのを忘れた ◦ サービスマン用に残してある (意外と便利なんですよねぇ~これって

    って感じで)

  12. よくあるやつ 組み込み機器でよくあるのが以下のようなもの 1. USBデバイスやSDカードが接続される 2. 接続されたデバイス内のデータを調べる 3. 特定の情報が含まれていた場合、デバイス内に含まれ ているプログラムを実行する

  13. 組み込みLinuxで調べる デバイス管理を行っているudevやmdevの設定ファイルを 見ると良い ◦ /etc/udev/rules.d 以下のファイル ◦ /lib/udev/rules.d 以下のファイル ◦

    /etc/mdev.conf

  14. 組み込みLinuxで調べる サービス定義を調べるのも良い (起動時に一度だけチェックする場合もあるため) ◦ /etc/init.d 以下のファイル ◦ /etc/systemd/system 以下のファイル ◦

    /lib/systemd/system 以下のファイル など

  15. ポイント バックドアと言うだけあって、基本的にはセキュリティが低 下した方法になる 例えば、 ◦ ファームウェアの検証が行われない ◦ 外部からのデータを無条件に読んだり実行したりする ◦ 最悪、機器が死ぬ

    あたりは想定できる

  16. まとめ ◦ 開発者がバックドアを何らかの理由で設置する場合がある ◦ 製品のセキュリティを低下させる ◦ 組み込み開発者の気持ちになって考えよう