Upgrade to Pro — share decks privately, control downloads, hide ads and more …

よくあるバックドアの話(公開版)

Avatar for NV NV
April 28, 2018
Technology
2
530

 よくあるバックドアの話(公開版)

@IoTSecJP東京 #3
Avatar for NV

NV

April 28, 2018
Tweet

More Decks by NV

See All by NV
ゲームのボツデータを見てみよう
Avatar for NV nvsofts
1
510
eMMCの話
Avatar for NV nvsofts
2
2.2k
%sの話
Avatar for NV nvsofts
1
1.3k
DOOMに関するあれこれ
Avatar for NV nvsofts
0
480
IoTハックに使える買って良かったと思うもの
Avatar for NV nvsofts
0
2.1k
BLEな()おもちゃを調べてみる
Avatar for NV nvsofts
3
1.3k

Other Decks in Technology

See All in Technology
データプレーンプログラミングとは? DPU&スイッチASICの開発経験から語る
Avatar for ebiken ebiken
PRO
1
270
GitHub Coding Agent 概要
Avatar for KAMEGAWA Kazushi kkamegawa
1
1.7k
名刺メーカーDevグループ 紹介資料
Avatar for Sansan, Inc. sansan33
PRO
0
740
GigaViewerにおけるMackerel APM導入の裏側
Avatar for koudenpa 7474
0
460
Redmineの意外と知らない便利機能 (Redmine 6.0対応版)
Avatar for MAEDA Go vividtone
0
1.2k
会社紹介資料 / Sansan Company Profile
Avatar for Sansan, Inc. sansan33
PRO
6
360k
Devin&Cursor、それぞれの「本質」から導く最適ユースケース戦略
Avatar for empitsu empitsu
8
2.5k
エンジニアが組織に馴染むために勉強会を主催してチームの壁を越える
Avatar for uutan1108 ohmori_yusuke
2
120
OTel meets Wasm: プラグイン機構としてのWebAssemblyから見る次世代のObservability
Avatar for LINEヤフーTech (LY Corporation Tech) lycorptech_jp
PRO
1
300
Introduction to Sansan, inc / Sansan Global Development Center, Inc.
Avatar for Sansan, Inc. sansan33
PRO
0
2.6k
アプリケーションの中身が見える!Mackerel APMの全貌と展望 / Mackerel APMリリースパーティ
Avatar for mackerelio mackerelio
0
450
Bill One 開発エンジニア 紹介資料
Avatar for Sansan, Inc. sansan33
PRO
4
12k

Featured

See All Featured
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
Avatar for Stéphanie Walter stephaniewalter
280
13k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
Avatar for Rebecca Miller-Webster rmw
34
3k
Large-scale JavaScript Application Architecture
Avatar for Addy Osmani addyosmani
512
110k
Code Reviewing Like a Champion
Avatar for maltzj maltzj
523
40k
The Language of Interfaces
Avatar for Des Traynor destraynor
158
25k
Faster Mobile Websites
Avatar for Dean Hume deanohume
307
31k
Speed Design
Avatar for Sergey Chernyshev sergeychernyshev
30
970
The Pragmatic Product Professional
Avatar for Laura Van Doore lauravandoore
35
6.7k
Documentation Writing (for coders)
Avatar for Carmen Chung carmenintech
71
4.8k
Thoughts on Productivity
Avatar for Jon Yablonski jonyablonski
69
4.7k
Writing Fast Ruby
Avatar for Erik Berlin sferik
628
61k
How To Stay Up To Date on Web Technology
Avatar for Chris Coyier chriscoyier
790
250k

Transcript

  1. よくあるバックドアの話 NV(@nvsofts)

  2. 自己紹介 名前:NV ◦ Twitter: @nvsofts 個人サークル「えぬえす工房」代表 ◦ https://www.ns-koubou.com/ ◦ 最近は市販機器をハックする同人誌を書いています

    普段は都内にあるセキュリティ会社でIoTセキュリティなど をやっています

  3. バックドアとは? 英和辞典で引いてみると・・・? backdoor [báck・dòor] 形容詞 1. 裏口の. 2. 秘密(手段)の.

  4. バックドアとは? 要するに裏口のことだけど、情報セキュリティ的には

  5. バックドアとは? 要するに裏口のことだけど、情報セキュリティ的には 「クラッカーが再度の侵入を容易にするために作るもの」 と説明される(一般の人向けには)

  6. しかし 開発者が意図的にセキュリティに穴をあけることもある

  7. しかし 開発者が意図的にセキュリティに穴をあけることもある → これもバックドアと呼ばれる! 今回はこっちの話です

  8. 別にこれって 組み込み機器として見たら珍しいことではない

  9. 別にこれって 組み込み機器として見たら珍しいことではない ◦ そもそも脆弱なものという認識がない (作った当時はそれで許される雰囲気があった、etc)

  10. 別にこれって 組み込み機器として見たら珍しいことではない ◦ そもそも脆弱なものという認識がない (作った当時はそれで許される雰囲気があった、etc) ◦ 開発時に使っていたが、リリース時に消すのを忘れた

  11. 別にこれって 組み込み機器として見たら珍しいことではない ◦ そもそも脆弱なものという認識がない (作った当時はそれで許される雰囲気があった、etc) ◦ 開発時に使っていたが、リリース時に消すのを忘れた ◦ サービスマン用に残してある (意外と便利なんですよねぇ~これって

    って感じで)

  12. よくあるやつ 組み込み機器でよくあるのが以下のようなもの 1. USBデバイスやSDカードが接続される 2. 接続されたデバイス内のデータを調べる 3. 特定の情報が含まれていた場合、デバイス内に含まれ ているプログラムを実行する

  13. 組み込みLinuxで調べる デバイス管理を行っているudevやmdevの設定ファイルを 見ると良い ◦ /etc/udev/rules.d 以下のファイル ◦ /lib/udev/rules.d 以下のファイル ◦

    /etc/mdev.conf

  14. 組み込みLinuxで調べる サービス定義を調べるのも良い (起動時に一度だけチェックする場合もあるため) ◦ /etc/init.d 以下のファイル ◦ /etc/systemd/system 以下のファイル ◦

    /lib/systemd/system 以下のファイル など

  15. ポイント バックドアと言うだけあって、基本的にはセキュリティが低 下した方法になる 例えば、 ◦ ファームウェアの検証が行われない ◦ 外部からのデータを無条件に読んだり実行したりする ◦ 最悪、機器が死ぬ

    あたりは想定できる

  16. まとめ ◦ 開発者がバックドアを何らかの理由で設置する場合がある ◦ 製品のセキュリティを低下させる ◦ 組み込み開発者の気持ちになって考えよう