Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
よくあるバックドアの話(公開版)
Search
Sponsored
·
Ship Features Fearlessly
Turn features on and off without deploys. Used by thousands of Ruby developers.
→
NV
April 28, 2018
Technology
560
2
Share
よくあるバックドアの話(公開版)
@IoTSecJP東京 #3
NV
April 28, 2018
More Decks by NV
See All by NV
ゲームのボツデータを見てみよう
nvsofts
1
530
eMMCの話
nvsofts
2
2.3k
%sの話
nvsofts
1
1.4k
DOOMに関するあれこれ
nvsofts
0
520
IoTハックに使える買って良かったと思うもの
nvsofts
0
2.2k
BLEな()おもちゃを調べてみる
nvsofts
3
1.4k
Other Decks in Technology
See All in Technology
データ分析基盤の信頼を支える視点と設計
yuki_saito
1
630
FinJAWS_ECSーRDSProxy
asahihidehiko
0
110
コーディングエージェントはTypeScriptの 型エラーをどう自己修正しているのか
melonps
4
470
基礎から解説!Icebergで紐解くSnowflake×Databricks連携の現在地
cm_yasuhara
0
280
責任あるソフトウェアエンジニアリングの紹介4章・5章 / RSE_Ch4-5
ido_kara_deru
0
320
RubyでRuby拡張を書いたらRubyより35倍速になったってどういうこと??
kazuho
3
590
情シスがMCP環境導入時に打ちのめされる認可の崖
oidfj
0
440
実践 TanStack Start ― 新規プロダクトを開発して確立した、サーバーとクライアント境界の設計パターン / Practical TanStack Start Server-Client Boundary Patterns
kaminashi
2
300
AI とサービス・デザイン / AI and Service Design
ks91
PRO
0
170
GitHub Copilot のこれまでとこれから: From Copilot to Collaborative Agents
yuriemori
1
160
TypeScriptはどのようにどこまで推論できるのか ─ とにかく as は禁止で
ypresto
3
420
Amazon CloudFrontにおけるAIボットアクセス制御のポイント
kizawa2020
4
260
Featured
See All Featured
RailsConf 2023
tenderlove
30
1.4k
Into the Great Unknown - MozCon
thekraken
41
2.5k
How to make the Groovebox
asonas
2
2.2k
The Power of CSS Pseudo Elements
geoffreycrofte
82
6.2k
HDC tutorial
michielstock
2
670
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
234
17k
Ethics towards AI in product and experience design
skipperchong
2
280
Music & Morning Musume
bryan
47
7.2k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
31
2.8k
Visual Storytelling: How to be a Superhuman Communicator
reverentgeek
2
530
[SF Ruby Conf 2025] Rails X
palkan
2
1k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
37
6.4k
Transcript
よくあるバックドアの話 NV(@nvsofts)
自己紹介 名前:NV ◦ Twitter: @nvsofts 個人サークル「えぬえす工房」代表 ◦ https://www.ns-koubou.com/ ◦ 最近は市販機器をハックする同人誌を書いています
普段は都内にあるセキュリティ会社でIoTセキュリティなど をやっています
バックドアとは? 英和辞典で引いてみると・・・? backdoor [báck・dòor] 形容詞 1. 裏口の. 2. 秘密(手段)の.
バックドアとは? 要するに裏口のことだけど、情報セキュリティ的には
バックドアとは? 要するに裏口のことだけど、情報セキュリティ的には 「クラッカーが再度の侵入を容易にするために作るもの」 と説明される(一般の人向けには)
しかし 開発者が意図的にセキュリティに穴をあけることもある
しかし 開発者が意図的にセキュリティに穴をあけることもある → これもバックドアと呼ばれる! 今回はこっちの話です
別にこれって 組み込み機器として見たら珍しいことではない
別にこれって 組み込み機器として見たら珍しいことではない ◦ そもそも脆弱なものという認識がない (作った当時はそれで許される雰囲気があった、etc)
別にこれって 組み込み機器として見たら珍しいことではない ◦ そもそも脆弱なものという認識がない (作った当時はそれで許される雰囲気があった、etc) ◦ 開発時に使っていたが、リリース時に消すのを忘れた
別にこれって 組み込み機器として見たら珍しいことではない ◦ そもそも脆弱なものという認識がない (作った当時はそれで許される雰囲気があった、etc) ◦ 開発時に使っていたが、リリース時に消すのを忘れた ◦ サービスマン用に残してある (意外と便利なんですよねぇ~これって
って感じで)
よくあるやつ 組み込み機器でよくあるのが以下のようなもの 1. USBデバイスやSDカードが接続される 2. 接続されたデバイス内のデータを調べる 3. 特定の情報が含まれていた場合、デバイス内に含まれ ているプログラムを実行する
組み込みLinuxで調べる デバイス管理を行っているudevやmdevの設定ファイルを 見ると良い ◦ /etc/udev/rules.d 以下のファイル ◦ /lib/udev/rules.d 以下のファイル ◦
/etc/mdev.conf
組み込みLinuxで調べる サービス定義を調べるのも良い (起動時に一度だけチェックする場合もあるため) ◦ /etc/init.d 以下のファイル ◦ /etc/systemd/system 以下のファイル ◦
/lib/systemd/system 以下のファイル など
ポイント バックドアと言うだけあって、基本的にはセキュリティが低 下した方法になる 例えば、 ◦ ファームウェアの検証が行われない ◦ 外部からのデータを無条件に読んだり実行したりする ◦ 最悪、機器が死ぬ
あたりは想定できる
まとめ ◦ 開発者がバックドアを何らかの理由で設置する場合がある ◦ 製品のセキュリティを低下させる ◦ 組み込み開発者の気持ちになって考えよう
nvsofts
yuki_saito
asahihidehiko
melonps
cm_yasuhara
ido_kara_deru
kazuho
.png){kind=avatar}
oidfj
kaminashi
ks91
yuriemori
ypresto
kizawa2020
tenderlove
thekraken
asonas
geoffreycrofte
michielstock
marcelosomers
skipperchong
bryan
marktimemedia
reverentgeek
palkan
kevinliebholz
![バックドアとは? 英和辞典で引いてみると・・・? backdoor [báck・dòor] 形容詞 1. 裏口の. 2. 秘密(手段)の.](https://files.speakerdeck.com/presentations/cb6dbcbafbab40bf97569015e84fb6e8/slide_2.jpg){kind=link}
