[SecurityCamp2018] Talk of LoRaWAN's Security

Transcript

1. ͜Ε͔Β΋ͬͱ੝Γ্͕Δ͸ͣͷ -18"/ʹ͍ͭͯͷ ·͡Ίͳ ࿩  ిؾ௨৴େֶେֶӃ ೥ !@UPLJOB ηΩϡϦςΟɾΩϟϯϓશࠃେձ -JHIUOJOH
   5BML

2. "HFOEB nࣗݾ঺հ n-18" -18"/ ͱ͸ʁ-P3B8"/ͱ͸ʁ nηΩϡϦςΟ͖ͯͳ࿩ n΋͏গ͠۩ମతʹ n·ͱΊ

3. ࣗݾ঺հ nશࠃେձ` ͦͷଞνϡʔλɼ4FD)BDL
   ` nॴଐɿిؾ௨৴େֶେֶӃ ޿ౡࢢཱେֶଔ p情報ネットワーク専攻 NOTセキュリティ pR社でバイトしてます pD社で自動車セキュリティをする予定 nݚڀɿ-P3B8"/ʹ͓͚ΔωοτϫʔΫޮ཰Խʹ͍ͭͯ

   pかつては自動車のセキュリティについて研究 pMAC層や物理層とか少し詳しいかもしれない nڵຯɿ3BT1Jɼ"84ɼࣗಈंηΩϡϦςΟɼ*P5 4FDɼͳͲ )(

4. ࠷ۙΑ͘ฉ͘-18"/ͱ-P3B8"/ *P5 
   
      ۙڑ཭ ௒ ௕ڑ཭ (
   

   
   )    km -18"/
   -PX
   1PXFS
   8JEF
   "SFB
   /FUXPSL ྫ -P3B8"/ɼ4JHGPYɽ-5..ɼ8J'J )BMMPX BI →Long Range WAN

5. -P3B8"/ͷಛ௃ n௒ʂলిྗ p通常の乾電池で１０年持つなど n௒ʂ௕ڑ཭௨৴Մೳ p最大１０km以上とも言われている n໔ڐෆཁͰར༻Մೳʴن֨΍ඪ४͕ެ։͞Ε͍ͯΔ GW n௒ʂ௨৴଎౓͕஗͍ p送信できるデータはわずか n௒ʂ௨৴͕ඇޮ཰

   pMACにpureALOHAを採用 LoRa→ ←LoRaWAN (~10km) Server       

6. https://news.goo.ne.jp/article/newswitch/business/newswitch-8880.html “IoT>LP5</]?S@C (#)OWURM87” 413_D:H%*$ 5<9F"K `' &"IJA^/]?S" @C  ,Z-/[0N\Y!XQ

    Z-=2".B6E";    V5<G8"T+ 

7. -P3B8"/ͷηΩϡϦςΟ جຊ nͲΜͳ߈ܸ͕͋Δʁ pEvasedropping/盗聴 uトラフィックを盗聴，他の攻撃の参考になったりする pReplay attack/リプレイ攻撃 u盗聴したデータをそのまま再送する．データの中身が不明でもOK． pMan in

   the middle attack/中間者攻撃 uやりとりの間に割り込んでデータを（場合によってはリアルタイムに改ざ んして）中継する pDenial of service/DoS攻撃 pKey cracking

8. -P3B8"/ͷηΩϡϦςΟ ൃల pセッションハイジャック uこの場合ほとんど中間者攻撃と同じ p不正なアクセスポイントの設置 uもともとあるゲートウェイ，もしくは完全に新しいゲートウェイとして動作 様々な攻撃が可能に pゲートウェイに対する改ざん uゲートウェイは遠隔ログイン可能な場合が多く，不正に改ざん利用される可能性 pMACスプーフィング

   uLoRaWANではMACアドレスを利用せず，独自の割当アドレスを利用している そこで，そのアドレスを勝手になりすまし，データの不正取得などの可能性

9. ࣮ࡍʹͲΜͳײ͡Ͱ߈ܸͰ͖ͦ͏ʁ ʙωοτϫʔΫϨϕϧͰ߈ܸʙ ࢀߟɿ 
   -P3B8"/ 4QFDJGJDBTUJPO W
   BWBJMBCMF
   BU
   MPSBBMMJBODFPSH
   SFG
    
   &T

   
   &FG WBO
   l-P3B8"/ WVMOFSBCJMJUZ
   BOBMZTJT JO
   WBMJEBUJPO
   PG
   QPTTJCMF
   WVMOFSBCJMJUJFT
   JO
   UIF
   -P3B8"/ QSPUPDPM
   TQFDJGJDBUJPO z
   .BTUFST
   UIFTJT
   0QFO
   6OJWFSTJUFJU
   /FEFSMBOE
   

10. ͲΜͳ߈ܸʁ nμ΢ϯϦϯΫ௨৴ʢήʔτ΢ΣΠˠϊʔυʣʹண໨ pLoRaWANにおいて様々な設定はMACメッセージで行われる uDutyCycle，参加，通信タイミング，チャンネルなど pClass Bビーコンによる情報の通知，ノードの受信ウィンドウの操作 u周期的に動作する各ノードにイベント的にダウンリンク通信を行う pReplay attack/リプレイ攻撃 u盗聴したデータをそのまま再送する．データの中身が不明でもOK．

    「MACメッセージ」と「ビーコン」のリプレイ攻撃について紹介

11. -P3B8"/ ."$ .FTTBHF 'PSNBU Preamble PHDR PHDR CRC PHY Payload

    CRC MHDR MAC Payload MIC FHDR FPort FRM Payload Dev Addr FCtrl FCnt FOpts Phy Phy Payload MAC Payload FHDR MH DR Dev Addr FCtrl FCnt FOpts FPort FRM Payload MIC 8 32 8 16 120 8 N 32 (bit) 
    !"
     ' /
         MAC  FPort 0x00 CID 0xXX Payload FRM Payload MIC#$&% Phy Payload

12. ."$ϝοηʔδͷϦϓϨΠ߈ܸ nϝοηʔδͷྫ  MIC    0x00 0x01 0x19

    0x76 → 0x76 0x19 0x01 0x00

13. ."$ϝοηʔδͷϦϓϨΠ߈ܸ nద੾ͳ.*$ͱΧ΢ϯλΛઃఆग़དྷͨ৔߹ n͔͠͠ɺ.*$ͷܭࢉʹ͸"&4ΞϧΰϦζϜ͕࠾༻͞Ε͍ͯΔ p鍵が奪われない限り、計算能力的に現実時間的に攻撃は不可能・・・   MIC  128bit
     left

    32-bits of a CMAC results into ( 1 / 232 ) * 2128 = 296

14. ."$ϝοηʔδͷϦϓϨΠ߈ܸ n࣮͸҉߸Խ΍.*$ͷܭࢉखॱͳͲ͸֤ࣗͷ࣮૷ʹґଘ͍ͯ͠Δ nྫ͑͹ɾɾɾ p以前のLoRaWAN SpecificationではFOptsの暗号化がマストになっていなかった u現在のSpecification v１．１では暗号化がMUSTとなっている pこうした細かいところの実装をセキュリティを意識して実装すべき nԿ͕ى͜Δʁ pMAC層はネットワーク層より先に実行される（レイヤー的に）

    p暗号化されていない（平文）＋MICはネットワーク層で計算される →先にMACコマンドが処理されてしまう！

15. ·ͱΊ n-P3B8"/͍ͬͯΖ͍ΖͰ͖ͦ͏ʂ p実際に最近IoTベンチャー増えてますよね n."$ίϚϯυͷͳΓ͢·͠͸೉ͦ͠͏͕ͩɺɺɺʁ p野外にノードは配置されるし、物理的なハックも不可能ではないかも・・・ p暗号化とMICの処理はきちんと，新しい仕様をきちんと確認する nͳΓ͢·͞ΕͨΒେมͳͷͰ͔ͬ͠ΓͱରࡦΛͶ͓͖ͬͯ·͠ΐ͏ p扱うデータの種類にも着目 nࠓޙػձ͕͋Ε͹)BDL3'Λ͔ͭͬͯి೾ϨϕϧͰͷϋοΫΛ͍ͨ͠ʂ »

    現在機材貸与申請中 nΑ͍ϋοΫिؒʹ͠·͠ΐ͏ʂ