Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
よくあるバックドアの話(公開版)
Search
NV
April 28, 2018
Technology
2
530
よくあるバックドアの話(公開版)
@IoTSecJP東京 #3
NV
April 28, 2018
Tweet
Share
More Decks by NV
See All by NV
ゲームのボツデータを見てみよう
nvsofts
1
500
eMMCの話
nvsofts
2
2.2k
%sの話
nvsofts
1
1.3k
DOOMに関するあれこれ
nvsofts
0
470
IoTハックに使える買って良かったと思うもの
nvsofts
0
2.1k
BLEな()おもちゃを調べてみる
nvsofts
3
1.3k
Other Decks in Technology
See All in Technology
ブレインパッド_20250311_AIxIoTビジネス共創ラボ_第2回勉強会.pdf
iotcomjpadmin
0
240
なぜ「Event Sourcing」を選択したのか〜事実に基づくことの重要性〜/Why did we choose "Event Sourcing"?
bitkey
1
330
Microsoft_20250311_第2回AI_IoT共創ラボ.pdf
iotcomjpadmin
0
450
やっぱり余白が大切だった話
kakehashi
PRO
7
2.8k
noteの目指す世界とプロダクトマネジャー
noteinc
0
110
非エンジニアにも伝えるメールセキュリティ / Email security for non-engineers
ykanoh
8
1.9k
OPENLOGI Company Profile for engineer
hr01
1
21k
テクスチャ画像付きのメッシュモデルを3次元点群へ変換する
kentaitakura
1
420
目次機能実装から理解するLexical Editor
wtdlee
0
110
エンジニアリング 💰Moneyジャー / Engineering Money-ger
kenchan
2
410
OCI Oracle Database Services新機能アップデート(2024/12-2025/02)
oracle4engineer
PRO
2
150
これからクラウドエンジニアになるために本当に必要なスキル 5選
hiyanger
1
390
Featured
See All Featured
Mobile First: as difficult as doing things right
swwweet
223
9.5k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
366
25k
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
28
9.3k
Into the Great Unknown - MozCon
thekraken
35
1.7k
Making the Leap to Tech Lead
cromwellryan
133
9.1k
How GitHub (no longer) Works
holman
314
140k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
194
16k
Embracing the Ebb and Flow
colly
84
4.6k
Building Adaptive Systems
keathley
40
2.4k
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
46
2.4k
Optimizing for Happiness
mojombo
377
70k
jQuery: Nuts, Bolts and Bling
dougneiner
63
7.7k
Transcript
よくあるバックドアの話 NV(@nvsofts)
自己紹介 名前:NV ◦ Twitter: @nvsofts 個人サークル「えぬえす工房」代表 ◦ https://www.ns-koubou.com/ ◦ 最近は市販機器をハックする同人誌を書いています
普段は都内にあるセキュリティ会社でIoTセキュリティなど をやっています
バックドアとは? 英和辞典で引いてみると・・・? backdoor [báck・dòor] 形容詞 1. 裏口の. 2. 秘密(手段)の.
バックドアとは? 要するに裏口のことだけど、情報セキュリティ的には
バックドアとは? 要するに裏口のことだけど、情報セキュリティ的には 「クラッカーが再度の侵入を容易にするために作るもの」 と説明される(一般の人向けには)
しかし 開発者が意図的にセキュリティに穴をあけることもある
しかし 開発者が意図的にセキュリティに穴をあけることもある → これもバックドアと呼ばれる! 今回はこっちの話です
別にこれって 組み込み機器として見たら珍しいことではない
別にこれって 組み込み機器として見たら珍しいことではない ◦ そもそも脆弱なものという認識がない (作った当時はそれで許される雰囲気があった、etc)
別にこれって 組み込み機器として見たら珍しいことではない ◦ そもそも脆弱なものという認識がない (作った当時はそれで許される雰囲気があった、etc) ◦ 開発時に使っていたが、リリース時に消すのを忘れた
別にこれって 組み込み機器として見たら珍しいことではない ◦ そもそも脆弱なものという認識がない (作った当時はそれで許される雰囲気があった、etc) ◦ 開発時に使っていたが、リリース時に消すのを忘れた ◦ サービスマン用に残してある (意外と便利なんですよねぇ~これって
って感じで)
よくあるやつ 組み込み機器でよくあるのが以下のようなもの 1. USBデバイスやSDカードが接続される 2. 接続されたデバイス内のデータを調べる 3. 特定の情報が含まれていた場合、デバイス内に含まれ ているプログラムを実行する
組み込みLinuxで調べる デバイス管理を行っているudevやmdevの設定ファイルを 見ると良い ◦ /etc/udev/rules.d 以下のファイル ◦ /lib/udev/rules.d 以下のファイル ◦
/etc/mdev.conf
組み込みLinuxで調べる サービス定義を調べるのも良い (起動時に一度だけチェックする場合もあるため) ◦ /etc/init.d 以下のファイル ◦ /etc/systemd/system 以下のファイル ◦
/lib/systemd/system 以下のファイル など
ポイント バックドアと言うだけあって、基本的にはセキュリティが低 下した方法になる 例えば、 ◦ ファームウェアの検証が行われない ◦ 外部からのデータを無条件に読んだり実行したりする ◦ 最悪、機器が死ぬ
あたりは想定できる
まとめ ◦ 開発者がバックドアを何らかの理由で設置する場合がある ◦ 製品のセキュリティを低下させる ◦ 組み込み開発者の気持ちになって考えよう
nvsofts
iotcomjpadmin
bitkey
kakehashi
.png){kind=avatar}
noteinc
ykanoh
hr01
kentaitakura
wtdlee
kenchan
oracle4engineer
hiyanger
swwweet
cassininazir
eileencodes
thekraken
cromwellryan
holman
afnizarnur
colly
keathley
tammyeverts
mojombo
dougneiner
![バックドアとは? 英和辞典で引いてみると・・・? backdoor [báck・dòor] 形容詞 1. 裏口の. 2. 秘密(手段)の.](https://files.speakerdeck.com/presentations/cb6dbcbafbab40bf97569015e84fb6e8/slide_2.jpg){kind=link}
