Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
よくあるバックドアの話(公開版)
Search
NV
April 28, 2018
Technology
2
520
よくあるバックドアの話(公開版)
@IoTSecJP東京 #3
NV
April 28, 2018
Tweet
Share
More Decks by NV
See All by NV
ゲームのボツデータを見てみよう
nvsofts
1
470
eMMCの話
nvsofts
2
2k
%sの話
nvsofts
1
1.3k
DOOMに関するあれこれ
nvsofts
0
450
IoTハックに使える買って良かったと思うもの
nvsofts
0
2k
BLEな()おもちゃを調べてみる
nvsofts
3
1.2k
Other Decks in Technology
See All in Technology
AOAI をきっかけに 社内の Azure 管理を見直した話
recruitengineers
PRO
1
270
複雑な構成要素を持つUIとの向き合い方 〜新・支出グラフでの実例〜 / B43 TECH TALK
nakamuuu
0
140
Azure Container Apps + Bicep 〜 こんな感じで運用しています
kaz29
2
450
SPI原点回帰論:事業課題とFour Keysの結節点を見出す実践的ソフトウェアプロセス改善 / DevOpsDays Tokyo 2024
visional_engineering_and_design
4
1.9k
開発生産性大幅アップ!Postman VS Code拡張機能
nagix
2
370
マルチアカウント環境への発見的統制の導入
ch1aki
1
1.3k
Databricks における 『MLOps』
databricksjapan
2
170
Next'24 事例セッションの紹介とクラウド資格を活用したキャリア形成について語りMuscle
yasumuusan
1
440
Java EE/Jakarta EEの現状と将来―クラウドネイティブ時代にJava EEは対応できるのか?―
takakiyo
1
140
MLOpsの「壁」を乗り越える、LINEヤフーの Data Quality as Code
lycorptech_jp
PRO
5
470
開発生産性向上サービスを作るFindyが自分たちで開発生産性を爆上げした組織づくりの歩み / Findy's path to boosting its own development productivity 2024-04-17
ma3tk
3
640
データベース02: データベースの概念
trycycle
0
150
Featured
See All Featured
Building an army of robots
kneath
300
41k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
501
140k
Building Flexible Design Systems
yeseniaperezcruz
319
37k
We Have a Design System, Now What?
morganepeng
43
6.7k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
25
2.3k
Documentation Writing (for coders)
carmenintech
60
3.9k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
226
51k
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
9
8.3k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
187
16k
Building Applications with DynamoDB
mza
88
5.6k
Keith and Marios Guide to Fast Websites
keithpitt
408
22k
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
6
1.5k
Transcript
よくあるバックドアの話 NV(@nvsofts)
自己紹介 名前:NV ◦ Twitter: @nvsofts 個人サークル「えぬえす工房」代表 ◦ https://www.ns-koubou.com/ ◦ 最近は市販機器をハックする同人誌を書いています
普段は都内にあるセキュリティ会社でIoTセキュリティなど をやっています
バックドアとは? 英和辞典で引いてみると・・・? backdoor [báck・dòor] 形容詞 1. 裏口の. 2. 秘密(手段)の.
バックドアとは? 要するに裏口のことだけど、情報セキュリティ的には
バックドアとは? 要するに裏口のことだけど、情報セキュリティ的には 「クラッカーが再度の侵入を容易にするために作るもの」 と説明される(一般の人向けには)
しかし 開発者が意図的にセキュリティに穴をあけることもある
しかし 開発者が意図的にセキュリティに穴をあけることもある → これもバックドアと呼ばれる! 今回はこっちの話です
別にこれって 組み込み機器として見たら珍しいことではない
別にこれって 組み込み機器として見たら珍しいことではない ◦ そもそも脆弱なものという認識がない (作った当時はそれで許される雰囲気があった、etc)
別にこれって 組み込み機器として見たら珍しいことではない ◦ そもそも脆弱なものという認識がない (作った当時はそれで許される雰囲気があった、etc) ◦ 開発時に使っていたが、リリース時に消すのを忘れた
別にこれって 組み込み機器として見たら珍しいことではない ◦ そもそも脆弱なものという認識がない (作った当時はそれで許される雰囲気があった、etc) ◦ 開発時に使っていたが、リリース時に消すのを忘れた ◦ サービスマン用に残してある (意外と便利なんですよねぇ~これって
って感じで)
よくあるやつ 組み込み機器でよくあるのが以下のようなもの 1. USBデバイスやSDカードが接続される 2. 接続されたデバイス内のデータを調べる 3. 特定の情報が含まれていた場合、デバイス内に含まれ ているプログラムを実行する
組み込みLinuxで調べる デバイス管理を行っているudevやmdevの設定ファイルを 見ると良い ◦ /etc/udev/rules.d 以下のファイル ◦ /lib/udev/rules.d 以下のファイル ◦
/etc/mdev.conf
組み込みLinuxで調べる サービス定義を調べるのも良い (起動時に一度だけチェックする場合もあるため) ◦ /etc/init.d 以下のファイル ◦ /etc/systemd/system 以下のファイル ◦
/lib/systemd/system 以下のファイル など
ポイント バックドアと言うだけあって、基本的にはセキュリティが低 下した方法になる 例えば、 ◦ ファームウェアの検証が行われない ◦ 外部からのデータを無条件に読んだり実行したりする ◦ 最悪、機器が死ぬ
あたりは想定できる
まとめ ◦ 開発者がバックドアを何らかの理由で設置する場合がある ◦ 製品のセキュリティを低下させる ◦ 組み込み開発者の気持ちになって考えよう