Upgrade to Pro — share decks privately, control downloads, hide ads and more …

よくあるバックドアの話(公開版)

Avatar for NV NV
April 28, 2018
Technology
2
540

 よくあるバックドアの話(公開版)

@IoTSecJP東京 #3

Avatar for NV

NV

April 28, 2018
Tweet

More Decks by NV

See All by NV
ゲームのボツデータを見てみよう
Avatar for NV nvsofts
1
520
eMMCの話
Avatar for NV nvsofts
2
2.2k
%sの話
Avatar for NV nvsofts
1
1.4k
DOOMに関するあれこれ
Avatar for NV nvsofts
0
490
IoTハックに使える買って良かったと思うもの
Avatar for NV nvsofts
0
2.2k
BLEな()おもちゃを調べてみる
Avatar for NV nvsofts
3
1.3k

Other Decks in Technology

See All in Technology
新アイテムをどう使っていくか?みんなであーだこーだ言ってみよう / 20250911-rpi-jam-tokyo
Avatar for Akira Ouchi akkiesoft
0
180
KotlinConf 2025_イベントレポート
Avatar for ソニー株式会社 sony
1
120
オブザーバビリティが広げる AIOps の世界 / The World of AIOps Expanded by Observability
Avatar for Kento Kimura aoto
PRO
0
350
Webブラウザ向け動画配信プレイヤーの 大規模リプレイスから得た知見と学び
Avatar for yud0uhu yud0uhu
0
230
複数サービスを支える マルチテナント型 Batch MLプラットフォーム
Avatar for LINEヤフーTech (LY Corporation Tech) lycorptech_jp
PRO
0
300
落ちる 落ちるよ サーバーは落ちる
Avatar for 末廣雅利 suehiromasatoshi
0
150
共有と分離 - Compose Multiplatform "本番導入" の設計指針
Avatar for Ryo WATANABE error96num
1
360
Language Update: Java
Avatar for Yuichi.Sakuraba skrb
2
290
未経験者・初心者に贈る!40分でわかるAndroidアプリ開発の今と大事なポイント
Avatar for operandoOS operando
5
360
Firestore → Spanner 移行 を成功させた段階的移行プロセス
Avatar for a-thug athug
1
450
Webアプリケーションにオブザーバビリティを実装するRust入門ガイド
Avatar for nwiizo nwiizo
6
760
OCI Oracle Database Services新機能アップデート(2025/06-2025/08)
Avatar for oracle4engineer oracle4engineer
PRO
0
110

Featured

See All Featured
The Art of Delivering Value - GDevCon NA Keynote
Avatar for David Neal reverentgeek
15
1.6k
Code Reviewing Like a Champion
Avatar for maltzj maltzj
525
40k
Building a Modern Day 
E-commerce SEO Strategy
Avatar for Aleyda Solis aleyda
43
7.6k
Mobile First: as difficult as doing things right
Avatar for Swwweet swwweet
224
9.9k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
Avatar for Chris Coyier chriscoyier
507
140k
Designing Experiences People Love
Avatar for Jonathan Moore moore
142
24k
jQuery: Nuts, Bolts and Bling
Avatar for Doug Neiner dougneiner
64
7.9k
Bash Introduction
Avatar for André Augusto Costa Santos 62gerente
615
210k
Reflections from 52 weeks, 52 projects
Avatar for Jefferson Lam jeffersonlam
352
21k
Docker and Python
Avatar for Tania Allard trallard
45
3.6k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
Avatar for Marc Duiker marcduiker
31
2.2k
Principles of Awesome APIs and How to Build Them.
Avatar for Keavy McMinn keavy
126
17k

Transcript

  1. よくあるバックドアの話 NV(@nvsofts)

  2. 自己紹介 名前:NV ◦ Twitter: @nvsofts 個人サークル「えぬえす工房」代表 ◦ https://www.ns-koubou.com/ ◦ 最近は市販機器をハックする同人誌を書いています

    普段は都内にあるセキュリティ会社でIoTセキュリティなど をやっています

  3. バックドアとは? 英和辞典で引いてみると・・・? backdoor [báck・dòor] 形容詞 1. 裏口の. 2. 秘密(手段)の.

  4. バックドアとは? 要するに裏口のことだけど、情報セキュリティ的には

  5. バックドアとは? 要するに裏口のことだけど、情報セキュリティ的には 「クラッカーが再度の侵入を容易にするために作るもの」 と説明される(一般の人向けには)

  6. しかし 開発者が意図的にセキュリティに穴をあけることもある

  7. しかし 開発者が意図的にセキュリティに穴をあけることもある → これもバックドアと呼ばれる! 今回はこっちの話です

  8. 別にこれって 組み込み機器として見たら珍しいことではない

  9. 別にこれって 組み込み機器として見たら珍しいことではない ◦ そもそも脆弱なものという認識がない (作った当時はそれで許される雰囲気があった、etc)

  10. 別にこれって 組み込み機器として見たら珍しいことではない ◦ そもそも脆弱なものという認識がない (作った当時はそれで許される雰囲気があった、etc) ◦ 開発時に使っていたが、リリース時に消すのを忘れた

  11. 別にこれって 組み込み機器として見たら珍しいことではない ◦ そもそも脆弱なものという認識がない (作った当時はそれで許される雰囲気があった、etc) ◦ 開発時に使っていたが、リリース時に消すのを忘れた ◦ サービスマン用に残してある (意外と便利なんですよねぇ~これって

    って感じで)

  12. よくあるやつ 組み込み機器でよくあるのが以下のようなもの 1. USBデバイスやSDカードが接続される 2. 接続されたデバイス内のデータを調べる 3. 特定の情報が含まれていた場合、デバイス内に含まれ ているプログラムを実行する

  13. 組み込みLinuxで調べる デバイス管理を行っているudevやmdevの設定ファイルを 見ると良い ◦ /etc/udev/rules.d 以下のファイル ◦ /lib/udev/rules.d 以下のファイル ◦

    /etc/mdev.conf

  14. 組み込みLinuxで調べる サービス定義を調べるのも良い (起動時に一度だけチェックする場合もあるため) ◦ /etc/init.d 以下のファイル ◦ /etc/systemd/system 以下のファイル ◦

    /lib/systemd/system 以下のファイル など

  15. ポイント バックドアと言うだけあって、基本的にはセキュリティが低 下した方法になる 例えば、 ◦ ファームウェアの検証が行われない ◦ 外部からのデータを無条件に読んだり実行したりする ◦ 最悪、機器が死ぬ

    あたりは想定できる

  16. まとめ ◦ 開発者がバックドアを何らかの理由で設置する場合がある ◦ 製品のセキュリティを低下させる ◦ 組み込み開発者の気持ちになって考えよう