Upgrade to Pro — share decks privately, control downloads, hide ads and more …

組み込み屋から見たIoT機器のセキュリティ~小さな機器でも気になる大事なこと~/OWASP_Kansai_20180218-02

OWASP Kansai
February 19, 2018

 組み込み屋から見たIoT機器のセキュリティ~小さな機器でも気になる大事なこと~/OWASP_Kansai_20180218-02

「OWASP Kansai x IoTSecJP ~今こそ語り合おうIoTセキュリティ~」にて株式会社アットマークテクノ 代表取締役 實吉 智裕さんより発表頂いたプレゼンテーションです。

OWASP Kansai

February 19, 2018
Tweet

More Decks by OWASP Kansai

Other Decks in Technology

Transcript

  1. 予備知識:よく使われる暗号技術 © Atmark Techno, Inc. p. 14 平文 I have

    a pen! 暗号文 oiwurianzo3/ gdhfawea9;a 2種類の鍵ペアが使われる 片方の鍵からもう片方の鍵を導き出すことは処理量的に困難 一方を秘密鍵、もう片方を公開鍵にする どちらの鍵も暗号化・復号化に使うことができる 公開鍵暗号方式として広く使われる 暗号化 暗号鍵 復号化 復号鍵
  2. 2つの鍵の使い方(例) © Atmark Techno, Inc. p. 15 私の公開鍵で暗号化してくれれば 私だけが読める!! I

    have a pen! I have a pen! 送信者 受信者 伝送路 インターネット上は 誰が見ているか分からない oiwurianzo3/ gdhfawea9;a 秘密鍵 公開鍵 提供 公開鍵 絶対に秘密!! 知られても 大丈夫!!
  3. IoTセキュリティにおける脅威 © Atmark Techno, Inc. p. 16 Connectivity Protocol M2M/IoT

    Platform Data hub Application Service Big data Analytics Device/FAN センサー拡張等 Gateway ゲートウェイ セキュリティの壁 システム侵入 マルウェア実行 盗み見 物理攻撃 なりすまし 改ざん
  4. 対策:盗み見 © Atmark Techno, Inc. p. 18 データを暗号化 通信路を暗号化 「見える」けど

    分からない ※「見えない」ではない データまたは通信路を暗号化 気温:10℃
  5. 対策:改ざん © Atmark Techno, Inc. p. 22 改ざんされたことが バレてしまう 気温:10℃

    気温:100℃ さらに電子署名をして送る 署名無しは 通らない 証明書と 一致しない 改ざん データに 署名する 証明書 データと 一致しない
  6. 脅威:システム侵入 © Atmark Techno, Inc. p. 23 踏み台に して攻撃 攻撃

    気温:10℃ 中に入れば やりたい放題 侵入 データを全部 吸い出そう
  7. 対策:システム侵入 © Atmark Techno, Inc. p. 24 入りにくい ファイアウォールや入り口を狭くする セキュリティホールをふさぐ

    ファイアウォール を使う 公知のセキュリティホールがある ソフトウェアを使わない。 アップデートする 侵入 気温:10℃
  8. 対策:マルウェア実行 © Atmark Techno, Inc. p. 26 指令 アクセス制御にて 行動範囲を限定する

    入り込んだけど 動きにくい ウィルス対策ソフトで 不正なアプリを検出 気温:10℃ 121.101.xxx.xxx 121.101.xxx.xxx アットマークテクノ を攻撃せよ ウィルス対策ソフトを使う アクセス制御で行動を制限
  9. 対策:物理攻撃 © Atmark Techno, Inc. p. 28 破壊 持ち去り 大事なデータが見えない

    データが自動的に壊れた 転売することもできない 絶対に見えない場所 見ようとされたら故障する もはやITの 話ではない? データの暗号化 ソフトウェアの暗号化 耐タンパ性の確保 気温:10℃
  10. IoTシステムにおける具体的な対策例 © Atmark Techno, Inc. p. 29 Connectivity Protocol M2M/IoT

    Platform Datahub Application Service Bigdata Analytics Device/FAN センサー拡張等 Gateway ゲートウェイ システム侵入 マルウェア実行 盗聴 物理攻撃 セキュリティの壁 なりすまし 改ざん
  11. 例:IoT Hubの活用 © Atmark Techno, Inc. p. 30 Connectivity Protocol

    M2M/IoT Platform Datahub Application Service Bigdata Analytics Device/FAN センサー拡張等 Gateway ゲートウェイ システム侵入 マルウェア実行 盗聴 物理攻撃 なりすまし 改ざん セキュリティの壁 IoT Hub Agent IoT Hub Microsoft Azure IoT Hub AWS IoT Hub
  12. 例: Linuxシステムの最適化 © Atmark Techno, Inc. p. 31 Connectivity Protocol

    M2M/IoT Platform Datahub Application Service Bigdata Analytics Device/FAN センサー拡張等 Gateway ゲートウェイ システム侵入 マルウェア実行 盗聴 物理攻撃 なりすまし 改ざん セキュリティの壁 最低限の機能まで削る セキュリティアップデート ネットワークポートを閉じる SELinux等でアクセス制御 Linux
  13. 物理攻撃への対策が一番難しい? © Atmark Techno, Inc. p. 32 Connectivity Protocol M2M/IoT

    Platform Datahub Application Service Bigdata Analytics Device/FAN センサー拡張等 Gateway ゲートウェイ システム侵入 マルウェア実行 盗聴 物理攻撃 なりすまし 改ざん セキュリティの壁 一番守るべきもの 秘密鍵 IoT Hubにも、 他の仕組みにも使われる
  14. 守るべきもの © Atmark Techno, Inc. p. 34 鉄壁の防御! ポートスキャン DDoS攻撃

    ブルートフォース 無防備! JTAG接続 UART接続 Internet
  15. シリアルがあれば何でもできる! 固く守られたLANポートより、 つなげば見えるシリアルポート 起動ログから全部見える(ことが多い) OSのVersionが見える、アプリのVersionが見える busyboxが見える(シェルが使える) © Atmark Techno, Inc.

    p. 37 U-Boot 1.1.3 (Nov 6 2013 - 09:21:36) … Starting kernel ... Linux version 2.6.36 (root@dnixm-compiler2) (gcc version 4.3.3 (GCC) ) #1 Fri Jun 5 10:33:26 CST 2015 The CPU feqenuce set to 580 MHz … init started: BusyBox v1.4.2 (2015-06-05 10:24:33 CST) multi-call binary ※某機器の例
  16. JTAG(ジェイタグ) SoCに搭載され、ソフトウェア開発に使用 © Atmark Techno, Inc. p. 38 • プログラムのSTART/STOP

    • CPU内のレジスタの読み書き • メモリ空間の読み書き (=プログラム/データの書き換え、吸出し可能) メモリ RAM CPU MEMC GPIO I2C UART SoC(System on Chip) JTAG UART 7~20個くらい の穴がある 3~4個くらい の穴がある
  17. 悪いヤツは、とことんヤル © Atmark Techno, Inc. p. 40 鉄壁の防御! ポートスキャン DDoS攻撃

    ブルートフォース JTAG接続 UART接続 戸締り用心 取り外し ROM ストレージ 解析 大事なデータ
  18. CPU RAM ROM ストレージ セキュアブートで安全に © Atmark Techno, Inc. p.

    41 Secure Boot Engine 署名を検証し コピー 検証できたら 実行 署名付き プログラム
  19. セキュアブートのメリット © Atmark Techno, Inc. p. 42 改ざんしたプログラムを動かなくできる 他の個体のものも動かなくできる 改ざんしたプログラム

    動かせず 他の個体から持ってきたROM 動かせず 正しく署名された プログラムのみ動く プログラムの暗号化や データの暗号化も重要!!
  20. 閉域網も万能ではない © Atmark Techno, Inc. p. 43 IoTゲートウェイ Cloud 閉域網

    インターネット網 様々な脅威をブロック 閉域内は 本当に安全? 物理攻撃のリスクは 閉域網でも変わらず