Upgrade to Pro — share decks privately, control downloads, hide ads and more …

事前準備_ファームウェア解析に触れてみよう!

 事前準備_ファームウェア解析に触れてみよう!

イベント開始までに事前準備の実施をお願いします
https://owasp-kansai.doorkeeper.jp/events/153928

OWASP Kansai

April 20, 2023
Tweet

More Decks by OWASP Kansai

Other Decks in How-to & DIY

Transcript

  1. 事前準備
    ※イベント参加前に実施してください

    View full-size slide

  2. KaliのVMをダウンロード
    • 最新版ではなく2022.4を用意してください
    • 検索[kali vm old]
    • https://old.kali.org/kali-images/kali-2022.4/
    – ×:kali-linux-2023.1-virtualbox-amd64 (最新版)
    – 〇:kali-linux-2022.4-virtualbox-amd64
    – ※VmwareでもOK

    View full-size slide

  3. VMの起動
    • DLしたVMを展開
    – .7zは7zipを利用してください
    • 追加して起動する

    View full-size slide

  4. Kaliへのログイン
    • デフォルトID : パスワード
    – kali : kali
    – sudoのパスワードもkali

    View full-size slide

  5. 日本語キーボードの設定
    • [Applications]メニュー
    →[Settings]を選択
    →[Keyboard]
    • [Layout]タブを選択
    • 「Use system defaults」を
    オフ
    • [English(US)]を選択
    →[Edit]→[Japanese]
    に変更→[OK]
    • [xClose]

    View full-size slide

  6. 日本語キーボードの入力確認
    • Terminal(黒い窓)を起動
    • 以下を入力確認
    – | パイプ
    – @ アットマーク
    – _ アンダースコア
    – - ハイフン/マイナス
    – ※日本語は打てません

    View full-size slide

  7. その他事前準備
    • VMでインターネットに接続できることを確認
    • apt apdateの実行

    View full-size slide

  8. Linux terminalの基本操作
    • 入力補完 Tab →
    • コピー&ペースト Ctrl+Shift+C Ctrl+Shift+V
    • 処理の停止 Ctrl+C
    • ファイル一覧の表示 ls ls -la
    • ディレクトリの表示 pwd
    • ディレクトリの移動 cd ./ディレクトリ cd ../
    • ファイルの削除 rm ファイル rm -r ディレクトリ
    • ファイルの出力 cat ファイル
    • 文字列の検索 grep -inr キーワード ディレクトリ grep -n5 キーワード ファイル

    View full-size slide

  9. ファームウェア解析 概要

    View full-size slide

  10. なぜファームウェア解析?(by ChatGPT)
    • セキュリティ上のリスク:
    – IoTデバイスのファームウェアが解析されると、攻撃者がシステムにアクセスして、機密情報や個人情報を盗むことができます。
    • 機能上のリスク:
    – ファームウェアの解析により、製品の機能やパフォーマンスが悪化する可能性があります。このような問題は、製品の品質を低
    下させ、消費者からの不満や苦情を引き起こすことがあります。
    • 法的リスク:
    – IoTデバイスのファームウェアが解析された場合、知的財産権侵害や競合他社の知識の不正取得など、法的問題が発生する可能
    性があります。
    • ブランドイメージ上のリスク:
    – ファームウェアの解析によって、IoTデバイスの脆弱性が明らかになり、消費者からの信頼を失う可能性があります。これによ
    り、企業のブランドイメージに悪影響が出ることがあります。
    • コスト上のリスク:
    – ファームウェアの解析によって、セキュリティの強化や製品の改良に必要なコストが増加することがあります。また、IoTデバ
    イスを更新するために、消費者に費用がかかることがあるため、市場シェアを失う可能性があります。

    View full-size slide

  11. なぜファームウェア解析?(補足)
    • ファームウェアは誰でも手に入る(実機不要)
    • ファームウェアは全機器共通
    • ファームウェアはある種の設計図
    • 今回のハンズオンの目的
    – ファームウェアが解析されることによるリスクを体感
    – セキュアな製品開発にむけた気付きを得る

    View full-size slide

  12. OWASPのファームウェア解析プロジェクト FSTM
    • OWASP Firmware Security Testing Methodology
    – https://github.com/scriptingxss/owasp-fstm
    – https://coky-t.gitbook.io/owasp-fstm-ja/

    View full-size slide