Upgrade to Pro — share decks privately, control downloads, hide ads and more …

IoTSecJP_Version5.0_LTEデバイスのセキュリティ診断3ステップ

 IoTSecJP_Version5.0_LTEデバイスのセキュリティ診断3ステップ

tansokun920

March 16, 2019
Tweet

More Decks by tansokun920

Other Decks in Technology

Transcript

  1. LTEデバイスのセキュリティ診断
    3ステップ
    2019/3/16
    IoTSecJP Tokyo Version5.0
    Ryosuke Uematsu

    View Slide

  2. 本日お話すること
    LTE通信するデバイスを診断する際の3ステップ
    Step1. LTEプロトコルのセキュリティ評価
    Step2. eSIMとSIMカード
    Step3. アプリケーション層のセキュリティ評価
    1

    View Slide

  3. 自己紹介
    お仕事歴
    某通信機器メーカー(2010~2013年)
    WiMAX基地局の設計・開発のお仕事
    某通信事業者(2013~2017年)
    WCDMA/LTE基地局の開発・検証のお仕事
    某セキュリティ会社(2017年~)
    IoTセキュリティチームでコンサル、セキュリティ診断的
    なお仕事
    2
    上松 亮介
    SlideShare
    はてブ
    MCPC IoT研修講師

    View Slide

  4. IoTセキュリティチームの人たち
    3
    デバイスの人
    HW SW 無線の人 システムの人
    今日はここの人のお話

    View Slide

  5. IoTで使われる無線通信いっぱいあるよね
    4
    通信距離
    通信速度
    近 遠
    100Mbps
    10Mbps
    1Mbps


    1m 10m 100m 1km
    今日はこいつに
    フォーカス

    View Slide

  6. SDRを使おう!
    (例)LTE基地局シミュレータ
    Anritsu社MD8475B
    (参考)https://www.anritsu.com/ja-JP/test-measurement/products/md8475b
    SDRデバイス
    1,000万円~ 1万円~
    ✓ SDRデバイスがあればOK
    ✓ 安価(1万円~)
    ✓ ソフトウェアで実現可能
    ✓ 専用の機器が必要
    ✓ 非常に高額
    ✓ 市販されていない場合もある
    なんでもできちゃう!

    View Slide

  7. LTEの偽装基地局環境を作ろう
    6
    eNB
    MME
    HSS
    S-GW
    P-GW
    LTEシステム(ざっくり)
    IPアドレス
    管理
    ユーザ情報管理
    ベアラ管理
    ユーザ/eNBのセッション管理
    インターネット
    SDR
    この部分をSDRで実現
    端末
    インターネット
    OSSを使う
    srsLTE
    openLTE
    OAIなど
    端末

    View Slide

  8. SDRを使う際の注意点
    7
    違法電波はダメ絶対!
    (参考)http://www.tele.soumu.go.jp/j/ref/material/bizakufaq/
    電波が遮蔽される試験設備内で利用しましょう

    View Slide

  9. LTE偽装基地局を使ったセキュリティ診断
    8
    LTEの通信プロトコルスタック
    IP
    IoTデバイスごとのアプリケーション
    TCP/UDP
    診断
    LTE偽装基地局
    診断対象デバイス
    LTEデバイスのブラックボッ
    クス的なセキュリティ診断
    のステップを紹介

    View Slide

  10. 9
    Step1.
    LTEプロトコルのセキュリティ評価

    View Slide

  11. SIMは何のためにあるのか?
    10
    SIMの情報を用いて行うこと
    事業者設備との相互認証
    暗号化・完全性保護の鍵導出
    SIMに含まれる情報
    K値:認証などに利用する128bitの鍵
    IMSI:SIMを識別する番号。国番号+事業者番号+固体識別番号で構成。
    MSISDN:電話番号 など
    偽装基地局に接続させるにはSIMの情報が不可欠

    View Slide

  12. こんな研究報告が出ている
    11
    LTEFuzzと名付けられたツール(openLTE, srsLTEがベース)
    を用いて脆弱性を検出
    2019年1月韓国の研究者によってLTE通信プロトコル(RRC/NAS)の
    動的セキュリティ解析により新たな脆弱性が36件発表されました
    脆弱性の一つに認証をバイパスできるものが存在した

    View Slide

  13. LTEの認証のタイミング
    12
    アタッチ コネクトモードへの遷移 ハンドオーバー
    ・電源ON
    ・フライトモード解除
    アタッチ済み。無通信状
    態から通信再開。
    通信した状態で移動して別の
    基地局に遷移
    可能性あり 可能性あり 極めて困難
    (正規基地局とやり取りしていた情報を知る術がない)
    発生
    タイミング
    偽装基地局
    介入可能性
    IDLE状態から
    通信再開
    初期接続
    前の基地局との接
    続情報をコア設備
    内でやり取り
    おおまかに3ケース存在する

    View Slide

  14. LTEのアタッチシーケンス
    13
    UE eNB MME HSS S/P-GW
    認証要求
    チャレンジ&レスポンスによる相互認証
    コア設備との
    暗号化・完全性保護のアルゴリズム決定
    APNの情報通知
    IPアドレスの払い出し
    認証
    無線区間の
    暗号化・完全性保護のアルゴリズム決定
    無線接続
    認証
    認証完了
    もし、赤色箇所をバイパスで
    きる様な問題があったら

    View Slide

  15. Step1のゴール
    14
    対象デバイス
    偽装基地局
    LTEプロトコル診断用
    のソフトウェアを用意
    して診断する 認証・暗号化・完全性保護
    全て無効化
    本事象はあくまで可能性があるというお話です。
    (参考) Hongil Kim, Jiho Lee, Eunkyu Lee, and Yongdae Kim, "Touching the Untouchables: Dynamic Security
    Analysis of the LTE Control Plane," IEEE Symposium on Security and Privacy (SP), 2019 (To appear)
    LTE認証バイパス脆弱性の検出

    View Slide

  16. 15
    Step2. eSIMとSIMカード

    View Slide

  17. SIMの情報が分からないと偽装基地局には接続できない
    16
    対象デバイス
    商用ネットワークに接続する
    SIMの情報は残念ながら合法的
    に知ることはできない
    偽装基地局
    接続してきて
    も相互認証が
    できない
    テストSIM(※)へ
    差し替えが必要
    ※SIM内に書き込まれた情報が公開されているテスト用のSIMカード
    NG

    View Slide

  18. IoTデバイスで使用されるSIM
    17
    従来のカードタイプ
    埋め込みタイプ
    Embedded SIM(eSIM)
    SIMの差し替えを想定
    していない
    (参考)https://www.st.com/en/evaluation-tools/p-l496g-cell02.html
    eSIM
    こんな感じで基板に直接実装されている
    小型化・振動耐性などにより、基板に直接実装するタイプの
    eSIMがIoTデバイスでは使用されることが多い

    View Slide

  19. SIMカードとeSIM何が違うの?
    18
    異なるのは形状だけ
    ISO 7816-3で規定されている
    ピン番号 用途
    1 VCC
    2 RST
    3 CLK
    4 Reserved
    5 GND
    6 VPP
    7 I/O
    8 Reserved
    ①②③④




    つまり、eSIMを外してSIMカードを同じピ
    ン番号に配線すれば電気的には動作するはず
    ⑤ ⑥ ⑦ ⑧
    ⑤ ⑥⑦⑧

    View Slide

  20. Step2のゴール
    19
    対象デバイス
    偽装基地局
    テストSIMの情報を使って
    偽装基地局に接続させる テストSIMを挿した状態
    「eSIM」を「テストSIM」に差し替え

    View Slide

  21. 20
    Step3.
    アプリケーション層のセキュリティ評価

    View Slide

  22. Step1, 2によってLTEの接続は完了
    21
    LTEの通信プロトコルスタック LTEの通信プロトコルスタック
    アプリケーションレイヤーの診断
    IP
    TCP/UDP
    IP
    TCP/UDP
    LTE偽装基地局 診断対象デバイス
    接続確立
    IoTデバイスのアプリケーション
    IPで通信可能

    View Slide

  23. ①とりあえずスキャン(LTE偽装基地局→IoTデバイス)
    22
    LTE偽装基地局
    診断対象デバイス
    ・メンテナンスポート
    ・管理WebUI
    などを探索
    LTEシステムでアサインした
    IPアドレスに対して、ポート
    スキャン、脆弱性スキャン

    View Slide

  24. ②情報収集(IoTデバイス→LTE偽装基地局)
    23
    LTE偽装基地局
    診断対象デバイス
    インターネット


    IoTデバイスと外部サーバの通信情報を盗聴
    して、どういった通信が流れているか解析
    土管屋に徹する

    View Slide

  25. ③収集した情報を元にしたセキュリティ評価
    24
    LTE偽装基地局 診断対象デバイス
    DNSクエリ
    インターネット
    偽アプリサーバアドレス応答
    偽DNS
    サーバ
    偽アプリ
    サーバ
    偽DNSサーバアドレスを付与
    偽LTE
    基地局
    リクエスト
    デバイスを不正操作する応答
    一度も外部に
    通信が流れる
    ことなくPC1
    台ですべてを
    実現可能
    なりすました攻
    撃者かどうか正
    しく検証してい
    ないと・・・
    情報収集した結果を反映
    その一例

    View Slide

  26. Step3のゴール
    25
    対象デバイス
    偽装基地局+アプリケーションツール
    デバイスおよび上位サーバへの攻
    撃につながる脆弱性を検知する
    アプリケーションの脆弱性を検出

    View Slide

  27. LTEデバイスを正しく守るために
    26
    LTEのセキュリティは通信事業者に依存するため、通
    信事業者が提供するインフラだけに頼らない
    TLSを使ってアプリケーションレイヤーの通信を暗号
    化する等、デバイスとクラウドのE2Eのセキュリティ対
    策が重要
    アプリケーションサーバの真正性を確認することも併
    せて行うこと

    View Slide

  28. まとめ
    本日ご紹介した内容を悪用することは厳禁です。
    診断の流れ
    LTEプロトコルのソフトウェアセキュリティ評価
    問題なければ、SIMを差し替えて接続
    アプリケーションレベルのソフトウェアセキュリティ評価
    LTEプロトコル上のセキュリティですべてが守られているとは考えない
    アプリケーションレベルで正しくセキュリティ対策を行うことが重要
    27

    View Slide