事前準備_ファームウェア解析に触れてみよう！

Transcript

1. 事前準備 ※イベント参加前に実施してください

2. KaliのVMをダウンロード • 最新版ではなく2022.4を用意してください • 検索［kali vm old］ • https://old.kali.org/kali-images/kali-2022.4/ –

   ×：kali-linux-2023.1-virtualbox-amd64 (最新版) – 〇：kali-linux-2022.4-virtualbox-amd64 – ※VmwareでもOK

3. VMの起動 • DLしたVMを展開 – .7zは7zipを利用してください • 追加して起動する

4. Kaliへのログイン • デフォルトID : パスワード – kali : kali –

   sudoのパスワードもkali

5. 日本語キーボードの設定 • ［Applications］メニュー →［Settings］を選択 →［Keyboard］ • ［Layout］タブを選択 • 「Use system

   defaults」を オフ • ［English（US）］を選択 →[Edit］→［Japanese］ に変更→［OK］ • ［xClose］

6. 日本語キーボードの入力確認 • Terminal（黒い窓）を起動 • 以下を入力確認 – ｜ パイプ – ＠

   アットマーク – ＿ アンダースコア – - ハイフン／マイナス – ※日本語は打てません

7. その他事前準備 • VMでインターネットに接続できることを確認 • apt apdateの実行

8. Linux terminalの基本操作 • 入力補完 Tab → • コピー＆ペースト Ctrl＋Shift＋C Ctrl＋Shift＋V

   • 処理の停止 Ctrl＋C • ファイル一覧の表示 ls ls -la • ディレクトリの表示 pwd • ディレクトリの移動 cd ./ﾃﾞｨﾚｸﾄﾘ cd ../ • ファイルの削除 rm ﾌｧｲﾙ rm -r ﾃﾞｨﾚｸﾄﾘ • ファイルの出力 cat ﾌｧｲﾙ • 文字列の検索 grep -inr ｷｰﾜｰﾄﾞ ﾃﾞｨﾚｸﾄﾘ grep -n5 ｷｰﾜｰﾄﾞ ﾌｧｲﾙ

9. ファームウェア解析 概要

10. なぜファームウェア解析？（by ChatGPT） • セキュリティ上のリスク: – IoTデバイスのファームウェアが解析されると、攻撃者がシステムにアクセスして、機密情報や個人情報を盗むことができます。 • 機能上のリスク: – ファームウェアの解析により、製品の機能やパフォーマンスが悪化する可能性があります。このような問題は、製品の品質を低

    下させ、消費者からの不満や苦情を引き起こすことがあります。 • 法的リスク: – IoTデバイスのファームウェアが解析された場合、知的財産権侵害や競合他社の知識の不正取得など、法的問題が発生する可能 性があります。 • ブランドイメージ上のリスク: – ファームウェアの解析によって、IoTデバイスの脆弱性が明らかになり、消費者からの信頼を失う可能性があります。これによ り、企業のブランドイメージに悪影響が出ることがあります。 • コスト上のリスク: – ファームウェアの解析によって、セキュリティの強化や製品の改良に必要なコストが増加することがあります。また、IoTデバ イスを更新するために、消費者に費用がかかることがあるため、市場シェアを失う可能性があります。

11. なぜファームウェア解析？（補足） • ファームウェアは誰でも手に入る（実機不要） • ファームウェアは全機器共通 • ファームウェアはある種の設計図 • 今回のハンズオンの目的 –

    ファームウェアが解析されることによるリスクを体感 – セキュアな製品開発にむけた気付きを得る

12. OWASPのファームウェア解析プロジェクト FSTM • OWASP Firmware Security Testing Methodology – https://github.com/scriptingxss/owasp-fstm

    – https://coky-t.gitbook.io/owasp-fstm-ja/
13. None