Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

とあるセキュリティ会社のIoTセキュリティチームの日常(ErrataはDescription参照)

3,738 views

Published on

2017年11月23日に行われた、IoTSecJP東京で利用したLTスライド公開版です。所属するIoTセキュリティチームの日常(HWペネトレーションテストの進め方や悩み、過去の興味深い事項、言える失敗事例、今後取り組みたいテーマ)を紹介します。

Eratta:
・P.13でLTEモデムのATコマンドをモニタするのは、SPIではなくUART/Serialでした。SPIなのは近距離無線モジュールの方でした。お詫びして訂正いたします。

Published in: Technology

とあるセキュリティ会社のIoTセキュリティチームの日常(ErrataはDescription参照)

  1. 1. とあるセキュリティ会社の IoTセキュリティチームの日常 2017.11.23 IoTSecJP Tokyo#1 Tatsuya Katsuhara
  2. 2. 本日のお話すること • 私が所属しているIoTセキュリティチームの日常を少しだけ 紹介します。 • 開示可能な範囲は少なく恐縮ですが、興味深いトピックスを ご紹介します。 • 今後取り組みたい「おもしろ技術テーマ」を共有するので、 こころ当たりあれば是非情報交換させてください。
  3. 3. 自己紹介 勝原達也 - NRIセキュアテクノロジーズ所属 • デジタル・アイデンティティ(2007~2015) に関するよしなしごと • Web/プラットフォーム脆弱性診断(2015~2017) に関するよしなしごと • IoT /ハードウェア/重要インフラセキュリティ(2017~) に関するよしなしごと
  4. 4. IoTセキュリティチームなにするものぞ つながる「系」全体を対象にセキュリティ向上へ寄与すべく活動 Webサーバ DNSサーバ Mailサーバ OA系サーバ Webアプリ SCADAサーバ OPCサーバ 運用端末 ITシステムの領域 制御システムの領域 APIAPI Real World (制御) PLC/ DCSバス Real World (IoT) スマフォアプリ スマートメーター クルマ 監視カメラ Achilles認証 制御デバイスをお預かりし堅牢性確認及び 未知の脆弱性検出を試みる API Webアプリケーションセキュリティ プラットフォームセキュリティ Web/プラットフォームセ キュリティ(内部) Industrial IoT セキュリティ IoT セキュリティ 車両セキュリティ
  5. 5. IoTセキュリティチームなにするものぞ 世間のイメージ? ・IoT機器を買ってきては分解している ・IoT機器にリモートからスキャンをかけまくっている ・脆弱性を見つけて報告する ・リサーチャーがいる ・IDA Proのライセンスをたくさん持っている ・回路、組込み、無線、車両、プラント、Web、セキュリティに全て詳しい
  6. 6. IoTセキュリティチームなにするものぞ 世間のイメージ? ・IoT機器を買ってきては分解している →△:意外にもお客様案件が多くて余裕ないという課題感。 ・IoT機器にリモートからスキャンをかけまくっている →△:許可があれば。勝手にやったら相当やばい。 ・脆弱性を見つけて報告する →△:対象を絞って調査することはある。 (CVE-2017-12865) ・リサーチャーがいる →○:専業ではないが、ちゃんといる。OSINT/RCON系、binary系。 ・IDA Proのライセンスをたくさん持っている →○:チームメンバの半分ぐらいは使っている。 ・回路、組込み、無線、車両、プラント、Web、セキュリティに全て詳しい →△:「個」としては全方位人材はそうそういない。チーム力でカバレッジ確保。 バイナリ/基地局/車両ECU /バックボーンNW/組み込み/Web等の技術者と 経験豊富なセキュリティ・コンサルタントで構成。
  7. 7. IoTセキュリティチームなにするものぞ もう少し補足すると・・・ • サラリーマンなので全てのことをやる • 調査/技術開発、企画・営業、契約、チーム運営、事業計画、PM • チーム全体でこの機能があれば良いので、軸足は人それぞれ • HWペネトレだけでなく結構色々やる • IoTデバイスのペネトレ(HW/SW) • Webアプリ/プラットフォームのペネトレ(HWが繋がる先) • 技術/標準化動向調査、標準策定支援 • 設計/システム/プロトコルの第三者評価 • デバイスのロバストネス評価(Bluetooth/Ethernetファジング系) • SCADA(プラント/工場など)を対象にしたセキュリティ評価 本日取り上げるトピックス
  8. 8. 本日のトピックス: 回路・基板に対するペネトレ
  9. 9. 回路・基板に対するペネトレ進め方例 • 基本的には、情報収集、攻撃シナリオ検討、対象に応じた診断、の3ス テップで実施していく。と、偉そうに書いてはみたものの・・・ 探索/接続 Step3. 対象に応じた診断 解析 脆弱性検証 なりすまし、情報漏えい、改ざん 否認、サービス拒否、権限昇格 プロセッサ 記憶装置/ROM (EEPROM/FLASH) デバッグ端子/ シリアル端子 ・・ ・ 単体テスト システムテスト システム ファーム抽出・解析 セキュリティ設定の 不備 秘匿情報の漏えい データ改竄 デバッグロック解除 ログからの情報漏 えい 通信モジュール 上位システムへの 干渉 通信先の 差し替え 接続時の仕様ギャップに よる問題 単体の問題を組み合わ せ生じる攻撃 基板調査、コンポーネント担当機能分析 想定攻撃シナリオ検討/優先順位付け Step1. 情報収集 Step2. 攻撃シナリオ検討
  10. 10. 回路・基板に対するペネトレ進め方例 • 案件性質次第だが、基本的には非常にやりづらく、泥臭い • 仕様不明。ペイロードのフォーマットも、連携先との動作シーケンスも不明。 • 動作させられる範囲/機能が限定的。 • 時間が短い場合が多い。(型式証明取得のクリティカルパスだったり) • 開けてみないとどうなっているか分からない。(情報が出てこない) • 市販製品の勝手診断だと制約は減るが、別の意味でやりづらい • 自由に動かせる。 • 「正常」がわかる。いつ、なにが、どう動くか外形的に制御できる。 • 時間制約が減るが、お金の「入り」はない。 • サーバ連携している場合だと、不正アクセス扱いされうるので恐怖。 • 一般化するほど攻略は楽になる • 組み込み機器がLinux系で、賢ければ賢いほど既存アプローチに該当する可能 性が増えるので見通しが立てやすい。
  11. 11. 回路・基板に対するペネトレ進め方例 つらいこと • 期限を考慮し、ギブアップするポイントを考えなければならない。 • とてもつらい、ミスしたら、見逃したら、とか不安が常にある。 • ある部品の診断結果で、診断済みの部品を起点とした攻撃シナリオ が新しく出て来ることがある。 • スケジュール間際でこうなるとつらい。回避できるよう、部品間の機能の関 連を予想しては、優先順位を調整しつづけることになる。 • たぶん目が悪くなった。 • コネクタがなくても0.2mmピッチぐらいであればCPUに直接クリップする。 • 目が痛くなり、涙がよく出る。 • 技術領域の振れ幅が広い • デジタル回路のシグナル解析していた1時間後に、組み込みLinuxのExploitがな いと先に進めなくなったりする。チーム力の重要さを感じる。
  12. 12. 遭遇した診断事例 (公開できるものだけですが) • JTAGはロックされてからが勝負 • EEPROM上の値からIDコード長のバイナリを切り出して、ひたすら ブルートフォースしてロック解除。 • UART経由でアクセスできる、組み込みOSが提供するコンソールの機能 でIDコードが読み取れてしまいロック解除。 • 上記類似だが、コンソールが提供するメモリ書き換えの機能で、 設定ブロックを書き換えてロック解除。 • プロセッサの特殊ブートモード経由で、書き込みプロテクトのかかっ ていない設定ブロックを書き換えてロック解除。 他にもエグいのがいくつか。
  13. 13. 遭遇した診断事例 (公開できるものだけですが) • LTEモジュールは、スマートなシングルボードコンピュータ • LTEモジュール内で稼働する組み込みOSに(機器によるが)複数手段で接続し、 Busybox経由で上位サーバに正面玄関からアクセス。 • 「LTEは専用線みたいなものだから大丈夫」という過信には注意。 • CPUのSPI端子から、SPIで通信するペリフェラルデバイスとの通信がモニタで きるので、例えばLTEモジュールに対するATコマンドからAPN/CHAP ID,PWなど は比較的容易に把握できる。 (マネージドなIoTデバイスは一般的に認証コンテキストでアクセス制御され ているので、別端末に同じ値を設定しても接続できないはずだが) • IDA Proでリバースエンジニアリング • 時間が潤沢にある案件かつ、解析許可をとったうえで。 • コアロジックを改ざんしたファームウェアや、独自Exploit作成の解析起点。
  14. 14. しくじり事例: 俺みたいになるな
  15. 15. しくじり事例 (公開できるものだけですが) • 純正デバッガ挙動でデバイス文鎮化 • プロセッサに対してデバッガ接続時、デバッグロックが検出されると、 マニュアルに記載されていない暗黙の機能が動作。 • デバッガから内蔵FlashのMass Eraseが行われ、ファームウェア消失。 • プロセッサのブートモード理解不足で文鎮化 • ブートモードを切り替えた際の挙動を追いきれておらず、 モードを切り替えた瞬間に内蔵FlashでMass Eraseが動作し、 ファームウェア消失。(自己消去型プロセッサ) • ケーブル品質のせいで書き込みエラーであわや文鎮化 • (おそらく)自作のケーブル品質が悪い影響で、 改ざんファームウェアを書き込み中にエラー終了で動作不良。 • ブロック分割して少しずつ書き込んだら運良く復活。 ・・・やってしまった
  16. 16. この先どうする: いけるところまでいってみる https://pixabay.com/en/roadsign-future-way-sucess-2570954/
  17. 17. 今後取り組みたい技術テーマ (公開できるものだけですが) # 今後やりたいこと 課題 1 サイドチャネル攻撃をガチでやりたい。 サーモグラフィーを買って、あとはそういう案件を作るだけ。 2 AIスピーカーやAIB◯解体して、セキュリティ向上に寄与したい。 大人の事情には徹底配慮。倫理的な問題もあるような気がする。 4 世の中のARMプロセッサのセキュリティ機能整理して、セキュリ ティ向上に寄与したい。 ARMプロセッサ作っている会社多すぎてつらい。 5 ヒートガンで多様なBGAパッケージを攻略して、セキュリティ向上 に寄与したい。(先人:Exploitee.rs) 火災報知器やスプリンクラーを動作させるのは絶対に避けなければな らない。 6 近距離無線通信(LPWA、日本だと920MHz帯域)のケーパビリティに 一層磨きをかけたい。 仕様がたくさんある、つらい 。(Zigbee、Wi-SUN、LoRaWAN) 7 LTEモジュール解析を深掘りして「専用線扱い」されている経路の 抜け穴を把握する。 • docomo:そこまで種類多くない • KDDI:メジャーなものがある • Softbank:バリエーション多すぎ 6 LTEモジュールのeSIMを差し替えして偽装基地局に誘導し、SIM鍵 による暗号化を解いたペイロードを解析する。 • 機材高い・・・ • 電波法遵守(シールドボックス/電波暗室) 7 レーザーを特定領域に当ててビット反転を発生させたり、ドライ アイスで温度を下げたり、電圧を下げて機能不全を発生されるな ど、物理現象を利用してJTAGロックを解除したい。 大学・企業などの研究所で真剣に取り組んでいる人がいるらしい領域。 道のりは遥か遠い。(永遠にたどり着かないかも) 8 衛星のセキュリティ診断したい(先人:IOActive) そもそもどうやる?(許可、案件、責任などなど) 取り組みたいことは他にも山ほど。悩みは尽きない。
  18. 18. まとめ • Try&Errorの毎日。 • 制約の多い顧客プロジェクトと、今後のための診断技術開発 とのバランスを取りながら進めるのは、結構難しい。 • 突撃することで新しい知見は得られるし、他の領域のノウハ ウ獲得のチャンスも次第に増えていく。 • いけるところまでいってみよう。 • 一緒にやりませんか?(診断側/デバイス開発側の双方)

×