IoTSecJP キックオフイベント

組込系系のシステムのセキュリティというGeek分野で頼れる人が集まったコミュニティの形成。

ハッシュタグは#iotsecjp

業界の傾向(製造と販売)

脅威を考え、内側を見る

侵入、解析、ハッキング

IoTセキュリティのいろいろ

センシングデータ

センサーデータとは:行動分析の鍵となる”キレイな”データ|データ分析用語を解説 - データビジュアライズで経営を視える化する/graffe グラーフ

オムロンが中心となっている

SDTM

データを売り飛ばせる市場

ルンバの間取りデータ提供

Amazon Echoの音声データを証拠として提出

ユーザを識別できる情報を削除することで→データとして提供できる。


IoTの製造と販売

IoTやM2M等で使用されるプロトコルMQTTによる探索行為の増加等について - 警察庁セキュリティポータルサイト@police

パナソニック製も中国製も中身は一致している。OEM販売をしている。

BroadLink(親)をOEMで販売するLinkJapan(子)が存在する。

MQTTによる探索行為の増加

4000円の体重計

日本はBtoCだが、中国はBtoC+Bが多い。

オリンパスの発売するメガネデバイスはORMでは??

IoTシステムの脅威を考える

IoTの電子鍵

sniffer

中国製は認証をしっかりやっているけど、通信が暗号化されていない為、安全でない。

スマートペットフィーダー

  • NFC
  • Bluetooth
  • ハードウェア
  • クラウド、APIサーバ

LINE WAVEを分解してみた。

Panasonic製の特殊なコネクタ

winbondのSPIでダンプの予感

秋月で頼むと端子にあったコネクタを作成してくれる


eRemoteというも分解してみるとRM miniが出て来る。

建前上は修正したと言っているが実際は修正されていない場合がある。

特定の機器に対して報告しても他の製品では修正されていない場合がある。

ODM(委託者のブランドで販売、製造する場合)

ODMとOEMの違いを把握しよう

基盤から侵入経路を探す

FCCIDはいろんな情報がある。連邦通信委員会が公開している。

ここからCPUのプロセサ名が分かる。flashromってサイトで分かる。

中国でコミュニティが活発。

UART

生産時アップデートされる理由ってなんだろう?

UART

シェルやデバッグ情報を取得する。

  • RX
  • TX
  • GND

RXとTXをクロスしてつなげる。

一番基本的な攻め方

SPI

Serial Peripheral Interface

MISO, SCLKなどのピン

attifyとよばれる海外のIoTセキュリティ教材

基本てきなSPIハッキングを学べる

flashromというサイトが存在する。

とあるIPカメラには25...とあることからデータシートにもとづいて確認。

日本で調べるときには「IoT開発」で調べてみる

retdecでデコンパイルすることが出来る。

秋月でコネクタ作成すると10本で60000万円くらい

JTAG

JTAG Hacking IoTで検索した結果 → 0件

OpenOCDというソフトウェア → 難しい

OpenOCDには公開されていないが、中国の掲示板に掲載されていることがある。

JTAGlatorを使用したピン推測

JTAGを経由して接続する。

コストが高くなるから顧客からは好かれない。

UART ログ情報、U-BOOTシェルアクセス

SPI ファームウェアの情報を取得 ファームウェアダンプ

AndroidのBLEパケットを取ることが出来る。

信頼性は微妙であるから、sniffer(3000円)でやるほうがゴミパケットが多いが信頼性は高い。

つまり、Bluetoothのペアリングキーが漏洩する場合がある。

Crackleというツールで解析できる場合もある。

IoT診断

攻撃の経路の明確化と手法の一覧を出す。

組み込み専用のexploitがexpoit-dbに公開されている場合もある。

OEM系で既知の脆弱性を探すコツ → 酷似した脆弱性がみられる。

ドローンの簡単な説明

マルチコプターのことを話す。水中では電波が通らないので潜水艦は長調波を使うなどしている。

  • GPSの位置情報を使う
    • CEOフェンシング情報の更新(空港の周辺は飛行禁止)
    • 地図情報の取得
  • オペレータ管理ツールへの情報通信
    • DJI FLIGHTHUBなどの複数ドローン、オペレータの管理
    • ファームウェアのアップデート(更新しないと飛ばせない)

ドローンの分類

一般向けと産業向けがある。

おもちゃの場合は回転したまま落ちることはない。一方、産業向けは回転したまま落ちてくる。とくに、羽が鋭利などで注意する必要がある。

日本の場合、2.4GHzの15Wくらいまでと法律で定められている。ドローン本体とコントローラの相互通信がWi-Fiでスマホとの通信にも相互方向のWi-Fiが使われる。

産業向けのドローンになると稼働時間が30, 45分というレベルになっている。から、それってハッキングする必要あるのか…。

2.4GHz帯は電波のゴミ箱と呼ばれる部分。

ホビー系は赤外線を使っているから遮られたら切れる。2.4GHzだとスペクトラム拡散方式がいろいろうまく使うなどにより混信を避けている。

乗っ取るにはプロトコルを揃えてスペクトラムも揃えないければならない。

プロトコルが独自で、ペアリングが必要な場合がある。同じものを喋らなければならないので厳しい。

妨害電波を出すことで目隠し運転のようにすることは可能。ただし、影響範囲は限定的。

ネットで妨害したり三段重で打ったり…。結局は妨害するには物理妨害のほうが効果的であるといのが現状。

おもしろIoTセキュリティ教材の検討

IoTのセキュリティの定義が曖昧。どうやって壊すのか。

セキュリティに対する認識の違い。

miraiのソースコードを読んでみると23と2323にスキャンするみたいな。

コンシューマ向けのIoT機器

いままではビジネスよりのことが多かった。これからは広く利用されるようになってくる。

  • OTAファームアップの検証不足
  • USBポートからHIDデバイスが動く
  • などなど

USBメモリを差し込める場所に他のものを指してみる。Ethernet-USBアダプタをさしてみる。案外、世の中で出回っているものは脆弱なものが隠されている場合もある。

nvsoftさん

MobSFせ静的解析

NRF CONNECT

ESP32の評価ボード

ESP-IDFに付属するサンプルを使用

nRF snifferで通信をキャプチャ可能

BLEで認証なしは危険

とあるセキュリティ会社の日常

ConnManDo Vulnerability

NDAガチガチの範囲で…。

  • JTAG はロックされてからが勝負

    • バイナリからIDコード長を切り出すことで特定して、ブルートフォース
    • UART経由で組み込みOSが提供するコンソール機能でIDコードが読み取れてしまいロック解除
    • メモリ書き換えの機能で設定ブロックを書き換えることでロック解除
  • LTEモジュールは、スマートなシングルボードコンピュータ

    • Linuxの脆弱性をexplitで突く
    • LTEは専用線みたいなものだから大丈夫→上位ネットワークや機器に対して容易にアクセス可能
  • IDA Proでリバースエンジニアリング

    • 時間があれば許可を取って解析

しくじり

  • AC由来のDC GNDと別DC GNDズレでデバイスで高級デバッガ即死
  • 銃声デバッガ挙動でデバイス文鎮化
  • 手が滑ってショートが発生してデバイス破壊
  • プロセッサのブートモード理解不足で文鎮化
  • ケーブル品質のせいで書き込みエラーであわや文鎮化
  • ヒートガンで全てを焼き払ってしまった

morimorimoly

ハードウェアハッキング

  • ROMの抽出
  • デバッグ/シリアル通信
  • サイドちゃんねる

今日から使えるツールボックス

  • はんだごて
  • ジャンプワイヤー
  • テスター
  • テストクリップ→ICの足をさわる
  • デバッグツール(bus priate…)
  • 便利ツール: JTAGulator, JTAGenum

無線LANルーター

安くて、フリークが多い

かんたん

表面実装の確認

  • ぐぐる
  • データシート読む

JTAG

VROP –> ピンがあるから

Baudrateは通信速度みたいなの

ピンアサイン

Rx, Tx, GND, Vcc

JTAGulatorで特定する機能があるとか

Glitch attack

SDRでリプライ攻撃

SDRは同じデバイスで役割や挙動を変化させられる。