とあるセキュリティ会社のIoTセキュリティチームの日常(ErrataはDescription参照)
13 likes5,593 views
2017年11月23日に行われた、IoTSecJP東京で利用したLTスライド公開版です。所属するIoTセキュリティチームの日常(HWペネトレーションテストの進め方や悩み、過去の興味深い事項、言える失敗事例、今後取り組みたいテーマ)を紹介します。 Eratta: ・P.13でLTEモデムのATコマンドをモニタするのは、SPIではなくUART/Serialでした。SPIなのは近距離無線モジュールの方でした。お詫びして訂正いたします。
とあるセキュリティ会社のIoTセキュリティチームの日常(ErrataはDescription参照)
- 2. 本日のお話すること • 私が所属しているIoTセキュリティチームの日常を少しだけ 紹介します。 • 開示可能な範囲は少なく恐縮ですが、興味深いトピックスを ご紹介します。 • 今後取り組みたい「おもしろ技術テーマ」を共有するので、 こころ当たりあれば是非情報交換させてください。
- 3. 自己紹介 勝原達也 - NRIセキュアテクノロジーズ所属 • デジタル・アイデンティティ(2007~2015) に関するよしなしごと • Web/プラットフォーム脆弱性診断(2015~2017) に関するよしなしごと • IoT /ハードウェア/重要インフラセキュリティ(2017~) に関するよしなしごと
- 4. IoTセキュリティチームなにするものぞ つながる「系」全体を対象にセキュリティ向上へ寄与すべく活動 Webサーバ DNSサーバ Mailサーバ OA系サーバ Webアプリ SCADAサーバ OPCサーバ 運用端末 ITシステムの領域 制御システムの領域 APIAPI Real World (制御) PLC/ DCSバス Real World (IoT) スマフォアプリ スマートメーター クルマ 監視カメラ Achilles認証 制御デバイスをお預かりし堅牢性確認及び 未知の脆弱性検出を試みる API Webアプリケーションセキュリティ プラットフォームセキュリティ Web/プラットフォームセ キュリティ(内部) Industrial IoT セキュリティ IoT セキュリティ 車両セキュリティ
- 6. IoTセキュリティチームなにするものぞ 世間のイメージ? ・IoT機器を買ってきては分解している →△:意外にもお客様案件が多くて余裕ないという課題感。 ・IoT機器にリモートからスキャンをかけまくっている →△:許可があれば。勝手にやったら相当やばい。 ・脆弱性を見つけて報告する →△:対象を絞って調査することはある。 (CVE-2017-12865) ・リサーチャーがいる →○:専業ではないが、ちゃんといる。OSINT/RCON系、binary系。 ・IDA Proのライセンスをたくさん持っている →○:チームメンバの半分ぐらいは使っている。 ・回路、組込み、無線、車両、プラント、Web、セキュリティに全て詳しい →△:「個」としては全方位人材はそうそういない。チーム力でカバレッジ確保。 バイナリ/基地局/車両ECU /バックボーンNW/組み込み/Web等の技術者と 経験豊富なセキュリティ・コンサルタントで構成。
- 7. IoTセキュリティチームなにするものぞ もう少し補足すると・・・ • サラリーマンなので全てのことをやる • 調査/技術開発、企画・営業、契約、チーム運営、事業計画、PM • チーム全体でこの機能があれば良いので、軸足は人それぞれ • HWペネトレだけでなく結構色々やる • IoTデバイスのペネトレ(HW/SW) • Webアプリ/プラットフォームのペネトレ(HWが繋がる先) • 技術/標準化動向調査、標準策定支援 • 設計/システム/プロトコルの第三者評価 • デバイスのロバストネス評価(Bluetooth/Ethernetファジング系) • SCADA(プラント/工場など)を対象にしたセキュリティ評価 本日取り上げるトピックス
- 9. 回路・基板に対するペネトレ進め方例 • 基本的には、情報収集、攻撃シナリオ検討、対象に応じた診断、の3ス テップで実施していく。と、偉そうに書いてはみたものの・・・ 探索/接続 Step3. 対象に応じた診断 解析 脆弱性検証 なりすまし、情報漏えい、改ざん 否認、サービス拒否、権限昇格 プロセッサ 記憶装置/ROM (EEPROM/FLASH) デバッグ端子/ シリアル端子 ・・ ・ 単体テスト システムテスト システム ファーム抽出・解析 セキュリティ設定の 不備 秘匿情報の漏えい データ改竄 デバッグロック解除 ログからの情報漏 えい 通信モジュール 上位システムへの 干渉 通信先の 差し替え 接続時の仕様ギャップに よる問題 単体の問題を組み合わ せ生じる攻撃 基板調査、コンポーネント担当機能分析 想定攻撃シナリオ検討/優先順位付け Step1. 情報収集 Step2. 攻撃シナリオ検討
- 10. 回路・基板に対するペネトレ進め方例 • 案件性質次第だが、基本的には非常にやりづらく、泥臭い • 仕様不明。ペイロードのフォーマットも、連携先との動作シーケンスも不明。 • 動作させられる範囲/機能が限定的。 • 時間が短い場合が多い。(型式証明取得のクリティカルパスだったり) • 開けてみないとどうなっているか分からない。(情報が出てこない) • 市販製品の勝手診断だと制約は減るが、別の意味でやりづらい • 自由に動かせる。 • 「正常」がわかる。いつ、なにが、どう動くか外形的に制御できる。 • 時間制約が減るが、お金の「入り」はない。 • サーバ連携している場合だと、不正アクセス扱いされうるので恐怖。 • 一般化するほど攻略は楽になる • 組み込み機器がLinux系で、賢ければ賢いほど既存アプローチに該当する可能 性が増えるので見通しが立てやすい。
- 11. 回路・基板に対するペネトレ進め方例 つらいこと • 期限を考慮し、ギブアップするポイントを考えなければならない。 • とてもつらい、ミスしたら、見逃したら、とか不安が常にある。 • ある部品の診断結果で、診断済みの部品を起点とした攻撃シナリオ が新しく出て来ることがある。 • スケジュール間際でこうなるとつらい。回避できるよう、部品間の機能の関 連を予想しては、優先順位を調整しつづけることになる。 • たぶん目が悪くなった。 • コネクタがなくても0.2mmピッチぐらいであればCPUに直接クリップする。 • 目が痛くなり、涙がよく出る。 • 技術領域の振れ幅が広い • デジタル回路のシグナル解析していた1時間後に、組み込みLinuxのExploitがな いと先に進めなくなったりする。チーム力の重要さを感じる。
- 12. 遭遇した診断事例 (公開できるものだけですが) • JTAGはロックされてからが勝負 • EEPROM上の値からIDコード長のバイナリを切り出して、ひたすら ブルートフォースしてロック解除。 • UART経由でアクセスできる、組み込みOSが提供するコンソールの機能 でIDコードが読み取れてしまいロック解除。 • 上記類似だが、コンソールが提供するメモリ書き換えの機能で、 設定ブロックを書き換えてロック解除。 • プロセッサの特殊ブートモード経由で、書き込みプロテクトのかかっ ていない設定ブロックを書き換えてロック解除。 他にもエグいのがいくつか。
- 13. 遭遇した診断事例 (公開できるものだけですが) • LTEモジュールは、スマートなシングルボードコンピュータ • LTEモジュール内で稼働する組み込みOSに(機器によるが)複数手段で接続し、 Busybox経由で上位サーバに正面玄関からアクセス。 • 「LTEは専用線みたいなものだから大丈夫」という過信には注意。 • CPUのSPI端子から、SPIで通信するペリフェラルデバイスとの通信がモニタで きるので、例えばLTEモジュールに対するATコマンドからAPN/CHAP ID,PWなど は比較的容易に把握できる。 (マネージドなIoTデバイスは一般的に認証コンテキストでアクセス制御され ているので、別端末に同じ値を設定しても接続できないはずだが) • IDA Proでリバースエンジニアリング • 時間が潤沢にある案件かつ、解析許可をとったうえで。 • コアロジックを改ざんしたファームウェアや、独自Exploit作成の解析起点。
- 14. しくじり事例: 俺みたいになるな
- 15. しくじり事例 (公開できるものだけですが) • 純正デバッガ挙動でデバイス文鎮化 • プロセッサに対してデバッガ接続時、デバッグロックが検出されると、 マニュアルに記載されていない暗黙の機能が動作。 • デバッガから内蔵FlashのMass Eraseが行われ、ファームウェア消失。 • プロセッサのブートモード理解不足で文鎮化 • ブートモードを切り替えた際の挙動を追いきれておらず、 モードを切り替えた瞬間に内蔵FlashでMass Eraseが動作し、 ファームウェア消失。(自己消去型プロセッサ) • ケーブル品質のせいで書き込みエラーであわや文鎮化 • (おそらく)自作のケーブル品質が悪い影響で、 改ざんファームウェアを書き込み中にエラー終了で動作不良。 • ブロック分割して少しずつ書き込んだら運良く復活。 ・・・やってしまった
- 16. この先どうする: いけるところまでいってみる https://pixabay.com/en/roadsign-future-way-sucess-2570954/
- 17. 今後取り組みたい技術テーマ (公開できるものだけですが) # 今後やりたいこと 課題 1 サイドチャネル攻撃をガチでやりたい。 サーモグラフィーを買って、あとはそういう案件を作るだけ。 2 AIスピーカーやAIB◯解体して、セキュリティ向上に寄与したい。 大人の事情には徹底配慮。倫理的な問題もあるような気がする。 4 世の中のARMプロセッサのセキュリティ機能整理して、セキュリ ティ向上に寄与したい。 ARMプロセッサ作っている会社多すぎてつらい。 5 ヒートガンで多様なBGAパッケージを攻略して、セキュリティ向上 に寄与したい。(先人:Exploitee.rs) 火災報知器やスプリンクラーを動作させるのは絶対に避けなければな らない。 6 近距離無線通信(LPWA、日本だと920MHz帯域)のケーパビリティに 一層磨きをかけたい。 仕様がたくさんある、つらい 。(Zigbee、Wi-SUN、LoRaWAN) 7 LTEモジュール解析を深掘りして「専用線扱い」されている経路の 抜け穴を把握する。 • docomo:そこまで種類多くない • KDDI:メジャーなものがある • Softbank:バリエーション多すぎ 6 LTEモジュールのeSIMを差し替えして偽装基地局に誘導し、SIM鍵 による暗号化を解いたペイロードを解析する。 • 機材高い・・・ • 電波法遵守(シールドボックス/電波暗室) 7 レーザーを特定領域に当ててビット反転を発生させたり、ドライ アイスで温度を下げたり、電圧を下げて機能不全を発生されるな ど、物理現象を利用してJTAGロックを解除したい。 大学・企業などの研究所で真剣に取り組んでいる人がいるらしい領域。 道のりは遥か遠い。(永遠にたどり着かないかも) 8 衛星のセキュリティ診断したい(先人:IOActive) そもそもどうやる?(許可、案件、責任などなど) 取り組みたいことは他にも山ほど。悩みは尽きない。
- 18. まとめ • Try&Errorの毎日。 • 制約の多い顧客プロジェクトと、今後のための診断技術開発 とのバランスを取りながら進めるのは、結構難しい。 • 突撃することで新しい知見は得られるし、他の領域のノウハ ウ獲得のチャンスも次第に増えていく。 • いけるところまでいってみよう。 • 一緒にやりませんか?(診断側/デバイス開発側の双方)