Soumettre la recherche
Mettre en ligne
2019 1214 io_t_sec_jp_06_kawano_slideshare
•
0 j'aime
•
422 vues
Shinichiro Kawano
Suivre
2019/12/14 IoTSecJP Version.6.0 Kawano Slide, " HW IoT Security update"
Lire moins
Lire la suite
Internet
Signaler
Partager
Signaler
Partager
1 sur 50
Télécharger maintenant
Télécharger pour lire hors ligne
Recommandé
2020 0413 Ebisu Security Boys "Cloud Security for Beginner and Sauna"
2020 0413 Ebisu Security Boys "Cloud Security for Beginner and Sauna"
Shinichiro Kawano
2020 0221 f-secure_jaws-ug_sapporo_25_slideshare
2020 0221 f-secure_jaws-ug_sapporo_25_slideshare
Shinichiro Kawano
2020 0328 jawsdays2020_online
2020 0328 jawsdays2020_online
Shinichiro Kawano
2022 0129 jaws-ug_yokohama_43_security_re_cap_slideshare
2022 0129 jaws-ug_yokohama_43_security_re_cap_slideshare
Shinichiro Kawano
2020 0910 f-secure_remote_work_and_cloud_security
2020 0910 f-secure_remote_work_and_cloud_security
Shinichiro Kawano
2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version
2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version
Shinichiro Kawano
2020 0731 f-secure_radar_zeijakusei_benkyokai_vol9
2020 0731 f-secure_radar_zeijakusei_benkyokai_vol9
Shinichiro Kawano
2020 0925 sfdc_live_it_f-secure_cloud_security
2020 0925 sfdc_live_it_f-secure_cloud_security
Shinichiro Kawano
Recommandé
2020 0413 Ebisu Security Boys "Cloud Security for Beginner and Sauna"
2020 0413 Ebisu Security Boys "Cloud Security for Beginner and Sauna"
Shinichiro Kawano
2020 0221 f-secure_jaws-ug_sapporo_25_slideshare
2020 0221 f-secure_jaws-ug_sapporo_25_slideshare
Shinichiro Kawano
2020 0328 jawsdays2020_online
2020 0328 jawsdays2020_online
Shinichiro Kawano
2022 0129 jaws-ug_yokohama_43_security_re_cap_slideshare
2022 0129 jaws-ug_yokohama_43_security_re_cap_slideshare
Shinichiro Kawano
2020 0910 f-secure_remote_work_and_cloud_security
2020 0910 f-secure_remote_work_and_cloud_security
Shinichiro Kawano
2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version
2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version
Shinichiro Kawano
2020 0731 f-secure_radar_zeijakusei_benkyokai_vol9
2020 0731 f-secure_radar_zeijakusei_benkyokai_vol9
Shinichiro Kawano
2020 0925 sfdc_live_it_f-secure_cloud_security
2020 0925 sfdc_live_it_f-secure_cloud_security
Shinichiro Kawano
2020 0727 f-secure night webinar #1 remote work
2020 0727 f-secure night webinar #1 remote work
Shinichiro Kawano
2020 0611 koan_webinar_f-secure
2020 0611 koan_webinar_f-secure
Shinichiro Kawano
2019 1117 security_jaws_toal_5min_slideshare
2019 1117 security_jaws_toal_5min_slideshare
Shinichiro Kawano
2019 0917 nw-jaws_f-secure3min
2019 0917 nw-jaws_f-secure3min
Shinichiro Kawano
2020 0124 f-secure_ali_eater_sapporo04_slideshare
2020 0124 f-secure_ali_eater_sapporo04_slideshare
Shinichiro Kawano
2019 1212 fin-jaws_08_re_cap2019
2019 1212 fin-jaws_08_re_cap2019
Shinichiro Kawano
2019 0223 jawsdays2019_slideshare
2019 0223 jawsdays2019_slideshare
Shinichiro Kawano
[data security showcase Sapporo 2015] D23:ホームページ改ざんや情報流出からWEBを守る! ~WAF「SiteGu...
[data security showcase Sapporo 2015] D23:ホームページ改ざんや情報流出からWEBを守る! ~WAF「SiteGu...
Insight Technology, Inc.
あなたもなれる 【セキュリティエンジニア】 EC-Council 情報セキュリティエンジニア育成トレーニングコース「 "セキュリティエンジニア" に! お...
あなたもなれる 【セキュリティエンジニア】 EC-Council 情報セキュリティエンジニア育成トレーニングコース「 "セキュリティエンジニア" に! お...
グローバルセキュリティエキスパート株式会社(GSX)
2019 1102 jaws_festa_f-secure10min_lt_slideshare
2019 1102 jaws_festa_f-secure10min_lt_slideshare
Shinichiro Kawano
EC-Councilセキュリティエンジニア養成講座 認定ネットワークディフェンダーcnd[certified network defender]のご紹介[...
EC-Councilセキュリティエンジニア養成講座 認定ネットワークディフェンダーcnd[certified network defender]のご紹介[...
グローバルセキュリティエキスパート株式会社(GSX)
侵入防御の誤検知を減らすためのDeepSecurity運用
侵入防御の誤検知を減らすためのDeepSecurity運用
morisshi
【B-4】オープンソース開発で、フリー静的解析ツールを使ってみる
【B-4】オープンソース開発で、フリー静的解析ツールを使ってみる
Developers Summit
2019 1009 f-secure_ali_eater_tokyo13_slideshare
2019 1009 f-secure_ali_eater_tokyo13_slideshare
Shinichiro Kawano
2018 0310 jaws_days_lt_f-secure_ss
2018 0310 jaws_days_lt_f-secure_ss
Shinichiro Kawano
2018 1003 jaws-ug_yokohama_lt_kawano_slideshare
2018 1003 jaws-ug_yokohama_lt_kawano_slideshare
Shinichiro Kawano
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
Tomohiro Nakashima
2019 1107 fin-jaws_5min
2019 1107 fin-jaws_5min
Shinichiro Kawano
【B-6】Androidスマホの生体認証の脆弱性、調べてみたらよくある話だった。
【B-6】Androidスマホの生体認証の脆弱性、調べてみたらよくある話だった。
Developers Summit
2019 0731 f-secure_ali_eater_tokyo12_slideshare
2019 0731 f-secure_ali_eater_tokyo12_slideshare
Shinichiro Kawano
2019 0316 io_t_secjp_slideshare
2019 0316 io_t_secjp_slideshare
Shinichiro Kawano
八子Opening IoT trend_151114
八子Opening IoT trend_151114
知礼 八子
Contenu connexe
Tendances
2020 0727 f-secure night webinar #1 remote work
2020 0727 f-secure night webinar #1 remote work
Shinichiro Kawano
2020 0611 koan_webinar_f-secure
2020 0611 koan_webinar_f-secure
Shinichiro Kawano
2019 1117 security_jaws_toal_5min_slideshare
2019 1117 security_jaws_toal_5min_slideshare
Shinichiro Kawano
2019 0917 nw-jaws_f-secure3min
2019 0917 nw-jaws_f-secure3min
Shinichiro Kawano
2020 0124 f-secure_ali_eater_sapporo04_slideshare
2020 0124 f-secure_ali_eater_sapporo04_slideshare
Shinichiro Kawano
2019 1212 fin-jaws_08_re_cap2019
2019 1212 fin-jaws_08_re_cap2019
Shinichiro Kawano
2019 0223 jawsdays2019_slideshare
2019 0223 jawsdays2019_slideshare
Shinichiro Kawano
[data security showcase Sapporo 2015] D23:ホームページ改ざんや情報流出からWEBを守る! ~WAF「SiteGu...
[data security showcase Sapporo 2015] D23:ホームページ改ざんや情報流出からWEBを守る! ~WAF「SiteGu...
Insight Technology, Inc.
あなたもなれる 【セキュリティエンジニア】 EC-Council 情報セキュリティエンジニア育成トレーニングコース「 "セキュリティエンジニア" に! お...
あなたもなれる 【セキュリティエンジニア】 EC-Council 情報セキュリティエンジニア育成トレーニングコース「 "セキュリティエンジニア" に! お...
グローバルセキュリティエキスパート株式会社(GSX)
2019 1102 jaws_festa_f-secure10min_lt_slideshare
2019 1102 jaws_festa_f-secure10min_lt_slideshare
Shinichiro Kawano
EC-Councilセキュリティエンジニア養成講座 認定ネットワークディフェンダーcnd[certified network defender]のご紹介[...
EC-Councilセキュリティエンジニア養成講座 認定ネットワークディフェンダーcnd[certified network defender]のご紹介[...
グローバルセキュリティエキスパート株式会社(GSX)
侵入防御の誤検知を減らすためのDeepSecurity運用
侵入防御の誤検知を減らすためのDeepSecurity運用
morisshi
【B-4】オープンソース開発で、フリー静的解析ツールを使ってみる
【B-4】オープンソース開発で、フリー静的解析ツールを使ってみる
Developers Summit
2019 1009 f-secure_ali_eater_tokyo13_slideshare
2019 1009 f-secure_ali_eater_tokyo13_slideshare
Shinichiro Kawano
2018 0310 jaws_days_lt_f-secure_ss
2018 0310 jaws_days_lt_f-secure_ss
Shinichiro Kawano
2018 1003 jaws-ug_yokohama_lt_kawano_slideshare
2018 1003 jaws-ug_yokohama_lt_kawano_slideshare
Shinichiro Kawano
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
Tomohiro Nakashima
2019 1107 fin-jaws_5min
2019 1107 fin-jaws_5min
Shinichiro Kawano
【B-6】Androidスマホの生体認証の脆弱性、調べてみたらよくある話だった。
【B-6】Androidスマホの生体認証の脆弱性、調べてみたらよくある話だった。
Developers Summit
2019 0731 f-secure_ali_eater_tokyo12_slideshare
2019 0731 f-secure_ali_eater_tokyo12_slideshare
Shinichiro Kawano
Tendances
(20)
2020 0727 f-secure night webinar #1 remote work
2020 0727 f-secure night webinar #1 remote work
2020 0611 koan_webinar_f-secure
2020 0611 koan_webinar_f-secure
2019 1117 security_jaws_toal_5min_slideshare
2019 1117 security_jaws_toal_5min_slideshare
2019 0917 nw-jaws_f-secure3min
2019 0917 nw-jaws_f-secure3min
2020 0124 f-secure_ali_eater_sapporo04_slideshare
2020 0124 f-secure_ali_eater_sapporo04_slideshare
2019 1212 fin-jaws_08_re_cap2019
2019 1212 fin-jaws_08_re_cap2019
2019 0223 jawsdays2019_slideshare
2019 0223 jawsdays2019_slideshare
[data security showcase Sapporo 2015] D23:ホームページ改ざんや情報流出からWEBを守る! ~WAF「SiteGu...
[data security showcase Sapporo 2015] D23:ホームページ改ざんや情報流出からWEBを守る! ~WAF「SiteGu...
あなたもなれる 【セキュリティエンジニア】 EC-Council 情報セキュリティエンジニア育成トレーニングコース「 "セキュリティエンジニア" に! お...
あなたもなれる 【セキュリティエンジニア】 EC-Council 情報セキュリティエンジニア育成トレーニングコース「 "セキュリティエンジニア" に! お...
2019 1102 jaws_festa_f-secure10min_lt_slideshare
2019 1102 jaws_festa_f-secure10min_lt_slideshare
EC-Councilセキュリティエンジニア養成講座 認定ネットワークディフェンダーcnd[certified network defender]のご紹介[...
EC-Councilセキュリティエンジニア養成講座 認定ネットワークディフェンダーcnd[certified network defender]のご紹介[...
侵入防御の誤検知を減らすためのDeepSecurity運用
侵入防御の誤検知を減らすためのDeepSecurity運用
【B-4】オープンソース開発で、フリー静的解析ツールを使ってみる
【B-4】オープンソース開発で、フリー静的解析ツールを使ってみる
2019 1009 f-secure_ali_eater_tokyo13_slideshare
2019 1009 f-secure_ali_eater_tokyo13_slideshare
2018 0310 jaws_days_lt_f-secure_ss
2018 0310 jaws_days_lt_f-secure_ss
2018 1003 jaws-ug_yokohama_lt_kawano_slideshare
2018 1003 jaws-ug_yokohama_lt_kawano_slideshare
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
2019 1107 fin-jaws_5min
2019 1107 fin-jaws_5min
【B-6】Androidスマホの生体認証の脆弱性、調べてみたらよくある話だった。
【B-6】Androidスマホの生体認証の脆弱性、調べてみたらよくある話だった。
2019 0731 f-secure_ali_eater_tokyo12_slideshare
2019 0731 f-secure_ali_eater_tokyo12_slideshare
Similaire à 2019 1214 io_t_sec_jp_06_kawano_slideshare
2019 0316 io_t_secjp_slideshare
2019 0316 io_t_secjp_slideshare
Shinichiro Kawano
八子Opening IoT trend_151114
八子Opening IoT trend_151114
知礼 八子
Microsoft Intelligent Edge Technologies
Microsoft Intelligent Edge Technologies
Takeshi Fukuhara
Unno Wataru Nutanix Advent Calendar 2018
Unno Wataru Nutanix Advent Calendar 2018
Wataru Unno
Creating a World without Passwords -- A FIDO UAF Case Study
Creating a World without Passwords -- A FIDO UAF Case Study
FIDO Alliance
Fin-JAWS セキュリティ担当者が見たAWS re:Inforce 2019
Fin-JAWS セキュリティ担当者が見たAWS re:Inforce 2019
Yusuke Karasawa
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
Riotaro OKADA
パスワードのいらない世界へ~NTTドコモにおけるFIDO認証導入事例とエコシステムへの貢献
パスワードのいらない世界へ~NTTドコモにおけるFIDO認証導入事例とエコシステムへの貢献
FIDO Alliance
Ofc2019 bbtower2
Ofc2019 bbtower2
TAKAKO SAEKI
インフラチームの歴史とこれから
インフラチームの歴史とこれから
bitbank, Inc. Tokyo, Japan
Modernization of IT Infrastructure by Microsoft Azure
Modernization of IT Infrastructure by Microsoft Azure
Takeshi Fukuhara
デバイスWebAPI/Symphonyを軸としたIoTの展開について
デバイスWebAPI/Symphonyを軸としたIoTの展開について
Device WebAPI Consortium
2018 1103 jaws_festa_2018_f-secure_slideshare
2018 1103 jaws_festa_2018_f-secure_slideshare
Shinichiro Kawano
SORACOM Air を活用した自動潅水システムの開発
SORACOM Air を活用した自動潅水システムの開発
康平 真崎
パスワードのいらない世界へ
パスワードのいらない世界へ
Keiko Itakura
if-up 2019 | C3. コンシューマープロダクトにおけるクラウド実践
if-up 2019 | C3. コンシューマープロダクトにおけるクラウド実践
SORACOM,INC
非金融分野のブロックチェーン/分散台帳技術と IoTセキュリティ
非金融分野のブロックチェーン/分散台帳技術と IoTセキュリティ
Eiji Sasahara, Ph.D., MBA 笹原英司
緊急事態宣言解除後のセキュリティ・チェックリストを解説してみた
緊急事態宣言解除後のセキュリティ・チェックリストを解説してみた
富士通クラウドテクノロジーズ株式会社
if-up 2019 | キーノート「テクノロジー x 情熱」が世界を変える
if-up 2019 | キーノート「テクノロジー x 情熱」が世界を変える
SORACOM,INC
20190915 hayashi nw_jaws
20190915 hayashi nw_jaws
Hayashi Masayuki
Similaire à 2019 1214 io_t_sec_jp_06_kawano_slideshare
(20)
2019 0316 io_t_secjp_slideshare
2019 0316 io_t_secjp_slideshare
八子Opening IoT trend_151114
八子Opening IoT trend_151114
Microsoft Intelligent Edge Technologies
Microsoft Intelligent Edge Technologies
Unno Wataru Nutanix Advent Calendar 2018
Unno Wataru Nutanix Advent Calendar 2018
Creating a World without Passwords -- A FIDO UAF Case Study
Creating a World without Passwords -- A FIDO UAF Case Study
Fin-JAWS セキュリティ担当者が見たAWS re:Inforce 2019
Fin-JAWS セキュリティ担当者が見たAWS re:Inforce 2019
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
パスワードのいらない世界へ~NTTドコモにおけるFIDO認証導入事例とエコシステムへの貢献
パスワードのいらない世界へ~NTTドコモにおけるFIDO認証導入事例とエコシステムへの貢献
Ofc2019 bbtower2
Ofc2019 bbtower2
インフラチームの歴史とこれから
インフラチームの歴史とこれから
Modernization of IT Infrastructure by Microsoft Azure
Modernization of IT Infrastructure by Microsoft Azure
デバイスWebAPI/Symphonyを軸としたIoTの展開について
デバイスWebAPI/Symphonyを軸としたIoTの展開について
2018 1103 jaws_festa_2018_f-secure_slideshare
2018 1103 jaws_festa_2018_f-secure_slideshare
SORACOM Air を活用した自動潅水システムの開発
SORACOM Air を活用した自動潅水システムの開発
パスワードのいらない世界へ
パスワードのいらない世界へ
if-up 2019 | C3. コンシューマープロダクトにおけるクラウド実践
if-up 2019 | C3. コンシューマープロダクトにおけるクラウド実践
非金融分野のブロックチェーン/分散台帳技術と IoTセキュリティ
非金融分野のブロックチェーン/分散台帳技術と IoTセキュリティ
緊急事態宣言解除後のセキュリティ・チェックリストを解説してみた
緊急事態宣言解除後のセキュリティ・チェックリストを解説してみた
if-up 2019 | キーノート「テクノロジー x 情熱」が世界を変える
if-up 2019 | キーノート「テクノロジー x 情熱」が世界を変える
20190915 hayashi nw_jaws
20190915 hayashi nw_jaws
Plus de Shinichiro Kawano
2022 0128 jaws-ug_nagoya_security_slide_share
2022 0128 jaws-ug_nagoya_security_slide_share
Shinichiro Kawano
2021 1016 cls_lt_kawano_slideshare
2021 1016 cls_lt_kawano_slideshare
Shinichiro Kawano
2020_0516_area88_Study_lt01
2020_0516_area88_Study_lt01
Shinichiro Kawano
2020 0516 area88_lt00_opening
2020 0516 area88_lt00_opening
Shinichiro Kawano
2020_0501_Charming Chen Agi study LT01 "History of Tomino Yoshiyuki and Fan b...
2020_0501_Charming Chen Agi study LT01 "History of Tomino Yoshiyuki and Fan b...
Shinichiro Kawano
2020 0429 lo_gh_lt01
2020 0429 lo_gh_lt01
Shinichiro Kawano
2019 1210 retro_game4_kawano_slideshare
2019 1210 retro_game4_kawano_slideshare
Shinichiro Kawano
2019 1101 dev_io_tokyo_30min_slideshare
2019 1101 dev_io_tokyo_30min_slideshare
Shinichiro Kawano
2019 1029 5_min_transportaiton_sios
2019 1029 5_min_transportaiton_sios
Shinichiro Kawano
2019 1009 5_min_transportaiton
2019 1009 5_min_transportaiton
Shinichiro Kawano
2019 0919 serverless_tokyomeetup_f-secure_verss
2019 0919 serverless_tokyomeetup_f-secure_verss
Shinichiro Kawano
2019 0824 vulnability_meetup_6_lt
2019 0824 vulnability_meetup_6_lt
Shinichiro Kawano
Plus de Shinichiro Kawano
(12)
2022 0128 jaws-ug_nagoya_security_slide_share
2022 0128 jaws-ug_nagoya_security_slide_share
2021 1016 cls_lt_kawano_slideshare
2021 1016 cls_lt_kawano_slideshare
2020_0516_area88_Study_lt01
2020_0516_area88_Study_lt01
2020 0516 area88_lt00_opening
2020 0516 area88_lt00_opening
2020_0501_Charming Chen Agi study LT01 "History of Tomino Yoshiyuki and Fan b...
2020_0501_Charming Chen Agi study LT01 "History of Tomino Yoshiyuki and Fan b...
2020 0429 lo_gh_lt01
2020 0429 lo_gh_lt01
2019 1210 retro_game4_kawano_slideshare
2019 1210 retro_game4_kawano_slideshare
2019 1101 dev_io_tokyo_30min_slideshare
2019 1101 dev_io_tokyo_30min_slideshare
2019 1029 5_min_transportaiton_sios
2019 1029 5_min_transportaiton_sios
2019 1009 5_min_transportaiton
2019 1009 5_min_transportaiton
2019 0919 serverless_tokyomeetup_f-secure_verss
2019 0919 serverless_tokyomeetup_f-secure_verss
2019 0824 vulnability_meetup_6_lt
2019 0824 vulnability_meetup_6_lt
2019 1214 io_t_sec_jp_06_kawano_slideshare
1.
Shinichiro Kawano Corporate Sales F-Secure
K.K. Shinichiro.Kawano@f-secure.com F-Secure 車載 IoT セキュリティ 〜車載機器 IoT Pentest 公開事例と SoCに未知の脆弱性を発見した事例について語ります〜 2019/12/14 IoTSecJP #06
2.
2 資料はUpします Twitter #IoTSecJP © F-Secure
2019
3.
© F-Secure 20193 本日あらすじ 1.
IoT TestとSoC脆弱性事例 2. おまけ(1) 物理セキュリティ 3. おまけ(2)ハッキングツール
4.
4 自己紹介 河野 真一郎 エフセキュア株式会社 法人営業本部 Cloud
Security, F-Secure Cyber Security Consulting Sales担当 今までのおしごと Unix -> OSS/Linux, Cloud -> Security, Cloud 一番好きなガンダム作品 機動戦士ガンダム 逆襲のシャア © F-Secure 2019
5.
© F-Secure 20195 今回も 教えて下さい
6.
© F-Secure 20196 参加者の皆さま どのくらい
IoT ?
7.
© F-Secure 20197 1.
情報収集と勉強で来たよ 2. IoT デバイス設計/開発/製造 3. Security ベンダ / コンサル 4. IoT ペンテストやってます 5. IoT チョットデキル
8.
© F-Secure 20198 1.
情報収集と勉強で来たよ 70% 2. IoT デバイス設計/開発/製造 10% 3. Security ベンダ / コンサル 10% 4. IoT ペンテストやってます 10% 5. IoT チョットデキル ひとり
9.
© F-Secure 20199 ちなみに初参加者の人は? 初参加
60% 2回目以上 40%
10.
F-Secure 会社概要 10 過去8年間で6回のAV-Test最優秀保護賞を受賞した唯一の企業。 その他多数の受賞歴 設立: 1988年 法人展開:
世界29地域 ビジネス展開: 100ヵ国以上 オペレータ数: 200以上 リセラー数: 1000以上 社員数: 1600人以上 売上高: 約235億円(2018) 前年比33%成長 法人顧客数: 世界10万社以上 欧州のサイバー犯罪インシデント時に調査機関として最多の依頼数 事業内容 ITセキュリティソリューションの開発・販売・サポート(法人・個人) IoTコンサルティング(診断・テスト・開発支援・トレーニング) 「F-Secure Lab」からのセキュリティサービス提供
11.
© F-Secure 201911 IoT
セキュリティ コンサルティング 15年以上の実績
12.
© F-Secure 201912 プロジェクトポートフォリオ ハードウェア
デザイン ファームウェア Embedded Linux ( OS ) アプリケーション それぞれの、 Security engineering: 安全さを含めたインプリ方法とデザイン Security convergence: 安全さに影響がある脆弱性やバグの診断
13.
なぜハードウェアセキュリティが 大事なのか © F-Secure ハードウェアの問題はソフトウェアによって簡単に修正できない ハードウェア攻撃を抑制したりフィルタしたりすることはできない ユーザーが製品を修正/変更できない場合がある 安全性の観点から徹底的な調査が必要になるケースがある
14.
コンサルティングサービス:提供サービスと基本方針 14 我々は過去10年間で、自動車、航空機、金融システム、デジタルウォレットなど さまざまな分野でハードウェアソリューションを診断し、効果的なセキュリティで保護することが できました。我々はハードウェアのセキュリティ研究にバックグラウンドを持っております。 Andrea Barisani ハードウェアセキュリティ責任者 コストパフォーマンスを重視し 無駄な緩和プロセスを排除 設計から製造まで 組込みセキュリティ全般を向上 各コンポーネントの動作からファー ムウェアまでアタック・サーフェスを 総合的に分析 設計レビュー コードレビュー ペネトレーションテスト 研究開発 提供サービス 対象インダストリ 自動車産業 航空機産業 金融業 製造業 企業用製品 家庭用製品 ©
F-Secure 2019
15.
2007:カーナビゲーションへのRDS-TMCトラフィック情報シグナルのインジェクション手法に関する講演 2009:レーザーと電圧計を用いたキータッチへの盗聴器について: 力学的エネルギーと電気回路から漏洩 している光学的サンプリングを用いたサイドチャネル攻撃に関する研究 2011:EMVにおけるクレジットカードのスキミングと PIN
の取得 2013:完全に任意の802.3パケットインジェクション: イーサネットにおけるアタック・サーフェスの最大化 2015:USB armoryの開発 2016:アビオニクス安全性評価における実生活経験 Inverse Pathのメンバー Andrea BarisaniとDaniele Bianco は、多くのセキュリティカンファレンスで自身の成果を報告 コンサルティングサービス:診断チーム研究実績 15 Andrea Barisani Daniele Bianco 自動車関連 IoT 診断は上記講演者を含むコンサルタントのメンバーが直接実施 © F-Secure 2019
16.
15年以上にわたる自動車, 航空機, 航空管制システム, 金融システムなど 世界中のIoT関連診断実施実績 コンサルティングサービス:主な事例 16 イーサネット 診断CAN基地局 フロント ダンパー リア ダンパー ワイパー ドア モジュール ライト レーダー シート コントロール ヒーター エアコン ファン インフォ テインメント FlexRay MOST CAN LIN エンジン ESP ステアリン グ ブレーキ セントラル ゲートウェイ テレマティクス コントロール ユニット 国内ユーザ様コメント 車載IoT機器におけるセキュリティ診断の提案時に、自動車全体の診断事例とサンプル レポートを用意して説明したのは、F-Secureだけだった。 また、どのように診断しているか、実際に使用している解析用の基盤とデバイスを使用した 診断時のデモや攻撃手法の再現を含むハンズオントレーニングなどの、高度かつ複雑な 手法を、F-SecureのハードウェアIoTコンサルタントは直接紹介してくれた。 ©
F-Secure 2019
17.
© F-Secure 201917 車載IoTハック リアルな話 (
公開情報 )
18.
F-Secure SoC 脆弱性診断事例
および 情報公開事例 18 Timeline -------- 2019-06-21: findings identified during a security audit by Inverse Path team at F-Secure in collaboration with Robert Bosch GmbH. 2019-06-25: findings shared with Bosch PSIRT. 2019-06-28: findings shared with Xilinx PSIRT. 2019-07-05: Xilinx PSIRT confirms the findings. 2019-07-15: Xilinx PSIRT agrees to public disclosure process, consisting of a Security Design Advisory and updates to the Technical Reference Manual. 2019-08-12: Xilinx Design Advisory [2] and F-Secure advisory [3] release. References ---------- [1] https://www.xilinx.com/support/documentation/user_guides/ug1085-zynq- ultrascale-trm.pdf [2] https://www.xilinx.com/support/answers/72588.html https://github.com/inversepath/advisories/blob/master/Security_Advisory- Ref_FSC-HWSEC-VR2019-0001-Xilinx_ZU+-Encrypt_Only_Secure_Boot_bypass.txt © F-Secure 2019
19.
F-Secure SoC 脆弱性診断事例
および 情報公開事例 19 https://www.xilinx.com/support/answers/72588.html © F-Secure 2019
20.
20 https://blog.f-secure.com/ja/hardware-security-team-says-flawed-secure-boot-schemes-becoming-too-common/ “設計上の欠陥を2つ開示しました。攻撃者がこれらの欠陥を悪用すると、自動車、航空機、家 電、産業用コンポーネントに使用されている特定のシステムオンチップ(SoC)を攻撃することが 可能になります。”
21.
© F-Secure 201921 https://blog.f-secure.com/ja/hardware-security-team-says-flawed-secure-boot-schemes-becoming-too-common/ “エフセキュアのハードウェアセキュリティチームは、セキュアブートスキームを作成、解析、 調査することにも多くの時間を費やしています。 これまでも、成果としてセキュアブートスキームに欠陥のある製品を数多く発見してき ましたが、先日、新たに発見した設計上の欠陥を2つ開示しました。攻撃者がこれ らの欠陥を悪用すると、自動車、航空機、家電、産業用コンポーネントに使用さ れている特定のシステムオンチップ(SoC)を侵害することが可能になります。”
22.
© F-Secure 201922 https://blog.f-secure.com/ja/hardware-security-team-says-flawed-secure-boot-schemes-becoming-too-common/ “このチームが発見したのは、Xilinx(ザイリンク)社のZynq
UltraScale+ SoCにお ける2つの欠陥で、チップの「暗号化のみ (Encrypt Only) 」ブートモードに問題があ りました。 1つ目の欠陥は、ブートROMによって実行されるブートヘッダ解析に関する問題です。 2つ目の欠陥は、パーティションヘッダテーブルの解析に関する問題です。”
23.
© F-Secure 201923 https://blog.f-secure.com/ja/hardware-security-team-says-flawed-secure-boot-schemes-becoming-too-common/ “攻撃者は、ブート手順の初期段階でブートヘッダを改ざんし、その内容を変更して 任意のコードを実行できるため、「Encrypt
Only」モードで提供されるセキュリティ対 策をバイパスすることが可能になります。そして、最終的に攻撃者は、デバイス上の 機密情報データとプロセスを侵害するために必要なアクセス権を取得できるので す。”
24.
© F-Secure 201924 https://blog.f-secure.com/ja/hardware-security-team-says-flawed-secure-boot-schemes-becoming-too-common/ “最初の問題はソフトウェアパッチでは対処できません。2つ目の問題は理論的には アップデートで修復することができますが、最初の問題が依然として残っているため、 ソフトウェアパッチで攻撃を防ぐことはできません。” “発見における最も重要な側面は、ソフトウェアセキュリティをハードウェアに組み込 む際に、セキュリティへの影響を考慮せずにセキュアブートの実装が行われていると いう事実を例示していることです。”
25.
© F-Secure 201925 https://blog.f-secure.com/ja/hardware-security-team-says-flawed-secure-boot-schemes-becoming-too-common/ 「セキュア/トラステッドブートなどのセキュリティ機能とプロセスをハードウェアに組み込 む場合、ハードコードされたROMコードを設計または実装上の欠陥から保護すること が重要です。」 「したがって、私たちのテストと検証はこの領域に焦点を当てています。ほとんどの場 合、脆弱性がもたらす影響によりハードウェア自体の交換を迫られますが、実際に それができるとは限らないことは明らかです。」
26.
© F-Secure 201926 さっきのスライドを 思い出してください
27.
なぜハードウェアセキュリティが 大事なのか © F-Secure ハードウェアの問題はソフトウェアによって簡単に修正できない ハードウェア攻撃を抑制したりフィルタしたりすることはできない ユーザーが製品を修正/変更できない場合がある 安全性の観点から徹底的な調査が必要になるケースがある
28.
© F-Secure 201928 これの典型例が Secure
boot 脆弱性問題
29.
© F-Secure 201929 これを発見した F-Secure
の対応 GitHub に
30.
ure 2019 30 https://blog.f-secure.com/ja/hardware-security-team-says-flawed-secure-boot-schemes-becoming-too-common/ “今回の発見は、主にこれらのチップを使用することにより、製造するコンポーネント のファームウェア、アセット、およびランタイム環境における認証と機密性を強化して いるOEMメーカーに影響を与えます。この6月に、エフセキュアはXilinxに対してこれ らの欠陥を通知しました。Xilinxは既にアドバイザリ(英語)を発行し、影響を受 ける製品のテクニカルリファレンスマニュアルを更新しています。XilinxとAndreaは、 組織が「暗号化のみ」オプションの代わりとして「ハードウェアRoot of
Trust(信 頼の基点)」モードを使用することを推奨しています。” © F-Secure 2019
31.
31 https://blog.f-secure.com/ja/hardware-security-team-says-flawed-secure-boot-schemes-becoming-too-common/ 「インターネットに対応した機器は、ほぼすべての業界に行き渡っているため、安全 でないROMとブートプロセスを抱えた製品が増加していることに皆気付き始めてい ます。」 「クリティカルなシステムに不可欠なコンポーネントが、実は安全ではなく交換する必 要があるという状況に企業が直面した時、脆弱であってもパッチを当てられない ハードウェアコンポーネントは、あらゆる種類の機器に深刻な問題を引き起こす懸 念があります。そして、その交換プロセスには莫大なコストがかかる可能性があるた め、システム全体をリプレイスする以外に解決の道がない場合もあり得るのです。」 © F-Secure 2019
32.
© F-Secure 201932 なおこれは F-Secureコンサル ほんの一部
33.
© F-Secure 201933
34.
34 プロジェクトポートフォリオ ハードウェア デザイン ファームウェア Embedded Linux
( OS ) アプリケーション それぞれの、 Security engineering: 安全さを含めたインプリ方法とデザイン Security convergence: 安全さに影響がある脆弱性やバグの診断 © F-Secure 2019
35.
© F-Secure 201935 車載IoT機器 SoC,
ASICレベル 設計レベル
36.
© F-Secure 201936 車載IoT機器 ファームウェア ファームウェアUpdate手順 検証テスト
37.
© F-Secure 201937 車載IoT機器 Embedded
OS アプリケーション
38.
© F-Secure 201938 車載IoT機器 CAN-BUSファジング Central
Gateway
39.
© F-Secure 201939 車載IoT機器 設計,HW,SW 総合診断
40.
40 「更に技術よりの話はこちら」 https://andrea.bio/ F-Secure HW IoT
Team 責任者の IoT Project実績や登壇資料 © F-Secure 2019
41.
41 おまけ話(1) 物理セキュリティ © F-Secure 2019
42.
42 https://blog.f-secure.com/ja/fake-hotel-master-key/ “2018年4月25日:エフセキュアのリサーチャーは、世界中のホテルチェーンやホテルが導入している 電子ロックシステムが、攻撃者によってホテル内のどの部屋にもアクセスできるように悪用される恐 れがあることを確認しました。” © F-Secure 2019
43.
43 https://jp.press.f-secure.com/2019/12/12/keywe-smartlock-jp/ “F-Secure は、攻撃者が簡単にピッキングできるスマートロックの設計上の脆弱性を、同社のセ キュリティコンサルティング部門である F-Secure
Consultingが発見したと発表しました。” © F-Secure 2019
44.
44 おまけ話(2) F-Secure ハッキングツールについて © F-Secure 2019
45.
45 ブルボン ルマンド どれがハッキングツール? © F-Secure 2019
46.
© F-Secure 201846 答えはバナナ
47.
© F-Secure47 https://blog.f-secure.com/ja/a-red-teamers-tools-whats-in-toms-hacking-kit/ “エフセキュアのプリンシパルセキュリティコンサルタントであるTom Van
de Wiele(トム・ヴァン・ ドゥ・ウィーレ)(英語)は、レッドチームのメンバーとしてレッドチーム演習や企業機密へのハッキ ングに関しての質問を受けるとことが良くあります(英語)。”
48.
© F-Secure48 “8:大きさ比較用、および建物の周りを持ち歩くためのバナナ。 このような物を持っている人は不審者ではなく関係者とみなされる ”
49.
49 本日まとめ 1. IoT Test
とSoC脆弱性事例 2. おまけ話1 物理セキュリティ 3. おまけ話2 ハッキングツール © F-Secure 2019
Télécharger maintenant