Seminar Event
IoTハッキング・セキュリティトレーニング
10/25~27の日程で、初級~中級者を対象とした、IoTデバイスに対するハンズオン中心の有償セキュリティトレーニングを実施しました。
講師には100を超えるIoTデバイスの調査・テスト実績を持つAttify社のAditya Gupta氏を迎え、そのノウハウをもとにIoTデバイスに対するハッキング方法や、「スマートデバイス」のセキュリティを破る攻撃的なアプローチについてご紹介しました。
セミナー概要
日時 | 2023年10月25日(水)~27日(金) |
---|---|
会場 | 株式会社ベリサーブ 本社 セミナールーム |
対象 | IoTデバイス・IoTシステムのセキュリティについて学びたいとお考えの方 |
主催 | 株式会社ベリサーブ |
主な講座内容 |
1日目 実践を通して、ARMやMIPSアーキテクチャのエクスプロイト、ファームウェアの抽出とデバッグ、ファームウェアのエミュレーションなどの概念を学ぶ。 IoTセキュリティアーキテクチャの内部概念 既知のIoTデバイスの脆弱性およびケーススタディ IoTデバイスのファームウェアを取得して、リバースエンジニアリング セキュリティ上の問題を発見し、実際に悪用される可能性の認識 2日目 実際のIoTデバイスを分解して、回路基盤の持つコンポーネントを理解し、デバイスのルートを取得。 UARTのエクスプロイト JTAGのデバッグ デバイスからフラッシュチップの内容をダンプする 利用するツールや配布資料と共にこれらのノウハウを学習。 さまざまなIoTデバイスにも適用が可能です。 3日目 デバイスをリモートから攻撃するために必要なノウハウを学ぶ。 BLEを使用したデバイスを盗聴して攻撃 攻撃に利用するカスタムラジオを作成 ツールと演習を組み合わせることで、実際に攻撃者がIoTデバイスに侵入するために必要なことを学習。 主な学習内容 デバイスファームウェアの抽出と分析、バイナリのデバッグと逆アセンブル UART、SPI、JTAGの悪用、JTAGのデバッグとそれを用いたエクスプロイト ファームウェアのダンプ、ハードウェアとソフトウェアのデバッグ IoTデバイスのクラウドやモバイル機能への攻撃 スニッフィング、リプレイ、MITM、無線通信による攻撃、BLEによるエクスプロイト ARMとMIPSのリバースエンジニアリング、従来型攻撃と非従来型攻撃の手法 プラットフォームへの攻撃 |
逐次通訳を交えて座学講義の後、トレーニングキットを使ってIoTデバイスの分解に挑戦。
Attify社とベリサーブのスタッフも適宜サポートしながら、実際に攻撃者がIoTデバイスに侵入する手法などを学んでいただきました。