Seminar Event

IoTハッキング・セキュリティトレーニング

10/25~27の日程で、初級~中級者を対象とした、IoTデバイスに対するハンズオン中心の有償セキュリティトレーニングを実施しました。

講師には100を超えるIoTデバイスの調査・テスト実績を持つAttify社のAditya Gupta氏を迎え、そのノウハウをもとにIoTデバイスに対するハッキング方法や、「スマートデバイス」のセキュリティを破る攻撃的なアプローチについてご紹介しました。

セミナー風景2

セミナー概要

日時 2023年10月25日(水)~27日(金)
会場 株式会社ベリサーブ 本社 セミナールーム
対象 IoTデバイス・IoTシステムのセキュリティについて学びたいとお考えの方
主催 株式会社ベリサーブ
主な講座内容 1日目
実践を通して、ARMやMIPSアーキテクチャのエクスプロイト、ファームウェアの抽出とデバッグ、ファームウェアのエミュレーションなどの概念を学ぶ。

IoTセキュリティアーキテクチャの内部概念
既知のIoTデバイスの脆弱性およびケーススタディ
IoTデバイスのファームウェアを取得して、リバースエンジニアリング
セキュリティ上の問題を発見し、実際に悪用される可能性の認識

2日目
実際のIoTデバイスを分解して、回路基盤の持つコンポーネントを理解し、デバイスのルートを取得。

UARTのエクスプロイト
JTAGのデバッグ
デバイスからフラッシュチップの内容をダンプする
利用するツールや配布資料と共にこれらのノウハウを学習。
さまざまなIoTデバイスにも適用が可能です。

3日目
デバイスをリモートから攻撃するために必要なノウハウを学ぶ。

BLEを使用したデバイスを盗聴して攻撃
攻撃に利用するカスタムラジオを作成
ツールと演習を組み合わせることで、実際に攻撃者がIoTデバイスに侵入するために必要なことを学習。

主な学習内容
デバイスファームウェアの抽出と分析、バイナリのデバッグと逆アセンブル
UART、SPI、JTAGの悪用、JTAGのデバッグとそれを用いたエクスプロイト
ファームウェアのダンプ、ハードウェアとソフトウェアのデバッグ
IoTデバイスのクラウドやモバイル機能への攻撃
スニッフィング、リプレイ、MITM、無線通信による攻撃、BLEによるエクスプロイト
ARMとMIPSのリバースエンジニアリング、従来型攻撃と非従来型攻撃の手法
プラットフォームへの攻撃

逐次通訳を交えて座学講義の後、トレーニングキットを使ってIoTデバイスの分解に挑戦。
Attify社とベリサーブのスタッフも適宜サポートしながら、実際に攻撃者がIoTデバイスに侵入する手法などを学んでいただきました。

セミナー風景3