Ryder robertson pac-sec skeleton 2017_jp
Transcript of Ryder robertson pac-sec skeleton 2017_jp
サプライチェーンセキュリティについて未知な物は危険
私たちについて
IanRobertsonSr.VicePresident,NCCGroup
JoshRyderSeniorDirectorofNetworkandCybersecurityEngineeringandOperaCons,AppNexus
初めに:このトークの内容
• テクノロジーの統合に関する問題の概要• 問題の洗い出しと対策へのアプローチ• 自動運転からIoTからソフトウェア/サービスサプライまでのサプライチェーン攻撃の最新事例など
ここで言うサプライチェーンとは?
• 体験、プロダクト、サービスを提供するためのベンダーとコンポーネントから成る複雑な関係性とネットワーク
• ハードウェア、ソフトウェア、何処でどうやって統合されているか(及び誰が統合するか)
• プロダクトとサービスデリバリーの交わり
デバイスの脅威モデリング重要な脅威
○ 物理的アクセス(損失/盗まれたデバイス)
○ 組み込みデバイスに基づくPersistence(RAT,マルウェア)
○ ジェイルブレーク(統合性,DRM)
○ EvilMaid (内通者、監視されていない時にできる悪事)
○ サプライチェーン(販売前後又はリペア時)
■ 悪意のある工場:偽造防止、残し物の再利用、
■ 悪意のある労働者
■ 悪意のある郵便配達人
■ 悪意のあるリペアショップ
○ 復元されたデバイス/フォレンジック
○ バイオメトリクス認証のバイパス
○ 知的財産の奪取とリバースエンジニアリング対策(耐タンパー性、タンパーの痕跡)
5
サプライチェーン攻撃の歴史
• 生産ラインにおける携帯端末 - 悪意のある労働者
• XcodeGhostによってIOSマルウェアの最大の
• ツールチェーンコンポーネントの制御の喪失
• RSA SecurID - 悪意のある労働者
• Bill-C51(2015,カナダ)-悪意のある配達人
• トルコのF-35エンジン-修復攻撃
攻撃者
• 攻撃をするチャンスがある/不満を抱えている、社員/パートナー
• ハッカー
• 国/政府
• 組織犯罪
インパクト?• 顧客データの喪失
• GDPRによる罰金
• 売上の損失
• サービスの悪用
• 顧客/投資家の信頼の損失
• 知的財産の損失
• 競争力の低下
• 二次災害の発生
• 犯罪の容易化
• 上記を参照
GDPR(GeneralDataProtecConRegulaCon)
• 総売り上げの4%もしくは2000万Euroの罰金(高額な方)
• 国境を越えてEU市民の個人情報の安全とセキュリティを保護するためにデザインされた
• サプライチェーンへの影響?サプライチェーンの停止による結果。例えば、暗号と匿名化に利用されているライブラリーが攻撃されたら、データ流出と罰則の両方が発生する。又は、クラウドプロバイダーがハックされたら。。。
動機(ヒント:お金)
● キャリアロック
● DRM
● ジェイルブレーク
● 偽造
● コンポーネントの再売却
● 盗まれたデバイスのローンダリング
10
本当にハードウェアの信頼性に注意したければ?
ミサイル開発のレベルでエンジニアリングと機密性について考えましょう:制御システム、誘導システム、品質テスト/制御、社員のスクリーニング、知識の分散、カスタムハードウェア開発
ハードウェアハッキングについて
● ハードウェアの変更と悪用によるソフトウェアの権限昇格
● データと秘密の抽出
● ツールのコストによって、攻撃者にとって比較的に高い参入障壁
● 成熟性:ハードウェア/組み込みセキュリティはソフトウェアセキュリティより15年間遅れている、(例外は少ない)
12
TPMs, Smart Cards
Smart Phones
HSMs
Internet of Things, Automotive, everything else
Increasing Hardware
Security
# of OEMs
.
.
.
デバイスボードの写真
• 全てのコンポーネントを信用できるか
• エンジニアリング用の部分がよく残されている
• なぜJtagインターフェースがよく残されているのか?
とてつもないコスト削減のプレッシャーと、ハードウェアの生産までのリードタイム。これはアジャイル開発ではないはずです!
検出手法● デバイスの数:注文数!=生産数!=出荷数!=アクティベート数
○ 必要されているデータはシングルシステムに依存しない
○ 各段階での余剰分の追跡が問題
○ 過剰生産
● 工業ネットワークのハーデニング
○ 3rdパーティー工場
○ ステーションからステーションの間の通信
○ TTLが高すぎる
● 誤って違う工場のパスワードの使用
● オフシーズンの時の稼働:祝日、時間帯
● 旧型デバイスの生産、又は違う工場で生産された
14
問題が発生したかどうやって検知できますか?
• 検知ならできます.重要なのは問題の大きさの認識と対応の構築
できる(もしくはすでに行っている)対策
• 基本的なセキュリティ習慣作るためにコンプライアンスが時々に役にたつ
• 小さくはじめる:フォーカスしたいサプライチェーンのコントロールとその要素を決める
• 教育する。一人ではできない、脅威に対する認識向上と効果
攻撃から防御へ1
● “Chip-off”○ ->データ/コード署名
● ファームウェアエクスプロイト
○ ジェイルブレークコミュニティは大きなコントリビューターとなりうる
■ ->ルートアクセスを許可する
○ ->100%な解決方法は無い。各エクスプロイトに対する対策だけ
● シリコンエクスプロイト
○ ->100%な解決方法は無い。隠ぺいで攻撃者に掛かるコストを高くするだけ
17
攻撃から防御へ2
● 流出したツール/ソフトウェア/Schematics/MFGノウハウ
○ ->生産用インタフェースに強い認証
○ ->end-to-end暗号化(treatfactoryasa“dumbpipe”)
● 3rdParty修復ツール
○ 部品のモノカルチャーで悪化
○ RMAなど、セキュアではない環境へのデプロイ
○ ->ハードウェアとフューズの各ベンダーインターフェースの無効化
● ネットワークアクセス奪取
○ ->プロビジョニングされたコンポーネントと沢山のプロセスの監視18
これを全て実行したらもう安心?
ROCA(CVE-2017-15631;Oct152017)
• InfineonTPMRSAライブラリーの暗号鍵の生産の脆弱性
• FIPS140-2とEAL5+認証!
• HSMs,Yubikeyなど、セキュリティが高いはずのコンポーネントが脆弱.
求められる行動
• 調べ始める前に先に対応プロセスの構築。脆弱性が検出されたとして、その対応方法が分からないケースを避けたい
• チェーンのコンポーネントは攻撃される事を前提にして設計を考える。信頼関係を検証する方法はちゃんと実装。
• エスクロー
SlideHunter.com
今日紹介した脅威
実装されている内部統制
この部分を考慮していないサプライヤー
未知な物は危険
コネクテッドなコンポーネントの統合又は物理的なコンポーネントの開発には常に改善できる余地がある
これは最早理論だけの攻撃ではなくて、常に実際に起こる攻撃です
SlideHunter.com
ありがとうございました!質問?
話題になったニュース
• hfps://techcrunch.com/2014/05/12/nsa-allegedly-intercepts-shipments-of-servers-to-install-spying-backdoors/
• hfps://www.wired.com/story/broadpwn-wi-fi-vulnerability-ios-android/