Atelier λ

セキュリティさくら13th

IoTデバイスとしてのクルマに対するセキュリティ

  • by 溝口誠一郎 氏

Jeep

  • 遠隔でハック可能
  • ナビの画面、ラジオ、エンジン、 …

IoTと私達

  • 一意に識別可能な「もの」がインターネット/クラウドに接続され、情報交換することにより相互に制御する仕組み
  • 標準化団体の乱立
  • スパムを吐く家電

繋がるクルマ

  • クルマにはコンピュータが詰まってる
  • 車載ネットワークで繋がっている
  • Jeepはこの一部(CAN, Controller Area Network)が狙われた
  • 攻撃し易さのリストがある
  • 繋がり方へのバリエーション
  • 物理的ハック
  • パーツ取り替え
  • マイコンを付けたり
  • 偽物が紛れ込むタイミング
  • 工場での組み立て時
  • パーツの取り替え
  • 遠隔での攻撃

Distributed Toilet Flush

  • 一斉に水を流す
  • 熊本内なら250万円ほど
  • 約119回Flushすると枯渇

KDDI研究所での取り組み

  • 組み込み系との連携
  • セキュアブート
  • ブートローダがOSのハッシュを計算
  • OSが改竄されてないことを確認してブート
  • 携帯用のものを車載用へ
  • クルマ搭載の通信モジュールでマイコンのファームウェアを更新
  • SIM = Javaカード
  • SIMのアプリ実行領域から鍵を配信してしまったり
  • 適宜認証する必要あり
  • どのように運用していくかも大事

最後に

  • デバイスが暴走しないように
  • プライバシーも実はスケスケ、とかにならないように
  • IoTを支えるインフラまでやる

sweets time

LT

コピペマンを殺す方法

  • by @lmdexpr
  • LT2回目

セキュリティと裁判例について

  • by 吉村将氏
  • どこまでが完成か?
  • 提案書の記載方法
  • 追加作業費用の請求
  • ベンダ側の中止提言義務
  • 契約関係からの離脱
  • 商人の報酬請求

にほんヒトのじんこう

  • by @bamboo_inside氏
  • ヒトは減る
  • 人口分布は時代で極端に変化する
  • 都会と地方の人口差
  • 熊本に都市化計画?

Blue Termite APT

  • by 前田典彦氏
  • 日本を狙った攻撃
  • 自称専門家を見分ける眼
  • piyolog
  • 提言5つ(メモ間に合わず……)
  • やられたところを批難しない

セキュリティさくらを支える技術

  • by greenz_greenz 氏
  • そろそろ次世代へ、とのこと……
  • コンセプト
  • 「何をしたいか」
  • 資金
  • 計画立案
  • 備品管理
  • 告知
  • Twitter
  • 口コミ
  • 人数等調整
  • 引き継ぎ、マニュアルの大事さ
  • ふりかえり
  • 他人との関係

懇親会

  • 3回目(?)
  • LTの題材のおかげか今までで一番多くの人に話をして頂いた
  • 楽しかった

感想

  • やはりLTはするべき
  • しないと学生の僕らじゃ話すこと少なかったりする
  • またしたいけれども少ない枠でどれだけ出来るか
  • 昔やってたKSGみたいなのがちゃんと運用できればいいんだろうけど……