Embed Size (px)
Citation preview
Laboratory for Dependable Distributed Systems
iPodに搭載
Maxi
millian
DornseifPacSec
2004
Maximillian Dornseif • Laboratory for Dependable Distributed Systems
議題•自己紹介
•Firewire の紹介
•実演
•Firewire によるハッキングの技術的詳細
•Firewire によるフォレンジック
•課題
Maximillian Dornseif • Laboratory for Dependable Distributed Systems
自己紹介•独アーヘン工科大学( RWTH )
•高信頼性分散型システム研究室
•研究員
Michael Becher
Maximillian Dornseif
Halvar Flake
Christian Klein
Laboratory for Dependable Distributed Systems
Firewireの紹介
Maximillian Dornseif • Laboratory for Dependable Distributed Systems
Firewire :歴史的背景•1985 年、米 Apple 社により開発
•1995 年、米国で IEEE1394 (公式規格)となる
• 2000 年、 IEEE 1394a (‘ 95 年版修正規格) をリリース
• 2002 年、 IEEE 1394b (上位規格)をリリース
•米 Apple 社より 「 Firewire 」 または 「 FireWire 」として市場へ
• (株)ソニーが「 iLink 」という名前を付けて市場へ
Maximillian Dornseif • Laboratory for Dependable Distributed Systems
Firewire の特徴
•USB と類似しているが、より高性能なシリアルバス( SB )
•高速
•コンピュータ不要の P2P
•強力
Maximillian Dornseif • Laboratory for Dependable Distributed Systems
主な市場•Apple 社: FireWire のハードを推奨
•1999 年1月以降、デスクトップへ
•2000 年1月以降、ノートへ
•2000 年9月、最後の FireWire 非搭載マシンが出荷
•2001 年10月、 FireWire のキラー・アプリケーションとして iPod が登場
•(株)ソニー : 次項で紹介
•他社 : 多くの上位システムで FireWireを搭載
Maximillian Dornseif • Laboratory for Dependable Distributed Systems
(株)ソニー i.LINK 対応製品
Maximillian Dornseif • Laboratory for Dependable Distributed Systems
その他 FireWire 採用製品 •オーディオ
•プリンタ
•スキャナ
•カメラ
•GPS
•実験用機器
•産業用制御システム
Maximillian Dornseif • Laboratory for Dependable Distributed Systems
今後の発展
Maximillian Dornseif • Laboratory for Dependable Distributed Systems
同じ規格で異なる端子
実演
各種システムの接続
Maximillian Dornseif • Laboratory for Dependable Distributed Systems
Maximillian Dornseif • Laboratory for Dependable Distributed Systems
Maximillian Dornseif • Laboratory for Dependable Distributed Systems
Maximillian Dornseif • Laboratory for Dependable Distributed Systems
技術的詳細
Maximillian Dornseif • Laboratory for Dependable Distributed Systems
統合されたメモリ領域
Maximillian Dornseif • Laboratory for Dependable Distributed Systems
OHCI•非同期機能
•拡張カード (PCI) でオンボードRAM や RAM にアクセスするのに使用される
•物理要求 - CSR レジスタ (OHCI 規格 セクション 5.5) への Physical Read( 物理読み取り)、 Physical Write(物理書き込み)、およびロック要求を含む、物理要求は、システム ソフトのアシストなしでホスト コントローラによって直接処理される。 (OHCI 規格 )
Maximillian Dornseif • Laboratory for Dependable Distributed Systems
OHCI フィルタ• 「 AsynchronousRequestFilters (非同期要求フィルタ)」
“1394 OHCI はホスト メモリと非同期受信( AR )に対する要求コンテキストへの選択的アクセスを可能にする。それによりソフトウェアがホスト メモリの安全性を保つことが可能になる。選択的アクセスは2組の 64-bit レジスタ、つまり物理要求フィルタと非同期要求フィルタによって提供される。これらのレジスタは、ノード IDに基づき物理メモリと AR 要求コンテキストへのアクセスを可能にする。” (OHCI 規格 )
• 「 PhysicalRequestFilter 」レジスタ ( セットとクリア )“ 非同期要求を受信し、その要求が AsynchronousRequestFiltersを通過、さらにオフセットが PhysicalUpperBound 以下である場合(OHCI 規格セクション 5.15) 、要求のソース ID はPhysicalRequestFilter へのインデックスとして用いられる。 PhysicalRequestFilter の対応ビットが0に設定されている場合、要求は非同期受信要求の DMA コンテキストへと転送される。反対にビットが1に設定されている場合、要求は物理応答ユニットへ送信される。” (OHCI 規格 )
Maximillian Dornseif • Laboratory for Dependable Distributed Systems
Read 機能の悪用•任意のメモリロケーションの読み取りが
可能。そのため、以下が実行できる。
•スクリーン コンテンツの取り込み
•文字列のメモリ内検索
•存在しうる キー マテリアルのスキャン
•論理メモリのレイアウトの理解を目的とした、物理メモリ全体の解析
Maximillian Dornseif • Laboratory for Dependable Distributed Systems
Write 機能の悪用•任意のメモリロケーションに任意の
データを書き込める。そのため、以下のことが実行可能。
•破壊•スクリーン コンテンツの変更
•特定のプロセスの UID/GID の変更
•プロセスへのコードの挿入
•追加プロセスの挿入
FireWireによるフォレンジック
Maximillian Dornseif • Laboratory for Dependable Distributed Systems
フォレンジックの分裂•ケーブルを抜き、ディスク分析(事後
分析)を実行
‣プロセス、 Open 接続などを見逃す原因となる
•実行中のシステムにおける情報収集、その後、クリーンなシャットダウンを行い、事後ディスク分析を実行
‣情報収集中に証拠を汚染する原因となる
Maximillian Dornseif • Laboratory for Dependable Distributed Systems
実行中のメモリ ダンプ•ソフトウェアのサポートなしでメモリ
全体をダンプ可能にすることで分裂を解決する
•「 Tribble 」は、 PCI バスの DMA 転送を介して物理メモリをダンプできる特殊のハードウェアである
•Firewire を介して同様のことを実行できれば、ソフトウェアだけで解決できる
Maximillian Dornseif • Laboratory for Dependable Distributed Systems
フォレンジックの課題
•物理メモリのダンプから論理 / 仮想メモリを再構築する経験の欠如
•オープン ネットワーク接続などを発見するには、一連のカーネル構造を解析することが必要
結論
Maximillian Dornseif • Laboratory for Dependable Distributed Systems
保護のために !
•FireWireポートには必ず、完全に信頼できるデバイスのみを接続する
•ドライバ /OS のベンダに FireWireフィルタリングを強く求める
Maximillian Dornseif • Laboratory for Dependable Distributed Systems
フォレンジックに備える•インシデントの影響を受けやすいシス
テムでは、 FireWireポートを確保しておいたほうが良い
•ポートの物理的セキュリティを強化
•FireWire を介してメモリダンプを実行できるようソフトウェアを用意しておく
