How Can I Hack LoRaWAN?

先日，「LoRaWANとセキュリティとあとは細かい話」というタイトルでIoTSecJPにてお話させて頂きました．今回は13時30分から18時半と長丁場でしたね．皆様お疲れ様でした．

初めてブログでLoRaWANのお話をする気がします．正直，まだまだこの分野（特にSDRとか）は私はまだ素人の段階なので少々キョドってしまった気がします．．

本記事ではお話させていただいたスライドの補足から，SDRを利用したハックなどについてもう少しメモを残しておきたいと思います．

さて，早速ですが私が発表したスライドはこちらです．

先程話したスライドになります．
HackRFでLoRaWANのデータの中身を見れました．https://t.co/6HuViG4li8#IoTSecJP

— tokina(ひみつ) (@_tokina23) 2018年9月15日

※当初公開時の資料を更新しています

ruffnex.net

• 補足
  • LoRa Alliance™ and The Things Network(TTN)
    • Member White Paper: End to End Secure LoRaWAN™
  • ARIB STD-T108について
  • SDR(software defined radio) Hacking for LoRaWAN
  • 周波数のトレース？について
  • SDR Hacking for XX
• 最後に
• おまけ

補足

細かいところなどを自分でもう一度調べながら補足します．間違いなどありましたらご指摘ください．

まず，LoRaWAN™は仕様がオープンされていますが，オープンソースではありません．

これは公開版のスライドが間違っていました，ここで謝罪します．ごめんなさい．（発表した資料は修正してありました）．

ですが，実際に利用されているノードやゲートウェイにはオープンソースハードウェアなものも多いです．

また，詳しく述べなかったのですがLoRaとLoRaWANは別ものです．

LoRaというのは物理変調規格のことで，このチップについては非公開となっています．

LoRaWANは無線技術のことを指しています．

LoRa Alliance™ and The Things Network(TTN)

LoRaWANの基本的な仕様はLoRa Alliance™が策定しています．

LoRaアライアンスの公式サイトはこちらになります．

lora-alliance.org

また，仕様書やホワイトペーパーなども提供しています．最新の仕様書v1.1(specification v1.1)はこちらになります．PDFが提供されています．できればこれを翻訳してみたいのですがどんどん更新されるためなかなか・・・，

lora-alliance.org

仕様自体の詳細以外にも，Back-End InterfacesとRegional Parameterについても公開されています．

また，The Things NetworkというLoRaWAN向けのクラウドサービスがあります．実質公式といっても過言ではないほどよく使われており，海外でのプロトタイプ記事などではTTNと略されることが多いです．日本語のページも用意されています．

www.thethingsnetwork.org

また，公開＆非公開も含めて登録されているLoRaGatewayをMapで確認することもできます

www.thethingsnetwork.org

Member White Paper: End to End Secure LoRaWAN™

lora-alliance.org

こんなものが今年の8月にリリースされているのに今更気づきました．

やはり新しい技術だけあって毎回調べ直さないとどんどん新しいものがでてきますね．

こちらの資料はノードとGW間のセキュリティについてまとめています．こちらではKey Management System(KMS)やHardware multiple levels of isolation(実行環境の独立化)について書かれています．

ホワイトペーパーがこうして出されているのは，決まった仕様がない今，セキュリティについて言及されていることから，少しでも急いで出したいという気持ちがあるのでしょう．

たぶん正式に年内には仕様が出るのではないでしょうか．

ARIB STD-T108について

こちらの方の資料が非常によくまとまっているので，ARIBについて知りたい方はこちらをご参照ください．しかし，最新版のARIB STD-T108ではないのでご注意ください．

www.slideshare.net

登壇が終わり，Twitterを開くと

ARIB STD-T108の英語版は無料 https://t.co/EKr0WUMWYE 外圧のため英語は無料で日本人にハードルを課すモデル #IotSecJP

— lumin 求人活動中 (@lumin) 2018年9月15日

ARIBの標準規格類は昔は無料で入手できたけど今は日本語版だけは有料，英語版は今でも無料で入手できるけど日本語版に比べて古いバージョンのことがある #iotsecjp

— NV(*´ω｀*) (@nvsofts) 2018年9月15日

luminさんとNVさん，ありがとうございます．

私がARIB STD-T108を入手したのは今年の2月（割と最新版@20180122が出てすぐ）だったのですが，どうやら英語の最新版が無料で公開されているとのことです．知らなかった・・・．一体いつの間に！！

ほら，ここに”無料ダウンロード”とあります！なんで英語版が無料なのかさっぱりわかりません．足元見てるんでしょうか．

www.arib.or.jp

実はARIB関係は指導教員である教授が強いので，その関係で入手しやすかったです．

SDR(software defined radio) Hacking for LoRaWAN

私「ん～，とりあえずGqrxでLoRaWANの電波みれたけどこれじゃ面白くないなあ．」

教授「なに，これでLoRaWANのデータみれないの？」

（とりあえず調べる私）

私「完璧に理解した」

gr-loraというLoRaWANをデコードしてくれるツールがあるらしいことがわかり，いろいろ調べて今回の登壇内容のデモ＆資料が出来上がりました．

詳しくはわからないのですが，gr-loraというツールには古いものと新しいもの （forkされた？）があります．

2年前からあまり更新されていないものがこちら．

github.com

私が今回試したのはこちらです．

github.com

環境の用意からの詳細についてはまた別の記事にしたいと思います．（近い内に書くぞ）

周波数のトレース？について

「LoRaWANの運用では，実際には複数のチャンネルを行き来するのですが，それらを解析（トレース？）できるのか？」との質問をいただきました．

正直よくわからなかったのですが，LoRaWANでは複数チャネルを利用することについては知っていました．

そもそもClassBビーコンや連送は別の周波数だからです．それらについて知るためには結局Gqrxなどを利用して複数の周波数をモニタリングするしかないのかなあと思いました．

このときは気づかなかったのですが，今になって

「gr-loraを用いたDecodeを行う際に指定する周波数をどうやって知るのか？」

という意図だとわかりました．ちょっとこれについては私も今後試してみたいと思っています．

今回はノードの実装プログラムが手元にあり，使用する周波数がわかっていたので，これが不明な状態であることを前提としたスニッフィングについて検討してみます．

SDR Hacking for XX

SDRは電波を出すものなら何でもいけます．今回御社に貸与頂いたHackRF ONEは1MHz~6GHzまで対応しているので，キーフォブ，LoRaWAN，Sigfox，WiFiなどなんでも（もちろん法律の範囲内で）いけます．私もこれから勉強していこうと思うのですが，手元にあった書籍で参考になりそうなものを紹介しておきます．これ以外にもありましたらぜひ教えていただきたいです．

• IoT Hackers Handbook: An Ultiimate guide to Hacking the Internet of Things and Learning IoT Security (Aditya Gupta)

SDRの基本的な使い方からGNU Radioを利用したDecodeまでの基本が学べます．もし手に入る方がいればぜひこちらを読んでみると良いでしょう．私は以前こちらの本を心優しい方に購入していただきました．とても感謝しています．

• カーハッカーズ・ハンドブック (Craig Smith, 井上 博之)

もちろん，自動車セキュリティ分野でもSDRは活躍（？）します．例のカーハッカーズハンドブックではTPMS（タイヤのモニタリングシステム）やキーフォブのハッキングについても紹介されています．今度これについても試してみたいと思います．

• ハッカーの学校 IoTハッキングの教科書 (黒林檎, 村島 正浩)

また，先日発売されました黒林檎(@r00tapple)さんの「ハッカーの学校 IoTハッキングの教科書」においてもSDRについて紹介されています．ここではSDRを利用したReplay攻撃の方法について見ることができます．SDRについてはちょっとしか書かれていないのですが，IoTハッキングとはなにかを知ることができるのでおすすめです．

最後に

「法律には気をつけて」

今回IoTSecJPではこの言葉がよく言われていました．今回，Decodeには受信しか行っていないのですが，やはりPassiveに攻撃したい場合は送信するしかないですね．そのためにはやはりMy電波室が必要になってくるのでしょうか．

また，今後こうした法律に触れる可能性がある分野をやっていくにあたって，「日本ハッカー協会」が役に立つかも？とluminさんに伺い，ハッカーのはしくれである私も登録させてもらいました．

▼一般社団法人日本ハッカー協会

もっとSDR勉強します！初学者ながら，お話を聞いていただいた方はありがとうございました！

おまけ

白百合さん（@WhiteLily6u6)さんが同日にまとめを書いてくれていますので，ぜひ興味のある方はご一読ください．

whitelily6u6.hateblo.jp