http://internet.watch.impress.co.jp/cda/event/2006/05/15/11957.html
鵜飼氏の講演まとめ
(1)組み込み機器にデバッグピン残すな!
(2)ファームの脆弱性検査徹底
組込も経験したけど、どうしてもCとかASMの低級寄りになるし
オーバーフローも起きやすいよなぁ。あとは納期が短い、
商品の賞味期限が短いこともあり、検査に時間が割けないってのもあるよね。
(そういうスケジュール自体がおかしいんだけど…)
昔はファームの更新なんて出来ないから、ファームで不具合出すと、
製品回収なんてことになるしね…。
でもまぁ、考え方だけど、組込Hackって出来る(環境に居る)人間の絶対数が
その他のソフトのそれとかなりの差があるんじゃないかな。
つまり
Windowsのソフト解析できる人 >> 組み込み解析できる人
が成り立ってるから、同じオーバーフロー脆弱性でも
危険度の関係が
Windows >> 組み込み
になるのではないかな…。
Windowsやlinuxなどでは解析ツール(ollydbgとか)は簡単に手に入るし
それこそ解析本とかもあるけど、組み込みではデバッグピンに
ICE繋ごうにも、ICE自体が10万とかするしね…。
何かの組織とかならわかるけど、個人でそこまでやるかな…。
