やかんです。

もう25日か!!!

内省。

もっと気楽に学べるはずだ。

やったことについて

サイバーセキュリティ3(授業)(第4回視聴)

  • 通信の安全性について。
  • 遠隔のサーバーにアクセスしてみたい。
    • あ、おれやったことあるわ。
    • エックスサーバーにログインして感動した記憶。
  • 昔は、他のポートも覗き見ることができた?
    • telnetの脆弱性?
  • ftpとかよく分からずいじっていたけど、冷静に考えたらすごいことだよな。
  • ネットワーク上で暗号化する。
    • ポート23番がtelnet?
    • サービスごとにあらかじめポートが決まっているのか?
  • この辺はプロトコルの知識が大事だよなあ。
    • httpによる情報へのアクセスも、ネットワーク中を平文が流れる。
    • SSL
    • TLS
    • デジタル証明書化。
    • トランスポート層で暗号化通信を実現する。
    • アプリケーション層は特に何も変わっていないということ?
  • httpはport80。sshは確か22。
    • ポートに対してコマンドを送る。遠隔サーバーのポート何番に用事があるのか。これを指定する。
  • httpd-access.log
  • ハブを傍受する。
    • 通信がハブを通過する場合は、ハブを押さえておけば良い。傍受できる。
    • で、不正アクセス。
    • 実際、具体的にどうやって傍受するのか分からんけど。
  • 暗号化の思想としては、傍受されても、取られても大丈夫というもの。
    • 盗聴されても大丈夫。盗聴自体の防御は思想に含めない。
    • まあでも、暗号化してても安全ではないらしい。
    • 暗号化通信を傍受することに意味はないから、方針転換。通信傍受ではなく、正規ユーザーから直接情報を盗もうとする。フィッシング攻撃とか。パスワード漏洩のチェックなど。
    • つまり、通信の盗聴は関心から外すということか?
  • ブルートフォースについてもログが残る。
    • このログを利用してロックアウトしたりACLを設定したり、対策できる。
  • 標的型攻撃メール
    • 偽装サーバーを用意して、そっちのサーバーに正規ユーザーにログインさせる。これで情報を取得できる。
    • 偽装サーバーにアクセスしたら終わりだよな。。
    • こういうのは、メール本文を確認することなどが大事。
    • 正規サーバーには、メールの誘導からアクセスするのやめる。てかメールの誘導からアクセスするのは基本的にやめておいた方がいいよな。。
  • パスワードを複雑にって、わかるけど実際面倒だから、別の認証方式を設定する方がいいんじゃないかな。こまめにパスワード変更するのも面倒だし。多要素認証とか。
    • ワンタイムパスワードも、かつては流行っていた。
    • チャレンジレスポンス方式と、S/Key方式の二つがあるらしい。
    • まあ、どのみちサーバーの正当性を確認することが必要、大事になってくる。悪意あるサーバーを経由してしまうと、結構色々意味がなくなってしまう。
  • 公開鍵暗号
    • 暗号化する鍵と複合する仮を別にする。
    • 双方が同じものを対象鍵いったりする。鍵自体が漏洩したら、誰でも復号できることになってしまい危険。
    • 暗号化するときに使う鍵は隠す。これが漏れないように注意。公開鍵は漏れてもまあ大丈夫。なぜかというと、特定の暗号鍵によって暗号化された形式の情報しか通さないようにすれば、いくら復号できても不正アクセスすることはできない。
    • でもこれ、復号されるの嫌じゃない?
    • まあでも、送信者が秘密鍵で暗号化する場合、「これを暗号化したのは送信者だな」という点を担保できる。
  • あるいは、受信を守りたい場合は、公開鍵と復号鍵を入れ替えればいい。送信者しか作れなくするか、受信者しか読めないようにするか。
  • RSA暗号。これは、大きい桁数の素因数分解が高速で容易に行えるようになれば危ない。ビット数を増やして対応。
  • 楕円曲線暗号。RSAよりすくないビット長で同程度の強さ。
  • SSL
    • アプリケーション層とトランスポート層の間で暗号化。webブラウザとwebサーバ間での通信を安全にやりたい。
    • ディジタル証明書を用いてサーバー、クライアントの正当性を相互に認証。多くはサーバー認証のみで利用されるらしい。
    • SSL version3あたりがTLSという規格にされた。名前の問題だ。
    • だからまあ、SSLとTLSはもはや同じと捉えれいいよね。
  • PKI
    • 公開鍵暗号技術
    • CAが必要。
    • 認証局が大事だと。
    • ディジタル証明書って偽造された、あるいは傍受されたら終わりでは?
  • ディジタル証明書がないイコールnot https but httpなのか?
  • 本物サイトとフィッシングサイト、見た目はもう分からんな。ほぼ一緒だ。
    • ディジタル証明書を見る。で、認証局をみる。有償の認証局か無償の認証局かでまずふるいにかけると。
    • フィッシングサイトの場合は無償のものが多い。
  • パスワードマネージャ使っていれば、フィッシングサイトで補完が効かないから、一つの目安にしても良いか?
  • アプリケーション層での暗号化がssh。トランスポート層での暗号化がSSL/TLS。

以下、知りたいこと

  • telnetの脆弱性
  • 他のポートを覗き見ることについて
  • デジタル証明書(公開鍵証明書)について
    • PKI

エンジニア業務

  • M1 mac bookair、コンテナイメージのビルドが、、遅くはないんだろうけど、どれほどM2が速いのかよくわかる、、
  • なんか最近家だと集中できないなー、なんでだろう。まあ、場所を変えればいいだけなんだが。

サイバーセキュリティ3(自学)

セキュリティについて学びたい。まずは脅威を知ることから始めてみる。

まずこれ読んでみる。

GPTとの問答一つ目

GPTとの問答二つ目

  • サイバーセキュリティと国際法の関係面白すぎる。
  • 表現の自由というものがある。が、表現は情報分野での脅威になることがある。
  • FISC安全対策基準というものがある。
    • 「最低限これはやれよ」という基準があるんだ。でもこの辺ってブラックボックスだよなあ。
  • セキュリティと聞くと、すぐに技術的セキュリティが思い浮かぶが、それだけではない。
    • 人的な側面、物理的な側面を忘れてはいけない。
    • 人的な側面おもろいなー、
  • 可用性について。例えば、自然災害などで銀行に人が殺到してシステムが利用できなくなる、というのも情報セキュリティの文脈で脅威と見做される。
    • やばおもろい。
  • 特に面白いのは、情報セキュリティ、サイバーセキュリティが技術的側面に完結しないことだよな。
  • サイバー空間での出来事は世論とある種隔絶されている気がしてきた。
    • これ、学部でやる政治学とかその辺が全然通用しなかったりするんじゃないかな。
    • 国際法的な、国際政治的な秩序とか、別次元のものとして考えられそうな印象。
  • セキュリティについて考えるためには、守るべき情報資産として何が存在しているのか把握することも大事だよな。
  • HPを持つ、あるいはwebアプリケーションを作成することは今めっちゃ簡単。でも一方で、セキュリティ対策をしっかり行うことは難しい。むずくはないのかもだけど、コストがかかる。
    • 最悪の場合、自作のwebアプリケーションがマルウェアの感染源になってしまう可能性もある。
  • ケーススタディとして、「デプロイ後のwebサイトの運用を怠った」ケースを考えてみる。
    • 使用しているツールのアプデがされない → 脆弱性を悪用される可能性あり。
    • バックアップをサボる → データが吹き飛んだらアウト。
  • webサイトの乗っ取りは、具体的にどのように行われるのか。
    • ブルートフォース攻撃。確かに。
    • SQLインジェクション。webサイトの全てを乗っ取ることはできないが、一部不正に書き換えるなどが可能だよな。
    • まあでも、アドミン権限的なやつが渡らなければ、完全に乗っ取られることはない。
  • ドライブバイダウンロード攻撃こわ。
  • 攻撃手法ありすぎだろ。。凄まじいな。
  • formタグのaction属性は、formの内容が送信される先のURLを指定する。そのURLに何のメソッドでリクエストを送るかをmethod属性で指定する。
    • POSTの場合はbodyに含まれる。
    • GETの場合は、クエリパラメータとして送信される。
    • action属性を省略した場合、formの内容は同じページ(URL)に送信される。GETメソッドの場合はクエリパラメータに含まれる。POSTの場合はどうなる?今いるページにもう一度リクエストが飛んで、bodyに値が含まれる。
  • てことは、XSSはみんなGETメソッドなのか?
    • そういうわけでもないらしい。まあ、とにかくエスケープしないとダメというわけだ。
  • ひょっとしてだけど、URLの意味がわかる、URLという言葉がわかるというのってめっちゃ大事なことなのではないだろうか。
  • URLのデコード時に、文字列を適切にエスケープすることも大事。もちろん、ユーザーがフォームに入力した内容をエスケープすることは大前提。
  • 抑止には2種類ある。拒否的抑止と、懲罰的抑止。後者については、攻撃者が特定されないと機能しない。でもこれ、国を跨いだりするともう困難だよなあ。そもそも、他国の個人を特定してもいいの?みたいな。
    • となると、現状、拒否的抑止に注力する方が良かったりするのかな。

統計学(自学)

  • 正規分布に従う複数の確率変数の和は正規分布に従う。
  • 標準偏差をサンプル数の平方根で割ったものが標準誤差。
    • 標準誤差はスケールに依存するから注意。
    • スケールの影響を無くしたい場合は、変動係数などの統計量を用いるのが良い。
  • 中心極限定理便利すぎるだろ、、
    • 今までは求められなかった事象に対する確率が求められるようになるの、シンプルに嬉しい。
  • 二項分布よりもベルヌーイ分布として考えた方が中心極限定理と相性がいい気がする。
    • 別に二項分布でも計算はできるんだけど、サンプル数が多くなるとシグマ計算が面倒すぎる。

ということで、今日などの日記終了。最後までお読みいただき、ありがとうございます。