やっほー。前回にTelnetなどに関してまとめますと言いましたが、例によって今回もやりません。後日やります。これはマジ。
今回はウイルスの分類について勉強したことをまとめます。レッツゴー。

• Polymorphic Viruses

アンチウイルスソフトに検出されないように、感染するたびに新たな暗号解読ルーティンを生成するウイルス。

• Stealth Viruses

感染したことを検知されないように、victimのコンピュータが正常であるように偽装するウイルス。

• Slow Viruses

修正時に変更した又はコピーしたファイルにのみ感染するウイルス。オリジナルファイルに影響しないので検出が困難です。

• Retro Viruses

アンチウイルスソフトの機能を停止させてから感染し、アンチウイルスソフトの動作(設定)を変更するウイルス。 凶悪ですね…

• Multipartite Viruses

ブートセクターと実行可能ファイルに同時感染するウイルス。ブートセクタに感染するのでシステムの制御を奪われます。

• Armored Viruses

Armoredとある時点でだいぶやばそうなニオイがしますね。このウイルスはアンチウイルスソフトに自身の位置を偽装します。そのため、追跡やリバースエンジニアリングが困難になります。

• Companion Viruses

このウイルスは実行可能ファイル用にCompanion fileとしてCOMファイルを作成します。COMファイルは実行ファイルに優先することを利用したものです。

• Phage Viruses

リライトコードによりプログラムの削除や破壊を行うウイルスです。
自分のDNAを大腸菌に感染させて増殖する、理科でおなじみT2ファージをイメージするといいかもしれません。

• Revisiting Viruses

メモリ内で自身を複製し、TCP/IP Protocolを用いて他のコンピュータに自身を複製して増殖します。ワームですね。

今回はここまで！
ウイルスには気を付けましょう。

やっほー。前回のエントリで書いた通り、今回はTLS/SSLについて勉強したことをまとめます。

★SSL(Secure Socket Layer)とは？
Socketとあることから通信に関係するものであることは何となくわかります。そしてSecureとありますから、通信を安全に行うための何かであろうという予想はつきますね。
SSLはTCPの上位ProtocolとしてTCP Socketインターフェイスとアプリケーションの間を構成し、authenticity/confidentiality/integrity/non-repudiationの機能を提供します。またUDPをサポートしません。

• integrityを実現する暗号方式

message authentication code HMACを使用。
SHA-384/256,SHA-1,MD5が使えます。

• confidentialityを実現する暗号方式

symmetric key encryptionを使用。
AES/Camellia/IDEA/RC4/RC"/DES3が使えます(versionによります)。

• non-repudiationを実現する暗号方式(Key Exchangeとdigital signatureのための暗号方式)

TLS/SSLを用いたmessageの暗号化用のKey ExchangeはDH,ECDH,ECDHEなど。
Digital SignatureはRSA, DSA,ECDSAなど。
PSKを用いる方式も存在します。

暗号方式に関してまとめましたが、実際にTLS/SSLで選択される暗号方式の組合せは、clientとserverとの通信で決まります。

※TLS/SSLの脆弱性に関して
2014年2月に発見されたheartbleedバグはOpenSSLの特定バージョンに存在します。このバグは、攻撃者がいつでもどこでも何度でも痕跡を残さずにサーバ内のメモリからデータを読み出すことを可能にします。脆弱性はCVE2014-0160,CVE2013-0169,CVE2013-2566です。特に,CVE2013-0169はOpenSSLなどでTLS1.1又は1.2をブロック暗号モードで使うとLucky Thirteen攻撃*を受けうるもので、,CVE2013-2566はTLS/SSL通信にRC4を使うとコネクションから平文を得られるというものです。
[Lucky Thirteen攻撃]
攻撃者がリモートから端数が出るパケットを投げて、TLSがブロック長形成のためにパディング処理を行っているときのメッセージ認証コードの値の計算時間差をタイミング攻撃で統計的に解析して平文回復攻撃などを行うこと。

ここからはProtocolのお話になります。

• FTP(File Transfer Protocol)

そのままですね。ファイル転送用のProtocolとプログラムです。
FTPの通信は制御用(TCP21番)とデータ転送用です。

◎Active Mode
データ転送portはTCP20番。clientがデータ転送用にオープンし待機するportをserverに通知。serverはTCP20番を送信元として通知されたclinet portに対してデータ転送用のTCPコネクションを3 way handshakeで確立します。
【FTP Clientがファイアウォール内の場合】
FTP Serverからの接続要求は拒否される。当たり前ですね。
ファイアウォールを通過するためには、ServerからClientへの【ソースPort=TCP20番、宛先Port=TCP任意】という着信パケットを通過させるようにファイアウォールを設定しなければなりません。
しかしこれは脆弱な設定です。ではどうするのか。もう一つのModeを使います。

◎Passive Mode
Clientがアクセスするときにpassiveであることとデータportを通知して、serverが自身のデータ転送port番号を通知します。その後、clientからserverにデータ転送用のTCPコネクションを3 way handshakeで確立します。clientからinternetの流れなので、脆弱な設定をすることなくファイアウォールにFTPパケットを通過せることができます。

• FTPS(FTP SSL/TLS)

SSLを用いてFTP serverのauthenticationと通信の暗号化を行います。デフォルトのportはTCP990番。暗号化ModeにはImplicitとExplicitの2種類あります。
◎Implicit
FTPS Serverにclientが接続するとTLS/SSL通信を開始します。確かに黙示的ですね。
◎Explicit
clientが認証コマンドを実行してTLS/SSL protocolの選択を行います。コマンドを実行しなければFTPに接続します。確かに明示的ですね。

ではFTPのセキュリティはどうなっているのでしょうか。
FTPの認証は、誰でもアクセス可能な匿名認証とuser-nameとpasswordが要求される基本認証があります。基本認証のuser-nameとpasswordは暗号化されずプレーンな状態でネットワークを流れます。(‼)

• TFTP(Trivial FTP)

これはUDPを用いたconnection-less Modeで動作します。接続時の認証はありません。デフォルトのportはUDP69番です。Protocolが単純なのでアプリのサイズを小型化でき、ネットワーク機器やdisk-lessのコンピュータなどのROMにアプリを搭載可能で、シスコのルータなどに利用されています。

今回はいったんここまで。次回はTelnetなどに関してまとめます。

やっほー。この時間にご飯食べすぎるとこの後眠くなりますよね。

そんなことは置いておいて、前回のエントリ最後に宣言した通り、今回は暗号化処理の機器に関してまとめます。

今回はTPMとHSMに関してまとめます。

★TPM(Trusted Platform Module)
暗号鍵の生成・保管、public keyとprivate keyの生成・保存、デジタル署名の生成と検証、プラットフォームの完全性検証が可能。Windowsのドライブ暗号化機能であるBit Lockerも鍵の保存にTPMを用いる。ハードウェアの処理時間や消費電力、電磁波などの特徴から暗号解読を試みる攻撃に対して情報漏洩を防止。
＜＜＜＜＜主な機能＞＞＞＞＞

• Protected Capabilities(保護機能)

保護領域(Shielded Locations:レジスタ・メモリなど機密性を要求する場所)にアクセスするための権限を持つコマンドセット。鍵の管理、乱数生成、そしてシステムの状態にデータを結びつける役割を果たす。

• Attestation(構成機能)

情報の正確さを確認するプロセス。TPM外の要素がShielded Locations, Protected Capabilities, Root of Trustについて正確さを確認できる。プラットフォームは、自身の完全性に影響する特性の記述の正確さを確認できる。

• Integrity Measurement and Report(完全性の測定と保存通知)

プラットフォームの完全性に影響するプラットフォームの特性に関する計測値を取得し、それらのMessage Digest値をPCRに保存する。Root of MeasurementはRTM(Root of Trust for Measurement)と呼ばれる。Static RTMは起動時を、Dynamic RTMは信頼できない状態から信頼できる状態への推移をRoot of Measurementとする。完全性の通知(Integrity　Report)はPCRに完全性についての計測値を保存する構成証明のための実行プロセス。

• セキュアブート

TPMで起動時にソフトウェアの改竄を検知する。

＜＜＜＜＜TPMで管理される鍵＞＞＞＞＞

• Signing Keys

非対称鍵でアプリケーションデータとメッセージの署名に利用される。移行の可否を設定可能。

• AIK Keys(Attestation Identity Keys)

移行可能なSignig Keys。TPMで作成されたデータやPCRレジスタ値への署名のみに使用。

• Storage Keys

非対称鍵で、データや他の鍵の暗号化・復号に使用される。鍵やTPM外で管理されるデータを暗号化できる。

• Bind Keys

プラットフォーム上で小さいサイズのデータ(ex. 対称鍵)を暗号化し、別のプラットフォーム上で復号するために用いる。

• Legacy Keys

TPM外で生成される鍵で署名や暗号操作に使用後、TPMへインポートされる。

• Authentication Keys

TPMが関連するトランスポートセッション(ホストとTPM間でのデータ交換の際のバスの暗号化)の保護に用いる。

＜＜＜＜＜TPMの特別な鍵(保証鍵とStorage Root Key)＞＞＞＞＞

• 保証鍵(Endorsement Keys)

TPMハードウェアに永続的に組み込まれるPublic KeyとPrivate Keyの鍵ペアで、通常製造時に書き込まれる。Public Keyを使い、正規のTPMかを識別する。プラットフォームの所有者の確立時に所有者許可データの復号とAIK作成に関連するメッセージの復号に使用される。

• Storage Root Key(SRK)

TPMハードウェアに保存される鍵。アプリケーションが作成する鍵を暗号化・復号するマスタ・キー役割を果たす。ユーザがTPMの所有権を取得するときにSRKが作成され、ユーザ設定がクリアされた後に新たなユーザが所有権を取得した時には新しくSRKが作成される。

＜＜＜＜＜TPMに含まれる証明書＞＞＞＞＞

• Edorsement 証明書

EKのPublic Keyを含む証明書。保証鍵が保護されていることを証明する。

• プラットフォーム証明書

プラットフォームにより作成され、プラットフォームのセキュリティ要素が保護されていることを証明する。

• 適合証明書

評価機関により生成され、プラットフォームのセキュリティ特性に関する信用状を発行する依頼人を証明する。

★HSM(Hardware Security Module)
暗号鍵の作成(ハードウェアのRandom Number Generatorを含む)、鍵交換、鍵配送、鍵のインポート/エクスポート、鍵の保管、鍵の破壊(ゼロ化)、改竄の痕跡記録(タンパー証跡)などの管理を行う。

今回はここまで。

hackertarget.com

www.fcc.gov