9/15 io日記
TryHackMe: zip2john
zip2johnツールは、パスワードで保護されたZIPファイルをJohnが理解できるハッシュ形式に変換するためのもの。パスワードで保護されたZIPファイルを入手した場合、まずzip2johnでハッシュに変換し、その後Johnツールを使ってパスワードをクラックする。
アルゴリズム
ハッシュを使えば探索時間はO(1)で済むため、全体の計算量をO(n)に抑えたいときなどに効果的。削除や追加もO(1)で処理できる。
暗号化
暗号化は大きく3つに分けられる:
通信路の暗号化: SSL証明書を使った暗号化(例: HTTPS)、中間者攻撃の防止。
クライアントサイドの暗号化: クライアントで暗号化・復号を行い、サーバーでは暗号化を解除しない。
サーバーサイドの暗号化: サーバーで受信後に暗号化し、送信時に復号する。
AWS KMS (Key Management Service)
AWSでの暗号化は主にKMSを使用。対称鍵と非対称鍵の使用が可能。4KB以上のデータを暗号化する場合は、エンベロープ暗号化(暗号鍵をさらに暗号化)を使用。KMSはリージョンごとに固有。
Base64の仕組み
バイナリデータ(数値)を扱いやすくするために、テキストデータとして扱えるようにする仕組みがBase64。通常8ビットで区切るところを6ビットごとに区切り、64種類(A-Z、a-z、0-9、+、/)のASCII文字列に変換する。Base64は暗号化ではなく、形式変換。
AWS SSM (Systems Manager)
SSMは設定項目や情報を安全に管理するための階層構造のサービス。例として、LambdaからgetParametersなどで安全に呼び出しが可能。
AWS Secrets Manager
SSMより後発のサービスで、数日ごとの自動ローテーションが可能。主にRDSと連携して、データベースのユーザー認証情報を自動でローテーション管理する。
AWS CloudHSM
よりセキュアなハードウェアセキュリティモジュール。AWSが暗号鍵を保存するための専用ハードウェアを提供。
AWS Shield
DDoS(大量のアクセスをしてターゲットをダウンさせる)攻撃に対する対策サービス。レイヤー3、4(TCPなどネットワーク層)に対応した脆弱性対策。
AWS WAF (Web Application Firewall)
レイヤー7(HTTP)レベルの脆弱性対策を行うファイアウォール。
Amazon GuardDuty
機械学習アルゴリズムを使用したインテリジェントな脅威検出サービス。CloudWatchイベントルールと連携し、VPCフローログ、CloudTrailログ、DNSログをインプットとして使用。
Amazon Inspector
EC2インスタンス向けの自動化セキュリティ評価サービス。SNSトピックへの通知も可能。
Amazon Macie
AWS内のセンシティブデータ(個人情報)を検出し、データセキュリティを提供するサービス。警告機能も備える。
AWS責任分担モデル
AWSの責任: クラウドセキュリティ、インフラの保護。
ユーザの責任: ゲストOSや内部管理(例: EC2インスタンスの場合)。
