-
APT — 強力な攻撃組織。どこかの政府の支援を受けていると見られる。
-
IDA Pro — マルウェア解析に用いられるコード分析ツール cf. https://www.sompocybersecurity.com/column/glossary/ida
-
IPアドレスは10進表記できる。
- http://2236777475 は http://133.82.132.3 に等しい。 2236777475=133*(256^3)+82*(256^2)+132*(256^1)+3 であるため。
- Dotless Domain Namesとも関連するが、こちらはセキュリティ上の懸念もあり禁止になった。
-
secret salt ⸺ レコード毎に異なる。
-
pepper ⸺ saltとは異なり、レコード毎の差はない。システムが異なれば異なる。
-
レインボー・テーブル ⸺
-
ストレッチング ⸺ ハッシュ関数を重ねがけする。数千から数万のオーダーで。
-
パスワードスプレー
-
リバースブルートフォース
-
HashCash ⸺ Proof of work. ₿itcoinやanti-spamやAppleの2段階認証などに使われている
-
MITM ⸺ Man-In-The-Middle
-
Alice, Bob, ..., Eve, Mallory, ... ⸺ https://en.wikipedia.org/wiki/Alice_and_Bob 「山田花子」のようなメタ構文変数。名前だけで悪人か一般の利用者かがわかる。
-
SNDL ⸺ Store Now, Decrypt Later. 暗号通信を傍受して記録しておき、量子コンピュータの実用化後に解読する攻撃
-
DNS
- Secure DNS ⸺ DNS over HTTPS(DoH)/DNS over TLS(DoT)/DNSCryptなどの総称 DNSSECとは関係ない。
- DoH ⸺ DNS over HTTPS。HTTPSで暗号化。仕組みはわからないが機密性だけでなく、正当性も整合性(改竄されていないこと)もあるらしい†。そうするとDNSSECの完全上位ということになるがどうもそうでもなさそうな話も。
- DNSSEC ⸺ DNS Security Extensionsの略。電子署名で正しさを確認する。盗聴を防止できない†
- 8.8.8.8に対するBGPハイジャックの話
- トルコのISPが偽Google Public DNSを運用
- https://twitter.com/Xatz/status/1655027088741793792
- https://eng-blog.iij.ad.jp/archives/17668
- http://www.e-ontap.com/dns/osc2013/
- Public DNS + DoHでどのくらいセキュリティが担保されるのか?
-
Free wifiの具体的なリスク ⸺ 暗号化してあっても悪意あるアクセスポイントでMitMされる可能性がある。そうすると: 平文の通信が漏れる(当然)。平文のDNSからアクセス先がバレて次の攻撃に繋がる。偽のDNS応答で偽サイトに誘導されるリスクもあるかも? 独自研究につきTBC. 以前に徳丸先生がTwitterでクイズ出してたような記憶が。
-
CIA ⸺ Confidentiality(機密性) / Integrity(完全性) / Availability(可用性)
-
証明書
-
BGPハイジャック ⸺ 偽のルートをBGPで広報して、対象のIPパケットを吸い込む攻撃
-
TOCTTOU ⸺ Time of check to time of use. 確認のタイミングと使用のタイミングがわずかにずれていることによるバグや脆弱性。 †
Last active
July 7, 2023 08:27
-
-
Save acevif/7d13af7a7d0d8b61228cb88cdb5f13cf to your computer and use it in GitHub Desktop.
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment