[HACK#36 トラフィック解析の回避](https://github.com/careerbeat/dit-ehime/wiki/%E3%83%8D%E3%83%83%E3%83%88%E3%83%AF%E3%83%BC%E3%82%AF%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3HACKS-Wiki-%E7%AC%AC%E4%B8%89%E7%AB%A0-%E3%83%97%E3%83%A9%E3%82%A4%E3%83%90%E3%82%B7%E3%83%BC%E3%81%A8%E5%8C%BF%E5%90%8D#hack36-%E3%83%88%E3%83%A9%E3%83%95%E3%82%A3%E3%83%83%E3%82%AF%E8%A7%A3%E6%9E%90%E3%81%AE%E5%9B%9E%E9%81%BF) [HACK#37 SSHをTorで隠す](https://github.com/careerbeat/dit-ehime/wiki/%E3%83%8D%E3%83%83%E3%83%88%E3%83%AF%E3%83%BC%E3%82%AF%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3HACKS-Wiki-%E7%AC%AC%E4%B8%89%E7%AB%A0-%E3%83%97%E3%83%A9%E3%82%A4%E3%83%90%E3%82%B7%E3%83%BC%E3%81%A8%E5%8C%BF%E5%90%8D#hack37-ssh%E3%82%92tor%E3%81%A7%E9%9A%A0%E3%81%99) [HACK#38 Windowsのバージョンに依存せずファイルを暗号化する](https://github.com/careerbeat/dit-ehime/wiki/%E3%83%8D%E3%83%83%E3%83%88%E3%83%AF%E3%83%BC%E3%82%AF%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3HACKS-Wiki-%E7%AC%AC%E4%B8%89%E7%AB%A0-%E3%83%97%E3%83%A9%E3%82%A4%E3%83%90%E3%82%B7%E3%83%BC%E3%81%A8%E5%8C%BF%E5%90%8D#hack38-windows%E3%81%AE%E3%83%90%E3%83%BC%E3%82%B8%E3%83%A7%E3%83%B3%E3%81%AB%E4%BE%9D%E5%AD%98%E3%81%9B%E3%81%9A%E3%83%95%E3%82%A1%E3%82%A4%E3%83%AB%E3%82%92%E6%9A%97%E5%8F%B7%E5%8C%96%E3%81%99%E3%82%8B) [HACK#39 フィッシングから身を守る](https://github.com/careerbeat/dit-ehime/wiki/%E3%83%8D%E3%83%83%E3%83%88%E3%83%AF%E3%83%BC%E3%82%AF%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3HACKS-Wiki-%E7%AC%AC%E4%B8%89%E7%AB%A0-%E3%83%97%E3%83%A9%E3%82%A4%E3%83%90%E3%82%B7%E3%83%BC%E3%81%A8%E5%8C%BF%E5%90%8D#hack39-%E3%83%95%E3%82%A3%E3%83%83%E3%82%B7%E3%83%B3%E3%82%B0%E3%81%8B%E3%82%89%E8%BA%AB%E3%82%92%E5%AE%88%E3%82%8B) [HACK#40 より少ないパスワードでWebを使う](https://github.com/careerbeat/dit-ehime/wiki/%E3%83%8D%E3%83%83%E3%83%88%E3%83%AF%E3%83%BC%E3%82%AF%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3HACKS-Wiki-%E7%AC%AC%E4%B8%89%E7%AB%A0-%E3%83%97%E3%83%A9%E3%82%A4%E3%83%90%E3%82%B7%E3%83%BC%E3%81%A8%E5%8C%BF%E5%90%8D#hack40-%E3%82%88%E3%82%8A%E5%B0%91%E3%81%AA%E3%81%84%E3%83%91%E3%82%B9%E3%83%AF%E3%83%BC%E3%83%89%E3%81%A7web%E3%82%92%E4%BD%BF%E3%81%86) [HACK#41 Thunderbirdによる電子メールの暗号化](https://github.com/careerbeat/dit-ehime/wiki/%E3%83%8D%E3%83%83%E3%83%88%E3%83%AF%E3%83%BC%E3%82%AF%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3HACKS-Wiki-%E7%AC%AC%E4%B8%89%E7%AB%A0-%E3%83%97%E3%83%A9%E3%82%A4%E3%83%90%E3%82%B7%E3%83%BC%E3%81%A8%E5%8C%BF%E5%90%8D#hack41-thunderbird%E3%81%AB%E3%82%88%E3%82%8B%E9%9B%BB%E5%AD%90%E3%83%A1%E3%83%BC%E3%83%AB%E3%81%AE%E6%9A%97%E5%8F%B7%E5%8C%96) [HACK#42 Mac OS Xにおける電子メールの暗号化](https://github.com/careerbeat/dit-ehime/wiki/%E3%83%8D%E3%83%83%E3%83%88%E3%83%AF%E3%83%BC%E3%82%AF%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3HACKS-Wiki-%E7%AC%AC%E4%B8%89%E7%AB%A0-%E3%83%97%E3%83%A9%E3%82%A4%E3%83%90%E3%82%B7%E3%83%BC%E3%81%A8%E5%8C%BF%E5%90%8D#hack42-mac-os-x%E3%81%AB%E3%81%8A%E3%81%91%E3%82%8B%E9%9B%BB%E5%AD%90%E3%83%A1%E3%83%BC%E3%83%AB%E3%81%AE%E6%9A%97%E5%8F%B7%E5%8C%96) # HACK#36 トラフィック解析の回避 ## 概要 - Torを用いて通信経路を匿名化し、トラフィック解析を回避する<br> ※トラフィック解析：ユーザーがどこからアクセスしたのか、どうやってアクセスしたのかを調べる - 通常の通信経路では発信元などの情報からWebアクセスの全貌を把握でき、通信のプライバシーが保護されていない ## 背景 ### トラフィックとは - 測定対象となっているWebサイト外からの流入を意味する - トラフィックの情報はアクセスログ内のリファラーという情報をもとに作成されている<br> ※リファラー：リンク元のページ - 参照元によって「ノーリファラー」「検索」「参照サイト」に大別される | 種別 | 概要 | | --- | --- | | ノーリファラー | 検索サイトや他のサイトのリンクから辿ってきた情報がない | | 検索 | 検索サイトで検索されてアクセスされた | | 参照サイト | 他のサイトのリンクからアクセスされた | - 上記の情報を細かく見ることで、ユーザの価値観やサイトへ訪れたきっかけを推測することが可能である(トラフィック解析) ### トラッフィク解析とプライバシー トラフィック解析を行われると、サイト運営者側は有益な情報が得られてサイトの改善などに役立てることができるが、利用者側は見られたくない情報まで解析されてしまう可能性があるため、プライバシーが完全に保護できない そこで、Torを用いて真の接続元を隠して、トラフィック解析が行われてもプライバシーに関わる情報が漏れないようにする ## 前提知識 ### Torの仕組み - コンピュータから目的地までの通信経路に、他のコンピュータなどの中継地点(リレーエージェント)を追加する - 通信時に多くのリレーを経由させてリレーにはログを残さない - アクセス経路の出口以外を全て暗号化して、発信源を不明にして匿名性つ - 現在Torネットワークには6000以上のリレーが存在している #### リレーのタイプ 1. ガードリレー(入口):安定して高帯域を持つ 2. 中間リレー(中継):ガードリレーと出口リレーがお互いの情報を得られないようにする 3. 出口リレー(終端)：最終的な目的地にトラフィックを送る ### オニオンルーティング(Torの暗号化ステップ) 1. ユーザーから送信したオリジナルデータを暗号化(出口リレーで解読) 2. ステップ1で暗号化されたデータを再び暗号化(中間リレーで解読) 3. ステップ2で暗号化されたデータを再び暗号化(ガードリレーで解読) Torは上記のように3層構造で暗号化されている その層構造が「タマネギ」に似ていることから「オニオンルーティング」と呼ばれている 下記でTorを用いた匿名通信の方法について解説する ## 確認方法 まずは「Tor」をインストールするための準備を行います 「Tor」をyumコマンドでインストールできるようにするために、以下のファイルを作成して「Tor」に必要なものをまとめたリポジトリを作ります <pre> # vi /etc/yum.repos.d/torproject.repo [tor] name=Tor repo enabled=1 baseurl=https://deb.torproject.org/torproject.org/rpm/el/6/x86_64/ gpgcheck=1 gpgkey=https://deb.torproject.org/torproject.org/rpm/RPM-GPG-KEY-torproject.org.asc repo_gpgcheck=1 [tor-source] name=Tor source repo enabled=1 autorefresh=0 baseurl=ihttps://deb.torproject.org/torproject.org/rpm/el/6/SRPMS/ gpgcheck=1 gpgkey=https://deb.torproject.org/torproject.org/rpm/RPM-GPG-KEY-torproject.org.asc repo_gpgcheck=1 </pre> 作成したらyumコマンドを実施します <pre> # yum -y install tor </pre> インストールが完了したら、「Tor」の設定を行います 開くポートと接続を許可するIPアドレス、「Tor」をデーモンとして起動する設定を行います <pre> # vi /etc/tor/torrc (下記内容を追記する) SocksPort 9050 SocksPolicy accept 127.0.0.1/8 SocksPolicy reject * RunAsDaemon 1 </pre> 設定が完了したら、設定が正しいかを確認して「Tor」のデーモンを起動します <pre> # tor --verify-config # /etc/init.d/tor start </pre> 続いてWebブラウザで匿名通信を行うために「Privoxy」をインストールします 「Tor」だけではDNSリクエストの通信路が匿名化されません ですが、HTTPプロキシを設定すると自力でDNSを解決しないようになります 「Privoxy」は通信路をTorで隠ぺいするHTTPプロキシなので、DNSリーク(DNSリクエストが漏れること)を防げます では、「Privoxy」のパッケージを入手してインストールします <pre> # yum install -y privoxy </pre> 続いて、SOCKS4a(接続要求をリダイレクトする)を用いて全てのリクエストを「Tor」に送る設定を行います <pre> # vi /etc/privoxy/config (1326行目付近に下記を追記する) forward-socks4a / localhost:9050 . </pre> 最後に「Privoxy」を起動したら、一連のインストール・設定が完了です <pre> # /etc/init.d/privoxy restart </pre> では、実際にFireFoxで確認してみましょう FireFoxを起動して、「設定」→「詳細」→「ネットワークタブ」→「接続設定」で「手動でプロキシを設定する」をチェックして、下記のように入力します <pre> HTTPプロキシ:127.0.0.1,ポート:8118 SSLプロキシ:127.0.0.1,ポート:8118 SOCKSホスト:127.0.0.1,ポート:9050 </pre> 最後に、「SOCKSv4」にチェックを入れます 上記の設定で、「Firefox -> Privoxy(localhost:8118) -> Tor(localhost:9050) -> Tor server -> ... -> Tor server -> Web サーバ」という流れでアクセスします たくさんのサーバを経由するのでアクセスに多少時間がかかります FireFoxの設定が完了したら[確認くん](http://www.ugtop.com/spill.shtml)にアクセスしてみましょう まずはじめにプロキシを使用せずにアクセスしてしてください。  次にTorを用いてアクセスしてください。 このときIPアドレスとゲートウェイが変更されていれば、成功です。  最後にTorに加えて、privoxyを用いてアクセスしてください。 このときゲートウェイが変更されていれば、成功です。  このようにTorやprivoxyを使用することで、通信経路を匿名化することができます。 # HACK#37 SSHをTorで隠す ## 概要 - SSHで通信を隠ぺいするためにProxyCommandを用いる - 前のHACKで述べた通りSSHでもプライバシーが保護されていない(ユーザーの素性がみられる) ## 実践 ProxyCommandにより、SSHでTorに接続するようにする ### ProxyCommand プロキシ接続するプログラムを指定して、踏み台となるホストを経由して目的のホストに接続する <pre> ProxyCommand プロキシ接続するプログラム 引数(踏み台となるホスト、ポート) </pre> 下記でTorを用いたSSHの匿名通信の方法について解説する ### 確認方法 うまくいかないので、現在調査中です # HACK#38 Windowsのバージョンに依存せずファイルを暗号化する ## 概要 - TrueCryptを用いてWindowsのバージョンに依存しないファイル暗号化を行う - Windowsのすべてのシリーズで同じ暗号化アルゴリズムをサポートしてないにも関わらず、EFSはそれを利用している - EFSで暗号化したファイルを違うバージョンのWindowsパソコンに移動するためには移動前に復号化しなければならない(EFSの鍵はユーザーアカウントに結びついているため) ## 実践 ### TrueType - 暗号化されるディスク領域(コンテナファイル)内、もしくはディスク装置内全部を暗号化する - 広く豊富な種類の暗号化手法とハッシュアルゴリズムをサポートしている<br> → OSバージョンに依存しない TrueTypeを紹介したが、TrueTypeは開発が終了していて最新バージョンのOSに対応していないので、「BitLocker」を用いたデータの暗号化と復号化方法について解説する ### 確認方法 「BitLocker」は、Windows Vista以降に標準で搭載されているデータ暗号化機能です では、詳細な手順について見ていきます 1. 「コントロールパネル → システムとセキュリティ → BitLocker ドライブ暗号化」を開きます 1. 暗号化したいドライブの「BitLockerを有効にする」をクリックします 1. BitLockerの回復キーの保管に関して、任意の方法で保管します 1. 保管が完了したら、ドライブの暗号化する範囲を選択します 1. 「BitLocker システムチェックを実行する」にチェックを入れて続行します 1. 再起動をして「暗号化が進行中」の旨のメッセージが表示されているので進捗を確認します 1. 100%になれば完了です #### ※2.で「TPM有効化」に関するメッセージが表示された場合は「OK」で終了して、画面左下の「TPMの管理」から設定を確認しましょう(TPMが内蔵されていない場合は下記方法で「BitLocker」を有効にする) 1. 「プログラムのファイルの検索」で「gpedit.msc」と入力し、Enterキーを押します 1. 左のメニューから「コンピュータの構成 → 管理用テンプレート → Windowsコンポーネント → BitLockerドライブ暗号化 → オペレーティングシステム」の順にクリックします 1. 右側のメニューから「スタートアップ時に追加の認証を要求する」をダブルクリックします 1. ラジオボタンの「有効」をチェックし、「オプション」欄の「互換性のあるTPMが装備されていないBitLockerを許可する」にチェックを入れて、OKをクリックします 1. 「プログラムのファイルの検索」で「gpupdate.exe /force」と入力してEnterキーを押します 1. コマンドプロンプトが立ち上がり「ユーザー ポリシーの更新が正常に完了しました。」と表示されて、終了したら完了です # HACK#39 フィッシングから身を守る ## 概要 - SpoofGuardを用いて(フィッシング詐欺やIDNスプーフィングなどの危険性がある)怪しいサイトを判別する<br> ※<b>フィッシング詐欺</b>:なりすまし電子メールを送りつけたり、偽サイトに接続させたりするなどして、クレジットカード番号、アカウント情報といった重要な個人情報を盗み出す行為<br> ※<b>IDN(国際化ドメイン)スプーフィング</b>:文字コードが違うにも関わらず表示上同じに見える文字を利用して、偽サイトにアクセスさせて重要な個人情報を盗み出す行為 - 不正なWebサイトかどうかは高度な技術者でない限り判別が難しい ## 実践 SpoofGuardはサイトの危険性(セキュリティレベル)をトラフィックシグナルインジケータで表示する | トラフィックシグナル<br>インジケータ | 意味 | | --- | --- | | 緑 | 安全 | | 黄色 | 疑わしい | | 赤 | 危険 | 具体的には下記のような観点で判断している - 過去にアクセスした類似ドメインとのディスタンス(どれだけかけ離れているか)を計算 - 不正なドメイン名が含まれていないか - あまり使われないポートが使われていないか etc... 下記でSpoofGuardを用いたサイトの危険性の判断方法を解説する ### 確認方法 ここでは、WindowsのInternet ExplorerでSpoofGuardを使用する方法を解説します まず、[SpoofGuardの公式サイト](https://crypto.stanford.edu/SpoofGuard/download.html)からLightバージョンのSpoofGuard.msiをダウンロードします 次にダウンロードしたMSIを実行してSpoofGuardをインストールします インストール後にIEを起動すると「Warnar Class」アドオンを有効にするか聞かれるので、有効にしましょう アドオンを有効にしてSpoofGuardのツールバーが表示されたら成功です トラフィックシグナルインジケータはツールバーの一番左に表示されます # HACK#40 より少ないパスワードでWebを使う ## 概要 - PwdHashを用いて1つのパスワードを各サイト固有の強力なパスワードに置き換えることでセキュリティを保つ - パスワードはより長くより複雑で、サイトごとに異なるものを設定するのが理想である - 実状はすべてのサイトで共通にしていたり、パターン化してしまうことがほとんどである ## 実践 PwdHashはブラウザの拡張機能として、任意のパスフィールドを読み込んで、強力で固有なパスワードに置き換える ※ <b>強力で固有なパスワード</b> = Webサイトのドメインとユーザーが指定したキーワード(パスワード)を組み合わせた「非可逆的なハッシュ」 上記によってパスワードの記憶機能を使う必要がなくなり、1種類だけを覚えておけばよい PwdHashはブラウザの拡張機能のため、ローカル環境上以外では個別にインストールしなければならないが、Remote PwdHashを用いることで任意のブラウザで強力で固有なパスワードを生成できる 下記でPwdHashを用いた強力で固有なパスワードの生成方法を解説する ### 確認方法 ここでは、WindowsのGoogle ChromeでPwdHashを使用する方法を解説します まず、[Chromeウェブストア](https://chrome.google.com/webstore/detail/pwdhash-port/dnfmcfhnhnpoehjoommondmlmhdoonca)からPwdHashの拡張機能を追加します PwdHashの拡張機能が利用可能な場合は右上のアイコンがアクティブになります アイコンがアクティブで緑のチェックマークが入っているとPwdHashが有効になっています PwdHashの有効・無効の切り替えはパスワード入力エリアを選択してF2キーを押します(パスワード入力エリアの先頭に```@@```を入力することでもPwdHashを有効にできます) PwdHashが有効の場合はパスワード入力エリアの背景が黄色になります PwdHashが有効状態でパスワードを送信すると、強力で固有なパスワードに自動で置き換えられて送信されます(PwdHashを用いてユーザー登録しておく必要があります) 拡張機能が使えない場合は、[Remote PwdHash](https://crypto.stanford.edu/PwdHash/RemotePwdHash/)を使用することで強力で固有なパスワードを生成することができます # HACK#41 Thunderbirdによる電子メールの暗号化 ## 概要 - Thunderbirdに拡張機能「Enigmailエクステンション」を組み合わせて暗号化メールの送受信を可能にする - 通常、電子メールは何も暗号化せずに送受信が行われる - 送受信の途中で他人に情報を盗み見られる可能性がある ## 実践 Enigmailエクステンションを組み合わせた電子メールの暗号には下記の作業が必要である - GnuPG(GNU Privacy Guard)をインストールしてそのパスをEnigmailエクステンションに教える<br> ※GnuPG:メールの暗号化にも使用可能な暗号化ソフト - 公開鍵／秘密鍵のペアを作成して、Enigmailエクステンションに設定する 下記でThunderbirdにおける暗号化された電子メールの送受信方法を解説する ### 確認方法 ここでは、WindowsのThunderbirdで暗号化された電子メールの送受信方法を解説します テキストでは先に「GnuPG」をインストールするようになっていますが、「Engmail」のセットアップ中に合わせてインストールできるのでそちらの方法を採用します まず、[Thunderbird](https://www.mozilla.org/ja/thunderbird/)がインストールされていない場合はダウンロードしてインストールします 次にThunderbirdに任意の電子メールアカウントを設定します 次に右上の「≡」マークを押してアドオンメニューを選択します 「Engmail」アドオンを検索してインストールしましょう 「Engmail」アドオンのインストールが完了したら、「今すぐ再起動する」を押してThunderbirdを再起動しましょう Thunderbirdを再起動すると、「Engmail」のセットアップウィザードが表示されるので、画面の指示に従ってセットアップを進めます 「Engmail」のセットアップの途中で「GnuPG」が必要ですと表示されたら、「GnuPGをインストール」を押してインストールします 鍵生成が完了するとパスフレーズを忘れたときのための失効証明書の生成を求められるので生成します 以上で、インストール・設定が完了しました 新規メール作成時に「Engmail」メニューが表示されていたらインストールに成功しています 「Engmail」メニューで暗号化の設定を行って暗号化メールを送信しましょう # HACK#42 Mac OS Xにおける電子メールの暗号化 ## 概要 - Thunderbirdの「Enigmailエクステンション」のようにMac OS XのAppleMailでGPGを用いて暗号化メールの送受信を可能にする ## 実践 AppleMailでGPGを用いた暗号化メールの送受信を行うためには、「GPGMail」というプラグインをインストールする しかし、その前に下記の作業を行っておく必要がある - 強力な公開鍵暗号によるデータ保護プログラムMac GPGをインストールする - 公開鍵／秘密鍵のペアを作成する ### 確認方法 環境が手元に用意できないので省略します