「ブルートフォース」を含む日記 RSS

はてなキーワード: ブルートフォースとは

2021-05-21

結果は同意だけど、理由は違う。

https://anond.hatelabo.jp/20210520175754

各自治体単位で見れば数万人分の規模だが、国家規模とすると高齢者は数千万人いる。

国の機関ハンドリングする事は到底不可能で、普段から地方自治体業務委託している為、急に自治体横断的なシステムを作ったら、どうしても「善意入力」に頼らざるを得ない。

地方自治体毎に作るのは、手動でやってるロードバランサだと思ってほしい。それでも駄目設計だとシステム障害は起きるけど(なお、サーバとしては分かれているかもだけど、各地方自治体障害が起こっているのは多分導入されているシステムは同じものである可能性はある)。

法律関連の話は、どうせ各自治体で業者に出している事もあり、座組をちゃんとやるだけで法律改正必要なく出来る。厚生労働省経由で防衛省業務委託したら、予防接種法範疇で出来るよ。

問題あくまでもシステム実装する上でのデータ提供形式リアルタイム性、複雑性にある。大規模接種会場という、各自治体に関係のない接種会場を五月雨で作る形であり、これが自治体横断的に機能すると、関東地方くらいしか意味ねえだろうって規模のユーザ利用なのに、なぜか全国民分の情報を取り込まなきゃいけなくなるという事になり、それは無茶よね。

かといって、マイナポータルAPIとかは、あまりにも広い範囲やばい情報を引っ張ってこれる為、うっかり乗っ取られないようマトモなセキュリティ対策必要になる。

まあ、なんつーか、古い掲示板発言編集するのに番号を発行したように、予約番号で出来ればよかったかもなと思うが、ブルートフォースに耐えられるくらいの長さの数字を、更に高齢者に覚えさせるのというと正直無理だ。

現実的には、「予約していると優先される」くらいの感じのシステムで十分とする他ないかと。

2021-05-19

大規模接種はどうすればよかったのか?

じゃあよ、防衛省はどうすりゃよかったんだよ?

※今政権がクソで準備不足なのは自明なので、突然メテオフォールが降ってきたらという観点からです

前提条件


はがき送りつけ

「○日〜○日の間に来てください、嫌なら希望の日の当日整理券を受け取ってね」って葉書を送りつける。

これだと、当日準備するワクチン数と、確保すべき医療者数が不明になる。

1週間くらい回せば、実績から予測できるようになるだろうが、いくぶん医療者とワクチン無駄になりやすい。

あるいは、当日整理券を受け取っても、当日中の接種を約束せずベストエフォート方式にすれば、なんども並ばせることにはなるが、ワクチン無駄にならない。

データ提供をうける

自治体から発行済接種番号と生年月日のペアデータ提供を受けて、接種番号をIDとし、生年月日を仮パスワードとして登録し、認証システムとする。

この場合5月中開始に間に合うかどうかは自治体任せになる。確実に今よりは遅れる。

また、対象自治体が拡大するにつれて、対応が非常に煩雑になる。

そのうえ、これでもまだ安全とは言えない。

たとえば、65歳で3月3日まれの人は、都内に必ずいる。なので、"19560303"という仮パスワードについて、所詮10桁の接種番号に対してリバースブルートフォースをかければ突破できるであろう。

しかしまあ、それならそれで、券面もって窓口で対応とかもできるし、今よりはだいぶ愉快犯への耐性は強いが。

来る者拒まずベストエフォート方式にする

当日整理券のみ、準備するワクチンの数と確保できた医療者次第で、発行する整理券数を調整する。

謎の外国人が並んで小遣い稼ぎを始めるのを防ぐため、整理券発行段階で券面を確認する必要があり、整理券を受け取るのに結構並ぶことになる。

整理券を受け取ったあとは、Webで進み具合を確認できるようにすると◎。

また、スープがなくなり次第閉店のラーメン屋のように、並んだのに接種できない人、前日から並ぶ人も出てくるだろう。

だがまあ、それは現場力でカバー

もっと工数が少ないパターン

いかがでしたか

今のシステムで、いたずら予約が頻発すると、結局必要ワクチン数や医療者の数が予測できなくなってしまい、予約の意味が薄れてしまう。

でも、いたずら予約、そんなに頻発しますかね?1人2人、見せしめ逮捕すれば、ほぼ誤差みたいになるんじゃないかと思うんで、別に今のままでもいいと思っています

また、どうせ自治体主導でのワクチン接種もあるんで、個人的にはベストエフォート方式でもいいと思っています

あなたの考えた最強の座組み、待ってるぜ!

2020-11-07

会社ノートPCの紛失があったらしいけど

暗号化してるから大丈夫とか言ってるけど、

暗号といっても結局パスワード入力して解除するんだから

ブルートフォースでいつかは破られるよね。

そこんとこ分かってるのかなうちの情シスは😜

2020-11-02

大企業のDX状況を教えるよ!

大企業に勤めてるよ!

みんな絶対に知ってる日本トップクラスっていうかある意味トップ企業だよ!

もちろんDXをゴリゴリに推進しているし「DX」と名の入った部署まで作って本気だよ!

そんなうちの会社の最新のDX事情を教えてあげるYO

もちろんDaaS

社内システムはもちろんDaaSDesktop As A Service)を使ってるよ!

要するにリモートデスクトップだよ!

社内全員がDaaSを利用するんだけど負荷を抑えるためにWindowsインデックスサーチはOFFにされてるよ!

なのでファイル検索はめちゃくちゃ遅いしOutlookメール検索死ぬほど遅いよ!

おまけに一人あたり20GBの容量しか使えないよ!でも基本的メールのやりとりだからメールだけで使い切るよ!

え?使い切ったらどうするかって?もちろん、古いメールは削除だよ!

なんで20GBしか使えないのか聞いたら、「平均して20GBしか使ってない」んだって

ってことは平均以上の半分の人は見捨てられたんだね!

スマホに入ってるmicroSDですら128GB使えるけどね!

ちなみに不正防止の観点メール等の証跡は全部別のサーバに蓄積されているよ!社員からは見えないけどね!

あと、インデックスサーチOFFにされてるけど、結局はセレロン並の遅さだよ!

ファイル暗号化

ファイルは全部暗号化されているよ!

からUSBで持ち出しても外では開けないよ!セキュアだね!DaaSからUSBさらないけどね!

ちなみに暗号化の解除は社員なら了承無しで誰でもできるよ!不便だもんね!

本当に危ないファイルzipパスワード独自に付ける人が多いよ!

でもほとんどの人が4桁数字しか使わないしzipパスワード付けてるだけだから

困ったときブルートフォースして一瞬で開けるよ!便利だね!

もちろんリモートワーク対応

コロナより前からリモートワークしてたよ!

からリモートワーク環境バッチリ

DaaSにつなぐためにVPNを張るよ!ワンタイムパスワード保護してるからセキュリティバッチリ

ちなみにこのVPNDaaSサーバしか繋げないVPNだよ!

DaaSにはTLSアクセスするんだけど、念の為VPNで更にセキュアにしてるよ!

そのせいでVPN繋ぐとトラフィックがそっちに吸い取られてインターネット通信できないよ!

キーロガー仕込まれてたとしても安心かもね!後で送信されたら一緒だけどね!

ちなみにコロナときVPNへのアクセス集中でみんな仕事できなくなったよ!DaaSは余裕があったけどね!

Web会議バッチリ

社内システムWeb会議システムがあるからリモートでも会議可能だよ!

DaaS上でしか使えないかラグエコーがひどくて結局現地で開催されている会議を聞くだけのツールになってるけどね!

最近流行りの最先端Web会議システムも使うよ!

なぜかZOOMは初期の頃に猛烈な反対にあって使用不可になったけどね!

DaaS上でしか使えないか映像ほとんど無理だし音声もエコーだらけだけどね!

からみんな自分携帯ログインして画面共有のために二重ログインしてるよ!

メールはもちろんPPAP

メール添付ファイル付けるともちろんPPAPパスワードZIP送付、パスワード送付、暗号化プロトコル)してるよ!

しかも送られるのはZIPじゃなくて自己解凍exeだよ!

exe送れないこと多いからex_にしてから送って、受け取り側でexeにして実行してもらうよ!

ZIPソフト無くても解凍できるなんて親切だよね!

4,5年前はこの状態だったけど、これは流石に修正されたのかな?実際に送られたファイルを知らないからわかんないね

標的型メール訓練もバッチリ

最近話題標的型メールへの対策完璧

定期的に訓練が実施されているよ!

「訓練が実施されるのでうっかり開いた人は報告してね」

っていうメールが事前に来るよ!親切だね!

訓練メールはだいたいWorddocファイルが付いていて開封したらHTTPリクエストが飛ぶ仕掛けで開封たかどうかが分かるよ!

ちなみに受け取っただけなら報告はいらないらしいよ!

この時期に本当の標的型メールが来てたらどうするんですか?っていう質問の回答は未だに返ってこないね

周知メールは周知ページへのリンク

社員への周知がある場合は、周知ページへのリンクメールされてくるよ!

たとえどんなに些細な周知(社長挨拶に来ます、とか)でもリンクメールされるよ!

リンクを踏むとIE9が開いて貧相なページが表示されるんだけど、そこにもまだ内容はないよ!

貧相なページの下に更にリンクがあって、Wordファイルダウンロードされるよ!

Wordファイルダウンロードして激重のDaaS開封すると

社長が○月○日に挨拶に来ます

だけ書いてあるよ!

稼働管理の多重化

社員がどれだけ働いてるかの稼働はしっかり管理されてるよ!

勤務表に投入するだけじゃなくて、どういう作業をしたかの稼働までちゃんと入れるよ!

別々のシステムから同じ内容を入れるんだけどね!

毎日15分単位で始業開始時刻と終業時刻と休憩時間を入れるよ!

ちなみに2つのシステム業務時間に誤差があると物凄く怒られるよ!

最近知ったけど日々の業務時刻はどうでもよくて合計しか見てないらしいけどね!

チェックシートエクセルシート

信じられないぐらいチェックシートをたくさん用意して不正防止に努めてるよ!

鉛筆一本買うだけでもとんでもないチェックをしないといけないよ!

チェックが多すぎて誰もチェックしないっていうのが常態化してるよ!

あ、ダブルチェックトリプルチェックは当たり前なので、責任希薄になってやっぱり誰もチェックしないよ!

ちなみに事件は頻繁に起きてるよ!だって、肝心のシステム側がザルだからね!

ペーパーレス

チェックシートは前は紙にサインだったけどペーパーレス化が進んだからPDF保存になったよ!

様式の見た目は印刷物と同じだからすごく入力しにくいけどね!

おまけにファイル暗号化されちゃうので検索で引っかからないよ!

ファイル名で検索するしかいから、ファイル名を間違えてると内容が合ってても後ですごく困るよ!

あと会計に少しでも関わるもの絶対にペーパーレスにならないよ!

領収書原本いらなくなったって何回言っても原本保管から変わってくれないよ!

飛行機領収書とかPDFダウンロードしてきて印刷して保管してるよ!

肝心の半券は不要からやろうと思えばPDFダウンロードした後にキャンセルできるけどね!

パスワードログイン

業務で使うサーバログインするとき共通アカウント共通パスワード常識だよ!

だいたいのパスワードアカウント+1234みたいな感じだよ!

この前、公開鍵設置して秘密鍵ログインしようとしたらなぜか弾かれてて、よく見たらわざわざOFFにしてあったよ!

公開鍵認証の話をしたら「は?なにそれ?」みたいな顔をされたよ!

あ、もちろんパスワードの定期変更は推奨されてるよ!

社内システムも3ヶ月でパスワード変更しないといけないよ!

コミュニケーションツールの導入

なんと今流行りのチャットコミュニケーションツールが導入されたよ!

グループ会社が作った肝入りソフトだよ!

社内のDaaSからアクセスできるけど、社外からアクセスできないほどセキュアだよ!

でもでも、スマホアプリなら社外からでもアクセスできるよ!よくバグで落ちてるけどね!

定期的な人事異動

今のようなことを情シスに言っても何も変わらないよ!だってほとんど素人からね!

3年で人事異動メンバーが入れ替わるから、それまで問題を起こさないために何もしないよ!

おわり

こんな感じでDXを進めてるよ!

もちろん客先では「うちは最先端のDXやってます」って言ってるよ!

胸が痛いね

追記

なんか知らんうちにめっちゃのびててビビってるよ!

フェイクをちょっと混ぜといてよかったよ!本当は「社長挨拶に来る」じゃなくて副社長だよ!

割と酔った勢いで書いたから今読み返したら意味わからんだろう内容があるのはごめんよ!

どこの会社か教えてほしい

教えられるわけないよ!

これDXじゃなくね?

ごめんね!そうだね!ガチDX施策のクソさも書きたいけどさすがに身バレするね!

本当に書きたかったのは社内システムこんなクソなのにもっとDXしよう!って言ってるシュールさと

社外的に「DXしましょう!うちはプロですから!」って言ってるとこだよ!

こんなにいろいろやっててえらい

つぎ足しつぎ足しの秘伝のシステムになってるのが問題だよ!

もはや全部変えると予算がつかないからこんなことになってるよ!

でもたぶん全部MS社にしてOffice 365OneDriveにしたら問題の8割は解決しそうだよ!

付き合わされてる下請けとかかわいそう

この辺のシステム請けてるのがそもそもグループ会社ってのが日本一般的大企業だよ!

そこで働いてる人はおじいちゃんばっかりで若者はみんな派遣だよ!

この辺のシステム最適化されると派遣が切られちゃうから下請けはたぶん喜んでるよ!

おわりのおわり

みんなの会社はこんなにひどくないと信じてるけど

DXとか言うなら社内システムちゃんとしようね!

人差し指タイピングする人(結構多い)にちゃんタイピング教えてあげてね!

2020-09-12

[]2020年9月11日金曜日増田

時間記事文字数文字数平均文字数中央値
00636841108.645
0143298669.435
02759293123.936
0330242680.927
04273021111.949
05152695179.771
06274365161.776
07636945110.242
08606444107.445
098912415139.558
10163944858.035
111371205888.048
121691141667.635
1311813971118.455.5
14778987116.745
15100981998.241
1692746481.135.5
1784593570.734.5
18144978067.935
1911013705124.643
2011817251146.227
2116829757177.138
2214821159143.030
2312813714107.131
1日2248241895107.639

本日の急増単語 ()内の数字単語が含まれ記事

女性棋士(3), 天一(8), ロックフェラー(3), コモロ(6), tumblr.(3), PUDO(3), クリスマスツリー(3), ロ座(4), 競走(4), ブルートフォース(3), Map(3), ワンタイムパスワード(3), 大麻(19), 出生(12), 菅(10), 最高裁(6), 盗ま(7), 口座(11), タワマン(6), 銀行(19), 税(9), 手足(5), ネタバレ(11), 高学歴(10), 天(8), 接続(7), 支持率(8), 増税(13), 消費税(22), 反(12), 上位(12), 登録(17), 支え(10), 違法(10), 生理(9), 把握(11), ちんぽ(9), 運用(10)

頻出トラックバック先 ()内の数字は被トラックバック件数

■夫が赤ちゃん過ぎてキモい /20200911024025(41), ■3大「季節限定でなく年中売れや」食べ物 /20200910180518(14), ■「レンジでチンする」みたいな言い回し 教えて /20190910220907(14), ■総理名言集 /20200910213757(13), ■インターネットキッズに対する「OOしてそう」という罵倒が好き /20200911140808(11), ■FAX問題の件 /20200911083630(10), ■女は「でも」って反論してくる男が大嫌い /20200911010118(9), ■はてブを使わなくなってみて、このサービスがどれだけ偏ってるか実感した /20200911111852(9), ■買い物バッグの中で寿司パックが倒れる /20200911183138(9), ■天一好きな人いる? /20200910175449(8), ■子供に対するネットリテラシー教育について /20200911082344(8), ■騎士紳士に替えると面白い言葉 /20200911181547(8), ■立憲民主党もしんでくれ /20200911210218(7), ■ブコメ、すっかり無意味になったな /20200910011129(6), ■腐女子お気持ち文書いてみたい /20200910105134(6), ■まともな政策が出来ないのか /20200911103914(6), ■はてブ意味わかんねえよ!!!! /20200910165303(5), (タイトル不明) /20200911142405(5), ■VTuber 楠栞桜さんのファンによる言論統制もどきへのお気持ち /20200911131435(5), ■まさか優生思想反対派って競馬血統全否定? /20200911110245(5), ■大麻について /20200911210917(5)

2020-09-11

リバースブルートフォース」って言葉を覚えた人々が嬉しそうに振り回してるのを見て楽しそうだな……ってなってる

anond:20200911085806

何らかの原因で暗証番号を把握していたのか、リバースブルートフォースたまたまヒットしたのかも確定ではないよ

確定しているのはこれだけ

犯人システム脆弱性をついて、何らかの手段他人の口座を自分ドコモ払いにひもづけてお金を抜いたこ

・よくよく見たらサービス設計自体に重大な問題があり、リバースブルートフォースによる攻撃現実的に実現可能であったこ

ドコモ口座事件、誰がリバースブルートフォースアタックって言い出した?

「推測情報」と「確定した情報」を区別できない人多すぎて凄い。

誰も突っ込まないかデマという話も出ない。

確定していること

犯人は、被害口座のうち、最低限

を把握していた。この情報を使ってdアカウント新規作成、そのままドコモ口座に銀行紐付けしてチャージした。

推測でしかないこと

この2つは「ありえない」わけでは無いが、「確定」したわけではない。

よく勘違いされること

ドコモ口座の口座振替サービス画面からアタックされた、とはどこも報道していない。

ちなみに、リバースブルートフォースアタックするにはドコモ微妙であったりする。dアカウント名前簡単に変えられないからだ。

もしやるのであれば、他の口座振替サービスを使うもの経由で行うだろう。PayPay、メルペイあたりがそうだ。

そもそも口座振替サービスへ遷移するときに名義を変えてしまえば通るとか、そういうやり方もある。「口座振替サービス」で対策してたかどうかでしかない。

メルペイ使えばもっとバレずにお金抜けるんでは?

ついでに、所有口座すべての口座振替登録しているサービスの一覧を銀行に出してもらったほうが良い。(普段行う業務ではないので、銀行側が簡単に出してくれないのだが)

もし自分犯人なら、他のサービス連携している。特にメルカリ(メルペイ)は連携行うだろう。

「メルペイスマート払い」を使えば、通帳に記載させることなく数万円程度の金を借りられてしまう。

メルペイにまともな住所を登録してないだろうから、メルペイ側が口座振替強制回収するか、債権回収系ルートで初めて知ることになる。

しかすると、ドコモ口座事件犯人以外はこっそりこの方法で抜いているかもしれない。

2020-09-10

金配りおじさんの罪

実際に現ナマ配ってるおじさんが実在してるんだから

Twitterで「金配りまーす」って言えばそれなりに引っかかる人がいるだろうし

それで口座番号・名義は普通に集められるんだろうなと

あと何かひとひねりすれば暗証番号も抜けるんじゃないか

ブルートフォースなんてしなくてもこういうので集めたリスト使ってるんじゃないかなあ

婚活におけるリバースブルートフォースアタック

1.付き合いたいなあと思う異性を見定める

2.少しダイエットしようか、新しい服を買って見た目を良くしよう、気に入ってくれそうなお店を探して食事に誘おうと色々工夫する

3.何度もアタックしたせいでキモがられて、相手ロックされる

ブルートフォースアタックでは非常に効率が悪いので、婚活でもリバースブルートフォースアタック活用すべきなのではなかろうか

「41歳年収480万円、中肉中背ちょっと小太り、好きなAV女優は波多野結衣です」と自分の条件を固定したうえで、その条件を良しとする女性に総当たり

こうすることでより多くの男女が結婚出来るような気がするんだけど、こういう方式の紹介所とかないの?

リバースブルートフォースってどうやって対策するの?

ログイン認証日本国内IPのみ許可するくらいしか思い付かないんだが

いや同一IPから連続ログイン許可しないとか、同一パスワードから連続ログイン許可しないとか、他にも考えたけど実効性がないか著しく利便性を損なうおそれがあるものばかりだ

2020-09-09

ドコモ口座の流出元って定額給付金関連では?

定額給付金で口座番号・名義人の情報が大量に集まったので

そのリストをもとにリバースブルートフォース仕掛けた説

作業の人手が足りなくてバイトに手伝ってもらったりしてたし

数千ある全自治体が口座情報きちんと管理してるとは思えん

被害者自治体に偏りがないか調べるべき

2020-08-31

https://anond.hatelabo.jp/20200830172134

正規の陽性登録件数がたったの累計517件(8/31 17:00時点)のところに平均試行回数5000万回のブルートフォースを仕掛けて怪しまれないと思うか?

2020-08-30

新型コロナウイルス接触確認アプリ(COCOA)で攻撃できる問題

はじめに

#COCOAボランティアデバッグ に尽力されている皆様に深い敬意を表します。

併せて、 OSS コミュニティへの悪影響を残している関係行政機関・各社担当者を強く軽蔑します。

project dead? · Issue #773 · Covid-19Radar/Covid19Radar · GitHub

COCOA が抱えるアプリケーション設計上の問題点

攻撃者が COVID-19 感染者になりすまして「陽性情報登録」を比較的容易に行える設計であること
接触記録の条件である「概ね1メートル以内で15分以上」の距離条件を大きく逸脱している可能性があること

(注) これはアプリケーション固有の問題ではない( Apple-Google API問題)が、前項の問題点と併せることで脅威となりうるので便宜的に示しておきます

COCOA が抱える運用上の問題点

※一部で報じられている「保健所から COCOA への陽性情報登録必要な処理番号が即日発行されない」などの問題もありますが、ここでは省略しま

上記で挙げた問題点悪用することで行えること

※以下はあくまシミュレーションであり、 COCOA悪用助長する意図はありません


かい説明や具体的な表現は控えましたが、この攻撃を仮に受けたとして致命傷に近いダメージを受ける事業者は少なくないと思います

事業所単位COCOA の導入を推奨している管理者直ちに見直すことを推奨します。

まとめ

本日より COCOA の導入を促すテレビCMが放映されているようです。( #検察庁法改正案に抗議します で一躍有名になったきゃりーぱみゅぱみゅ氏などが出演されているようです)

一方で COCOA アプリケーションリリース2020年7月13日リリースされた v1.1.2 を最後アップデートが途絶えており、不具合ととれる多数の事象解決されず、上記に挙げたような問題点払拭されることも残念ながら当面は無さそうです。

世間では高ぶる正義感からCOCOA の導入を声高らかに勧めたり、従業員ビジネスパートナーに導入を強いている管理者も現れているようです。

このエントリを通じて、そのような方々へ抵抗出来る材料提供できれば幸いです。

余談

冒頭のように COCOA の原型であるとされる Covid-19Radar/Covid19Radar プロジェクトOSS にあるまじき「放置状態」が続いています

これが GitHub を買収した企業所属する人間所作ですか?

IT/ICTOSS を通じて昨今の COVID-19 感染拡大を発端とする諸問題解決する動きは支持したいですが、このような杜撰サービス運営により IT/ICTOSS に対する世間の期待を悪化させることを強く憂慮しています

2020-05-05

anond:20200505020952

編集キーブルートフォースアタックを防ぐために、数回失敗したら10秒に1度しか受け付けない的な仕組みを入れておいてほしい(もうあったらゴメン)

あとは前後記事への移動を楽にしてほしい(トラバにあるように、ボタンが常に同じ場所に出るようにする、カーソルキーで移動できるようにするなど)

2019-11-25

anond:20191125225515

ブルートフォースなりで攻撃して1年くらいで解けるくらいのやつで暗号化する。で、1年間ずっと解き続ける。

2019-09-20

netflixアカウント乗っ取りって

どうやっているんだろう?世界中ブルートフォースボットみたいのが動かされているのか?

ありがちなパスワード世界中存在するアドレスで入れるかどうか?確認しているのかな?

見つかったアカウント情報を売っているのか?

日本人アカウント結構乗っ取られているというのも気に掛かる。

ログイン ユーザー登録
ようこそ ゲスト さん