OSINTは、公開されている（登録や認証が不要な）アクセス可能なソースからターゲット企業に関する情報を受動的に収集することだけを行います。能動的にスキャンをしたり攻撃をしたりしてはいけません。以下はOSINTの対象内と対象外の行為の例をまとめたものです。
OSINTの対象行為 (OK)
SNSで従業員情報を探す
企業のウェブサイトを閲覧する
Webサイトから SSL/TLS 証明書を取り出して証明書の透明性からサブドメインを見つける
第三者がスキャンツールを使って収集した企業情報などを公開しているサイトから情報を見つける
OSINTの対象外 (NG)
企業のウェブサイトに対するディレクトリブルートフォース
企業のサブドメインブルートフォース
ターゲットとメールなどで連絡をやりとりして情報を収集する
スキャンツールを使って直接ターゲット企業から情報を収集する
OSINTの対象外にある行為を許可なく実行した場合は違法（犯罪）になります。
https://tex2e.github.io/blog/security/osint

「そいつを上手いこと煽ったりして聞き出したりした情報をプロファイリング」の部分が怪しいんとちゃうかな。

Permalink | 記事への反応(0) | 12:26

2021-05-21

■結果は同意だけど、理由は違う。

https://anond.hatelabo.jp/20210520175754

各自治体単位で見れば数万人分の規模だが、国家規模とすると高齢者は数千万人いる。

国の機関がハンドリングする事は到底不可能で、普段から地方自治体に業務を委託している為、急に自治体横断的なシステムを作ったら、どうしても「善意の入力」に頼らざるを得ない。

各地方自治体毎に作るのは、手動でやってるロードバランサだと思ってほしい。それでも駄目設計だとシステム障害は起きるけど（なお、サーバとしては分かれているかもだけど、各地方自治体で障害が起こっているのは多分導入されているシステムは同じものである可能性はある）。

法律関連の話は、どうせ各自治体で業者に出している事もあり、座組をちゃんとやるだけで法律改正も必要なく出来る。厚生労働省経由で防衛省に業務委託したら、予防接種法の範疇で出来るよ。

問題はあくまでもシステムを実装する上でのデータ提供の形式やリアルタイム性、複雑性にある。大規模接種会場という、各自治体に関係のない接種会場を五月雨で作る形であり、これが自治体横断的に機能すると、関東地方くらいしか意味ねえだろうって規模のユーザ利用なのに、なぜか全国民分の情報を取り込まなきゃいけなくなるという事になり、それは無茶よね。

かといって、マイナポータル APIとかは、あまりにも広い範囲でやばい情報を引っ張ってこれる為、うっかり乗っ取られないようマトモなセキュリティ対策が必要になる。

まあ、なんつーか、古い掲示板で発言の編集するのに番号を発行したように、予約番号で出来ればよかったかもなと思うが、ブルートフォースに耐えられるくらいの長さの数字を、更に高齢者に覚えさせるのというと正直無理だ。

現実的には、「予約していると優先される」くらいの感じのシステムで十分とする他ないかと。

Permalink | 記事への反応(0) | 11:04

2021-05-19

■大規模接種はどうすればよかったのか？

じゃあよ、防衛省はどうすりゃよかったんだよ？

※今政権がクソで準備不足なのは自明なので、突然メテオフォールが降ってきたらという観点からです

前提条件

契約締結はGW明け。これを開発着手日とする。
5月中の大規模接種開始は必須。なにしろ"首相の思し召し"なので。
接種番号に対応する接種者の情報は、生年月日も含めて一切使えない。それらの情報は自治体にあって、国にはない。
発番済みの接種番号も不明。自治体が発番するため。
必ずしも全員にリーチできる必要はない。自治体主導でのワクチン接種が主で、これはオプション。

はがき送りつけ

「○日〜○日の間に来てください、嫌なら希望の日の当日整理券を受け取ってね」って葉書を送りつける。

これだと、当日準備するワクチン数と、確保すべき医療者数が不明になる。

1週間くらい回せば、実績から予測できるようになるだろうが、いくぶん医療者とワクチンが無駄になりやすい。

あるいは、当日整理券を受け取っても、当日中の接種を約束せずベストエフォート方式にすれば、なんども並ばせることにはなるが、ワクチンは無駄にならない。

データ 提供をうける

自治体から発行済接種番号と生年月日のペアのデータ提供を受けて、接種番号をIDとし、生年月日を仮パスワードとして登録し、認証システムとする。

この場合、5月中開始に間に合うかどうかは自治体任せになる。確実に今よりは遅れる。

また、対象自治体が拡大するにつれて、対応が非常に煩雑になる。

そのうえ、これでもまだ安全とは言えない。

たとえば、65歳で3月3日生まれの人は、都内に必ずいる。なので、"19560303"という仮パスワードについて、所詮は10桁の接種番号に対してリバースブルートフォースをかければ突破できるであろう。

しかしまあ、それならそれで、券面もって窓口で対応とかもできるし、今よりはだいぶ愉快犯への耐性は強いが。

来る者拒まずベストエフォート 方式にする

当日整理券のみ、準備するワクチンの数と確保できた医療者次第で、発行する整理券数を調整する。

謎の外国人が並んで小遣い稼ぎを始めるのを防ぐため、整理券発行段階で券面を確認する必要があり、整理券を受け取るのに結構並ぶことになる。

整理券を受け取ったあとは、Webで進み具合を確認できるようにすると◎。

また、スープがなくなり次第閉店のラーメン屋のように、並んだのに接種できない人、前日から並ぶ人も出てくるだろう。

だがまあ、それは現場力でカバー！

もっとも工数が少ないパターン。

いかがでしたか？

今のシステムで、いたずら予約が頻発すると、結局必要なワクチン数や医療者の数が予測できなくなってしまい、予約の意味が薄れてしまう。

でも、いたずら予約、そんなに頻発しますかね？1人2人、見せしめ逮捕すれば、ほぼ誤差みたいになるんじゃないかと思うんで、別に今のままでもいいと思っています。

また、どうせ自治体主導でのワクチン接種もあるんで、個人的にはベストエフォート方式でもいいと思っています。

あなたの考えた最強の座組み、待ってるぜ！

Permalink | 記事への反応(35) | 21:41

2021-02-12

■ラマヌじゃん

“魔術師”のように数式を発見する「ラマヌジャン・マシン」【理系通信】（2021年 2月9日） - YouTube

https://youtu.be/R_RN7P606w0

オチ：ブルートフォースだった。

Permalink | 記事への反応(0) | 07:29

2020-11-07

■会社でノート PCの紛失があったらしいけど

暗号化してるから大丈夫とか言ってるけど、

暗号といっても結局パスワード入力して解除するんだから

ブルートフォースでいつかは破られるよね。

そこんとこ分かってるのかなうちの情シスは😜

Permalink | 記事への反応(0) | 21:06

2020-11-02

■某大企業のDX状況を教えるよ！

某大企業に勤めてるよ！

みんな絶対に知ってる日本でトップクラスっていうかある意味トップの企業だよ！

もちろんDXをゴリゴリに推進しているし「DX」と名の入った部署まで作って本気だよ！

そんなうちの会社の最新のDX事情を教えてあげるYO！

もちろんDaaS

社内システムはもちろんDaaS（Desktop As A Service）を使ってるよ！

要するにリモートデスクトップだよ！

社内全員がDaaSを利用するんだけど負荷を抑えるためにWindowsのインデックスサーチはOFFにされてるよ！

なのでファイル検索はめちゃくちゃ遅いしOutlookのメール検索も死ぬほど遅いよ！

おまけに一人あたり20GBの容量しか使えないよ！でも基本的にメールのやりとりだからメールだけで使い切るよ！

え？使い切ったらどうするかって？もちろん、古いメールは削除だよ！

なんで20GBしか使えないのか聞いたら、「平均して20GBしか使ってない」んだって！

ってことは平均以上の半分の人は見捨てられたんだね！

スマホに入ってるmicroSDですら128GB使えるけどね！

ちなみに不正防止の観点でメール等の証跡は全部別のサーバに蓄積されているよ！社員からは見えないけどね！

あと、インデックスサーチOFFにされてるけど、結局はセレロン並の遅さだよ！

ファイルの暗号化

ファイルは全部暗号化されているよ！

だから USBで持ち出しても外では開けないよ！セキュアだね！DaaSだから USB刺さらないけどね！

ちなみに暗号化の解除は社員なら了承無しで誰でもできるよ！不便だもんね！

本当に危ないファイルはzipでパスワードを独自に付ける人が多いよ！

でもほとんどの人が4桁数字しか使わないしzipにパスワード付けてるだけだから

困ったときはブルートフォースして一瞬で開けるよ！便利だね！

もちろんリモートワーク対応

コロナより前からリモートワークしてたよ！

だからリモートワーク環境もバッチリ！

DaaSにつなぐためにVPNを張るよ！ワンタイムパスワードで保護してるからセキュリティもバッチリ！

ちなみにこのVPNはDaaSのサーバにしか繋げないVPNだよ！

DaaSにはTLSでアクセスするんだけど、念の為 VPNで更にセキュアにしてるよ！

そのせいでVPN繋ぐとトラフィックがそっちに吸い取られてインターネット通信できないよ！

キーロガー仕込まれてたとしても安心かもね！後で送信されたら一緒だけどね！

ちなみにコロナのときはVPNへのアクセス集中でみんな仕事できなくなったよ！DaaSは余裕があったけどね！

Web 会議もバッチリ

社内システムのWeb 会議システムがあるからリモートでも会議可能だよ！

DaaS上でしか使えないからラグとエコーがひどくて結局現地で開催されている会議を聞くだけのツールになってるけどね！

最近流行りの最先端 Web 会議システムも使うよ！

なぜかZOOMは初期の頃に猛烈な反対にあって使用不可になったけどね！

DaaS上でしか使えないから映像はほとんど無理だし音声もエコーだらけだけどね！

だからみんな自分の携帯でログインして画面共有のために二重ログインしてるよ！

メールはもちろんPPAP

メールに添付ファイル付けるともちろんPPAP（パスワード ZIP送付、パスワード送付、暗号化、プロトコル）してるよ！

しかも送られるのはZIPじゃなくて自己解凍 exeだよ！

exe送れないこと多いからex_にしてから送って、受け取り側でexeにして実行してもらうよ！

ZIP ソフト無くても解凍できるなんて親切だよね！

４，５年前はこの状態だったけど、これは流石に修正されたのかな？実際に送られたファイルを知らないからわかんないね！

標的型メール訓練もバッチリ

最近話題の標的型メールへの対策も完璧！

定期的に訓練が実施されているよ！

「訓練が実施されるのでうっかり開いた人は報告してね」

っていうメールが事前に来るよ！親切だね！

訓練メールはだいたいWordのdoc ファイルが付いていて開封したらHTTP リクエストが飛ぶ仕掛けで開封したかどうかが分かるよ！

ちなみに受け取っただけなら報告はいらないらしいよ！

この時期に本当の標的型メールが来てたらどうするんですか？っていう質問の回答は未だに返ってこないね！

周知メールは周知ページへのリンク

社員への周知がある場合は、周知ページへのリンクがメールされてくるよ！

たとえどんなに些細な周知（社長が挨拶に来ます、とか）でもリンクがメールされるよ！

リンクを踏むとIE9が開いて貧相なページが表示されるんだけど、そこにもまだ内容はないよ！

貧相なページの下に更にリンクがあって、Word ファイルがダウンロードされるよ！

Word ファイルをダウンロードして激重のDaaSで開封すると

「社長が○月○日に挨拶に来ます」

だけ書いてあるよ！

稼働管理の多重化

社員がどれだけ働いてるかの稼働はしっかり管理されてるよ！

勤務表に投入するだけじゃなくて、どういう作業をしたかの稼働までちゃんと入れるよ！

別々のシステムだから同じ内容を入れるんだけどね！

毎日１５分単位で始業開始時刻と終業時刻と休憩時間を入れるよ！

ちなみに2つのシステムで業務時間に誤差があると物凄く怒られるよ！

最近知ったけど日々の業務時刻はどうでもよくて合計しか見てないらしいけどね！

チェックシート エクセルシート

信じられないぐらいチェックシートをたくさん用意して不正防止に努めてるよ！

鉛筆一本買うだけでもとんでもないチェックをしないといけないよ！

チェックが多すぎて誰もチェックしないっていうのが常態化してるよ！

あ、ダブルチェックトリプルチェックは当たり前なので、責任希薄になってやっぱり誰もチェックしないよ！

ちなみに事件は頻繁に起きてるよ！だって、肝心のシステム側がザルだからね！

ペーパーレス

チェックシートは前は紙にサインだったけどペーパーレス化が進んだから PDF保存になったよ！

様式の見た目は印刷物と同じだからすごく入力しにくいけどね！

おまけにファイルは暗号化されちゃうので検索で引っかからないよ！

ファイル名で検索するしかないから、ファイル名を間違えてると内容が合ってても後ですごく困るよ！

あと会計に少しでも関わるものは絶対にペーパーレスにならないよ！

領収書は原本いらなくなったって何回言っても原本保管から変わってくれないよ！

飛行機の領収書とかPDFをダウンロードしてきて印刷して保管してるよ！

肝心の半券は不要だからやろうと思えばPDF ダウンロードした後にキャンセルできるけどね！

パスワード ログイン

業務で使うサーバにログインするときは共通アカウント・共通パスワードが常識だよ！

だいたいのパスワードはアカウント名＋1234みたいな感じだよ！

この前、公開鍵設置して秘密鍵でログインしようとしたらなぜか弾かれてて、よく見たらわざわざOFFにしてあったよ！

公開鍵認証の話をしたら「は？なにそれ？」みたいな顔をされたよ！

あ、もちろんパスワードの定期変更は推奨されてるよ！

社内システムも3ヶ月でパスワード変更しないといけないよ！

コミュニケーション ツールの導入

なんと今流行りのチャットコミュニケーションツールが導入されたよ！

グループ会社が作った肝入りソフトだよ！

社内のDaaS からはアクセスできるけど、社外からはアクセスできないほどセキュアだよ！

でもでも、スマホアプリなら社外からでもアクセスできるよ！よくバグで落ちてるけどね！

定期的な人事異動

今のようなことを情シスに言っても何も変わらないよ！だって、ほとんど素人だからね！

3年で人事異動でメンバーが入れ替わるから、それまで問題を起こさないために何もしないよ！

おわり

こんな感じでDXを進めてるよ！

もちろん客先では「うちは最先端のDXやってます」って言ってるよ！

胸が痛いね！

追記

なんか知らんうちにめっちゃのびててビビってるよ！

フェイクをちょっと混ぜといてよかったよ！本当は「社長が挨拶に来る」じゃなくて副社長だよ！

割と酔った勢いで書いたから今読み返したら意味わからんだろう内容があるのはごめんよ！

どこの会社か教えてほしい

教えられるわけないよ！

これDXじゃなくね？

ごめんね！そうだね！ガチDX施策のクソさも書きたいけどさすがに身バレするね！

本当に書きたかったのは社内システムこんなクソなのにもっとDXしよう！って言ってるシュールさと

社外的に「DXしましょう！うちはプロですから！」って言ってるとこだよ！

こんなにいろいろやっててえらい

つぎ足しつぎ足しの秘伝のシステムになってるのが問題だよ！

もはや全部変えると予算がつかないからこんなことになってるよ！

でもたぶん全部MS社にしてOffice 365とOneDriveにしたら問題の8割は解決しそうだよ！

付き合わされてる下請けとかかわいそう

この辺のシステム請けてるのがそもそもグループ会社ってのが日本の一般的な大企業だよ！

そこで働いてる人はおじいちゃんばっかりで若者はみんな派遣だよ！

この辺のシステムが最適化されると派遣が切られちゃうから下請けはたぶん喜んでるよ！

おわりのおわり

みんなの会社はこんなにひどくないと信じてるけど

DXとか言うなら社内システムをちゃんとしようね！

人差し指タイピングする人（結構多い）にちゃんとタイピング教えてあげてね！

Permalink | 記事への反応(28) | 11:21

2020-09-16

■"リバート ブルース フォース" 約 4 件（0.43 秒）

もしかして: "リバートブルートフォース"

"リバートブルートフォース" 約 146 件（0.29 秒）

https://twitter.com/search?q=%22%E3%83%AA%E3%83%90%E3%83%BC%E3%83%88%E3%83%96%E3%83%AB%E3%83%BC%E3%82%B9%E3%83%95%E3%82%A9%E3%83%BC%E3%82%B9%22

ゆきみ @edp02
リバートブルースフォースと読んでしまう呪いにかかった

エヌ氏 @RETLAfthcan
「ブルートフォース」はスッと言えるんだけど、
「リバースブルートフォース」ってスッと言えなくて
「リバートフォース」とか
「リバートブルースフォース」とか
「リバースブルース」とか
言い間違えてそのまま浸透している節がある。

レモンP @Lemon_will
リバースブルートフォースとリバートブルースフォースがごっちゃになってろくでなしブルース

F K Y T @cynicalcyborg
①リバートブルースフォース
②リバースブルートフォート
③リバートブルースフォート
④リバースブルートフォース
⑤リバートブルートフォート
⑥リバースブルースフォース

(・д)/ななせ @einanase
しかしリバートブルースフォース攻撃という名前には心くすぐられるものがあることは、否定できない

うめこツイ企画 @umecho_kikaku
リバートブルースフォース攻撃

Permalink | 記事への反応(1) | 16:52

2020-09-12

■[増田統計]2020年 9月11日 金曜日の増田

時間	記事数	文字数	文字数平均	文字数中央値
00	63	6841	108.6	45
01	43	2986	69.4	35
02	75	9293	123.9	36
03	30	2426	80.9	27
04	27	3021	111.9	49
05	15	2695	17 9.7	71
06	27	4365	161.7	76
07	63	6945	110.2	42
08	60	6444	107.4	45
09	89	12415	139.5	58
10	163	9448	58.0	35
11	137	12058	88.0	48
12	169	11416	67.6	35
13	118	13971	118.4	55.5
14	77	8987	116.7	45
15	100	9819	98.2	41
16	92	7464	81.1	35.5
17	84	5935	70.7	34.5
18	144	9780	67.9	35
19	110	13705	124.6	43
20	118	17251	146.2	27
21	168	29757	177.1	38
22	148	21159	143.0	30
23	128	13714	107.1	31
1日	2248	241895	107.6	39

本日の急増単語 ()内の数字は単語が含まれる記事数

女性棋士(3), 天一(8), ロックフェラー(3), コモロ(6), tumblr.(3), PUDO(3), クリスマスツリー(3), ロ座(4), 競走(4), ブルートフォース(3), Map(3), ワンタイムパスワード(3), 大麻(19), 出生(12), 菅(10), 最高裁(6), 盗ま(7), 口座(11), タワマン(6), 銀行(19), 税(9), 手足(5), ネタバレ(11), 高学歴(10), 天(8), 接続(7), 支持率(8), 増税(13), 消費税(22), 反(12), 上位(12), 登録(17), 支え(10), 違法(10), 生理(9), 把握(11), ちんぽ(9), 運用(10)

頻出トラックバック先 ()内の数字は被トラックバック 件数

■夫が赤ちゃん過ぎてキモい /20 200911024025(41), ■３大「季節限定でなく年中売れや」食べ物 /20 200910180518(14), ■「レンジでチンする」みたいな言い回し教えて /20190910220907(14), ■総理名言集 /20 200910213757(13), ■インターネットキッズに対する「OOしてそう」という罵倒が好き /20 200911140808(11), ■FAX 問題の件 /20 200911083630(10), ■女は「でも」って反論してくる男が大嫌い /20 200911010 118(9), ■はてブを使わなくなってみて、このサービスがどれだけ偏ってるか実感した /20 200911 111852(9), ■買い物バッグの中で寿司パックが倒れる /20 200911183138(9), ■天一好きな人いる？ /20 200910 175449(8), ■子供に対するネットリテラシー教育について /20 200911082344(8), ■騎士を紳士に替えると面白い言葉 /20 200911181547(8), ■立憲民主党もしんでくれ /20 200911210218(7), ■ブコメ、すっかり無意味になったな /20 200910011 129(6), ■腐女子のお気持ち長文書いてみたい /20 200910 105134(6), ■まともな政策が出来ないのか /20 200911 103914(6), ■はてブ意味わかんねえよ！！！！ /20 200910165303(5), (タイトル不明) /20 200911142405(5), ■VTuber 楠栞桜さんのファンによる言論統制もどきへのお気持ち /20 200911131435(5), ■まさか優生思想反対派って競馬の血統を全否定？ /20 200911 110245(5), ■大麻について /20 200911210917(5)