10 уязвимостей в ваших данных: методы взлома

10 уязвимостей в ваших данных: методы взлома

Андрей Масалович1 ноября 2013

am@inforus.biz

ведущий:

Определение конкурентной разведки (КР)

Конкурентная разведка (англ. Competitive Intelligence, сокр. CI) — сбор и обработка данных из разных источников, для выработки управленческих решений с целью повышения конкурентоспособности коммерческой организации, проводимые в рамках закона и с соблюдением этических норм (в отличие от промышленного шпионажа)

Конкурентная разведка – это информационное обеспечение победы над конкурентами

«Я просто не люблю неожиданностей»

Взломать за 60 секунд: Шаг 1«Для служебного пользования»

Взломать за 60 секунд: Шаг 2«Конфиденциально, Confidential»

Взломать за 60 секунд: Шаг 3«Секретно»

Взломать за 60 секунд: Шаг 4Запрос в Google filetype:xls

Взломать за 60 секунд: Шаг 5Запрос в Google filetype:doc

Взломать за 60 секунд: Шаг 6Запрос в Google site:xxx.ru ftp

Взломать за 60 секунд: Шаг 7Запрос в Google “xxx.ru:21”

Обращение к порту 21 – часто встречается вместе с ftp-паролем

Взломать за 60 секунд: Шаг 8ftp://ftp.xxx.ru

Cайт - https://www1.nga.mil/Pages/default.aspxОткрытый ftp – ftp.nga.mil

Взломать за 60 секунд: Шаг 9Запрос в Google Index of

Index of в заголовке – признак открытой папки в Apache

Взломать за 60 секунд: Шаг 10Угадываемые имена

Пусть нам доступен документ Петагона -http://www.strategicstudiesinstitute.army.mil/pubs/display.cfm?pubID=1174

Тогда нам также доступны тысячи документов -http://www.strategicstudiesinstitute.army.mil/pubs/display.cfm?pubID=1173 и т.д.

11. Источник утечек – партнер по маркетингу

Пример – сотовый оператор Актив – идеи будущих тарифов

Ареал распространения информации: партнер по маркетингу

Находим ftp компании, проверяем утечки паролей

12. Источник утечек - разработчик

Пример – транспортная инфраструктура великой страны

Проверяем ссылки на ftp

Переходим по ссылке на ftp…

Не пытайтесь повторить это дома

13. Источник утечек - форумы

14. Источник утечек - переезд

Пример: Совет национальной безопасности Грузии

Пример: МВД Украины

15. Источник утечек – слияние и поглощение

16. Источник утечек - mediacache

В файле robots.txt перечислены папки, запрещенные для поисковых роботов

Тем не менее, Google их индексирует...

Портал финансовой компании, третья минута аудита …

17. Источник утечек - руководство Материалы конференции Тихоокеанской

группировки армии США – гриф Classified Материалы конференции Тихоокеанской

группировки армии США – гриф Classified

18. Источник утечек – средства удаленного обучения

19. Источник утечек – средства совместной разработки

20. Источник утечек – средства коллективного хранения

1.1 Конкурентная разведка. Понятия, принципы, виды. Разведка тактического, оперативного, стратегического уровня.

I. Конкурентная разведка и стратегическая аналитика. Общие принципы.

Структура системы раннего предупреждения и оперативного реагирования

Три пути интернет-разведки…

Ежедневная рутина

Оперативная работа

Стратегическое развитие

Ежедневные рутинные задачи

Справка на компанию, Справка на персону Выявление признаков

мошенничества, банкротства, финансовой неустойчивости, сомнительных связей

и т.п. Горизонт - неделя

Завал работы, низкая зарплата, нет возможности развиваться

Оперативная интернет-разведка

Текущие угрозы Текущие риски Утечки данных Новые возможности

Нужны методики Нужен мониторинг Нужна база досье Горизонт - квартал

Правильно построим работу - будут результаты и перспективы

Стратегическая разведка

Защита бизнеса Защита репутации Формирование образа Лидерство в отрасли Лидерство в регионе Обеспечение устойчивого развития Горизонт - годыВысокая квалификация, ответственность и оплата. Автономность.

1.2 Построение системы ситуационной осведомленности руководства

I. Конкурентная разведка и стратегическая аналитика. Общие принципы.

Пример мониторинга в энергетике

Пример мониторинга в телекоммуникациях

Пример мониторинга ситуации в регионе

1.3 Интернет и массовые ресурсы как среда конкурентной разведки

I. Конкурентная разведка и стратегическая аналитика. Общие принципы.

Каждый из нас думает, что видел Интернет… Лучшие из поисковиков индексируют до 8

млрд. страниц в сутки Объем Интернета сейчас оценивается более

чем в 1000 млрд. страниц «Видимый Интернет» – узкая полоска

настоящего Интернета, в котором содержатся залежи полезной информации

Давайте сделаем шаг в глубинный Интернет…

Каждый из нас думает, что видел море…

Море – это стихия, с которой многие из нас не сталкивались…

С какого шага расходятся пути…

Интернет – это не волшебный бесплатный трамвай, Интернет – это мощное оружие

Интернет – это не мириады документов, Интернет – это малое количество источников оперативно-значимой информации и угроз

Мониторинг вместо разового поиска Пять вопросов поиска:

Зачем? Что? Где? Когда? Как? Все результаты – не в справку, а в досье

Пример: получить начальную информацию о В.В. Жириновском

Обычный поиск в Google

Более эффективный запрос site:izbirkom.ru filetype:xls Жириновский Воронеж

Поиск идентификационных данных объекта интереса

Обычный запрос

Более эффективный запрос

Фамилия Имя filetype:xls

Какая интересная таблица…

Какой интересный ресурс…

Шаг, который меняет жизнь…

site:slivmail.com filetype:xls На хакерском сайте более 5000

ценных документов

1.4 Принципы мониторинга активности конкурентов, новых технологий, рыночной среды

I. Конкурентная разведка и стратегическая аналитика. Общие принципы.

Такой разный Интернет…

Интернет – более 900 млрд страниц Электронные СМИ и новости –

10000-12000 источников Источники оперативно-значимой

информации – не более 500 Источники угроз – не более 50 «Невидимый Интернет» «Информационный кокон»

Мониторинг репутации…

Как провести грамотный мониторинг репутации компании?

Какие источники считать наиболее подходящими для получения информации?

Как оценить данную информацию и на основании каких показателей?

Как обнаружить угрозу репутации компании и оперативно на нее среагировать?

Как сделать, чтобы «шкалу репутации» или «светофор угроз» можно было видеть визуально в заданные промежутки времени?

Мониторинг угроз бизнесу, репутации и устойчивому развитию

Простейшая шкала – частота упоминаний в пульсе блогосферы

2.1 Организация первичного сбора информации – о компании, персоне, объекте, событии, технологии и др.

II. Организационные аспекты. Как создать эффективную структуру КР в организации

Что делать со 152 ФЗ? Используем утечки...

Источник утечек - избиркомы

Источник утечек – муниципальные структуры

Список молодых семей

Источник утечек - ВУЗы

Источник утечек - ипотека

Источник утечек – базы резюме

Источник утечек - автосалоны

Источник утечек - форумы

Сервер финансовой компании.Источник утечек - mediacache

Сервер крупного банка. Открыта папка «СБ»,

в ней – ксерокопии паспортов сотрудников

Персональные данные – это не только паспорт и прописка

Факсимиле подписи – болезненная утечка

Еще одна проблема – искажение персональных данных

Портал Президента России 7 мая 2008, 15:00

Источник утечек – социальные сети

2.2 Организация интернет-мониторинга.

II. Организационные аспекты. Как создать эффективную структуру КР в организации

Философия конкурентной разведки:

Не используем затратные методы Не используем трудоемкие методы Не нарушаем закон Не нарушаем этических норм Не оставляем следов

Основа деятельности – статья 29, ч.4 Конституции РФ

Статья 29 4. Каждый имеет право свободно

искать, получать, передавать, производить и распространять информацию любым законным способом.

Перечень сведений, составляющих государственную тайну, определяется федеральным законом.

Интернет: традиционный взгляд

Открытый Интернет Защищенные ресурсы

Интернет: сфера конкурентной разведки

СсылкиПоисковики

Базы

Расширенный поискНевидимые страницы

Другие поисковикиВременный доступ

Открытые папки

Сфера конкурентной разведки

Открытые FTP

Уязвимости защитыУтечки «секретно»

Утечки «Сов.секретно»Утечки паролей

Утечки ДСП Пиратские базы

Старые и новые версии

Область применения проникающих роботов

А также:• Утечки партнеров• Социальные сети• Блоги, форумы• Сайты компромата

• RSS-потоки• Коллективное хранение• Удаленное обучение• Страницы аналитиков

И многое, многое другое...

4 простых метода нахождения открытых папок

1. Отсечение 2. Index of 3. Брутфорс стандартных имен 4. Удлинение адреса Мониторинг вместо поиска

Простые методы поиска открытых разделов на ftp

По адресу: ftp://ftp.tribobra.ru По ftp в адресной строке - Google Спец. Поисковики – FileWatcher По использованию порта 21: ftp://логин:пароль@ftp.tribobra.ru:21

Avalanche Online – малобюджетная система для конкурентной разведки

Адрес: http:avalancheonline.ru Стоимость: 4950 рублей в месяц Для фирм: плюс 17 тыс. за сервер

Пример досье на персону

Пример: Связи объекта

Тестовый доступ к Avalanche Online на 2 недели

Адрес: http:avalancheonline.ru Логин: seminar Пароль: seminar Проект: Новости Билайн Срок: на 2 недели Контакт:am@inforus.biz

Конкурентная разведка и HR – Hrazvedka.ru

Спасибо за внимание

Масалович Андрей Игоревич

E-mail: am@inforus.biz Phone: +7 (964) 577-2012