Андрей Масалович, известный эксперт по информационной безопасности – о 10 приемах, с помощью которых можно воспользоваться уязвимостью интернет-ресурсов.
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
10 уязвимостей в ваших данных: методы взлома
1. 10 уязвимостей в ваших
данных: методы взлома
ведущий:
1 ноября 2013
Андрей Масалович
am@inforus.biz
2. Определение конкурентной
разведки (КР)
Конкурентная разведка (англ. Competitive
Intelligence, сокр. CI) — сбор и обработка данных
из разных источников, для выработки
управленческих решений с целью повышения
конкурентоспособности коммерческой
организации, проводимые в рамках закона и с
соблюдением этических норм (в отличие от
промышленного шпионажа)
Конкурентная разведка – это информационное
обеспечение победы над конкурентами
«Я просто не люблю неожиданностей»
3. Взломать за 60 секунд: Шаг 1
«Для служебного пользования»
4. Взломать за 60 секунд: Шаг 2
«Конфиденциально, Confidential»
6. Взломать за 60 секунд: Шаг 4
Запрос в Google filetype:xls
7. Взломать за 60 секунд: Шаг 5
Запрос в Google filetype:doc
8. Взломать за 60 секунд: Шаг 6
Запрос в Google site:xxx.ru ftp
9. Взломать за 60 секунд: Шаг 7
Запрос в Google “xxx.ru:21”
Обращение к порту 21 – часто встречается вместе с ftp-паролем
10. Взломать за 60 секунд: Шаг 8
ftp://ftp.xxx.ru
Cайт - https://www1.nga.mil/Pages/default.aspx
Открытый ftp – ftp.nga.mil
11. Взломать за 60 секунд: Шаг 9
Запрос в Google Index of
Index of в заголовке – признак открытой папки в Apache
12. Взломать за 60 секунд: Шаг 10
Угадываемые имена
Пусть нам доступен документ Петагона
-http://www.strategicstudiesinstitute.army.mil/pubs/display.cfm?
pubID=1174
Тогда нам также доступны тысячи документов
-http://www.strategicstudiesinstitute.army.mil/pubs/display.cfm?pubID=1173 и т.д.
13. 11. Источник утечек –
партнер по маркетингу
Пример – сотовый оператор
Актив – идеи будущих тарифов
33. Ежедневные рутинные задачи
Справка на компанию,
Справка на персону
Выявление признаков
мошенничества,
банкротства,
финансовой
неустойчивости,
сомнительных связей
и т.п.
Горизонт - неделя
Завал работы, низкая зарплата, нет возможности развиваться
35. Стратегическая разведка
Защита бизнеса
Защита репутации
Формирование образа
Лидерство в отрасли
Лидерство в регионе
Обеспечение устойчивого развития
Горизонт - годы
Высокая квалификация, ответственность и оплата. Автономность.
36. I. Конкурентная разведка и стратегическая
аналитика. Общие принципы.
1.2 Построение системы
ситуационной осведомленности
руководства
40. I. Конкурентная разведка и стратегическая
аналитика. Общие принципы.
1.3 Интернет и массовые ресурсы
как среда конкурентной разведки
41. Каждый из нас думает,
что видел Интернет…
Лучшие из поисковиков индексируют до 8
млрд. страниц в сутки
Объем Интернета сейчас оценивается более
чем в 1000 млрд. страниц
«Видимый Интернет» – узкая полоска
настоящего Интернета, в котором содержатся
залежи полезной информации
Давайте сделаем шаг в глубинный Интернет…
43. Море – это стихия, с которой
многие из нас не сталкивались…
44. С какого шага расходятся пути…
Интернет – это не волшебный бесплатный
трамвай, Интернет – это мощное оружие
Интернет – это не мириады документов,
Интернет – это малое количество источников
оперативно-значимой информации и угроз
Мониторинг вместо разового поиска
Пять вопросов поиска:
Зачем? Что? Где? Когда? Как?
Все результаты – не в справку, а в досье
51. Шаг, который меняет жизнь…
site:slivmail.com filetype:xls
На хакерском сайте более 5000
ценных документов
52. I. Конкурентная разведка и стратегическая
аналитика. Общие принципы.
1.4 Принципы мониторинга
активности конкурентов, новых
технологий, рыночной среды
53. Такой разный Интернет…
Интернет – более 900 млрд страниц
Электронные СМИ и новости –
10000-12000 источников
Источники оперативно-значимой
информации – не более 500
Источники угроз – не более 50
«Невидимый Интернет»
«Информационный кокон»
54. Мониторинг репутации…
Как провести грамотный мониторинг репутации
компании?
Какие источники считать наиболее подходящими для
получения информации?
Как оценить данную информацию и на основании
каких показателей?
Как обнаружить угрозу репутации компании и
оперативно на нее среагировать?
Как сделать, чтобы «шкалу репутации» или
«светофор угроз» можно было видеть визуально в
заданные промежутки времени?
Мониторинг угроз бизнесу, репутации и устойчивому развитию
56. II. Организационные аспекты. Как создать
эффективную структуру КР в организации
2.1 Организация первичного сбора
информации – о компании, персоне,
объекте, событии, технологии и др.
72. Основа деятельности –
статья 29, ч.4 Конституции РФ
Статья 29
4. Каждый имеет право свободно
искать, получать, передавать,
производить и распространять
информацию любым законным
способом.
Перечень сведений, составляющих
государственную тайну, определяется
федеральным законом.
74. Интернет:
сфера конкурентной разведки
Сфера конкурентной разведки
Расширенный поиск
Старые и новые версии
Невидимые страницы
Уязвимости защиты
Другие поисковики
Утечки «секретно»
Временный доступ
Утечки «Сов.секретно»
Открытые папки
Утечки паролей
Открытые FTP
Пиратские базы
Утечки ДСП
Область применения проникающих роботов
Ссылки
Поисковики
Базы
А также:
• RSS-потоки
• Утечки партнеров
• Коллективное хранение
• Социальные сети
• Удаленное обучение
• Блоги, форумы
• Сайты компромата • Страницы аналитиков
И многое, многое другое...
75. 4 простых метода нахождения
открытых папок
1. Отсечение
2. Index of
3. Брутфорс стандартных имен
4. Удлинение адреса
Мониторинг вместо поиска
76. Простые методы поиска
открытых разделов на ftp
По адресу: ftp://ftp.tribobra.ru
По ftp в адресной строке - Google
Спец. Поисковики – FileWatcher
По использованию порта 21:
ftp://логин:пароль@ftp.tribobra.ru:21
77. Avalanche Online – малобюджетная
система для конкурентной разведки
Адрес: http:avalancheonline.ru
Стоимость: 4950 рублей в месяц
Для фирм: плюс 17 тыс. за сервер
80. Тестовый доступ к Avalanche
Online на 2 недели
Адрес: http:avalancheonline.ru
Логин: seminar
Пароль: seminar
Проект: Новости Билайн
Срок: на 2 недели
Контакт:am@inforus.biz