Your SlideShare is downloading. ×
0
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

10 уязвимостей в ваших данных: методы взлома

2,443

Published on

Андрей Масалович, известный эксперт по информационной безопасности – о 10 приемах, с помощью которых можно воспользоваться уязвимостью интернет-ресурсов.

Андрей Масалович, известный эксперт по информационной безопасности – о 10 приемах, с помощью которых можно воспользоваться уязвимостью интернет-ресурсов.

Published in: Technology
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
2,443
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
130
Comments
0
Likes
2
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide
  • {}
  • Transcript

    • 1. 10 уязвимостей в ваших данных: методы взлома ведущий: 1 ноября 2013 Андрей Масалович am@inforus.biz
    • 2. Определение конкурентной разведки (КР)  Конкурентная разведка (англ. Competitive Intelligence, сокр. CI) — сбор и обработка данных из разных источников, для выработки управленческих решений с целью повышения конкурентоспособности коммерческой организации, проводимые в рамках закона и с соблюдением этических норм (в отличие от промышленного шпионажа)  Конкурентная разведка – это информационное обеспечение победы над конкурентами  «Я просто не люблю неожиданностей»
    • 3. Взломать за 60 секунд: Шаг 1 «Для служебного пользования»
    • 4. Взломать за 60 секунд: Шаг 2 «Конфиденциально, Confidential»
    • 5. Взломать за 60 секунд: Шаг 3 «Секретно»
    • 6. Взломать за 60 секунд: Шаг 4 Запрос в Google filetype:xls
    • 7. Взломать за 60 секунд: Шаг 5 Запрос в Google filetype:doc
    • 8. Взломать за 60 секунд: Шаг 6 Запрос в Google site:xxx.ru ftp
    • 9. Взломать за 60 секунд: Шаг 7 Запрос в Google “xxx.ru:21” Обращение к порту 21 – часто встречается вместе с ftp-паролем
    • 10. Взломать за 60 секунд: Шаг 8 ftp://ftp.xxx.ru Cайт - https://www1.nga.mil/Pages/default.aspx Открытый ftp – ftp.nga.mil
    • 11. Взломать за 60 секунд: Шаг 9 Запрос в Google Index of Index of в заголовке – признак открытой папки в Apache
    • 12. Взломать за 60 секунд: Шаг 10 Угадываемые имена Пусть нам доступен документ Петагона -http://www.strategicstudiesinstitute.army.mil/pubs/display.cfm? pubID=1174 Тогда нам также доступны тысячи документов -http://www.strategicstudiesinstitute.army.mil/pubs/display.cfm?pubID=1173 и т.д.
    • 13. 11. Источник утечек – партнер по маркетингу  Пример – сотовый оператор  Актив – идеи будущих тарифов
    • 14. Ареал распространения информации: партнер по маркетингу
    • 15. Находим ftp компании, проверяем утечки паролей
    • 16. 12. Источник утечек - разработчик  Пример – транспортная инфраструктура великой страны
    • 17. Проверяем ссылки на ftp
    • 18. Переходим по ссылке на ftp… Не пытайтесь повторить это дома
    • 19. 13. Источник утечек - форумы
    • 20. 14. Источник утечек - переезд
    • 21. Пример: Совет национальной безопасности Грузии
    • 22. Пример: МВД Украины
    • 23. 15. Источник утечек – слияние и поглощение
    • 24. 16. Источник утечек mediacache  В файле robots.txt перечислены папки, запрещенные для поисковых роботов  Тем не менее, Google их индексирует...
    • 25. Портал финансовой компании, третья минута аудита …
    • 26. 17. Источник утечек руководство  Материалы конференции Тихоокеанской группировки армии США – гриф Classified
    • 27. 18. Источник утечек – средства удаленного обучения
    • 28. 19. Источник утечек – средства совместной разработки
    • 29. 20. Источник утечек – средства коллективного хранения
    • 30. I. Конкурентная разведка и стратегическая аналитика. Общие принципы.  1.1 Конкурентная разведка. Понятия, принципы, виды. Разведка тактического, оперативного, стратегического уровня.
    • 31. Структура системы раннего предупреждения и оперативного реагирования
    • 32. Три пути интернет-разведки…  Ежедневная рутина  Оперативная работа  Стратегическое развитие
    • 33. Ежедневные рутинные задачи  Справка на компанию,  Справка на персону  Выявление признаков мошенничества, банкротства, финансовой неустойчивости, сомнительных связей  и т.п.  Горизонт - неделя Завал работы, низкая зарплата, нет возможности развиваться
    • 34. Оперативная интернет-разведка     Текущие угрозы Текущие риски Утечки данных Новые возможности     Нужны методики Нужен мониторинг Нужна база досье Горизонт - квартал Правильно построим работу - будут результаты и перспективы
    • 35. Стратегическая разведка        Защита бизнеса Защита репутации Формирование образа Лидерство в отрасли Лидерство в регионе Обеспечение устойчивого развития Горизонт - годы Высокая квалификация, ответственность и оплата. Автономность.
    • 36. I. Конкурентная разведка и стратегическая аналитика. Общие принципы.  1.2 Построение системы ситуационной осведомленности руководства
    • 37. Пример мониторинга в энергетике
    • 38. Пример мониторинга в телекоммуникациях
    • 39. Пример мониторинга ситуации в регионе
    • 40. I. Конкурентная разведка и стратегическая аналитика. Общие принципы.  1.3 Интернет и массовые ресурсы как среда конкурентной разведки
    • 41. Каждый из нас думает, что видел Интернет…  Лучшие из поисковиков индексируют до 8 млрд. страниц в сутки  Объем Интернета сейчас оценивается более чем в 1000 млрд. страниц  «Видимый Интернет» – узкая полоска настоящего Интернета, в котором содержатся залежи полезной информации  Давайте сделаем шаг в глубинный Интернет…
    • 42. Каждый из нас думает, что видел море…
    • 43. Море – это стихия, с которой многие из нас не сталкивались…
    • 44. С какого шага расходятся пути…  Интернет – это не волшебный бесплатный трамвай, Интернет – это мощное оружие  Интернет – это не мириады документов, Интернет – это малое количество источников оперативно-значимой информации и угроз  Мониторинг вместо разового поиска  Пять вопросов поиска: Зачем? Что? Где? Когда? Как?  Все результаты – не в справку, а в досье
    • 45. Пример: получить начальную информацию о В.В. Жириновском  Обычный поиск в Google
    • 46. Более эффективный запрос  site:izbirkom.ru filetype:xls Жириновский Воронеж
    • 47. Поиск идентификационных данных объекта интереса  Обычный запрос
    • 48. Более эффективный запрос  Фамилия Имя filetype:xls
    • 49. Какая интересная таблица…
    • 50. Какой интересный ресурс…
    • 51. Шаг, который меняет жизнь…  site:slivmail.com filetype:xls  На хакерском сайте более 5000 ценных документов
    • 52. I. Конкурентная разведка и стратегическая аналитика. Общие принципы.  1.4 Принципы мониторинга активности конкурентов, новых технологий, рыночной среды
    • 53. Такой разный Интернет…  Интернет – более 900 млрд страниц  Электронные СМИ и новости – 10000-12000 источников  Источники оперативно-значимой информации – не более 500  Источники угроз – не более 50  «Невидимый Интернет»  «Информационный кокон»
    • 54. Мониторинг репутации…  Как провести грамотный мониторинг репутации компании?  Какие источники считать наиболее подходящими для получения информации?  Как оценить данную информацию и на основании каких показателей?  Как обнаружить угрозу репутации компании и оперативно на нее среагировать?  Как сделать, чтобы «шкалу репутации» или «светофор угроз» можно было видеть визуально в заданные промежутки времени? Мониторинг угроз бизнесу, репутации и устойчивому развитию
    • 55. Простейшая шкала – частота упоминаний в пульсе блогосферы
    • 56. II. Организационные аспекты. Как создать эффективную структуру КР в организации  2.1 Организация первичного сбора информации – о компании, персоне, объекте, событии, технологии и др.
    • 57. Что делать со 152 ФЗ? Используем утечки...
    • 58. Источник утечек - избиркомы
    • 59. Источник утечек – муниципальные структуры  Список молодых семей
    • 60. Источник утечек - ВУЗы
    • 61. Источник утечек - ипотека
    • 62. Источник утечек – базы резюме
    • 63. Источник утечек - автосалоны
    • 64. Источник утечек - форумы
    • 65. Сервер финансовой компании. Источник утечек - mediacache
    • 66. Сервер крупного банка. Открыта папка «СБ», в ней – ксерокопии паспортов сотрудников
    • 67. Персональные данные – это не только паспорт и прописка  Факсимиле подписи – болезненная утечка
    • 68. Еще одна проблема – искажение персональных данных  Портал Президента России  7 мая 2008, 15:00
    • 69. Источник утечек – социальные сети
    • 70. II. Организационные аспекты. Как создать эффективную структуру КР в организации  2.2 Организация интернетмониторинга.
    • 71. Философия конкурентной разведки:      Не Не Не Не Не используем затратные методы используем трудоемкие методы нарушаем закон нарушаем этических норм оставляем следов
    • 72. Основа деятельности – статья 29, ч.4 Конституции РФ  Статья 29  4. Каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом.  Перечень сведений, составляющих государственную тайну, определяется федеральным законом.
    • 73. Интернет: традиционный взгляд Открытый Интернет Защищенные ресурсы
    • 74. Интернет: сфера конкурентной разведки Сфера конкурентной разведки Расширенный поиск Старые и новые версии Невидимые страницы Уязвимости защиты Другие поисковики Утечки «секретно» Временный доступ Утечки «Сов.секретно» Открытые папки Утечки паролей Открытые FTP Пиратские базы Утечки ДСП Область применения проникающих роботов Ссылки Поисковики Базы А также: • RSS-потоки • Утечки партнеров • Коллективное хранение • Социальные сети • Удаленное обучение • Блоги, форумы • Сайты компромата • Страницы аналитиков И многое, многое другое...
    • 75. 4 простых метода нахождения открытых папок      1. Отсечение 2. Index of 3. Брутфорс стандартных имен 4. Удлинение адреса Мониторинг вместо поиска
    • 76. Простые методы поиска открытых разделов на ftp      По адресу: ftp://ftp.tribobra.ru По ftp в адресной строке - Google Спец. Поисковики – FileWatcher По использованию порта 21: ftp://логин:пароль@ftp.tribobra.ru:21
    • 77. Avalanche Online – малобюджетная система для конкурентной разведки  Адрес: http:avalancheonline.ru  Стоимость: 4950 рублей в месяц  Для фирм: плюс 17 тыс. за сервер
    • 78. Пример досье на персону
    • 79. Пример: Связи объекта
    • 80. Тестовый доступ к Avalanche Online на 2 недели       Адрес: http:avalancheonline.ru Логин: seminar Пароль: seminar Проект: Новости Билайн Срок: на 2 недели Контакт:am@inforus.biz
    • 81. Конкурентная разведка и HR – Hrazvedka.ru
    • 82. Спасибо за внимание  Масалович Андрей Игоревич  E-mail: am@inforus.biz  Phone: +7 (964) 577-2012

    ×