Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Positive Hack Days. Масалович. Мастер-класс: Конкурентная разведка в сети Интернет

15,887 views

Published on

Участник на практических примерах получит навыки использования аналитических технологий в реальных задачах конкурентной разведки, в том числе:
приемы быстрого обнаружения утечек конфиденциальной информации;
приемы быстрого обнаружения открытых разделов на серверах;
приемы проникновения на FTP-сервера без взлома защиты;
приемы обнаружения утечек паролей;
приемы доступа к конфиденциальным документам в обход DLP;
приемы проникновения в разделы, закрытые кодом 403.
Приемы демонстрируются на примерах порталов заведомо хорошо защищенных компаний (как, например, лидеров рынков ИТ и ИБ, крупных гос. структур, спецслужб и т.п.).

Published in: Technology, Business

Positive Hack Days. Масалович. Мастер-класс: Конкурентная разведка в сети Интернет

  1. 1. Международный форум <br />по практической безопасности<br />Конкурентная разведка в Интернете<br />МАСАЛОВИЧ<br />Андрей Игоревич<br />Руководитель направления конкурентной разведки, член совета диреторов<br />ЗАО «ДиалогНаука»am@inforus.biz<br />517-33-83<br />
  2. 2. Конкурентная разведка<br />Конкурентная разведка(англ. CompetitiveIntelligence, сокр. CI) — сбор и обработка данных из разных источников, для выработки управленческих решений с целью повышения конкурентоспособности коммерческой организации, проводимые в рамках закона и с соблюдением этических норм (в отличие от промышленного шпионажа); а также структурное подразделение предприятия, выполняющее эти функции.<br />Конкурентная разведка – это информационное обеспечение победы над конкурентами<br />«Я просто не люблю неожиданностей»<br />
  3. 3. Философия конкурентной разведки:<br />Не используем затратные методы<br />Не используем трудоемкие методы<br />Не нарушаем закон<br />Не нарушаем этических норм<br />Не оставляем следов<br />
  4. 4. Основа деятельности – статья 29, ч.4 Конституции РФ<br />Статья 29<br />4. Каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. <br />Перечень сведений, составляющих государственную тайну, определяется федеральным законом. <br />
  5. 5. Арсенал обычного пользователя<br />Использование гиперссылок<br />Поисковые системы<br />Базы данных<br />
  6. 6. Наш арсенал: уязвимости Top Ten 2010 OWASP - А4 и А8 <br />OWASP.ORG – Open Web Application Security Project<br />OWASP Top 10 2011:<br />A1: Injection<br />A2: Cross-Site Scripting (XSS)<br />A3: Broken Authentication and Session Management<br />A4: Insecure Direct Object References<br />A5: Cross-Site Request Forgery (CSRF)<br />A6: Security Misconfiguration<br />A7: Insecure Cryptographic Storage<br />A8: Failure to Restrict URL Access<br />A9: Insufficient Transport Layer Protection<br />A10: Unvalidated Redirects and Forwards<br />
  7. 7. OWASP A4 – уязвимая ссылка<br />A4 - Insecure Direct Object References<br />Applications frequently use the actual name or key of an object when generating web pages. Applications don’t always verify the user is authorized for the target object. This results in an insecure direct object reference flaw. Testers can easily manipulate parameter values to detect such flaws and code analysis quickly shows whether authorization is properly verified.<br />
  8. 8. OWASP A8 – уязвимое хранение<br />A8-Failure to Restrict URL Access<br />Applications are not always protecting page requests properly. Sometimes, URL protection is managed via configuration, and the system is misconfigured. Sometimes, developers must include the proper code checks, and they forget.Detecting such flaws is easy. The hardest part is identifying which pages (URLs) exist to attack.<br />
  9. 9. Примеры<br />Аналитические справки, которых нет в Интернете<br />Документация и список клиентов –<br />http://www.ameritechsecurityllc.com/manuals/manual_ademco_vista_15p.pdf<br />Список клиентов – ExcelBizDir.xls <br />Защита паролей информационной системы одной из ветвей власти<br />
  10. 10. Наш арсенал: уязвимости человека<br />Процессор: Мозг кроманьонца<br />Создан 40 000 лет назад. No upgrades<br />Операционная система: Наше сознание<br />Инсталлирована 40 000 лет назад. No patches<br />
  11. 11. Основные уязвимости:7 смертных грехов<br />Гордыня<br />Алчность<br />Блуд<br />Зависть<br />Чревоугодие<br />Гнев<br />Уныние<br />
  12. 12. Используем Алчность: гос.секреты Украины по 6 гривен<br />База Ligazakon.ua<br />Для службовогокористування<br />
  13. 13. Действительно, работает<br />
  14. 14. Интернет: традиционный взгляд<br /> Открытый Интернет Защищенные ресурсы<br />
  15. 15. Интернет: сфера конкурентной разведки<br />Сфера конкурентной разведки<br />Расширенный поиск<br />Старые и новые версии<br />Невидимые страницы<br />Уязвимости защиты<br />Другие поисковики<br />Утечки «секретно»<br />Временный доступ<br />Утечки «Сов.секретно»<br />Открытые папки<br />Утечки паролей<br />Открытые FTP<br />Пиратские базы<br />Утечки ДСП<br />Область применения проникающих роботов<br /><ul><li>RSS-потоки
  16. 16. Коллективное хранение
  17. 17. Удаленное обучение
  18. 18. Страницы аналитиков</li></ul>А также:<br /><ul><li> Утечки партнеров
  19. 19. Социальные сети
  20. 20. Блоги, форумы
  21. 21. Сайты компромата</li></ul>Ссылки<br />Поисковики<br />Базы<br />И многое, многое другое...<br />
  22. 22. 4 простых метода нахождения открытых папок <br />1. Отсечение<br />2. Index of<br />3. Брутфорс стандартных имен<br />4. Удлинение адреса<br />Мониторинг вместо поиска<br />
  23. 23. Простые методы поиска открытых разделов на ftp<br />По адресу: ftp://ftp.tribobra.ru<br />По ftp в адресной строке - Google<br />Спец. Поисковики – FileWatcher<br />По использованию порта 21:<br />ftp://логин:пароль@ftp.tribobra.ru:21<br />
  24. 24. Информационная безопасность – общее определение<br />Информационная безопасность – это защищенность информации и поддерживающей ее инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести ущерб владельцам или пользователям информации<br />
  25. 25. Высший уровень конфиденциальности -Государственная тайна<br />Государственная тайна - защищаемые государством сведения в области его военной,<br />внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации<br />(Закон «О государственной тайне» - ФЗ № 5485-1 от 21 июля 1993 года, действующая редакция)<br />
  26. 26. Коммерческая тайна<br />Информация, составляющая коммерческую тайну, - научно-техническая, технологическая, производственная, финансово-экономическая или иная информация (в том числе составляющая секреты производства (ноу-хау), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введен режим коммерческой тайны<br />(Закон «О коммерческой тайне» - Федеральный закон Российской Федерации от 29 июля 2004 г. N 98-ФЗ )<br />
  27. 27. Пример: доступ к документам «Строго конфиденциально» без нарушения защиты<br />Шаг 1. Открытый документ, уязвимая адресация<br />https://partner.microsoft.com/download/global/40043498<br />
  28. 28. Шаг 2. Нумерация страниц: обратный отсчет<br />https://partner.microsoft.com/download/global/40043497<br />
  29. 29. Шаг 3. Документ «Строго конфиденциально»<br />https://partner.microsoft.com/download/global/40043496<br />
  30. 30. Конкурентная разведка<br />Конкурентная разведка (англ. Competetive Intelligence, сокр. CI) — сбор и обработка данных из разных источников, для выработки управленческих решений с целью повышения конкурентоспособности коммерческой организации, проводимые в рамках закона и с соблюдением этических норм (в отличие от промышленного шпионажа); а также структурное подразделение, выполняющее эти функции<br />
  31. 31. Пример. Доступ к секретным документам без нарушения защиты<br />Материалы конференции Тихоокеанской группировки армии США – гриф Classified<br />US Pacific Command S & T Conference – июль 2008<br />
  32. 32. Доклад зам. министра обороны США «Перспективные системы и концепции»<br />
  33. 33. Доклад «Перспективные системы и концепции» (продолжение)<br />
  34. 34. Пример: Получить доступ к военным контрактам США <br />Знакомьтесь: Военная база Rock Island, арсенал штата Иллинойс<br /><ul><li> Нас не пускают даже на первую страницу сайта</li></li></ul><li>Изучаем структуру портала и документооборота<br />Документы о закупках хранятся в разделе https://####.ria.army.mil/#### , формат pdf<br />Документы имеют гриф ДСП (Internal Use Only)<br />Обработчик 403 работает по «белому листу», допускает использование роботов Google. <br />Далее просто.<br />
  35. 35. Доступны 89 контрактов на закупку за I квартал 2009 г<br />Закупочная цена - $ 3,641<br /><ul><li>Розничная цена - $ 2,767</li></li></ul><li>Защита от утечки данных – менее 2% компаний<br />Источник: InfoWatch<br />
  36. 36. Изучаем документы Пентагона..2005. Отчет «Спецслужбы России»<br />Отчет <br />Спецслужбы России<br />Лояльность, коррупция, анти-террор<br />Университет специальных операций<br />Август 2005<br />36 страниц<br />
  37. 37. Изучаем документы Пентагона..2007. Отчет «Рособоронэкспорт»<br />Отчет <br />Рособоронэкспорт<br />Институт стратегических исследований<br />2007<br />108 страниц<br />Болевые точки:<br /><ul><li> Китай, Иран, Венесуэла, Сирия
  38. 38. Возможные цепочки в Ливан
  39. 39. Возможные цепочки в Колумбию</li></ul>Последняя фраза отчета: «...time works for us and against Russia»<br />
  40. 40. Изучаем документы Пентагона..2005. Анализ ситуации в Венесуэле<br />Отчет <br />Венесуэла: Уго Чавес, боливарский социализм и методы ассиметричной войны<br />Институт стратегических исследований<br />Октябрь 2005 г<br />39 страниц<br />
  41. 41. Пентагон: справка по каждому шагу Рособоронэкспорта<br />О поставке вертолетов в Венесуэлу:<br />Поставки вертолетов в Венесуэлу:<br />Россия завершила поставку заказанных Венесуэлой вертолетов Mи-35M, Mи-26T2 и Ми-17.<br />С учетом последней партии, на текущий момент на вооружении армейской авиации Сухопутных войск Венесуэлы состоят около 20 многоцелевых транспортных вертолетов Ми-17В-5, 10 вертолетов огневой поддержки Mи-35M и 3 тяжелых транспортных вертолета Mи-26T2. Кроме того, два вертолета Mи-17В-5 в VIP-комплектации (в российских СМИ сообщалось о заказе версии Mи-172 VIP) переданы 4-й авиагруппе, дислоцированной в Каракасе. Еще шесть Mи-17 заказаны для 9-й транспортной авиагруппы, базирующейся в Пуэрто Айакучо (шт.Амазонас). Вертолеты Mи-35M и Mи-26T2 получили "лесную" камуфлированную раскраску на основе трех оттенков зеленого цвета. <br />Как сообщает издание, в рамках реализации десятилетней программы оборонных закупок, рассчитанной на 2007-2017 гг., Каракас намерен продолжить приобретение вертолетов в России для армейской авиации. В ближайшее время в городе Баринас будет сформирована еще одна вертолетная эскадрилья. <br />Ранее сообщалось, что Венесуэла также планирует приобрести эскадрилью многоцелевых ударных вертолетов Ми-28НЭ. Поставка этих машин в случае заключения контракта может начаться во второй половине 2009 года <br /> Для 4-й авиагруппы (Каракас): <br /><ul><li> 20 Многоцелевых Ми-17В-5
  42. 42. 10 Ми-35М (огневой поддержки)
  43. 43. 3 Ми-26Т2 (тяжелый транспорт)
  44. 44. 2 Ми-17В-5 VIP</li></ul>Для 9-й авиагруппы (Амазонас):<br /><ul><li> 6 Ми-17</li></ul> Планы дальнейших поставок:<br /><ul><li> Формируется новая эскадрилья в г. Баринас
  45. 45. Готовится контракт на поставку эскадрильи ударных Ми-28НЭ (конец 2009 г)</li></ul>Справка от 04 июня 2009 г)<br />
  46. 46. Изучаем документы Пентагона..2005. Стратегия сотрудничества с Индией<br />Отчет <br />Региональная безопасность в Азии и перспективы стратегического сотрудничества Индии и США<br />Институт стратегических исследований<br />Сентябрь 2005<br />215 страниц<br />
  47. 47. Изучаем документы Пентагона..2006. Стратегия сотрудничества с Индией<br />Отчет <br />Стратегическое сотрудничество США и Индии: возможности и препятствия в XXI веке<br />Колледж высшего командного состава<br />2006 г<br />137 страниц<br />
  48. 48. Российско-индийский истребитель пятого поколения<br />
  49. 49. Российский истребитель пятого поколения: взгляд из США<br />
  50. 50. Американская стратегия истребителей пятого поколения<br />Из доклада Роберта Гейтса (20.05.2009):<br />...An increase in funding from $6.8 to $10.4 billion for the fifth-generation F-35, which reflects a purchase of 30 planes for FY10 compared to 14 in FY09. This money will also accelerate the development and testing regime to fix the remaining problems and avoid the development issues that arose in the early stages of the F-22 program. More than 500 F-35s will be produced over the next five years, with more than 2,400 total for all the services. Russia is probably six years away from Initial Operating Capability of a fifth-generation fighter and the Chinese are 10 to 12 years away. By then we expect to have more than 1,000 fifth-generation fighters in our inventory;<br /><ul><li> «Россия отстает на 6 лет и Китай – на 10-12 лет. Когда они будут готовы, в США на вооружении будет более 1000 истребителей пятого поколения»</li></li></ul><li>Изучаем документы Пентагона..2005. Анализ ситуации в Иране<br />Отчет <br />Готовимся к ядерному Ирану<br />Институт стратегических исследований<br />Октябрь 2005 г<br />322 страницы<br />
  51. 51. Рекомендации<br />Как обеспечить прогнозирование, выявление, предупреждение и пресечение угроз бизнесу, репутации и устойчивому развитию<br />
  52. 52. Экспресс-курс «Конкурентная разведка» - 1 день<br />Базовый курс «Методы и приемы конкурентной разведки» - 2 дня<br />Курс «Конкурентная разведка» с гос. сертификатом – 8 дней<br />Шаг 1. Обучение специалистов<br />
  53. 53. Шаг 2. Начальный мониторинг утечек конфиденциальной информации<br />Выявляются все факты появления конфиденциальной информации в Интернете<br />В том числе – в т.н. «Невидимом Интернете»<br />Анализируется деятельность конкурентнов <br />Даются рекомендации по защите<br />
  54. 54. Шаг 3. Развертывание системы интернет-мониторинга<br />
  55. 55. Новое решение – технология интеллектуального поиска Avalanche<br />Персональная версия Avalanche 2.5 – 100 Евро за рабочее место<br />
  56. 56. Avalanche – ежедневный мониторинг компаний, персон, фактов и т.д.<br />
  57. 57. Важная функция – аудит утечек конфиденциальной информации<br />
  58. 58. Системы интернет-мониторинга на основе технологии Avalanche<br />
  59. 59. Шаг 4. Расширение Политики Безопасности<br />Дополнение Политики безопасности компании в части:<br />Использования методов конкурентной разведки<br />Противодействия методам конкурентной разведки<br />
  60. 60. Выполнение указанных шагов позволит обеспечить<br />Прогнозирование<br />Выявление<br />Предупреждение<br />Пресечение угроз бизнесу, репутации и устойчивому развитию<br />
  61. 61. Спасибо за внимание<br />МАСАЛОВИЧ<br />Андрей Игоревич<br />E-mail: am@inforus.biz<br />+7 (495) 517-33-83 <br />

×