positive hack days. Масалович. Мастер-класс: Конкурентная...

Международный форум по практической безопасности

МАСАЛОВИЧАндрей Игоревич

Руководитель направления конкурентной разведки, член совета диреторов

ЗАО «ДиалогНаука» am@inforus.biz

517-33-83

Конкурентная разведка в Интернете

Конкурентная разведка

Конкурентная разведка (англ. Competitive Intelligence, сокр. CI) — сбор и обработка данных из разных источников, для выработки управленческих решений с целью повышения конкурентоспособности коммерческой организации, проводимые в рамках закона и с соблюдением этических норм (в отличие от промышленного шпионажа); а также структурное подразделение предприятия, выполняющее эти функции.

Конкурентная разведка – это информационное обеспечение победы над конкурентами

«Я просто не люблю неожиданностей»

Философия конкурентной разведки:

Не используем затратные методы Не используем трудоемкие методы Не нарушаем закон Не нарушаем этических норм Не оставляем следов

Основа деятельности – статья 29, ч.4 Конституции РФ

Статья 29 4. Каждый имеет право свободно

искать, получать, передавать, производить и распространять информацию любым законным способом.

Перечень сведений, составляющих государственную тайну, определяется федеральным законом.

Арсенал обычного пользователя

Использование гиперссылок Поисковые системы Базы данных

Наш арсенал: уязвимости Top Ten 2010 OWASP - А4 и А8

OWASP.ORG – Open Web Application Security Project OWASP Top 10 2011: A1: Injection A2: Cross-Site Scripting (XSS) A3: Broken Authentication and Session Management A4: Insecure Direct Object References A5: Cross-Site Request Forgery (CSRF) A6: Security Misconfiguration A7: Insecure Cryptographic Storage A8: Failure to Restrict URL Access A9: Insufficient Transport Layer Protection A10: Unvalidated Redirects and Forwards

OWASP A4 – уязвимая ссылка A4 - Insecure Direct Object References Applications frequently use the actual name or

key of an object when generating web pages. Applications don’t always verify the user is authorized for the target object. This results in an insecure direct object reference flaw. Testers can easily manipulate parameter values to detect such flaws and code analysis quickly shows whether authorization is properly verified.

OWASP A8 – уязвимое хранение

A8-Failure to Restrict URL Access Applications are not always protecting page

requests properly. Sometimes, URL protection is managed via configuration, and the system is misconfigured. Sometimes, developers must include the proper code checks, and they forget.

Detecting such flaws is easy. The hardest part is identifying which pages (URLs) exist to attack.

Примеры

Аналитические справки, которых нет в Интернете

Документация и список клиентов – http://www.ameritechsecurityllc.com/ma

nuals/manual_ademco_vista_15p.pdf Список клиентов – ExcelBizDir.xls Защита паролей информационной

системы одной из ветвей власти

Наш арсенал: уязвимости человека

Процессор: Мозг кроманьонца Создан 40 000 лет назад. No upgrades Операционная система: Наше сознание Инсталлирована 40 000 лет назад. No

patches

Основные уязвимости:7 смертных грехов

Гордыня Алчность Блуд Зависть Чревоугодие Гнев Уныние

Используем Алчность: гос.секреты Украины по 6 гривен

База Ligazakon.ua Для службового користування

Действительно, работает

Интернет: традиционный взгляд

Открытый Интернет Защищенные ресурсы

Интернет: сфера конкурентной разведки

СсылкиПоисковики

Базы

Расширенный поискНевидимые страницы

Другие поисковикиВременный доступ

Открытые папки

Сфера конкурентной разведки

Открытые FTP

Уязвимости защитыУтечки «секретно»

Утечки «Сов.секретно»Утечки паролей

Утечки ДСП Пиратские базы

Старые и новые версии

Область применения проникающих роботов

А также:• Утечки партнеров• Социальные сети• Блоги, форумы• Сайты компромата

• RSS-потоки• Коллективное хранение• Удаленное обучение• Страницы аналитиков

И многое, многое другое...

4 простых метода нахождения открытых папок

1. Отсечение 2. Index of 3. Брутфорс стандартных имен 4. Удлинение адреса Мониторинг вместо поиска

Простые методы поиска открытых разделов на ftp

По адресу: ftp://ftp.tribobra.ru По ftp в адресной строке - Google Спец. Поисковики – FileWatcher По использованию порта 21: ftp://логин:пароль@ftp.tribobra.ru:21

Информационная безопасность –

общее определение

Информационная безопасность – это защищенность информации и поддерживающей ее инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести ущерб владельцам или пользователям информации

Высший уровень конфиденциальности -Государственная тайна

Государственная тайна - защищаемые государством сведения в области его военной,внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации

(Закон «О государственной тайне» - ФЗ № 5485-1

от 21 июля 1993 года, действующая редакция)

Коммерческая тайна

Информация, составляющая коммерческую тайну, - научно-техническая, технологическая, производственная, финансово-экономическая или иная информация (в том числе составляющая секреты производства (ноу-хау), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введен режим коммерческой тайны

(Закон «О коммерческой тайне» - Федеральный закон Российской Федерации от 29 июля 2004 г. N 98-ФЗ )

Пример: доступ к документам «Строго конфиденциально» без нарушения защиты

Шаг 1. Открытый документ, уязвимая адресацияhttps://partner.microsoft.com/download/global/40043498

https://partner.microsoft.com/download/global/40043497

Шаг 2. Нумерация страниц: обратный отсчет

Шаг 3. Документ «Строго конфиденциально»

https://partner.microsoft.com/download/global/40043496

Конкурентная разведка

Конкурентная разведка (англ. Competetive Intelligence, сокр. CI) — сбор и обработка данных из разных источников, для выработки управленческих решений с целью повышения конкурентоспособности коммерческой организации, проводимые в рамках закона и с соблюдением этических норм (в отличие от промышленного шпионажа); а также структурное подразделение, выполняющее эти функции

Пример. Доступ к секретным документам без нарушения защиты Материалы конференции Тихоокеанской

группировки армии США – гриф Classified

US Pacific Command S & T Conference – июль 2008

Доклад зам. министра обороны США «Перспективные системы и концепции»

Доклад «Перспективные системы и концепции» (продолжение)

Пример: Получить доступ к военным контрактам США

Знакомьтесь: Военная база Rock Island, арсенал штата Иллинойс

• Нас не пускают даже на первую страницу сайта

Изучаем структуру портала и документооборота Документы о закупках хранятся в разделе

https://####.ria.army.mil/#### , формат pdf Документы имеют гриф ДСП (Internal Use Only) Обработчик 403 работает по «белому листу»,

допускает использование роботов Google. Далее просто.

Доступны 89 контрактов на закупку за I квартал 2009 г

Розничная цена - $ 2,767 Закупочная цена - $ 3,641

Защита от утечки данных – менее 2% компаний

Источник: InfoWatch

Изучаем документы Пентагона..2005. Отчет «Спецслужбы России»

Отчет

Спецслужбы РоссииЛояльность, коррупция, анти-террор

Университет специальных операцийАвгуст 200536 страниц

Изучаем документы Пентагона..2007. Отчет «Рособоронэкспорт»

Отчет

Рособоронэкспорт

Институт стратегических исследований2007

108 страниц

Болевые точки:• Китай, Иран, Венесуэла, Сирия• Возможные цепочки в Ливан• Возможные цепочки в

КолумбиюПоследняя фраза отчета: «...time works for us and against Russia»

Изучаем документы Пентагона..2005. Анализ ситуации в Венесуэле

Отчет

Венесуэла: Уго Чавес, боливарский социализм и методы ассиметричной войны

Институт стратегических исследованийОктябрь 2005 г

39 страниц

Пентагон: справка по каждому шагу Рособоронэкспорта

Поставки вертолетов в Венесуэлу: Россия завершила поставку заказанных

Венесуэлой вертолетов Mи-35M, Mи-26T2 и Ми-17. С учетом последней партии, на текущий момент

на вооружении армейской авиации Сухопутных войск Венесуэлы состоят около 20 многоцелевых транспортных вертолетов Ми-17В-5, 10 вертолетов огневой поддержки Mи-35M и 3 тяжелых транспортных вертолета Mи-26T2. Кроме того, два вертолета Mи-17В-5 в VIP-комплектации (в российских СМИ сообщалось о заказе версии Mи-172 VIP) переданы 4-й авиагруппе, дислоцированной в Каракасе. Еще шесть Mи-17 заказаны для 9-й транспортной авиагруппы, базирующейся в Пуэрто Айакучо (шт.Амазонас). Вертолеты Mи-35M и Mи-26T2 получили "лесную" камуфлированную раскраску на основе трех оттенков зеленого цвета.

Как сообщает издание, в рамках реализации десятилетней программы оборонных закупок, рассчитанной на 2007-2017 гг., Каракас намерен продолжить приобретение вертолетов в России для армейской авиации. В ближайшее время в городе Баринас будет сформирована еще одна вертолетная эскадрилья.

Ранее сообщалось, что Венесуэла также планирует приобрести эскадрилью многоцелевых ударных вертолетов Ми-28НЭ. Поставка этих машин в случае заключения контракта может начаться во второй половине 2009 года

О поставке вертолетов в Венесуэлу:

Для 4-й авиагруппы (Каракас): • 20 Многоцелевых Ми-17В-5• 10 Ми-35М (огневой

поддержки)• 3 Ми-26Т2 (тяжелый транспорт)• 2 Ми-17В-5 VIP Для 9-й авиагруппы (Амазонас):• 6 Ми-17 Планы дальнейших поставок:• Формируется новая эскадрилья

в г. Баринас• Готовится контракт на

поставку эскадрильи ударных Ми-28НЭ (конец 2009 г)

Справка от 04 июня 2009 г)

Изучаем документы Пентагона..2005. Стратегия сотрудничества с Индией

Отчет

Региональная безопасность в Азии и перспективы стратегического сотрудничества Индии и США

Институт стратегических исследованийСентябрь 2005215 страниц

Изучаем документы Пентагона..2006. Стратегия сотрудничества с Индией

Отчет

Стратегическое сотрудничество США и Индии: возможности и препятствия в XXI веке

Колледж высшего командного состава2006 г

137 страниц

Российско-индийский истребитель пятого поколения

Российский истребитель пятого поколения: взгляд из США

Американская стратегия истребителей пятого поколения

Из доклада Роберта Гейтса (20.05.2009):

...An increase in funding from $6.8 to $10.4 billion for the fifth-generation F-35, which reflects a purchase of 30 planes for FY10 compared to 14 in FY09. This money will also accelerate the development and testing regime to fix the remaining problems and avoid the development issues that arose in the early stages of the F-22 program. More than 500 F-35s will be produced over the next five years, with more than 2,400 total for all the services. Russia is probably six years away from Initial Operating Capability of a fifth-generation fighter and the Chinese are 10 to 12 years away. By then we

expect to have more than 1,000 fifth-generation fighters in our inventory;

• «Россия отстает на 6 лет и Китай – на 10-12 лет. Когда они будут готовы, в США на вооружении будет более 1000 истребителей пятого поколения»

Изучаем документы Пентагона..2005. Анализ ситуации в Иране

Отчет

Готовимся к ядерному Ирану

Институт стратегических исследованийОктябрь 2005 г322 страницы

Рекомендации

Как обеспечить прогнозирование, выявление, предупреждение и пресечение угроз бизнесу, репутации и устойчивому развитию

Экспресс-курс «Конкурентная разведка» - 1 день

Базовый курс «Методы и приемы конкурентной разведки» - 2 дня

Курс «Конкурентная разведка» с гос. сертификатом – 8 дней

Шаг 1. Обучение специалистов

Шаг 2. Начальный мониторинг утечек конфиденциальной информации

Выявляются все факты появления конфиденциальной информации в Интернете

В том числе – в т.н. «Невидимом Интернете»

Анализируется деятельность конкурентнов

Даются рекомендации по защите

Шаг 3. Развертывание системы интернет-мониторинга

Новое решение – технология интеллектуального поиска Avalanche

Персональная версия Avalanche 2.5 – 100 Евро за рабочее место

Avalanche – ежедневный мониторинг компаний, персон, фактов и т.д.

Важная функция – аудит утечек конфиденциальной информации

Системы интернет-мониторинга на основе технологии Avalanche

Шаг 4. Расширение Политики Безопасности

Дополнение Политики безопасности компании в части:

Использования методов конкурентной разведки

Противодействия методам конкурентной разведки

Выполнение указанных шагов позволит обеспечить

Прогнозирование Выявление Предупреждение Пресечение угроз бизнесу,

репутации и устойчивому развитию

Спасибо за внимание

МАСАЛОВИЧ Андрей Игоревич

E-mail: am@inforus.biz +7 (495) 517-33-83