Форум Сообщества Практиков Конкурентной разведки (СПКР)

О моей квалификации судят те, кто знает меня. По крайней мере кому оказывал помощь - не жаловались. Имею удостоверения аудитора и специалиста ИБ, по стандарту ISO 27001от BSI, российские удостоверения и сертификаты как защите так и по аудиту ИБ.

[q]

как Вы тогда рассчитываете получить информацию от конкурента, не будете же с ним договор заключать? Наверное в любом исследовании есть свои пределы, за которые заходить нежелательно (а иногда и крайне противопоказано).. если рассматриваете социнженерию - то думаю, это отчасти тот же хакинг, только объект противоправного (или непротивоправного) посягательства другой..

[/q]

Еще раз поясню: Читайте определение пентеста. "Пентест - метод оценки безопасности компьютерных систем или сетей средствами моделирования атаки злоумышленника. Процесс включает в себя активный анализ системы на наличие потенциальных уязвимостей, которые могут спровоцировать некорректную работу целевой системы, либо полный отказ в обслуживании. Анализ ведется с позиции потенциального атакующего и может включать в себя активное использование уязвимостей системы. Результатом работы является отчет, содержащий в себе все найденные уязвимости системы безопасности, а также может содержать рекомендации по их устранению. Цель испытаний на проникновение — оценить его возможность осуществления и спрогнозировать экономические потери в результате успешного осуществления атаки. Испытание на проникновение является частью аудита безопасности." "Аудит безопасности - это УСЛУГА, которая осуществляется по совместному договору.
Теперь далее. Если вы хотите добывать данные по конкуренту, то есть легальные способы добычи информации и это называется конкурентной разведкой в интернете. Она использует легальные методы рекогносцировки и прослушки. До тех пор пока ВЫ НЕ НАРУШАЕТЕ работы систем конкурента, не вторгаетесь в пределы ОХРАНЯЕМОЙ (ключевое слово, если вы ничего не нарушая получили, значит не охраняется и доказать это в суде у конкурента НЕ ПОЛУЧИТСЯ) им зоны и не препятствуете работе его систем - вы конкурентный разведчик и получаете информацию so-so легально. Но стоит вам пересечь эти пределы или изменить те или иные параметры его систем, заблокировать доступ к его системам - ВЫ ХАКЕР, и вам прямая дорога в тюрьму.
ПОЭТОМУ все таки надо быть очень щепетильным в определениях, и как советовал мой любимый герой "У меня есть слабость - я чту уголовный кодекс!"
WEBBEZ я пробовал. Возвращаясь к написанному - согласно ПРЕДНАЗНАЧЕНИЯ это СКАНЕР УЯЗВИМОСТИ. Вы можете дискутировать о его возможностях, но его функционал именно в этом.
По работе я уже указал, что лучше.

[q]

Лично мое мнение - работа с инструментами - очень хорошо, но показатель уровня профессионализма - умение работать руками, не прибегая к помощи инструментов.. Знаете, как у квартирников (ну и не только )- есть такой инструмент Пик-ган.. он значительно облегчает исполнение работы..а то и вовсе делает всю работу самостоятельно.. но только умение работать отмычкой или промер и последующее самостоятельное изготовление дубликата ключа - ВСЕГДА считалось признаком мастерства..

[/q]

Ну WEBBEZ только показывает "какие где проточки на ключе" как любой другой сканер уязвимостей.
Отмычка - это exploit, Troyan, Rootkit -что уже по определению подпадает под создание вредоносных программ ст.273 УК РФ.
Я исчерпывающе ответил на вопросы?

Nachoperot написал:

[q]

Она использует легальные методы рекогносцировки и прослушки

[/q]

что Вы понимаете под легальными методами прослушки?

Nachoperot написал:

[q]

Имею удостоверения аудитора и специалиста ИБ, по стандарту ISO 27001от BSI, российские удостоверения и сертификаты как защите так и по аудиту ИБ.

[/q]

это здорово.. в чем-то завидую.. в отношении этого могу сказать, что унивесалов не существует, в чем-то вы реально можете быть на голову выше некоторых, ну а в чем-то и наголову проиграете- это не сильно страшно, поэтому тут все и общаются и обмениваются опытом.. всего знать невозможно.. мы все учимся

Nachoperot написал:

[q]

если вы ничего не нарушая получили, значит не охраняется

[/q]

ну вот ту не соглашусь.. если админ по недесмотру неправильно сконфигурировал, ) оставил некоторые директории открытыми и Вы сумели получить нужные Вам сведения.. это вовсе не значит, что система или информация не охранялась(тся)..
Nachoperot написал:

[q]

WEBBEZ я пробовал. Возвращаясь к написанному - согласно ПРЕДНАЗНАЧЕНИЯ это СКАНЕР УЯЗВИМОСТИ. Вы можете дискутировать о его возможностях, но его функционал именно в этом.

[/q]

с этим никто не спорит.. в каждом подобном сканере есть свои плюсы и свои минусы.. они известны


Nachoperot написал:

[q]

На всякий случай есть 300 сравнительно честных способов получения информации

[/q]

можно немного поподробнее?

Nachoperot написал:

[q]

Как максимум - засланец.

[/q]

это чистый промышленный шпионаж.. прямая дорога это и выявляется очень хорошо и документируется.. можете поверить моему опыту (я не технарь.. поэтому эту проблему знаю с другой стороны )

Nachoperot написал:

[q]

Отмычка - это exploit, Troyan, Rootkit -что уже по определению подпадает под создание вредоносных программ ст.273 УК РФ.

[/q]

с этим не спорю.. просто наверное немного другое имел ввиду.. привел неудачное сравнение.. имелось ввиду именно работа руками..не прибегая к такому арсеналу

[q]

Nachoperot написал:

[q]

если вы ничего не нарушая получили, значит не охраняется

[/q]

ну вот ту не соглашусь.. если админ по недесмотру неправильно сконфигурировал, ) оставил некоторые директории открытыми и Вы сумели получить нужные Вам сведения.. это вовсе не значит, что система или информация не охранялась(тся)..
Nachoperot написал:

[/q]

Это определение ЗАКОНА. Если они были получены БЕЗ использования вредоносных программ, т.е. доступ был получен в открытую - то это именно НЕ ОХРАНЯЛОСЬ и другого понятия закон не понимает.

[q]

это чистый промышленный шпионаж.. прямая дорога это и выявляется очень хорошо и документируется.. можете поверить моему опыту (я не технарь.. поэтому эту проблему знаю с другой стороны )

[/q]

Я тоже как бы в некотором роде полковником служил в управлении по ОП.... Так что, я скорее так называемый "технический криминалист". Плюс... Достаточный оперативный стаж в Московском регионе в экономической сфере - у нас подобного добра сами понимаете достаточно. Смею Вас заверить - засланца не так просто задокументировать, если, конечно, он не ИДИОТ.... Даже если и задокументировать, то судебная перспектива - ничтожна. Посмотрите на судебную практику - она ничтожна. Как правило, доказательная база страдает.

[q]

имелось ввиду именно работа руками..не прибегая к такому арсеналу

[/q]

ручками без взлома ЗАЩИЩЕННОЕ не вскрыть даже SE без вредоносов не делается. Мне не верите - можете спросить как делают пентест по черному ящику в ДИАЛОГНАУКЕ например. Они разбрасывают флешки с Троем и бэкдором. А потом по прямому каналу - внутрь. Но это ПЕНТЕСТ (по договору). Если нет - то будет хакинг, и если мои коллеги Илья Сачков или В.Медведев будут проводить расследование, то они приложут макс. усилий и в 76% случаев найдут эту задницу, даже если Хакинг был через 5-6 хопов в проксификаторе.

[q]

Nachoperot написал:

[q]

На всякий случай есть 300 сравнительно честных способов получения информации

[/q]

можно немного поподробнее?

[/q]

Можно, но это Вам на курсы и за деньги. Лично я в это дело вложил достаточно большое кол-во дензнаков. У того же Масаловича это стоит (полный курс) порядка 76 тысяч. Да и вы вроде член СПКР - должны сами знать....

Nachoperot написал:

[q]

Да и вы вроде член СПКР - должны сами знать....[/q
я думал, может скажите то, чего еще не слышал.. как говорит один очень уважаемый мной человек, который тут под ником.. вся беда в КР из-за того, что все пытаются доказать, что его кунг-фу лучше у Масаловича я был.. и не только..
в плане документирования действий "засланных" казачков - все же не соглашусь.. естественно не принимая во внимание работу по нелегалам.. насколько знаю.. за выявление и задержание нелегала - некоторые героев получали все же если правильно поставлена упреждающая работа - особенно применительно к нашим предприятиям.. уровень внедряемого далек от профи..

насчет работы в ОП .. ну это отдельная тема много друзей там респект .. но и мог бы много рассказать негативных (проф) моментов, когда мероприятия которые готовились нашим подразделением совместно с ОБПФ по 6-8 мес летели хз куда..- это отвлечение

Nachoperot написал:

[q]

если мои коллеги Илья Сачков или В.Медведев будут проводить расследование, то они приложут макс. усилий и в 76% случаев найдут эту задницу, даже если Хакинг был через 5-6 хопов в проксификаторе.

[/q]

скажем так, знаю и других специалистов, которые до сих пор работают и не светятся.. их профуровень, скажу Вам, далеко выше среднего.. могут тоже самое.. -они все молодцы

Хотелось бы, чтобы беседа не скатывалась к схоластике, а была направлена на конструктивное русло с приобретением нового опыта..- если не прав.. поправьте..
Nachoperot написал:

[q]

Можно, но это Вам на курсы и за деньги

[/q]

Спасибо за совет в дальнейшем учту

SiteSputnik некоторые из описанных задач здорово автоматизирует в версии Objects..но голову и творческий подход руками еще никто не отменял