http://forum.razved.info//index.php?t=2065 Навеяно научными трудами Альтшуллера Г. С., Поспелова Д.А. и художественными произведениями А&#769;. Ко&#769;нан Дойля. Дальше не читать, конфиденциально, доступ лиц строго ограничен... ru http://forum.razved.info//index.php?t=2065&p=22204#pp22204 http://forum.razved.info//index.php?t=2065&p=22204#pp22204 ссылки в тему - про уязвимости одного популярного публичного сайта <img src="http://forum.razved.info//smiles/ireful.gif" align=absmiddle alt=":reful:"> - _ttp://habrahabr.ru/blogs/infosecurity/127333/ и _ttp://habrahabr.ru/blogs/infosecurity/127328/<br /><br />Так что не все организации хорошо защищаются... <img src="http://forum.razved.info//smiles/wonder1.gif" align=absmiddle alt=":wonder1:"> <br /> Vinni Tue, 06 Sep 2011 11:50:33 +0400 http://forum.razved.info//index.php?t=2065&p=22098#pp22098 http://forum.razved.info//index.php?t=2065&p=22098#pp22098 <br>lukamud написал:<blockquote><div style="height:1px;width:1px;overflow:hidden">[q]</div><br />Найдите в вашем сообществе бывшего или действующего силовика и поручите это ему. Он всех построит и наладит бизнес-процессы. <div style="height:1px;width:1px;overflow:hidden">[/q]</div></blockquote><br /> <img src="http://forum.razved.info//smiles/lol.gif" align=absmiddle alt=":lol:"> в том то и дело, что тут большинство или бывшие или действующие... Игорь Нежданов Thu, 01 Sep 2011 21:59:57 +0400 http://forum.razved.info//index.php?t=2065&p=22092#pp22092 http://forum.razved.info//index.php?t=2065&p=22092#pp22092 <br>Игорь Нежданов написал:<blockquote><div style="height:1px;width:1px;overflow:hidden">[q]</div>Только аниматор нужен, который будет процесс педалировать и координировать. <div style="height:1px;width:1px;overflow:hidden">[/q]</div></blockquote><br />Найдите в вашем сообществе бывшего или действующего силовика и поручите это ему. Он всех построит и наладит бизнес-процессы. <br /><br /><br>Sergey написал:<blockquote><div style="height:1px;width:1px;overflow:hidden">[q]</div>Вы меня не поняли. Я написал: в нормальной компании<br />2-х, дсп лежит всегда на внутреннем сервере компании в СУБД. И это никак не открытый файл (doc,txt,html,...)<br />А это всегда логин нужен и, зачастую, привязкой к IP<div style="height:1px;width:1px;overflow:hidden">[/q]</div></blockquote><br />Естественно, в случае нормальной компании наличие в открытом доступе конфиденциальной информации исключается, полностью с Вами согласен. А в случае не нормальной? Как следует из приведенных выше ссылок ненормальные компании встречаются, и в этих редких или частых случаях предложенный подход можно использовать. lukamud Thu, 01 Sep 2011 21:09:16 +0400 http://forum.razved.info//index.php?t=2065&p=22088#pp22088 http://forum.razved.info//index.php?t=2065&p=22088#pp22088 <br>lukamud написал:<blockquote><div style="height:1px;width:1px;overflow:hidden">[q]</div><br />Не держат в виде открытых текстов? Я то же так раньше думал, пока мне про это не рассказали <div style="height:1px;width:1px;overflow:hidden">[/q]</div></blockquote><br />Вы меня не поняли. Я написал: <u> в нормальной</u> компании<br />2-х, дсп лежит всегда на внутреннем сервере компании в СУБД. И это никак не открытый файл (doc,txt,html,...)<br />А это всегда логин нужен и, зачастую, привязкой к IP<br /> Sergey Thu, 01 Sep 2011 19:21:15 +0400 http://forum.razved.info//index.php?t=2065&p=22085#pp22085 http://forum.razved.info//index.php?t=2065&p=22085#pp22085 <br>lukamud написал:<blockquote><div style="height:1px;width:1px;overflow:hidden">[q]</div>Если за это взятся всем миром, организовать какой-то фаундейшн на базе вашего сообщества, то больше года вряд ли потребуется. <div style="height:1px;width:1px;overflow:hidden">[/q]</div></blockquote><br />Безусловно да. <br />Только аниматор нужен, который будет процесс педалировать и координировать. Игорь Нежданов Thu, 01 Sep 2011 17:38:47 +0400 http://forum.razved.info//index.php?t=2065&p=22082#pp22082 http://forum.razved.info//index.php?t=2065&p=22082#pp22082 <br>Sergey написал:<blockquote><div style="height:1px;width:1px;overflow:hidden">[q]</div>Не все так просто. Обычно, любая нормальная компания не держит такую информацию (любую коммерческую) в виде открытых текстов.<br />Сайт и база разнесены (обычно, это отдельный сервер закрытой зоны). Доступ к базе вот так вот просто - это несбыточная мечта. <div style="height:1px;width:1px;overflow:hidden">[/q]</div></blockquote><br /><br />Не держат в виде открытых текстов? <img src="http://forum.razved.info//smiles/laugh.gif" align=absmiddle alt=":laugh:"> Я то же так раньше думал, пока мне про это не рассказали <img src="http://forum.razved.info//smiles/laugh.gif" align=absmiddle alt=":laugh:"> Это покруче будет, чем коммерческие тайны каких либо "Рогов и Копыт Интернешнл". "В открытый доступ попал находящийся во внутреннем документообороте газеты "Маркер" документ за подписью Президента Российской Федерации Д.А. Медведева, содержащий гриф "Для служебного пользования" _ttp://dobryi-leshii.livejournal.com/7779.html . Не очень поверил автору, пока сам не нашел черновые записи визита президента в ДФО в открытом доступе. _ttp://lukamud.livejournal.com/23151.html . <br /><br />Но дело не в этих частных примерах. Вполне возможно, что они не очень наглядны. Я хочу сказать, что информация добытая совершенно законным путем, формаализованая и обрабатываемая как я написал в исходном посту может оказаться не только полезной для практикующего "крщика-безопасника", но и прриобретает новое качество. Попробуйте в голове осмыслить приведенные мною 11 элементарных событий, применительно к рассмотренным мною примерам задач и сравните с результатами полученными путем анализа графа на рисунке? Что проще? lukamud Thu, 01 Sep 2011 15:08:19 +0400 http://forum.razved.info//index.php?t=2065&p=22078#pp22078 http://forum.razved.info//index.php?t=2065&p=22078#pp22078 Не все так просто. Обычно, любая нормальная компания не держит такую информацию (любую коммерческую) в виде открытых текстов.<br />Сайт и база разнесены (обычно, это отдельный сервер закрытой зоны). Доступ к базе вот так вот просто - это несбыточная мечта. Sergey Thu, 01 Sep 2011 11:08:58 +0400 http://forum.razved.info//index.php?t=2065&p=22071#pp22071 http://forum.razved.info//index.php?t=2065&p=22071#pp22071 <br>Игорь Нежданов написал:<blockquote><div style="height:1px;width:1px;overflow:hidden">[q]</div>Вот только его реализация займет приличный кусок времени. <div style="height:1px;width:1px;overflow:hidden">[/q]</div></blockquote><br />Если за это взятся всем миром, организовать какой-то фаундейшн на базе вашего сообщества, то больше года вряд ли потребуется. lukamud Thu, 01 Sep 2011 10:26:54 +0400 http://forum.razved.info//index.php?t=2065&p=22059#pp22059 http://forum.razved.info//index.php?t=2065&p=22059#pp22059 Интересное предложение и вполне разумное. Вот только его реализация займет приличный кусок времени. Игорь Нежданов Wed, 31 Aug 2011 20:51:54 +0400 http://forum.razved.info//index.php?t=2065&p=22040#pp22040 http://forum.razved.info//index.php?t=2065&p=22040#pp22040 <a href="http://pics.livejournal.com/lukamud/pic/00055h8x" target=_blank><img src="http://pics.livejournal.com/lukamud/pic/00055h8x" alt="" name="itag" border=none></a>Внимательно наблюдаю за развитием этой отрасли знаний в России уже несколько лет. Много интересных книг вышло на эту тему, организованы курсы по обучению, полно публикаций в сети. Всем им присущ общий недостаток — нет методологии. Типичный стиль изложения достижений в этой области - история со счастливым концом для Заказчика или Исполнителя, или катастрофическими последствиями для тех против кого работала конкурентная разведка, или тех кто не уделял ей должного внимания. <br />Ну, а где методология? Попробую внести свой скромный вклад в дело развития этой отрасли знаний. <br /><br />Количество изложенных примеров выходит за рамки разумно обозреваемого количества и вряд ли может послужить хорошим учебным пособием для человека, пытающегося решать практические задачи в области конкурентной разведки. Хотя может быть вполне достаточной для поиска специалиста способного решить имеющуюся проблему. Извечный вопрос, а что делать? Как неподготовленному в области конкурентной разведки, но специалисту в некоторой предметной области эффективно использовать опыт накопленный в этой области применительно к решению своих насущных задач?<br /><br />Ответ на этот вопрос получен где-то в середине прошлого века. Все, что происходит в этом бренном мире с достаточной степенью точности может быть представлено в виде графа элементами которого являются элементарные события, т.е. пары «причина-&gt;следствие», Примеры (заимствованы у практиков конкурентной разведки). Каждая причина и следствие имеют свой, указанный в скобках. <br />1.<br />Причина: «Наличие файла robots.txt,»(id=1)<br />Следствие: «Раскрывает информацию о каталогах сайта» (id=2)<br /><br />2.<br />Причина: «Наличие файла robots.txt,»(id=1)<br />Следствие: «Улучшает индексации сайта поисковыми системами» (id=3)<br /><br />3.<br />Причина: «Наличие файла robots.txt,»(id=1)<br />Следствие: «Определение тип CMS на которой работает сайт» (id=4)<br /><br />5.<br />Причина: «Определение типа CMS сайта,»(id=4)<br />Следствие: «Получение информации о наличии уязвимостей в сайте» (id=5)<br /><br />6.<br />Причина: «Размещение конфиденциальной информации в каталогах сайта, в том числе и не подлежащих индексации поисковыми системами »(id=10)<br />Следствие: «Получение доступа к конфиденциальной информации третьими лицами» (id=6)<br /><br />7.<br />Причина: «Получение доступа к конфиденциальной информации третьими лицами» (id=6)<br />Следствие: «Неконтролируемое распространение конфиденциальной информации» (id=8)<br /><br />8.<br />Причина: «Получение доступа к конфиденциальной информации третьими лицами» (id=6)<br />Следствие: «Использование конфиденциальной информации третьими лицами не в интересах её владельца» (id=9)<br /><br />9.<br />Причина: «Неконтролируемое распространение конфиденциальной информации» (id=8)<br />Следствие: «Использование конфиденциальной информации третьими лицами не в интересах её владельца»(id=9)<br /><br />10. 1<br />Причина: «Раскрытие информации о каталогах сайта» (id=2)<br />Следствие: «Получение доступа к конфиденциальной информации третьими лицами» (id=6)<br /><br />11.<br />Причина: ««Получение информации о наличии уязвимостей в сайте»,»(id=5)<br />Следствие: «Получение доступа к конфиденциальной информации третьими лицами» (id=6)<br /><br />Простите за достаточно нудное описание, но это необходимо для дальнейшего понимания практических примеров. Вряд ли прочитав эти строки, даже внимательный читатель понял, что я хочу сказать?<br />Поэтому перейдем к наглядному примеру. <br /><br /><b>Пример №1</b><br /><b>Вербальное описание ситуации. </b> <br />Вебмастер, общаясь в курилке со специалистом по КР, безопасником или кого-то еще, ответсвенного за эти вопросы в компании(для краткости назовем этого специалиста - «крщик-безопасник» ), задает вопрос: «В Инете много чего написано про robots.txt, на нашем сайте мы его оставим или нет? »<br /><br /><b>Комментарий:</b> Предположим, что на компьютере сотрудника которому обратился вебмастер установлено программное обеспечение, хранящее описанные выше элементарные события в базе данных и позволяющие визуализировать итоговый граф. Т.е. прорисовать возможные последствия наличия файла robots.txt на сайте. <br /><b>Решение.</b> <br />Нажатие нескольких кнопок и на экране отображается Граф... В вершине графа исходная ситуация - наличие файла robots.txt, ниже последствия к которым его наличие может привести. Положительные последствия отмечены зеленым (улучшение индексации поисковиками), нейтральные голубым, явно негативные ( получение доступа к конфиденциальной информации третьими лицами, неконтролируемое распространение конфиденциальной информации, использование конфиденциальной информации третьими лицами не в интересах её владельца) красным. <br />Отличный повод для содержательной беседы двух специалистов вебмастера и «крщика-безопасника». <br /><br /><b>Пример №2 или «А продемонстрировать Вам мой дедуктивный метод, дорогой Уотсон?»</b><br /><b>Вербальное описание ситуации. </b><br />Владелец бизнеса, директор вызывает упомянутого выше «крщика-безопасника» и вставляет ему за то, что конкуренты узнали про прайс-листы, содержашие спец-предложения для особой категории клиентов компании. <br /><b>Комментарий:</b> В предыдущем примере был проиллюстрирован подход позволяющий спрогнозировать ситуацию. В этом примере будет показана возможность дедуктивного анализа ситуации с помощью предлагаемого подхода. Предположим, что «крщик-безопасник» интуитивно допустил возможность утечки прайс-листов через вебсервер компании, так же оставим в силе допущение о том, что то на компьютере «крщика-безопасника» установлено программное обеспечение, хранящее описанные выше элементарные события в базе данных и позволяющие визуализировать итоговый граф<br /><b>Решение. </b><br />Налицо имеет место «Неконтролируемое распространение конфиденциальной информации» (id=8), являющееся следствием каких-то до сих пор не выясненных причин, с этого узла и начнем строить граф, с целью выяснить как это могло произойти? Построив граф от этого узла, с учетом того обстоятельства, что многие из приведенных Выше причинно-следсвенных связей обратимы можно понять из-за чего прайс-листы оказались в свободном доступе. <br /><br />Недальновидный админ, модератор может испугаться, стереть мой пост и отправить меня в бан. Действительно можно подумать, что любая секретарша теперь сможет решать подобные рассмотренным выше задачам без участия специалистов, а специалисты останутся без работы. Я думаю, что это не так. <br /><br />Создание некоторого проекта, реализующего алгоритм описанный выше, позволит обобщить опыт сообщества для решения практических задач, стоящих перед его членами. Возможностей для монетизации проекта просто не меряно. Например, бесплатный ресурс с ограниченными возможностями для пользователей, торгующей рекламой, или внес новый элемент в граф, его используют- получай деньги, попользовался системой — заплати.<br /><br />PS Если кто-то возьмется за реализацию проекта с удовольствием понаблюдаю за его развитием. lukamud Wed, 31 Aug 2011 13:44:40 +0400