Профессор УрГЭУ Ющук Евгений Леонидович, г. Екатеринбург.
Несколько постов одного из ведущих специалистов конкурентной разведки - Андрея Масаловича - на тему безопасности информации в Интернете. Интересны не столько сами находки (тем более, что обстоятельства получения многих из них легендированы), сколько методы получения информации.
Полагаю, тексты представляют интерес для специалистов Конкурентной разведки и Служб Безопасности предприятий.
Несколько постов одного из ведущих специалистов конкурентной разведки - Андрея Масаловича - на тему безопасности информации в Интернете. Интересны не столько сами находки (тем более, что обстоятельства получения многих из них легендированы), сколько методы получения информации.
Полагаю, тексты представляют интерес для специалистов Конкурентной разведки и Служб Безопасности предприятий.
Андрей Масалович. Подарок террористам: планы и инструкции охраны аэропортов России лежат открыто
Подарок террористам: планы и инструкции охраны аэропортов России в открытом доступе
http://www.cnews.ru/news/top/index.s...1/02/02/425737
02.02.11, Ср, 18:37, Мск, Текст: Владислав Мещеряков
Закрытые документы российских аэропортов, включая планы и методики работы их охраны, можно найти в Сети обычным поисковиком.
Документы по безопасности аэропортов желающие могут найти в открытом интернет-доступе, заявил CNews член совета директоров «ДиалогНаука», руководитель направления конкурентной разведки компании Андрей Масалович. В качестве подтверждения своего тезиса он передал CNews пять документов, изданных под грифом «Для служебного пользования».
Для самого Масаловича эти документы стали побочным продуктом аудита информационной безопасности полутора десятков транспортных организаций и их смежников, заказ на который поступил к нему после терракта в «Домодедово». Названия проверенных компаний и организаций и заказчика аудита эксперт уточнить отказался.
Среди открыто лежащих в Сети документов, которые могли бы представлять интерес для потенциального террориста, есть план подлета воздушного судна к аэропорту «Домодедово» и архитектурный план аэропорта имени Шарля де Голля под Парижем. Интересны документы из екатеринбургского аэропорта «Кольцово», в которых содержится детальное описание форменной одежды его охранников с изображениями форменных шевронов и с описанием различий формы охранников разных подразделений.
Кроме того, в интернете обнаружился закрытый отчет французского Бюро расследований и анализа происшествий в гражданской авиации о гибели аэробуса A320, рухнувшего в Средиземное море 28 ноября 2008 г. Масалович подчеркивает, что помимо этого отчета в публичном доступе находится большая подборка рапортов об авиакатастрофах, включающая расшифровки «черных ящиков» погибших бортов.
Методичка Минтранса по выявлению террористов в аэропортах (фрагмент). Издана под грифом ДСП, найдена в Сети поисковиком
Подарок террористам: планы и инструкции охраны аэропортов России в открытом доступе
http://www.cnews.ru/news/top/index.s...1/02/02/425737
02.02.11, Ср, 18:37, Мск, Текст: Владислав Мещеряков
Закрытые документы российских аэропортов, включая планы и методики работы их охраны, можно найти в Сети обычным поисковиком.
Документы по безопасности аэропортов желающие могут найти в открытом интернет-доступе, заявил CNews член совета директоров «ДиалогНаука», руководитель направления конкурентной разведки компании Андрей Масалович. В качестве подтверждения своего тезиса он передал CNews пять документов, изданных под грифом «Для служебного пользования».
Для самого Масаловича эти документы стали побочным продуктом аудита информационной безопасности полутора десятков транспортных организаций и их смежников, заказ на который поступил к нему после терракта в «Домодедово». Названия проверенных компаний и организаций и заказчика аудита эксперт уточнить отказался.
Среди открыто лежащих в Сети документов, которые могли бы представлять интерес для потенциального террориста, есть план подлета воздушного судна к аэропорту «Домодедово» и архитектурный план аэропорта имени Шарля де Голля под Парижем. Интересны документы из екатеринбургского аэропорта «Кольцово», в которых содержится детальное описание форменной одежды его охранников с изображениями форменных шевронов и с описанием различий формы охранников разных подразделений.
Кроме того, в интернете обнаружился закрытый отчет французского Бюро расследований и анализа происшествий в гражданской авиации о гибели аэробуса A320, рухнувшего в Средиземное море 28 ноября 2008 г. Масалович подчеркивает, что помимо этого отчета в публичном доступе находится большая подборка рапортов об авиакатастрофах, включающая расшифровки «черных ящиков» погибших бортов.
Методичка Минтранса по выявлению террористов в аэропортах (фрагмент). Издана под грифом ДСП, найдена в Сети поисковиком
Отдельный интерес для потенциального злоумышленника может представлять ведомственная инструкция российского Минтранса для сотрудников служб безопасности аэропортов о методиках профайлинга (выявлении террориста путем психологического тестирования при активном и пассивном наблюдении).
В методичке детально описываются способы выявления злоумышленника путем наблюдения и неформальной беседы. Преамбула документа гласит, что он предназначен для противодействия «подготовленному террористу, который использует набор тактических приемов и уловок и методов психологического воздействия на сотрудников служб авиационной безопасности».
Интересно, что все эти документы, по заверению Андрея Масаловича, пользователь способен найти в Сети без применения специальных программных средств, то есть с использованием обычного поисковика. Для этого нужно иметь опыт поиска данных в Сети, оговаривается эксперт, но вряд ли серьезного злоумышленника затруднит отыскать такого человека.
Эксперт рассказывает, что продемонстрированные им документы - это далеко не самые неприятные данные, обнаруженные в Сети при проверке транспортных организаций. В качестве самого вопиющего примера халатности к закрытым данным он назвал найденные логины и пароли от FTP-сервера организации «уровня крупной авиакомпании», с помощью которых злоумышленник может организовать как скрытое наблюдение за файлами компании, так и, при желании, подменять или искажать ее электронную документацию.
Халатное отношение к собственным закрытым документам не является отличительной чертой транспортных компаний. Например, с помощью расширенного поиска Google любой пользователь может легко обнаружить 127 документов под грифом «Для служебного пользования» на «Сервере органов государственной власти России» gov.ru.
Из комментариев к статье:
macus | 3.02.2011, 12:26:55
подтверждаю. Ключевые слова, перечисленные в статье, введенные в поисковике выдали ну очень богатый улов,мне оно без надобности,но …
via блог Конкурентная разведка
В методичке детально описываются способы выявления злоумышленника путем наблюдения и неформальной беседы. Преамбула документа гласит, что он предназначен для противодействия «подготовленному террористу, который использует набор тактических приемов и уловок и методов психологического воздействия на сотрудников служб авиационной безопасности».
Интересно, что все эти документы, по заверению Андрея Масаловича, пользователь способен найти в Сети без применения специальных программных средств, то есть с использованием обычного поисковика. Для этого нужно иметь опыт поиска данных в Сети, оговаривается эксперт, но вряд ли серьезного злоумышленника затруднит отыскать такого человека.
Эксперт рассказывает, что продемонстрированные им документы - это далеко не самые неприятные данные, обнаруженные в Сети при проверке транспортных организаций. В качестве самого вопиющего примера халатности к закрытым данным он назвал найденные логины и пароли от FTP-сервера организации «уровня крупной авиакомпании», с помощью которых злоумышленник может организовать как скрытое наблюдение за файлами компании, так и, при желании, подменять или искажать ее электронную документацию.
Халатное отношение к собственным закрытым документам не является отличительной чертой транспортных компаний. Например, с помощью расширенного поиска Google любой пользователь может легко обнаружить 127 документов под грифом «Для служебного пользования» на «Сервере органов государственной власти России» gov.ru.
Из комментариев к статье:
macus | 3.02.2011, 12:26:55
подтверждаю. Ключевые слова, перечисленные в статье, введенные в поисковике выдали ну очень богатый улов,мне оно без надобности,но …
via блог Конкурентная разведка
Андрей Масалович. Реквием по безопасности. Часть 2. Шевроны.
http://dobryi-leshii.livejournal.com/12552.html
Второй эпизод, вызвавший бурное обсуждение - файл с описанием служебной формы и дизайна нарукавных шевронов службы авиационной безопасности одного уважаемого аэропорта:
Сразу скажу, мне не представляется, что публикация подобного файла несет в себе угрозу
(хотя лучше все же такую информацию не обнародовать).
Но интересны обстоятельства утечки.
Один из приемов конкурентной разведки в Интернете - поиск и анализ отладочной версии портала
(там нет такой защиты, как на основном портале, там часты утечки служебных документов,
а если портал использует базу данных, там часто есть и дополнительные уязвимости, дающие доступ в БД).
В данном случае в дополнение к основному сайту аэропорта нашелся его дубль на http://test....
Внешне - почти все время - он представляет собой копию рабочего портала, но несет в себе одну коварную подставу. В те моменты, когда идет обновление содержимого, из некоторых папок на время исчезают файлы типа index.htm - и если не следить за настройками, папки становятся открытыми, и выглядят вот так:
Мой поисковый робот отловил один из таких моментов.
Видно, что в директории довольно много документов и архивов - rar, zip.
Там же оказался и вышеупомянутый файл с шевронами.
Понятно, что на серьезных порталах открытых папок не должно быть. Совсем :-)
Этот пример также поясняет суть одного бытового заблуждения - что конкурентная разведка имеет отношение к умению искать в Google. Да, Google часто бывает полезен - как один из инструментов, но в данном примере Гугл не поможет ничем. Нужно знать эту уязвимость, уметь ее быстро обнаруживать и иметь средства мониторинга - вручную захлебаешься отлавливать моменты, когда папки открыты.
Почему я не боюсь выкладывать описание этой уязвимости в открытый доступ? Профессионалы ее и так знают (она неоднократно публиковалась), а новички ее использовать не смогут - нужен соответствующий инструмент. А вот работникам СБ такие примеры полезны - уязвимость носит массовый характер.
http://dobryi-leshii.livejournal.com/12552.html
Второй эпизод, вызвавший бурное обсуждение - файл с описанием служебной формы и дизайна нарукавных шевронов службы авиационной безопасности одного уважаемого аэропорта:
Сразу скажу, мне не представляется, что публикация подобного файла несет в себе угрозу
(хотя лучше все же такую информацию не обнародовать).
Но интересны обстоятельства утечки.
Один из приемов конкурентной разведки в Интернете - поиск и анализ отладочной версии портала
(там нет такой защиты, как на основном портале, там часты утечки служебных документов,
а если портал использует базу данных, там часто есть и дополнительные уязвимости, дающие доступ в БД).
В данном случае в дополнение к основному сайту аэропорта нашелся его дубль на http://test....
Внешне - почти все время - он представляет собой копию рабочего портала, но несет в себе одну коварную подставу. В те моменты, когда идет обновление содержимого, из некоторых папок на время исчезают файлы типа index.htm - и если не следить за настройками, папки становятся открытыми, и выглядят вот так:
Мой поисковый робот отловил один из таких моментов.
Видно, что в директории довольно много документов и архивов - rar, zip.
Там же оказался и вышеупомянутый файл с шевронами.
Понятно, что на серьезных порталах открытых папок не должно быть. Совсем :-)
Этот пример также поясняет суть одного бытового заблуждения - что конкурентная разведка имеет отношение к умению искать в Google. Да, Google часто бывает полезен - как один из инструментов, но в данном примере Гугл не поможет ничем. Нужно знать эту уязвимость, уметь ее быстро обнаруживать и иметь средства мониторинга - вручную захлебаешься отлавливать моменты, когда папки открыты.
Почему я не боюсь выкладывать описание этой уязвимости в открытый доступ? Профессионалы ее и так знают (она неоднократно публиковалась), а новички ее использовать не смогут - нужен соответствующий инструмент. А вот работникам СБ такие примеры полезны - уязвимость носит массовый характер.
Андрей Масалович. Реквием по безопасности. Часть 3 - Черные ящики
http://dobryi-leshii.livejournal.com/13051.html
Бурное обсуждение вызвали также фразы о том, что в сети найдены расшифровки черных ящиков, схем подлета и грифованная информация по аэропорту Шарля де Голля. Увы, найдены.
Пример расшифровки бортовых самописцев ("черных ящиков"):
Пример схем (траекторий) подлета. Я совсем не спец в авиации и готов поверить, что бывают открытые "схемы подлета".
Но в составе документов по расследованию авиакатастроф эти схемы являются (и должны являться) информацией ограниченного доступа:
Пример документации для служебного пользования (Internal Use Only) по аэропорту Шарля де Голля:
Итак, подытожим содержание столь бурно обсуждавшегося интервью:
1. Я рассказал, что нашел в сети в бесконтрольном доступе весьма большое количество документов ограниченного доступа, связанных с транспортной безопасностью. Это правда. Более 3 Гб, несколько сотен документов.
2. Неприятно большая подборка документов по авиационным инцидентам и катастрофам, а также закрытая документация службы транспортного надзора оказались собраны на одном странном сервере вместе с личными файлами некоего пользователя letchikleha. Это тоже правда.
Никакой связи между персонажем letchikleha с этого сервера и одноименным пользователем ЖЖ я не усматриваю (и не озвучивал) - хотя никаких доказательств и аргументов против существования такой связи никто не привел.
3. Утечки чувствительной информации оказались весьма разноплановыми (от методичек по противодействию терроризму до расшифровок черных ящиков и т.п.) и территориально распределенными - улов собран с десятков серверов. Во многих случаях пришлось использовать специальные методы поиска, поскольку ни Яндекс, ни Гугль ничего не находили, а методы КР - нашли. Т.е. методика экспресс-аудита утечек еще раз доказала право на самостоятельное существование.
4. По всем примерам, которые я озвучивал, приведены скриншоты. Все примеры реальны.
На этом предлагаю дискуссию свернуть, ибо прав Дмитрий Анатольевич - это не тема для пиара, а работу по аудиту я завершил.
http://dobryi-leshii.livejournal.com/13051.html
Бурное обсуждение вызвали также фразы о том, что в сети найдены расшифровки черных ящиков, схем подлета и грифованная информация по аэропорту Шарля де Голля. Увы, найдены.
Пример расшифровки бортовых самописцев ("черных ящиков"):
Пример схем (траекторий) подлета. Я совсем не спец в авиации и готов поверить, что бывают открытые "схемы подлета".
Но в составе документов по расследованию авиакатастроф эти схемы являются (и должны являться) информацией ограниченного доступа:
Пример документации для служебного пользования (Internal Use Only) по аэропорту Шарля де Голля:
Итак, подытожим содержание столь бурно обсуждавшегося интервью:
1. Я рассказал, что нашел в сети в бесконтрольном доступе весьма большое количество документов ограниченного доступа, связанных с транспортной безопасностью. Это правда. Более 3 Гб, несколько сотен документов.
2. Неприятно большая подборка документов по авиационным инцидентам и катастрофам, а также закрытая документация службы транспортного надзора оказались собраны на одном странном сервере вместе с личными файлами некоего пользователя letchikleha. Это тоже правда.
Никакой связи между персонажем letchikleha с этого сервера и одноименным пользователем ЖЖ я не усматриваю (и не озвучивал) - хотя никаких доказательств и аргументов против существования такой связи никто не привел.
3. Утечки чувствительной информации оказались весьма разноплановыми (от методичек по противодействию терроризму до расшифровок черных ящиков и т.п.) и территориально распределенными - улов собран с десятков серверов. Во многих случаях пришлось использовать специальные методы поиска, поскольку ни Яндекс, ни Гугль ничего не находили, а методы КР - нашли. Т.е. методика экспресс-аудита утечек еще раз доказала право на самостоятельное существование.
4. По всем примерам, которые я озвучивал, приведены скриншоты. Все примеры реальны.
На этом предлагаю дискуссию свернуть, ибо прав Дмитрий Анатольевич - это не тема для пиара, а работу по аудиту я завершил.
Андрей Масалович. Реквием по безопасности. Часть 4. Похороны служебной тайны
http://dobryi-leshii.livejournal.com/13199.html
И еще один важный аспект, который не вошел в интервью.
Каждому понятно, что противодействие терроризму и вообще функционирование спецслужб, правоохранительных органов и критических компонентов инфраструктуры страны невозможно без использования информации ограниченного доступа.
Гриф гос. тайны нельзя распространять слишком широко, иначе будет утрачена его сегодняшняя эффективность, да и большинство существенных сведений не составляет гос.тайны.
Они составляют коммерческую тайну для частных организаций (и хоть минимально охраняются законом о коммерческой тайне),
либо служебную тайну - для государственных структур.
А вот служебная тайна сегодня в России не охраняется никак. Закона о служебной тайне нет, а единственный доступный гриф для ее обозначения - ДСП ("Для служебного пользования"). И сохранность ДСП - увы - нулевая.
Вот сервер органов государственной власти РФ - www.gov.ru :
А вот что думает Google о сохранности служебной тайны на этом сервере:
Поэтому с охраной служебной тайны в стране надо что-то менять - либо вводить закон о служебной тайне, либо расширять закон о коммерческой тайне, либо возвращать ответственность за разглашение сведений ограниченного доступа.
А пока этого не произошло, если вы действительно заботитесь о своей безопасности, задайте руководителю своей СБ четыре простых вопроса:
1. Когда последний раз проводилось обучение персонала по ИБ и когда планируется следующее?
Угрозы и факторы риска обновляются постоянно, и в "гонке брони и снаряда" пока неизменно побеждает снаряд.
2. Когда последний раз проводился аудит ИБ (хотя бы аудит утечек) и когда планируется следующий?
Безопасность - девица ветреная, ее нельзя оставлять без присмотра даже ненадолго...
3. Когда последний раз модифицировалась политика (или стратегия) безопасности?
Меняются угрозы, совершенствуются методы противодействия - это нужно учитывать в стратегическом планировании.
4. Развернуты ли у вас средства мониторинга?
Каким бы мотивированным и грамотным не был персонал СБ, ежедневно вручную отслеживать уровень угроз и утечек он не в состоянии.
http://dobryi-leshii.livejournal.com/13199.html
И еще один важный аспект, который не вошел в интервью.
Каждому понятно, что противодействие терроризму и вообще функционирование спецслужб, правоохранительных органов и критических компонентов инфраструктуры страны невозможно без использования информации ограниченного доступа.
Гриф гос. тайны нельзя распространять слишком широко, иначе будет утрачена его сегодняшняя эффективность, да и большинство существенных сведений не составляет гос.тайны.
Они составляют коммерческую тайну для частных организаций (и хоть минимально охраняются законом о коммерческой тайне),
либо служебную тайну - для государственных структур.
А вот служебная тайна сегодня в России не охраняется никак. Закона о служебной тайне нет, а единственный доступный гриф для ее обозначения - ДСП ("Для служебного пользования"). И сохранность ДСП - увы - нулевая.
Вот сервер органов государственной власти РФ - www.gov.ru :
А вот что думает Google о сохранности служебной тайны на этом сервере:
Поэтому с охраной служебной тайны в стране надо что-то менять - либо вводить закон о служебной тайне, либо расширять закон о коммерческой тайне, либо возвращать ответственность за разглашение сведений ограниченного доступа.
А пока этого не произошло, если вы действительно заботитесь о своей безопасности, задайте руководителю своей СБ четыре простых вопроса:
1. Когда последний раз проводилось обучение персонала по ИБ и когда планируется следующее?
Угрозы и факторы риска обновляются постоянно, и в "гонке брони и снаряда" пока неизменно побеждает снаряд.
2. Когда последний раз проводился аудит ИБ (хотя бы аудит утечек) и когда планируется следующий?
Безопасность - девица ветреная, ее нельзя оставлять без присмотра даже ненадолго...
3. Когда последний раз модифицировалась политика (или стратегия) безопасности?
Меняются угрозы, совершенствуются методы противодействия - это нужно учитывать в стратегическом планировании.
4. Развернуты ли у вас средства мониторинга?
Каким бы мотивированным и грамотным не был персонал СБ, ежедневно вручную отслеживать уровень угроз и утечек он не в состоянии.
