Невеличкий вступ
Багато хто вважає, що бізнесом рухають інформаційні технології: управління складом, управління логістики, прогнозування, ситуаційне моделювання, оцінка ризиків, системна динаміка тощо. Але в більшості своїй бізнесом управляє інформаційне протиборство. З двох компаній, що виробляють один товар, переможе не та компанія, що виконує роботу краще, а та, що переможе в тендері. Тобто не важливо, як добре і якісно ти виробляєш товар, а важливо те як правильно використовуєш отриману інформацію. Якщо грамотний керівник отримав правильну інформацію і якщо ця інформація правильно підготовлена, то тоді і наворочені аналітики не потрібні. Всю потрібну інформацію він тримає в руках.
У більшості випадків витік інформації відбувається через вплив внутрішніх загроз - неуважні співробітники або неорганізоване і неакуратне зберігання даних. А раз існує витік, то й існують люди, які спеціалізуються на її пошуку. Фахівцям даної спеціальності доводиться переглядати в день більше сотень ресурсів. І знаходити потрібні дані, не вдаючись до незаконних зломів. Хорошому фахівцеві з пошуку інформації вистачає тижня, щоб отримати всі необхідні дані про підприємство. Сам процес пошуку подібною інформацією називають конкурентною розвідкою. Конкурентна розвідка - збір і обробка даних з різних джерел, для вироблення управлінських рішень з метою підвищення конкурентоспроможності комерційної організації, що проводяться в рамках закону і з дотриманням етичних норм (на відміну від промислового шпигунства). І важливо саме те, що даний спосіб отримання даних є абсолютно законним. Спеціаліст даної сфери не зламує ніяких сайтів і не отримує цю інформацію будь-яким іншим кримінально караним шляхом. Сам факт того, що компанія допустила «ляп» у захисті своєї конфіденційної інформації, і її хтось отримав, незаконним не є.
Отже, розглянемо кілька прийомів отримання подібної інформації:
Прийом 1
Демаскуюча ознака конфіденційної інформації є сама наявність слова - конфіденційна. Так само демаскуючим є її гриф: Для службового користування.
Не хочеш, щоб секретну інформацію знайшли не привертай до неї увагу.
Давайте подивимося, чи адекватно ми захищаємо свою конфіденційну інформацію. Відкриваємо браузер. Запускаємо гугл і намагаємося подивитися, чи немає витоків документів для службового користування на сайті Тамбовської державної установи - 392 результати.
Команда site: -шукати в межах однієї адреси сайту. Що б знайти певну інформацію її треба записати в лапках: «Для службового користування»
Прийом 2
«Конфіденційно, Confidential»
Як витягнути головне з купи знайдених файлів? Протоколи HTTPS. Придумувався для обміну між довіреними партнерами. Обміну сертифікатами. Тобто. https- у адресі документа стає демаскуючою ознакою особливо важливих документів.
Демаскуючою ознакою ставати документи з гіфом - Конфіденційно. Жодна компанія не забезпечуємо регламентних перевірок своєї конфіденційності інформації. Багато компаній не знають, що у них є витік, тільки тому що не перевіряли. І навіть якщо компанія почла проводити періодичні перевірки, то не означає, що у їхніх партнерів немає витоку.
Прийом 3
«Таємно»
Є грифи: Цілком таємно, top secret тощо...
Кожен з нас не задумується, що пошукова система індексує не тільки текст вашого документа, а й властивості цього документа. Якщо це офісний документ, то там ще міститися буфера, які використовувалися раніше.
Правило: Перевірте, чи немає у вас документів з гіфом - Конфіденційно, які бачить Гугл або Яндекс.
Прийом 4
Наступні файли, які нам потрібні - це документи з грифом exls. Чому? Excel провокує людину на узагальнення наявної інформації конфіденційної і не дуже. У таких файлах можуть бути списки клієнтів їх адреси, телефони та особливі позначки. Загалом, дуже хороший подарунок для конкурентів.
Пошуковики провідних пошукових систем поводяться як шпигуни. Вони залазять у ті розділи, які ми вважаємо конфіденційними.
Давайте перевіримо:
З'являються файли. Якщо відкриємо їх збережену копію, то знайдемо дуже багато цікавої інформації. Тобто. xls - це подарунок долі для хакерів.
Прийом 5
Пошук документів у форматі DOC. Чому? Якщо документ буде готовий до того, що його будуть переглядати сторонні очі, то він буде оформлений у форматі PDF. Якщо документ ще не завершено, цей документ буде збережено скоріше за все у форматі DOC.
Шукаємо на заданому цільовому ресурсі документи у форматі DOC.
Прийом 6
Спроба знайти весь сервер ftp.
Дуже часто компанія залишає його відкритим. Спробуйте ввести адресу сайту: ftp.xxx.ru
Прийом 7
Вгадувані імена
Завжди переглядаючи файл, намагайтеся запам'ятати його адресу. Цифра 1711 на картинці показує, що нам доступно 1711 файлів. І змінюючи ці цифри можна відкрити й інші файли.
На нотатку
Стаття 29, ч. 4 Конституції Р. Ф. - «Кожен має право вільно шукати, отримувати, передавати, виробляти і поширювати інформацію». Але навіть незважаючи на це, будь-яка компанія про яку ви отримаєте дані буде вважати, що ви отримали їх незаконним шляхом і буде намагатися розібратися з вами досудовими методами.
Якщо ми полюємо за державною таємницею якоїсь країни, то ми порушуємо закон. Покарання піде негайно. Якщо ж у наші руки потрапила не державна таємниця і ми не використовували дорогих, осудних методів, то оскаржити не правомірність наших дій важко. Раніше навіть існувала стаття, що, якщо інформація була отримана за допомогою загальнодоступних методів, забудьте, що це комерційна таємниця. Пред'явити якісь претензії тому, хто цю інформацію отримав неможливо. Ви дійсно можете порушити закон, якщо використовуєте троянів або підбираєте пароль. Або якщо ви використовуєте інформацію неправильно - на шкоду. То тоді ви дійсно порушуєте закон і понесете покарання.
З усього цього випливає, що завжди необхідно бути обережним, навіть якщо ви вважаєте свої дії законними.
У створенні статті використовувалися нотатки з семінару «Зламати за 60 секунд» (Масалович О.І.).
