Справочник по безопасности - Использование легальных методов промышленного шпионажа в сетевой разведке \ Информационно-обучающий проект раскрывает практические сведения по проблемам безопасности

Использование легальных методов промышленного шпионажа в сетевой разведке

Павел П. ака ukr-xblp. UST. ust.team@gmail.com
2005 год.

"Data mining - это процесс обнаружения в сырых данных ранее неизвестных
нетривиальных практически полезных и доступных интерпретации знаний,
необходимых для принятия решений в различных сферах человеческой
деятельности."
G. Piatetsky-Shapiro, GTE Labs

Едва начав читать данную статью, а именно прочитав только ее название, вы
столкнулись уже как минимум с тремя терминами, определение которых необходимо
для соответствующего понимания и применения способ и методов, изложенных ниже
в вашей повседневной практике при возникновении подобных задач.

Определения терминов: "легальный метод", "промышленный шпионаж", "сетевая
разведка".
Незнаю как вы, но многие материалы, в том числе и издание переодических СМИ,
я привык читать с конца, с последней полосы. В данном случае и определения
терминов я дам в противоположном порядке.

Что же я подразумеваю под термином "сетевая разведка"? Сетевая разведка -
есть комплекс мероприятий по получению и обработке данных об информационной
системе (далее ИС) клиента, ресурсов ИС, средств защиты, используемых
устройств и программного обеспечения и их уязвимостях, а также о границе
проникновения. Это определение впервые дано мной в статье "Сетевая разведка
сервиса электронной почты", опубликованной как на нашем сайте, так и
принявшая участие в конкурсе статей, посвященных информационной безопасности,
организованным порталом SecurityLab.

Спросите у человека на улице, что он подразумевает под словами "промышленный
шпионаж", что он знает или думает об этом. Наверняка, настмотревшись
продукции Голливудской "фабрики грез" вам дадут ответ о многочисленных
агентах, внедренных в персонал конкурентной компании, о службы экономической
безопасности, которые охотятся за коммерческими секретами соперников,
подкупая, запугивая и угрожая сотрудникам интересующей их компании, о
покрытых завесой тайны хакерах, вторгающихся в информационные системы и
ворующих секреты и планы Компаний. Да, несомненно все это имеет место быть в
некоторых, исключительных случаях, но это не правило. Стоп, стоп, рассуждение
и мой рассказ продолжутся чуть позже.
Мероприятия, информация, планы конкурентных компаний, позволяющие компании-
заказчику увеличить прибыль, повысить уровень обслуживания клиентов
(предвидеть запросы, лучше удовлетворять спрос), добиться конкурентного
преимущества на рынке полученные различными способами - вот оно, определение
термина "промышленный шпионаж" Это и есть причина, по которой милионные
вложения в этот вид деятельности приносят миллиардные прибыли. Но фильмы все-
таки врут...
А правда в том, что в подавляющем большинстве современных, чаще всего
транснациональных, компаниях, которым есть что оберегать, но у которых есть и
конкуренты, которым соответственно есть, что скрывать, и которые, кроме всего
прочего, вкладывают в защиту/разведку огромные суммы, огромную часть работы,
которая по своим результатам, а главное эффективности, подпадает под
определение "промышленный шпионаж", выполняют обычные клерки, секретарши,
даже не понимая до конца истинный результат их совместной работы. И
занимаются они ни чем иным, как внесением всей поступающей к ним информации в
огромные, автоматизированные базы данных. Но все дело в том что информация,
которая казалось бы не имеет никакого отношения к бизнесу, впоследствии
оказывается на вес золота. Это информация о вечеринках, на которых
присутствовали сотрудники компаний, информация о праздниках, днях рождениях,
да похоронах в конце-концов, и лиц, на них присутствующих, это содержания
вакансий компаний, содержание резюме лиц, работавших ранее в компаниях-
конкурентах. А в результате мы имеем информацию о слиянии компаний
конкурентов, о направлениях и разработках компании, даже выявлении
сотрудников, "сливающих" информацию компании-конкуренту и любая другая
информация, способная помочь в ведении бизнеса, получению и выиграванию
тендеров, устранении конкурента на рынке. Весь этот процесс называется Data-
mining. И вот суть этого процесса:

Планирование и целеуказание - составление “заданий разведке”, подготовка
плана сбора информации, отдача приказа исполнителям задания и контроль за
ходом его выполнения;

Сбор - добывание информации и передача ее в .руки специалистов для обработки.
Обнаружение знаний (knowledge discovery) — нахождение скрытых структур
(patterns), которые преобразуют данные в информацию. Это поиск регулярностей
среди групп записей.;

Обработка - первичная обработка собранной информации, придание ей
определенной формы (может включать, например, лингвистический перевод или
переформатирование компьютерных данных);

Оценка - превращение собранной “сырой” информации в данные разведки (путем
обобщения, анализа и синтеза, всесторонней оценки и интерпретации всех
имеющихся данных) в соответствии с требованиями заказчика (потребителя);

Распространение - пересылка данных разведки потребителям. Использование
знаний (knowledge deployment) — применение найденных знаний для достижения
преимуществ в бизнесе.

Более благозвучные названия этого метода - "конкурентная разведка", "бизнес-
разведка".

Первые попытки по созданию подобной методики предпринимались сотрудниками
различных подразделений ПГУ еще с начала шестидесятых годов. Поначалу эти
мероприятия никем не координировались, хотя и давали некоторые результаты. В
качестве рабочих материалов для пополнения информационного массива
использовались биографические справочники Государственного департамента США.
Суть метода заключалась в том, что в биографиях американских дипломатов был
установлен ряд признаков, которые были присущи практически всем выявленным
сотрудникам ЦРУ.

Аналогичными разработками занимались и по ту сторону «железного занавеса».
Так например, теплым июньским утром 1976 года одновременно по всей Западной
Германии было арестовано свыше тридцати нелегалов внешней разведки ГДР.
Причиной массового провала агентуры “Штази” было введение в эксплуатацию
федеральной криминальной полицией ФРГ усовершенствованной системы выявления
агентов противника по растровым признакам. “Растерфандунг” - метод выявления
агентов иностранной разведки или террористов был основан на сопоставлении
определенных “типовых профилей”. То есть аналитики западногерманской
контрразведки, проанализировав личные дела персоналий, изобличенных в
шпионаже и терроризме, выявили ряд признаков, которые были присущи
большинству из них. Так, например, одним из растровых признаков объединявшим
всех арестованных было то, что они въехали на “новую родину” из Восточной
Германии или третьей страны выдавая себя за беженцев. Каждому из выявленных
факторов была присвоена стоимость в баллах и составлены профили всех лиц
подозревавшихся в шпионаже. Те же, у кого сумма баллов превысила предельно
допустимое значение, были взяты в более плотную разработку.

До появления компьютеров это кропотливое занятие требовало усилий сотен
контрразведчиков, и больше всего напоминало составление мозаики из тысяч
различных кусочков.

В апреле 1999 г. председатель совета директоров Procter & Gamble Джон Пеппер,
выступая перед американским Обществом профессиональных корпоративных
разведчиков (SCIP) , во всеуслышание заявил, что едва ли может вспомнить,
когда еще в корпоративной истории "компетентность, навыки, знания и умения
сотрудников конкурентной разведки" были настолько востребованы бизнесом.

Два года спустя разгорелся конфликт между P&G и Unilever - ее главным
конкурентом на рынке средств личной гигиены. Unilever пришла к заключению,
что корпоративная разведка P&G вышла за рамки допустимого. Частные сыщики,
нанятые P&G, прочесывали мусорные корзины неподалеку от офиса Unilever,
выискивая неосторожно выброшенные документы, содержащие информацию о
последних стратегических планах компании на рынке шампуней.

Кроме того, по утверждению представителей Unilever, агенты втирались в
доверие к сотрудникам компании, представляясь аналитиками-маркетологами, и
таким путем выведывали нужную информацию. P&G отрицала этот факт, однако
признавала, что действия, не вполне согласующиеся с ее собственными
этическими принципами, в самом деле имели место. "Досадный инцидент" (по
выражению Пеппера) завершился в сентябре 2001 г. мировым соглашением, детали
которого компании не разглашали. Однако, по оценкам экспертов, его сумма
могла достигать десятков миллионов долларов.

Эта история привлекла внимание деловой общественности к явлению, которое
именуют "разгребанием мусора" или "мусорной археологией". Многие компании
охотно пользуются таким способом сбора информации о конкурентах, хоть порой и
не слишком афишируют это. Однако "разгребание мусора" далеко не всегда
считается противозаконным действием. В разных штатах США, например, законы,
касающиеся корпоративной разведки, различаются. В некоторых штатах мусорные
корзины причисляются к "брошенному имуществу", и свободный доступ к их
содержимому не возбраняется.

Строго говоря, не следует путать корпоративную разведку с корпоративным
шпионажем. Корпоративная разведка (которой, в частности, занимаются и
участники SCIP) - это вполне легальный сбор и анализ внешней информации,
способной повлиять на планы и решения компании. По сути, услуги такого рода
вписываются в понятие "нормального" консалтинга.

Вся информация берется из открытых информационных источников: изданий
переодической прессы, отраслевой прессы, отраслевых баз данных и многих
других. Но зачастую все источники можно найти в одном месте - в глобальной
сети Интернет! А значит они общедоступны, получение информации из них не
нарушает государственных и федеральных законов (я не беру в расчет различные
"закрытые" государства с государственным ограниченим доступной для
пользователей сети Интернет информации).

Теперь вернемся к теме статьи и определению сетевой разведки. Комплекс
мероприятий по получению и обработке данных об информационной системе (далее
ИС) клиента, ресурсов ИС, средств защиты, используемых устройств и
программного обеспечения и их уязвимостях, а также о границе проникновения,
что мы уже назвали, не должен нарушать законодательства, не должен привлекать
внимание служб экономической и информационной безопасности. Ведь активное
разведка топологии интересующей сети заказчика, сканирование портов серверов,
установленной в ней, законодательство не нарушает, но внимание привлечет
обязательно, весь компании есть что охранять...

А для этого мы и будем использовать, применять технологию, получившее
название Data Mining, основу промышленного шпионажа.

Что не привлечет внимания служб безопасности, при наличии у компании
собственного представительства в сети Интернет, собственного интернет-сайта ?
Правильно, получение только той информации, которая доступна всем
пользователем сети, без всякого взлома, составления некорректных запросов, и
всего прочего арсенала, который есть в нашем распоряжении, но на который в
рамках этой статьи наложено табу.
Одним из спутников крупных компаний является постоянная ротация кадров,
текучка кадров, одни увольняются, другие нанимаются или ищуться для найма,
особенно если компания развивающаяся, открывающая филиалы в различных городах
своей страны, города и зарубежом. (опять же не берем в расчет японские
компании, где в одной компании работают деды, отцы, дети и внуки, являющиеся
прямо таки семейными кланами). Именно поэтому на сайте компании присутствует
раздел "Вакансии" и он мало того еще и не пустует. А большой компании нужно
много специалистов, администраторов и программистов, специалистов по
безопасности и системных инженеров, и в теле вакансии наверняка указан тип
оборудования, программного обеспечения, с которыми кандидаты должны уметь
работать. А это именно то, что мы ищем.

http://www.amtkom.ru/index.html?page=about.vacancy
Служба сервиса и технической поддержки

Инженеры

Основные качества:

Знание на уровне системного инженера:
* оборудования АТС NEC, Ericsson, Lucent, программного обеспечения к ним;
* телекоммуникационного оборудования CISCO (certificate) и SUN Microsystem.

Что применяется в компании и чем она торгует - сразу понятно.

Продолжаем, нравится мне на сайтах публикация адресов корпоративной
электронной почты сотрудников, особенно IT-работников. Поискав эти адреса в
поисковых системах Интернета можно без особого труда наткнуться на их
сообщения в тематический форумах, в которых они задают вопрос или дают ответы
на заданные вопросы по работе какого-то компьютерного, серверного
оборудования, спецефического программного обеспечения.

----
http://portal.sysadmins.ru/board/viewtopic.php?t=67782&sid=f2ae361eea7df4ab96
b707a778724d3c
при попытке отправить почту на домино практические с любого адреса, приходит
ответ:

Failed to deliver to 'admin@lotus.tatneft.ru'
SMTP module(domain @195.2.83.145:lotus.tatneft.ru) reports:
host lotus.tatneft.ru says:
571 - MAIL REFUSED - IP (195.2.83.145) is in RBL black list
spam.dnsbl.sorbs.net

в настройках всем разшено посылать и получать почту, DNS Blacklist filters -
disabled
---
и адрес сервера, и программное обеспечение....

Вот на чем я бы хотел остановится, так это на информации, получаемой из
документов, опубликованных на сайте (тех же самых пресс-релизов), или в
документации к оборудованию или программному обеспечению, если компания
занимается его поставкой. Особенно меня интересуют документы, подготовленные
в формате приложений, входящих в Microsoft Office: это MS Word, MS Excel, MS
PowerPoint. По странному стечению обстоятельств, деятельности программистов
компании Microsoft, документы подготовленные в этих приложениях представляют
из себя COM-объект, который может нести все что угодно. Они могут, они и
несут... И те данные, которые они несут, принято называть метаданными
(metadata). Изначальна они созданы для облегчения поиска, редактирования и
управления документами.

Читаем, смотрим...
http://support.microsoft.com/default.aspx?scid=kb;EN-US;223396
How to Minimize Metadata in Microsoft Office Documents

Из статьи мы узнаем что в документах MS Office может быть следующая
информация:

- Автор документа
- Названии компании на которую зарегестрирован Office
- Имя вашего компьютера (рабочей станции, где происходило редактирование
документа)
- Имя сервера и домена (в которых происходило редактирование документа)
- Авторы предыдущих авторов документа
- Записи о всех попытках редактирования документа
- Скрытые комментарии
- Прочая информация.

Для получения этой информации не требуется особого труда. В интернете
доступны для свободного скачивания десятки подобных продуктов.

А теперь посмеемся:

Документы, свободно выложенные на сервере Центральной Избирательной Коммисии
Украины:

www.cvk.gov.ua/postanovy/p1299_2004_d1.doc

Analyzing D:\UST\2prepare\metadata\p1299_2004_d1.doc

Document Name: p1299_2004_d1.doc
Path: D:\UST\2prepare\metadata

Built-in Document Properties:
Built-in Properties Containing Metadata: 3
Title: ВИБОРИ ПРЕЗИДЕНТА УКРАЇНИ
Author: Кавун
Company: ЦВК

Document Statistics:
Document Statistics Containing Metadata: 6
Creation Date: 15.12.2004 3:28
Last Save Time: 15.12.2004 3:30
Time Last Printed: 15.12.2004 9:44
Last Saved By: user92
Revision Number: 3
Total Edit Time (Minutes): 2 мин.

Last 10 Authors:
Has Last 10 Data
user92[ \\captain\work$\Відділ обробки інформації\Oper\Vladimir
Som\Postanovy2004\p1299_2004_d1.DOC

Что мы имеем:
имя пользователя: user92
сервер в сети: captain
скрытая рабочая директория для документов: work$
Человек, ответственный за ее подготовку: Vladimir Som

Если бы хакер проник внутрь сети этой информации ему хватилобы чтобы знать,
где искать документы. Так как время пребывания в системе зачастую ограничено,
а при большом объеме данных и размере имеющихся хостов провести полный анализ
всех данных при поиске определенной информации весьма затруднительно. И
наверняка сотрудники ЦИК и не подозревают, какая информация содержится в
публикуемых ими документах. И куда только смотрит Служба Безопасности
Украины...

А вот и полный путь который проделал другой документик ЦИКа:

www.cvk.gov.ua/postanovy/p0042_2004_d.doc

Last 10 Authors:
Has Last 10 Data
БАБЕНКО ПОЛІНА? \\Major\Mashburo$\МОИ ДОКУМЕНТИ
2004\Постанови\Додатки\1304.DOC
Шикута? \\MAJOR\MASHBURO$\МОИ ДОКУМЕНТИ 2004\Постанови\Додатки\1304.DOC
Шикута? \\MAJOR\MASHBURO$\МОИ ДОКУМЕНТИ 2004\Постанови\Додатки\1304.DOC
Mashburo20 R:\МОИ ДОКУМЕНТИ 2004\Постанови\Додатки\1304.DOC
Mashburo2T C:\WINNT\Profiles\Mashburo2.CICHD\Application
Data\Microsoft\Word\Автокопия 1304.ASD
Шикута? \\MAJOR\MASHBURO$\МОИ ДОКУМЕНТИ 2004\Постанови\Додатки\1304.DOC
БАБЕНКО ПОЛІНА C:\TEMP\Автокопия 1304.ASD
Шикута? \\MAJOR\MASHBURO$\МОИ ДОКУМЕНТИ 2004\Постанови\Додатки\1304.DOC
OlgaY \\captain\work$\Відділ обробки інформації\Oper\Vladimir
Som\Postanovy2004\p042_2004_d.DOC
Olga: \\major\intraserver$\wwwroot\Postanov\2004\p042_2004_d.DOC

Что новенького кроме имен пользователей и имен хостов? Имя домена !
Mashburo2.CICHD - следовательно домен CICHD (следуя именованию пользователей
в домене).

Кроме вышеприведенных способов и методов существуют десятки других, я лишь
показал самые простые и интересные. Специалисты по тестированию на
проникновение владеют ими, как и многочисленные хакеры. Be attention, не
давайте сопернику узнать то, что хотите узнать сами.

Мне представляется, что разведка в сфере бизнеса не является каким-то особым
исключением для сегодняшней России. Сейчас у нас в России, как принято
считать, все сложно, плохо и т.д. И в этих условиях эта тема особенно
актуальна. Мне представляется правильным, что в любом бизнесе, при любых
условиях, прежде чем вкладывать деньги, развивать или изменять направление
бизнеса, выбирать партнеров по бизнесу, необходимо активно собирать
информацию для принятия решения.
Мне представляется, что специалисту по тестированию на проникновение крайне
важна вся информация об исследуемой сети, ибо в компании, в которой система
информационной безопасности актуальна и уровень обеспечения ИБ максимально
приближен к 100% любая мелочь может быть решающей в осуществлении
проникновения.