pyth0n3 Posted May 21, 2011 Report Posted May 21, 2011 O companie , fie ea guvernativa sau doar o simpla companie isi creaza o imaginepublica , isi face o mica descriere si asa iese un site unde isi face reclamaMajoritatea se intreaba cum functioneaza oare o companie de IT consulting si management ?Ei bine presupunem ca exista o companie foarte mare pe care o vom numi X (poate fio simpla companie sau chiar o companie guvernativa , banca, etc) X detine un nume , un copyright, are un site public si are nevoie ca cinevasa se ocupe de imaginea ei Site-ul poate avea orice fel de TLD top-level domain fie el .org sau .gov Compania X va face un contract cu o alta companie pe care o vom numi Y(aceasta se va ocupa de imagine, site, retea , etc)Compania X varsa o suma de bani annual companiei Y care va avea grija de imaginea ei si de reteaua ei bineinteles (aici vine inclus fiecare server, fiecare serviciu web ,mail,database, etc)Compania Y care se ocupa de consulting la randul ei face contract cu alte 3 companii A, B, C.Compania A se va ocupa de server managementCompania B se va ocupa de backupCompania C se va ocupa de web management La randul lor aceste 3 companii A,B,C vor cauta personal care se va ocupa defiecare serviciu in parte Compania Y face o asigurare cu X in care ii vin asigurate datele, serviciul si probabil un fel de help-desk 24/24 .La randul ei face o asigurare cu A,B,C in care aceste companii ii vor asiguraserviciul pe care il ofera.Recent am avut ocazia sa stau putin de vorba cu manager-ul unei companii Y caruia i-am pus cateva intrebari Totul functioneaza ca in structura unei piramide , unii lucreaza mai putin,iau mai multi bani , altii lucreaza mai mult iau mai putini bani.Companiile A,B,C au personal care lucreaza 24/24 ca sa asigure serviciul pentrucompania X Cei mai multi bani din aceasta afacere ii vin companiei Y care nu prea facenimic, bineinteles randurile piramidei se pot face mai mari Ca sa intelegeti mai bine e ca si cum ar fi echivalent comandului tree in linuxcare de fapt provine del a cuvantul arbore.Deci compania X are nevoie de o imagine pentru site (cum am mai zis poate fi .com, .org, .mil, .gov etc)Voi explica exact in amanunte pe intelesul tuturor:Managerul companiei X se intalneste cu managerul companiei Y si ii spune urmatoarele:Vreau un site de culoarea albastra cu imagini beton in care sa scrie ceea cereprezinta compania noastra.Managerul companiei Y face un meet-ing cu managerii companiilor A,B,C in carele spune :Avem nevoie de un site de culoare albastra in 2 zile , avem nevoie de 5 servereun serviciu mail , un database etc si vrem sa functioneze .Companiile A,B,C se vor ocupa de toata aceasta treaba Cei care lucreaza pentru compania C vor crea un site cu pagini dinamice ,in PHP, probabil un database MYSQL si un server oarecare instalat de default Intrebarea mea a fost urmatoarea catre managerul companiei YBut what about security?Va preocupa atacurile web based sau ma rog ?Mia raspuns simplu ca Nu .Fiecare contract facut are o asigurare , iar daca se intampla ceva banii voracoperii totul.Oricum pierderile sunt mici deoarece pe site-urile companiei X nu exista niciun fel de documente importante In cazul in care un script kiddie face un deface va impresiona doar media deoarece chiar daca target-ul este unul important nu va gasi nimic Media este o alta adunatura de oameni cu putin creier care la randul lorpot fi manipulati de catre altiiPresupunem ca compania X este o banca si sa facut un deface asupra paginei sau chiar sa luat access la server Media afirma urmatoarele:Un hacker a spart site-ul bancii XEste fals.Ceea ce sa intamplat de fapt este faptul ca un script kiddie a luat acces la un site configurat de catre una din companiile A,B,C chiar daca reprezintaimaginea unei banci sau a unui site guvernativ.Nimeni nu a pirdut nimic , si nimeni nu va castiga nimic Singurul lucru care se întîmpla de fapt este o informatie falsa care prin intermediul mediei intra in mintea oamenilor .Pentru a respecta asigurarea compania B va face backup nonstop Daca va intereseaza va spun exact cum se intampla, cel putin va descriu cumse lucreazaSe creaza un grup de 5-6 persoane care vor lucra nonstop 24/24 si vor facedisaster backup in mod continu Daca va intereseaza cu ce tool lucreaza baietii pt a face backup la IBM uitati-va aici aiciCateva luni in urma au avut un deface dar nu e nici o problemadeoarece site-ul si serverele vin administrate de catre altii , e greu de explicatde catre cine deoarece e un lant foarte lung , o companie face contract cu alta care la randul ei face acelasi lucru Daca veti face un deface vreodata la IBM sa nu credeti ca ati intrat in server-urilelor ci probabil la o companie care tine server-urile cu site-ul de la IBM intro bucatarie de garsoniera.Acelasi lucru pentru celelalte companii Distractie placuta! 1 Quote
eucumata Posted May 21, 2011 Report Posted May 21, 2011 (edited) mda interesant. Dar de Sony ce mai zici ?Ceea ce sa intamplat de fapt este faptul ca un script kiddie a luat acces laun site configurat de catre una din companiile A,B,C chiar daca reprezintaimaginea unei banci sau a unui site guvernativ.Nimeni nu a pirdut nimic , si nimeni nu va castiga nimicSingurul lucru care se întîmpla de fapt este o informatie falsa care prin intermediul medieiintra in mintea oamenilor .Sa zicem ca ai access la domeniul de la BCR. Database-ul e pe alt server...dar .. site-ul ca sa functioneze , sa te poti autentifica se foloseste de database. scripturile trebuie sa contina user si parola undeva ca sa acceseze acel database. nu? Si un script kiddie cand se vede pe un server de genu cauta 'ceva' . Ori ai copiat de undeva toata porcaria asta, ori habar nu ai. Edited May 21, 2011 by eucumata Quote
Birkoff Posted May 21, 2011 Report Posted May 21, 2011 lucrand in domeniu de mult timp stiam de asta, dar tin sa spun ca nu peste tot e asa, firmele mari au departamente proprii pentru fiecare din punctele a,b,c cu personal special angajat pentru asa ceva. desigur ca ocazional se face outsourcing cu o alta firma pe anumite proiecte sau servicii. personal am lucrat 6 luni pentru un proiect (CMR) pentru oracle (in sistem outsourcing) si am prieteni si prietene angajate la diverse firme internationale (prin canada) care mi-au povestit cum e sistemul la ei... la unii au departamente proprii si se ocupa de bucataria interna si doar anumite proiecte sau servicii le externalizeaza alte firme au sistemul descris de tine mai sus...de exemplu la noi in tara anumite agentii guvernamentale angajeaza o firma pentru a se ocupa de serviciile media sau it (vezi cazul cu pagina nu stiu carui minister care e facuta de o firma externa si care a pus in pagina de about cum ca ministerul de interne e subordonat districtului washington dc si se supune legilor acelui stat... daca cautati prin stirile vechi dati de caz) Quote
pyth0n3 Posted May 22, 2011 Author Report Posted May 22, 2011 mda interesant. Dar de Sony ce mai zici ?Sa zicem ca ai access la domeniul de la BCR. Database-ul e pe alt server..dar .. site-ul ca sa functioneze , sa te poti autentifica se foloseste de database. scripturile trebuie sa contina user si parola undeva ca sa acceseze acel database. nu? Si un script kiddie cand se vede pe un server de genu cauta 'ceva' . Ori ai copiat de undeva toata porcaria asta, ori habar nu ai.Ceea ce am scris mai sus , sunt experiente pe care le-am avut cu diverse companii intermediare care ofer? diverse servicii pentru companii de tipul X , Am avut ocazia sa întîlnesc persoane care lucreaz? pentru companii de nivelul 2 ca Y si persoane care lucreaza in companii care se pot clasifica in celelalte subcategorii In exemplul de mai sus am pomenit de IBM deoarece alte companii se ocupa de server-urile lor publice. In legatura cu ce ai spus tu mai sus server <> database nu e nici o problemaPentru public vine creata o retea speciala (PUBLICA) cu toate serviciile Webserver, database care nu au nici o legatura cu reteaua (PRIVATA) cum am mai zis server-urile pot sta intro camera in care scrie public pe usa , oricum chiar daca tu faci un query la serverul SQL asta nu inseamna ca ai acces remote la el (prin intermediul php obtii rezultatele), serverul SQL va rula oricum in local (pe o retea expusa la public)OK presupunem ca iei access la un site guvernativ si ai publicat datele scoase din databaseNu e nimic grav deoarece nu e nimic acolo,Ok vei gasi probabil un nume de tipul secret sau special sau poate chiar top secret dar esti intrun server pe care il voi chema jail si datele au valoare 0Vroiam sa precizer doar ca majoritatea iau ca target serviciile publice cele mai importante (dar nu e nimic acolo)E important sa stii ceea ce cauti si unde o cauti , server-urile publice sunt doar o momeala fie ele webserver, database,ftp,ssh Nimeni nu este chiar atat de prost cum unii cred iar cand cineva pune un manifest de tipul security 0 altii rad cu gura pana la urechi.Nu exclud faptul ca nu se poate lua access la o companie foarte mare , fia ea guvernativa sau nu dar ce rost are sa iei acces la server-urile ei publice?Pierdere de timp In legatura cu SONY sincer nu am urmarit ceea ce sa intamplat Quote
eucumata Posted May 22, 2011 Report Posted May 22, 2011 (edited) Nu exclud faptul ca nu se poate lua access la o companie foarte mare , fia ea guvernativa sau nu dar ce rost are sa iei acces la server-urile ei publice?Pierdere de timpTu crezi ca totul se rezuma la dosare clasate ? Ce pierdere de timp cand ai acces la o ditamai compania cu sute de mii de utilizatori si informatii despre ei Sincer pe majoritatea ii doare'n p**a de companie...ei vor altceva. Edited May 22, 2011 by eucumata Quote
crs12decoder Posted May 22, 2011 Report Posted May 22, 2011 Pyth0n3 Ai spus ca in contract compania X beneficiaza de asigurari.Asigurarea cine o face practic... compania Y?Daca Exista o paguba, Y plateste?Y ar putea fi vazut ca un intermediar ce absoarbe riscul.Sunt curios sa vad cum arata un contract in care ti se spune ca iti asigura tie toate datele in caz de ceva. Quote
pyth0n3 Posted May 22, 2011 Author Report Posted May 22, 2011 (edited) Sincer pe majoritatea ii doare'n p**a de companie...ei vor altceva.Pun intre ghilimele r?spunsul pe care la scris Nemesis in Hackersblog "dorinta de a iesi in fata cu orice pret, de a fi considerat cel mai bun si de a avea un nume care inspira respect"Oricum multi nu vor ob?ine nimic ci doar un mirror in care isi vor aminti ca au avut access la un site oficial cu un TLD special.@crs12decoder nu sunt sigur din care buzunar mai exact vor fi v?rsa?i ace?ti baniIti dau un exemplu:Fiind in intermediul unei companii am observat un computer desktop care facea prea mult zgomot , era ventilatorul care probabil era plin de praf nefiind curatat de o gramada de timp Am zis ca ar fi bine sa fie desfacut si curatat deoarece s-ar putea sa nu mai functioneze mult.Mi-au spus nici o problema , daca se strica compania le asigura un alt computer nou si ca datele au o sursa de backup asa ca nu ar avea rost sa ne obosim .La fel si site-ul nu are backup in local dar nu e o problema se ocupa o alta firma de el si asigura ca datele vor fi la loc in caz de un dezastru , in acest caz pot sa ma limitez doar la introducerea informatiilor publice fara sa fie creata o sursa de backup Modul in care majoritatea se exprima este foarte calm , noi platim o licenta , ei ne asigura serviciul noi nu pierdem , pierd ei .Cineva plateste oricum , daunele nu vor fi pentru compania X Edited May 22, 2011 by pyth0n3 Quote
eucumata Posted May 22, 2011 Report Posted May 22, 2011 "Ce pierdere de timp cand ai acces la o ditamai compania cu sute de mii de utilizatori si informatii despre ei"Te-ai uitat prea mult la tinkode Quote
pyth0n3 Posted May 22, 2011 Author Report Posted May 22, 2011 "Ce pierdere de timp cand ai acces la o ditamai compania cu sute de mii de utilizatori si informatii despre ei"Exista persoane care se ocupa de spionaj industrial si sunt in gradul de a obtine un numar limitat de informatii cel putin stiu unde sa le caute.Informa?iile confiden?iale se afla in reteaua PRIVATA , nu in reteaua PUBLICATot ceea ce am scris mai sus este analizat din punct de vedere personal Fiecare are dreptul sa cread? ceea ce vrea Quote
M4T3! Posted May 22, 2011 Report Posted May 22, 2011 Dar de ce managerul de la X nu vorbeste direct cu cei de la A B C? ca sa economiseasca banii? Quote
crs12decoder Posted May 22, 2011 Report Posted May 22, 2011 Ai putea te rog frumos sa afli cine se ocupa de asigurare? M-as simti indatorat pentru un PM cu informatia asta.Multumesc.Ontopic:De obicei cel mai bine in afaceri castiga intermediarii.Va puteti gandi la google adsense.Cunosc exemple de firme care actioneaza asemanator cu ce a zis pyth0n3 in domeniul lemnului.O firma care prelucreaza lemnul primeste cereri de la o alta firma de intermediere pentru diverse obiecte(gen cosuri, scaune, lazi etc.). Firma de intermediere vinde mai departe altor firme care se ocupa de distribuire/vanzare etc. Quote
firewind Posted May 22, 2011 Report Posted May 22, 2011 Lucrez oarecum in domeniu, si din fericire, sau din nefericire...asa se intampla.Mai putin de 2 % dintre companii (cand spun companii, ma refer la firme mari, care au atat activitate de cercetare/proiectare, cat si de productie, ceea ce nu este cazul la firma de distribuit alimente cu supermarketu dintr-un colt de tara,fie ca e vorba despre aprozaru..., din coltu strazii) au implement politici adecvate de protectie a informatiilor, cum ar fii dezactivare de porturi usb, unitati optice, filtrare/monitorizare de emailuri, etc. In ziua de azi, cel mai repede si mai usor faci bani ca "spion industrial" fiinca majoritatea "managerilor" sunt "varza" la acest capitol si "managerii" platesc pentru informatii, fiiinca deoarece sunt lipsiti de cunostinte, li se pare dificil de obtinut informatii "secrete" despre concurenta.In aceasta categorie intra si "spionajul politic", sau cum dreak s-ar numi, caci pot pune pariu ca o femeie de servici, iti da cosu de gunoi cu hartii sa-l duci, daca te costumezi mai naspa si ceri 3 lei, fara sa gandeasca.Deasemenea manageru` sef de partid, mototoleste faxu, si-l arunca-n cos, fara sa-l distruga....si se bucura cand a nimerit cosul.. de gunoi.In alta ordine de idei, 80% din sistemele de operare sunt windowsuri fara licenta, fara antivir, si fara nici o parola, astfel incat in 5 min poti pune tot ceea ce vrei pe un computer, pana spui ca schimbi becu` sau dai cu solutie pentru combaterea gandacilor din birou, + ca poti baga si un prelugitor cu microfon gsm, activat vocal...plm, imaginatie sa ai, ca banii curg.offtopic. 1 din ceea ce a postat pana acum pyth0n3 stie ceea ce spune, si are dreptate.2 din ceea ce a postat pana acum eucumata este ori un retardat, ori un frustrat sexual (auzi nume de scena "eucumata", mai bine suna "eucusorata"), parerea mea. Quote
pyth0n3 Posted May 22, 2011 Author Report Posted May 22, 2011 (edited) Ca tot a venit vorba de spionaj industrial Am r?mas pu?in confuz cînd am v?zut cu cata u?urin?? se pot accesa date confiden?iale dintro retea privataCand spuneam ca e inutil sa ataci un obiectiv public ma refeream la faptul ca nu vei gasi nimic acolo atata timp cat te vei juca cu reteaua lor publica Bineinteles pentru cei care vor sa atraga atentia asupra lor o pot face in continuare dar la un moment dat isi vor da seama ca nu au avut nimic de castigat Bineinteles fiecare deface are rostul lui chiar daca 90% le consider facute aiurea ,doar pentru faptul de a iesi in evidenta iar personajele in acest caz le voi chema defacers .O munca pe masura bine platita este spionajul industrial Un spion industrial va detine informatii confidentiale in schimb un defacer va detine doar informatii publice (intrun fel)Suntem in 2011 dar inca in ziua de azi majoritatea companiilor nu au facut un upgrade de software si inca folosesc vechile sisteme Un numar mare foloseste inca database de tipul DBase primele versiuni De fapt acest lucru poate fi intrun fel bun/rau Majoritatea din ziua de azi habar nu au cum functioneaza un asemenea database si nu se vor obosi sa il foloseasca.Cei care sunt mai batrani cunosc mai bine cum functioneazaApropo :"Majoritatea habar nu au sa faca un query in MYSQL si sunt experti in SQLInjection"Am intalnit multe persoane care au efectuat atacuri asupra unor target-uri foarte importante , atacuri de tipul SQLI dar nu sunt in gradul sa creeze un tabel intrun database decat daca folosesc PHPMyAdminUn numar foarte mare de companii foloseste inca versiuni foarte vechi de Office , pot afirma ca majoritatea folosesc pachetul MicrosoftOffice 2003 impreuna cu clientul OutlookExpress (vizualizarea html enabled )Vine folosit windows XP care nu a fost updated in foarte multe companii , e sistemul operativ cel mai des folosit Cel mai prost lucru intalnit este password-ul aceeasi parola peste tot care de obicei este numele firmei sau ma rog ceva simplu pana in 5 caractere care pot fi doar alfanumericeExista servicii remote desktop cam peste tot, deoarce este usor de folosit Singurul lucru pe care il respecta este antivirusul deoarece majoritatea cred ca sunt in siguranta daca au un sistem antivirus desi nu exclud faptul ca exista companii fara antivirus Daca cineva vrea sa atace un sistem bancar nu trebuie sa o faca din portalul oficial Multe banci au retele wireless protejate in mod foarte prostVa voi da un mic exemplu , o mica experienta personala Acum 2 saptamani am avut intentia sa fac un upgrade la un client de mail care era putin prea vechi Am exportat contactele si restul datelor , dupa care am incercat sa configurez noul clientCeea ce imi lipsea era password-ul la care compania mi-a zis ca dispune de o asistenta tehnica 24/24 unde pot vorbii cu cei care se ocupa de retea si server Ma trezesc cu administratorul la telefon c?ruia ii explic ceea ce vreau sa fac si ca am nevoie de password care imi spune ca nu isi mai aduce aminte dar va crea o noua parola Ma intreaba ce parola vreau pentru email la care ii spun sa aleaga el una care sa fie destul de complicata .Ok dupa 5 minute primesc un telefon la care imi spune noua parola (Numele unui film foarte cunoscut) si ca in acest mod nu o voi uita , mia zis sa o scriu pe undeva in agenda .Dupa doua zile mi sa confermat faptul ca nu am dreptul sa schimp clientul pentru mail si ca trebuie sa folosesc ceea ce aveam , un pachet foarte vechi de la Microsoft.Singurul lucru pe care am reusit sa il schimb era browser-ul , o veche versiune de Internet Explorer Am afirmat urmatorul lucru : Este vulnerabilMi-a raspuns repede: Totul este vulnerabil Spionajul industrial este usor de efectuat, in cazul in care iti permit sa lucrezi direct de la reteaua lor Firma X cere informatii despre firma Y Firma Y fiind un afiliat cu firma X exista o conexiune intre ele fie ea rdp sau vpn Firma X are access autorizat la firma Y pentru diverse probleme fie ele de management sau oricare altele Bineinteles firma X are access limitat la firma Y cu un account de user normal sau chiar uneori cu drepturi de admin (depinde am intalnit ambele situatii) Managerul firmei X vrea sa afle informatii despre firma Y ( intrari, iesiri ) , avand in vedere faptul ca totul vine controlat de catre computer si ca exista un access local partial este usor sa obtii orice fel de rezultatSingurul lucru care ma mira este cat de cretin poti sa fi si sa tii informatii confidentiale pe desktop intrun director cu numele PRIVATECat de cretin poti sa fi sa iti salvezi in pdf screen-ul cand te coleghezi la sistemul bancar Un alt lucru intro companie este ca majoritatea computerelor au activat folder sharing care de fapt eu il chem computer sharing deoarece face un sharing cu toata structura C a celorlalte computere[edit]@crs12decoder Firma care ofera serviciul ofera si garan?ia serviciului , diverse servicii vin asigurate in moduri diverse asigurarea se poate face si de catre alte firme externe varsand niste sume de bani de catre firma care foloseste serviciul (Annual quota) Edited May 22, 2011 by pyth0n3 Quote