Cum functioneaza ?

[pyth0n3]

O companie , fie ea guvernativa sau doar o simpla companie isi creaza o imagine

publica , isi face o mica descriere si asa iese un site unde isi face reclama

Majoritatea se intreaba cum functioneaza oare o companie de IT consulting

si management ?

Ei bine presupunem ca exista o companie foarte mare pe care o vom numi X (poate fi

o simpla companie sau chiar o companie guvernativa , banca, etc)

X detine un nume , un copyright, are un site public si are nevoie ca cineva

sa se ocupe de imaginea ei

Site-ul poate avea orice fel de TLD top-level domain fie el .org sau .gov

Compania X va face un contract cu o alta companie pe care o vom numi Y

(aceasta se va ocupa de imagine, site, retea , etc)

Compania X varsa o suma de bani annual companiei Y care va avea grija de

imaginea ei si de reteaua ei bineinteles (aici vine inclus fiecare server,

fiecare serviciu web ,mail,database, etc)

Compania Y care se ocupa de consulting la randul ei face contract cu alte 3

companii A, B, C.

Compania A se va ocupa de server management

Compania B se va ocupa de backup

Compania C se va ocupa de web management

La randul lor aceste 3 companii A,B,C vor cauta personal care se va ocupa de

fiecare serviciu in parte

Compania Y face o asigurare cu X in care ii vin asigurate datele, serviciul

si probabil un fel de help-desk 24/24 .

La randul ei face o asigurare cu A,B,C in care aceste companii ii vor asigura

serviciul pe care il ofera.

Recent am avut ocazia sa stau putin de vorba cu manager-ul unei companii Y

caruia i-am pus cateva intrebari

Totul functioneaza ca in structura unei piramide , unii lucreaza mai putin,

iau mai multi bani , altii lucreaza mai mult iau mai putini bani.

Companiile A,B,C au personal care lucreaza 24/24 ca sa asigure serviciul pentru

compania X

Cei mai multi bani din aceasta afacere ii vin companiei Y care nu prea face

nimic, bineinteles randurile piramidei se pot face mai mari

Ca sa intelegeti mai bine e ca si cum ar fi echivalent comandului tree in linux

care de fapt provine del a cuvantul arbore.

Deci compania X are nevoie de o imagine pentru site (cum am mai zis poate fi

.com, .org, .mil, .gov etc)

Voi explica exact in amanunte pe intelesul tuturor:

Managerul companiei X se intalneste cu managerul companiei Y si ii spune

urmatoarele:

Vreau un site de culoarea albastra cu imagini beton in care sa scrie ceea ce

reprezinta compania noastra.

Managerul companiei Y face un meet-ing cu managerii companiilor A,B,C in care

le spune :

Avem nevoie de un site de culoare albastra in 2 zile , avem nevoie de 5 servere

un serviciu mail , un database etc si vrem sa functioneze .

Companiile A,B,C se vor ocupa de toata aceasta treaba

Cei care lucreaza pentru compania C vor crea un site cu pagini dinamice ,in PHP

, probabil un database MYSQL si un server oarecare instalat de default

Intrebarea mea a fost urmatoarea catre managerul companiei Y

But what about security?

Va preocupa atacurile web based sau ma rog ?

Mia raspuns simplu ca Nu .

Fiecare contract facut are o asigurare , iar daca se intampla ceva banii vor

acoperii totul.

Oricum pierderile sunt mici deoarece pe site-urile companiei X nu exista nici

un fel de documente importante

In cazul in care un script kiddie face un deface va impresiona doar media

deoarece chiar daca target-ul este unul important nu va gasi nimic

Media este o alta adunatura de oameni cu putin creier care la randul lor

pot fi manipulati de catre altii

Presupunem ca compania X este o banca si sa facut un deface asupra paginei

sau chiar sa luat access la server

Media afirma urmatoarele:

Un hacker a spart site-ul bancii X

Este fals.

Ceea ce sa intamplat de fapt este faptul ca un script kiddie a luat acces la

un site configurat de catre una din companiile A,B,C chiar daca reprezinta

imaginea unei banci sau a unui site guvernativ.

Nimeni nu a pirdut nimic , si nimeni nu va castiga nimic

Singurul lucru care se întîmpla de fapt este o informatie falsa care prin intermediul mediei

intra in mintea oamenilor .

Pentru a respecta asigurarea compania B va face backup nonstop

Daca va intereseaza va spun exact cum se intampla, cel putin va descriu cum

se lucreaza

Se creaza un grup de 5-6 persoane care vor lucra nonstop 24/24 si vor face

disaster backup in mod continu

Daca va intereseaza cu ce tool lucreaza baietii pt a face backup la IBM

uitati-va aici aici

Cateva luni in urma au avut un deface dar nu e nici o problema

deoarece site-ul si serverele vin administrate de catre altii , e greu de explicat

de catre cine deoarece e un lant foarte lung , o companie face contract cu alta

care la randul ei face acelasi lucru

Daca veti face un deface vreodata la IBM sa nu credeti ca ati intrat in server-urile

lor ci probabil la o companie care tine server-urile cu site-ul de la IBM

intro bucatarie de garsoniera.

Acelasi lucru pentru celelalte companii

Distractie placuta!

[ovy1991]

interesant.......

[eucumata]

mda interesant. Dar de Sony ce mai zici ?

Ceea ce sa intamplat de fapt este faptul ca un script kiddie a luat acces la

un site configurat de catre una din companiile A,B,C chiar daca reprezinta

imaginea unei banci sau a unui site guvernativ.

Nimeni nu a pirdut nimic , si nimeni nu va castiga nimic

Singurul lucru care se întîmpla de fapt este o informatie falsa care prin intermediul mediei

intra in mintea oamenilor .

Sa zicem ca ai access la domeniul de la BCR. Database-ul e pe alt server...

dar .. site-ul ca sa functioneze , sa te poti autentifica se foloseste de database. scripturile trebuie sa contina user si parola undeva ca sa acceseze acel database. nu? Si un script kiddie cand se vede pe un server de genu cauta 'ceva' .

Ori ai copiat de undeva toata porcaria asta, ori habar nu ai.

Edited May 21, 2011 by eucumata

[Birkoff]

lucrand in domeniu de mult timp stiam de asta, dar tin sa spun ca nu peste tot e asa, firmele mari au departamente proprii pentru fiecare din punctele a,b,c cu personal special angajat pentru asa ceva. desigur ca ocazional se face outsourcing cu o alta firma pe anumite proiecte sau servicii. personal am lucrat 6 luni pentru un proiect (CMR) pentru oracle (in sistem outsourcing) si am prieteni si prietene angajate la diverse firme internationale (prin canada) care mi-au povestit cum e sistemul la ei... la unii au departamente proprii si se ocupa de bucataria interna si doar anumite proiecte sau servicii le externalizeaza alte firme au sistemul descris de tine mai sus...

de exemplu la noi in tara anumite agentii guvernamentale angajeaza o firma pentru a se ocupa de serviciile media sau it (vezi cazul cu pagina nu stiu carui minister care e facuta de o firma externa si care a pus in pagina de about cum ca ministerul de interne e subordonat districtului washington dc si se supune legilor acelui stat... daca cautati prin stirile vechi dati de caz)

[pyth0n3]

mda interesant. Dar de Sony ce mai zici ?

Sa zicem ca ai access la domeniul de la BCR. Database-ul e pe alt server..

dar .. site-ul ca sa functioneze , sa te poti autentifica se foloseste de database. scripturile trebuie sa contina user si parola undeva ca sa acceseze acel database. nu? Si un script kiddie cand se vede pe un server de genu cauta 'ceva' .

Ori ai copiat de undeva toata porcaria asta, ori habar nu ai.

Ceea ce am scris mai sus , sunt experiente pe care le-am avut cu diverse companii intermediare care ofer? diverse servicii pentru companii de tipul X ,

Am avut ocazia sa întîlnesc persoane care lucreaz? pentru companii de nivelul 2 ca Y si

persoane care lucreaza in companii care se pot clasifica in celelalte subcategorii

In exemplul de mai sus am pomenit de IBM deoarece alte companii se ocupa de server-urile lor publice.

In legatura cu ce ai spus tu mai sus server <> database nu e nici o problema

Pentru public vine creata o retea speciala (PUBLICA) cu toate serviciile

Webserver, database care nu au nici o legatura cu reteaua (PRIVATA) cum am mai zis

server-urile pot sta intro camera in care scrie public pe usa , oricum chiar daca tu faci un query la serverul SQL asta nu inseamna ca ai acces remote la el (prin intermediul php obtii rezultatele), serverul SQL va rula oricum in local (pe o retea expusa la public)

OK presupunem ca iei access la un site guvernativ si ai publicat datele scoase din database

Nu e nimic grav deoarece nu e nimic acolo,

Ok vei gasi probabil un nume de tipul secret sau special sau poate chiar top secret dar esti intrun server pe care il voi chema jail si datele au valoare 0

Vroiam sa precizer doar ca majoritatea iau ca target serviciile publice cele mai importante (dar nu e nimic acolo)

E important sa stii ceea ce cauti si unde o cauti , server-urile publice sunt doar o momeala fie ele webserver, database,ftp,ssh

Nimeni nu este chiar atat de prost cum unii cred iar cand cineva pune un manifest de tipul security 0 altii rad cu gura pana la urechi.

Nu exclud faptul ca nu se poate lua access la o companie foarte mare , fia ea guvernativa sau nu dar ce rost are sa iei acces la server-urile ei publice?

Pierdere de timp

In legatura cu SONY sincer nu am urmarit ceea ce sa intamplat

[eucumata]

Nu exclud faptul ca nu se poate lua access la o companie foarte mare , fia ea guvernativa sau nu dar ce rost are sa iei acces la server-urile ei publice?

Pierdere de timp

Tu crezi ca totul se rezuma la dosare clasate ? Ce pierdere de timp cand ai acces la o ditamai compania cu sute de mii de utilizatori si informatii despre ei Sincer pe majoritatea ii doare'n p**a de companie...ei vor altceva.

Edited May 22, 2011 by eucumata

[crs12decoder]

Pyth0n3 Ai spus ca in contract compania X beneficiaza de asigurari.

Asigurarea cine o face practic... compania Y?

Daca Exista o paguba, Y plateste?

Y ar putea fi vazut ca un intermediar ce absoarbe riscul.

Sunt curios sa vad cum arata un contract in care ti se spune ca iti asigura tie toate datele in caz de ceva.

[pyth0n3]

Sincer pe majoritatea ii doare'n p**a de companie...ei vor altceva.

Pun intre ghilimele r?spunsul pe care la scris Nemesis in Hackersblog

"dorinta de a iesi in fata cu orice pret, de a fi considerat cel mai bun si de a avea un nume care inspira respect"

Oricum multi nu vor ob?ine nimic ci doar un mirror in care isi vor aminti ca au avut access

la un site oficial cu un TLD special.

@crs12decoder nu sunt sigur din care buzunar mai exact vor fi v?rsa?i ace?ti bani

Iti dau un exemplu:

Fiind in intermediul unei companii am observat un computer desktop care facea prea mult zgomot , era ventilatorul care probabil era plin de praf nefiind curatat de o gramada de timp

Am zis ca ar fi bine sa fie desfacut si curatat deoarece s-ar putea sa nu mai functioneze mult.

Mi-au spus nici o problema , daca se strica compania le asigura un alt computer nou si ca datele au o sursa de backup asa ca nu ar avea rost sa ne obosim .

La fel si site-ul nu are backup in local dar nu e o problema se ocupa o alta firma de el si asigura ca datele vor fi la loc in caz de un dezastru , in acest caz pot sa ma limitez doar la introducerea informatiilor publice fara sa fie creata o sursa de backup

Modul in care majoritatea se exprima este foarte calm , noi platim o licenta , ei ne asigura serviciul noi nu pierdem , pierd ei .

Cineva plateste oricum , daunele nu vor fi pentru compania X

Edited May 22, 2011 by pyth0n3

[eucumata]

"Ce pierdere de timp cand ai acces la o ditamai compania cu sute de mii de utilizatori si informatii despre ei"

Te-ai uitat prea mult la tinkode

[pyth0n3]

"Ce pierdere de timp cand ai acces la o ditamai compania cu sute de mii de utilizatori si informatii despre ei"

Exista persoane care se ocupa de spionaj industrial si sunt in gradul de a obtine un numar limitat de informatii cel putin stiu unde sa le caute.

Informa?iile confiden?iale se afla in reteaua PRIVATA , nu in reteaua PUBLICA

Tot ceea ce am scris mai sus este analizat din punct de vedere personal

Fiecare are dreptul sa cread? ceea ce vrea

[M4T3!]

Dar de ce managerul de la X nu vorbeste direct cu cei de la A B C? ca sa economiseasca banii?

[crs12decoder]

Ai putea te rog frumos sa afli cine se ocupa de asigurare? M-as simti indatorat pentru un PM cu informatia asta.

Multumesc.

Ontopic:

De obicei cel mai bine in afaceri castiga intermediarii.

Va puteti gandi la google adsense.

Cunosc exemple de firme care actioneaza asemanator cu ce a zis pyth0n3 in domeniul lemnului.

O firma care prelucreaza lemnul primeste cereri de la o alta firma de intermediere pentru diverse obiecte(gen cosuri, scaune, lazi etc.). Firma de intermediere vinde mai departe altor firme care se ocupa de distribuire/vanzare etc.

[firewind]

Lucrez oarecum in domeniu, si din fericire, sau din nefericire...asa se intampla.

Mai putin de 2 % dintre companii (cand spun companii, ma refer la firme mari, care au atat activitate de cercetare/proiectare, cat si de productie, ceea ce nu este cazul la firma de distribuit alimente cu supermarketu dintr-un colt de tara,fie ca e vorba despre aprozaru..., din coltu strazii) au implement politici adecvate de protectie a informatiilor, cum ar fii dezactivare de porturi usb, unitati optice, filtrare/monitorizare de emailuri, etc. In ziua de azi, cel mai repede si mai usor faci bani ca "spion industrial" fiinca majoritatea "managerilor" sunt "varza" la acest capitol si "managerii" platesc pentru informatii, fiiinca deoarece sunt lipsiti de cunostinte, li se pare dificil de obtinut informatii "secrete" despre concurenta.In aceasta categorie intra si "spionajul politic", sau cum dreak s-ar numi, caci pot pune pariu ca o femeie de servici, iti da cosu de gunoi cu hartii sa-l duci, daca te costumezi mai naspa si ceri 3 lei, fara sa gandeasca.Deasemenea manageru` sef de partid, mototoleste faxu, si-l arunca-n cos, fara sa-l distruga....si se bucura cand a nimerit cosul.. de gunoi.

In alta ordine de idei, 80% din sistemele de operare sunt windowsuri fara licenta, fara antivir, si fara nici o parola, astfel incat in 5 min poti pune tot ceea ce vrei pe un computer, pana spui ca schimbi becu` sau dai cu solutie pentru combaterea gandacilor din birou, + ca poti baga si un prelugitor cu microfon gsm, activat vocal...plm, imaginatie sa ai, ca banii curg.

offtopic.

1 din ceea ce a postat pana acum pyth0n3 stie ceea ce spune, si are dreptate.

2 din ceea ce a postat pana acum eucumata este ori un retardat, ori un frustrat sexual (auzi nume de scena "eucumata", mai bine suna "eucusorata"), parerea mea.

[pyth0n3]

Ca tot a venit vorba de spionaj industrial

Am r?mas pu?in confuz cînd am v?zut cu cata u?urin?? se pot accesa date confiden?iale dintro retea privata

Cand spuneam ca e inutil sa ataci un obiectiv public ma refeream la faptul ca nu vei gasi nimic acolo atata timp cat te vei juca cu reteaua lor publica

Bineinteles pentru cei care vor sa atraga atentia asupra lor o pot face in continuare dar la un moment dat isi vor da seama ca nu au avut nimic de castigat

Bineinteles fiecare deface are rostul lui chiar daca 90% le consider facute aiurea ,doar pentru faptul de a iesi in evidenta iar personajele in acest caz le voi chema defacers .

O munca pe masura bine platita este spionajul industrial

Un spion industrial va detine informatii confidentiale in schimb un defacer va detine doar informatii publice (intrun fel)

Suntem in 2011 dar inca in ziua de azi majoritatea companiilor nu au facut un upgrade de software si inca folosesc vechile sisteme

Un numar mare foloseste inca database de tipul DBase primele versiuni

De fapt acest lucru poate fi intrun fel bun/rau

Majoritatea din ziua de azi habar nu au cum functioneaza un asemenea database si nu se vor obosi sa il foloseasca.

Cei care sunt mai batrani cunosc mai bine cum functioneaza

Apropo :

"Majoritatea habar nu au sa faca un query in MYSQL si sunt experti in SQLInjection"

Am intalnit multe persoane care au efectuat atacuri asupra unor target-uri foarte importante , atacuri de tipul SQLI dar nu sunt in gradul sa creeze un tabel intrun database decat daca folosesc PHPMyAdmin

Un numar foarte mare de companii foloseste inca versiuni foarte vechi de Office , pot afirma ca majoritatea folosesc pachetul MicrosoftOffice 2003 impreuna cu clientul OutlookExpress (vizualizarea html enabled )

Vine folosit windows XP care nu a fost updated in foarte multe companii , e sistemul operativ cel mai des folosit

Cel mai prost lucru intalnit este password-ul aceeasi parola peste tot care de obicei este numele firmei sau ma rog ceva simplu pana in 5 caractere care pot fi doar alfanumerice

Exista servicii remote desktop cam peste tot, deoarce este usor de folosit

Singurul lucru pe care il respecta este antivirusul deoarece majoritatea cred ca sunt in siguranta daca au un sistem antivirus desi nu exclud faptul ca exista companii fara antivirus

Daca cineva vrea sa atace un sistem bancar nu trebuie sa o faca din portalul oficial

Multe banci au retele wireless protejate in mod foarte prost

Va voi da un mic exemplu , o mica experienta personala

Acum 2 saptamani am avut intentia sa fac un upgrade la un client de mail care era putin prea vechi

Am exportat contactele si restul datelor , dupa care am incercat sa configurez noul client

Ceea ce imi lipsea era password-ul la care compania mi-a zis ca dispune de o asistenta tehnica 24/24 unde pot vorbii cu cei care se ocupa de retea si server

Ma trezesc cu administratorul la telefon c?ruia ii explic ceea ce vreau sa fac si ca am nevoie de password care imi spune ca nu isi mai aduce aminte dar va crea o noua parola

Ma intreaba ce parola vreau pentru email la care ii spun sa aleaga el una care sa fie destul de complicata .

Ok dupa 5 minute primesc un telefon la care imi spune noua parola

(Numele unui film foarte cunoscut) si ca in acest mod nu o voi uita , mia zis sa o scriu pe undeva in agenda .

Dupa doua zile mi sa confermat faptul ca nu am dreptul sa schimp clientul pentru mail si ca trebuie sa folosesc ceea ce aveam , un pachet foarte vechi de la Microsoft.

Singurul lucru pe care am reusit sa il schimb era browser-ul , o veche versiune de Internet Explorer

Am afirmat urmatorul lucru : Este vulnerabil

Mi-a raspuns repede: Totul este vulnerabil

Spionajul industrial este usor de efectuat, in cazul in care iti permit sa lucrezi direct de la reteaua lor

Firma X cere informatii despre firma Y

Firma Y fiind un afiliat cu firma X exista o conexiune intre ele fie ea rdp sau vpn

Firma X are access autorizat la firma Y pentru diverse probleme fie ele de management sau oricare altele

Bineinteles firma X are access limitat la firma Y cu un account de user normal sau chiar uneori cu drepturi de admin (depinde am intalnit ambele situatii)

Managerul firmei X vrea sa afle informatii despre firma Y ( intrari, iesiri ) , avand in vedere faptul ca totul vine controlat de catre computer si ca exista un access local partial

este usor sa obtii orice fel de rezultat

Singurul lucru care ma mira este cat de cretin poti sa fi si sa tii informatii confidentiale pe desktop intrun director cu numele PRIVATE

Cat de cretin poti sa fi sa iti salvezi in pdf screen-ul cand te coleghezi la sistemul bancar

Un alt lucru intro companie este ca majoritatea computerelor au activat folder sharing care de fapt eu il chem computer sharing deoarece face un sharing cu toata structura C a celorlalte computere

[edit]

@crs12decoder Firma care ofera serviciul ofera si garan?ia serviciului , diverse servicii vin asigurate in moduri diverse asigurarea se poate face si de catre alte firme externe varsand niste sume de bani de catre firma care foloseste serviciul (Annual quota)

Edited May 22, 2011 by pyth0n3