How to Stop the Harvester: Massive Data Loss in Ukrainian Companies

всем привет меня завут егор по пошив как вот правильно сказал серёжа я энтузиаст кибербезопасности в свободное от основной работы время занимаюсь типа но исследованиям рисков киберугроз персональных данных там пользователей различных известных сервисов публичных типа интернет магазинов компании которые занимаются перевозками там новой почте например и сегодня я вам расскажу вообще здорово что и очень отрадно наблюдать что такая масса людей собралось спасибо вам что пришли это мой первый доклад я вас очень всех боюсь вот и ну первый смысле вообще еще года четыре назад я точно так же сидел первый раз не точно также первый раз сидел на конфету кибербезопасности это был ее законы слушал ребят там половины не понимал что они говорят и то есть это здорово что я теперь стою и могу даже

что-то рассказать возможно даже интересно и сегодня про массивные утечки информации украинских компаниях я поделю доклад ну это коротко обо мне я поделю доклад на две таких части 1 час будет как собрать свой харвестер как осуществлять ну там почти то же самое что делаю я там мониторинг и исследование вторая часть будет для бизнеса кстати есть представители бизнеса в зале вот я знаю есть но не поднимает руку но не бизнеса the mighty которые работают в компаниях типа интернет-магазинов и прочего нету есть окей ну хоть что-то в ga suki есть кто-то с кибер полиции есть не палиться смотрите подготовленные люди значит 2 сейчас будет для бизнеса где расскажу там как как бы не то чтобы противодействовать а как минимизировать

риски которые несут в себе вот такие вот посты facebook щеках как как мои значит что такое harvester я harvester am условно назвал ну кто играл в дюну наверное помню что там была такая машинка которая собирала spice ну это ресурсы как бы нет ну короче но это было много лет назад еще когда не было такого другой трактовке этого слова условно говоря вот он харвестер мой да там он там накапливает какие-то данные в свои короче емкости и как вы наверное правильно заметили здесь открытые ftp аккаунт и здесь открытые виндовые шары и то что можно просто тупо нагуглить и об этом я сейчас расскажу подробностях хотел бы начать бородатого анекдота это кейс октябрьский это сайт церковью и это наш цирк украинский который привез

из за езду который мониторит киберугрозы в украине это короче control ну типа view source ну смотреть сюда как бы то есть смеяться после слова пароль у них просто захардкожены захардкожены пароль доступа дак почтовому ящику был открытом виде о чем это говорит это говорить но они справились все окей там но суть да дело у нас не все хорошо в украине как бы с кибербезопасности то есть если организация которая мониторит проблемы кибер беса и занимается ну реагированием на инциденты госструктурах как бы сама допускает какие-то траблы то наверное есть повод задуматься чтобы посмотреть чуть глубже и копнуть чуть дальше то есть посмотреть что шел других вообще в таком случае ну что я и сделал в ga suki всё спокойно в примерно с

этого кейса с церкви и стартовала акция факт испанцы был disclosure одним из активистов который был ваш покорный слуга что показало это акция разными энтузиастами были вскрыты проблемы и в государственных структурах эти проблемы включали но не ограничивались виндовыми шарами открытыми ftp-аккаунта и выбыл администрация хаббл родах вообще тотальный трешак потому что ну там судя по всему никто ничем не занимается даже в донецкой военной администрации временное там как она правильно называется документы и прочее служебная информация была в открытом доступе ну их там и проломили вплоть до администратора короче неоднократно самые разные группы в том числе с россия судя по всему и всем было полностью на ну как бы вы поняли значит nuts полиция украины в киевской области уголовное управление они короче в

новостях кидали картинки прикрепляли по-моему это было так и поп короче пути к этой картинке можно было понять что она обращается на открытый сетевой диск обмен марина на этом сетевом диске вся инфа там по расследованием короче за там последнее время за я не знаю ну длительный период времени служебная информация to make the оперативки информация по сотрудникам ну все все все по киевской полиции там очень было много интересного включая файл который содержал логин и пароль к аккаунту в твиттере это мвд 123 это пароль но чтобы вы не строили иллюзий до что это там логин нет значит и ну как бы в этот момент в твиттере в официальном в официальном твиттере полиции появилась картинка типа там и полиция короче но у

нас лапке ну такой котенок там тифа ну здорово было на эту акцию реализовала украинский киберальянс экспертная служба минобороны там вообще переворачивала всех контрразведкой сбу потому что были доступны прикарпатский военный округ были доступна информация была у призывника ход он у тех людях которые отправляются в зону ато конфиденциальной информации типа военно-учетной специальности списке людей когда там командировки и прочая хрень минюст вообще там блин вот доступ к регистрам доступ к реестром там избу заводит уголовные дела ну короче подломили тоже практически все было видно следы того что ломали видно следы там shell и залиты в господи как он там называется одесская нотариат нотариат одесского округа там или как то так полно проблем короче в ga suki ну как бы а кто кстати

знает какая самая не секретная организация в украине не секретная самое есть варианты государственная кто нет кто сказал у kuro там отлично самая не секретная организация энергоатом украины оператор атомных электростанций украины все не секретна что нашли ой можно как-то все не секретна что нашли короче блин каждая вторая лампочка но не только ну ну тут тут же тоже лампа в проекторе то есть подготовили заразы ты посмотри но мы их победили 3 по-моему было жестоких таких фака по включая короче учету мотивам включая короче запорожскую атомную электростанцию массив огромной документации а я знаете что такое а я б ей это самое это отдел ядерной безопасности то есть отдел ядерной безопасности как бы в опасности получается да но на каждый сзади кейсов примерно они

отвечали ну мы знали что там головы летят там с другой стороны там типа они там премии снимают еще что то там короче там жестко короче с другой стороны они отвечают типа они отвечают типа вот этого то заявление для сми кибератаки все насрать нам короче невозможности это ответ короче нашего активиста но как бы то ни было но они справлялись они ну как бы несколько стадий проходили там сначала стадии отрицания потом стадия грейси там да вы это вы нас взломали потом стадии но в итоге на наступала какое-то понимание и они выходили там на конкретных ребят активистов если кто-то конкретно что-то нашел то спрашивали как нам это устранить эту проблему но на публику конечно заявы были смелые но при этом

все мы помним прикарпатья был энерго это не относится к энергоатом у но мы понимаем что критическая инфраструктура у нас вновь очень проблемные то есть были а такие успешные таки кстати самая первая в мире атака по моему на объект энергетики было именно вот у нас в украине вид была успешная да и речь шла о прикарпатья облэнерго когда там 300 тысяч человек была отключена от электроснабжения там на сутки или сколько ладно газ газ ухо и понятно там маленькие бюджет и проблемы постоянные с недостатком ну в плане зарплатам специалистам не платят хотя это не повод на самом деле речь идет о том что правильно построить процессы и очень многое можно решить административными мерами то есть они просто не принимают

во внимание текущая ландшафты угроз и не пляшут от них чтобы построить грамотно админист с помощью административных мер не вкладывая бабла ну базовые просто засады как у нас там законы засада вот костями где костя карсон он бы меня спас я не знаю как он там да я не знаю как верно называется закон про засады ну здорово вот ну как бы платят бумажки но ни хера на самом деле руками не делать это тоже у нас очень большая проблема бумагомаратель ства очень сильно опережает ну процессы то есть построение того что делается непосредственно руками и кстати очень большой дефицит молодых специалистов которые бы что хоть что-то делали у нас за сие засилье бумажных тигров информационной безопасности но дефицит большой в коммерческие компании

вперед киев стар есть тут ребята и я знаю есть можете друга не поднимать и all секс на мне мы дружим всякий было у них проблем к тоже сотрудник воткнул там флешку типа юсб и а бывает другая ёпта значит воткнул расшарил свой ftp аккаунт в интернет на домашний тачки или там на каком-то ноутбуки своем и там полились в свет короче работает рабочие проекты и строительство узлов там много было таких документов ну как бы можно сказать что они не актуальны там где то до тут одиннадцатый год но тем не менее это не та явная информация которая которую ожидается увидеть в паблике да ну для компании фуршет магазины файл называется фуршет логины и пароли в открытом доступе будьте любезны используйте как

бы используя данный пароль я случайно кстати не закрыл вот прощелкал вот вам будут доступны результаты всей сети и таких системе и типа как она ну не crm-ки а там где продажи фиксируются там короче такое мтс мтс вообще там я не знаю там гигабайта полтора наверно массива служебной информации чувак который руководил или имел отношение к руководство транспортной сети компании транспортной не в смысле там где машинки как катаются транспортной смысле передачи данных и так далее и выложил все годы своей работы там с 2007 или не знаю там куча документов тут можно проект из форм знаете что такое сорм ну то есть можно говорить о том что там мтс внедряет какие-то технологии процессы которые можно который позволяет следить

за пользователями за трафиком там сети отслеживать форум это то что в россии by обязали каждый провайдер вставать и как бы чтобы у органов правоохраны них была возможность короче ну подержать как бы каждого из нас за зову winsett отлично кстати да очень мягкой в то же время емко они эту проблему тоже решили ничего не дали правда воля воля потеряла ну как потеряла вообще с воли интересный кейс но я буду мягкой потому что я знаю товарища ну там на самом деле все хорош ну хорошая команда у меня нет претензий так случилось что по вине их партнеров с которыми не очень плотно взаимодействовать потерялась ну как бы вышла в продакшен база на 40 примерно 45 тысяч абонентов с очень детальными

данными то есть это фио это адрес это номер телефонов и многое-многое другое там тут видно по городам короче зубы д по фамилиям по городам раскладка короче такая была интересная ситуация причем я когда нашел эту проблему ну как бы запулил в чатик там сообщение she типа одну чуваки там воля короче блин халепо вот такая нас есть внутренней части комьюнити по безопасности там проходит полчаса это было открыто ftp где-то там ровно-ровно в ровенской области у чувака на домашнем компе у сотрудника как короче авторизация на ftp выскакивать ну а было без пароля бизнес без ничего короче думаю нефига сибе реакция то есть они мониторили открытые конакты короче додумались что ftp херак нашли меня короче нашли там увидели что

там хранится обрезали нет оказывается все было несколько иначе ну так совпало что ну как бы по истечении обстоятельствам поставили под авторизацию на самом деле в головном и всего у воли не знали о том что ну как именно происходит утечка утечка данных получили всю информацию ну и как бы в итоге все благополучно разрешилась там кибер-полиция сейчас занимается липнут по последним данным то есть они перевели и высушивают из партнеров короче ну как бы ответственность высушивают за за вот этот вот кейс весь это you up ершей тут произошло короче ну эфирная сетка вещание то что попадает короче на всякий инженерная хрень я тут не разбираюсь в таблицах в этих но я так понимаю тут подготовка файлов для того чтобы их

потом транслировать на телевизор собственно там огромный объем данных там несколько но в килобайтах уже измеряем а потому что там видосы видосы видосы и все ну там как-то рассортировано плюс excel таблицы где все там отмечено в какое время чё ну тоже it invest этот за порошков в данном случае но я хочу обратить внимание то есть богатая компании его средних то о чем идет речь вкладываются довольно большие деньги ну вот метинвест сейчас а дойдет дело дойдет дело мы уже проскочили мтс да чувак не синтез говорит ну как наши dlp ну наши белки прос пропустил это да и то ли привинчен короче системы там за квадриллион баксов я не знаю сколько она стоит игры ну блин при чем тут dlp речь

идет о том что сотрудник дома расшарил ну то есть сотрудник не знает элементов элементарных вещей по защите информации и допустил вот такую вот проблему то есть бабло вкладывается немереное в это ну то есть большое бабло то есть речь идет о сотнях тысячах долларов да за внедрение каких то систем для за христу информации но выхлоп ожидаемые от этого ну как бы мы защищены да но в то же время не очень и я это поднимаю вот эту проблематику на поверхность то есть надо чуть больше усилий прилагать я о них расскажу один из очень крупных интернет-магазинов я не буду называть какой тут другой кейс это просто view source до в браузере control у ни хрена не видно но я расскажу о том

что этот жест скрипт до который был доступен если вот например в кабинете пользователя находясь посмотреть страничку и увидеть здесь что парсится ну например вы делаете какой-то заказ в интернет-магазине да вы вбиваете кита данные о доставке туда парсится ну тут есть много переменных которые заполняются и складываются по определенному хасту порту логину и паролю причем пароль тут довольно сложный 20 символьной ну какой буквы и цифры тут большие маленькие но проблема в том что он в плен тексте просто по правой кнопке на странице я могу ну используете логин и пароль зайти на тот же хост и что этому вижу правильно с 2007 года все заказы пользователей всю пользовательскую базу то есть это ну как бы это сам один из ценнейших

информационных активов компании ну так выходит да и он в открытом доступе как что есть три кита на которых базируются информационной безопасности то конфедициальность целостность доступность а ещё у нас нацбанк любит там спасти ревность кто знает что такое сп осторожности не знаете ну да вот сп осторожность я вам объясню сп осторожность это нацбанк это в 27 июня в обед отправить всем банкам когда уже халепо вид бы вается петя был 20-го июня письмо о том что халепо и спас 3 рад из-за трешаком который вот это вот осторожность но на самом деле это короче логирование действий пользователей хер с ними короче вот конфет сальность целостность доступность но по-моему доступность тут вот именно на высоте реализовано доступность тут не

придерешься тоже решили проблему закрыли все зашибись там ребята спрашивали как правильно там ну как бы все все всякие кейс можно сказать закрытой опять же тут коммерческая до компании большая этого не было у меня в фейсбуке я хочу сказать о том что получил к российской нефтяной компании лукойл некоторый доступ который позволит мне там как бы провести анализ месторождений в россии их потенциале проектной документации зарубежных партнеров отчетности вспомнит с пометкой типа секретное так далее то есть возможно это повлияет на курс их акций но то что я сейчас сказал может и нет как знать но просто дело в том что вот в этих отчетах это и служебной документации может содержаться информация которая расходится с тем что они публиковали публиковали публично до

тавтология такая то есть если это так

ну вот как бы как бы вот так вот это наши российские как бы коллеги да ну то есть по хранению информации как это сделать как нагнуть всех как быть знаменитым как заработать немножко денег сейчас я вам расскажу об этом это просто но как бы уровень beginner's короче подразумевает то что они будут там рассказывать сложных вещей так что не удивляйтесь те которые этом собаку съели ну я посвящаю этому я не знаю там полчаса час там в неделю 2 часа в неделю там на анализ всего этого ну как она вообще строится чего собственно harvester как я это назвал состоит он состоит из вот такой вот темой это harvester это фактор использую был диск ложе то есть то что мы публикуем просто

так и ни у кого не спрашиваем и все этого почему-то боятся состоит из как бы нескольких модулей это модуль который включает себя краулеры интернета типа shadow and sense из public дабл дабл дабл ю это сайтики на которых можно получить немножко дополнительной информации типа virustotal одну по конкретному домену это сканеры и типа in map самый популярный это google то есть гугл докс где мы просто google им информацию которая на самом деле часто бывает что она очень чувствительна ну то есть ну представляет собой определенную конфиденциальную тему все смотрят но все смотрели многие наверное смотрели мистер робот вот это кадр оттуда это шодан поисковик самый опасный хакерский поисковик в мире как его позиционируют там но и где-то прочел то есть в мистер

роботе даже используют а вы до сих пор нет сейчас я объясню как его использовать всего две команды есть в судане которые полезны в отношении украинского бизнеса это вот эта и вот эта вот эта команда показывает нам виндовые шары без аутентификации куда можно просто подключить себе как сетевой диск и смотреть чё там есть часто это принтеры часто это всякий мусор но вот как бы первая команда вторая команда это показывает все ftp аккаунты где опять же отсутствуют авторизация то есть заходя в них как я не знаю там куда-то на сайт там короче google к мы просто вместо архетипе набираем ftp и вместо и пи адреса вместо адреса поставляемой печник и заходим на ftp и читаем все что там находится часто и

tftp доступны не только на чтение ну и на запись то есть этим часто пользуются подкладывая туда какие-то свои короче ну гешефт свой сейчас я расскажу о чем идет речь вот вот эти два запроса через шодан получаем дофига результатов оба этих запроса как мы видим они акцентированы на на украинском сегменте ну речь идет о territory территориальном расположении хостов и по первому результату будет порядка результатов будет порядка тысячи по второму чуть больше 5000 затем мы выгружаем эти отчеты себе это как бы платно там надо кредиты постоянно пополнять короче нужно было отчеты выгружать но этого можно не делать можно вручную их пощелкивает то есть чтобы денег сэкономить можно и как бы перебрать их просто ну вручную если отчет выгружается мы

можем написать там python кто скриптик или там в бою реализовать чтобы сравнивать повторяющиеся значения в нескольких отчетах и не тратить время на те и печники которые мы вылавливаем открытые has thread'а который мы получили в результатах не тратить на них время перри проверяя каждый раз хотя это иногда бывает полезно потому что сегодня там например приведу пример компания которая занимается пожарной безопасностью сегодня а там лежал только мтс чертежи серверное серверное с.б. короче как эти господи дата-центры от соды сода там сода 920 34 все очень плотно для проектной документации чертежи а вот завтра там уже лежит чертежи администрации президента та же фирма реализует пожарную безопасность для крупных объектов выигрывает тендер и так далее то есть ну довольно популярна в

украине и вот в открытом виде служебная документация которая позволяет но какие-то знания подчеркнуть о режимных объектов то есть есть режимный объект мы получаем полностью его план да наверное это неплохо не прикладывая никаких усилий лезин копаться пролезем копаться я расскажу чуть больше на следующем наверное слайде через один вот из вот этого вот вот это вывод результатов по открытым ftp вот это вывод результатов по открытым виндовым шаром примерно 57 это будет чисто спать 57 процентов из вот этого всего количества то есть но реальный урожай который то есть вот эти вот чуваки из вот этого количества уже должны вам денег ну так образно за обнаружена уязвимость за обнаруженную проблему дул tharks гугл докс в гугл докс я использую простые довольно таки

команды элементарные эти команды позволяют нам как бы за имется там на сделать они позволяют там акцентировать на конкретные цели свой поиск или на группе цели если мы там используем звездочку там в виде имени домена и только ну там страну указываем да ну о чем идет речь вот примеры то есть вот это вот операторы ну синтаксис вот примеры использования то есть мы ищем что-то на конкретном сайте и ту далее идет структура запроса мы ищем что-то например in тайтл я от открытые яндексе кстати находится ощадбанк вообще страдает этим у них открыты индексы там [ __ ] информации просто ощадбанк ей сайт и там много интересного можно найти потому что часто это именно у больших компаний случается то есть большим компаниям сложнее

мониторить то что у них происходит с их ресурсами как правило это обусловлено вот этой вот системной большой структурой который очень долго там что-то согласовывает между собой футболе это решают вопросы а мы этим можем очень здорово воспользоваться а с того ли я начал можно было начать с того что гугл докс это то что нас охранял себе google в процессе индексации страниц это мне просто могут быть то что мы привыкли гуглить да там могут быть сохранены и файлики сохраненные какие-то там пути к админ страницам и многое-многое другое то что лежит в открытом виде и к чему есть доступ то есть системы поисковые можно блокировать до прописывать на своем сайте к чему у поисковиков не будет доступа для индексации но этим

часто нету нету ить и был получается ну массу проблем из-за этого чувствительной много чувствительной информации документов интересных данных логинов паролей даже в этих документах может быть доступна благодаря вот можно найти благодаря специальным запросам в гугле это называется гугл докс окей я спокоен теперь значит для того чтобы комбинировать различные запросы можно использовать вот такие вот операнды или как их можно да так примерно назвать там звездочка чтобы искать все там для кого-то значения в кавычках можно брать слова от ну то есть только вот это целиком минус означает исключение да то есть мы ищем пук все в горе но исключаем администрация президента extend шанс это мы ищем по файликом которые про индексировались то есть файлы которые загружены в папке сайта и эти файлы

часто представляют собой значительный интерес для пытливых умов особенно txt кстати файлы pdf меньше вот примеры моих запросов в google то есть я формирую запрос так допустим я хочу найти все файлы ну которые могут теоретически представлять интерес на конкретном сайте то есть сайт такой-то дал мне аж есть такая модная штука сайт такой-то и я ищу по extend шанс то есть по расширением файлов что гугл нам на осерчал и вот в результате вот этого запроса подставляю сюда имя интересного сайта или сайтов допустим это будет тут звездочкой вместо сам thing я найду все в зоне фея и да и буду пытаться как-то с этим разбираться очень часто находятся файлики с и с названиями password там или еще так похоже это частый кейс вот

благодаря вот этому запросу я найду открытые яндексе да то есть это когда мы заходим в папку сайта там ставим слэш не ставим название файла и смотрим все файлике и папки которые были загружены в эту директорию по пути которые мы открыл путь к тут который мы открыли благодаря вот этому запросу я посмотрю какие периодически вываливались ошибки к базе которые тоже могут о чем-то нам сказать в последующем для реализации какой-то атаки допустим вот ошибки к базе в различных вариациях я перебираю вот в этом вот запросе то есть гугл нам очень много существует масса вообще вариантов гугл докс если погуглить гугл докс лист там 2018 можно наиболее свяжи ковы интересные варианты для использования себе вы выбрать in map многие думают

ошибочно что я погряз в нeм api короче там короче хрустальные ftp мамышев макмэн и так далее меня обзывают мне обидно очень хочу значит можно использовать map я его больше как вспомогательную такую вещь использую для того чтобы там ну я вообще заснул у нас все суда нам учиться с ударом вообще в легкую короче это масса всего и это 90 процентов того что я нашел это шодан но так и nmap это для нищебродов значит in map комбинируя различные запросы мы можем определить ну сделать discovery там до предварительную разведку какие has ты вообще ну там не лежат в текущий момент каких если существует можно выделить конкретный порт который нас интересует и проверить биспинга потому что можно получить разные результаты некоторые на

некоторых фаерволов там до запрещают pink им ему получим вот благодаря этой команды команде которой говорит сканить порт там без не посылая пинг да мы получим другой результат может быть более полные лис тхостов нежели используя вот эту команду которая пингом проверяет если хоть ты зап или down но не сканируют конкретная порты то есть вот в результате вот этого запроса сканирование портов ней в он выполняется но не здорово помогают если нам большие сегменты надо от бабахать ну сегменты сети чтобы понять вообще там что то есть живой или нет пример там например причём например значит вот это вот позволяет вывести вот это позволяет вывести версию сервиса который висит на конкретном партия вот эта команда позволит а вот здесь вот

кстати вывод результатов txt файл для последующей обработки да то есть я определяю путь название файла и получая результат в конкретный файл эта команда сканировать с поп конкретному порту определенные сегменты то есть мы вот здесь вот например выбираем до блоки ip-адресов и nmap не является основным у меня инструментом я не знаю откуда пошло ну как бы все мое прозвище и так далее но он он бывает очень полезным как ну нагуглить что-то на седане найма пить это только пол дела залог успеха зависит очень вот это его темы от работы непосредственно с тем что мы нашли стой инфой это очень важно во-первых я очень рекомендую использовать средства средства анонимизации то есть ходим там через vpn и так далее и тому подобное

почему не всегда то что на то что вы нашли может быть адекватная реакция со стороны бизнеса или интересант of которые на другой стороне баррикад от вас от вас находится может быть они к вам что-то предъявят какую-то претензию засудят кстати в кейсе с новой почтой да ладно это будет вот здесь я была расскажу про атрибуцию то есть надо себе максимально обезопасить от вот таких вот вещей это первое второе все должно быть аккуратно разложено по полочкам не свалено все кучу на рабочий стол а по отдельным папочкам вы сортируете то что вы нашли в отношении конкретной организации то есть вот в эту папочку вот это там нашли вот что-то там по блин как бы к у кого не обидеть

нашли кого-то по мтс у и короче да не сейчас vodafone поэтому я никого не обижу так вышел ситуации нашли что-то по мтс у складывайте в папочку мтс у вас не должно быть пересорта все очень аккуратненько качать обязательно сегодня ftp шнек может жить и там вся инфа которая сделает вас богатым двухкомнатной квартира в киеве так далее она есть завтра ее может быть уже не быть а ну как вы докажете никак поэтому выдавливаем оттуда все возможное выкачиваем выкачиваем и складируем у себя для последующего анализа правильной атрибуция инфы залог успеха крайне важно понять что эта информация действительно несет или публикация этой информации получение доступа третьих лиц действительно несет угрозу для бизнеса или это блин вообще их какая-то публичная отчетность финансового язвит

который публикуется просто у них на сайте а тут вы нашли финансовый zvit так ну чувак тылов получается как бы мы это и так мы публикуем то есть правильная атрибуция информации это очень важно очень важно не хайпить там типа что на какой-то ерунде а реально оценивать насколько ценным этот информационный актив насколько ценным этот массив данных является для конкретной компании и о чем идет речь и ли это данные пользователей которые если будучи скомпрометированы в мире вызову короче мега hyip у клиентов там какого-то интернет магазина или это какие-то взаимодействия с партнерами которые будущее скомпрометированными партнеры скажут да пошли вы нахер вы вас там поломали короче ну или там условно говоря опубликовали короче мы не будем с вами работать это тоже очень серьезную

группа для бизнеса или это только pr риски или или что это то есть оценивайте трезво потом еще раз подумайте чтобы не ну как бы не ну не прослыть там как бы кем-то устанавливаем владельца и контакты с помощью open source intelligence то есть мы гуглим что это за юрлицо чтобы не попасть в калеку как я когда там типа нашел div среду короче доступ и кучу скринкастов разработки рио там к генри знаете агентство ух ты блин даже логотип совпадает это рио короче вот это вот авто дома там ну недвижимость короче и рекламные этот сайт продаж площадка для продаж я короче там раскатываю их короче тонким слоем по фейсбуку де пари а там все мне звонят оттуда короче у дев среда данные

говорят о том что это короче конкретно эта площадка мне позвонили из двух этих самых из двух организаций отдельные юрлица одни чуваки в виннице и это типа не газета а ну короче типа сми местное и они тоже называются рио и как какое-то их обособленное подразделение отдельная юр лицо которое там какой-то особой смысловой нагрузки не несёт горят чувак ты нас нашел ну то есть это у нас фигня это я тут блин очищена тех тогда наговорил как ну там как бы все закрыли все тут это рио звонит ну платформа вот это для пункт площадка для продаж и горит мальчик а ты как бы ну нашел короче уязвимость мы за них платить деньги а где у нас уязвимость люди один края и не

мальчик не 34 года говорю о уязвимости нет ну-ка брысь отсюда ну то есть попал в какую-то неудобную ситуацию но как бы чтобы так не попасть очень важно правильную атрибуцию провести реально посмотреть что это за юрлицо контакты владельца контакты интересант of это не должна быть маша которая сидит на рецепции или там принимать на тех саппортом занимается или еще там кто-то это должен быть чувак который сразу в курит проблему это очень важно то есть вы должны выйти на топов который курирует конкретное направление если это какая-то там не знаю холдинг типа где нету айди как отдельного подразделения там админку это сидит то пусть это будет руководитель самый главный который по создает почему его базы 1с может представлять который находится в

открытом доступе может представлять конкретную угрозу для его бизнеса там на не занимается там не знаю там торф копают или еще там что-то ну и это кстати реальный кейс тельцов значит вы должны донести информацию до тех чуваков которые правильно на нее отреагируют все остальные вас не должны интересовать это очень важно тут же просится пример этот самый чат-бот метинвеста там здравствуйте егор фейсбуке типа что у вас там расскажите о себе в каком городе киев там окей там что у вас за проблема ну чуваки у вас выйти к информации короче на одном из предприятий холдинга вашего здравствуйте игорь там ну то есть как бы не вполне нормально то что я ожидая ожидаю что там поднимется определенной бучина меня

выйдет руководства и мы построим с руководством разговор таким образом чтобы все остались довольны и вам стоит это не в коем случае не врать это очень важно ни в коем случае не шантажировать ни в коем вы должны понять что бизнес это это не тишь ник этот чувак который хочет коротко и лаконично услышать от вас на хрена вы ему звонить и вообще то есть это должно быть подготовленная такая ну добавить же чувак у вас проблема в том что в том что ну как бы давайте встречаться там или как-то взаимодействия вам готов рассказать ну если у вас есть бонусы замечательно я буду рад если нет бонус объемом так и так расскажу ну и дополнен постом фейсбуке короче вот этот набор

инструментов как бы резюмируя то что я рассказал для построения харвестера своего в разных вариациях стоит применять это вот эти краулеры даша dance and public дабл дабл дабл ю google в виде гугл докс em up в виде утилиты для сканирования сетей понимание какие порты открыты и какие вообще сегменты нам могут быть интересны и рис какие айкью это коммерческий проект но у них есть можно зарегаться и получить доступ к не коммерческой составляющей там очень много полезной информации по по доменам также как стать и вирус totally часто бывает под домены там владельцев у из куда через зал велась в какое время там по годам это ну масса темы особенно интересно вот опять возвращаясь к счет банку у них там поддомен допустим

вот ну как бы по шагам да вот нашли захотели посмотреть на счет банк в первом приближении забили там virustotal увидели что у них есть какой-то там был он там три буквы поддомен до зашли на этот поддомен увидели там форму входа форма входа ну какая-то самописная хрень украина узнать что-то открыли source посмотрели это короче софтина для мониторинга инкассации то есть мы видим кстати зашли теперь с форму входа ну допустим ну то есть как как есть уже почти полгода какая-то савкина ok софтина может быть интересно взяли и пошли на сайт производителя подняли официальный pdf там документ как пользоваться тянуть технический документ как пользоваться этим софтом нашли что в этот софт можно там скормить в строку адреса короче обращение к api с

айтишником пользователя которому возможно в панели администрирования этим софтов поставлена галочка для создания пользователей то есть вы можете сформировать api заброс и просто перебором айтишников из трех значений дано фигачить себе создать пользователя дом для мониторинга касался всего счет банка допустим и так придумываю конечно но возможно стоит проверить этот слайд я вставил чтобы ну как бы быть на острие технологии быть модным и чтобы не сказали что моя презентация не было высокотехнологичной то есть это слайд проник джейн архив и call intelligence и машинное обучение переходим к бизнесу что делать бизнесу в этом всем в этой катавасии как бы мне я я не знаю есть в этом не вижу так навскидку товарищи из одного известного банка я как то встречался с ним на днях

он говорит ну как бы я так просто оценил вот там егорка напишет фейсбуке там ну пошумит если у нас что-то найдет пошумит там два дня все успокоится не чувак нет во первых блин в мае всему бизнес у нас тут ну почти всему наступает блин джипе pr это первая проблема то есть если какой-то и горькая чем-то пишет ну допустим в это кейс там супер он дает я замахнулся на uber там где потекли 50 чем-то миллионов записей да клиентских допустим это бы случилось вот сейчас ну там после мая таубер страдает блин на 4 процента оборота компании годового ни хера себе да по штрафам то есть егорка о чем-то написал а тут такая вот хлеб а у нас для

компании даже без джиги pr практика показывает что блин лишаются работы chef informational security officers лишаются работы директора и пресс-секретарь ее лишатся работы которые поспешили о чем-то заявить не согласовав с руководством ну и так далее то есть те кто смеется понимаю что они знают о чем идет речь вот что делать бизнесу значит останавливать harvester не имеет смысла потому что ну как бы это нереально кстати тучами говорил говорил доступно каждому буквально блин я не знаю вот и выпустился из школы до даже школьнику понятно как работать шадо нам ммм и проще этой фигней хочет у был это вот мигнул подмигнул мне значит для бизнеса хорошо использовать те же инструменты чтобы провести свой ну аудит и делать это регулярно на

регулярной основе теми же средствами хотя бы свои сегмента сети ну смотреть что что-то может быть открытая да и это нужно делать постоянно потому что она то открывается то закрывается там в разные моменты времени ситуация бывает разное общаемся с комьюнити общаться с комьюнити очень важно чтобы быть в курсе трендов и ну понять какой ландшафт угроз какие крыш что сейчас модно что сейчас используются какие какие риски и какие уязвимости свежие и так далее то есть не надо замыкаться в себе индии сотрудниками и индии с партнерами должны включать такие риски как разглашение сотрудниками реально прописаны очень хорошо прописаны и юристами должны включать себя эти вещи то есть если сотрудник виновата он должен пострадать от этого ну то есть серьезно

потому что у нас я не знаю насколько на и были бы были прецеденты в украине в работающего идеи индии то договор о неразглашении да то есть когда сотрудник приходит на работу он первое что делает подписывают эту бумажку потом забывает они благополучно потом все это ну как бы возникает халепо значит проводим с сотрудниками security важность тренинге я знаю что там сотрудник там сотрудника безопасника банковая сам работал в банке как-то в безопасности там полдня нихера не делаем короче ну как бы время есть да там ну читаем пост лонгрид от кости гор сама или там я не знаю там властелин что володя написал там знаешь а володя обычно пишет как то типа google как бы я был неправ короче или там что-то такое

короче я в тебе ошибся и короче фига ссылка на какой-то длиннопост am scrolls коров scrolls и на английском языке я прочитал там статью половину не понял хотят ну как бы английский знают но не достаточно хорошо чтобы попасть в циклом как некоторые знают но

но тем не менее то есть время есть постройте security верность программу расскажите своим сотрудникам что хорошо что плохо потратить чуть-чуть времени это вам аукнется в том что вас не уволят вы во время очередной такой вот короче хайпа бюджете ru имба баунти бонусы очень часто с этим сталкивался но как бы я там уже использовал этот аллегорию да я как матче это прорубая ru короче балансе рынок в украине у нас очень мало компании реальной баунти стартовали в украине и их единицы мне удалось там на протяжении последних месяцев получить ну реально во взаимодействие с компаниями какие-то бонусы это здорово это работает в оба направления то есть идти довольны я доволен что не зря какое-то время потратил согласованы должны быть сетка

бонусов операции должны но на рынок европейский почти как йода значит регламент должен быть прописан как взаимодействуют с и гордый или там машенькой печенькой мне петенька плохой пример там кем-то кто нашел проблему то есть это очень важно то есть должен был прописан быть регламент который там что считать за инцидентом если это какой-то там чувак рассказал фейсбуке пока поли действительно инцидент сразу то есть по какому-то регламенту какие лица должны быть оповещены там pr очень важного службы чтобы не пустила нерелевантна да как мы было вот реальный как какой-то проработанный ответ должен быть который все восприняли проживали и все довольны то есть и не хоть не а грелись на как и какую-то компанию как сейчас это происходит кстати овцы трусом плеть проблема на проблеме

то есть ну вроде все окей как бы были какие-то попытки силу же полетел там не знаю куда ну короче кругового руководитель компании это кейс про как чувак сдал телефон там и ушел на радиорынок в этот самый в днепропетровск регламент действий и облегчаем всем жизнь внедряемся gear единой xt что это такое это типа стандарт который предлагается к использованию для того чтобы вот как robots.txt да там есть файлик и где мы прописываем исключение для поисковых систем цитируйте txt это файлик который предполагается поместить в л но он директорию нашего сайта чтобы такие исследователи как мы как я как вы могли понять где ну куда стучать если мы обнаружили уязвимость проблему утечку информации о конкретной компании то есть в этом

файлики предлагается поместить какие-то базовые контакты для того чтобы их использовать чтобы я знал куда обращаться чтобы это был не чат-бот фейсбуке реально ответственно лицо которое сразу войдет со мной вконтакте и сразу будет как бы решать сообща обнаруженную проблему всем спасибо добрый день сергей вы хочет мне два вопроса первый вопрос профиль или вас удалить посты фейсбук они не удалить не подпишет удалена прекрасно mighty и угрожали ли вам это первый вопрос а второй вопрос я так понял с вашего доклада что есть бог баунти система богам теория и я так понял еще кое где есть да а где были вы сделать как это не знаешь списочек чтобы все здесь присущи тоже могли как бы заработать денежку хороший вопрос значит первое однозначно

нет никто не угрожал не но таких прецедентов не было ну как бы был какой-то мисками никишин на первом этапе разговора там могли подключить юристов компании там для разговора это кстати вот кое-кто тут знает такой кейс от из сидящих в зале я тебе потом про кейсы ok значит было такое но в плане угроз там и нет то однозначно нет 2 повод баунти оказывается бак банке работает вреда они озвучили что нас конкретной чувак мне позвонил говорит чувак мы денег готовы платить за xss очку там за rc фишечку там всю короче то есть они озвучили в терминологии которые мы привыкли и даже цены прям таки это вниз по несколько сот долларов то есть она существует второй момент оказывается бак баунти

есть даже там где ее вроде как и нет на самом деле то есть я прихожу с проблемой и говорю ребята я не называю цен и говорю ребята смотрите у вас проблема вот такая ну и вы понимаете чем чревато то есть это может быть там или там pr риски или там еще что-то да там пристальное внимание профильных органов потому что вы просрали законы персональных данных либо и так далее мне сами предлагают я ни разу не озвучил какую-то цену или что-то подобное ну как я говорю по рынку например допустим это может стоить столько дальше об тую как бы в на на ваш рот суд я никогда не и требовал если бы мне не заплатили все равно рассказал об этом но если я

понимаю что это может сильно повредить компании и так далее я не буду об этом писать на фэйсбуке другой стороны если компании говорит да мальчик типа иди нахер а я вижу что проблема реально есть я об этом напишу рожу всем затягиваю все сми и ну все будут рады тогда то есть вот вот этот вид списка не будет ну как бы потому что его нет на самом деле ну ну ты известных выложи там на гитхабе на ttc 80 на постере линда куда-то идут мнение не на гитхабе dc 8044 шоке еще вопросы да но можно практически к любой компании даже если это кампания не светится не на слуху ни в интернете применимо ну в решении вот это вот проблемы

применим оба массирования то есть и а сталкиваться с компанией которая занимается торфом они добывают его и как-то ну там они вообще не имеют отношения к публичному какому-то бизнесу для но не ориентированы на частных лиц на клиентов так далее но вот таких вот и тем не менее они очень благодарны и нормально отнеслись к проблеме да ну во-первых пасибо они под и не упомянули там надо было в сканерах может быть сказать потому что очень да даже сложно из-за уважения и по поводу обращение к компании вот нюанс когда-то уже прозвучало вас влияние в свое время очень правильные относительно того как настраивать компании относиться к тому что проблема обнаружено и оно как бы все действия необходимы по ее устранению применены

что компании не воспринимают ну они боятся говорить об этом потому что воспринимают это как у нас проблема а надо подходить к тому вопросу что это не проблема а что это ваш личный pr о том что вы смогли побороть проблему что вы над этим работать совершенно верно очень показательна в этом в этом кейсе но в подобном поступило работаю и недавно у них гриша и исаченко по-моему я могу ошибаться нашел ну как бы trouble они хранят пользователей пароли пароли пользователей мне шифрованного виде в своей базе ну как там кодирование там собственный алгоритм как бы не кодирова ли эти пароли но в любом случае можно было получить в плен тексте пароли в зад если например выключить всю базу ну допустим как она

частенько у нас случается да и не только у нас и трахал и по во всем мире практически крупным проектом метeн отношений это отреагировали отлично чуваки просто сказали ну типа блин типа тебе о пью во первых школ и а мы меняем там меняемся к лучшему перри разрабатываем смотрим как она у меня и много архитектуру решения и т.д. и т.п. это очень качественный хороший был ход с их стороны то есть они даже получили как бы профит этого с правильной реакцией и рассказов они публично да все все пока наверное закончим за вопросами вы сможете кей горы