30-31 мая в Москве состоялась конференция PHDays, организованная компанией Positive Technologies, которую до и после проведения стали называть крупнейшей и интереснейшей конференцией по ИБ в России.
Материалы конференции уже сегодня можно посмотреть на сайте DigitalOctober.
Материалы конференции уже сегодня можно посмотреть на сайте DigitalOctober.
На конференции присутствовали такие иконы мира ИБ, как Брюс Шнайер (автор Blowfish), Дмитрий Скляров (русский хакер взломавший PDF и арестованный за это ФБР), Александр Песляк (создатель john the ripper) и многие другие.
О конференции уже написано многое, т.ч. я напишу о конкурсе "Конкурентная разведка", который проводился параллельно с конференцией, где я вместе с 4 участниками набрал максимальное количество баллов.
Конкурс заключался в следующем: необходимо было ответить на 16 вопросов о компании Disa Retail и её сотрудниках.
Вопросы и ответы на них буду приводить по памяти, т.ч. могу что-то и пропустить.
Для поисков ответов я использовал поиск google и bing. Зная, что конкурс готовился специально для PHD, я ставил фильтр по дате с апреля по май 2012 года.
Оказалось, что у Disa Retail есть и реальная тёзка - Disa Retail Atlantico.
Дабы отфильтровать ненужные запросы, мой поисковый запрос выглядел так:
1. При первом же поиске гугл выдал ссылки на сайт disaretail.com, который оказался и сейчас и тогда удалён.
Не беда. Смотрим копию сайта в кэше гугла и узнаём первый ответ - адрес фирмы: 24 Queensway Street Gibraltar.
2. Там же находим и имя директора - Javier Carino.
3. Больше на сайте ценной информации найти не удалось. Однако перебором различных вариантов удалось найти директорию disaretail.com/DOCS (сейчас недоступна), в которой лежал файл с финансовым отчётом компании, из которого мы узнаем прибыль компании за 2011 год (главное прочитать, что прибыль приведена в отчете в тысячах долларов. Поэтому к числу нужно было добавить "000") - $147 430 000.
4. В конце файла было длинное число которое оказалось номером офшорного счёта фирмы :)
5. Следующей на очереди была страничка компании в facebook. На ней видим количество сотрудников 20 543.
6. В выдаче гугла по запросу выше так же присутствует ссылка на pastebin.com, куда неведомый хакер выложил разговор сотрудника Disa Retail и его невесты :).
Из разговора узнаем имя главного конкурента компании - SuperEvilPotato!
7. Из диалога в pastebin узнаём так же зарплату одного из сотрудников - $250 000.
8. Идём в bing! Находим страничку в соц.сети сотрудницы Disa. Вписываем в ответ номер телефона: 88-12-93.
9. Bing так же выдаёт в поиске ссылки на плейлист Disa Retail на сайте lastfm. Из плейлиста узнаем любимую музыкальную группу сотрудника - Metallica.
10. Большое количество ответов можно найти на сайте соц.сети linkedin. Оптимальный гугло-запрос для этой цели - {site:linkedin.com "disa retail"}.
Из странички Gaylord Fonsecn узнаём хобби - fishing.
11. Из странички в linkedin Graig Hannem узнаём его твиттер, откуда видно, что любимая порода собак Грега - whippet.
12. Из странички в linkedin Kristofer Pacapac находим его твиттер. В твиттере фотка с дня рожденья. Время снимка = дата рождения = 10 мая 1982 года.
.
13. После LinkedIn настала очередь Xing: {site:xing.com disa retail}
А вот вопросы, которые я так и не нашёл ответа:
14 [by pushkinist]. Имя одного из сотрудников мы узнаём из странички в Facebook на 5 шаге - Jae Gennaria. Поискав это имя на одном из сайтов знакомств с помощью гуглозапроса:
можно найти индексированную страничку одного испанца, на которой встречается упоминание Jae Gennaria.
Теперь необходимо открыть кэшированную версию страницы в гугле и щелкнуть...
На страничке Jae Gennaria находим картинку с Lamborghini.
15. родной город одного из сотрудников (весьма вероятно, что имя сотрудника Hai Endecott);
16. любимый фильм сотрудника Tuan Gebers.
К недостаткам проведения конкурса можно отнести непонятную процедуру "сброса" неправильных ответов:
1. Сам факт того, что ответ можно дать только один раз - нигде не был сказан. Про сбросы тоже никто не говорил.
2. Неправильные ответы "сбрасывались" между днями конференции, а потом внезапно (!) почти перед концом конкурса. Из-за этого вверх рейтинга могли взлететь не те, кто быстрее всех нашел ответ, а те кто успел быстро исправить ошибки после внезапного сброса.
Участвовать в конкурсе было интересно. Спасибо организаторам!
PS. Ещё про один конкурс - "Охота на лис" - можно почитать тут.
[UPDATE] Как оказалось, я таки получил третье место в конкурсе (смотреть с 21:48)!
О конференции уже написано многое, т.ч. я напишу о конкурсе "Конкурентная разведка", который проводился параллельно с конференцией, где я вместе с 4 участниками набрал максимальное количество баллов.
Конкурс заключался в следующем: необходимо было ответить на 16 вопросов о компании Disa Retail и её сотрудниках.
Вопросы и ответы на них буду приводить по памяти, т.ч. могу что-то и пропустить.
Для поисков ответов я использовал поиск google и bing. Зная, что конкурс готовился специально для PHD, я ставил фильтр по дате с апреля по май 2012 года.
Дабы отфильтровать ненужные запросы, мой поисковый запрос выглядел так:
"Disa Retail" -Atlantico
Т.е. ищи оба слова рядом и без слова Atlantico.1. При первом же поиске гугл выдал ссылки на сайт disaretail.com, который оказался и сейчас и тогда удалён.
Не беда. Смотрим копию сайта в кэше гугла и узнаём первый ответ - адрес фирмы: 24 Queensway Street Gibraltar.
3. Больше на сайте ценной информации найти не удалось. Однако перебором различных вариантов удалось найти директорию disaretail.com/DOCS (сейчас недоступна), в которой лежал файл с финансовым отчётом компании, из которого мы узнаем прибыль компании за 2011 год (главное прочитать, что прибыль приведена в отчете в тысячах долларов. Поэтому к числу нужно было добавить "000") - $147 430 000.
4. В конце файла было длинное число которое оказалось номером офшорного счёта фирмы :)
5. Следующей на очереди была страничка компании в facebook. На ней видим количество сотрудников 20 543.
6. В выдаче гугла по запросу выше так же присутствует ссылка на pastebin.com, куда неведомый хакер выложил разговор сотрудника Disa Retail и его невесты :).
Из разговора узнаем имя главного конкурента компании - SuperEvilPotato!
7. Из диалога в pastebin узнаём так же зарплату одного из сотрудников - $250 000.
8. Идём в bing! Находим страничку в соц.сети сотрудницы Disa. Вписываем в ответ номер телефона: 88-12-93.
9. Bing так же выдаёт в поиске ссылки на плейлист Disa Retail на сайте lastfm. Из плейлиста узнаем любимую музыкальную группу сотрудника - Metallica.
10. Большое количество ответов можно найти на сайте соц.сети linkedin. Оптимальный гугло-запрос для этой цели - {site:linkedin.com "disa retail"}.
Из странички Gaylord Fonsecn узнаём хобби - fishing.
11. Из странички в linkedin Graig Hannem узнаём его твиттер, откуда видно, что любимая порода собак Грега - whippet.
12. Из странички в linkedin Kristofer Pacapac находим его твиттер. В твиттере фотка с дня рожденья. Время снимка = дата рождения = 10 мая 1982 года.
.
Любимой футбольной командой CIO Disa Retail Kasey Elgas оказался Real Madrid.
А вот вопросы, которые я так и не нашёл ответа:
14 [by pushkinist]. Имя одного из сотрудников мы узнаём из странички в Facebook на 5 шаге - Jae Gennaria. Поискав это имя на одном из сайтов знакомств с помощью гуглозапроса:
можно найти индексированную страничку одного испанца, на которой встречается упоминание Jae Gennaria.
Теперь необходимо открыть кэшированную версию страницы в гугле и щелкнуть...
15. родной город одного из сотрудников (весьма вероятно, что имя сотрудника Hai Endecott);
16. любимый фильм сотрудника Tuan Gebers.
К недостаткам проведения конкурса можно отнести непонятную процедуру "сброса" неправильных ответов:
1. Сам факт того, что ответ можно дать только один раз - нигде не был сказан. Про сбросы тоже никто не говорил.
2. Неправильные ответы "сбрасывались" между днями конференции, а потом внезапно (!) почти перед концом конкурса. Из-за этого вверх рейтинга могли взлететь не те, кто быстрее всех нашел ответ, а те кто успел быстро исправить ошибки после внезапного сброса.
Участвовать в конкурсе было интересно. Спасибо организаторам!
PS. Ещё про один конкурс - "Охота на лис" - можно почитать тут.
[UPDATE] Как оказалось, я таки получил третье место в конкурсе (смотреть с 21:48)!
я находил марку машину так:
ОтветитьУдалитьChief Learning Officer гуглился на одном из сайтов знакомств, там были выложены фотки http://badoo.com/0278763536/photos/
на одной из них была мелкая фотка то ли ферари, то ли ламборджини
я погуглил картинки ламборджини и феррари, пока не нашел похожую по виду Lamborghini Aventador LP700-4
добавил в прохождение..
Удалитьэх.. почему я до сайтов знакомств не додумался :)
На самом деле наличие картинки не означает,что эта машина именно его. Я сперва даже писать не стал, так как думал, что это неправильный ответ. Оказалось к моему удивлению - правильный. В итоге при 10 ответах на 16.
ОтветитьУдалитьС офшорным счётом было вообще вслепую. Увидел непонятную последовательность цифр - значит это офшорный счёт =)
УдалитьИнтересно как можно осуществить перебор директорий сайта
ОтветитьУдалитьНа самом деле директории все в том числе нашел Dirbuster. Фильм надо было искать помнится по словосочетаниям fun, movies.
ОтветитьУдалитьА подробнее? Где искать?
Удалить