HackWare.ru
Этичный хакинг и тестирование на проникновение, информационная безопасность
Как скачать файл с сервера
Это небольшая шпаргалка, как скопировать файлы с уже скомпрометированной системы. Типичные ситуации:
- на веб сайте найдена уязвимость Удалённое выполнение кода
- получены учётные данные пользователя, позволяющие подключиться по SSH (например, с помощью брут-форса)
Я перечислю несколько способов, как скопировать файл с сервера, я не сомневаюсь, что вы сможете придумать ещё столько же или больше (кстати, делитесь ими в комментариях), выбор конкретного способа зависит от условий и от личных предпочтений.
Условия могут быть разные:
- по уровню привилегий:
- мы пользователь www-data или http (если команды выполняются через уязвимый веб-сайт), в этом случае у нас есть права на запись в директорию веб-сервера
- мы пользователь без sudo, в этом случае мы можем записывать файлы в свою домашнюю директорию, а также в /tmp
- мы пользователь с sudo, мы можем делать что угодно
- по способу выполнения команд:
- выполняется через уязвимое веб-приложение, в этом случае запуск сложных команд может быть затруднён из-за фильтрации кавычек и других специальных символов
- команды выполняются при подключении по SSH, удобный способ, можно выполнять команды с любыми символами
1. cat + копирование с экрана/браузера
Простейший способ, с помощью команды cat выводится содержимое файла. Он подходит только для текстовых файлов. При выполнении команды по SSH, содержимое файла выводится в консоли, при выполнении через уязвимое веб-приложение, содержимое файла выводится на странице сайта:
Если делаете через выполнение команд в веб-браузере, то для нормального отображения откройте исходный код веб-страницы:
2. base64 + копирование с экрана/браузера
Этот способ похож на предыдущий, его можно применять для скачивания бинарных файлов, если другой возможности нет.
Для понимания сути, изучите следующие команды:
Содержимое исполнимого файла /usr/bin/ls (команда ls) кодируется в Base64 и сохраняется в файл ls.txt:
Можно посмотреть, что в файле ls.txt размещён текст, который можно скопировать/вставить:
Теперь этот текст декодируем и сохраняем в файл ls.bin:
С помощью команды chmod делаем файл ls.bin исполнимым:
Проверяем работоспособность этого файла:
Суть в том, что с помощью base64 можно копированием-вставкой передавать бинарные файлы без возможности выгрузить их с сервера другим способом.
3. Помещение файла в директорию сайта и скачивание с веб-сервера
Допустим у нас есть право записи в директорию веб-сайта (мы выполняем команды через уязвимое веб-приложение). Адрес сайта not-secure-site.org. Тогда мы можем скопировать файл в директорию сайта и скачать его веб-браузером.
Допустим, папка сайта это /var/www/html/, тогда копируем нужный нам файл в неё следующей командой:
Теперь этот файл будет доступен по ссылке http://not-secure-site.org/passwd.txt
Чтобы узнать текущую папку, где выполняется уязвимый скрипт, выполните команду pwd:
Типичные папки с сайтами:
- /srv/http/ — некоторые дистрибутивы (например, Arch Linux) хранят здесь файлы веб-сервера.
- /var/www/html/ — директория с файлами веб-сайтов веб-сервера Apache в Debian и производных дистрибутивах.
/etc/apache2/ — директория с настройками веб-сервера (когда служба называется apache2 — то есть в таких системах как Debian и производных)
Если неизвестно где папки сайтов, то нужно смотреть конфигурационные файлы Apache, там же можно узнать адрес сайта, если вдруг вы его не знаете (такое может быть, если сервер скомпрометирован по SSH):
- /etc/apache2/conf/httpd.conf — главный конфигурационный файл Apache
- /etc/apache2/conf/sites-enabled/ — включённые виртуальные хосты Apache
/etc/httpd/ — директория с настройками веб-сервера (когда служба называется httpd — то есть в таких системах как Arch Linux и производных)
- /etc/httpd/conf/httpd.conf — главный конфигурационный файл Apache
- /etc/httpd/conf/sites-enabled/ — включённые виртуальные хосты Apache
Чтобы посмотреть, запущен ли вообще веб-сервер:
Если файлов много, то их можно заархивировать:
Если программа zip недоступна, то используйте tar:
Или другие программы для архивации, для этого смотрите также «Работа с архивами в Linux».
4. cURL + POST
Этот способ не требует наличия веб-сервера и, по идее, должен работать также и на Windows, поскольку там cURL предустановлена по умолчанию.
Суть очень проста. Каждый из нас множество раз выгружал файлы с компьютера на сайт, например, фотографию для профиля или файл в файлообменник. Мы используем веб-браузер, который методом POST отправляет файл. Вместо браузера можно отправлять файл с помощью команды curl, которая также умеет использовать метод POST.
На сервере создайте файл uploader.php:
С компьютера, с которого нужно выгрузить файл, запустите команду вида:
Обратите внимание на символ @ — он нужен для того, чтобы параметру file было присвоено не значение строки «/путь/до/файла», а содержимое того самого файла, который находится по пути /путь/до/файла.
Если у вас серый IP адрес (к которому невозможно подключиться из Интернета), то в этой ситуации поможет программа ngrok. То есть в предыдущей команды вместо СЕРВЕР/uploader.php можно указать домен третьего уровня ngrok, от которого идёт туннель к вашему локальному веб-серверу.
5. ngrok
Программа ngrok отсутствует по умолчанию, поэтому нужно начать с установки:
Не забудьте заменить ВАШ_AUTHTOKEN на настоящее значение.
Эта долгая установка точно стоит своих усилий, дело в том, что теперь можно сделать сетевой абсолютно ЛЮБУЮ папку на компьютере Linux! Например:
6. Встроенный сервер PHP
У PHP есть встроенный веб сервер. Сам PHP довольно часто присутствует на компьютерах Linux, а если это веб-сервер, то присутствует практически всегда.
Особенность использования веб-сервера PHP от использования веб-сервера системы в том, вы запускаете PHP от своего текущего пользователя, а не от www-data или http, т. е. у вас другие права на доступ к файлам.
Нужно запускать командой вида:
В качестве IP нужно указать IP адрес удалённого компьютера, узнать его можно командой:
PORT можно указать любой, но для использования портов ниже 1024 нужны привилегии суперпользователя.
Обратите внимание, что листинг файлов в директории отсутствует, то есть открывая в веб-браузере ссылку нужно указать имя конкретного файла, который присутствует в директории /путь/до/папки, пример ссылки http://192.168.0.89:8484/файл
7. SSH и перенаправление вывода на текущую систему
SSH можно использовать для копирования текстовых файлов:
А также и для копирования бинарных файлов:
8. scp
Программа scp является частью SSH и предназначена специально для копирования файлов в любом направлении. То есть если у вас есть возможность подключиться по SSH, то намного удобнее воспользоваться scp.
Вид команды для копирования с удалённого компьютера на локальный компьютер:
9. Сетевая файловая система SSHFS
Если у вас есть возможность подключиться по SSH, то вы можете смонтировать удалённую файловую систему как свою локальную командой вида:
10. Ncat, Netcat, nc
Чтобы отправить файл через TCP порт 9899 с HOST2 (клиент) на HOST1 (сервер):
На HOST1 выполните:
Чтобы отправить в другом направлении (с HOST1 на HOST2), превратив Ncat в сервер «одного файла»:
На HOST1 запустите:
И на HOST2 выполните:
11. Бэкдоры
Самый распространённый вариант для веб-серверов. Можно скачать бэкдор с веб-интерфейсом:
А можно использовать более привычные шеллы с обфускацией и сокрытием передаваемых запросов от логов веб-сервера.
Больше подробностей смотрите по ссылкам:
- Weevely
- PhpSploit
- webshells
Заключение
Конечно, способов скачать файл с удалённого компьютера через шелл или уязвимость веб сайта намного больше. Пишите в комментариях свои любимые способы!
10 инструментов, позволяющих парсить информацию с веб-сайтов, включая цены конкурентов + правовая оценка для России
Инструменты web scraping (парсинг) разработаны для извлечения, сбора любой открытой информации с веб-сайтов. Эти ресурсы нужны тогда, когда необходимо быстро получить и сохранить в структурированном виде любые данные из интернета. Парсинг сайтов – это новый метод ввода данных, который не требует повторного ввода или копипастинга.
Такого рода программное обеспечение ищет информацию под контролем пользователя или автоматически, выбирая новые или обновленные данные и сохраняя их в таком виде, чтобы у пользователя был к ним быстрый доступ. Например, используя парсинг можно собрать информацию о продуктах и их стоимости на сайте Amazon. Ниже рассмотрим варианты использования веб-инструментов извлечения данных и десятку лучших сервисов, которые помогут собрать информацию, без необходимости написания специальных программных кодов. Инструменты парсинга могут применяться с разными целями и в различных сценариях, рассмотрим наиболее распространенные случаи использования, которые могут вам пригодиться. И дадим правовую оценку парсинга в России.
1. Сбор данных для исследования рынка
Веб-сервисы извлечения данных помогут следить за ситуацией в том направлении, куда будет стремиться компания или отрасль в следующие шесть месяцев, обеспечивая мощный фундамент для исследования рынка. Программное обеспечение парсинга способно получать данные от множества провайдеров, специализирующихся на аналитике данных и у фирм по исследованию рынка, и затем сводить эту информацию в одно место для референции и анализа.
2. Извлечение контактной информации
Инструменты парсинга можно использовать, чтобы собирать и систематизировать такие данные, как почтовые адреса, контактную информацию с различных сайтов и социальных сетей. Это позволяет составлять удобные списки контактов и всей сопутствующей информации для бизнеса – данные о клиентах, поставщиках или производителях.
3. Решения по загрузке с StackOverflow
С инструментами парсинга сайтов можно создавать решения для оффлайнового использования и хранения, собрав данные с большого количества веб-ресурсов (включая StackOverflow). Таким образом можно избежать зависимости от активных интернет соединений, так как данные будут доступны независимо от того, есть ли возможность подключиться к интернету.
4. Поиск работы или сотрудников
Для работодателя, который активно ищет кандидатов для работы в своей компании, или для соискателя, который ищет определенную должность, инструменты парсинга тоже станут незаменимы: с их помощью можно настроить выборку данных на основе различных прилагаемых фильтров и эффективно получать информацию, без рутинного ручного поиска.
5. Отслеживание цен в разных магазинах
Такие сервисы будут полезны и для тех, кто активно пользуется услугами онлайн-шоппинга, отслеживает цены на продукты, ищет вещи в нескольких магазинах сразу.
В обзор ниже не попал Российский сервис парсинга сайтов и последующего мониторинга цен XMLDATAFEED (xmldatafeed.com), который разработан в Санкт-Петербурге и в основном ориентирован на сбор цен с последующим анализом. Основная задача — создать систему поддержки принятия решений по управлению ценообразованием на основе открытых данных конкурентов. Из любопытного стоит выделить публикация данные по парсингу в реальном времени 🙂
10 лучших веб-инструментов для сбора данных:
Попробуем рассмотреть 10 лучших доступных инструментов парсинга. Некоторые из них бесплатные, некоторые дают возможность бесплатного ознакомления в течение ограниченного времени, некоторые предлагают разные тарифные планы.
Import.io предлагает разработчику легко формировать собственные пакеты данных: нужно только импортировать информацию с определенной веб-страницы и экспортировать ее в CSV. Можно извлекать тысячи веб-страниц за считанные минуты, не написав ни строчки кода, и создавать тысячи API согласно вашим требованиям.
Для сбора огромных количеств нужной пользователю информации, сервис использует самые новые технологии, причем по низкой цене. Вместе с веб-инструментом доступны бесплатные приложения для Windows, Mac OS X и Linux для создания экстракторов данных и поисковых роботов, которые будут обеспечивать загрузку данных и синхронизацию с онлайновой учетной записью.
2. Webhose.io
Webhose.io обеспечивает прямой доступ в реальном времени к структурированным данным, полученным в результате парсинга тысяч онлайн источников. Этот парсер способен собирать веб-данные на более чем 240 языках и сохранять результаты в различных форматах, включая XML, JSON и RSS.
Webhose.io – это веб-приложение для браузера, использующее собственную технологию парсинга данных, которая позволяет обрабатывать огромные объемы информации из многочисленных источников с единственным API. Webhose предлагает бесплатный тарифный план за обработку 1000 запросов в месяц и 50 долларов за премиальный план, покрывающий 5000 запросов в месяц.
3. Dexi.io (ранее CloudScrape)
CloudScrape способен парсить информацию с любого веб-сайта и не требует загрузки дополнительных приложений, как и Webhose. Редактор самостоятельно устанавливает своих поисковых роботов и извлекает данные в режиме реального времени. Пользователь может сохранить собранные данные в облаке, например, Google Drive и Box.net, или экспортировать данные в форматах CSV или JSON.
CloudScrape также обеспечивает анонимный доступ к данным, предлагая ряд прокси-серверов, которые помогают скрыть идентификационные данные пользователя. CloudScrape хранит данные на своих серверах в течение 2 недель, затем их архивирует. Сервис предлагает 20 часов работы бесплатно, после чего он будет стоить 29 долларов в месяц.
4. Scrapinghub
Scrapinghub – это облачный инструмент парсинга данных, который помогает выбирать и собирать необходимые данные для любых целей. Scrapinghub использует Crawlera, умный прокси-ротатор, оснащенный механизмами, способными обходить защиты от ботов. Сервис способен справляться с огромными по объему информации и защищенными от роботов сайтами.
Scrapinghub преобразовывает веб-страницы в организованный контент. Команда специалистов обеспечивает индивидуальный подход к клиентам и обещает разработать решение для любого уникального случая. Базовый бесплатный пакет дает доступ к одному поисковому роботу (обработка до 1 Гб данных, далее — 9$ в месяц), премиальный пакет дает четырех параллельных поисковых ботов.
ParseHub может парсить один или много сайтов с поддержкой JavaScript, AJAX, сеансов, cookie и редиректов. Приложение использует технологию самообучения и способно распознать самые сложные документы в сети, затем генерирует выходной файл в том формате, который нужен пользователю.
ParseHub существует отдельно от веб-приложения в качестве программы рабочего стола для Windows, Mac OS X и Linux. Программа дает бесплатно пять пробных поисковых проектов. Тарифный план Премиум за 89 долларов предполагает 20 проектов и обработку 10 тысяч веб-страниц за проект.
6. VisualScraper
VisualScraper – это еще одно ПО для парсинга больших объемов информации из сети. VisualScraper извлекает данные с нескольких веб-страниц и синтезирует результаты в режиме реального времени. Кроме того, данные можно экспортировать в форматы CSV, XML, JSON и SQL.
Пользоваться и управлять веб-данными помогает простой интерфейс типа point and click. VisualScraper предлагает пакет с обработкой более 100 тысяч страниц с минимальной стоимостью 49 долларов в месяц. Есть бесплатное приложение, похожее на Parsehub, доступное для Windows с возможностью использования дополнительных платных функций.
Spinn3r позволяет парсить данные из блогов, новостных лент, новостных каналов RSS и Atom, социальных сетей. Spinn3r имеет «обновляемый» API, который делает 95 процентов работы по индексации. Это предполагает усовершенствованную защиту от спама и повышенный уровень безопасности данных.
Spinn3r индексирует контент, как Google, и сохраняет извлеченные данные в файлах формата JSON. Инструмент постоянно сканирует сеть и находит обновления нужной информации из множества источников, пользователь всегда имеет обновляемую в реальном времени информацию. Консоль администрирования позволяет управлять процессом исследования; имеется полнотекстовый поиск.
80legs – это мощный и гибкий веб-инструмент парсинга сайтов, который можно очень точно подстроить под потребности пользователя. Сервис справляется с поразительно огромными объемами данных и имеет функцию немедленного извлечения. Клиентами 80legs являются такие гиганты как MailChimp и PayPal.
Опция «Datafiniti» позволяет находить данные сверх-быстро. Благодаря ней, 80legs обеспечивает высокоэффективную поисковую сеть, которая выбирает необходимые данные за считанные секунды. Сервис предлагает бесплатный пакет – 10 тысяч ссылок за сессию, который можно обновить до пакета INTRO за 29 долларов в месяц – 100 тысяч URL за сессию.
Scraper – это расширение для Chrome с ограниченными функциями парсинга данных, но оно полезно для онлайновых исследований и экспортирования данных в Google Spreadsheets. Этот инструмент предназначен и для новичков, и для экспертов, которые могут легко скопировать данные в буфер обмена или хранилище в виде электронных таблиц, используя OAuth.
Scraper – бесплатный инструмент, который работает прямо в браузере и автоматически генерирует XPaths для определения URL, которые нужно проверить. Сервис достаточно прост, в нем нет полной автоматизации или поисковых ботов, как у Import или Webhose, но это можно рассматривать как преимущество для новичков, поскольку его не придется долго настраивать, чтобы получить нужный результат.
10. OutWit Hub
OutWit Hub – это дополнение Firefox с десятками функций извлечения данных. Этот инструмент может автоматически просматривать страницы и хранить извлеченную информацию в подходящем для пользователя формате. OutWit Hub предлагает простой интерфейс для извлечения малых или больших объемов данных по необходимости.
OutWit позволяет «вытягивать» любые веб-страницы прямо из браузера и даже создавать в панели настроек автоматические агенты для извлечения данных и сохранения их в нужном формате. Это один из самых простых бесплатных веб-инструментов по сбору данных, не требующих специальных знаний в написании кодов.
Самое главное — правомерность парсинга?!
Вправе ли организация осуществлять автоматизированный сбор информации, размещенной в открытом доступе на сайтах в сети интернете (парсинг)?
В соответствии с действующим в Российской Федерации законодательством разрешено всё, что не запрещено законодательством. Парсинг является законным, в том случае, если при его осуществлении не происходит нарушений установленных законодательством запретов. Таким образом, при автоматизированном сборе информации необходимо соблюдать действующее законодательство. Законодательством Российской Федерации установлены следующие ограничения, имеющие отношение к сети интернет:
1. Не допускается нарушение Авторских и смежных прав.
2. Не допускается неправомерный доступ к охраняемой законом компьютерной информации.
3. Не допускается сбор сведений, составляющих коммерческую тайну, незаконным способом.
4. Не допускается заведомо недобросовестное осуществление гражданских прав (злоупотребление правом).
5. Не допускается использование гражданских прав в целях ограничения конкуренции.
Из вышеуказанных запретов следует, что организация вправе осуществлять автоматизированный сбор информации, размещенной в открытом доступе на сайтах в сети интернет если соблюдаются следующие условия:
1. Информация находится в открытом доступе и не защищается законодательством об авторских и смежных правах.
2. Автоматизированный сбор осуществляется законными способами.
3. Автоматизированный сбор информации не приводит к нарушению в работе сайтов в сети интернет.
4. Автоматизированный сбор информации не приводит к ограничению конкуренции.
При соблюдении установленных ограничений Парсинг является законным.
p.s. по правовому вопросу мы подготовили отдельную статью, где рассматривается Российский и зарубежный опыт.
Какой инструмент для извлечения данных Вам нравится больше всего? Какого рода данные вы хотели бы собрать? Расскажите в комментариях о своем опыте парсинга и свое видение процесса…
Статьи
Реализация безопасного файлообмена с помощью систем управляемой передачи файлов. Часть 1
Предпосылки
Увеличение объема информационных потоков сделало процесс передачи информации неотъемлемой частью бизнес-процессов большинства организаций. Появилась необходимость обмена файлами между различными категориями пользователей: как между сотрудниками в пределах компании, так и между сотрудниками и контрагентами. Традиционные решения (электронная почта и FTP) больше не удовлетворяет широкому спектру требований, которые предъявляются к подсистеме безопасности компании, а отсутствие таких решений может и вовсе привести к использованию сторонних неконтролируемых ресурсов передачи (общедоступные файлообменники), что может стать источником утечки конфиденциальной информации компании. Более того, подобные решения либо не способы обеспечить передаваемые файлы комплексной защитой, гарантировать конфиденциальность информации и контролировать процесс обмена, либо слишком усложняют эту задачу, при этом в разы увеличивая расходы на ее решение.
Сложившаяся ситуация привела к увеличению спроса на продукты, предназначенные для управления и контроля всего процесса файлообмена (Managed File Transfer, MFT).
Причины отказа от традиционных решений
На протяжении длительного времени использование FTP и почтового серверов (например, Microsoft Exchange) позволяло отчасти решать задачу файлообмена. Файлы пересылались по электронной почте, загружались на сервер на определенное время или вовсе не удалялись оттуда. Однако большинство компаний все еще не могут найти подходящее решение для удовлетворения следующих требований:
- Организация полностью безопасного и авторизованного обмена файлами с любого типа используемых устройств (персональных, мобильных и др.) и местоположения пользователя системы.
- Обеспечение пользователей доступным решением с дружественным интерфейсом, понятным на интуитивном уровне, без дополнительного обучения.
- Использование альтернатив традиционным решениям (электронная почта, FTP), которые позволят реализовать централизованную передачу файлов, а также гарантировать их конфиденциальность и контролировать процесс обмена.
- Выполнение пунктов:
- Соответствие локальным нормативным требованиям,
- Конфиденциальность передаваемой информации,
- Проставление ЭП на передаваемых документах,
- Шифрование отправляемых файлов,
- Комплексное отслеживание информации обо всех передаваемых файлах и операциях скачивания,
- Аудит и администрирование используемой системы.
Такие требования скорее выглядят как определенные препятствия к реализации простого для пользователя решения. Однако системы MFT позволят эффективно разрешить данные проблемы при их внедрении в компании с крупномасштабной или малой пользовательской средой.
Использование сервера электронной почты
Электронная почта – подходящая технология для обмена письмами и вложениями ограниченного размера (документ, «легковесная» картинка…). Но это решение не позволяет осуществлять передачу «больших» файлов. Максимальный размер вложения обычно строго ограничен и варьируется в пределах нескольких мегабайт: например, лимит отправляемого вложения через публичный сервер Google составляет 25 МБ/письмо, а корпоративного Microsoft Exchange —
5-30 МБ/письмо. Помимо этого существует и другая проблема: письмо может быть не доставлено получателю из-за того, что ограничения на размер сообщения на почтовых серверах отправителя и получателя различны.
Когда речь идет о компании, то для обмена информацией в большинстве случаев используется внутренний почтовый сервер. Из-за установки определенных ограничений на объем передаваемых файлов в процессе отправки письма с несколькими вложениями отправителю придется разделить свое сообщение на несколько писем. Это неудобно, отнимает дополнительное время у сотрудника и в значимой мере может повлиять на процесс взаимодействия с контрагентами. К тому же отправитель не сможет получить уведомление об операциях скачивания файлов получателем и подтверждение того, что файл скачал именно тот получатель.
Как правило, на почтовом сервере передаваемые файлы хранятся долговременно, что приводит к быстрому заполнению жесткого диска передаваемыми файлами. А если говорить о корпоративном почтовом сервере, то одно и то же вложение может занимать в два или более раз больше места на диске. В качестве решения устанавливаются лимиты на размер почтового ящика каждого пользователя и при переполнении зачастую пользователю самостоятельно необходимо удалять сообщения, что приводит к определенным неудобствам.
В качестве альтернативы для передачи файлов действительного большого размера (ПО, образы, медиа-файлы…) становятся FTP-сервер (см. ниже) или внешний файлооменник, которые имеют свои недостатки.
Использование FTP-сервера
Когда электронная почта не справляется с пересылкой файлов большого размера в связи с введенными в компании ограничениями, то компания может использовать дополнительное решение — FTP-сервер.
FTP-сервер действительно решает задачу обмена разнородными файлами, однако некоторым вопросам его использования не уделяется должное внимание со стороны компании: безопасность хранимых файлов и правомерный доступ к ним, полноценный аудит проделанных операций. Существуют дополнительные решения, методы и настройки, сторонние утилиты, которые позволят снизить риск компрометации файлов за счет уменьшения количества атак с использованием определенных уязвимостей (метод грубой силы, сниффинг, спуфинг, подмена пакетов) FTP-сервера или человеческого фактора (включена учетная запись для анонимного доступа, хранение файла с паролями на сервере и пр.). Определенно такие способы позволят обеспечить дополнительный уровень защиты хранимых файлов, но увеличат сложность использования такого решения для конечного пользователя и в разы увеличит нагрузку на системного администратора.
В качестве примера простой атаки можно рассмотреть индексацию FTP с помощью поисковой системы Google, благодаря которой можно получить различные конфиденциальные документы компании, выложенные на сервере (пример на рис).
В 2007 году была опубликована информация (ru-board.com), согласно которой злоумышленникам удалось получить доступ к FTP-серверу компании Elcomsoft. После чего вся информация стала доступной в Интернете, включая конфиденциальные файлы (пользовательские данные, личные данные сотрудников компании, фотографии и пр). Более того, были обнаружены «свежие» версии программ IDA Pro 5.1 и Bitrix 6.0. Как было заявлено, взлома сервера не было. Причиной послужила возможность использования неавторизованного удаленного компьютера.
В 2010 году компания «Дальносвязь» допустила крупную утечку данных своих клиентов со своего публичного FTP-сервера.
Еще немало существует подобных примеров, что заставляет все-таки задуматься о защите передаваемых файлов.
Использование внешних файлообменников
Несмотря на наличие FTP-сервера, его разворачивание и дальнейшее администрирование в компании может оказаться достаточно затратными. Это наравне с отсутствием регламентированных правил привело к тому, что в некоторых компаниях до сих пор используются общедоступные файлообменники как средство передачи файлов большого размера. Такой метод передачи файлов и тем более конфиденциальных документов однозначно приводит к большому риску утечки важной информации (рис) и не может соответствовать нужным образом необходимым мерам безопасности.
Как альтернативный пример можно рассматривать передачу файлов между сотрудниками через клиент мгновенных сообщений, где при передаче файлы автоматически загружаются на файлообменник и становятся доступны не только получателю, но и любому другому лицу, получившему ссылку.
При таких способах обмена информацией как минимум необходимо использовать парольную защиту. Однако следующие вопросы все еще остаются без ответа:
- Как настраивать парольную политику?
- Как управлять пользователями и их правами?
- Как контролировать процесс обмена и производить аудит операций?
- Как организовать групповую передачу файлов?
Все эти проблемы общедоступный файлообменник решить не сможет.
О системах Managed File Transfer (MFT)
Управляемая передача файлов (англ. Managed File Transfer, MFT) – программное решение, реализованное для упрощения задач передачи файлов с одного компьютера на другой посредством сети (например, Интернет).
MFT покрывает целый спектр задач, а именно: автоматизация передачи данных, безопасный и авторизованный обмен данными, обеспечение конфиденциальности передаваемой информации, обеспечение целостности файлов, управление пользователями и группами пользователей, простой интерфейс управления, поддержка различных методов аутентификации, интеграция с существующими информационными системами (ИС).
Существует большое количество систем MFT, которые предоставляют своим пользователям различные функциональные возможности для обмена файлами. Продукты MFT могут различаться по функциональным особенностям, однако большая их часть поддерживает следующие функции:
- Шифрование отправляемых файлов;
- Проставление ЭП на передаваемых документах;
- Журналирование и аудит проделанных операций и входов в систему;
- Администрирование системы;
- Возможность интеграции с различными ИС с помощью API;
- Возможность аутентификации на основе LDAP, AD, Web SSO, X.509 и др.
Система MFT – решение, которое удовлетворяет большинству требований безопасности организаций и позволяет разрешить ряд ключевых проблем. Сфера применения данного решения является достаточно широкой, начиная от небольших компаний (организация одного-двух каналов передачи документов внешним партнерами) и до больших коммерческих или государственных структур (организация обмена большими файлами как внутри самой организации между сотрудниками, так и с внешними партнерами).
Увеличение количества передаваемых файлов различных типов и размеров постепенно приводит к необходимости использования специализированных технологических продуктов для решения задачи безопасного управления файлообменом, которые обеспечат снижение рисков утечки конфиденциальной или другой важной информации компании. Использование традиционных решений таких, как электронная почта или FTP, больше не позволяют должным образом удовлетворить все требования безопасности, а использование сторонних файлообменников и вовсе может привести к серьезным для компании последствиям. Системы MFT являются эффективным инструментом для решения задачи файлообмена и удовлетворяют большую часть потребностей современной организации. На сегодняшнем рынке существуют различные программные продукты, которые обладают широкими функциональными возможностями и которые можно выбрать, исходя из нужд компании.