Como usar a Pegada planejar um corte de Ética
Uma maneira de começar a planear um corte ético sobre o seu negócio é através de um processo muitas vezes chamado pegada.
Menu
Reunir informação pública
A quantidade de informação que você pode reunir sobre sistemas de negócios e informação de uma organização é impressionante e amplamente disponível na Internet. Seu trabalho é descobrir o que está lá fora. Esta informação permite que invasores mal-intencionados e funcionários para áreas específicas da organização, incluindo os departamentos e indivíduos-chave.
As seguintes técnicas podem ser usadas para recolher informações sobre a sua organização.
Mídia social
sites de mídia social são os novos meios para as empresas que interagem online. Lendo os seguintes sites pode fornecer detalhes incalculáveis em um determinado negócio e seu povo:
pesquisa na internet
Realizando uma pesquisa na web ou simplesmente navegar no website da sua organização pode transformar-se as seguintes informações:
nomes de funcionários e informações de contato
datas importantes da empresa
limalha de incorporação
arquivamentos da SEC
Comunicados de imprensa sobre movimentos físicos, mudanças organizacionais, e novos produtos
Fusões e aquisições
Patentes e marcas
Apresentações, artigos, webcasts, ou webinars
Com o Google, você pode pesquisar na Internet de várias maneiras:
Digitando palavras-chave: Este tipo de busca, muitas vezes revela centenas e às vezes milhares de páginas de informação - como arquivos, números de telefone e endereços - que você nunca imaginou estavam disponíveis.
Ao realizar pesquisas na web avançadas: opções de pesquisa avançada do Google pode encontrar sites que apontam para o site da sua empresa. Esse tipo de pesquisa, muitas vezes revela um monte de informações sobre parceiros, fornecedores, clientes e outras afiliações.
Usando switches para cavar mais fundo em um site: Por exemplo, se você quiser encontrar uma determinada palavra ou arquivo em seu site, basta digitar uma linha como uma das seguintes opções para o Google:
Site: your_domain.com keywordsite: your_domain.com filename
Você pode até mesmo fazer uma pesquisa genérica filetype em toda a Internet para ver o que vira para cima, como este:
filetype: company_name swf
Use a pesquisa anterior para encontrar o Flash .swf arquivos, que podem ser baixados e descompilados para revelar informações sensíveis que podem ser usadas contra o seu negócio.
Use a pesquisa a seguir para caçar documentos PDF que podem conter informação sensível que pode ser usado contra o seu negócio:
filetype: pdf company_name confidenciais
rastreamento web
utilitários de rastreamento da Web, como HTTrack Website Copier, pode espelhar o seu site por download todos os arquivos acessíveis ao público a partir dele. Você pode então inspecionar essa cópia do website desligada, cavando o seguinte:
O layout e configuração website
Diretórios e arquivos que possam não ser óbvio ou facilmente acessíveis
O código HTML e fonte do script de páginas da web
campos de comentário
campos de comentário, muitas vezes contêm informações úteis, como nomes e endereços de e-mail dos desenvolvedores e pessoal de TI internos, nomes de servidor, versões de software, esquemas de endereçamento IP interno, e comentários gerais sobre como o código funciona.
websites
Os seguintes sites podem fornecer informações específicas sobre a organização e seus funcionários:
Governamentais e empresariais sites:
hoovers.com e https://finance.yahoo.com dar informações detalhadas sobre empresas públicas.
sec.gov/edgar.shtml mostra SEC depósitos de empresas públicas.
uspto.gov oferece registros de patentes e marcas comerciais.
O site para a secretária de Estado ou organização similar do seu estado pode oferecer incorporação e informações executivo corporativo.
verificação de antecedentes e outras informações pessoais:
Mapear a rede
Ao mapear sua rede, você pode procurar bases de dados públicas e recursos para ver o que outras pessoas saibam sobre a sua rede.
Quem é
O melhor ponto de partida é a realização de uma pesquisa WHOIS usando qualquer uma das ferramentas Whois disponíveis na Internet. Você pode ter usado Whois para verificar se um determinado nome de domínio Internet está disponível.
Para hacking ético, Whois fornece a seguinte informação que pode dar um hacker uma perna para cima para iniciar um ataque de engenharia social ou para fazer a varredura de uma rede:
informações de nome de domínio Registro de Internet, tais como nomes de contatos, números de telefone e endereços de correio
servidores DNS responsáveis para o seu domínio
Você pode procurar informações Whois em um dos seguintes locais:
site de um registro de domínios, tais como godaddy.com
Seu site de suporte técnico do ISP
Uma ótima ferramenta Whois é DNSstuff.com. Embora esta ferramenta já não é livre e é usado para vender muitos serviços, ainda é um bom recurso. Outro bom site é mxtoolbox.com.
Você pode executar consultas DNS diretamente do mxtoolbox.com para
Exibir informações gerais de registro de domínio
Mostrar qual host lida com e-mail (o registro Mail Exchanger ou MX) para um domínio
Mapear a localização de hosts específicos
Determinar se o anfitrião está listado em determinados listas negras de spam
Um site gratuito que você pode usar para mais consultas de domínio da Internet básicos é https://dnstools.com.
A lista a seguir mostra vários sites de pesquisa para outras categorias:
Grupos do Google
Grupos do Google pode revelar informações sobre a rede pública surpreendente. Procurar informações como os nomes de domínio totalmente qualificados (FQDNs), endereços IP e nomes de usuário. Você pode pesquisar milhões de mensagens Usenet que remontam a 1981, para informação pública e muitas vezes muito particular.
Você pode encontrar algumas informações que você não percebe foi tornado público, tais como os seguintes:
Um post placa de suporte técnico ou mensagem que divulga muita informação sobre seus sistemas. Muitas pessoas que postam mensagens como estes não percebem que suas mensagens são compartilhadas com o mundo ou quanto tempo eles são mantidos.
informações confidenciais da empresa postado por funcionários descontentes ou clientes.
Se você descobrir que informações confidenciais sobre a sua empresa é publicado on-line, você pode ser capaz de conseguir retirá-lo. Confira a página de ajuda do Google Groups na para mais detalhes.
políticas de privacidade
Verifique a política de privacidade do seu site. Uma boa prática é permitir que os usuários do seu site saber quais informações são coletadas e como ele está sendo protegido, mas nada mais.