Бесплатно создать живой форум для общения, сайта, игр!
Ведущий российский сервис бесплатных форумов ЖивыеФорумы.ру
Удобные, многофункциональные и надёжные форумы бесплатно.

Фавикон: Global Time

«Global Time»

Global Time
Global Time

Активные темы на форуме «Global Time»:

Взлом запароленной PDF
Последнее сообщение от 2traces в :

Hindin37

добрый день. нужно сломать несколько пдфок. ваша аська или скай?

Взлом банковских систем.
Последнее сообщение от Andreu в :

Расскажу о реальном опыте одного из моих клиентов, работающих в банковской сфере. Названия, имена и прочие детали изменены таким образом, чтобы организацию нельзя было "вычислить". Во всем остальном история правдива.

Состояние Джеймса Фоллсворта, вице-президента по безопасности Big American Bank, было близко к паническому. Он только что выяснил, что его банк собирается внедрять систему услуг для удаленных клиентов на базе Web; услугой предполагалось охватить несколько миллионов человек по всему миру. Служба BABank Online должна была предоставить удаленным клиентам возможность знакомиться с состоянием счетов, выполнять переводы и платежи и управлять движением своих средств.

Фоллсворт не понимал, почему его никто не предупредил о разработке проекта, который ставил колоссальное количество проблем перед службой безопасности. Уже началось бета-тестирование программы; до внедрения новой онлайновой услуги оставалось не больше двух месяцев. Президент BABank решил, что Фоллсворта просто "заклинило", и предложил ему как можно скорее найти выход из ситуации.

Необходимо было срочно оценить, насколько безопасна система BABank Online. Ведь достаточно даже не злоумышленного "взлома" системы, а просто Web-хулиганства, чтобы клиент потерял доверие к услуге, а банк лишился части дохода. Последовало решение: нанять компанию, сотрудники которой попытаются проникнуть в систему извне и тем самым определят слабые места в ее защите.

Фоллсворт заключил контракт с нашей фирмой и мы начали работать в тесном контакте. Он старался объяснить, в чем состоит задача экспериментального проникновения, или, если можно так выразиться, "дружественного" взлома. Предстояло оценить целостность новой услуги и определить, как эта услуга соотносится с прочими банковскими операциями; выявить слабые места; предложить решения по улучшению защиты; продемонстрировать возможные последствия взлома.
Разработка планов вторжения

При моделировании атаки необходимо определить, кто является потенциальным злоумышленником. Большинство компаний представляют себе в этом качестве какого-нибудь профессионального преступника, иностранную державу, шпиона, конкурента-террориста или просто 16-летнего подростка, развлекающегося с клавиатурой. Фоллсворт сказал, что более всего боится международных преступников, действующих из корыстных побуждений. После этого мы смогли решить, как надо проводить "дружественный" взлом сетей и Web-узлов BABank.

Бесспорно, многое зависит от того, насколько далеко готов зайти потенциальный хакер. Для получения информации, которая может оказаться полезной при взломе, часто используются разнообразные психологические приемы. Например, преступник звонит в офис и мило расспрашивает сотрудников о преимуществах нового пакета услуг, попутно задавая вопросы относительно системы безопасности.

Другой часто встречающийся прием - разгребание мусора. Очень часто сотрудники компаний довольно легкомысленно выбрасывают внутренние телефонные справочники, техническую документацию, диски и многое другое. Это же настоящая золотая жила для злоумышленника!

Мы пытались войти в систему разными способами. Доступ можно получить через телефонную систему, порты для технической поддержки и прочие электронные "форточки". Мы не брезговали и психологическими штучками, прикидываясь по телефону то сотрудниками компании, то поставщиками. В корпоративном мусоре мы тоже покопались, но занимались этим только за пределами организации.

Запрещенными считались: психологические приемы с использованием электронной почты, разгребание мусора на территории организации, выдавание себя за сотрудника банка при личном контакте, а также попытки проникновения в системы бизнес-партнеров банка. Исключались и более грубые методы, вроде вымогательства, силового давления, шантажа и копания в биографиях сотрудников банка. Часть из этих "методов" была отклонена по соображениям законности, на другие не согласилась служба безопасности банка. К сожалению, все эти ограничения помешали нам полностью смоделировать действия потенциальных злоумышленников.

Кстати, и само хакерство - деяние противозаконное; иногда оно даже преследуется в уголовном порядке. Поэтому не забудьте выдать нанимаемой вами компании письменное разрешение на все предпринимаемые действия. Если какие-то действия группы, оценивающей систему безопасности, будут выявлены (правда, вероятность этого мала), неверно поняты и зарегистрированы как правонарушение, эта бумага поможет приглашенным хакерам избежать неприятностей. Ясно, впрочем, что ни одна компания не разрешит сторонней организации вторгнуться в свою вычислительную сеть.

Разумный хакер собирает информацию любыми доступными средствами - в ход идут, например, открытые документы, финансовые отчеты, техническая документация. Хакеры собирают данные об используемых операционных системах, продуктах, являющихся основой информационной системы, телефонных станциях, а также физические адреса центров хранения данных и телефонных узлов. Чтобы сэкономить время и деньги, BABank сам передал всю эту информацию нашей рабочей группе.

Бесспорно, добросовестный хакер сделает все возможное, чтобы максимально приблизиться к объекту атаки. Фоллсворт открыл на наше имя легальный банковский счет на сумму 1000 дол. С этим счетом мы могли работать по телефону или через пилотный Web-узел, к которому имело доступ ограниченное число работников банка.
Найти ахиллесову пяту

Покончив с предварительными изысканиями, группа злоумышленников начинает составлять схему сети. Указываются IP-адреса, физическое размещение устройств, порты для управления устройствами и связи через коммутируемую сеть, телефонные номера, модули голосового ответа, сети под SNA, серверы, поддерживающие услуги Routing and Remote Access Service от Microsoft, маршрутизаторы и прочие точки, где происходит аутентификация удаленных абонентов.

В составлении такой карты значительную помощь могут оказать некоторые широко распространенные методы и средства анализа. Например, порывшись как следует на Web-узле InterNIC, можно получить массу информации о структуре IP-сети компании. Существуют специальные программы-"демоны", которые автоматически перебирают десятки тысяч телефонных номеров, реагируя только на тоновые сигналы от модемов, - таким образом можно определить, что трубку на противоположном конце "снял" компьютер. Анализатор протоколов позволяет ознакомиться с трафиком, передаваемым по обнаруженным IP-каналам организации. Проникнув в сеть, хакер способен применить анализаторы протоколов для слежения за трафиком и перехвата паролей.

Группа оценки системы защиты обязательно должна вести учет всех своих действий. Если выяснится, что на систему оказывается вредное воздействие, контрольной журнал поможет разобраться в произошедшем и устранить последствия такого вмешательства.

Следующий шаг состоит в том, чтобы проанализировать масштаб IP-области, связанной с компанией (т. е. узнать, имеет она IP-адрес класса B или С); это можно сделать при помощи InterNIC или любого другого средства. Например, воспользовавшись командой nslookup, мы выяснили, какие IP-адреса можно атаковать. Затем мы зашли по telnet на Unix-машину, на которой была установлена программа Sendmail 5.x, в чьей системе защиты имеется ряд дыр; через них можно попытаться проникнуть на почтовый сервер.

Обнаружилось, что системный оператор не входил в систему уже 19 дней; мы расценили это как недостаток системы защиты. Выяснилось также, что в настоящий момент в системе работают два человека; мы решили дождаться, пока они выйдут, и только тогда начать атаку. Кроме того, мы запустили специальную программу, которая помогла нам скрыть свои настоящие IP-адреса и имена.

Для поиска других слабых мест в системе защиты мы воспользовались средствами оценки надежности защиты данных Internet Scanner от Internet Security Systems и бесплатной программой Satan. Сгодятся и другие программы, например Netective от Netect, Ballista от Secure Networks и NetSonar от Wheel Group. Многие из этих программ можно бесплатно загрузить через Internet.

У каждого из продуктов есть свои достоинства и недостатки, поэтому, чтобы прикрыть все "дыры", стоит запастись несколькими программами. Эти средства помогут найти плохо сконфигурированные серверы, маршрутизаторы с "дырами", проблемы в системной базе (registry) Windows NT, неправильно сконфигурированные операционные системы, неустановленные протоколы, слабые пароли, неправильные версии программного обеспечения и устаревшие "заплаты".

Мы опробовали и парочку психологических приемов. Прикинувшись инженером из компании-производителя, наш сотрудник пару раз позвонил в группу разработки информационных систем BABank и получил данные о структуре сети банка. Кроме того, нам удалось раздобыть довольно подробные данные о работнике банка; потом один из нас притворился этим работником, получив в свое распоряжение дополнительные средства доступа к электронным ресурсам.

Вооружившись результатами сканирования, информацией из открытых источников и данными, полученными с помощью психологических приемов, мы полностью подготовились к штурму информационной системы BABank. Бесспорно, самым серьезным моментом операции была именно попытка взлома. Нужно быть очень внимательными, чтобы не нанести серьезного ущерба системе защиты данных. В таких делах следует избегать легковесных подходов: аккуратно проникнуть в систему куда труднее, чем запустить средство сканирования сети и составить отчет.
Взлом

Мы воспользовались слабостью парольной защиты, обнаруженными старыми версиями почтовых программ (чьи хорошо известные "дыры" в системе защиты так и не были залатаны), telnet-доступом к незащищенным портам. Кроме того, мы загружали по FTP файлы с паролями и меняли их. Может быть, кому-то покажется, что все это чересчур просто, однако большинство "дыр" защиты связано именно с тем, что в организации отсутствует практика каждодневного выполнения неких немудреных операций.

В корпоративную сеть можно войти через сервисы TCP/IP, порты управления на включенных в сеть компьютерах и офисных АТС, принимающих участие в передаче данных. Можно также воспользоваться дополнительными средствами, выявленными на этапе исследования сети.

Что касается сети BABank, мы выявили две слабые точки. Во-первых, порт технического обслуживания AS/400 был закрыт паролем, установленным производителем по умолчанию; в результате, мы получили возможность делать с этой системой все что угодно. Во-вторых, на почтовом сервере имелась устаревшая версия Unix, на которую не установили необходимые заплаты. Там обнаружилось несколько дыр; в частности, можно было отправлять почту и записывать файлы в корневой уровень каталога. Таким образом, мы получили контроль над этим сервером, после чего смогли взаимодействовать с другими серверами на административном уровне.

Далее, потребовалось составить себе представление о внутренней инфраструктуре сети. Чтобы обнаружить слабые места, мы воспользовались средствами автоматического взлома паролей. Выяснилось, что недостаточно надежно защищены система управления приложениями, средства системного управления, системные утилиты, а также средства управления операционными системами на корневом уровне.

Вот пример того, почему система оказывается недостаточно надежной. Предположим, что внешний канал TCP/IP приходит на Сервер 1, работающий под Windows NT. Остальные семь серверов (со второго по восьмой) могут взаимодействовать с внешним миром только через Сервер 1; следовательно, этот сервер "перекрывает" единственный путь проникновения в систему извне. Администраторы часто думают, что для обеспечения безопасности системы нужно лишь закрыть к ней доступ снаружи. На защиту внутренних каналов передачи информации обращают куда меньше внимания, что значительно облегчает жизнь хакеру.

Телефонное хулиганство

Не забудьте выяснить, насколько надежно защищена ваша корпоративная АТС. У нее вполне могут обнаружиться недокументированные каналы связи с сетью передачи данных, что откроет путь потенциальным злоумышленникам. К счастью для BABank, здесь нам далеко продвинуться не удалось.

Проникновение в PBX или системы голосового ответа дает массу ценной информации о портах доступа, прямого администрирования извне и технического обслуживания, о внутренних прикладных системах с распознаванием голоса, а также о службе передачи голосовой почты в PBX. Таким образом, хакер может получить доступ к банковским счетам и системам управления.

Чтобы уберечь PBX от проникновения хакера, нужно поменять все пароли по умолчанию и изучить все контрольные журналы, составив представление о нормальном режиме работы АТС. Проверяйте все модификации программного обеспечения и системные "заплаты" на предмет того, не способствуют ли они возникновению новых слабых мест. Необходимо также убедиться, что в вашей системе нет каких-нибудь неизвестных вам модемов. Помните: система, в которой случайно окажутся модем и ПК под Remote Server Mode, будет полностью открыта для вторжения извне.

Воспользовавшись программой автоматического подбора номера, мы обнаружили некоторое число модемов в телефонном пространстве банка. Мы попытались "влезть" в эти модемы и проверить их защиту. Часть модемных входов была закрыта паролем. Запустив программу подбора пароля, чтобы проверить, насколько сильна эта защита, мы ничего не добились. Зато нам удалось вручную(!) подобрать пароль к порту технической поддержки маршрутизатора. Бабах!

Через этот порт мы попали в сеть, а потом, зайдя на AS/400, перевели небольшую сумму на наш тысячедолларовый счет с чужого счета. Если мы сумели это сделать, то что помешает хакеру перевести миллион долларов? Или миллиард? Однако теперь, ориентируясь на результаты наших изысканий в области психологических приемов, BABank установил некую предельную сумму сделки, при превышении которой вступают в действие механизмы обнаружения финансового мошенничества.

Проникнув на AS/400, мы получили доступ к мэйнфреймам и начали атаку на систему защиты Resource Access Control Facility. Но тут сотрудники BABank, уже убедившиеся в наличии "дыр" в Web-системе, решили прекратить эксперименты.

Как обычно, мы победили. Однако на этом наша деятельность не закончилась. Был выработан ряд стратегических рекомендаций и даны советы по использованию конкретных процедур, методов и технологий, которые помогут решить проблемы с защитой данных.

Так, банку были даны рекомендации по выработке политики в области Web-безопасности и реализации метода поиска слабых мест. Кроме того, мы указали, как можно связать между собой различные схемы парольной защиты и добиться оптимального выбора паролей. Мы посоветовали сотрудникам отдела автоматизации установить новые версии некоторых операционных систем и перевести определенные системы с Unix на Windows NT, поскольку ряд приложений лучше работает под NT.

Главное изменение состояло в том, чтобы вывести часть услуг на отдельные серверы, повысив тем самым степень защиты. Если услуги типа FTP и размещения Web-серверов сосредоточены на одной машине, это снижает уровень информационной безопасности.

Фоллсворт, впрочем, оказался достаточно разумным, чтобы осознать: одних этих мер недостаточно для обеспечения неуязвимости информационной системы банка. Мы проверили, как защищена конфиденциальность информации, насколько хорошо обеспечивается целостность данных и как устроена система управления доступом, однако из нашего рассмотрения выпал такой важнейший аспект информационной безопасности, как готовность системы.

BABank намеревался предоставлять Internet-услуги для получения дополнительного дохода и укрепления доверия клиентов. Для этого сервер должен работать без перерывов и выходных. Если в результате атаки хакера обслуживание прервется, то, несомненно, пострадают как финансовые дела BABank, так и его отношения с клиентами. Мало того, следы Web-хулиганства на сервере способны "подпортить" имидж самой компании, ее продуктов и услуг, в особенности если на деловых страничках появятся порнографические картинки.

Наша группа решила выяснить, насколько легко хакер сумеет вызвать на Web-сервере BABank перебои в обслуживании. Для этого мы воспользовались разнообразными самодельными средствами (ничего другого как-то не нашлось). Некоторые разработанные хакерами программы, вызывающие сбои обслуживания, можно загрузить по Internet, однако чтобы заставить их работать, с ними приходится долго возиться.

Мы применяли почтовые бомбы для переполнения сети, затопление сети пакетами синхронизации (SYN flooding), а также "пинг смерти", т. е. нападение с использованием пинг-пакетов, иногда приводящее к зависанию серверов. Обязательно попросите группы оценки информационной безопасности исследовать устойчивость к искусственным перебоям в обслуживании; такие атаки могут полностью вывести сервер из строя. Необходимо также выяснить, сколько времени занимает восстановление работоспособности системы.

Экзамены никогда не кончаются

Когда нанятым хакерам удалось взломать систему, ваша работа только начинается. Ни в коем случае не следует считать, что сам факт тестирования уже обеспечивает информационную безопасность. Оценка системы безопасности (вроде той, что мы предприняли по заказу BABank) дает только представление о состоянии сети на момент проведения операции. Cистема информационной безопасности претерпевает постоянные изменения и требует к себе постоянного внимания.

Первый всеобъемлющий тест должен рассматриваться вами как отправная точка. Не забывайте время от времени выделять деньги на повторные обследования. Не менее важно и то, чтобы исследования проводились до запуска онлайновых услуг, а не после того, как "дыры" в защите дадут себя знать.

Не забывайте девиз "Взломай свою систему сам, пока кто-то не сделает этого без твоего ведома". А пока - удачной охоты!
Десять советов по защите серверов для Web-коммерции

1. Следует ограничить число людей, имеющих удаленный доступ к управлению вашим Web-сервером, и тщательно следить за этим доступом. Дистанционное администрирование (как и доступ к корневому каталогу) - отличная лазейка для хакера.

2. Проверьте, правильно ли сконфигурированы списки доступа и вносятся ли в них каждодневные изменения, отражающие состояние деловой жизни компании (такие, например, как добавление новых пользователей и клиентов, удаление старых ).

3. Насколько возможно, отделите ваш коммерческий сервер от прочих услуг. Можно дополнительно укрепить сервер, отменив все необязательные функции приложений и операционных систем. Если вы не в состоянии этого сделать, следует всерьез подумать об использовании сторонних услуг (outsourcing).

4. Установите систему обнаружения вторжений, которая немедленно будет ставить в известность администратора сети обо всех проблемах, требующих устранения. Помните, что обнаружить хакера - это полдела; главная задача состоит в пресечении его деятельности.

5. Система должна реагировать на любые необычные события, происходящие на серверах. Невозможно остановить злоумышленника, не зная, что он делает.

6. Неправильно написанные, сконфигурированные и установленные скрипты Perl и CGI (Common Gateway Interface) могут стать причиной возникновения "дыр" в системе защиты. Этими средствами надо пользоваться осторожно; все скрипты должны проверяться опытными специалистами.

7. Для обеспечения безопасности некоторых коммерческих серверов использования паролей недостаточно. Стоит обдумать возможность раздачи клиентам физических и электронных жетонов (они стоят примерно 50 дол. за штуку).

8. Следует обеспечивать и аутентификацию администраторов. Все большее распространение получают различные биометрические средства идентификации по голосу, отпечаткам пальцев и узору сетчатки (они стоят примерно по 300 дол. в расчете на одного пользователя).

9. При переводе денежных сумм (с использованием кредитных карточек или путем обращения к мэйнфрейму, где поддерживаются полномасштабные банковские операции) ваш узел обращается к другим сетям. При взаимодействии с критически важными системами следует применять такие средства обеспечения безопасности, как Secure Socket Layer, Secure Hypertext Transfer Protocol или Kerberos.

10. Подумайте, не стоит ли снабдить критически важные данные и соответствующие им системные файлы оболочками для обеспечения их целостности. Криптографические оболочки вокруг этих файлов позволят не допустить их модификации или внесения вредоносного кода.

Как работать с группой, оценивающей надежность системы информационной безопасности
       Выберите себе консультанта с хорошей репутацией
       Потребуйте, чтобы в группе велись подробные контрольные журналы в течение всего срока работ
       Необходимо, чтобы группа оценки могла приостановить свою деятельность за несколько минут, если начнет происходить нечто нежелательное
       Группа должна выдать несколько различных отчетов, рассчитанных на технических специалистов, руководителей среднего звена и высшее руководство компаний
       Ознакомьтесь с результатами проверки и используйте их как руководство к действию
Десять недорогих способов укрепления системы обеспечения внутренней безопасности

1. Стоит выяснить о нанимаемых на работу людях несколько больше, чем можно узнать из их резюме; особенно это касается таких критически важных должностей, как системный администратор. Подумайте, не надо ли ввести систему психотестов, которые позволят выявить этические принципы кандидатов, их особенности.

2. Рассмотрите вопрос о снятии дисководов с пользовательских ПК. Это затруднит сотрудникам установку своего собственного программного обеспечения и компьютерных игр, помешает им заражать систему вирусами и "выносить" из компании закрытую информацию. Такая мера позволит избежать и еще одной угрозы для информационной безопасности - диски, разбросанные на столе сотрудника, легко могут пропасть.

3. Не допускайте, чтобы на одну сетевую станцию приходилось более одного идентификатора пользователя. Установите безопасные экранные заставки - это поможет решить административные проблемы.

4. Предоставляйте корневые привилегии только тем администраторам, которым они реально нужны. Помните, что каждый раз, когда вы даете такие привилегии, в системе защиты появляется еще одна потенциальная "дырка".

5. Уничтожайте или сжигайте важную закрытую информацию: списки персонала, идентификационные имена сотрудников, сводки отдела кадров, папки с данными о клиентах, памятки, руководства, схемы сетей и вообще все, что может представлять интерес для злоумышленников.

6. Мусорные контейнеры должны находиться на территории организации; в противном случае злоумышленник не устоит перед соблазном в них порыться.

7. Постарайтесь, чтобы сотрудники компании стали вашими союзниками в борьбе за корпоративную безопасность. Попробуйте реализовать программы партнерства: пообещайте вознаграждение тому, кто обнаружит недочеты в системе безопасности или уличит кого-либо в недобросовестности.

8. Внимательно изучайте все продукты, обеспечивающие информационную безопасность. Убедитесь, что они работают именно так, как было обещано производителем. Подумайте, можно ли укрепить систему защиты, не устанавливая новый продукт, который потребует от вас определенных усилий.

9. Уполномочьте кого-либо из сотрудников принимать оперативные меры в случае угрозы информационной безопасности - от аварийной остановки Web-сервера до вызова охраны для удаления проштрафившегося сотрудника за пределы организации.

10. Оповестите сотрудников, что вы используете самые современные средства мониторинга сети и контроля за действиями работников компании. Объясните, что вы не собираетесь устанавливать тоталитарный режим, а просто боретесь со злоумышленниками. В результате, сотрудники будут с меньшей легкостью нарушать правила пользования информационной системой и обеспечения защиты данных.
Пять основных условий обеспечения информационной безопасности

1. Главное, что нужно сделать для защиты информационной системы от внешних и внутренних угроз, - выработать корпоративную политику. Обдумайте, чего вы хотите добиться и как можно достичь поставленной цели; составьте ясный документ, посвященный политике защиты.

2. Регулярно проводите занятия с сотрудниками, повышая их образовательный уровень и степень информированности обо всех аспектах информационной безопасности компании. Объясняйте сотрудникам, в чем могло бы состоять их участие в обеспечении информационной безопасности компании.

3. Периодически проводите тестирование и оценку системы защиты, чтобы проверить, насколько внешняя и внутренняя защита соответствует корпоративной политике. Работайте только с теми консультантами, которые придерживаются структурированного подхода и не заинтересованы напрямую в результатах тестирования.

4. Не забывайте о простых способах физической защиты. Следите за доступом к распределительным шкафам, серверам, комнатам телефонной связи и кроссам точно так же, как вы следите за доступом к вычислительным центрам.

5. Рассмотрите вопрос об использовании услуг сторонних компаний, специализирующихся в области защиты данных; они должны работать в контакте с отделом автоматизации. Эти компании могут оказаться лучше подготовленными к тому, чтобы следить за защитой ваших данных 24 часа в сутки без выходных. Однако тогда вам придется передать в чужие руки управление определенной частью своего бизнеса.
Десять способов поддержки работоспособности системы защиты

1. Время от времени проводите тестирование систем защиты - это позволит отслеживать все изменения в самих системах, сетях и поведении пользователей. Точечные проверки системы защиты данных предприятия стоит проводить ежемесячно, а полную проверку информационной безопасности предприятия - раз в год. Возможное влияние новых приложений на информационную безопасность следует оценивать перед их установкой.

2. Постоянно проверяйте надежность парольной защиты, даже если ничто не внушает беспокойства. Длинные пароли лучше коротких, поскольку их труднее подобрать, однако их и труднее запомнить, не записывая. Вот примеры хороших паролей: PaSsWoRd (чередующиеся прописные и строчные буквы), ford6632 (распространенное слово и легко запоминающееся число), 3lite, wr1t3m3, w1nn13 (так пишут хакеры).

3. Следите за тем, как ваши пользователи работают с Internet, и регулируйте этот процесс.

4. В рамках программы непрерывного образования предложите сотрудникам ознакомиться со специальными играми и моделирующими программами, которые позволят им осознать, какие последствия может иметь пренебрежение правилами защиты данных.

5. За счет использования механизмов управления доступом и технологий для интрасетей разделите вашу организацию на логические части. Секционирование ресурсов и информации повышает степень защищенности. Подумайте также об использовании закрытой почтовой системы, ограничивающей возможность обмена информацией между сотрудниками.

6. Немедленно устанавливайте все новые версии операционных систем, "заплаты" к прикладным программам и комплекты сервисов, выпускаемые производителем программного обеспечения. Тщательно проверяйте, не окажет ли новая программа негативного воздействия на другие системы.

7. Создайте из сотрудников вашей компании оперативную группу компьютерной безопасности (Computer Emergency Response Team, CERT). CERT - это общепринятый термин для обозначения группы экспертов по компьютерным технологиям, которые призваны бороться с компьютерными и сетевыми катастрофами. Установите контакты с группами CERT из родственных организаций, что позволит поддерживать устойчивость системы защиты в более глобальном масштабе.

8. Просматривайте списки прав доступа пользователей и следите за их актуальностью. Ограничивайте пользователям возможности доступа; максимально закручивайте все гайки в системе безопасности.

9. Рассматривайте защиту данных как процесс. Не следует думать, что установив систему защиты данных, можно поставить галочку в списке необходимых дел и на этом успокоиться. Разработайте политику поддержания корпоративной информационной безопасности, которая соответствовала бы потребностям вашего бизнеса.
Сигнал тревоги

В настоящее время ФБР расследует более 700 случаев крупных вмешательств со стороны иностранных разведок. Среди применяемых агентами методов - подключение к кабельным линиям связи, установка подслушивающих устройств в офисах, перехват разговоров по сотовому телефону, проникновение в компьютерные сети и воровство закрытой информации с дисков и компакт-дисков.

По данным Национальной ассоциации компьютерной безопасности, за период с 1996 г. по ноябрь 1997 г. количество макровирусов возросло с 40 до 1300. Gartner Group предсказывает, что в 1998 г. 60% нарушений системы защиты произойдет из-за вирусов.

Иностранные агенты минимум из 23 стран пытались осуществить разведывательные действия против американских корпораций. По данным ФБР, только в 1997 г. потери американских компаний, связанные с интеллектуальной собственностью, составили свыше 300 млрд дол.

По данным министерства обороны США, 88% из более чем 20 000 попыток проникновения в информационные системы государственных организаций, выполненных для оценки надежности защиты, завершились успешно. Из этих успешных нападений обнаружены были только 5%; официальные же доклады о проникновении представлялись только в 5% от общего числа случаев выявления атак. Таким образом, широкой общественности становится известно лишь об одной из 400 успешных атак.

Как показало исследование, проведенное компанией Warroom Research совместно с американским Сенатом, 58% компаний обнаруживали случаи несанкционированного доступа к своим сетям. Более чем в 69% случаев успешных вторжений убытки компаний составили свыше 50 тыс. дол., а более чем в 27% случаев - свыше 500 тыс. дол.

Исследование, проведенное компанией Warroom Research, показало, что каждая из более чем 51% компаний уличала не менее шести своих сотрудников в злоупотреблениях, связанных с информационными сетями. Более чем в 75% случаев единственным наказанием стало устное или письменное порицание.

Первый эротический банк - EroBank.Org
Последнее сообщение от gena2279 в :

Можно ли брать онлайн-кредиты с удовольствием? Да!
Теперь взять кредит WebMoney можно не только быстро, но и приятно :cool: . Опытные менеджеры ЭроБанка всё сделают за тебя, будь готов расслабиться, получить удовольствие и деньги тоже!
В ЭроБанке по адресу https://erobank.org дают:
Бесплатно -  для тех, кто ещё ни разу этого не делал.
По-быстрому - возмножность взять прямо сейчас, но не так много, как хотелось бы.
Как обычно - для проверенных и надёжных людей, которые любят всё традиционное.
С фантазией - сотрудницы банка воплотят любые фантазии, но не забудь взять с собой для безопасности аттестат с БЛ не ниже 150.
Эксклюзивно - для настоящих гурманов - самые вкусные кредиты.
Здесь опускают ставки и поднимают ... настроение:)! :flirt:  Так как ты хочешь, милый?

Кроме того, труженицы ЭроБанка принимают в сообщество партнеров, где каждый член - желанный! Вознаграждение стартует с 25%!

Team "GLOBAL Pension Fund & Company"
Последнее сообщение от wenderl в :

Достаточно отписаться о своем желании участия в программе и кол-ве купенных лотов, подробные сведения насчет оформления документов и отсылки сообщу в личку при запросе

4 способа инвестирования в золото
Последнее сообщение от Hindin37 в :

Куда вложить деньги, чтобы рисковать по минимуму, но при этом получить доход, превышающий процент по банковскому вкладу? Наверняка данный вопрос задавали себе многие. Итак, давайте рассмотрим один из наиболее популярных инструментов, а именно – золото.

Почему золото?

Вот уже несколько десятилетий именно золотые вклады считаются одними из наиболее надёжных и при этом приносят довольно хорошую прибыль. Так как с каждым годом всё больше компаний в изготовлении своей продукции использует золото, то со временем оно становится только ценнее, так как чем меньше полезного металла, тем он дороже. Перспективы роста есть, так почему бы не использовать данный инструмент?

4 cпособа инвестирования в золото.

Существуют несколько способов инвестирования в золото. Каждый из них по-своему хорош и каким из них воспользоваться каждый решает сам.

1. Покупка золотых слитков. Наиболее простой способ приобрести золото, это купить слиток. Но тут есть некоторые нюансы, которые данный вид инвестирования не делают привлекательным. А именно – при покупке необходимо заплатить налог, который составляет 18%, что согласитесь, много.

2. Покупка инвестиционных монет. Налог с них не берётся, но они всё равно продаются немного дороже, так как каждый банк хочет иметь с этой монетки прибыль. Тем не менее, инвестиционные монеты являются одним из наиболее доступных и выгодных вложений, так как стоят относительно недорого (от 10 000 рублей или даже дешевле). Также как и покупка слитков, монеты приобретаются с целью долгосрочного инвестирования.

3. Открытие золотого банковского депозита хорошо подойдёт тем инвесторам, которые хотят инвестировать в золото на небольшой срок. При открытии такого счёта, банк в реальности не покупает золото, а только обязуется выплатить необходимую сумму по курсу золота. Такой счёт очень удобен, так как в реальности ничего покупать и продавать не надо, а соответственно не надо и платить лишние деньги за конвертацию валюты в золото и обратно. Но, перед тем как открывать такой золотой депозит, необходимо выбрать надёжный банк, так как в случае ликвидации банка никто Вам ничего не гарантирует. То есть, можно потерять весь депозит и при этом вполне законным путём. Поэтому рейтинг банка в данном случае играет решающую роль. (Ведь золото интересует в первую очередь именно консервативных инвесторов, а значит и надёжность должна быть на первом месте)

4. Покупка акций золотодобывающих компаний может также рассматриваться как альтернативный способ инвестирования в золото. Конечно же, риск при торговле акциями значительно выше, чем просто при пассивном инвестировании в золото, но в тоже время и прибыль может быть очень высокой, если инвестировать именно в перспективную компанию. Недостатком является в первую очередь то, что нужно самостоятельно (или с помощью финансового консультанта) выбрать именно хорошие акции, а не покупать все подряд.

На мой взгляд, оптимальным для большинства инвесторов – открытие «золотого» депозита в банке. Во-первых, не надо платить дополнительный налог (как в случае покупки слитков), а во-вторых, металлический (в данном случае золотой) счёт гораздо проще и быстрее закрыть, чем например, продать инвестиционные монеты или акции золотодобывающей компании. И в-третьих, не надо иметь специальных знаний, в отличии от покупки акций золотодобывающих компаний. Вывод: металлический (золотой) счёт является оптимальным инструментом для инвестирования в золото. Единственным недостатком может оказаться ненадёжность банка. А так как сохранность капитала стоит на первом месте, то и банк надо выбирать особенно внимательно.

Например, можно посмотреть здесь http://www.banki.ru/banks/rating/ чем выше рейтинг банка, тем лучше. Кстати, лучше выбирать банки у которых рейтинг А+ или А. Ниже рейтингом идут A-, BBB+ и BBB. Посмотреть можно по этой ссылке http://www.rusrating.ru/index.php?op... … ;Itemid=66

А что вы думаете по поводу инвестирования в золото – это реальный инструмент, способный принести хороший доход при минимальных рисках или проще открыть счёт в сбербанке и не усложнять себе жизнь?

offshore-mag.com
Последнее сообщение от Hindin37 в :

Зайти на сайт offshore-mag.com

http://www.offshore-mag.com/content/os/_jcr_content/brandingImage.img.png/1317331499099.png

It's that time of year again. Sleigh bells ring and we're listening and in the lane, snow is glistening, and we're ready for another annual forecast of oil prices for 2012, and all that implies.

This year, after consulting with the gnomes of Zurich, the sheiks of Dubai, and the entrails of a number of environmentally un-endangered birds, we have divined a 2012 average price that we believe will stand the tests of logic and probability.

But first, let's examine the rationale.

Remember that price is a function of supply and demand, so that whatever increases supply – demand being static – decreases price, and vice versa. Seldom does either price or demand remain static, so we are challenged with anticipating the size, direction, and timing of their movements. Here are some currently occurring trends that can move the market:
Bullish indicators

At press time, WTI sweet crude prices are creeping past $100/bbl on the futures market and Brent crude is weighing in at just over $111/bbl. This is a strong trend, although of indefinite duration. Recent economic reports in the United States show that consumer spending increased for electronics, appliances, hardware, building supplies and at grocery stores, restaurants and health care stores, suggesting a healthier economy and growing energy demand. The economies of Asia, specifically India and China, continue to expand, increasing energy demand.

In addition, the strength of the US dollar continues to fall. Since oil is priced in dollars, the less they are worth, the more it takes to buy something, including a barrel of oil. Although the US dollar is currently trading slightly above its 200-day moving average, it has been in a steady decline since May of this year. Current fiscal policy by the US administration and the Federal Reserve won't change that trend.
Bearish indicators

Reports from Libya maintain that all factions, still red in tooth and claw from violent disagreements, can at least agree that it behooves them to sell oil, and that hence a supply of 1.6 MMb/d will return to the market by June of next year. This increased supply will put downward pressure on prices.

As the long-running drama of European government debt continues to unfold, we find that now even France, the Netherlands, Finland, Spain, Belgium, and Austria are at risk of rising interest rates and in danger of joining Greece and Italy in approaching unsustainable debt service costs. If that happens, Europe could see a ripple effect of defaults or write-downs that would result in widespread recession. Analysts say that oil traders have priced in the potential for a slowdown in the euro zone. This editor would beg to differ.

New reserves from the shale oil and gas plays in the US are a double-edged sword. While the new sources of supply will reduce American reliance on imports – helping the US balance of payments and relieving the impact of higher energy prices on the US economy – they will have a downward influence on prices (something already occurring for gas). In fact, we expect gas to gradually replace oil for some energy uses, bringing further downward pressure on crude prices. There is little doubt that the shale boom in the US is significant. Anadarko Petroleum, for example, says its horizontal Niobrara program in the Wattenberg field in Colorado generates returns competitive with its best projects. Anadarko says reserve potential in Wattenberg alone is 500 MM to 1.5 Bboe. It is the tip of a very large iceberg.

OPEC has traditionally held the trump hand on oil prices, able to increase or reduce supply when price gets out of hand in one direction or the other. It has been the strategy of oil-consuming nations for years to find sources outside the OPEC cartel and therefore more responsive to market forces. Witness China, which, steeped in the Confucian wisdom of peering far into the future and planning accordingly, has taken E&P and purchasing positions throughout the globe in such oil-rich environs as Brazil, Venezuela, most of West Africa, Australia, and Canada. Leaving no stone unturned, CNOOC is even now exploring off Cuba. Even so, OPEC still controls an estimated 70% of supply, clearly enough to control prices if all the members follow policy. It is OPEC's policy to not allow oil to price itself out of the market.
Iran: The wildcard

Even the United Nations now admits that Iran is working to develop a nuclear strike capability, and even the most gullible of world leaders doubts that once it reaches that capability, Iran will use it. If that happens, or if Israel mounts a preemptive strike, as has been speculated, all other calculations are meaningless.

For the first half of 2012, the bullish trends outweigh the bearish, and we see an average first half price of $98/bbl, with short-term prices whipsawing as much as 20% on either side of that level. It will take until May for the European situation to resolve into something the market can assimilate, after which price could fall. Remember that in late April, crude oil futures contracts were trading at $115, and as recently as early October they were at $75.

It's not an exact science. And we're not ready to make a call on the second half of 2012.
McMoRan hits pay dirt

McMoRan Exploration Co. has encountered new hydrocarbons at its Lafitte ultra-deep prospect, Eugene Island Block 223, in 140 ft (42 m) of water. The well has been drilled to a TVD of 29,756 ft (9,070 m) and has been logged with wireline logs to 29,740 ft (9,064 m). The wireline log results indicated 56 net ft (17 m) of hydrocarbon-bearing sand over a 58-ft (17.6 m) gross interval in the Cris-R section of the Lower Miocene with good porosity, the company said. Flow testing will be required to confirm the ultimate hydrocarbon flow rates from this zone, which was full to base. McMoRan controls approximately 15,000 gross acres in the immediate area of Lafitte.

Lafitte is McMoRan's third ultra-deep prospect to encounter Miocene age sands below the salt weld on the GoM Shelf.

The new Cris-R sand interval combined with the previously encountered 115 ft (35 m) of potential net pay (250 gross ft (76 m)) brings the total possible productive net sands to 171 ft (52.4 m) in the Lafitte well. These results enhance the potential of McMoRan's other acreage in the Lafitte strategic area, including its Barataria and Captain Blood ultra-deep prospects. Barataria (10,000 gross acres) is located west-southwest of Lafitte and Captain Blood (10,000 gross acres) is located immediately south of Lafitte.

McMoRan plans to apply for a permit to deepen the Lafitte well to a proposed TD of 32,000 ft to evaluate deeper objectives.

Компания-владелец Costa Concordia открыла тендер на утилизацию судна
Последнее сообщение от Hindin37 в :

Как говорится в заявлении Costa Cruises, распространенном в четверг, компания сделала десяти специализирующемся на утилизации судов компаниям предложение участвовать в тендере. Ожидается, что его результаты будут известны к концу марта, хотя не исключено, что процесс принятия решения займет больше времени в связи с масштабностью грядущей операции. РИА Новости  06:27

На борту полузатонувшего круизного лайнера "Коста Конкордия" по-прежнему находится около 6 тыс произведений искусства и других ценностей, включая уникальную коллекцию японских гравюр 18-19 веков. В их числе - 16 произведений прославленных мастеров Хокусая, Утамаро и Сяраку, сообщает сегодня токийская печать. ИТАР-ТАСС  04:52

Судно весом более 114 тысяч тонн с 4200 пассажирами и членами экипажа на борту затонуло у берегов острова Джильо 13 января. Работы уже приостанавливались несколько раз из-за плохой погоды. BBCRussian.com  31.01.12 18:28

Совет Безопасности ООН согласовал текст резолюции по Сирии
Последнее сообщение от Hindin37 в :

По просьбе полномочного представителя России при ООН Виталия Чуркина из текста резолюции по Сирии исключили призыв Башару Асаду передать власть, сообщает телекомпания Би-би-си. "Россия пригрозила наложить вето на резолюцию ООН по Сирии, если он будет вынесен на голосование в пятницу ввиду необходимости консультаций с Москвой", - сообщает Би-би-си, ссылаясь на комментарии дипломатов, принимавших участие в закрытом четырехчасовом заседании Совета безопасности. Интерфакс  06:31

Совет Безопасности ООН согласовал текст резолюции, призванной остановить кровопролитие в Сирии, однако он будет направлен в столицы стран-членов СБ на утверждение перед тем, как состоится голосование. РИА Новости  04:17

Как сообщил журналистам ранее днем постоянный представитель Того при ООН Коджо Менан, чья страна председательствует в Совете Безопасности ООН в феврале, соавторы марокканского проекта представили утром в четверг очередной обновленный вариант, пересмотренный с учетом прозвучавших накануне замечаний. ИТАР-ТАСС  04:15
Ранее в ходе видеомоста Нью-Йорк - Москва В. Чуркин заявил, что Россия не поддержит эмбарго на поставки оружия в Сирию, а также не позволит принять в СБ ООН текст резолюции по Сирии, который считает неприемлемым.
http://neim-tub.yandex.ru/i?c=0&permalink=64b3ada2016738c9d2112a9effad50f4

Текущие способы инвестирования в интернете
Последнее сообщение от Hindin37 в :

Предлагаю также поучаствовать в голосовании и выбрать на ваш взгляд самые надежные способы инвестирования в интернете.

Вот мой список инвестиций в интернете:

- Стартапы (покупка/продажа)
Т.е. проекты, нацеленные на предоставление платного сервиса, продажу продукта или размещению различной рекламы.
Цель: Покупка пая, доли или выкуп всего проекта для последующего получения прибыли за счет дивидендов или продажи!

- Лимиты доверия webmoney
Цель: выдача кредита через инструмент webmoney под фиксированный процент

- Проекты на площадке shareholder.ru ("БА")
"Бюджетные автоматы" ("БА"), т.е. различного рода проекты, которые выпустили свои доли на "IPO" (бирже shareholder)
Цель: купить акции, получать дивиденды и, возможно, выгодно продать!

- ДУ на создание саттелитов, ГС, СДЛ под продажу ссылок и размещению контекстной рекламы
Цель: проинвестировать seo'шника, который опытным путем сможет приобрести или изготовить сайты, для того, чтобы выгодно продавать на них ссылки.

- ДУ на Форексе
Цель: открыть Памм-счет (т.е. прозрачный трейдинг на счету инвестора) и доверить управление вашими средствами трейдеру под возможную и неопределенную доходность

- ДУ на Фондовом рынке (в том числе Паевые фонды)
Цель: открыть инвест счет на свое имя и передать управление доверительному управляющему (это может быть как физ лицо, так и компания), либо паевому фонду

- ДУ на спортивные ставки
Цель: открыть счет в букмекерской конторе и передать в управление. Спорно, но может быть это и работает.

- Золото (Webmoney WMG)
Цель: открыть счет в webmoney, пополнить в золотой валюте WMG и ждать роста.
Это самый пассивный способ инвестирования в интернете, в основном служит для сохранения средств (защита от девальвации, обесценения наличных и безналичиных денежных средств, финансового кризиса и т.д.)

Может быть есть что-то еще?