Свежие посты   По годам   По датам
  • 05 Августа 2014 » Так я блогер или где?
    Федеральный закон от 5 мая 2014 года № 97-ФЗ, окрещённый в народе законом о блогерах, обсуждается сейчас довольно широко и мне, как владельцу сайта с блогер-движком WordPress, мимо него пройти никак было нельзя. Собственно, предлагаю разобраться, на кого же распространяется данный закон? Определение блогера в законе (ст. 10) приведено такое: Владелец сайта и (или) страницы сайта в сети "Интернет", на которых размещается общедоступная информация и доступ к которым в течение суток составляет более трех тысяч пользователей сети "Интернет" (далее - блогер). Как всегда логичный и до предела точный в формулировках Михаил Юрьевич Емельянников очень просто и доходчиво обосновал незатейливую мысль о том, что закон распространяется исключительно на владельцев сайтов, что автоматически исключает из рассмотрения все блоги, ведущиеся на специализированных площадках вроде LiveJournal.com, Blogspot.com и пр., а равно и личные страницы в соцсетях Facebook, Twitter и т.д. Да, в законе предусмотрены некие "владельцы страницы сайта", но в вышеупомянутых случаях формально (юридически) ни один пользователь блогер-площадки или социальной сети владельцем своей страницы не является, так что это уточнение становится бессмысленным. Однако, на прошедшей не так давно конференции «День блогера в России» представитель Роскомнадзора, а именно зам. руководителя Максим Ксензов, говоря о новом законе, высказал несколько иное мнение: Ксензов отметил, что закон будет распространяться практически на все социальные медиа, включая зарубежные. Он напомнил, что у Twitter недавно появилась статистика просмотров и посещений, но не смог уточнить, как будет определяться количество посетителей страниц в Instagram. Замглавы Роскомнадзора заявил, что ведомство установило прямой диалог со всеми ведущими площадками, как российскими, так и зарубежными, и что они готовы следовать российскому законодательству. Собственно, и руководитель Роскомнадзора Александр Жаров в своём интервью совершенно спокойно рассуждает об аккаунтах в Twitter как о блогах, подпадающих под действие 97-ФЗ. Наверное, в суде можно будет попробовать что-то доказать, но по моему скромному мнению это будет либо бесполезно, либо до этого просто не дойдёт. Тот же Ксензов вполне чётко даёт понять: Логика правоприменения, которую мы заложили в подзаконные акты, сводится к тому, что обязанность предоставить свои данные для регистрации в реестре возникает у пользователя только после получения соответствующего уведомления Роскомнадзора. То есть, если вы в своем блоге публикуете фотографии котиков, выражаетесь исключительно культурно и не разглашаете государственную тайну, эта обязанность может не наступить вообще никогда — даже если у вас миллион уникальных посещений в сутки. Таким образом, в законе, конечно, есть символическая граница в 3000 пользователей в сутки (есть даже утверждённая методика их подсчёта), после которой можно попасть в реестр, но даже её преодоление на практике может ничего не означать. Стоит ли дополнительно отмечать, что во всём перечне блогов, посвящённых информационной безопасности (который, к слову, мне давно пора актуализировать), вряд ли есть хоть один (включая, само собой, и мой) со сколько-нибудь значимой с точки зрения Роскомнадзора аудиторией? В общем, отвечая на вопрос в названии поста - я, пожалуй, блогер в общечеловеческом понимании, но совсем не тот блогер, про которого (или, если угодно, против которого) принят Федеральный закон Российской Федерации от 5 мая 2014 г. N 97-ФЗ "О внесении изменений в Федеральный закон "Об информации, информационных технологиях и о защите информации" и отдельные законодательные акты Российской Федерации по вопросам упорядочения обмена информацией с использованием информационно-телекоммуникационных сетей". А рекомендованные счётчики, пожалуй, всё же лучше в ближайшее время поставлю...

  • 31 Июля 2014 » Облака и BYOD - Спасибо, Кэп!
    В нашей речи мы (кто-то чаще, кто-то реже) периодически используем расхожие шаблонные фразы типа “всё когда-то бывает в первый раз”, “цыплят по осени считают”, “красота требует жертв” и пр. С одной стороны, это, конечно, банальности, штампы и упрощение языка коммуникаций, но с другой, сказанные к месту, они вполне имеют право на существование. Мне ещё нравится слово “трюизм” (от английского true) — общеизвестная, избитая истина, банальность. В любой профессиональной сфере тоже есть свои, локальные, если угодно, трюизмы, которые, хотя за его пределами обычно не очевидны, в кругу специалистов часто вызывают единственную реакцию: “Спасибо, Кэп!” Собственно, это всё я к тому, что для экспертов моя статья, вышедшая в журнале Connect, пожалуй, покажется именно что сборником очевидность и трюизмов (тем более, что по традиции редакция её сократила). В статье я рассуждаю на тему размытия периметра современной организации и путей, которыми облака и мобильные устройства по факту уже приходят в бизнес, хотим мы этого или нет. Во второй части приведены общие рекомендации организационного и технического характера. Вендоров не называл, но одного-двух, полагаю, угадать будет совсем не сложно =) Подробнее, чем в отредактированной журналом статье, обозначенные вопросы раскрыл уже в рамках вебинара с созвучным названием, презентацию и запись которого тоже прикладываю. К слову, трюизмы ещё широко распространены в НЛП, гипнозе и рекламе =)

  • 26 Июля 2014 » Сноуден, АНБ, СОРМ и Instagram на IT Campus
    По приглашению коллег из Академии Информационных Систем (за что им, а особенно Тамаре Никифоровой, огромное спасибо) сегодня выступал с докладом ”Жизнь после Сноудена: новые технологии - новые угрозы” в деловой части IT Campus 2014. Благодаря аудитории (IT Campus - продолжатель традиций Всероссийского слёта сисадминов, но уже силами только ГК Софтлайн), вместо моновыступления получился отличный живой диалог: многие с охотой делились примерами из личного опыта, на вопросы одних участников порой отвечали другие, и так как практически все ”были в теме”, то дискуссия была предметной и интересной. В общем, мечта докладчика практически =) Обсуждали же мы всё, что связано со слежкой государственными структурами (спецслужбами) за собственными гражданами и гражданами других стран: и технические аспекты, и юридические и, что вполне понятно, морально-этические тоже. Для полноты картины выкладываю свою презентацию, хотя она скорее послужила поводом для общения. Жизнь после Сноудена: новые технологии - новые угрозы from Alexey Komarov Что же касается самого мероприятия, то оно оказалось ровно такое, как я (до этого на подобных мероприятиях не бывавший) себе и представлял слёт сисадминов =) Если бы было надо разместить в Instagram некое общее фото про IT Campus, то к нему я бы добавил такие теги: [box]#волейболфутболипрочийспорт #палаткивполеишатры #жарконохорошочтонетдождя #сисадминытакиесисадмины #напиткиразличныевсякие  #АИСкасперскиймикрософт #конкурсфутболокотАИС #чтотамименноповечерамневкурсеноявнонескучно[/box]

  • 05 Июня 2014 » Secret Полишинеля
    Топ-чарты приложений в App Store удобны, в частности, тем, что позволяют отыскивать любопытные приложения без особых усилий. Так я, например, наткнулся на социальную сеть, само название которой не могло не вызвать моего интереса. Речь о приложении Secret. Secret представляет собой анонимную социальную сеть. Суть её в том, что вы не знаете, кто именно написал то или иное сообщение. Все комментарии тоже анонимны. Выбрать и добавить друзей самостоятельно нельзя: приложению нужно предоставить доступ к списку контактов и тогда оно самостоятельно по адресам электронной почты и телефонам подберёт тех ваших друзей/знакомых, которые уже присутствуют в сети. Из деанонимизирующих признаков присутствует только явное указание, если пост оставил кто-то из ваших прямых друзей. Остальные посты помечаются как принадлежащие друзьям друзей или только географической отметкой, с указанием того, где они были написаны, если это сообщение друга друга друга, друга друга друга друга и т.д. Такой подход по задумке создателей предполагает откровенность в общении и действительно, чего только там не начитаешься =) На самом деле, если вы хорошо знаете своих друзей (и/или их будет не очень много), то авторство многих постов угадать довольно просто, но, конечно, такие предположения бездоказательны, ведь кто-то может специально копировать манеру другого человека, например. Тем не менее, немного поэкспериментировав с принципами работы приложения, довольно быстро отыскал простой сценарий чтения “секретных” постов конкретного человека. Для успеха нам потребуются следующие ингредиенты: телефон с пустым списком контактов; точный адрес электронной почты или телефон, который использовал этот человек для регистрации. Оказалось, что процесс регистрации в сети Secret до удивления примитивен - нужно только указать адрес электронной почты и пароль. Всё. При этом на указанный адрес приходит запрос на подтверждение, но подтверждение не обязательно. Адрес вообще может быть несуществующим. Аналогичная история и с номером телефона - на самом деле его не проверяют. Итак, сценарий для получения доступа ко всем постам конкретного человека в сети Secret может быть, например, такой. Берём телефон с пустой адресной книгой (как вариант, можно для iPhone временно отключить синхронизацию контактов с iCloud и удалить все контакты) и создаём там контакт интересующего нас человека. Да, это самое сложное - надо точно знать, какой адрес он(а) использовал(а) при регистрации. С другой стороны, скорее всего это будет личный ящик на mail.ru или google.com и вы наверняка его знаете. Теперь регистрируемся в этой (якобы) совершенно анонимной социальной сети Secret с любым придуманным адресом электронной почты и соглашаемся, чтобы приложение поискало в своей базе нашего единственного друга. Для этого приложению нужно предоставить доступ к контактам.    Однако, приложение не хочет показывать посты (секреты) от друзей, пока вы не введёте свой номер телефона. Никаких проблем - ввести можно всё, что угодно, никаких проверок на достоверность номера не делается. Следующее затруднение - приложение уведомляет, что для просмотра сообщений от друзей их должно быть как минимум трое. Ничего страшного - достаточно придумать два любых адреса электронной почты и поочерёдно зарегистрироваться с ними в соцсети Secret. Далее надо лишь добавить эти адреса в контакты на нашем телефоне и приложение при обновлении увеличит счётчик друзей (по сути, это и есть основной трюк - "фейковые" друзья, которых вы создаёте сами).    Как видно на скриншоте выше - при наличии трёх друзей приложение соглашается показывать посты от них, но не помечает их как сделанные именно друзьями. Так что нужно ещё два адреса. На самом деле, сначала я пытался регистрировать реальные специально свежесозданные электронные адреса, но когда выяснилось, что их реальность не проверяется, дело пошло быстрее. В общем, обеспечить любое количество псевдодрузей совсем несложно. Собственно, вот и всё. У вашего аккаунта в соцсети Secret теперь один единственный реальный друг, которого вы достоверно знаете и все посты от которого помечаются как сделанные другом. Следите на здоровье =) Можно ли обычному пользователю как-то справиться с этим конструктивным недостатком соцсети Secret? Да, можно в настройках приложения поменять адрес электронной почты и телефон на ненастоящие или никому неизвестные, никакие друзья при этом не пропадут, но описанный выше сценарий к вам никто применить не сможет. Конечно, если все пользователи будут использовать поддельные контактные данные, число друзей ни у кого расти не будет, но... вы действительно хотите рассказывать (пусть и анонимно) реальные свои секреты тем людям, которых знаете? Тогда какое вам вообще дело до анонимности? =) В приложении ещё есть опция по "отвязыванию" любых прошлых постов и комментариев от вашего аккаунта, но в деталях её не тестировал и не знаю, какая от неё практическая польза. Вообще же, в таких случаях я всегда вспоминаю правило Миранды для цифрового мира, сформулированное несколько лет назад Михаилом Емельянниковым: «Все, что вы указали о себе в социальной сети, блоге, форуме, чате, любом общедоступном сервисе, будет храниться там вечно и всегда может быть использовано против вас». Так что будьте аккуратны в своих анонимных откровениях =)  

  • 28 Мая 2014 » Сертифицированные межсетевые экраны (часть 10)
    Осознал на днях, что с конца прошлого года не обновлял таблицу сертифицированных ФСТЭК межсетевых экранов. Пришло время это исправить.

  • 26 Мая 2014 » За ПХД!
    Когда тебя бесплатно приглашают на платное, в общем-то, мероприятие, то невольно возникает этический казус. Критиковать тех, кто просто так взял и выслал тебе пригласительный, как-то неудобно. В безудержной же хвальбе в знак признательности тоже ничего хорошего нет, даже если её слегка завуалировать псевдокритикой =) На PHDays в этом году я побывал второй раз и, конечно, уже примерно знал, на что рассчитывать. В прошлый раз, впервые за долгое время увидев живое и с толпами людей мероприятие ИБ-направленности, я был действительно поражён, что такое, оказывается, в наши дни бывает. Потом был ещё осенний ZeroNights тоже живой и людный, на котором, впрочем, я пробыл совсем недолго, а потому отчёта о нём не стал писать. В общем, уже вкусив подобное качество, в этом году такого же wow-эффекта я, понятно, не испытал, но некоторые из коллег, пришедшие первый раз, напоминали мне меня самого прошлогоднего. Так что можно смело делать вывод, что всё с PHDays хорошо, и будущее у них светлое. Качество и интересность докладов каждый может оценить самостоятельно благодаря наличию видеозаписей, а некоторые интересные цитаты и фотографии можно найти в Twitter по хэштегу #PHDays. Из посещённых мной выступлений традиционно понравился Андрей Масалович с рассказом про интернет-разведку (хотя я застал почти самое окончание), а также доклад Игоря Ашманова про BigData в соцсетях. Сочетание предметной экспертизы, ораторского искусства и природной харизмы - вот, пожалуй, секрет успешности этих двух спикеров. Впрочем, моя оценка информационной составляющей мероприятия весьма специфична, так как в силу особенности своей деятельности не являюсь ни “пиджаком”, ни “футболкой” и ни “вендором”, ни “интегратором”. Так что смотрите видеозаписи или подождите, пока все презентации выложат для скачивания, чтобы составить собственное впечатление. Выше контента в любом подобном мероприятии лично я ценю возможность общения с коллегами и на PHDays IV с этим проблем не было: друзей и знакомых было много, всё же несколько лет в одной отрасли дают со временем о себе знать =) Ну, а чтобы не уподобляться герою вышеприведённого ролика, отмечу пару недостатков. Место проведения было менее удачно, чем прошлогоднее - проходы слишком узкие и некоторые залы слишком невместительные, на такое количество людей явно всё не рассчитано: И второе - на некоторых секциях темы выступлений не совпадали с названием секции совсем: Пока не дописал этот пост, специально не читал мнение других коллег, так что интересно будет сравнить. [hr][box]Другие посты блога: [related_posts limit=”5”][/box]

  • 16 Апреля 2014 » CISO FORUM 2014
    14-15 апреля в Москве проходил уже седьмой Межотраслевой форум директоров по информационной безопасности, я же оказался на этом мероприятии всего в третий раз. На самом первом CISO FORUM в 2008 довелось быть спикером, блога я тогда не вёл и впечатления уже порядком подзабылись. Помню только, что аудитория была активная, задавали много вопросов и практически все по делу =) Далее наши с форумом пути разошлись, чтобы вновь пересечься 4 года спустя на CISO FORUM 2012, где я уже был представителем прессы (по приведённой ссылке - мои тогдашние впечатления). Прошлогодний форум пропустил и вот на этой неделе вновь оказался на этом мероприятии, правда, уже на стороне спонсора - принимал участие от имени Swivel Secure. Про сложности с выставками/конференциями по информационной безопасности в России уже говорилось много раз, повторяться не буду. Однако, как ни странно, с чисто спонсорской точки зрения могу оценить CISO FORUM 2014 как очень даже успешное мероприятие, хотя, честно должен признаться, изначально на успех особо и не рассчитывал. Трудно точно сказать, что именно сыграло в этом ключевую роль, но есть у меня серьёзные подозрения, что многое определила новизна предлагаемого Swivel решения. Ведь, действительно, за последние годы мы привыкли к более-менее стандартному набору продуктов, тем для обсуждения и даже спикеров, кочующих с мероприятия на мероприятие. Те же лица, те же тезисы… Как сказал поэт: Меняем реки, страны, города... Иные двери... Новые года... И никуда нам от себя не деться, А если деться - только в никуда. Не хочу обидеть отдельных коллег-звёзд, которые всегда новы и интересны, но, увы, их меньше, чем хотелось бы (потому, кстати, они и "нарасхват" всегда). Так что ваш К.О. рекомендует в следующий раз попробовать что-то изменить в себе: вендорам - придумать что-то поинтереснее "лотереи за визитку", если уж в продуктовом портфеле нет никаких новинок, слушателям - потратить время на придумывание каверзного вопроса, организаторам - предложить новые форматы, модераторам - не превращать дискуссию в театральную постановку с дежурными шутками, а спикерам - ориентироваться на тех самых, упомянутых выше, которые всегда "нарасхват". Что же до контента CISO FORUM 2014, то судить об этом в целом не берусь, так как лично в силу особенности своей роли в этом году слышал не так много докладов. Могу разве что поделиться роликом, смонтированным мной из аудиозаписи выступления Алексея Волкова и презентации, любезно предоставленной автором же. Алексей на практическом примере Северстали рассказывал, как можно эффективно реализовать услугу использования электронной подписи в территориально распределенной компании. В заключение хочу уточнить, что лично довелось присутствовать на крайне ограниченном количестве ИБ-мероприятий (отзывы о некоторых из них есть в этом блоге), так что моё представление частично сформировано домысливанием после чтения чужих отзывов,  а частично и вовсе ошибочно. В любом случае, говорю организаторам CISO FORUM спасибо и желаю, чтобы не вышло так, что я побывал на первом и последнем Форуме директоров ИБ =)

  • 01 Апреля 2014 » Лидер бестокенной аутентификации выпускает токены
    Компания Swivel Secure, разработчик платформы многофакторной бестокенной аутентификации, ещё в прошлом году сделала “хитрый ход конём” и фактически загнала конкурентов в тупик, предложив рынку собственные… токены. Умение делать неожиданные, но правильные ходы присуще крайне немногим компаниям, так что к подобному шагу многолетнего бессменного лидера в области бестокенной аутентификации можно отнестись только с уважением. Мне даже пришлось переделать рекламную листовку, текст которой появился в ходе прошлогоднего обсуждения в соцсетях компании Swivel Secure и её выхода на российский рынок: Выпускаемые компанией Swivel Secure устройства оснащены экраном и кнопкой для генерации случайных шестисимвольных последовательностей (одноразовых кодов - OTC, one-time codes). Токены Swivel являются HOTP-совместимыми, что помимо прочего позволяет легко мигрировать на платформу аутентификации Swivel, если в организации уже используются подобные же токены от какого-либо другого производителя. Заявляемое минимальное число успешных генераций составляет - 14 000 (по числу нажатий кнопки), срок жизни батареи - 4 года. Температурный диапазон от -20°C до +70°C. Если вы думаете, что это первоапрельская шутка, вот пруфлинк (созданный как раз при помощи сервиса peeep.us, о котором я не так давно рассказывал): http://www.peeep.us/4541067e

  • 21 Марта 2014 » Железобетонные пруфлинки
    Последние недели мы все с вами являемся свидетелями полномасштабной информационной войны. Вернее, кто-то является просто свидетелем, кто-то участником, а кто-то, к сожалению, и пострадавшим. Разочаровываться в людях всегда немного грустно и тем досаднее наблюдать, как далеко неглупые знакомые и приятели начинают упорно отстаивать конкретную, кажущуюся им истинно верной точку зрения, забывая любые правила приличия, отказываясь от базовых принципов ведения дискуссий и не принимая никаких аргументов, противоречащих их личным представлениям. Только вот, так ли верны эти их представления? Важный элемент любой информационной войны - это, конечно, дезинформация. Понятию «деза» не один десяток лет и методы её эффективного использования продолжают совершенствоваться. В современном сложном и насыщенном информационном пространстве отличить правду от лжи далеко не просто. Три года назад уже рассуждал на эту тему, но ситуация с тех пор, очевидно, стала только хуже. Нужно иметь очень стойкий к внешним воздействиям внутренний фильтр, чтобы противостоять дезинформации. Для примера пара роликов: Так кто же россияне? Оккупанты или освободители?… В общем, мысль вы уловили. Теперь к сути поста. Один из приведённых выше роликов попался мне на глаза и я сохранил ссылку на него, но уже буквально через пару дней по сохранённой ссылке ролика не было, пришлось искать его перезалитую версию. В своих прошлых интернет-расследованиях я уже сталкивался с ситуацией, когда информация по приведённой мной “для доказательства” ссылке кардинально менялась. Иногда просто с течением времени, а порой и специально, чтобы мои рассуждения читателям казались беспочвенными, а пруфлинки превращались в ничто Сегодня хочу рассказать о некоторых способах создания «железобетонных пруфлинков». На полноту не претендую и за ценные советы буду признателен. Самый простой способ - это, конечно, скриншот. Желательно, чтобы на нём была видны адресная строка браузера и как можно большая часть страницы, это важно. Для Chrome есть даже специальный плагин, позволяющий «снимать» не только видимую часть страницы, но и всю её целиком. Другое дело, что картинкам большого доверия нет. Нарисовать ведь можно всё, что угодно, даже в простом MS Paint. Страницу можно ещё сохранить целиком средствами самого браузера. В зависимости от конкретного браузера результат может быть разный, но, в любом случае, этими сохраняемым файлами (а некоторые браузеры к такому файлу создают ещё и папку) крайне неудобно делится. Самым же удобным способом является, на мой взгляд, использование специализированных web-архивов. Самый старый из них - это, конечно, web.archive.org. Работает с 1996 года и сохраняет копии сайтов в автоматическом режиме. Вот, например, сайт apple.com от 22 октября 1996 года или microsoft.com от 20 октября 1996. На свой собственный блог тоже иногда бывает интересно посмотреть. Как вы, скорее всего, заметили, сайты часто сохраняются без картинок, хотя для более свежих версий обычно такого не наблюдается. Сохраняет сайты бот, так что копию сайта за нужную вам дату можно и не увидеть в архиве, но есть специальный механизм «принудительного» архивирования, доступный на главной странице проекта: Следующий web-архиватор - это peeep.us. У этого сервиса нет своего бота, так что сохраняются только те страницы, которые явно кем-то задаются. При авторизации на сервисе (через Google Account) появляется возможность создавать копии, доступные только вам лично. Вот пример ссылки, созданной этим сервисом: http://www.peeep.us/0f059dfb. Для себя выбрал его основным во многом благодаря наличию удобного bookmarklet на главной странице сервиса. Завершу сервисом archive.is. Своих личных сохранений он делать не позволяет, зато лучше работает с динамическими страницами. Типа таких: http://archive.is/https://twitter.com/%23!/medvedevrussia Ни один из способов, конечно, не позволяет пока сохранить те же ролики с YouTube, чтобы потом показать, кто, что и когда выкладывал. Так что оба видео из этого поста на всякий случай я скачал с помощью savefrom.net. Перезалью на свой канал, как вариант, если авторы откажутся от их размещения. Закончить хочу бессмысленным, возможно, призывом к жертвам любой пропаганды: “Включите обратно, пожалуйста, все, читающие это, голову”. Спасибо!

  • 14 Февраля 2014 » Читаем между адресных строк или Как узнать учредителей юридического лица
    Один из читателей моего блога поинтересовался, откуда я, когда в 2012 году писал про неанонсированный ещё тогда зонтичный бренд JaCarta, узнал, что ООО «СИС» (Сертифицированные информационные системы), которой SafeNet отдал дистрибуцию eToken, является дочерней компанией ООО «Алеро-Сервис» и ЗАО «Документальные Системы»? Два года назад данный факт стал мне известен просто в ходе вдумчивого использования поисковых систем и при небольшой доле везения - страница с нужной информацией была обнаружена на сайте Globalstat, но с тех пор информация по ссылке поменялась и утверждение, на котором в том числе строились мои тогдашние рассуждения, стало не таким очевидным. Давайте посмотрим, какие есть способы узнать учредителей интересующего нас юридического лица. Самый достоверный - это, конечно, официальный запрос выписки из ЕГРЮЛ (Единый Государственный Реестр Юридических Лиц). К сожалению, способ слишком долог и неудобен: требуется визит в налоговую (или на Госуслугах уже реализовали?), а самое срочное предоставление ответа возможно только на следующий день. Неудобство имеющихся интерфейсов взаимодействия с государственными органами вполне естественным образом привело к появлению таких вот сайтов как Globalstat, торгующих базой данных юридических лиц в розницу. Вопрос достоверности предоставляемой ими информации, конечно, под большим сомнением, но мы ведь и не в суд собираемся, а просто удовлетворяем своё любопытство, ну, или занимаемся конкурентной разведкой - кому что ближе.  Многочисленные сайты-посредники найти в сети несложно, а работают они гораздо оперативнее. Некоторые даже предлагают месячные подписки за небольшие суммы, что удобно, если для вас такие запросы - каждодневная рутина. Вместе с тем, у обоих способов (налоговая или посредники) есть важный недостаток - нужно осуществлять оплату. Потратить несколько сотен рублей не жалко, но при оплате вы утрачиваете анонимность, т.е. ваш интерес можно отследить и использовать, например, при встречной конкурентной разведке. Можно, конечно, попробовать придумать схему с анонимизацией оплаты, но она точно не ускорит процесс получения информации. С другой стороны, на сайтах этих самых посредников наверняка есть нужная нам база, надо только правильно её поискать. Сразу оговорюсь, что никакой нелегальной конкурентной разведки не будет - всё строго в рамках закона. Что же касается моральной стороны вопроса, то как вариант можно оплатить всё же услуги, но истратить деньги на случайные запросы. Итак, для начала анализа была нужна какая-то зацепка и она не сразу, но нашлась. В поисках источника информации об учредителях юридических лиц наткнулся в одном из форумов на ссылку, по которой были указаны учредители некоей фирмы. Страница была с сайта ОГРН.ру, а фирма сейчас конкретного значения не имеет. Для примера пусть это будет ООО Ежик из Магнитогорска. Если вы прошли по предыдущей ссылке, то увидели, что там не только указан состав учредителей, но и даже приведены их доли. “То, что надо!” - подумалось было мне. Ведь на сайте предусмотрен поиск, которым я тут же и воспользовался. Как ни странно, на любой мой поисковый запрос выдавалась информация только с общей информацией о юридическом лице, но учредителей не было. Как же так, почему у Ежика всё на месте, а у остальных - нет? И тогда я поискал ООО Ежик (для определённости по ИНН) и тоже не увидел учредителей. Теперь всё ясно - поиск выдаёт страницу с ограниченной информацией, а полная доступна, видимо, только за деньги со всеми вытекающими рисками по деанонимизации вашего интереса. Вернее, доступна она всем желающим, да вот только её адрес сообщается лишь оплатившим. Что ж, самое время посмотреть, что там происходит в адресной строке браузера, тем более, что опыт по «Взлому Gartner через адресную строку» уже есть. Страница с ограниченной информацией (открывается при просмотре результатов поиска) находится здесь: http://www.ogrn.ru/info_egrul/search/5n49p166ns1 Страница со всеми данными (этот адрес скрыт от постороннего пользователя) здесь: http://ogrn.ru/info_egrul/company/1fa661c94a5 Вам не кажется, что у адресов есть что-то общее? Начало в каждом из них вполне "читаемо" и , в общем-то, вопросов не вызывает, но вот эти две последовательности… Нет идей, как 5n49p166ns1 превратить в 1fa661c94a5 ? Первое, что заметно - цифры в последовательностях идут строго в обратном порядке, да и буквы стоят на тех же местах, как если бы последовательность просто перевернули, вот только буквы другие: s заменено на f, n на a, p на c, а n опять на a. Ба! Да это же простой сдвиг на 13 символов! Собственно, теперь понятно как выглядит алгоритм поиска учредителей российской компании: Ищем юридическое лицо по названию, ИНН или ОГРН. Смотрим на получившийся адрес. Переворачиваем последовательность символов из адресной строки. Заменяем буквы в последовательности на соответствующие, пользуясь сдвигом. Перед последовательностью дописываем http://ogrn.ru/info_egrul/company/ Узнаём всю правду. Попробуем на примере Сертифицированных Информационных Систем. Удобнее всего искать по ИНН (7724631677), который можно узнать, например, из скана выданных лицензий. Малоинформативная страница открывается по адресу http://www.ogrn.ru/info_egrul/search/88pn29898n2 Обрабатываем последовательность: 88pn29898n2 -> 2n89892np88 -> 2a89892ac88, получаем нужный адрес http://ogrn.ru/info_egrul/company/2a89892ac88 и наслаждаемся результатом. Собственно, этот пост является очередной иллюстрацией того, что при должной внимательности можно узнать много интересного, просто изучая адресную строку браузера. Но в конце, конечно же, не могу не поделится более простым способом получения нужной информации об учредителях юридического лица с сайта ОГРН.ру. Как это ни странно, страницы с детальной информацией об учредителях не закрыты от индексирования поисковиками, и простой запрос в Google даёт искомый результат гораздо быстрее: «7724631677 site:http://ogrn.ru/info_egrul/company» Искать, кстати, можно не только по ИНН и названию, но и, скажем, по фамилии (желательно с именем и отчеством), чтобы получить представление об имеющихся у кого-то бизнесах. Такой вот нехитрый способ узнать, возможно, что-то новое об интересующей вас компании. Не забывайте только, что нет никакой гарантии достоверности получаемой информации, а владение юридическое и реальное вполне могут различаться. Да, и, пожалуйста, не злоупотребляйте беспечностью владельцев ОГРН.ру - используйте описанный способ только для анонимизации своих запросов и компенсируйте по возможности их потери от утраты вас как клиента заказом у них услуг хотя бы на небольшую сумму.