УДК 519.85:372.851
ҚАЗІРГІ БІЛІМ БЕРУ ТЕХНОЛОГИЯЛАРЫН ЕНГІЗУ, БІЛІКТІЛІК АРТТЫРУДА ВЕБИНАРЛАРДЫ ӨТКІЗУ (e-learning)
INTRODUCTION OF THE MODERN EDUCATIONAL
TECHNOLOGIES, CARRYING OUT WEBINARS
(e-learning) IN PROFESSIONAL DEVELOPMENT
ВНЕДРЕНИЕСОВРЕМЕННЫХ ОБРАЗОВАТЕЛЬНЫХ
ТЕХНОЛОГИЙ, ПРОВЕДЕНИЕ ВЕБИНАРОВ
(e-learning) В ПОВЫШЕНИИ КВАЛИФИКАЦИИ
Муканова Р.А. Филиал АО национального центра повышения квалификации
«Өрлеу» институт повышения квалификации педагогических
кадров по Акмолинской области
Аннотация
В данной статье рассматриваются вопросы по использованию возможностей информационных технологий, в частности проведение вебинаров, для повышения качества казахстанского образования и обеспечения равного доступа гражданам на получение образования всех уровней и ступеней.
Аңдатпа
Аталған мақалада ақпараттық технологиялардың мүмкіншіліктерін қолдану бойынша, әсіресе қазақстандық білім беру сапасын арттыру және барлық деңгей және сатыларында азаматтардың бірдей білім қамтамасыз ету мәселелерін қарастыруда.
Annotation
This article discusses the use of information technologies, in particular, holding webinars to improve Kazakhstan's education and ensure equal access to education for citizens at all levels and stages.
Основной целью информатизации системы образования Республики Казахстан является создание единой образовательной информационной среды в республике, позволяющей на основе использования новых информационных технологий повысить качество казахстанского образования, обеспечить равные возможности гражданам на получение образования всех уровней и ступеней, а также интегрировать информационное пространство Республики Казахстан в мировое образовательное пространство.
Сегодня должна быть создана, апробирована и введена единая образовательная информационная система, которая позволит создать условия для повышения качества казахстанского образования за счет эффективного использования современных информационных технологий.
Одна из главных задач школьного образования сегодня - подготовить учащегося к быстрому восприятию и обработке больших объемов информации, вооружить его современными средствами и технологиями работы, сформировать у него информационную культуру. И этим должен заниматься каждый педагог, а не только учитель информатики.
Но внедрение информационных технологий - вопрос сложный. Существенным препятствием на пути применения современных технологий в учебном процессе является низкая компьютерная грамотность участников этого процесса. Решением этой проблемы и является внедрение электронных образовательных технологий, электронной системы обучения е - learning в Республике Казахстан.
Значение буквы «e» весьма обширно и достаточно часто встречается в контексте современного образования. Использование «е» в термине е - learning, означает e - (lectronic) - электронное learning - обучение. Е - (lectronic) learning представляет средства, с помощью которых мы получаем доступ к учебным материалам. Это могут быть web технологии (on - line обучение), либо мультимедийные платформы CD - ROM или DVD (off - line обучение).
Электронное обучение не имеет каких - либо отраслевых ограничений в применении. Вопрос заключается только в том, что эффективность этой формы обучения может различаться в зависимости от конкретных факторов, из которых складывается ситуация.
Наиболее распространенными причинами использования электронного обучения являются:
-
сокращение косвенных издержек связанных с контактным обучением (оплата командировок, проживания, аренды зала);
-
решение проблемы с обучением географически распределенного персонала, партнеров и клиентов;
-
возможность обеспечивать обучение в любое время и независимо от преподавателя; возможность гарантировать единообразие учебного контента для всех участников.
Безусловно, электронное обучение обладает своими преимуществами, но так же обладает и недостатками. Преимущества определяются невысокой стоимостью эксплуатации, отсутствием географических и временных ограничений, широкими возможностями использования мультимедиа, мобильностью, широким ассортиментом средств контроля, легкостью обновления содержания.
Вебинар - слово, образованное от “web” плюс “seminar” и применяется для обозначения различных онлайновых мероприятий: семинаров, конференций, дискуссий, встреч, презентаций, а в некоторых случаях - тренингов и сетевых трансляций тех или иных событий. В ходе вебинара связь между участниками поддерживается через Интернет, с помощью установленного на компьютере или специального веб - приложения. Возможности для взаимодействия участников с ведущими вебинара и друг с другом могут быть более или менее разнообразными. Довольно часто голосовая связь включена только у ведущих, а участники могут высказываться в текстовом чате, отвечать на вопросы, голосовать, иногда - рисовать на слайдах текстовой презентации. В других случаях все участники могут общаться голосом, или даже видеть друг друга с помощью веб - камер. Однако, так делают реже, чтобы дискуссией было легче управлять и в целях экономии интернет - траффика. Кроме того, нередко используется возможность совместного использования приложений участниками вебинара.
Что касается технологических решений для проведения вебинаров, они представлены в широком разнообразии. Это могут быть и веб - сервисы, то есть располагаться на сервере компании - поставщика и поддерживаться ею, и коробочные решения - то есть заказчик может разместить его на собственном сервисе и самостоятельно управлять им. Наиболее актуальным в области решений и сервисов для организации и проведения различных мероприятий в режиме on - line является портал www.sabak.kz, где каждая область имеет свои комнаты и имеют правa модератора.
Вебинары - это формат мероприятий, обладающий немалым числом неоспоримых преимуществ, особенно для корпоративного обучения.
Прежде всего, для того, чтобы собрать людей для участия в вебинаре, не нужно просить их никуда ехать, не нужно заботиться о помещении для проведения мероприятия, проживании ведущих у частников и множестве иных, связанных с этим, вопросах. Это позволяет очень существенно сократить расходы, что, конечно же, всегда является весомым аргументом для любой организации. Да и самим участникам удобно участвовать в таком учебном мероприятии, которое не требует от них никаких излишних усилий, не связанных с самим обучением. А для многих людей, которым в силу различных причин затруднительно было бы ехать ради мероприятия в другой город, вебинары могут стать единственным источником постоянного участия в мероприятиях интересующей их тематики. Немаловажно и то, что любой вебинар с лёгкостью может быть записан и впоследствии использован для множества целей - формирования внутренней корпоративной библиотеки знаний, выкладывания в Интернет в открытый для всех или только для участников доступ, анализа ведущим своего поведения, чтобы совершенствовать в будущем свои стиль и технику, и так далее. Так или иначе, записи вебинаров позволяют сохранить полученные знания, идеи, опыт.
Еще одно преимущество вебинаров состоит в том, что в одном мероприятии этого формата может участвовать куда больше человек, нежели в очном семинаре или тренинге. Ограничение на число участников обусловлено только возможностями того или иного технологического решения и условиями пользования им. В то время как в случае с очным форматом никуда не уйти от вопроса вместимости помещений, в которых проходит обучение, стоимости их аренды и подготовки, возможности ведущего работать с большой аудиторией, да и просто, например, читать лекцию так, чтобы всем было слышно и видно. С другой стороны, на такие мероприятия, которые требуют выраженного внимания к динамике взаимодействия участников между собой или подразумевают обучение умениям, формат вебинара накладывает понятные ограничения.
И все - таки возможности вебинаров вполне сравнимы с возможностями очного обучения. Видео и аудио связь, изображения, слайдовые презентации, опросы и голосования, доски для рисования и комментариев, текстовый чат, совместное пользование приложениями, - единственное, чего в вебинаре может не хватать, это личностный компонент, психологический контакт между ведущим и участниками. Однако это - вопрос мастерства, а не технологии.
В заключение хотелось бы отметить, что перспективы развития информатизации образования в Казахстане, определенные Государственной программой и введением электронного обучения как системообразующего методологического подхода в модернизации системы образования, огромны и все более приближаются к международным стандартам.
ЛИТЕРАТУРА
-
Государственная Программа развития образования Республики Казахстан на 2011 - 2020 годы.
-
Абдулгалимов Г.Л., Бакмаев Ш.А., Везиров Т.Г. / Информационные технологии в процессе подготовки современного специалиста: Межвузовский сборник. - Липецк: ЛГПУ, 2001. - Вып. 4. - Том 1. - С.5 - 14.
-
Сайт виртуального портала E - learning.
УДК 044.77
ЭЛЕКТРОНДЫҚ ПОШТАҒА РҰҚСАТ ЕТІЛМЕГЕН СПАМ ЖІБЕРУ
НЕСАНКЦИОНИРОВАННАЯ РАССЫЛКА СПАМА НА
ЭЛЕКТРОННУЮ ПОЧТУ
UNSANCTIONED MAIL OUT OF SPAM TO E-MAIL BOXES
Есмагамбет М.Г. - к.ф - м.н, Кангужинова Д.А.
Кокшетауский университет им. Абая Мырзахметова
Аңдатпа
Бұл мақалада электрондық поштаға руқсат етілмеген хабарламалар жіберу қарастырылады.
Аннотация
В данной статье рассматривается несанкционированная рассылка сообщений на электронную почту.
Annotation
Unsanctioned mail out to e - mail boxes is considered in this article.
За последнее десятилетие электронная почта стала таким же привычным средством делового общения, как телефон и факс. Бесперебойная работа почтовых систем порой даже важнее для деятельности компании, чем телефонная связь. Количество электронных сообщений зачастую многократно превышает число звонков. Однако распространяемая вместе с ними вредоносная информация, прежде всего вирусы и спам, нарушают нормальную работу корпоративной системы ИТ. И хотя некоторые эксперты уверяют, что злоумышленники теряют интерес к электронной почте и переключаются на Web, спама и вирусов не становится меньше. До сих пор большинство почтовых систем функционируют на базе давно существующих протоколов, что позволяет, наряду с подменой адресов отправителя и других манипуляций с системной информацией, использовать электронные письма в корыстных целях. Различные программные и аппаратные средства, призванные надежно защитить почтовые ящики, выпускают многие известные компании.
Спам заслуженно считается одной из важных проблем Интернета. Более 80% всех получаемых электронных писем являются спамом, т.е. ненужными пользователю. Природа спама такая же, как у телевизионной рекламы, и пока рассылка спама приносит деньги, вряд ли он может быть искоренен.
Чаще всего под словом «спам» подразумевают только письма рекламного характера, но это не совсем верно. Некоторые виды сорных писем рассылаются с целью кражи персональных данных для доступа к платежным и иным системам. Криминализации спама способствует и тот факт, что инициаторов рассылок нелегко найти из - за анонимности писем, а значит, киберпреступники могут рассчитывать на безнаказанность. Услугами спамеров активно пользуются продавцы контрафактной или поддельной продукции, поставщики незаконных услуг и вирусописатели.
С помощью фишинговых рассылок спамеры пытаются заполучить персональные данные пользователя: имена, пароли (обычно к системам онлайновых платежей), номера и PIN - коды кредитных карт. Чаще всего мишенями фишинговых атак становятся пользователи Internet - банкинга и платежных систем. Фишинговые письма имитируют сообщения банков, финансовых компаний, платежных систем. Как правило, они содержат ссылку на поддельную страницу и под тем или иным предлогом призывают получателя ввести свои данные. Для того чтобы жертва не догадалась об обмане, страница оформляется точно так же, как сайт организации, от имени которой сообщение рассылается (адрес отправителя также подделывается).
В некоторых случаях после введения и отправки данных браузер пользователя перенаправляется на настоящий сайт, чтобы жертва не заподозрила неладное. Иногда пользователь попадает на зараженную эксплоитом страницу. Используя уязвимость программного обеспечения, эксплоит устанавливает на его компьютере троянскую программу для сбора различной информации (например, о кодах доступа к счетам). Кроме того, зараженная таким образом машина может стать частью зомби - сети и использоваться для осуществления кибер - атак или рассылки спама.
Для обмана тех, кто обращает внимание не только на внешний вид, но и на адреса посещаемых сайтов, фишеры маскируют URL, стараясь сделать их похожими на оригинальные. Поначалу на бесплатных хостингах регистрировались имена доменов, схожих с именами доменов сайтов атакуемых организаций, однако со временем стали применяться все более изощренные методы.
Впрочем, фишеры не брезгуют и примитивными вариантами обмана. Например, пользователю приходит сообщение, в котором от имени администрации или службы техподдержки того или иного сервиса предлагается срочно прислать пароль от его учетной записи на указанный в письме адрес — как правило, под предлогом ее вынужденного закрытия. В «Рунете» этот прием используется в основном для получения доступа к почтовым аккаунтам. Стоит отметить, что, контролируя почту пользователя, мошенники через системы напоминания пароля могут завладеть и его регистрационными данными на других Internet - сервисах.
Впрочем, со временем пользователи поняли, что серьезные компании никогда не запрашивают пароли по электронной почте, и эффективность ловушек такого рода стала падать. В настоящее время спамеры стремятся тщательнее маскировать письма - подделки, в результате получателям становится все труднее отличить их от легитимных сообщений.
Помимо фишинга, мошенники придумали множество других уловок, позволяющих заманить незадачливых пользователей в ловушки. Чаще всего спамеры стараются сыграть на наивности и жадности своих потенциальных жертв. Для достижения своих целей они используют различные схемы, и самые распространенные из них мы рассмотрим подробнее.
«Нигерийские» письма»
В классической «нигерийской» схеме спамеры рассылают письма от имени представителя знатной семьи (как правило, проживающей в каком - либо африканском государстве), попавшей в трудное положение по причине гражданской войны / государственного переворота / экономического кризиса / политических преследований. К адресату обращаются с просьбой о помощи: надо «спасти» крупную сумму денег, переведя ее со счета опального семейства на другой счет. За услугу по переводу денег мошенники обещают солидное вознаграждение — как правило, проценты от переводимой суммы.
В ходе «спасательной операции» выясняется, что добровольному (хотя и небескорыстному) помощнику придется перевести небольшую — по сравнению с обещанным вознаграждением — сумму для оформления перевода / дачи взятки / оплаты услуг юриста и т.п. Как правило, после перечисления денег дальнейшие контакты прекращаются. Иногда жертву вынуждают раскошелиться несколько раз под предлогом очередных непредвиденных осложнений.
«Ошибки» в платежных системах
В сорных письмах этого вида пользователю сообщается о том, что в некоторой платежной системе обнаружена уязвимость, позволяющая «извлекать прибыль». Далее идет описание сути уязвимости и предлагается рецепт заработка. Как правило, для начала надо отправить определенную сумму на указанный счет. Пользователю обещают фантастический — удвоенный, утроенный и т.д. — доход. Разумеется, «волшебный» кошелек принадлежит мошенникам, а заявление в милицию от пострадавшего может быть только таким: «Я пытался взломать платежную систему и в результате лишился денег».
Еще один вариант — программа - генератор номеров кредитных карт для скрытого списания денег с чужих счетов / кошельков и т.п. За программу необходимо заплатить, однако один - три счета можно якобы взломать бесплатно, чтобы получить представление о том, как она работает. Подвох заключается в том, что в качестве исходных данных необходимо ввести номер своей карты / кошелька и пароль. При попытках такого «взлома» введенные данные передаются злоумышленникам, что позволяет им перевести деньги со счета или электронного кошелька любителя легкой наживы.
Схема, в которой мошенники предлагают программу - генератор кодов карт для оплаты услуг сотовой связи или подключения к Internet, аналогична предыдущей, но в «генератор кодов» надо ввести код еще не активированной карты, который послужит образцом для «размножения».
Заманчивые предложения быстрого заработка
Как правило, в тексте такого письма говорится о финансовой пирамиде: пользователю предлагается заплатить отправителю (куратору) некую сумму, а потом переслать письмо дальше, получив такую же сумму с каждого из адресатов (стать их куратором) плюс какую - то часть прибыли от своих «подопечных» еще более низкого уровня. Безусловно, таким образом аферисты заставляют доверчивых людей расстаться со своими деньгами.
Несколько более хитрый способ придумали создатели поддельных рабочих мест: будущему сотруднику обещают высокие доходы, причем подтверждения квалификации обычно не требуется, зато его просят выслать определенную сумму за предоставление подробной информации или на почтовые расходы и призывают поторопиться, так как вакантное место может занять кто - то другой.
Иногда проводятся целевые атаки: «выгодные предложения» рассылаются на адреса пользователей, разместивших свои данные на специализированных сайтах. Претендентам предлагают принять участие в реальном международном проекте. Как правило, упоминаемый бизнес имеет прямое отношение к роду деятельности соискателя или его деловым контактам и требует от него профессионализма и опыта. Но затем неизменно наступает этап оплаты «административных расходов»...
SMS короткие номера
Параллельно с использованием мошеннических схем, характерных для западного сегмента Internet, мошенники «Рунета» изобретают новые способы выманивания денег. В частности, они арендуют у операторов мобильной связи короткие номера и рассылают спам, задача которого — спровоцировать отправку SMS - сообщений на арендованный номер. Схема основана на том, что при отправке SMS на короткий номер со счета отправителя автоматически снимается определенная сумма денег, и часть ее получает арендатор номера. С этой целью применяются различные уловки: от предложений бесплатного доступа в Internet и обещаний выигрыша до угроз заблокировать почтовый ящик, если пользователь не пошлет SMS.
Иногда организаторы рассылок предлагают получателям «отписаться» от спама, ссылаясь на действующий закон «О рекламе», или исключить свой адрес из спамерских баз, выслав якобы бесплатное сообщение SMS. В одном из таких писем спамер обещал, что после отправки SMS пользователь получит ссылку на страницу Web, где якобы опубликованы спамерские базы адресов, и сможет удалить из них свой адрес электронной почты. Очевидно, что вовсе не соблюдение закона было главной целью автора писем!
При более сложных комбинациях в письме может содержаться только ссылка на специально созданный спамерами сайт. На сайте пользователю (уже вовлеченному, например, в процесс получения «выигрыша») предлагается выслать сообщение SMS на короткий номер. Такое удлинение и усложнение схемы, ведущей к желанной для спамера отправке SMS, призвано усыпить внимание наиболее бдительных адресатов.
Не следует забывать известную пословицу о бесплатном сыре в мышеловке, и если уж фильтр спама пропускает подобные письма, никогда на них не отвечать — лучше удалять, не читая, чтобы не поддаваться соблазну.
Спам несомненно является результатом неконтролируемой и непредсказуемо развивающейся глобальной сети.
Эффективные средства борьбы со спамом давно известны - необходимо просто сделать его экономически невыгодным и проблема исчезнет. Но проблема заключается именно в том, что нет возможности претворить это в жизнь - сети стали практически неконтролируемы.
Тем не менее, эта проблема может быть решена в результате глобального контроля сетей, как глобального, так и местного масштаба.
ЛИТЕРАТУРА
-
Вильям Столлингс. Компьютерные сети, протоколы и технологии Интернета. - СПб.: БХВ - Петербург, 2005. - 832 с.
-
Гребешков А. Ю. Стандарты и технологии управления сетями связи. - М.: Эко - Трендз, 2003. - 288 с.
-
Закер К. Компьютерные сети. Модернизация и поиск неисправностей. - СПб.: БХВ - Петербург, 2001 - 1008 с.
-
Парфенов Ю. А., Мирошников Д. Г. Цифровые сети доступа. - М.: Эко - Трендз, 2005. - 400 с.
УДК 044
ЭЛЕКТРОНДЫҚ ПОШТАНЫ РУҚСАТ ЕТІЛМЕГЕН
ХАБАРЛАМАЛАР ЖІБЕРУДЕН ҚОРҒАУ ЖОЛДАРЫ
СПОСОБЫ ЗАЩИТЫ ОТ НЕСАНКЦИОНИРОВАННОЙ РАССЫЛКИ СООБЩЕНИЙ ЭЛЕКТРОННОЙ ПОЧТЫ
WAYS OF PROTECTION AGAINST UNSANCTIONED MAIL
OUT OF E-MAILS
Есмагамбет М.Г., к.ф - м.н, Кангужинова Д.А.
Кокшетауский университет им. Абая Мырзахметова
Аңдатпа
Бұл мақалада электрондық поштаға руқсат етілмеген хабарламалар жіберуден қорғау жолдары қарастырылған.
Аннотация
В данной статье рассматриваются способы защиты от несанкционированной рассылки сообщений электронной почты.
Annotation
Ways of protection against unsanctioned mail out of e - mails are considered in this article.
На сегодняшний день многие пользователи электронной почты сталкиваются со следующими проблемами: спам, вирусы, разнообразные атаки на конфиденциальность писем и т.д. С этими проблемами приходится иметь дело и пользователям общедоступных публичных систем, и организациям.
Практика показывает, что одномоментное решение проблемы защиты электронной почты невозможно. Спамеры, создатели и распространители вирусов, хакеры изобретательны, и уровень защиты электронной почты, вполне удовлетворительный вчера, сегодня может оказаться недостаточным. Для того чтобы защита электронной почты была на максимально возможном уровне, а достижение этого уровня не требовало чрезмерных усилий и затрат, необходим систематический и комплексный, с учетом всех угроз, подход к решению данной проблемы.
Сегодня доступно множество программных продуктов, в том и числе и бесплатных, предназначенных для борьбы с этой угрозой. Самыми яркими представителями антивирусных средств можно назвать продукты компании «Лаборатория Касперского», на основе которых осуществляется защита от вирусов, встраиваемая в почтовые клиенты и публичные почтовые системы. Что же касается решений по борьбе со спамом, здесь возможно несколько вариантов защиты.
Можно реализовать систему фильтров, позволяющих отсекать входящую корреспонденцию по адресу, теме или содержанию письма. Фильтры обычно размещаются на клиентской стороне, и пользователь сам может задавать необходимые параметры. В качестве примера можно назвать системы Spam Buster производства компании Contact Plus, MailWasher, Active Email Monitor (VicMan Software), eMailTrackerPro (Visualware), Spamkiller (Novasoft) и др. Кроме фильтрации спама такие программы могут выполнять функции очистки почтового ящика, проверки почты, чтения заголовков писем и т.д.
Система фильтров устанавливается на почтовом сервере; в таком случае напоминающие спам письма отсекаются еще до попадания в ящик пользователя. Также может быть реализована защита на основе «спам - листов», содержащих список Internet - провайдеров, с адресов которых производится несанкционированная рассылка рекламного характера. Примерами могут служить служба Mail - Filtering Service проекта Mail Abuse Prevention Project и Realtime Blackhole List, база данных по открытым почтовым серверам (под открытостью в данном случае понимается отсутствие адекватного администрирования, что приводит к неконтролируемым рассылкам спама через такие почтовые серверы).
Создать систему антивирусной и антиспамовой защиты в общем - то несложно как для пользователя общедоступной коммуникационной среды, так и для ИТ - подразделения организации, развернувшей на своей вычислительной инфраструктуре корпоративную почтовую систему. После выбора и установки средств антивирусной и антиспамовой защиты самое главное — их аккуратное и своевременное обновление. Главное помнить, что мысли вирусописателей не стоят на месте, а спамеры день ото дня становятся все активнее.
Предпосылки некоторых проблем, связанных непосредственно с конфиденциальностью почтовых сообщений, закладывались при возникновении электронной почты три десятилетия назад. Во многом они не разрешены до сих пор.
Ни один из стандартных почтовых протоколов (SMTP, POP3, IMAP4) не включает механизмов защиты, которые гарантировали бы конфиденциальность переписки.
Отсутствие надежной защиты протоколов позволяет создавать письма с фальшивыми адресами. Нельзя быть уверенным на 100% в том, кто является действительным автором письма.
Электронные письма легко изменить. Стандартное письмо не содержит средств проверки собственной целостности и при передаче через множество серверов, может быть прочитано и изменено; электронное письмо похоже сегодня на открытку.
Обычно в работе электронной почты нет гарантий доставки письма. Несмотря на наличие возможности получить сообщение о доставке, часто это означает лишь, что сообщение дошло до почтового сервера получателя (но не обязательно до самого адресата).
С появлением Сети родился стереотип, что до сообщений, пересылаемых по электронной почте, добраться труднее, чем до бумажных документов. Часты аргументы: «мою переписку никто не поймет», «она никому не нужна» и т.д. Как оценить информацию? Сколько стоит, к примеру, виртуальная копия налоговой декларации или реквизиты банковского счета, пересылаемые в страховую компанию? Очень часто ценность открыто пересылаемых данных намного превышает стоимость доступа к ним. Никто не даст гарантии, что персонал Internet - провайдеров и коммуникационных узлов не использует свой доступ к чужой переписке в корыстных (или просто неблаговидных) целях, а злоумышленники могут извлечь массу конфиденциальных сведений из совершенно бесполезного, на первый взгляд, текста. Так, стоит только конкурентам заплатить за перехват почты, и работа дилерской сети может расстроиться, а потенциальные партнеры получат выгодные предложения от другой организации.
Какие наиболее типичные средства используют хакеры для атак систем электронной почты? Это могут быть «снифферы» (sniffer — дословно «тот, кто нюхает»), которые представляют собой программы, перехватывающие все сетевые пакеты, передающиеся через определенный узел. Снифферы используются в сетях на вполне законном основании для диагностики неисправностей и анализа потока передаваемых данных. Ввиду того, что некоторые сетевые приложения, в частности почтовые, передают данные в текстовом формате (SMTP, POP3 и др.), с помощью сниффера можно узнать текст письма, имена пользователей и пароли.
Другой способ — IP - спуфинг (spoofing) — возможен, когда злоумышленник, находящийся внутри организации или вне ее выдает себя за санкционированного пользователя. Атаки IP - спуфинга часто являются отправной точкой для других атак, например, DoS (Denial of Service — «отказ в обслуживании»). Обычно IP - спуфинг ограничивается вставкой ложной информации или вредоносных команд в обычный поток передаваемых по сети данных. Это происходит в случае, если главная задача состоит в получении важного файла. Однако злоумышленник, поменяв таблицы маршрутизации данных и направив трафик на ложный IP - адрес, может восприниматься системой как санкционированный пользователь и, следовательно, иметь доступ к файлам, приложениям, и в том числе к электронной почте.
Атаки для получения паролей можно проводить с помощью целого ряда методов, и хотя входное имя и пароль можно получить при помощи IP - спуфинга и перехвата пакетов, их часто пытаются подобрать путем простого перебора с помощью специальной программы.
Еще один тип атаки на конфиденциальность — Man - in - the - Middle («человек в середине») — состоит в перехвате всех пакетов, передаваемых по маршруту от провайдера в любую другую часть Сети. Подобные атаки с использованием снифферов пакетов, транспортных протоколов и протоколов маршрутизации проводятся с целью перехвата информации, получения доступа к частным сетевым ресурсам, искажения передаваемых данных. Они вполне могут использоваться для перехвата сообщений электронной почты и их изменений, а также для перехвата паролей и имен пользователей.
И, наконец, атаки на уровне приложений используют хорошо известные слабости серверного программного обеспечения (sendmail, HTTP, FTP). Можно, например, получить доступ к компьютеру от имени пользователя, работающего с приложением той же электронной почты.
Основные методы и средства защиты электронной почты.
Для защиты сетевой инфраструктуры используется немало всевозможных заслонов и фильтров: SSL (Secure Socket Layer), TSL (Transport Security Layer), виртуальные частные сети. Основные методы защиты от атак хакеров строятся именно на основе этих средств. Это, прежде всего, сильные средства аутентификации, например, технология двухфакторной аутентификации, при которой происходит сочетание того, что у вас есть, с тем, что вы знаете. Эта технология используется, например, в работе обычного банкомата, который идентифицирует по карточке и по коду. Для аутентификации в почтовой системе тоже потребуется «карточка» — программное или аппаратное средство, генерирующая по случайному принципу уникальный однократный пароль. Его перехват бесполезен, поскольку он будет уже использован и выведен из употребления. Однако такая мера эффективна только против перехвата паролей, но не против перехвата другой информации (например, сообщений электронной почты).
Другие средства защиты заключаются в эффективном построении и администрировании сети. Речь идет о построении коммутируемой инфраструктуры, мерах контроля доступа и фильтрации исходящего трафика, закрытии «дыр» в программном обеспечении с помощью модулей «заплаток» и регулярном его обновлении, установке антивирусных программ и многом ином.
И, наконец, самый эффективный метод — криптография, которая не предотвращает перехвата информации и не распознает работу программ для этой цели, но делает эту работу бесполезной. Криптография также помогает от IP - спуфинга, если используется при аутентификации. Наиболее широко для криптографической защиты передаваемых по каналам связи данных, включая письма электронной почты, применяется протокол SSL, в котором для шифрования данных используются ключи RSA. Однако SSL защищает письма только при передаче; если не используются другие средства криптозащиты, то письма при хранении в почтовых ящиках и на промежуточных серверах находятся в открытом виде.
Обеспечение защиты электронной почты стало важной частью не только обычных пользователей электронной почты, но и дляобщей защиты инфраструктуры предприятия. Организация может защитить свою электронную почту, предлагая пользователям одну из следующих возможностей, либо используя их обе:
Цифровые подписи электронной почты.
Шифрование электронной почты.
Первая стадия защиты электронной почты вашей организации для пользователей заключается в том, чтобы в цифровом виде подписать их сообщения, используя сертификат. Цифровые сигнатуры включают в себя три важных принципа защиты:
Проверка: Когда пользователь посылает электронную почту, которая подписана цифровой подписью, получатель может немедленно подтвердить личность отправителя.
Защита от отказа: Отправитель не сможет отрицать, что он или она отправляли данное письмо.
Целостность содержания: Добавление цифрового представления к электронному письму гарантирует, что любые последующие изменения содержимого сообщения будут немедленно обнаружены. Цифровая подпись электронного письма не изменяет фактическое содержание тела письма в любом виде. Netscape Messenger, Microsoft Outlook и Outlook Express, а также коммерческие продукты, такие как MailSecure (Baltimore Technologies), дают пользователям возможность подписывать личные сообщения. Настроив опции безопасности электронной почты, пользователь сможет автоматически подписывать исходящие сообщения. Каждый сертификат связан с ключевой парой, состоящей из открытого ключа, доступного любому, и личного ключа, доступного только владельцу сертификата.
Пользовательский сертификат и связанный с ним личный ключ требуются для подписи электронной почты. Когда электронное письмо посылается получателю, копия сертификата отправителя и его соответствующий открытый ключ посылается вместе с ним.
Вторая стадия в обеспечении защиты корпоративной электронной почты должна гарантировать защиту содержимого сообщений, шифруя их, а также подписывая. Зашифрованное сообщение не читаемо до тех пор, пока оно не расшифровано. Чтобы зашифровать сообщение, отправитель должен иметь копию открытого ключа получателя. Зашифрованное сообщение может быть расшифровано и прочитано только владельцем соответствующего личного ключа. Теперь, когда Алиса послала Бобу подписанное сообщение, Боб имеет ее открытый ключ и может использовать его для зашифровки сообщений, которые он пошлет обратно Алисе. Алиса может расшифровать сообщение, используя соответствующий личный ключ, и сможет прочесть содержимое письма.Всякий раз, когда пользователи принимают письмо с цифровой подписью, они могут сохранять сертификат отправителя и его общий ключ в их адресной книге для электронной почты. Также пользователи могут просматривать список каталогов в сети, содержащих открытые ключи и сертификаты, и использовать их для отправки зашифрованной электронной почты.
Совокупность всех этих методов и средств можно представить как многоуровневую систему защиты электронной почты.
ЛИТЕРАТУРА
-
Вильям Столлингс. Компьютерные сети, протоколы и технологии Интернета. - СПб.: БХВ - Петербург, 2005. - 832 с.
-
Закер К. Компьютерные сети. Модернизация и поиск неисправностей. - СПб.: БХВ - Петербург, 2001 - 1008 с.
-
Ирвин Дж., Харль Д.Передача данных в сетях: инженерный подход: Пер. с англ. СПб.: БХВ - Петербург, 2003. - 448 с.
Достарыңызбен бөлісу: |