· Адреси електронної пошти в Інтернеті легко підроблювати. Практично не можна сказати напевно, хто написав і послав електронний лист тільки на основі його адреси.

· Електронні листи можуть бути легко модифіковані. Стандартний SMTP-письмо не містить засобів перевірки цілісності.

· Існує ряд місць, де вміст листа може бути прочитане тими, кому воно не призначене. Електронний лист швидше схоже на листівку - його можуть прочитати на кожній проміжній станції.

· Зазвичай немає гарантій доставки електронного листа. Хоча деякі поштові системи надають вам можливість отримати повідомлення про

доставку, часто такі повідомлення означають лише те, що поштовий сервер одержувача (а не обов'язково сам користувач) отримав повідомлення.

Ці вразливі місця роблять важливим для організації розробку політики, що визначає допустиме використання електронної пошти для комерційних цілей.

4.5. Публікація інформації

Інтернет серйозно спрощує завдання надання інформації громадянам суспільства, клієнтам організації і діловим партнерам - принаймні тим, хто має комп'ютер, підключений до Інтернету. Сьогодні в США близько 35 відсотків будинків мають персональні комп'ютери, і лише половина з них підключена до Інтернету. Напевно тільки через декілька років електронна публікація зможе наздогнати публікацію в газетах і журналах.

Проте, будь-яке використання засобів електронної публікації інформації, яке зменшує число запитів інформації по телефону або поштою, може допомогти організації скоротити витрати на цю статтю і принести додаткові прибутки. Існують два види публікації інформації - примусова і за ініціативою читача. Підписка на журнали - приклад примусової публікації - інформація регулярно посилається підписчикам. Газетні кіоски - приклад публікації за ініціативою читача - читачі повинні захотіти отримати інформацію.

Електронний еквівалент примусової публікації - створення списку розсилки, в якому інформація посилається всім, підписаним на цей список. Зазвичай для посилки повідомлень в список розсилки, а також для включення в список розсилки або видалення з нього використовується спеціальна програма - сервер списку розсилки. Сервера списків розсилки відносно безпечні в тому відношенні, що користувачам не потрібно мати з'єднання з мережею організації, що публікує інформацію, для отримання інформації. Проте, вони мають декілька вразливих місць:

· Програма-сервер розсилки обробляє дані від користувачів для включення їх в список, для видалення з їх списку, або отримання інформації про сам список. Існує багато безкоштовних програм-серверів розсилки, і ряд з них не перевіряє до кінця введені користувачем дані. Зловмисники можуть послати команди Unix або дуже великі рядки для того, щоб викликати непередбачені режими роботи або зробити проникнення шляхом переповнювання буфера.

· При неправильній конфігурації сервер розсилки може зробити видимим список підписчиків для кожного підписчика. Це може дати інформацію для проведення надалі атаки "відмова в обслуговуванні" або "соціальна інженерія"

Існує два електронні еквіваленти публікації за ініціативою читача, використовуваних в Інтернеті, - FTP-серверы і WWW-серверы. Обидва вони успішно замінили електронні дошки оголошень(BBS), хоча ряд BBS все ще використовуються в урядових установах США.

Для надання FTP-сервиса в Інтернеті, практично все, що потрібне - це комп'ютер і підключення до Інтернету. FTP-сервера можуть бути встановлені на будь-який комп'ютер, що працює під управлінням Unix, а також на багато, що працюють під управлінням Microsoft Windows. Є багато комерційних і безкоштовних версій програм для FTP, часто як частина стека TCP/IP, що забезпечує драйвери для підключення до сервісів Інтернет. Вони можуть дозволяти здійснювати повністю анонімний доступ, де не потрібні паролі, або вони можуть конфігуровані так, що вимагатимуть для отримання доступу до сервісу пари ім'я-пароль. FTP-сервера забезпечують простій інтерфейс, що нагадує стандартний інтерфейс Unix для роботи з файлами. Користувачі можуть отримати файли, а потім проглянути їх або виконати, якщо у них є відповідні програми.

Якщо FTP-сервер неправильно конфігурований, він може надавати до будь-якого файлу на комп'ютері-сервері, або навіть в мережі, приєднаній до цього комп'ютера. FTP-сервера повинні обмежувати доступ окремим деревом піддиректорій, і вимагати ім'я і пароль при необхідності.

Якщо ви не жили на нежилому острові останні декілька років, ви напевно знаєте про колосальне зростання Усесвітньої павутини (WWW). Веб-сервера-сервера надають дешевий спосіб публікації інформації, що містить текст, вбудовані малюнки, або навіть аудіо і відео. Використання стандартів Гіпертекстової Мови Розмітки Документів (HTML) і Протоколу передачі гіпертекстовій інформації(HTTP) дозволяє користувачам легко копіювати і проглядати Web-документы, не дивлячись на велику різноманітність клієнтських платформ .

Хоча розробка професійного веб-сайту складна і дорога, будь-який комп'ютер, підключений до Інтернету, може виступити в ролі веб-сервера-сервера. Є велике число як комерційних, так і безкоштовних програм WWW-сервера для різних операційних систем. Багато останніх версій операційних систем включають програм, необхідні для організації веб-сервера-сервера, а також корисні програми-майстри, що дозволяють автоматизувати установку і конфігурацію.

Як і FTP-сервера, WWW-сервера можуть приводити до появи серйозних вразливих місць в корпоративних мережах при неправильній конфігурації. Дивитеся розділ WWW для докладнішої інформації про політику безпеки для WWW- і FTP-серверов.

4.6. Дослідження

Проведення досліджень за допомогою Інтернету включає використання клієнтських програм для пошуку і читання інформації з видалених серверів. Клієнтські програми можуть бути наступних типів:

· FTP - FTP-программы дозволяють підключатися до віддалених систем, проглядати файлові структури на них, і завантажувати звідти файли

· Gopher - розроблений в університеті Міннесоти, він по суті надає графічний інтерфейс для виконання перегляду і завантаження файлів у