Система сетевого управления Nortel Enterprise Network Management System (ENMS)

Обзор
Система сетевого управления Enterprise Network Management System (NMS) представляет собой комплексную систему управления доменами для конвергентных решений Nortel. Система предоставляет комплексный набор возможностей по визуализации топологии сети, а также обнаружению и диагностике неисправностей, помогая администраторам обнаруживать проблемы прежде, чем они окажут влияние на сетевые услуги.
Целевая аудитория
Предприятия, использующие свою сетевую инфраструктуру для услуг связи и бизнес-приложений
Что нужно обеспечить:
Как вы решаете вопросы управления услугами при переходе предприятия на IP-телефонию и другие конвергентные приложения?
Сталкиваетесь ли вы с уменьшением производительности и упущенными возможностями из-за простоев сети?
Способно ли то решение по управлению, которое вы используете сейчас, эффективно работать с новыми ответственными приложениями и сложными сетевыми услугами и протоколами, необходимыми для их работы?
Сказывается ли на производительности и доступности сети то время, которое вы тратите на выявление и устранение проблем в сети?
Типичные варианты применения

Шлем виртуальной реальности за 3000 рублей

Шлем корейской компании работает лишь со смартфоном Galaxy Note 4, в то время, как российская модель совместима с любыми смартфонами с диагональю экрана от четырёх до шести дюймов.
Стартапом Fibrum начат приём предзаказов на шлем виртуальной реальности. Данная информация опубликована на сайте компании.
Как рассказал представитель пресс-службы компании, цена шлема может составлять от трёх до семи тысяч рублей в зависимости от модификации. Это дешевле, чем скажем, к примеру, шлем Samsung Gear VR, который был недавно анонсирован по цене 200 долларов, что составляет приблизительно двенадцать тысяч рублей по нынешнему курсу.

Кроме того, шлем корейской компании работает лишь со смартфоном Galaxy Note 4, в то время, как российская модель совместима с любыми смартфонами с диагональю экрана от четырёх до шести дюймов. Старшая модель Pro также имеет более широкий угол обзора: 110 градусов против 96 градусов у Gear VR. Помимо этого, Fibrum самостоятельно разрабатывает программное обеспечение виртуальной реальности, необходимое для полноценного использования шлема.

Однако, следует отметить, что разработка Fibrum находится на стадии прототипа и может так и не поступить в широкую продажу, в то время, как корейских шлем виртуальной реальности уже является массовым продуктом. Кроме того, недорогой шлем виртуальной реальности можно создать из компонентов стоимостью менее двадцати долларов — такой набор выпустила несколько раньше компания Google.
В этой связи, для российского стартапа, помимо качества работы программно-аппаратного обеспечения, большую роль играет ещё и срок выхода на рынок.

KiBoJet — клавиатура с проектором

Клавиатура с проектором — KiBoJet
Клавиатура KiBoJet, так называется интересная новинка, показанная производителем электроники из Тайваня, компанией Sho U. Эта клавиатура оборудована мини-проектором, который расположен в переднем торце и позволяет создавать изображение FullHD на любой поверхности, перед которой расположена клавиатура (например, если расположить KiBoJet на столике возле стены, то картинку вы увидите на стене). Цена устройства на данный момент неизвестна, а начало продаж ожидается в следующем году.

Параметры проецируемого изображения: разрешение 1920 х 1080 точек, размер по диагонали может быть разный, 21 – 33 дюйма. Яркость изображения 150 люмен. Однако нужно учитывать, что сама по себе KiBoJet это не компьютер. Для того, чтобы работать к HDMI-порту данного устройства следует подключить один из появляющихся сейчас компьютеров-брелоков (например, Intel Compute Stick). Также в KiBoJet встроен модуль связи Bluetooth. с помощью которого можно подключить манипулятор мышь или другие периферийные устройства.

Кроме этого, клавиатура оснащена беспроводной связью Wi-Fi, портами USB, гнездом для подключения локальной сети, и динамиками мощностью 3 Вт.
Следует отметить, что последнее время многие производители стремятся расширить функции столь привычной клавиатуры, в основном это добавление функции отслеживания рук и использование жестового управления. Например, проект Moky предполагает выпуск компактной клавиатуры, которая будет подключаться к устройствам с помощью Bluetooth.

Основная особенность клавиатуры Moky — группа датчиков. Работающих в инфракрасном диапазоне и отслеживающих жесты пальцев. Таким образом, вся поверхность поля клавиш превращается в большую сенсорную панель.
Пользователю достаточно удерживать специальную кнопку около пробела и над остальными клавишами можно выполнять прокрутку, управление курсором или масштабирование также, как на обычном тачпаде. При ежедневном четырехчасовом использовании клавиатуры, по обещаниям производителя, емкости встроенной батареи будет хватать на три месяца.

Как смотреть видеотрансляцию WWDC 2015 отовсюду

В последние несколько лет Apple регулярно проводит видеотрансляции своих мероприятий на официальном сайте. Их можно смотреть в Safari на Mac и iOS, а также на специальном канале Apple TV. У владельцев Windows-ПК и гаджетов на Android такой возможности, к сожалению, нет. Однако наблюдать за происходящим на WWDC в прямом эфире им все-таки можно. Сейчас мы расскажем, как это сделать.
В нашем способе нет никакой магии — все просто. Apple транслирует видео с мероприятия в виде стрима, который открывается с помощью Safari.

Но нам ничто не мешает воспроизвести его в любом проигрывателе, поддерживающем открытие сетевых потоков. Возьмем для примера бесплатный и кроссплатформенный VLC, который доступен для iOS, Android, Mac, Windows и различных дистрибутивов Linux.
Загружаем по этой ссылке VLC для интересующей вас платформы.
Устанавливаем плеер и запускаем его.
Открываем меню «Медиа» — «Открыть URL» (в других версиях название может немного отличаться, ориентируйтесь по смыслу).
Копируем адрес потока http://p.events-delivery.apple.com.edgesuite.net/15pijbnaefvpoijbaefvpihb06/m3u8/atv_mvp.m3u8 и вставляем его в поле «Сетевой адрес».

Жмем «Воспроизвести» и наслаждаемся трансляцией.
Сейчас поток, разумеется, не работает, и VLC выдает ошибку при попытке открыть его, но в понедельник, 8 июня, в 20.00 по Москве, Apple запустит трансляцию, и вы сможете наблюдать за ходом WWDC в прямом эфире.
Ключевыми новинками конференции, помимо музыкального сервиса Apple, станут iOS 9 и OS X 10.11, которые, судя по слухам, будут сфокусированы на оптимизации и улучшении производительности. Команда «МакРадара» по традиции проведет для вас текстовую трансляцию мероприятия, так что присоединяйтесь к нам.

Воспользуйтесь выгодными пакетами в роуминге от MegaCom

Дата: 24 июля 2015 в 15:01 2015-07-24T15:01:03+06:00 Категория: Новости авто

16 Июля, 14:47  /   Обновлено в 14:50 16.07.2015 мегаком роуминг
Возьмите с собой в путешествия и деловые поездки за рубеж выгодные голосовые, SMS и Интернет-пакеты в роуминге от MegaCom и оставайтесь на связи с родными и близкими, даже находясь от них за тысячи километров.
Экономия до 21%! Серия пакетов «+996»  от MegaCom придется по душе путешественникам, активно пользующимся голосовой связью в постоплатном и предоплатном роуминге.  Абоненты  могут совершать выгодные исходящие вызовы домой на мобильные и фиксированные номера Кыргызской Республики в двух самых популярных странах в роуминге – России (в сетях МегаФон, Tele2) и Казахстане (в сетях Kcell, Tele2).

Серия пакетов «+996» включает в себя пакеты объёмом «20 минут», «30 минут», «50 минут». Стоимость зависит от выбранной серии.
Экономия до 46%!  Оптимизировать расходы на связь в заграничных поездках можно с помощью пакета «SMS 25» от MegaCom, который позволяет отправлять SMS-сообщения по выгодным ценам в сети МегаФон (Россия), Kcell и Теле2 (Казахстан), Babilon-Mobile и Tcell (Таджикистан).  В пакет включены 25 исходящих SMS-сообщений, которые можно отправить в любом направлении, кроме коротких номеров.

Подключиться к услуге можно при положительном балансе с помощью команды *1025*1# вызов.
Экономия до 70%! Если вы не представляете ни дня без социальных сетей, актуальных новостей и «серфинга» по сайтам, вам пригодятся «Интернет-пакеты в роуминге» от MegaCom.  С их помощью можно сэкономить на интернет в международном роуминге в сети МегаФон (Россия).

Выбирайте подходящий объем трафика — «30 Мб», «50 Мб» или «100 Мб» — и отправляйтесь в путь на высокой скорости. Стоимость пакета зависит от объема выбранного трафика.
Подробнее можно ознакомиться на сайте компании www.megacom.kg в разделе Роуминг.
Материалы по теме 23.07.2015 16:26 В с.Покровка Таласской области открыт Фирменный салон MegaCom 91 22.07.2015 17:22 ОНС при ФГИ КР заслушал отчет о деятельности ЗАО «Альфа Телеком» 73 21.07.2015 18:01 MegaCom – генеральный спонсор II Международного фестиваля «Мейкин Азия» 89 16.07.2015 12:22 MegaCom поздравляет кыргызстанцев с праздником Орозо айт 72 13.07.2015 16:15 MegaCom предлагает больше разговоров всего за 0,5 сома 93 Самое читаемое 23.07.2015 12:53 Кыргызстан вновь переносит сроки открытия границы с Казахстаном на начало августа 946 23.07.2015 18:41 Гендиректор Beeline находится на допросе в МВД 470 23.07.2015 14:36 В Кыргызстане создано первое агентство по организации халал-туризма 374 23.07.2015 17:59 В Бишкеке впервые пройдет конкурс «Автоледи-Бишкек 2015» 341 23.07.2015 17:13 Президент России Путин подарил школьнице из Кыргызстана собаку породы ньюфаундленд 342
По сообщению сайта КирТАГ

Новости – Архив 2012, Январь

Вышел порт языка Shen на Javascript
Новости – OpenSource
Выпущен порт языка программирования Shen на Javascript.
Протестировать работу Shen на JS можно тут .
Для освежения памяти:
Shen – это функциональный язык программирования, являющийся продолжением языка Qi II. Имеет опциональную статическую систему типов, основанную на секвенциальном исчислении, и общее направление на логическое программирование.
Mozilla Firefox 10 ESR уже здесь
Новости – Mozilla
Вот мы и дождались «десяточки».

Данный выпуск знаменует очередную веху в развитии любимого всеми нами браузера появлением версии с увеличенным сроком поддержки (ESR). Десятая версия ESR будет поддерживаться параллельно с развитием основной ветки и будет включать исправления безопасности вплоть до 18-ой версии (ориентировочный план будущих релизов ). Параллельно выпущены две версии 10 и 10 ESR (различие в канале обновлений и лого в Help → About Firefox).
Помимо данного, безусловно важного для всех события, свежая версия может похвастать следующими изменениями:
кнопка «Вперёд» стала теперь опциональной и появляется только при необходимости, освобождая тем самым столь критичное место по горизонтали;
появилась поддержка сглаживания в компоненте вывода графики через WebGL;
поддержка Fullscreen API: теперь YouTube HTML5 сможет разворачивать окно видеовывода на весь экран;
заявлена поддержка трёхмерных CSS3-преобразований;
новый элемент <bdi> для изоляции двунаправленного текста;
встроенный инструментарий для инспектирования элементов с поддержкой подсветки выбранного элемента;
улучшенная поддержка IndexedDB API;
упрощённая настройка синхронизации истории и закладок с мобильными версиями Firefox.

Не тонкая, но звонкая: йога-тренер plus-size

Когда речь в разговоре заходит о тренере по йоге, мы уверены, вы представляете себе стройную девушку или парня, без ярко выраженных рельефных мышц, но обязательного подтянутого. Однако мы знаем девушку, которая изменила представления о том, как должен выглядеть инструктор по этому виду активности. 27-летняя Джессамин Стэнли из Северной Каролины — обладательница не совсем стандартных форм. Лишний вес не мешает ей выполнять самые сложные асаны. Причем, девушка вовсе не комплексует по поводу своего тела.

В своем профайле она иронизирует: «Любитель йоги и толстая женщина».
На данный момент у нее более 70 тысяч подписчиков в Instagram, а американские интернет-издания предлагают ей вести видео-колонки на своих сайтах.
Читайте также:
Новости Woman.ru
Instagram
Пользователь сайта Woman.ru понимает и принимает, что он несет полную ответственность за все материалы частично или полностью опубликованные им с помощью сервиса Woman.ru.
Пользователь сайта Woman.ru гарантирует, что размещение представленных им материалов не нарушает права третьих лиц (включая, но не ограничиваясь авторскими правами), не наносит ущерба их чести и достоинству.

Пользователь сайта Woman.ru, отправляя материалы, тем самым заинтересован в их публикации на сайте и выражает свое согласие на их дальнейшее использование редакцией сайта Woman.ru.
Все материалы сайта Woman.ru, независимо от формы и даты размещения на сайте, могут быть использованы только с согласия редакции сайта. Перепечатка материалов с сайта Woman.ru невозможна без письменного разрешения редакции.

Microsoft разрешила ЕС проверить исходный код своих продуктов на бэкдоры

Рассказ о безопасности будет неполным без лекции о хакерах и методах их работы. Термин хакер здесь используется в его современном значении – человек, взламывающий компьютеры. Надо заметить, что раньше быть хакером не считалось чем-то противозаконным, скорее, это была характеристика человека, умеющего профессионально обращаться с компьютерами. В наши дни хакерами мы называем тех, кто ищет пути вторжения в компьютерную систему или выводит ее из строя.
Исследования показали, что хакерами чаще всего становятся:
мужчины;
в возрасте от 16 до 35 лет;
одинокие;
образованные;
технически грамотные.

Хакеры имеют четкое представление о работе компьютеров и сетей, о том, как протоколы используются для выполнения системных операций.
В этой лекции вы познакомитесь с мотивацией и методами хакеров. Не нужно считать ее пособием для начинающих хакеров, в ней всего лишь рассказывается о том, как можно взломать и заставить работать на себя ваши системы.
Определение мотивации хакеров
Мотивация дает ключ к пониманию поступков хакеров, выявляя замысел неудавшегося вторжения.

Мотивация объясняет, почему компьютеры так привлекают их. Какую ценность представляет ваша система? Чем она интересна? Для какого метода взлома подходит? Ответы на эти вопросы позволят профессионалам в области безопасности лучше оценить возможные угрозы для своих систем.
Привлечение внимания
Первоначальной мотивацией взломщиков компьютерных систем было желание “сделать это”. И до сих пор оно остается наиболее общим побудительным мотивом.

Взломав систему, хакеры хвастаются своими победами на IRC-канале (Internet Relay Chat – программа для общения в реальном времени через интернет), который они специально завели для таких дискуссий. Хакеры зарабатывают “положение в обществе” выводом из строя сложной системы или нескольких систем одновременно, размещением своего опознавательного знака на повреждаемых ими веб-страницах.
Хакеров привлекает не просто взлом конкретной системы, а стремление сделать это первым либо взломать сразу много систем.

В отдельных случаях взломщики специально удаляют уязвимое место, с помощью которого они вывели компьютер из строя, чтобы никто больше не смог повторить атаку.
Желание привлечь к себе внимание порождает ненаправленные атаки, т. е. взлом выполняется ради развлечения и не связан с определенной системой. Направленные атаки, целью которых является получение конкретной информации или доступ к конкретной системе, имеют другую мотивацию. С точки зрения безопасности это означает, что любой компьютер, подключенный к интернету, представляет собой потенциальную мишень для атак.

Примечание
Все чаще наблюдается еще одна форма мотивации – хактивизм (hactivism), или хакинг во имя общественного блага. Хактивизм связывает себя с политическими акциями и зачастую служит поводом для оправдания преступления. Он является более опасным, поскольку привлекает честных и наивных людей. Дополнительная информация находится на сайте http://hacktivismo.com/.
Алчность
Алчность – один из самых старых мотивов для преступной деятельности.

Для хакера это связано с жаждой получения любой наживы – денег, товаров, услуг, информации. Допустима ли такая мотивация для взломщика? Для ответа на этот вопрос исследуем, насколько трудно установить личность взломщика, задержать его и вынести обвинение.
Если в системе обнаружится вторжение, большинство организаций исправит уязвимость, которая использовалась при атаке, восстановит систему и продолжит работу. Некоторые обратятся за поддержкой к правоохранительным органам, если не смогут выследить взломщика за недостатком доказательств, или если хакер находится в стране, где отсутствуют законы о компьютерной безопасности.

Предположим, что хакер оставил улики и задержан. Далее дело будет вынесено на суд присяжных, и прокурор округа (или федеральный прокурор) должен будет доказать, что человек на скамье подсудимых действительно взломал систему жертвы и совершил кражу. Это сделать очень трудно!
Даже в случае вынесения обвинительного приговора наказание хакера может быть очень легким.

Вспомним случай с хакером по имени Datastream Cowboy. Вместе с хакером Kuji он взломал систему Центра авиационных разработок базы ВВС Гриффиз (Griffis) в Риме и Нью-Йорке и украл программное обеспечение на сумму свыше двухсот тысяч долларов. Хакером Datastream Cowboy оказался 16-летний подросток из Великобритании – он был арестован и осужден в 1997 г. Его присудили к уплате штрафа размером в 1915 долларов.
На этом примере важно понять следующее: должен существовать способ борьбы с преступниками, движущей силой которых является жажда наживы.

В случае взлома системы риск быть схваченным и осужденным очень низок, а прибыль от воровства номеров кредитных карт, товаров и информации очень высока. Хакер будет разыскивать ценную информацию, которую можно продать или использовать с выгодой для себя.
Хакер, основным мотивом которого является алчность, ставит перед собой особые задачи – его главной целью становятся сайты с ценным содержанием (программным обеспечением, деньгами, информацией).

Примечание
ФБР приступило к работе по программе Infragard. Цель программы – улучшение отчетности о преступной деятельности и дальнейшее развитие отношений между сферой бизнеса и правоохранительными органами (подробности см. на сайте http://www.infragard.net/). Программа предоставляет своим участникам информацию для совместного использования и анализа, а также средства для обучения взаимодействию с органами охраны правопорядка и работе с поступающими сведениями.

Злой умысел
И последней мотивацией хакера может быть злой умысел, вандализм. В этом случае хакер не заботится о захвате управления системой (только если это не помогает ему в его целях). Вместо этого он старается причинить вред легальным пользователям, препятствуя их работе в системе, или законным владельцам сайта, изменяя его веб-страницы. Злонамеренные атаки обычно направлены на конкретные цели. Хакер активно стремится нанести ущерб определенному сайту или организации. Основная причина таких атак – желание отомстить за несправедливое обращение или сделать политическое заявление, а конечный результат – причинение вреда системе без получения доступа к ней.

История хакерских методов
В этом разделе мы собираемся не просто поговорить об истории хакерства, а рассмотреть ее с различных точек зрения. Прошлые события и факты получили широкую огласку; существует множество ресурсов, в которых описаны эти события и их участники. Поэтому мы не будем повторяться, а познакомимся с эволюцией хакерских методов.

Вы увидите, что многих случаев успешного взлома можно было избежать при правильной настройке системы и использовании программных методов.
Коллективный доступ
Первоначальной целью при создании интернета был общий доступ к данным и совместная работа исследовательских институтов. Таким образом, большинство систем было сконфигурировано для коллективного использования информации. При работе в операционной системе Unix использовалась сетевая файловая система (Network File System, NFS), которая позволяла одному компьютеру подключать диск другого компьютера через локальную сеть (local area network, LAN) или интернет.

Этим механизмом воспользовались первые хакеры для получения доступа к информации – они подключали удаленный диск и считывали ее. NFS использовала номера идентификаторов пользователя (user ID, UID) в качестве промежуточного звена для доступа к данным на диске. Если пользователь JOE с номером ID 104 имел разрешение на доступ к файлу на своем домашнем компьютере, то другой пользователь ALICE с номером ID 104 на удаленном компьютере также мог прочитать этот файл.

Опасность возросла, когда некоторые системы разрешили общий доступ в корневую файловую систему (root file system), включая файлы конфигурации и паролей. В этом случае хакер мог завладеть правами администратора и подключить корневую файловую систему, что позволяло ему изменять файлы конфигурации удаленной системы (рис. 3.1).
Общий доступ к файлам нельзя считать уязвимым местом, это, скорее, серьезная ошибка конфигурации.

Самое интересное, что многие операционные системы (включая ОС Sun) поставляются с корневой файловой системой, экспортируемой для общедоступного чтения/записи. Следовательно, любой пользователь на любом компьютере, связавшись с Sun-системой, может подключать корневую файловую систему и вносить в нее произвольные модификации. Если не изменить заданную по умолчанию конфигурацию системы, то это может сделать каждый, кто захочет.
Рис. 3.1. Использование сетевой файловой системы NFS для доступа к удаленным системным файлам
Совет
В большинстве случаев совместный доступ к файлам контролируется настройкой правил на внешнем межсетевом экране организации (см.

в лекции 10). В тех системах, где это не сделано, еще не поздно с помощью межсетевого экрана наложить ограничения на общий доступ.
Уязвимое место в виде совместного доступа к файлам имеется не только в операционной системе Unix, но и в Windows NT, 95, 98. Некоторые из этих систем можно настроить на разрешение удаленного подключения к их файловым системам.

Если пользователь решит установить совместный доступ к файлам, то он по ошибке может легко открыть свою файловую систему для всеобщего использования.
Внимание!
Новые системы коллективного доступа к файлам, например Gnutella, позволяют компьютерам внутренней сети устанавливать общий доступ к файлам других систем в интернете. Эти системы имеют перенастраиваемую конфигурацию и могут открывать порты, обычно защищенные межсетевым экраном (например, порт 80).

Такие системы представляют более серьезную опасность, чем NFS и общий доступ к файлам в ОС Windows.
В ту же самую категорию, что и совместное использование файлов и неправильная настройка, относится удаленный доступ с доверительными отношениями. Использование службы удаленного входа в систему без пароля rlogin является обычным делом среди системных администраторов и пользователей. Rlogin позволяет пользователям входить сразу в несколько систем без повторного ввода пароля. Этими разрешениями управляют файлы типа .rhost и host.

В случае правильной настройки (хотя мы считаем, что использование rlogin недопустимо вообще) они однозначно определяют те системы, для которых разрешен удаленный вход. Система Unix использует знак “плюс” (“+”), размещенный в конце файла, который означает, что отдельные системы доверяют пользователю, что ему не обязательно повторно вводить пароль, и не важно, с какой системы он входит. Естественно, хакеры любят находить такие ошибки. Все, что им нужно сделать для проникновения в систему – это идентифицировать учетную запись пользователя или администратора.

Примечание
Межсетевые экраны могут контролировать не только коллективное использование файлов, но и удаленный доверительный доступ из внешней сети. Однако во внутренней сети внешний межсетевой экран такой контроль выполнить не сможет. И это является серьезной проблемой безопасности.
Слабые пароли
Наверное, самый общий способ, который используют хакеры для входа в систему, – это слабые пароли.

Пароли по-прежнему применяются для аутентификации пользователей. Так как это стандартный метод идентификации для большинства систем, он не связан с дополнительными расходами. Кроме того, пользователи понимают, как работать с паролями. К сожалению, многие не знают, как выбрать сильный пароль. Очень часто используются короткие пароли (меньше четырех символов) или легко угадываемые. Короткий пароль позволяет применить атаку “в лоб”, т. е. хакер будет перебирать предположительные пароли, пока не подберет нужный.

Если пароль имеет длину два символа (и это буквы), то возможных комбинаций будет всего 676. При восьмисимвольном пароле (включающем только буквы) число комбинаций увеличивается до 208 миллионов. Естественно, гораздо легче угадать двухсимвольный пароль, чем восьмисимвольный!
Легко угадываемый пароль также является слабым паролем. Например, пароль корневого каталога “toor” (“root”, записанный в обратном порядке) позволит хакеру очень быстро получить доступ к системе.

Некоторые проблемы, связанные с паролем, принадлежат к категории неправильной настройки системы. Например, в старейшей корпорации цифрового оборудования Digital Equipment Corporation систем VAX/VMS учетная запись службы эксплуатации (field service) имела имя “field” и заданный по умолчанию пароль “field”. Если системный администратор не знал об этом и не менял пароль, то любой мог получить доступ к системе с помощью данной учетной записи. Вот несколько слабых паролей: wizard, NCC1701, gandalf и Drwho.

Наглядный пример того, как слабые пароли помогают взламывать системы, – червь Морриса. В 1988 г. студент Корнеллского университета Роберт Моррис разработал программу, которая распространялась через интернет. Эта программа использовала несколько уязвимых мест для получения доступа к компьютерным системам и воспроизведения самой себя. Одним из уязвимых мест были слабые пароли. Программа наряду со списком наиболее распространенных паролей использовала следующие пароли: пустой пароль, имя учетной записи, добавленное к самому себе, имя пользователя, фамилию пользователя и зарезервированное имя учетной записи.

Этот червь нанес ущерб достаточно большому количеству систем и весьма эффективно вывел из строя интернет.
Вопрос к эксперту
Вопрос. Существует ли надежная альтернатива паролям?
Ответ. Альтернативой паролям являются смарт-карты (маркеры аутентификации) и биометрия. Однако развертывание таких систем связано с дополнительными расходами. Кроме того, их можно использовать не всегда.

Например, онлайновый продавец вряд ли воспользуется ими для аутентификации своих покупателей. Так что, скорее всего, пароли останутся с нами в обозримом будущем.
Совет
Не существует универсальных решений проблемы паролей. В большинстве операционных систем системный администратор имеет возможность настраивать требования к паролям, и это очень важно. Однако лучшая защита от слабых паролей – обучение служащих должному пониманию проблем безопасности.
Дефекты программирования
Хакеры пользовались дефектами программирования много раз.

К этим дефектам относится оставленный в программе “черный ход” (back door), который позволяет впоследствии входить в систему. Ранние версии программы Sendmail имели такие “черные ходы”. Наиболее часто использовалась команда WIZ, доступная в первых версиях Sendmail, работающих под Unix. При подключении с помощью Sendmail (через сетевой доступ к порту 25) и вводе команды WIZ появлялась возможность запуска интерпретатора команд (root shell). Эта функция сначала была включена в Sendmail как инструмент для отладки программы.

Подобные функции, оставленные в программах общего назначения, позволяют хакерам моментально проникать в системы, использующие эти программы. Хакеры идентифицировали множество таких лазеек, большинство из которых было, в свою очередь, устранено программистами. К сожалению, некоторые “черные ходы” существуют до сих пор, поскольку не на всех системах обновилось программное обеспечение.
Не так давно бум в программировании веб-сайтов привел к созданию новой категории “неосторожного” программирования.

Она имеет отношение к онлайновой торговле. На некоторых веб-сайтах информация о покупках: номер товара, количество и даже цена – сохраняется непосредственно в строке адреса URL. Эта информация используется веб-сайтом, когда вы подсчитываете стоимость покупок и определяете, сколько денег снято с вашей кредитной карты. Оказывается, что многие сайты не проверяют информацию при упорядочивании списка, а просто берут ее из строки URL.

Если хакер модифицирует URL перед подтверждением, он сможет получить пустой номер в списке. Бывали случаи, когда хакер устанавливал цену с отрицательным значением и, вместо того чтобы потратить деньги на покупку, получал от веб-сайта кредит. Не совсем разумно оставлять подобную информацию в строке адреса, которая может быть изменена клиентом, и не проверять введенную информацию на сервере. Несмотря на то, что это уязвимое место не позволяет хакеру войти в систему, большому риску подвергается и веб-сайт, и организация.

Социальный инжиниринг
Социальный инжиниринг – это получение несанкционированного доступа к информации или к системе без применения технических средств. Вместо использования уязвимых мест или эсплойтов хакер играет на человеческих слабостях. Самое сильное оружие хакера в этом случае – приятный голос и актерские способности. Хакер может позвонить по телефону сотруднику компании под видом службы технической поддержки и узнать его пароль “для решения небольшой проблемы в компьютерной системе сотрудника”.

В большинстве случаев этот номер проходит.
Иногда хакер под видом служащего компании звонит в службу технической поддержки. Если ему известно имя служащего, то он говорит, что забыл свой пароль, и в результате либо узнает пароль, либо меняет его на нужный. Учитывая, что служба технической поддержки ориентирована на безотлагательное оказание помощи, вероятность получения хакером хотя бы одной учетной записи весьма велика.
Хакер не поленится сделать множество звонков, чтобы как следует изучить свою цель.

Он начнет с того, что узнает имена руководителей на веб-сайте компании. С помощью этих данных он попытается раздобыть имена других служащих. Эти новые имена пригодятся ему в разговоре со службой технической поддержки для получения информации об учетных записях и о процедуре предоставления доступа. Еще один телефонный звонок поможет узнать, какая система используется и как осуществляется удаленный вход в систему. Используя имена реальных служащих и руководителей, хакер придумает целую историю о важном совещании на сайте клиента, на которое он якобы не может попасть со своей учетной записью удаленного доступа.

Сотрудник службы технической поддержки сопоставит факты: человек знает, что происходит, знает имя руководителя и компании – и, недолго думая, предоставит ему доступ.
Другими формами социального инжиниринга являются исследование мусора организаций, виртуальных мусорных корзин, использование источников открытой информации (веб-сайтов, отчетов, предоставляемых в Комиссию по ценным бумагам США, рекламы), открытый грабеж и самозванство.

Кража портативного компьютера или набора инструментов сослужит хорошую службу хакеру, который захочет побольше узнать о компании. Инструменты помогут ему сыграть роль обслуживающего персонала или сотрудника компании.
Социальный инжиниринг позволяет осуществить самые хитроумные проникновения, но требует времени и таланта. Он обычно используется хакерами, которые наметили своей жертвой конкретную организацию.

Совет
Самой лучшей обороной против атак социального инжиниринга является информирование служащих. Объясните им, каким образом служба технической поддержки может вступать с ними в контакт и какие вопросы задавать. Объясните персоналу этой службы, как идентифицировать сотрудника, прежде чем говорить ему пароль. Расскажите персоналу организации о выявлении людей, которые не должны находиться в офисе, и о том, как поступать в этой ситуации.
Переполнение буфера
Переполнение буфера – это одна из ошибок программирования, используемая хакерами (см.

следующий раздел). Переполнение буфера труднее обнаружить, чем слабые пароли или ошибки конфигурации. Однако требуется совсем немного опыта для его эксплуатации. К сожалению, взломщики, отыскавшие возможности переполнения буфера, публикуют свои результаты, включая в них сценарий эксплойта или программу, которую может запустить каждый, кто имеет компьютер.
Переполнение буфера особенно опасно тем, что позволяет хакерам выполнить практически любую команду в системе, являющейся целью атаки.

Большинство сценариев переполнения буфера дают хакерам возможность создания новых способов проникновения в атакуемую систему. С недавнего времени вход в систему посредством переполнения буфера заключался в добавлении строки в файл inetd.conf (в системе Unix этот файл управляет службами telnet и FTP), которая создает новую службу для порта 1524 (блокировка входа). Эта служба позволяет злоумышленнику запустить интерпретатор команд root shell.
Следует отметить, что переполнение буфера не ограничивает доступ к удаленной системе.

Существует несколько типов переполнений буфера, с помощью которых можно повысить уровень пользователя в системе. Локальные уязвимые места так же опасны (если не больше), как и удаленные.
Что такое переполнение буфера
Переполнение буфера – это попытка разместить слишком много данных в области компьютерной памяти. Например, если мы создадим переменную длиной в восемь байтов и запишем в нее девять байтов, то девятый байт разместится в памяти сразу вслед за восьмым.

Если мы попробуем поместить еще больше данных в эту переменную, то в конечном итоге заполнится вся память, используемая операционной системой. В случае переполнения буфера интересуемая нас часть памяти называется стеком и является возвращаемым адресом функции, исполняемой на следующем шаге.
Стек управляет переключением между программами и сообщает операционной системе, какой код выполнять, когда одна часть программы (или функции) завершает свою задачу.

В стеке хранятся локальные переменные функции. При атаке на переполнение буфера хакер помещает инструкции в локальную переменную, которая сохраняется в стеке. Эти данные занимают в локальной переменной больше места, чем выделенный под нее объем, и переписывают возвращаемый адрес в точку этой новой инструкции (рис. 3.2). Эта новая инструкция загружает для выполнения программную оболочку (осуществляющую интерактивный доступ) или другое приложение, изменяет файл конфигурации (inetd.conf) и разрешает хакеру доступ посредством создания новой конфигурации.

Рис. 3.2. Так работает переполнение буфера
Почему возникает переполнение буфера?
Переполнение буфера происходит очень часто из-за ошибки в приложении, когда пользовательские данные копируются в одну и ту же переменную без проверки объема этих данных перед выполнением операции. Очень многие программы страдают этим. Однако данная проблема устраняется довольно быстро, сразу, как только выявляется и привлекает к себе внимание разработчика.

Но если это так легко сделать, то почему переполнение буфера существует до сих пор? Если программист будет проверять размер пользовательских данных перед их размещением в предварительно объявленной переменной, то переполнения буфера можно будет избежать.
Примечание
Следует заметить, что многие общие функции копирования строк в языке программирования С не выполняют проверку размера строки или буфера перед копированием данных. К ним относятся функции strcat(), strcpy(), sprintf(), vsprintf(), scanf() и gets().

Переполнение буфера можно обнаружить в результате исследования исходного кода программ. Хотя это звучит просто, на самом деле процесс долгий и сложный. Намного легче помнить о переполнении буфера в процессе создания программы, чем потом возвращаться и искать его.
Совет
Существует несколько автоматизированных сценариев, используемых для поиска вероятного переполнения буфера. К таким программным средствам относится программа SPLINT (http://lclint.cs.virginia.edu/), которая производит проверку кода перед его компиляцией.

Отказ в обслуживании
Атаки на отказ в обслуживании (Denial-of-service, DoS) – это злонамеренные действия, выполняемые для запрещения легальному пользователю доступа к системе, сети, приложению или информации. Атаки DoS имеют много форм, они бывают централизованными (запущенными от одной системы) или распределенными (запущенными от нескольких систем).
Атаки DoS нельзя полностью предотвратить, их нельзя и остановить, если не удастся выявить источник нападения.

Атаки DoS происходят не только в киберпространстве. Пара кусачек является нехитрым инструментом для DoS-атаки – надо только взять их и перерезать кабель локальной сети. В нашем рассказе мы не будем останавливаться на физических атаках DoS, а обратим особое внимание на атаки, направленные против компьютерных систем или сетей. Вы просто должны запомнить, что физические атаки существуют и бывают довольно разрушительны, иногда даже в большей степени, чем атаки в киберпространстве.

Следует отметить еще один важный момент в подготовке большинства атак. Пока взломщику не удастся проникнуть в целевую систему, DoS-атаки запускаются с подложных адресов. IP-протокол имеет ошибку в схеме адресации: он не проверяет адрес отправителя при создании пакета. Таким образом, хакер получает возможность изменить адрес отправителя пакета для скрытия своего расположения. Большинству DoS-атак для достижения нужного результата не требуется возвращение трафика в домашнюю систему хакера
Централизованные DoS-атаки
Первыми типами DoS-атак были централизованные атаки (single-source), т.

е. для осуществления атаки использовалась одна-единственная система. Наиболее широкую известность получила так называемая синхронная атака (SYN flood attack) (рис. 3.3). При ее выполнении система-отправитель посылает огромное количество TCP SYN-пакетов (пакетов с синхронизирующими символами) к системе-получателю. SYN-пакеты используются для открытия новых TCP-соединений. При получении SYN-пакета система-получатель отвечает ACK-пакетом, уведомляющим об успешном приеме данных, и посылает данные для установки соединения к отправителю SYN-пакета.

При этом система-получатель помещает информацию о новом соединении в буфер очереди соединений. В реальном TCP-соединении отправитель после получения SYN ACK-пакета должен отправить заключительный АСК-пакет. Однако в этой атаке отправитель игнорирует SYN ACK-пакет и продолжает отправку SYN-пакетов. В конечном итоге буфер очереди соединений на системе-получателе переполняется, и система перестает отвечать на новые запросы на подключение.

Очевидно, что если источник синхронной атаки имеет легальный IP-адрес, то его можно относительно легко идентифицировать и остановить атаку. А если адрес отправителя является немаршрутизируемым, таким как 192.168.х.х? Тогда задача усложняется. В случае продуманного выполнения синхронной атаки и при отсутствии должной защиты IP-адрес атакующего практически невозможно определить.
Для защиты систем от синхронных атак было предложено несколько решений.

Самый простой способ – размещение таймера во всех соединениях, ожидающих очереди. По истечении некоторого времени соединения должны закрываться. Однако для предотвращения грамотно подготовленной атаки таймер придется установить равным такому маленькому значению, что это сделает работу с системой практически невозможной. С помощью некоторых сетевых устройств можно выявлять и блокировать синхронные атаки, но эти системы склонны к ошибочным результатам, поскольку ищут определенное количество отложенных подключений в заданном промежутке времени.

Если атака имеет несколько источников одновременно, то ее очень трудно идентифицировать.
Рис. 3.3. Синхронная DoS-атака
После синхронной атаки были выявлены и другие атаки, более серьезные, но менее сложные в предотвращении. При выполнении атаки “пинг смерти” (Ping of Death) в целевую систему отправлялся пинг-пакет (ICMP эхо-запрос). В обычном варианте пинг-пакет не содержит данных. Пакет “пинг смерти” содержал большое количество данных.

При чтении этих данных системой-получателем происходило переполнение буфера в стеке протоколов, и возникал полный отказ системы. Разработчики стека не предполагали, что пинг-пакет будет использоваться подобным образом, и поэтому проверка количества данных, помещаемых в маленький буфер, не выполнялась. Проблема была быстро исправлена после выявления, и в настоящее время осталось мало систем, уязвимых для этой атаки.
“Пинг смерти” – лишь одна разновидность DoS-атаки, нацеленная на уязвимые места систем или приложений и являющаяся причиной их остановки.

DoS-атаки разрушительны лишь в начальной стадии и быстро теряют свою силу после исправления системных ошибок.
Примечание
К сожалению, выявление новых DoS-атак, направленных против приложений и операционных систем, носит регулярный характер. От новых нападений можно немного отдохнуть, лишь пока хакеры исправляют ошибки в сценариях прошлых атак.
Распределенные DoS-атаки
Распределенные DoS-атаки (Distributed DoS attacks, DDoS) – это DoS-атаки, в осуществлении которых участвует большое количество систем.

Обычно DDoS-атакой управляет одна главная система и один хакер. Эти атаки не обязательно бывают сложными. Например, хакер отправляет пинг-пакеты по широковещательным адресам большой сети, в то время как с помощью подмены адреса отправителя – спуфинга (spoofing) – все ответы адресуются к системе-жертве (рис. 3.4). Такая атака получила название smurf-атаки. Если промежуточная сеть содержит много компьютеров, то количество ответных пакетов, направленных к целевой системе, будет таким большим, что приведет к выходу из строя соединения из-за огромного объема передаваемых данных.

Современные DDoS-атаки стали более изощренными по сравнению со smurf-атакой. Новые инструментальные средства атак, такие как Trinoo, Tribal Flood Network, Mstream и Stacheldraht, позволяют хакеру координировать усилия многих систем в DDoS-атаке, направленной против одной цели. Эти средства имеют трехзвенную структуру.

Хакер взаимодействует с главной системой или серверным процессом, размещенным на системе-жертве. Главная система взаимодействует с подчиненными системами или клиентскими процессами, установленными на других захваченных системах. Подчиненные системы (“зомби”) реально осуществляют атаку против целевой системы (рис. 3.5). Команды, передаваемые к главной системе и от главной системы к подчиненным, могут шифроваться или передаваться с помощью протоколов UDP (пользовательский протокол данных) или ICMP (протокол управляющих сообщений), в зависимости от используемого инструмента.

Действующим механизмом атаки является переполнение UDP-пакетами, пакетами TCP SYN или трафиком ICMP. Некоторые инструментальные средства случайным образом меняют адреса отправителя атакующих пакетов, чрезвычайно затрудняя их обнаружение.
Рис. 3.4. Осуществление smurf-атаки
Главным результатом DDoS-атак, выполняемых с использованием специальных инструментов, является координация большого количества систем в атаке, направленной против одной системы.

Независимо от того, сколько систем подключено к интернету, сколько систем используется для регулирования трафика, такие атаки могут буквально сокрушить организацию, если в них участвует достаточное количество подчиненных систем.
Рис. 3.5. Структура инструментального средства для выполнения DDoS-атаки
Вопросы для самопроверки
Перечислите важнейшие мотивы хакерской деятельности.
Как называются системы, которые реально осуществляют DDoS-атаку?
Изучение современных методов
Многие современные атаки выполняются так называемыми “скрипт киддиз” (script kiddies).

Это пользователи, отыскивающие сценарии эксплойтов в интернете и запускающие их против всех систем, которые только можно найти. Эти нехитрые способы атак не требуют специальных знаний или инструкций.
Однако существуют и другие методы, основанные на более глубоком понимании работы компьютеров, сетей и атакуемых систем. В данном разделе мы познакомимся с такими методами – с прослушиванием (снифингом, от англ.

sniffing) коммутируемых сетей и имитацией IP-адреса (IP-spoofing).
Прослушивание коммутируемых сетей
Прослушивание, или снифинг (sniffing), используется хакерами/крэкерами после взлома системы для сбора паролей и другой системной информации. Для этого снифер устанавливает плату сетевого интерфейса в режим прослушивания смешанного трафика (promiscuous mode), т. е. сетевой адаптер будет перехватывать все пакеты, перемещающиеся по сети, а не только пакеты, адресованные данному адаптеру или системе.

Сниферы такого типа хорошо работают в сетях с разделяемой пропускной способностью с сетевыми концентраторами – хабами.
Поскольку сейчас больше используются сетевые коммутаторы, эффективность снифинга стала снижаться. В коммутируемой среде не применяется режим широковещательной передачи, вместо этого пакеты отправляются непосредственно к системе-получателю. Однако коммутаторы не являются защитными устройствами. Это обычные сетевые устройства, следовательно, обеспечиваемая ими безопасность скорее побочный продукт их сетевого назначения, чем элемент конструкции.

Поэтому вполне возможно появление снифера, способного работать и в коммутируемой среде. И это уже произошло. Снифер, специально разработанный для коммутируемой среды, можно найти по адресу http://ettercap.sourceforge.net/.
Для прослушивания трафика в коммутируемой среде хакер должен выполнить одно из условий:
“убедить” коммутатор в том, что трафик, представляющий интерес, должен быть направлен к сниферу;
заставить коммутатор отправлять весь трафик ко всем портам.

При выполнении одного из условий снифер сможет считывать интересующий трафик и, таким образом, обеспечивать хакера искомой информацией.
Перенаправление трафика
Коммутатор направляет трафик к портам на основании адреса доступа к среде передачи данных (Media Access Control) – MAC-адреса – для кадра, передаваемого по сети Ethernet. Каждая плата сетевого интерфейса имеет уникальный MAC-адрес, и коммутатор “знает” о том, какие адреса назначены какому порту.

Следовательно, при передаче кадра с определенным MAC-адресом получателя коммутатор направляет этот кадр к порту, к которому приписан данный MAC-адрес.
Ниже приведены методы, с помощью которых можно заставить коммутатор направлять сетевой трафик к сниферу:
ARP-спуфинг;
дублирование MAC-адресов;
имитация доменного имени.
ARP-спуфинг (ARP-spoofing). ARP – это протокол преобразования адресов (Address Resolution Protocol), используемый для получения MAC-адреса, связанного с определенным IP-адресом.

При передаче трафика система-отправитель посылает ARP-запрос по IP-адресу получателя. Система-получатель отвечает на этот запрос передачей своего MAC-адреса, который будет использоваться системой-отправителем для прямой передачи трафика.
Если снифер захватит трафик, представляющий для него интерес, то он ответит на ARP-запрос вместо реальной системы-получателя и предоставит собственный MAC-адрес. В результате система-отправитель будет посылать трафик на снифер.
Для обеспечения эффективности данного процесса необходимо переадресовывать весь трафик на снифер вместо реального места назначения.

Если этого не сделать, то появится вероятность возникновения отказа в доступе к сети.
Примечание
ARP-спуфинг работает только в локальных подсетях, поскольку ARP-сообщения передаются только внутри локальной подсети. Снифер должен размещаться в том же самом сегменте локальной сети, где находятся системы отправителя и получателя.
Дублирование MAC-адресов. Дублирование MAC-адреса системы-получателя является еще одним способом “убедить” коммутатор посылать трафик на снифер.

Для этого хакеру нужно изменить MAC-адрес на снифере и разместиться в системе, которая находится в том же сегменте локальной сети.
Примечание
Считается, что изменить MAC-адреса невозможно. Однако дело обстоит совсем не так. Это можно сделать в системе Unix с помощью команды ipconfig. Аналогичные утилиты имеются и в системе Windows.
Для выполнения ARP-спуфинга снифер должен располагаться в той же самой локальной подсети, что и обе системы (отправитель и получатель), чтобы иметь возможность дублирования MAC-адресов.

Имитация доменного имени. Существует третий способ заставить коммутатор отправлять весь трафик на снифер: нужно “обмануть” систему-отправителя, чтобы она использовала для передачи данных реальный MAC-адрес снифера. Это осуществляется с помощью имитации доменного имени.
При выполнении этой атаки снифер перехватывает DNS-запросы от системы-отправителя и отвечает на них. Вместо IP-адреса систем, к которым был послан запрос, система-отправитель получает IP-адрес снифера и отправляет весь трафик к нему.

Далее снифер должен перенапра

Мы слышим, как вы дышите»

Теги
Российский интернет-продавец одежды и обуви класса «люкс» Aizel.ru объявил о переходе к новой бизнес-модели: теперь компания позиционирует свой магазин как marketplace, то есть на его площадке помимо собственного ассортимента будет представлена продукция российских офлайновых магазинов, работающих с люксовыми брендами. А свой ассортимент компания планирует существенно расширить за счет новых качественных брендов разной ценовой категории.
Кардинальное расширение интернет-проекта стало возможным благодаря привлечению в капитал компании пула инвесторов, среди которых инвестиционный фонд Bonum Capital (одним из клиентов фонда является Сулейман Керимов .

чьими активами фонд управляет на основе доверительного управления), владеющий сегодня 41% акций Aizel.ru  По словам основательницы Aizel Айсель Трудел . инвестор планирует вложить в расширение бизнеса Aizel.ru в общей сложности 25 млн евро в течение трех лет. К настоящему времени уже вложено 2,5 млн евро.
В итоге компания планирует в несколько раз увеличить объем заказов и собственную прибыль: если в прошлом году выполнено 8000 заказов на 150 млн рублей, то в результате преобразований предполагается выйти на 23 тыс.

заказов в год и довести выручку до 480 млн рублей.
Новые горизонты
По словам генерального директора Fashion Consulting Group Анны Лебсак-Клейманс . в России сегмент интернет-продаж «люкса» почти не представлен. Из монобрендов работают Wolford и недавно открывшаяся Escada, из мультибрендов — ЦУМ, Aizel. Основную долю этого рынка занимают западные сайты — Yoox, Farfetch, Net-a-porter, а также монобрендовые онлайн-бутики известных марок.

По данным компании Y-Consulting, доля Aizel.ru составляет 0,5% всех люксовых интернет-покупок россиян. Сама компания оценивает свою долю на российском рынке электронной коммерции в данном сегменте в 2,5%.
По оценкам, до 70% покупок на рынке e-commerce в сегменте люксовой одежды и обуви совершается через западные сайты. «Точной статистики по сегменту “люкс” в России не существует, — говорит генеральный директор Aizel.ru Юлиана Гордон .

— Если рассматривать сегменты middle, middle-up, premium и luxury (исходя из среднего чека 23 тысячи рублей), то доля покупок, которые россияне совершают в зарубежных интернет-магазинах перечисленных сегментов, составляет около 400 миллионов евро, а в российских — около 408 миллионов евро. Если считать сегмент люксовым при среднем чеке 1000 евро, то доля российских интернет-магазинов составляет 30 процентов».
Прежде всего российским покупателям на зарубежных сайтах нравится ассортимент, поэтому в Aizel.ru решили увеличить его за счет привлечения на свою площадку партнеров.

«Я сейчас убеждаю своих потенциальных партнеров по marketplace: ЦУМ, “Боско”, универмаг “Цветной” и других, — что никакие мы с ними не конкуренты. Наоборот, нам нужно сообща бороться с иностранными интернет-магазинами, где россияне делают покупки. Нужно, чтобы мы не уступали западным интернет-магазинам. Они хотят наш рынок завоевать: уже работают в России напрямую, открывают офисы, создают большие команды», — говорит Айсель Трудел.

Подобного рода кооперация распространена на Западе. «Сам формат marketplace крайне интересен, и опыт зарубежных компаний, например Farfetch, — яркое тому подтверждение. То, что эта компания приняла решение открыть представительство в России, доказывает, что российский потребитель “люкса” готов покупать в интернете. Они, как и Aizel, предлагают, например, ЦУМу свою онлайн-площадку и составляют жесткую конкуренцию российскому оператору.

Farfetch своей деятельностью уже заработал авторитет в Европе, а “Айзель” только предстоит сделать это на внутреннем рынке. Здесь компания, безусловно, авторитетна, но пока в довольно узком кругу, и их собственная база — это хорошая стартовая площадка для развития», — комментирует Анна Лебсак-Клейманс. Создание такой общей платформы позволит компании выйти на другой уровень развития бизнеса. «Онлайн-маркетплейс — это прежде всего диверсификация для бизнеса Aizel. В каком-то роде это агентский сервис, а это значит, что компания расширяет ассортимент, не вкладывая деньги в товарный запас, а развивается, инвестируя в технологии и компетенции», — говорит Анна Лебсак-Клейманс.

Aizel предлагает своим будущим партнерам выход на свою клиентскую базу, которая насчитывает несколько десятков тысяч человек в России и странах СНГ. Коммерческая стратегия компании в отношении работы с партнерами — раздел прибыли от продажи или комиссионное вознаграждение. «Наша комиссия составляет 30–40 процентов от прибыли.

В комиссию входят затраты на продакшн, складскую логистику (упаковка плюс консолидация заказа), рекламу и маркетинг, доставку, клиентский сервис (персональные рекомендации стилистов плюс колл-центр), прием платежей, обработка возвратов. Чистая комиссия в итоге составляет 15–20 процентов», — рассказывает Юлиана Гордон.
Интересно ли предложение Aizel потенциальным партнерам, пока не ясно. Если у ЦУМа есть своя собственная интернет-площадка, в которую вложено немало средств, и магазин Aizel может быть для них дополнительной площадкой для реализации своих предстоков и стоков, то для магазинов вроде универмага «Цветной» сотрудничество с Aizel — это возможность выйти на новую торговую площадку, потому что универмаг работает только в офлайне.

«Потенциально сотрудничество может быть интересно, так как для нас это возможность тестировать продажи в онлайне», — говорит Анна Курапова , PR-директор универмага «Цветной ». По ее словам, решение о сотрудничестве пока не принято, оно будет зависеть от позиционирования сайта и от коммерческих условий.

Сегодня наиболее вероятными партнерами Aizel.ru скорее могут стать непосредственно иностранные бренды, например Gucci и Burberry, которые стремятся развиваться на российском рынке, открывают здесь представительства, но необходимость адаптироваться к новому рынку не позволяет им сразу открыть свой интернет-магазин. Сейчас Aizel достиг договоренности с Gucci о том, что на сайте Aizel.ru можно даже будет сделать предзаказ будущих коллекций бренда.

Для большинства успешных офлайн-магазинов выход на интернет-площадку Aizel — это прежде всего выход за пределы Москвы и Санкт-Петербурга, в регионы, где есть спрос на люксовые вещи. «Расчет Aizel на регионы вполне логичен. В целом рост онлайн-покупок сейчас происходит именно за счет них», — говорит Анна Лебсак-Клейманс.
Например, заметно растет спрос на люксовые вещи в Чечне, Дагестане, Краснодаре, Ставрополье, Тюмени. В регионах есть спрос, но возможности региональных игроков в плане ассортимента очень ограничены, поэтому Aizel активно продвигает себя в прессе и в региональных рекламных кампаниях.

Доставка из Москвы осуществляется на самолетах с помощью служб курьерской доставки. Взаимодействие с компаниями по доставке, совместная разработка системы стандартов и требований к этому сервису — одно из главных направлений в новой бизнес-стратегии компании. Сегодня доля Москвы и Московской области в структуре продаж интернет-магазина составляет 31%, в то время как три года назад — 58%.

 
Умение работать в регионах может стать ключевым конкурентным преимуществом и в борьбе с западными интернет-магазинами. «Несмотря на то что западные интернет-магазины указывают, что доставка занимает два-три дня, на самом деле это работает только для Москвы и европейской части России. Если сделать заказ из Уральского или Дальневосточного региона, то и стоимость доставки будет дороже, и срок больше, нежели при заказе в российском интернет-магазине. И покупатель об этом знает, поэтому мы отмечаем рост продаж именно в регионах», — говорит Юлиана Гордон.

Есть еще один важный фактор, на который обращают внимание потребители, — это цены. В принципе в этой индустрии действуют единые правила ценообразования RRP (Recommended Retail Price, рекомендованная розничная цена), которую определяет сам бренд и повлиять на которую интернет-магазину довольно сложно, не нарушив условия контракта. «В 80 процентах случаев наши цены такие же или незначительно (не более чем на три-пять процентов) выше, что для потребителя несущественно, потому что при покупке в западных интернет-магазинах еще оплачивается доставка (она бесплатна только в случае крупных покупок) и так называемый брокерский сбор за валютные операции (от 200 евро).

В конечном итоге это делает общую стоимость заказа выше, нежели при покупке в России, — говорит Юлиана Гордон. — А товары дороже 1000 евро облагаются пошлиной в размере 30 процентов, поэтому покупать их за рубежом невыгодно. В оставшихся 20 процентах товаров (брендов) наши цены могут быть выше на 10–15 процентов, потому что западные интернет-магазины получают от поставщиков и брендов дополнительные скидки, которые российским интернет-магазинам те пока дают не столь активно.

Однако мы ведем переговоры с брендами, чтобы условия были одинаковыми и для западных, и для российских ритейлеров».
На поводу у клиента
Полученные от инвесторов средства Aizel планирует направить прежде всего на технологическое обновление проекта — развитие сайта и расширение логистической инфраструктуры.

Хорошо сделанный сайт — залог успеха любого интернет-магазина. «На сайте мы очень подробно описываем все: какая ткань, как садится, какой размер и так далее, — говорит Айсель Трудел. — Мы постоянно ведем клиента. Преимущества интернета сегодня в том, что мы слышим, как вы дышите, видим, что вы смотрите и как долго. Это дает нам возможность понять ваши приоритеты, сомнения и уверенность. Сейчас мы наняли команду стилистов и директора отдела моды. Если вы сомневаетесь, можно получить консультацию стилиста — сейчас мы тестируем эту услугу».

Впрочем, компания не планирует сосредотачиваться только на техническом обеспечении проекта, а будет наращивать и собственный ассортимент. «Значительное снижение спроса произошло за счет среднего класса, который делает дорогие покупки лишь время от времени, а сейчас еще реже. Средний чек в марте был 16 тысяч рублей, сейчас мы закрыли май с чеком 25 тысяч рублей, но не за счет увеличения средней стоимости единиц, а за счет расширения ассортимента, увеличения единиц в заказе.

И в принципе средний чек вырос потому, что с рынка ушел средний класс. Сейчас важно привлечь клиентов интересным дизайном и демократичными ценами», — говорит Айсель Трудел.
Поэтому в компании недавно были приняты новые «АВС-принципы» формирования ассортимента: пирамида брендов, где присутствуют товары трех ценовых категорий. С — это 5–10 тыс. рублей за вещь, B —10–20 тыс. А — выше 25 тыс. рублей. Компания расширяет ассортимент в сторону более бюджетных брендов высокого качества.

«Я в Гонконге нашла несколько шикарных китайских брендов отличного качества по очень привлекательным ценам. Слава богу, сегодня уже никого не пугают вещи, сделанные в Китае, поскольку многие ведущие бренды там шьют. А сейчас там уже появились собственные компании, которые делают отличные вещи», — говорит Айсель Трудел.
Интернет-магазин Aizel.ru открыт в 2011 году, до этого его владельцы — Айсель Трудел и предприниматель Александр Смбатян развивали одноименный мультибрендовый бутик в Столешниковом переулке.

Ваш IP адрес временно заблокирован в связи с подозрением на нарушение Условий пользования услугами сервера

Ваш IP адрес временно заблокирован в связи с подозрением на нарушение “Условий пользования услугами сервера.”

Если Вы находитесь на этой странице, это, скорее всего, означает что:

Вы используете публичный прокси-сервер

Мы получаем слишком много запросов с Вашего IP адреса. Если Вы находитесь на корпоративном интернет доступе, уточните у системного администратора, являются ли компьютеры Вашей сети публичным прокси-сервером.

IP Вашего компьютера входит в ботнет

Рекомендуем Вам проверить свой компьютер на наличие вирусов, так как наша система отследила слишком высокий поток запросов с Вашего адреса (рассылка рекламы на форумах, сбор личной информации пользователей и т.п.)

Вы используете различные программы, позволяющие автоматически собирать и размещать информацию на сайте AUTO.RU

Ваша активность на сайте связана с коммерческой деятельностью вне рамок Договора с AUTO.RU. В данном случае свяжитесь с нами, и мы, возможно, предложим Вам варианты сотрудничества. Мы не вступаем в диалоги о выдаче объявлений, контактной информации и других данных, защищенных пунктами 1.5, 1.5.1, 1.5.2 “Условий пользования услугами сервера AUTO.RU”

Если Вам не удалось решить ситуацию при помощи вышеперечисленных способов, свяжитесь с технической поддержкой сайта.

Убедительно просим Вас писать именно с того компьютера, который был заблокирован, чтобы мы могли провести анализ.