Брюс Шнайер - Секреты и ложь. Безопасность данных в цифровом мире

Тайпсквоттинг как способ имитировать заведомо посещаемый домен легален с точки зрения закона. В русском секторе Интернета он процветает. Можно перечислить тысячи интересных и забавных случаев, но не менее любопытна его разновидность, которую можно отнести к столкновению интересов. Это включение в описательные поля страницы или прямо в ее состав текста, рассчитанного на ошибки набора пользователей при запросах к поисковым системам. Здесь тоже можно говорить бесконечно, но я приведу нетривиальный пример. На сайте одного переводческого агентства есть страничка «помощи», полный текст которой гласит: «Преводов, перводов, пеерводов: Если Вы ошиблись, и вместо бюро переводов набрали в поиске бюро перводов или бюро пеерводов или бюро преводов или бюро переводо, то это не повод, чтобы не посетить сайт бюро переводов Flarus (www flarus ru)». И тут же ссылки на купить, заказать и т. д. На практике такие вещи срабатывают эффективнее первородного тайпсквоттинга. – Примеч. ред.

В США с киберсквоттингом борются посредством Антикиберсквоттерского законодательного акта о защите потребителей (1999 год, не предусматривает наказания за тайпосквоттинг). В России право на имя регулируется с 10 апреля 2002 года документом «Регламент и тарифы на услуги по регистрации доменов второго уровня в зоне *.ru», согласно которому споры о доменных именах решает суд. На практике положительных сдвигов мало везде. Процессы вспыхивают в момент, когда какая-нибудь звезда, выходя в Сеть, обнаруживает, что домен уже занят. Таким образом отвоевали свои имена Мадонна, Джулия Роберте, Изабель Аджани, известные рок-группы и др. Ничего не вышло у Стинга из-за неудачного имени, так как суд посчитал, что это английское слово. Кибертайпсквоттер миллионер-владелец порносайтов Цуккарини проиграл ряд тяжб, в том числе вернул утраченное актеру Кевину Спейси. Но в запасе у него остались тысячи других зарегистрированных доменов. Кибер-сквоттинг приобретает гигантские масштабы, так, например, рекорд по количеству доменов, осуществляющих переадресацию на один и тот же узел, принадлежит порносайту – 4525 имен на апрель 2002 года. – Примеч. ред.

Атаки образца конца 1999 года, актуальные и поныне (для подобных атак уязвимы до 80% интерактивных веб-сайтов). Upload Bombing работает на сайтах с запросом на загрузку файлов (агентства по трудоустройству, доски объявлений, почтовые серверы и т. д.). Смысл в том, что в ответ на предложение загрузки сервер заваливается множеством файлов, переполняющих диски, текстовых, графических, любых, и вызывает переполнение дисков. Название Poison NULL byte произошло от байта с нулевым значением, служащего ограничителем строки на многих языках программирования. – Примеч. ред.

Подмена адреса отправителя в заголовке IP-пакета с целью взломать аутентификацию, основанную на определении IP-адреса источника пакета. – Примеч. ред.

Сохранено написание оригинала, но в действительности во всех руководящих документах (RFC) используется слово «система» (system). Подмена одного слова другим стала настолько частой, что в лучших книгах по информационным технологиям употребляется именно service (служба) и соответственно переводится. Система доменных имен (DNS, Domain Name System) была разработана Питером Мокапетрисом и представлена в 1983 году в виде двух документов IETF. Позже этих документов стало огромное количество. Система DNS состоит из трех основных элементов: иерархического пространства имен («доменов»), серверов DNS для хранения имен поддоменов и распознавателей, генерирующих запросы для серверов DNS. Службой является последний элемент, а все в совокупности – системой. – Примеч. ред.

Спам (англ. SPAM) – навязываемая широкому кругу адресатов информация, в основном рекламного характера. – Примеч. перев.

Известна как «floating point flaw». Ошибка выражалась в потере точности (от 4-го до 19–го разряда после десятичной точки) при выполнении деления (инструкция FDiv) с некоторыми сочетаниями операндов. Была обнаружена в 1994 году для процессоров Pentium 60-100 МГц. Intel долгое время не признавала наличие ошибки, но, в конце концов, была вынуждена потратить 475 миллионов долларов на замену чипов. 1997 год выявил две ошибки. Первая, для Pentium II (ошибка флагов: «Dan-0411», «Flag Erratum»), проявлялась при преобразовании форматов больших отрицательных чисел и приводила к невозможности оповещения программ о завершении некоторых операций. Метод модификации микрокода во время загрузки уже работал, и ошибка была исправлена без отзыва проданных процессоров. Осенью выяснилось, что любой процесс, выполняемый на Pentium и Pentium ММХ, способен остановить «сердце» PC, выдав код F0 0F С7 С8 (сравнивающий 32-битовый операнд с 64-битовым, чем не случай с «Ариан»?). Благодаря некоторым конструктивным условиям практически всегда такой блокировки не происходит, но теоретически «Pentium FO bug» возможен. Теперь Intel размещает на своем сайте полную техническую информацию обо всех найденных «опечатках» (erratums). Так, для Pentium III в июне 2002 года количество таких ошибок равнялось 46, но все они имеют гораздо меньший уровень трагизма. – Примеч. ред.