Брюс Шнайер - Секреты и ложь. Безопасность данных в цифровом мире

Класс С1 называется Discretionary Security Protection и подразумевает, что пользователи сами решают, кому предоставлять конфиденциальную информацию, а кому – нет. Контроль обеспечивается самими пользователями. Второй класс – С2 – называется Controlled Access Protection. Для него в силе требования С1. Но за контроль предоставления или ограничения доступа к данным отвечает система. Разрешение доступа к объекту может быть дано только авторизованными пользователями. – Примеч. ред.

Червь Морриса – новаторство не только в области механизма распространения. Он попутно проводил словарную атаку на предмет вскрытия паролей пользователей, руководствуясь простыми соображениями: проверял в этом качестве входные имена пользователя на верхнем и нижнем регистрах, в зеркальном отображении и т. д., прибегая как к подручному средству к встроенному в UNIX корректору Unispell, который включает и файл словаря. – Примеч. ред.

Выпускается фирмой Cheery, известной своими эргономичными изделиями. – Примеч. ред

Token – знак, символ, маркер, электронный ключ, аппаратный контроллер, устройство идентификации. Однозначного перевода нет, используется в зависимости от контекста. – Примеч. ред.

SecurID использует двухфакторную аутентификацию. Для входа в систему пользователь должен в ответ на приглашение, сгенерированное клиентской (UNIX, Windows NT, NetWare и другие) или серверной частью (Windows NT, UNIX), ввести с клавиатуры свой персональный идентификационный номер PIN-код («что я знаю») и цифровой код, отображаемый на жидкокристаллическом дисплее электронной карточки (в виде брелока) через каждые 30 или 60 секунд («что мне позволено») – то есть опознавательный знак и пароль. – Примеч. ред.

Вирусные атаки в 2001 году нанесли ущерб более чем на 13 миллиардов долларов (Computer Economics). Весь год в Сети свирепствовали «Code Red», «Goner» и «Qaz» – вирусы новой волны, так называемая «гибридная угроза». Это сочетание хакерских приемов и вирусной техники – вирусы оставляли люки для дальнейшего использования зараженных машин в целях проведения атак типа «отказ в обслуживании». В 2002 году специалисты компьютерной безопасности признали интернет-червя Klez вирусом года. По оценке компании Sophos (антивирусные программы), одно электронное письмо из каждых 169 не обходилось без Klez в период его победоносного шествия. – Примеч. ред.

Глобальная система, посредством которой пользователи могут общаться друг с другом в реальном времени. – Примеч. перев.

Как наследие эпохи войны браузеров, имеется две версии JavaScript. Исходная, созданная Netscape, и вариация Microsoft под названием JScript. Они практически идентичны, за исключением объектных моделей браузера (читай: веб-документа) и синтаксиса языка сценариев. Тем не менее далеко не все сайты умеют одинаково работать с обеими моделями. Формально для безопасности это угрозы не представляет, но кто знает… Чем сложнее система, тем она потенциально незащищеннее. – Примеч. ред.

Тайпсквоттинг как способ имитировать заведомо посещаемый домен легален с точки зрения закона. В русском секторе Интернета он процветает. Можно перечислить тысячи интересных и забавных случаев, но не менее любопытна его разновидность, которую можно отнести к столкновению интересов. Это включение в описательные поля страницы или прямо в ее состав текста, рассчитанного на ошибки набора пользователей при запросах к поисковым системам. Здесь тоже можно говорить бесконечно, но я приведу нетривиальный пример. На сайте одного переводческого агентства есть страничка «помощи», полный текст которой гласит: «Преводов, перводов, пеерводов: Если Вы ошиблись, и вместо бюро переводов набрали в поиске бюро перводов или бюро пеерводов или бюро преводов или бюро переводо, то это не повод, чтобы не посетить сайт бюро переводов Flarus (www flarus ru)». И тут же ссылки на купить, заказать и т. д. На практике такие вещи срабатывают эффективнее первородного тайпсквоттинга. – Примеч. ред.

В США с киберсквоттингом борются посредством Антикиберсквоттерского законодательного акта о защите потребителей (1999 год, не предусматривает наказания за тайпосквоттинг). В России право на имя регулируется с 10 апреля 2002 года документом «Регламент и тарифы на услуги по регистрации доменов второго уровня в зоне *.ru», согласно которому споры о доменных именах решает суд. На практике положительных сдвигов мало везде. Процессы вспыхивают в момент, когда какая-нибудь звезда, выходя в Сеть, обнаруживает, что домен уже занят. Таким образом отвоевали свои имена Мадонна, Джулия Роберте, Изабель Аджани, известные рок-группы и др. Ничего не вышло у Стинга из-за неудачного имени, так как суд посчитал, что это английское слово. Кибертайпсквоттер миллионер-владелец порносайтов Цуккарини проиграл ряд тяжб, в том числе вернул утраченное актеру Кевину Спейси. Но в запасе у него остались тысячи других зарегистрированных доменов. Кибер-сквоттинг приобретает гигантские масштабы, так, например, рекорд по количеству доменов, осуществляющих переадресацию на один и тот же узел, принадлежит порносайту – 4525 имен на апрель 2002 года. – Примеч. ред.

Атаки образца конца 1999 года, актуальные и поныне (для подобных атак уязвимы до 80% интерактивных веб-сайтов). Upload Bombing работает на сайтах с запросом на загрузку файлов (агентства по трудоустройству, доски объявлений, почтовые серверы и т. д.). Смысл в том, что в ответ на предложение загрузки сервер заваливается множеством файлов, переполняющих диски, текстовых, графических, любых, и вызывает переполнение дисков. Название Poison NULL byte произошло от байта с нулевым значением, служащего ограничителем строки на многих языках программирования. – Примеч. ред.

Подмена адреса отправителя в заголовке IP-пакета с целью взломать аутентификацию, основанную на определении IP-адреса источника пакета. – Примеч. ред.

Сохранено написание оригинала, но в действительности во всех руководящих документах (RFC) используется слово «система» (system). Подмена одного слова другим стала настолько частой, что в лучших книгах по информационным технологиям употребляется именно service (служба) и соответственно переводится. Система доменных имен (DNS, Domain Name System) была разработана Питером Мокапетрисом и представлена в 1983 году в виде двух документов IETF. Позже этих документов стало огромное количество. Система DNS состоит из трех основных элементов: иерархического пространства имен («доменов»), серверов DNS для хранения имен поддоменов и распознавателей, генерирующих запросы для серверов DNS. Службой является последний элемент, а все в совокупности – системой. – Примеч. ред.