Читаем Журнал "Компьютерра" №746 полностью

Вредоносные программы, эксплуатирующие такие баги, распространения пока не получили. Однако уже осенью практическую реализацию атаки нового типа планирует продемонстрировать российский специалист в области компьютерной безопасности, известный под псевдонимом Крис Касперски.

Как утверждает Касперски, экспериментировавший с процессорами Intel, конструктивные изъяны некоторых моделей чипов позволяют захватить контроль над ПК независимо от того, какая операционная система на нем установлена. Например, на октябрьской конференции Hack In The Box в КуалаЛумпуре Касперски, используя специальный JavaScript-код или последовательность TCP/IP-пакетов, намерен показать возможность атаки на машины с разными версиями Windows, Linux и BSD. Не исключено, что к этому списку будет добавлена и Маc OS.

К чести Intel, залатать две критические уязвимости, позволяющие выполнить произвольный код, удалось очень быстро.

Тем не менее оставшиеся ошибки, хоть и не столь опасные, все же могут быть использованы хакерами для проникновения на ПК жертвы. По настоянию коллег из мира информационной безопасности Крис Касперски решил изменить программу выступления на Hack In The Box. Если раньше эксперт планировал сделать код, эксплуатирующий найденные уязвимости, общедоступным, то сейчас собирается ограничиться лишь его демонстрацией и раскрытием технических подробностей.

Впрочем, это обстоятельство вряд ли снизит интерес компьютерного андеграунда к его работе. ВГ

Истина из чьих-то рук

Бытует мнение, что всезнающая Wikipedia, учитывая ее сильные и слабые стороны, лучше всего подходит для предварительного ознакомления с интересующей темой. Провести же более глубокие изыскания можно, обратившись к перечисленным в конце статей источникам. Академическая среда "народную энциклопедию" не жалует, тем не менее материалы Wikipedia порой цитируются в опусах куда более серьезных, нежели студенческие рефераты. Яркий тому пример: к собираемой всем миром копилке знаний недавно обратился Апелляционный суд США, рассматривающий иск к торговой сети Home Depot, специализирующейся на товарах для ремонта и строительства.

Истец посчитал, что условия проката инструментов нарушают его потребительские права. Вкратце суть конфликта заключается в следующем: за дополнительную плату Home Depot предлагает арендаторам освобождение от материальной ответственности за нанесенный технике урон в ходе эксплуатации, за исключением случаев, когда повреждения возникли вследствие неправильного использования. Однако согласно другому пункту договора, потребитель и без приобретения отдельной "защиты" не отвечает за износ (в тексте договора используется формулировка "wear and tear") инструмента. Таким образом, делает вывод истец, предлагаемая компанией опция не дает никаких преимуществ по сравнению со стандартными условиями. В итоге правовой спор был сведен к обсуждению трактовок потребителем и Home Depot термина "wear and tear", и с этого момента история переходит в весьма занимательную фазу. Отстаивая свою точку зрения, истец приводит выдержки из двух "старомодных" словарей, согласно которым злополучное английское словосочетание является синонимом ущерба. Но, по мнению суда, "ущерб" ("damage") является более общим термином. А "wear and tear" означает "ожидаемое постепенное снижение стоимости" (проще говоря - амортизацию), и поэтому претензии истца беспочвенны. Свою позицию суд подкрепил цитатой из соответствующей статьи Wikipedia, указав, как положено, дату доступа к электронному источнику.

Спорный прием по косточкам разобрал преподаватель права калифорнийского университета Юджин Волох (Eugene Volokh). Вообще, как ни удивительно, практика цитирования материалов Википедии описанным делом вовсе не ограничивается. Волох насчитал три сотни подобных примеров, правда, обычно выдержки из Wikipedia использовались для толкования побочных понятий и объектов; использование же статьи энциклопедии с открытым авторством в качестве ключевого аргумента в судебном разбирательстве, конечно, представляется весьма сомнительным.

Любопытный момент, придающий всей истории дополнительную пикантность: привлеченный в помощь правосудию фрагмент статьи был добавлен уже после начала судебной тяжбы.

Юджин Волох провел небольшое расследование и выяснил, что автором формулировки является анонимный пользователь.

Однако прочие изменения, сделанные с того же IP-адреса, не дают оснований подозревать автора в намеренном искажении статьи. И все же доверие суда непроверенному источнику вызывает недоумение.

Возвращаясь к разбирательству, приведем справедливое замечание Волоха: скорее всего суд остановился на Википедии лишь потому, что определение спорного термина, которое дает энциклопедия, соответствовало представлению судей о нем.