ОМОГРАФЫ - слова, совпадающие по написанию, но не по смыслу.
Словарь иностранных слов

В известном ИТ-журнале Communications of the ACM есть любопытная ежемесячная колонка под названием Inside Risks, посвященная всевозможным рискам и угрозам, которые могут нести обществу компьютеры и основанные на них системы. Авторы и темы публикуемых здесь статей весьма разнообразны, с подборкой наиболее свежих материалов можно познакомиться на сайте редактора колонки Питера Неймана, а конкретно сейчас хотелось бы привлечь внимание к тексту из последнего, февральского номера журнала.

Статья называется "Омографическая атака" (полную версию в формате PDF можно взять тут), а авторы ее - Евгений Габрилович и Александр Гонтмахер, два аспиранта из Техниона, Израильского технологического института в Хайфе. Как несложно понять по именам авторов, наши с вами почти что соотечественники.

Чтобы быстро и доходчиво пояснить, какого рода компьютерную угрозу анализируют эти авторы, вспомним пару примеров из жизни Интернета прошлого года. Летом и осенью великовозрастные шутники-оболтусы забавы ради дважды "умерщвляли" в автокатастрофах поп-диву Бритни Спирс, сначала опубликовав фальшивую страницу с сообщением агентства Би-Би-Си, а затем Си-Эн-Эн. Причем в последнем случае ссылку на новость-фальшивку даже удалось впихнуть в рейтинг сайта СNN.com, благодаря чему она стремительно стала "новостью # 1". Для введения доверчивых людей в заблуждение использовался нехитрый трюк с особенностями программ-браузеров, которые в отличие от человека воспринимают веб-адреса несколько иначе. Если браузер встречает адрес вида, скажем, www.cnn.com@123.4.5.6 , то он игнорирует все, что находится слева от символа "@", а не подозревающий подвоха человек, напротив, обращает внимание лишь на первые знакомые буквосочетания, игнорируя мало что говорящие цифры реального IP-адреса, стоящего справа от "собаки".

Тот же самый трюк с успехом использовали в прошлом году не только для шуток, но и для совершения вполне серьезных преступлений. Клиентам сетевой платежной системы PayPal, к примеру, было разослано письмо от имени якобы администраторов системы, извещавшее, что в результате компьютерного сбоя была утрачена база данных с паролями владельцев электронных кошельков. Ради скорейшего устранения досадной неприятности клиентов просили зайти на сайт компании и ввести свои данные заново. Как несложно догадаться, ссылка в письме вела вовсе не на официальный сайт, а на подложный, название которого "почти совпадало" с PayPal.com. В результате свыше двухсот доверчивых людей практически добровольно поделились своими деньгами с жуликами.

Теперь же самое время вернуться к статье Габриловича и Гонтмахера, где предупреждается, что последние технологические нововведения в адресной системе Интернета потенциально несут еще большую угрозу для подобных злоупотреблений и мошеннических махинаций. Как известно, с целью приобщения к сетевой жизни все более широких масс, не владеющих иностранными языками, сочтена целесообразной регистрация доменных имен из символов не только латинского, но и всяких прочих национальных алфавитов.

Благодаря этому, например, уже сегодня можно без проблем зарегистрировать как имя VasjaPupkin.ru, так и ВасяПупкин.ру (если, конечно, никто столь звучный домен еще не занял). Однако, вспоминая приведенные выше примеры, следует также подчеркнуть, что сейчас ничто не мешает зарегистрировать на собственное имя, к примеру, домен bbc.com или cnn.com , где вместо английской "си" в имени подставить русскую букву "эс", благо пишутся они абсолютно идентично, а коды ASCII имеют совершенно разные. Точно так же в PayPal.com латинская "a" элементарно заменяется на ее аналог в кириллице. И все - никаких ухищрений с "собаками" для обмана доверчивых людей больше не надо.

Единственный, правда, нюанс заключается пока что в следующем. Многоязыковые доменные имена - вещь сравнительно новая, и для их поддержки большинство программ-браузеров нуждаются в установке специального плагина iClient от i-DNS.net. Но поскольку разворачивание многоязыковой инфраструктуры идет сейчас полным ходом, достаточно скоро все браузеры будут обрабатывать подобные имена вполне корректно.

Дабы продемонстрировать реальность угрозы, которую скрывают в себе доменные имена-омографы, Габрилович и Гонтмахер без проблем зарегистрировали на себя по описанной технологии адрес http://www.miсrоsоft.com, в котором просто поменяли латинские буквы "c" и "o" на их кириллические аналоги.

В качестве одного из наиболее очевидных способов противодействия злоупотреблениям такого рода на ум сразу приходит тотальный запрет на смешивание в именах символов из разных алфавитов. Но, как и всякое радикальное решение, этот запрет нереалистичен, поскольку имеется масса алфавитов, отличающихся от латинского лишь небольшой добавкой национальных диакритических знаков. Другое предложение - высвечивать латинские символы в имени одним цветом, а национальные - другим. Со временем, очевидно, появятся и другие, более остроумные решения, пока же можно посоветовать лишь одно - постараться оставаться бдительными. Поскольку и без всяких национальных алфавитов шустрый народ вовсю регистрирует домены, хоть как-то похожие на знаменитые. Например, подменяя "o" на "нуль". В процессе подготовки своей статьи Габрилович и Гонтмахер установили, в частности, что все доменные имена вида MICR0S0FT.com, MICR0SOFT.com и MICROS0FT.com уже расхвачены.

Так что не слишком удивляйтесь, если однажды, кликнув на веб-ссылку знакомого вида, попадете куда-нибудь совсем не туда.

Обсудите материал в форуме