Законодательная база, определяющая правила передачи доменных имен, в России практически отсутствует
Например, клиент одной фирмы, занимающейся Web-дизайном, которая на всю Сеть объявила о своих планах, в результате подал в суд на третье лицо.
Полуроссийская, полуамериканская компания ABV (www. abv.org), занимающаяся Web-дизайном, весной этого года заявила о переговорах с киноконцерном «Мосфильм» и ожидаемом заключении контракта на разработку сайта mosfilm.ru. Предвкушая грядущую популярность сайта, ABV пригласила всех заинтересованных лиц размещать на нем рекламу либо регистрировать имена третьего уровня. А пока шли переговоры, она поспешила зарегистрировать на себя соответствующее доменное имя, и когда это произошло, вывесила на сайте объявление: This domen for sale.
Казалось бы, мера эта вполне оправданна. В том числе — с точки зрения защиты интересов клиента. Узнав о контракте, кто-нибудь мог опередить их и зарегистрировать имя на себя. Например, чтобы потом попробовать перепродать его «Мосфильму» (продаже доменное имя не подлежит, однако факт продажи практически невозможно установить) или перехватить контракт. Кроме того, «Мосфильм» — большая и соответственно инерционная организация. ABV сработала быстрее. Как отметили в организации, занимающейся регистрацией доменных имен, — Российском НИИ развития общественных сетей (РосНИИРОС), «этот домен был исключительно быстро проплачен».
Однако спустя некоторое время после регистрации имени mosfilm.ru РосНИИРОС получает письмо за подписью директора «Мосфильма» Карена Шахназарова с просьбой снять делегирование имени, в противном случае автор был намерен обратиться в суд. По словам Шахназарова, переговоров по созданию сайта киноконцерна с ABV не велось, и данная версия была выдвинута лишь тогда, когда «Мосфильм» заявил о своих правах на это имя.
Любопытно, что ответчиком по иску должна была стать не ABV, а РосНИИРОС, который якобы не имел права регистрировать такое доменное имя. Казалось бы, РосНИИРОС, регистрирующая организация, работает как прибор-самописец (сходство тем более близкое, что регистрация доменного имени в настоящее время автоматизирована), и поэтому к ней претензий ни у одного из действующих лиц быть не может. Обвинять ее — все равно что судить работников ЗАГСа за то, что зарегистрированный ими брак оказался неудачным.
Реакция РосНИИРОС: формальных оснований для отмены делегирования нет. «Мосфильм», действительно, подал иск в Арбитражный суд. Правда, там пока не приняли дело к рассмотрению (из-за того, что не были выполнены мелкие формальности). Но со временем киноконцерн сумеет удовлетворить всем требованиям судопроизводства, и процесс пойдет.
Дело осложнилось еще одной деталью. Она не имеет прямого отношения к доменным именам, но достаточно интересна сама по себе как иллюстрация незрелости Internet-бизнеса в России. Регистрируя доменное имя mosfilm.ru, представитель ABV заполнил форму, в которой наличествовало поле «служба технической поддержки». Этой службе разрешено менять практически любые данные о домене, кроме записей об администраторе домена (то есть сменить «владельца» нельзя). До недавнего времени заполнение этого поля не было обязательным. Если оно не заполнено, технической поддержки как бы нет, и запись практически общедоступна. ABV поле не заполнила, хотя, казалось бы, фирма, занимающаяся Web-дизайном, могла представить себе последствия. Этим воспользовались неизвестные и изменили информацию. В ответ ABV внесла изменения в 65 записей базы данных. Естественно, информация была восстановлена. А РосНИИРОС потребовал от администраторов доменных имен обязательного заполнения поля «службы технической поддержки».
Зачем это было нужно? Действия ABV можно назвать по меньшей мере бесполезными. Детский акт мести с объяснением «они первые начали»? Или попытка специалиста ABV, по вине которого не было заполнено это поле в записи о mosfilm. ru, оправдаться перед начальством? Дескать, и другие не лучше? Во всяком случае, сделавший это не подозревал, что за свои действия он может быть привлечен к уголовной ответственности по статье 272 УК РФ, которая предусматривает наказание вплоть до лишения свободы на срок до пяти лет.
Координационная группа при комитете Internet Ассоциации документальной электросвязи Госкомсвязи РФ порекомендовала РосНИИРОС обратиться в компетентные органы по факту неправомерного доступа в базу данных РосНИИРОС и модификации ее объектов для привлечения к ответственности виновных, не называя лиц, хотя лицо это было известно. Институт, однако, решил обойтись без помощи судебных инстанций при условии, что виновник принесет извинения всем, кому нанес ущерб. Последствия непослушания ему разъяснили. В итоге извинения были принесены немедленно, но с оговоркой, что, дескать, ему ведь тоже кто-то сделал запись без его ведома. И действовал он якобы из лучших побуждений, и стремился таким способом привлечь внимание к пробелам в защите поля данных. В некоем смысле — вполне «хакерский» подход к правовым проблемам, равно как и необремененность знаниями действующего законодательства.
Кстати, поинтересоваться у человека о причинах подобного поведения оказалось невозможно. На телефонные звонки исключительно осторожный секретарь ABV отвечает, что такой человек в фирме не работает. Неужели уволили? Или от стыда он решил поменять фамилию? Вроде недавно по телефону беседовали, а теперь нет человека. Прямо по Оруэллу: «упомянуты не-лица».
Надо сказать, что «мосфильмовское дело» — не первый в нашей стране конфликт, связанный с этим вопросом. Весной 1998 года частный предприниматель Александр Грундул зарегистрировал имя kodak.ru. Этот факт вызвал недовольство Kodak, которая в письме в РосНИИРОС потребовала отменить делегирование. Роспатент дал заключение, что буквосочетание kodak.ru созвучно с названием компании Kodak. Никаких рекомендаций больше не последовало. В Министерстве по антимонопольной политике и поддержке малого предпринимательства было вынесено решение, что доменное имя не является способом рекламы или товарным знаком и потому не относится к его ведению.
Что подсказывает здравый смысл? Обвинять предпринимателя в недобросовестной конкуренции вроде бы не за что. Имя домена соответствует содержанию: на сайте размещена информация о продукции Kodak. Так что за предпринимателем осталось право первенства. В конце концов компании, задумавшей открыть свой сайт в зоне ru, остается воспользоваться именем Kodak-Russia или чем-то подобным.
С другой стороны, можно понять желание компании-производителя контролировать использование драгоценного слова. Раз хочется, соответствующие ограничения можно включить в партнерский контракт. Грундул закупает в Kodak товары, и компания могла бы решить эту проблему полюбовно через дилерский отдел. Наверняка у Kodak могут найтись рычаги, способные побудить партнера сменить доменное имя.
Есть и другие варианты доменных имен, несущие в себе зерно будущего конфликта. В настоящее время зарегистрированы доменные имена cocacola.ru, ford.ru, mersedes.ru.
По некоторым данным, владельцам последнего имени предлагали за вознаграждение отказаться от него, но те сочли тысячу у. е. недостаточной суммой. Когда не помогает здравый смысл, на помощь приходят правовые инстанции, ведь доменное имя является объектом права. Следовательно, все дороги ведут в арбитражный суд. Дело «Мосфильма» скоро начнется, дело Kodak тянется почти год. А РосНИИРОС коллекционирует судебные прецеденты.
Проблема заключается в том, что по доменным именам практически отсутствует правовая база. В мировой практике разбирательства по данным вопросам базируются на прецедентах. В Международный каталог товаров и услуг, включающий в настоящее время 42 класса товаров и услуг, доменные имена планируется внести в 2001 году. Тогда, регистрируя товарный знак, его владелец среди прочих полей сможет указывать также и «доменное имя». В этом случае владелец зарегистрированного товарного знака по классу «доменное имя» на вполне законных основаниях будет претендовать на передачу именно ему прав по администрированию домена, название которого совпадает с его товарным знаком. Для РосНИИРОС свидетельство о регистрации такого товарного знака по классу «доменное имя» станет основанием для удовлетворения требований претендента. Однако по всем 42 классам никто товарные знаки не регистрирует: не нужно и дорого (оплата идет за каждое поле). Вполне возможно, кто-то решит сэкономить на доменных именах. Так что от разбирательств по поводу доменных имен 2001 год нас не спасет, но они хотя бы будут вестись по правилам.
Сегодня же у юридического или физического лица есть возможность зарегистрировать любое свободное доменное имя. Определенные доменные имена в такой ситуации становятся лакомым кусочком. Речь идет не только об именах, созвучных названиям крупнейших фирм.
Сайт — вывеска фирмы в Internet. Не являясь рекламой в прямом смысле слова, оно несет определенные рекламные функции и служит привлечению внимания. Удачно выбранное имя дает Web-сайту компании серьезные преимущества. Для того чтобы имя сайта способствовало его посещаемости, оно должно быть кратким и емким, а главное, очевидным для потенциальных клиентов, исследующих некоторую тему с помощью поисковых машин. Очень привлекательными в этом плане выглядят домены с именами internet, advocat, e-mail, fax, moskwa и им подобные.
Некоторое время назад РосНИИРОС пытался как-то руководить процессом использования таких имен. В июле 1996 года на собрании Координационной группы института было принято решение о создании списка имен доменов, не разрешенных к делегированию. В него входили доменные имена, подобные тем, что я перечислила выше. В феврале 1998 года от стоп-листа отказались, и доменные имена из этого списка были разыграны в лотерею.
Формальных оснований для существования стоп-листа не отыскалось. Во-первых, практически невозможной оказалась выработка объективных критериев для внесения доменного имени в стоп-лист. Во-вторых, нужно было соответствовать мировой практике, где за выбор доменного имени несет ответственность заявитель. Собственник доменного имени самостоятельно разбирает претензии с другими претендентами на него. Учреждения, подобные РосНИИРОС, занимаются регистрацией доменов и администрированием соответствующей базы данных.
Так или иначе, РосНИИРОС должен регулировать процесс регистрации и использования доменных имен. И он планирует выйти с инициативой в компетентные органы о внесении законодательного предложения по вопросам регистрации доменных имен в зоне ru.
Что необходимо для правильной регистрации домена
Сначала необходимо выяснить, свободно ли доменное имя, которое необходимо зарегистрировать. Для этого можно воспользоваться сервисом Whois, который содержится на сервере РосНИИРОС по адресу www.ripn. net:8080/nic/whois/index.html. Если имя не зарегистрировано, то нужно настроить два DNS-сервера — первичный и вторичный, которые должны располагаться в разных сетях класса С и содержать необходимые сведения об именах в регистрируемом домене. Если предполагается, что в домене будет один сервер (например, Web), то можно обратиться к своему провайдеру для создания вторичного DNS-сервера. Затем необходимо заполнить заявку на домен, где в соответствующих местах необходимо указать адреса DNS-серверов, и отослать ее на адрес автоматического обработчика заявок ru-dns@ ripn.net. Шаблон заявки можно найти на сервере www.ripn.net. Если домен регистрирует другая компания, то необходимо правильно заполнить поле admin-o, в котором должен быть указан действительный владелец домена. Это оговаривается в контракте с компанией, регистрирующей домен. После делегирования домена все права на него будут принадлежать той организации или персоне, которая указана в поле admin-o доменной формы. После окончания регистрации домена и его делегирования организация, ответственная за оплату работ по поддержке нового домена (она указана в поле bill-o), в течение двух месяцев должна заключить с РосНИИРОС «Договор о регистрации и технической поддержке домена» и оплатить выставленный счет.
Заявка — это электронное письмо, содержащее информацию для занесения в базу данных РосНИИРОС. Любая заявка должна начинаться со следующих полей:
- Lang (необязательное) — определяет, на каком языке будут отсылаться автоматические сообщения и комментарии по заявке. (RU — русский язык или EN — английский язык.)
- Аction (необязательное) — определяет действия, выполняемые на основании представленных в заявке форм. (NEW — новая информация;
UPDATE — изменение информации;
GET — получение полной информации по объекту.) - Passwd (необязательное) — необходимо в том случае, когда служба технической поддержки, которой разрешено изменение информации в данном объекте (указана в поле mnt-by), использует авторизацию по паролю (CRYPT-PW). Пароль должен быть приведен в письме в незакодированном виде.
Далее должны следовать формы с данными для регистрации объектов. Каждая форма, которая содержится в заявке, создает новый объект в базе данных РосНИИРОС или изменяет данные в существующем объекте. Объектом может быть домен, организация, персона или служба технической поддержки. Заявка может содержать одну или несколько форм различных типов. Каждая из них должна иметь свой заголовок — соответствующее название, заключенное в скобки вида #[ ]#. Существуют следующие типы форм с данными:
- #[PERSON TEMPLATE]# — описание персоны;
- #[ORGANIZATION TEMPLATE]# — описание организации;
- #[MAINTAINER TEMPLATE]# — описание службы технической поддержки;
- #[DOMAIN TEMPLATE]# — описание домена.
Ссылки на другие объекты в формах с данными должны осуществляться следующим образом. Если объект, на который осуществляется ссылка, уже зарегистрирован в базе данных РосНИИРОС, необходимо ссылаться на него только по уникальному идентификатору, присвоенному при регистрации этого объекта (NIC-handle). Если объект, на который осуществляется ссылка, еще не зарегистрирован в базе данных РосНИИРОС, в заявке обязательно должна содержаться регистрационная форма на него. В этом случае ссылка на данный объект осуществляется по названию — для организации (поле org), по имени — для персоны (поле person).
Объект считается зарегистрированным в базе данных РосНИИРОС только после того, как заявителю отослано сообщение автомата о занесении информации об объекте в базу данных и присвоении ему уникального идентификатора (NIC-handle), по которому в дальнейшем будут осуществляться ссылки на данный объект. Выдержки из документов РосНИИРОС. Полные тексты документов можно найти на сервере www.ripn.net
Не ошибитесь с именем
В ближайшие десять лет адрес многих Web-узлов скорее всего изменится
Дэвид Плэсек: «Любая компания с абстрактным адресом Internet имеет возможность превратить никому прежде не известное имя в знаменитую торговую марку» |
А ведь придумать хорошее имя совсем несложно. Достаточно собрать друзей и попросить их придумать что-нибудь этакое. Однако большинство компаний предпочитают платить десятки тысяч долларов консультантам, которые сначала изучают мнение клиентов, затем регистрируют название торговой марки в Бюро патентов и торговых марок (для этого необходимо проверить все имена, уже используемые в Web), и лишь затем предоставляют готовый адрес заказчику.
Впрочем, сложность этой процедуры не пугает компании. Каждую неделю появляются все новые желающие поменять имя. Их почему-то не смущает, что на рекламу новой торговой марки придется потратить миллионы долларов. Несколько дней назад, например, компания Mining Company переименовалась в About.com, а заодно приобрела сразу 3000 других доменов (aboutkids.com, aboutpregnancy.com). Такое решение мотивировалось необходимостью предоставить клиентам единый механизм доступа к серверам.
Президент креативного агентства Hayden Group Даррелл Хайден, получающий по 15-20 тыс. долл. за то, чтобы подобрать подходящее имя и соответствующий ему Web-адрес, заметил, что его заказчики чаще всего даже не понимают, что его задача не ограничивается простым поиском уникального имени домена. Часто клиент берется сам проверять уже имеющиеся в Internet адреса и видит, что домен Alpha.com свободен. Приходится объяснять ему, что на самом деле это имя вполне может быть защищено в какой-то другой области.
Барбара Хайнрих, вице-президент по маркетингу компании iOwn.com (еще пару месяцев назад этот Web-узел имел адрес HomeShark.com), заметила, что для поиска нового имени они опросили массу людей, но найти подходящее название оказалось совсем не просто. Пришлось привлечь к этому процессу специализированную компанию Lexicon Branding. Сначала список из 3000 предложенных имен был сокращен до 85. К окончательному же выбору названия можно приступать только после того, как будет сформировано достаточно четко представление, какова фокус-группа, на которую ориентирован Web-узел.
Название компании сегодня — первый рубеж обороны в конкурентной борьбе. Адвокаты, специализирующиеся на патентах и торговых марках, советуют клиентам укрепить свои позиции, заранее расширив список имеющихся у них имен законными способами. Имя должно быть оригинальным, содержать в себе призыв и давать какое-то представление о деятельности компании. Оригинальность имени позволяет пользователям отличать лидеров индустрии от их конкурентов. К примеру, компании Kodak и Xerox владеют известными торговыми марками, которые ассоциируются у пользователей с высококачественными товарами соответствующего профиля.
Соблазн стать «первопроходцем» и побыстрее выйти в Internet приводит к тому, что многие люди выбирают чисто описательные категории имен зачастую еще до того, как компания начнет функционировать.
«Любая компания с абстрактным адресом Internet имеет возможность разместить на своих страницах интересные, загадочные и пробуждающие любопытство образы, превратив, таким образом, никому прежде не известное имя в знаменитую торговую марку», — заметил директор компании Lexicon Дэвид Плэсек. Кстати, свои услуги по подбору имени и адреса в Сети Lexicon оценивает в 40-50 тыс. долл.
Некоторые компании уже пострадали оттого, что не сумели вовремя создать себе необходимого запаса имен. К примеру, служба интерактивного поиска квартир SpringStreet совсем недавно сменила свое название, отказавшись от имени AllApartments.com. По мнению вице-президента по маркетингу SpringStreet Софии Каблер, «ставка на имя ?со смыслом? может привести к весьма неприятным последствиям, поскольку за те 30 минут, в течение которых клиент едет от рекламного щита к своему офису, он должен решить, просматривать ли ему в первую очередь предложения Apartments.com или Rent.Net, не забыв этих имен. А мы не хотим, чтобы нас путали с конкурентами».
Джекоб Вард, The Industry Standard, СШАУкрали имя
Служба доменных имен в России управляется по электронной почте. Происходит это так: администратор компании, на которую зарегистрирован домен, посылает в адрес РосНИИРОС письмо, в котором содержится вся информация о домене, компании и самом администраторе (администратор указывает свое имя и пароль). Сервер РосНИИРОС анализирует такое письмо, сверяет имя и пароль администратора, а затем вносит необходимые изменения в базу доменных имен. Недавно в такой простой схеме появился еще один этап — данные попадают в базу только после того, как администратор дополнительным письмом подтвердит внесенные изменения. Усложнение схемы внесения изменений было принято Координационной группой домена ru после нападения на сервер РосНИИРОС, которое произошло в начале мая.
Собственно, скорее это следует назвать хулиганской выходкой, поскольку в результате пострадали только сотрудники РосНИИРОС, которым пришлось тратить время на согласование и изменение информации в базе данных доменов. Впрочем, как оценить те неприятные минуты, которые пришлось пережить администраторам доменов, когда, вернувшись с праздников, они обнаружили, что их домен им уже не принадлежит и в записях на сервере РосНИИРОС они уже ничего не могут изменить?
Теперь о самой информации, хранимой в базе данных РосНИИРОС. Организация и состав полей аналогичны европейской базе RIPE. Одно из полей этой базы под названием mnt-by содержит идентификатор компании, имеющей право изменять по своему усмотрению все остальные поля. Однако несколько лет назад в описании домена этого поля не было, а всю информацию в домене контролировала компания, указанная в поле admin-o. Поле же mnt-by было добавлено для обеспечения возможности внешнего управления доменом. Таким образом, владельцем домена является одна компания, а его администрированием занимается другая.
Новое поле было добавлено полтора года назад, когда вводилась плата за поддержку доменных имен и проходила всеобщая перерегистрация доменов в зоне ru. Однако при перерегистрации были допущены отдельные погрешности. Некоторые администраторы, послав заявку с указанием поля mnt-by для своего домена, получили сообщение об ошибке и исключили из заявки это поле. Причем РосНИИРОС исправленные заявки принял и посчитал эти домены перерегистрированными, хотя поле mnt-by в базе данных осталось пустым. Так появилась возможность нападения.
Ею и воспользовался Ден Гледенов из студии Web-дизайна ABV. Трудно теперь разобраться, что заставило его предпринять атаку. По одной из версий, на него самого напали, попытавшись отобрать зарегистрированный на его организацию домен. И тогда, чтобы привлечь внимание общественности к легкой процедуре перехвата доменов, он попытался перехватить другие домены, и ему это удалось. Атака, вероятно, выполнялась по следующей схеме: Гледенов посылал письмо в РосНИИРОС с указанием своей компании в поле mnt-by для тех доменов, у которых это поле не было определено. Поскольку указанная в поле mnt-by компания имеет право изменять записи базы данных, механизм авторизации допускал обработку такой заявки.
Здесь кроется второе обстоятельство, позволившее совершить атаку. Теоретически, если бы система «понимала», что поле mnt-by пустое, и выполняла авторизацию по другим полям, то атака не удалась бы. Замечу, что если бы злоумышленник хотел совершить реальное нападение, то мог бы переписать поля nserver, которые указывают серверы DNS для данного домена, и таким образом контролировать доступ пользователей к серверам в этих доменах. Однако этого, к счастью, не произошло.
Одним из пострадавших оказалось и издательство «Открытые системы». У нас были перехвачены три домена — osp.ru (общий домен), pcworld.ru (журнал «Мир ПК») и lanmag.ru (журнал LAN). Нашему системному администратору уже в четыре часа дня 6 мая служба технической поддержки прислала сообщение об изменении полей mnt-by и bill-o (плательщик) с просьбой проверить правильность внесенных изменений. В сообщении указывалось, с какого почтового адреса пришло письмо об изменении данных о домене, и список из трех человек, которые могли эти изменения внести.
Наш системный администратор попытался сначала самостоятельно вернуть данные о домене в исходное состояние, но не тут-то было. Поскольку в поле mnt-by значилась другая организация, то наш собственный администратор не имел права изменять данные о домене. Механизмы защиты играли в этом случае против законного владельца. Пришлось связываться со службой технической поддержки РосНИИРОС и выяснять, как же вернуть данные о домене в исходное состояние. Для этого потребовалось прислать бумажное письмо на фирменном бланке издательства. Данные о домене были возвращены в исходное состояние вручную операторами базы данных 12 мая. Сотрудники РосНИИРОС также попросили прислать еще одно официальное письмо с описанием сложившейся ситуации, чтобы они могли обратиться в суд.
Произошедший инцидент разбирался на заседании Координационной группы зоны ru, на котором РосНИИРОС рекомендовали добавить дополнительный уровень защиты в механизм авторизации, а кроме того обратиться в суд с иском к компьютерному хулигану. Что скажет суд — покажет время.
Валерий Коржов, Computerworld Россия