ΠŸΠΎΡ‚Π΅Π½Ρ†ΠΈΠ°Π»ΡŒΠ½Ρ‹Π΅ Π°Ρ‚Π°ΠΊΠΈ Π½Π° HTTPS ΠΈ ΠΊΠ°ΠΊ ΠΎΡ‚ Π½ΠΈΡ… Π·Π°Ρ‰ΠΈΡ‚ΠΈΡ‚ΡŒΡΡ

Половина сайтов ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ HTTPS, ΠΈ ΠΈΡ… число ΡΡ‚Π°Π±ΠΈΠ»ΡŒΠ½ΠΎ увСличиваСтся. ΠŸΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ» сокращаСт риск ΠΏΠ΅Ρ€Π΅Ρ…Π²Π°Ρ‚Π° Ρ‚Ρ€Π°Ρ„ΠΈΠΊΠ°, Π½ΠΎ Π½Π΅ ΠΈΡΠΊΠ»ΡŽΡ‡Π°Π΅Ρ‚ ΠΏΠΎΠΏΡ‹Ρ‚ΠΊΠΈ Π°Ρ‚Π°ΠΊ ΠΊΠ°ΠΊ Ρ‚Π°ΠΊΠΎΠ²Ρ‹Π΅. О Π½Π΅ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… ΠΈΡ… Π½ΠΈΡ… β€” POODLE, BEAST, DROWN ΠΈ Π΄Ρ€ΡƒΠ³ΠΈΡ… β€” ΠΈ способах Π·Π°Ρ‰ΠΈΡ‚Ρ‹, ΠΌΡ‹ расскаТСм Π² нашСм ΠΌΠ°Ρ‚Π΅Ρ€ΠΈΠ°Π»Π΅.

ΠŸΠΎΡ‚Π΅Π½Ρ†ΠΈΠ°Π»ΡŒΠ½Ρ‹Π΅ Π°Ρ‚Π°ΠΊΠΈ Π½Π° HTTPS ΠΈ ΠΊΠ°ΠΊ ΠΎΡ‚ Π½ΠΈΡ… Π·Π°Ρ‰ΠΈΡ‚ΠΈΡ‚ΡŒΡΡ
/ Flickr / Sven Graeme / CC BY-SA

POODLE

Π’ΠΏΠ΅Ρ€Π²Ρ‹Π΅ ΠΎΠ± Π°Ρ‚Π°ΠΊΠ΅ POODLE стало извСстно Π² 2014 Π³ΠΎΠ΄Ρƒ. Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ Π² ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»Π΅ SSL 3.0 ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠΈΠ» спСциалист ΠΏΠΎ Π˜Π‘ Π‘ΠΎΠ΄ΠΎ ΠœΡ‘Π»Π»Π΅Ρ€ (Bodo MΓΆller) с ΠΊΠΎΠ»Π»Π΅Π³Π°ΠΌΠΈ ΠΈΠ· Google.

Π•Π΅ ΡΡƒΡ‚ΡŒ Π·Π°ΠΊΠ»ΡŽΡ‡Π°Π΅Ρ‚ΡΡ Π² ΡΠ»Π΅Π΄ΡƒΡŽΡ‰Π΅ΠΌ: Ρ…Π°ΠΊΠ΅Ρ€ Π²Ρ‹Π½ΡƒΠΆΠ΄Π°Π΅Ρ‚ ΠΊΠ»ΠΈΠ΅Π½Ρ‚Π° Π²Ρ‹ΠΏΠΎΠ»Π½ΠΈΡ‚ΡŒ ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΠ΅ ΠΏΠΎ SSL 3.0, эмулируя Ρ€Π°Π·Ρ€Ρ‹Π²Ρ‹ связи. Π—Π°Ρ‚Π΅ΠΌ ΠΎΠ½ ΠΈΡ‰Π΅Ρ‚ Π² Π·Π°ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½Π½ΠΎΠΌ Π² CBC-Ρ€Π΅ΠΆΠΈΠΌΠ΅ Ρ‚Ρ€Π°Ρ„ΠΈΠΊΠ΅ ΡΠΏΠ΅Ρ†ΠΈΠ°Π»ΡŒΠ½Ρ‹Π΅ сообщСния-ΠΌΠ΅Ρ‚ΠΊΠΈ. Π‘ ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ сСрии подставных запросов Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊ ΠΏΠΎΠ»ΡƒΡ‡Π°Π΅Ρ‚ Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ Ρ€Π΅ΠΊΠΎΠ½ΡΡ‚Ρ€ΡƒΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ содСрТимоС ΠΈΠ½Ρ‚Π΅Ρ€Π΅ΡΡƒΡŽΡ‰ΠΈΡ… Π΅Π³ΠΎ Π΄Π°Π½Π½Ρ‹Ρ…, Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€ cookies.

SSL 3.0 β€” ΡƒΡΡ‚Π°Ρ€Π΅Π²ΡˆΠΈΠΉ ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ». Но вопрос Π΅Π³ΠΎ бСзопасности всС Π΅Ρ‰Π΅ Π°ΠΊΡ‚ΡƒΠ°Π»Π΅Π½. ΠšΠ»ΠΈΠ΅Π½Ρ‚Ρ‹ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‚ Π΅Π³ΠΎ, Ρ‡Ρ‚ΠΎΠ±Ρ‹ ΠΈΠ·Π±Π΅ΠΆΠ°Ρ‚ΡŒ ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌ совмСстимости с сСрвСрами. По Π½Π΅ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΌ Π΄Π°Π½Π½Ρ‹ΠΌ, ΠΏΠΎΡ‡Ρ‚ΠΈ 7% ΠΈΠ· 100 тыс. самых популярных сайтов всС Π΅Ρ‰Π΅ ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΈΠ²Π°ΡŽΡ‚ SSL 3.0. Π’Π°ΠΊΠΆΠ΅ ΡΡƒΡ‰Π΅ΡΡ‚Π²ΡƒΡŽΡ‚ ΠΌΠΎΠ΄ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ POODLE, Ρ†Π΅Π»ΡŒΡŽ ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… ΡΠ²Π»ΡΡŽΡ‚ΡΡ Π±ΠΎΠ»Π΅Π΅ соврСмСнныС TLS 1.0 ΠΈ TLS 1.1. Π’ этом Π³ΠΎΠ΄Ρƒ появились Π½ΠΎΠ²Ρ‹Π΅ Π°Ρ‚Π°ΠΊΠΈ Zombie POODLE ΠΈ GOLDENDOODLE, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ обходят Π·Π°Ρ‰ΠΈΡ‚Ρƒ TLS 1.2 (ΠΎΠ½ΠΈ ΠΏΠΎ-ΠΏΡ€Π΅ΠΆΠ½Π΅ΠΌΡƒ связаны с CBC-ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½ΠΈΠ΅ΠΌ).

Как Π·Π°Ρ‰ΠΈΡ‚ΠΈΡ‚ΡŒΡΡ. Π’ случаС с ΠΎΡ€ΠΈΠ³ΠΈΠ½Π°Π»ΡŒΠ½Ρ‹ΠΌ POODLE Π½ΡƒΠΆΠ½ΠΎ ΠΎΡ‚ΠΊΠ»ΡŽΡ‡ΠΈΡ‚ΡŒ ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΡƒ SSL 3.0. Однако Π² этом случаС Π΅ΡΡ‚ΡŒ риск ΠΏΠΎΠ»ΡƒΡ‡ΠΈΡ‚ΡŒ ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΡ‹ с ΡΠΎΠ²ΠΌΠ΅ΡΡ‚ΠΈΠΌΠΎΡΡ‚ΡŒΡŽ. ΠΠ»ΡŒΡ‚Π΅Ρ€Π½Π°Ρ‚ΠΈΠ²Π½Ρ‹ΠΌ Ρ€Π΅ΡˆΠ΅Π½ΠΈΠ΅ΠΌ ΠΌΠΎΠΆΠ΅Ρ‚ ΡΡ‚Π°Ρ‚ΡŒ ΠΌΠ΅Ρ…Π°Π½ΠΈΠ·ΠΌ TLS_FALLBACK_SCSV β€” ΠΎΠ½ Π³Π°Ρ€Π°Π½Ρ‚ΠΈΡ€ΡƒΠ΅Ρ‚, Ρ‡Ρ‚ΠΎ ΠΎΠ±ΠΌΠ΅Π½ Π΄Π°Π½Π½Ρ‹ΠΌΠΈ ΠΏΠΎ SSL 3.0 Π±ΡƒΠ΄Π΅Ρ‚ ΠΏΡ€ΠΎΠ²ΠΎΠ΄ΠΈΡ‚ΡŒΡΡ Ρ‚ΠΎΠ»ΡŒΠΊΠΎ со старыми систСмами. Π—Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΈ большС Π½Π΅ смогут ΠΈΠ½ΠΈΡ†ΠΈΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ ΠΏΠΎΠ½ΠΈΠΆΠ΅Π½ΠΈΠ΅ вСрсии ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»Π°. Бпособ Π·Π°Ρ‰ΠΈΡ‚Ρ‹ ΠΎΡ‚ Zombie POODLE ΠΈ GOLDENDOODLE β€” ΠΎΡ‚ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΠ΅ ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠΈ CBC Π² прилоТСниях Π½Π° Π±Π°Π·Π΅ TLS 1.2. ΠšΠ°Ρ€Π΄ΠΈΠ½Π°Π»ΡŒΠ½Ρ‹ΠΌ Ρ€Π΅ΡˆΠ΅Π½ΠΈΠ΅ΠΌ станСт ΠΏΠ΅Ρ€Π΅Ρ…ΠΎΠ΄ Π½Π° TLS 1.3 β€” Π² Π½ΠΎΠ²ΠΎΠΉ вСрсии ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»Π° Π½Π΅ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ΡΡ CBC-ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½ΠΈΠ΅. ВмСсто Π½Π΅Π³ΠΎ, ΠΏΡ€ΠΈΠΌΠ΅Π½ΡΡŽΡ‚ΡΡ Π±ΠΎΠ»Π΅Π΅ стойкиС AES ΠΈ ChaCha20.

BEAST

Одна ΠΈΠ· самых ΠΏΠ΅Ρ€Π²Ρ‹Ρ… Π°Ρ‚Π°ΠΊ Π½Π° SSL ΠΈ TLS 1.0, обнаруТСнная Π² 2011 Π³ΠΎΠ΄Ρƒ. Как ΠΈ POODLE, BEAST ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ особСнности CBC-ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½ΠΈΡ. Π—Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΈ Π²Π½Π΅Π΄Ρ€ΡΡŽΡ‚ Π½Π° ΠΊΠ»ΠΈΠ΅Π½Ρ‚ΡΠΊΡƒΡŽ ΠΌΠ°ΡˆΠΈΠ½Ρƒ JavaScript-Π°Π³Π΅Π½Ρ‚ ΠΈΠ»ΠΈ Java-Π°ΠΏΠΏΠ»Π΅Ρ‚, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ подмСняСт сообщСния ΠΏΡ€ΠΈ трансляции Π΄Π°Π½Π½Ρ‹Ρ… ΠΏΠΎ TLS ΠΈΠ»ΠΈ SSL. Π’Π°ΠΊ ΠΊΠ°ΠΊ Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠ°ΠΌ извСстно содСрТаниС «подставных» ΠΏΠ°ΠΊΠ΅Ρ‚ΠΎΠ², ΠΎΠ½ΠΈ ΠΌΠΎΠ³ΡƒΡ‚ с ΠΈΡ… ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ Ρ€Π°ΡΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Ρ‚ΡŒ Π²Π΅ΠΊΡ‚ΠΎΡ€ ΠΈΠ½ΠΈΡ†ΠΈΠ°Π»ΠΈΠ·Π°Ρ†ΠΈΠΈ ΠΈ ΠΏΡ€ΠΎΡ‡ΠΈΡ‚Π°Ρ‚ΡŒ ΠΎΡΡ‚Π°Π»ΡŒΠ½Ρ‹Π΅ сообщСния ΠΊ сСрвСру, Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€ cookie-Ρ„Π°ΠΉΠ»Ρ‹ для Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ.

На сСгодняшний дСнь уязвимости BEAST ΠΏΠΎ-ΠΏΡ€Π΅ΠΆΠ½Π΅ΠΌΡƒ ΠΏΠΎΠ΄Π²Π΅Ρ€ΠΆΠ΅Π½ ряд сСтСвых инструмСнтов: прокси-сСрвСры ΠΈ прилоТСния для Π·Π°Ρ‰ΠΈΡ‚Ρ‹ Π»ΠΎΠΊΠ°Π»ΡŒΠ½Ρ‹Ρ… ΠΈΠ½Ρ‚Π΅Ρ€Π½Π΅Ρ‚-шлюзов.

Как Π·Π°Ρ‰ΠΈΡ‚ΠΈΡ‚ΡŒΡΡ. ΠΡ‚Π°ΠΊΡƒΡŽΡ‰Π΅ΠΌΡƒ Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΠΎ рСгулярно ΠΏΠΎΡΡ‹Π»Π°Ρ‚ΡŒ запросы, Ρ‡Ρ‚ΠΎΠ±Ρ‹ Ρ€Π°ΡΡˆΠΈΡ„Ρ€ΠΎΠ²Ρ‹Π²Π°Ρ‚ΡŒ Π΄Π°Π½Π½Ρ‹Π΅. Π’ VMware Ρ€Π΅ΠΊΠΎΠΌΠ΅Π½Π΄ΡƒΡŽΡ‚ ΡΠΎΠΊΡ€Π°Ρ‚ΠΈΡ‚ΡŒ Π΄Π»ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎΡΡ‚ΡŒ SSLSessionCacheTimeout β€” с пяти ΠΌΠΈΠ½ΡƒΡ‚ (рСкомСндация ΠΏΠΎ ΡƒΠΌΠΎΠ»Ρ‡Π°Π½ΠΈΡŽ) Π΄ΠΎ 30 сСкунд. Π’Π°ΠΊΠΎΠΉ ΠΏΠΎΠ΄Ρ…ΠΎΠ΄ услоТнит Ρ€Π΅Π°Π»ΠΈΠ·Π°Ρ†ΠΈΡŽ ΠΏΠ»Π°Π½ΠΎΠ² Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠ°ΠΌ, хотя ΠΈ ΠΎΠΊΠ°ΠΆΠ΅Ρ‚ Π½Π΅ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π½Π΅Π³Π°Ρ‚ΠΈΠ²Π½Ρ‹ΠΉ эффСкт Π½Π° ΠΏΡ€ΠΎΠΈΠ·Π²ΠΎΠ΄ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎΡΡ‚ΡŒ. Помимо этого Π½ΡƒΠΆΠ½ΠΎ ΠΏΠΎΠ½ΠΈΠΌΠ°Ρ‚ΡŒ, Ρ‡Ρ‚ΠΎ Π² скором Π²Ρ€Π΅ΠΌΠ΅Π½ΠΈ ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ BEAST ΠΌΠΎΠΆΠ΅Ρ‚ ΡƒΠΉΡ‚ΠΈ Π² ΠΏΡ€ΠΎΡˆΠ»ΠΎΠ΅ сама ΠΏΠΎ сСбС β€” с 2020 Π³ΠΎΠ΄Π° ΠΊΡ€ΡƒΠΏΠ½Π΅ΠΉΡˆΠΈΠ΅ Π±Ρ€Π°ΡƒΠ·Π΅Ρ€Ρ‹ ΠΏΡ€Π΅ΠΊΡ€Π°Ρ‰Π°ΡŽΡ‚ ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΡƒ TLS 1.0 ΠΈ 1.1. Π’ любом случаС с этими ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»Π°ΠΌΠΈ Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ ΠΌΠ΅Π½Π΅Π΅ 1,5% всСх ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ Π±Ρ€Π°ΡƒΠ·Π΅Ρ€ΠΎΠ².

DROWN

Π­Ρ‚ΠΎ β€” кросс-ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»ΡŒΠ½Π°Ρ Π°Ρ‚Π°ΠΊΠ°, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‰Π°Ρ ошибки Π² Ρ€Π΅Π°Π»ΠΈΠ·Π°Ρ†ΠΈΠΈ SSLv2 с 40-Π±ΠΈΡ‚Π½Ρ‹ΠΌΠΈ ΠΊΠ»ΡŽΡ‡Π°ΠΌΠΈ RSA. Π—Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊ ΠΏΡ€ΠΎΡΠ»ΡƒΡˆΠΈΠ²Π°Π΅Ρ‚ сотни TLS-ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΠΉ Ρ†Π΅Π»ΠΈ ΠΈ отправляСт ΡΠΏΠ΅Ρ†ΠΈΠ°Π»ΡŒΠ½Ρ‹Π΅ ΠΏΠ°ΠΊΠ΅Ρ‚Ρ‹ Π½Π° сСрвСр с SSLv2, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‰ΠΈΠΉ Ρ‚Π°ΠΊΠΎΠΉ ΠΆΠ΅ ΠΏΡ€ΠΈΠ²Π°Ρ‚Π½Ρ‹ΠΉ ΠΊΠ»ΡŽΡ‡. Π˜ΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡ Π°Ρ‚Π°ΠΊΡƒ Π‘Π»Π΅ΠΉΡ…Π΅Π½Π±Π°Ρ…Π΅Ρ€Π°, Ρ…Π°ΠΊΠ΅Ρ€ ΠΌΠΎΠΆΠ΅Ρ‚ Ρ€Π°ΡΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Ρ‚ΡŒ ΠΎΠ΄Π½Ρƒ ΠΈΠ· ΠΏΡ€ΠΈΠΌΠ΅Ρ€Π½ΠΎ тысячи TLS-сСссий ΠΊΠ»ΠΈΠ΅Π½Ρ‚Π°.

О DROWN Π²ΠΏΠ΅Ρ€Π²Ρ‹Π΅ стало извСстно Π² 2016 Π³ΠΎΠ΄Ρƒ β€” Ρ‚ΠΎΠ³Π΄Π° Π΅ΠΉ оказалась ΠΏΠΎΠ΄Π²Π΅Ρ€ΠΆΠ΅Π½Π° Ρ‚Ρ€Π΅Ρ‚ΡŒ сСрвСров Π² ΠΌΠΈΡ€Π΅. На сСгодняшний дСнь ΠΎΠ½Π° Π½Π΅ ΡƒΡ‚Ρ€Π°Ρ‚ΠΈΠ»Π° Π°ΠΊΡ‚ΡƒΠ°Π»ΡŒΠ½ΠΎΡΡ‚ΠΈ. Из 150 тысяч самых популярных сайтов 2% Π΄ΠΎ сих ΠΏΠΎΡ€ ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΈΠ²Π°ΡŽΡ‚ SSLv2 ΠΈ уязвимыС ΠΌΠ΅Ρ…Π°Π½ΠΈΠ·ΠΌΡ‹ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½ΠΈΡ.

Как Π·Π°Ρ‰ΠΈΡ‚ΠΈΡ‚ΡŒΡΡ. НСобходимо ΡƒΡΡ‚Π°Π½ΠΎΠ²ΠΈΡ‚ΡŒ ΠΏΠ°Ρ‚Ρ‡ΠΈ, ΠΏΡ€Π΅Π΄Π»ΠΎΠΆΠ΅Π½Π½Ρ‹Π΅ Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Ρ‡ΠΈΠΊΠ°ΠΌΠΈ криптографичСских Π±ΠΈΠ±Π»ΠΈΠΎΡ‚Π΅ΠΊ, ΠΎΡ‚ΠΊΠ»ΡŽΡ‡Π°ΡŽΡ‰ΠΈΠ΅ ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΡƒ SSLv2. НапримСр, Π΄Π²Π΅ Ρ‚Π°ΠΊΠΈΠ΅ Π·Π°ΠΏΠ»Π°Ρ‚ΠΊΠΈ прСдставили для OpenSSL (Π² 2016 Π³ΠΎΠ΄Ρƒ это Π±Ρ‹Π»ΠΈ обновлСния 1.0.1s ΠΈ 1.0.2g). Π’Π°ΠΊΠΆΠ΅ Π°ΠΏΠ΄Π΅ΠΉΡ‚Ρ‹ ΠΈ инструкции ΠΏΠΎ ΠΎΡ‚ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΡŽ уязвимого ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»Π° ΠΎΠΏΡƒΠ±Π»ΠΈΠΊΠΎΠ²Π°Π»ΠΈ Π² Red Hat, Apache, Debian.

«РСсурс ΠΌΠΎΠΆΠ΅Ρ‚ Π±Ρ‹Ρ‚ΡŒ уязвим для DROWN, Ссли Π΅Π³ΠΎ ΠΊΠ»ΡŽΡ‡ΠΈ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ сторонний сСрвСр с SSLv2, Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€ ΠΏΠΎΡ‡Ρ‚ΠΎΠ²Ρ‹ΠΉ, β€” ΠΎΡ‚ΠΌΠ΅Ρ‡Π°Π΅Ρ‚ Π½Π°Ρ‡Π°Π»ΡŒΠ½ΠΈΠΊ ΠΎΡ‚Π΄Π΅Π»Π° развития IaaS-ΠΏΡ€ΠΎΠ²Π°ΠΉΠ΄Π΅Ρ€Π° 1cloud.ru Π‘Π΅Ρ€Π³Π΅ΠΉ Π‘Π΅Π»ΠΊΠΈΠ½. β€” Вакая ситуация Π²ΠΎΠ·Π½ΠΈΠΊΠ°Π΅Ρ‚, Ссли нСсколько сСрвСров ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‚ ΠΎΠ±Ρ‰ΠΈΠΉ SSL-сСртификат. Π’ этом случаС ΠΎΡ‚ΠΊΠ»ΡŽΡ‡ΠΈΡ‚ΡŒ ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΡƒ SSLv2 Π½ΡƒΠΆΠ½ΠΎ Π½Π° всСх ΠΌΠ°ΡˆΠΈΠ½Π°Ρ…Β».

ΠŸΡ€ΠΎΠ²Π΅Ρ€ΠΈΡ‚ΡŒ, Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΠΎ Π»ΠΈ ΠΎΠ±Π½ΠΎΠ²ΠΈΡ‚ΡŒ свою систСму, ΠΌΠΎΠΆΠ½ΠΎ с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ ΡΠΏΠ΅Ρ†ΠΈΠ°Π»ΡŒΠ½ΠΎΠΉ ΡƒΡ‚ΠΈΠ»ΠΈΡ‚Ρ‹ β€” Π΅Ρ‘ Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Π°Π»ΠΈ спСциалисты ΠΏΠΎ Π˜Π‘, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠΈΠ»ΠΈ DROWN. Π‘ΠΎΠ»ΡŒΡˆΠ΅ ΠΎ рСкомСндациях, связанных с Π·Π°Ρ‰ΠΈΡ‚ΠΎΠΉ ΠΎΡ‚ этого Ρ‚ΠΈΠΏΠ° Π°Ρ‚Π°ΠΊ, ΠΌΠΎΠΆΠ½ΠΎ ΠΏΠΎΡ‡ΠΈΡ‚Π°Ρ‚ΡŒ Π² постС Π½Π° сайтС OpenSSL.

Heartbleed

Одна ΠΈΠ· самых ΠΊΡ€ΡƒΠΏΠ½Ρ‹Ρ… уязвимостСй Π² софтС β€” Heartbleed. Π•Ρ‘ ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠΈΠ»ΠΈ Π² 2014 Π³ΠΎΠ΄Ρƒ Π² Π±ΠΈΠ±Π»ΠΈΠΎΡ‚Π΅ΠΊΠ΅ OpenSSL. На ΠΌΠΎΠΌΠ΅Π½Ρ‚ объявлСния ΠΎΠ± ошибкС количСство уязвимых Π²Π΅Π±-сайтов ΠΎΡ†Π΅Π½ΠΈΠ²Π°Π»ΠΎΡΡŒ Π² ΠΏΠΎΠ»ΠΌΠΈΠ»Π»ΠΈΠΎΠ½Π° β€” это ΠΏΡ€ΠΈΠΌΠ΅Ρ€Π½ΠΎ 17% Π·Π°Ρ‰ΠΈΡ‰Π΅Π½Π½Ρ‹Ρ… рСсурсов Π² сСти.

Атака рСализуСтся Ρ‡Π΅Ρ€Π΅Π· нСбольшой ΠΌΠΎΠ΄ΡƒΠ»ΡŒ Heartbeat Ρ€Π°ΡΡˆΠΈΡ€Π΅Π½ΠΈΡ TLS. TLS-ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ» Ρ‚Ρ€Π΅Π±ΡƒΠ΅Ρ‚, Ρ‡Ρ‚ΠΎΠ±Ρ‹ Π΄Π°Π½Π½Ρ‹Π΅ ΠΏΠ΅Ρ€Π΅Π΄Π°Π²Π°Π»ΠΈΡΡŒ Π½Π΅ΠΏΡ€Π΅Ρ€Ρ‹Π²Π½ΠΎ. Π’ случаС Π΄Π»ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎΠ³ΠΎ простоя происходит Ρ€Π°Π·Ρ€Ρ‹Π² ΠΈ приходится Π·Π°Π½ΠΎΠ²ΠΎ ΡƒΡΡ‚Π°Π½Π°Π²Π»ΠΈΠ²Π°Ρ‚ΡŒ соСдинСниС. Π§Ρ‚ΠΎΠ±Ρ‹ ΡΠΏΡ€Π°Π²ΠΈΡ‚ΡŒΡΡ с ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΠΎΠΉ, сСрвСры ΠΈ ΠΊΠ»ΠΈΠ΅Π½Ρ‚Ρ‹ искусствСнно Β«Π·Π°ΡˆΡƒΠΌΠ»ΡΡŽΡ‚Β» ΠΊΠ°Π½Π°Π» (RFC 6520, стр.5), пСрСдавая ΠΏΠ°ΠΊΠ΅Ρ‚ случайной Π΄Π»ΠΈΠ½Ρ‹. Если ΠΎΠ½ оказывался большС всСго ΠΏΠ°ΠΊΠ΅Ρ‚Π°, Ρ‚ΠΎ уязвимыС вСрсии OpenSSL Ρ‡ΠΈΡ‚Π°Π»ΠΈ ΠΏΠ°ΠΌΡΡ‚ΡŒ Π·Π° ΠΏΡ€Π΅Π΄Π΅Π»Π°ΠΌΠΈ ΠΎΡ‚Π²Π΅Π΄Ρ‘Π½Π½ΠΎΠ³ΠΎ Π±ΡƒΡ„Π΅Ρ€Π°. Π’ этой области ΠΌΠΎΠ³Π»ΠΈ Π½Π°Ρ…ΠΎΠ΄ΠΈΡ‚ΡŒΡΡ Π»ΡŽΠ±Ρ‹Π΅ Π΄Π°Π½Π½Ρ‹Π΅, Π² Ρ‚ΠΎΠΌ числС Π·Π°ΠΊΡ€Ρ‹Ρ‚Ρ‹Π΅ ΠΊΠ»ΡŽΡ‡ΠΈ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½ΠΈΡ ΠΈ информация ΠΎ Π΄Ρ€ΡƒΠ³ΠΈΡ… соСдинСниях.

Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ присутствовала Π²ΠΎ всСх вСрсиях Π±ΠΈΠ±Π»ΠΈΠΎΡ‚Π΅ΠΊΠΈ ΠΌΠ΅ΠΆΠ΄Ρƒ 1.0.1 ΠΈ 1.0.1f Π²ΠΊΠ»ΡŽΡ‡ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎ, Π° Ρ‚Π°ΠΊΠΆΠ΅ Π² рядС ОБ β€” Ubuntu Π΄ΠΎ 12.04.4, CentOS ΡΡ‚Π°Ρ€ΡˆΠ΅ 6.5, OpenBSD 5.3 ΠΈ Π΄Ρ€ΡƒΠ³ΠΈΡ…. ΠŸΠΎΠ»Π½Ρ‹ΠΉ список Π΅ΡΡ‚ΡŒ Π½Π° сайтС, посвящСнном Heartbleed. Π₯отя ΠΏΠ°Ρ‚Ρ‡ΠΈ ΠΏΡ€ΠΎΡ‚ΠΈΠ² этой уязвимости Π±Ρ‹Π»ΠΈ Π²Ρ‹ΠΏΡƒΡ‰Π΅Π½Ρ‹ практичСски сразу послС Π΅Ρ‘ обнаруТСния, ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΠ° остаСтся Π°ΠΊΡ‚ΡƒΠ°Π»ΡŒΠ½ΠΎΠΉ Π΄ΠΎ сих ΠΏΠΎΡ€. Π•Ρ‰Π΅ Π² 2017 Π³ΠΎΠ΄Ρƒ Ρ€Π°Π±ΠΎΡ‚Π°Π»ΠΎ ΠΏΠΎΡ‡Ρ‚ΠΈ 200 тыс. сайтов, ΠΏΠΎΠ΄Π²Π΅Ρ€ΠΆΠ΅Π½Π½Ρ‹Ρ… Heartbleed.

Как Π·Π°Ρ‰ΠΈΡ‚ΠΈΡ‚ΡŒΡΡ. НуТно ΠΎΠ±Π½ΠΎΠ²ΠΈΡ‚ΡŒ OpenSSL Π΄ΠΎ вСрсии 1.0.1g ΠΈΠ»ΠΈ Π²Ρ‹ΡˆΠ΅. МоТно Ρ‚Π°ΠΊΠΆΠ΅ ΠΎΡ‚ΠΊΠ»ΡŽΡ‡ΠΈΡ‚ΡŒ Heartbeat-запросы Π²Ρ€ΡƒΡ‡Π½ΡƒΡŽ с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ ΠΎΠΏΡ†ΠΈΠΈ DOPENSSL_NO_HEARTBEATS. ПослС обновлСния спСциалисты ΠΏΠΎ Π˜Π‘ Ρ€Π΅ΠΊΠΎΠΌΠ΅Π½Π΄ΡƒΡŽΡ‚ ΠΏΠ΅Ρ€Π΅Π²Ρ‹ΠΏΡƒΡΡ‚ΠΈΡ‚ΡŒ SSL-сСртификаты. Π—Π°ΠΌΠ΅Π½Π° Π½ΡƒΠΆΠ½Π° Π½Π° случай, Ссли Π΄Π°Π½Π½Ρ‹Π΅ ΠΎ ΠΊΠ»ΡŽΡ‡Π°Ρ… ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½ΠΈΡ всС ΠΆΠ΅ ΠΏΠΎΠΏΠ°Π»ΠΈ ΠΊ Ρ…Π°ΠΊΠ΅Ρ€Π°ΠΌ.

ПодмСна сСртификата

ΠœΠ΅ΠΆΠ΄Ρƒ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΌ ΠΈ сСрвСром устанавливаСтся управляСмый ΡƒΠ·Π΅Π» с Π»Π΅Π³ΠΈΡ‚ΠΈΠΌΠ½Ρ‹ΠΌ SSL-сСртификатом, Π°ΠΊΡ‚ΠΈΠ²Π½ΠΎ ΠΏΠ΅Ρ€Π΅Ρ…Π²Π°Ρ‚Ρ‹Π²Π°ΡŽΡ‰ΠΈΠΉ Ρ‚Ρ€Π°Ρ„ΠΈΠΊ. Π­Ρ‚ΠΎΡ‚ ΡƒΠ·Π΅Π» Π²Ρ‹Π΄Π°Ρ‘Ρ‚ сСбя Π·Π° Π»Π΅Π³ΠΈΡ‚ΠΈΠΌΠ½Ρ‹ΠΉ сСрвСр, ΠΏΡ€Π΅Π΄ΡŠΡΠ²Π»ΡΡ Π²Π°Π»ΠΈΠ΄Π½Ρ‹ΠΉ сСртификат, ΠΈ появляСтся Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ провСсти MITM-Π°Ρ‚Π°ΠΊΡƒ.

Богласно исслСдованию ΠΊΠΎΠΌΠ°Π½Π΄ ΠΈΠ· Mozilla, Google ΠΈ ряда унивСрситСтов, ΠΏΡ€ΠΈΠΌΠ΅Ρ€Π½ΠΎ 11% Π·Π°Ρ‰ΠΈΡ‰Π΅Π½Π½Ρ‹Ρ… соСдинСний Π² сСти Β«ΠΏΡ€ΠΎΡΠ»ΡƒΡˆΠΈΠ²Π°ΡŽΡ‚ΡΡΒ». Π­Ρ‚ΠΎ β€” Ρ€Π΅Π·ΡƒΠ»ΡŒΡ‚Π°Ρ‚ установки ΠΏΠΎΠ΄ΠΎΠ·Ρ€ΠΈΡ‚Π΅Π»ΡŒΠ½Ρ‹Ρ… ΠΊΠΎΡ€Π½Π΅Π²Ρ‹Ρ… сСртификатов Π½Π° ΠΊΠΎΠΌΠΏΡŒΡŽΡ‚Π΅Ρ€Π°Ρ… ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ.

Как Π·Π°Ρ‰ΠΈΡ‚ΠΈΡ‚ΡŒΡΡ. ΠŸΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒΡΡ услугами Π½Π°Π΄Π΅ΠΆΠ½Ρ‹Ρ… SSL-ΠΏΡ€ΠΎΠ²Π°ΠΉΠ΄Π΅Ρ€ΠΎΠ². ΠŸΡ€ΠΎΠ²Π΅Ρ€ΠΈΡ‚ΡŒ «качСство» сСртификатов ΠΌΠΎΠΆΠ½ΠΎ с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ сСрвиса Certificate Transparency (CT). ΠŸΠΎΠΌΠΎΡ‡ΡŒ с ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½ΠΈΠ΅ΠΌ Β«ΠΏΡ€ΠΎΡΠ»ΡƒΡˆΠΊΠΈΒ» ΠΌΠΎΠ³ΡƒΡ‚ ΠΈ ΠΎΠ±Π»Π°Ρ‡Π½Ρ‹Π΅ ΠΏΡ€ΠΎΠ²Π°ΠΉΠ΄Π΅Ρ€Ρ‹ β€” ΡƒΠΆΠ΅ сСгодня Π½Π΅ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΊΡ€ΡƒΠΏΠ½Ρ‹Π΅ ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΈ ΠΏΡ€Π΅Π΄Π»Π°Π³Π°ΡŽΡ‚ спСциализированныС инструмСнты для ΠΌΠΎΠ½ΠΈΡ‚ΠΎΡ€ΠΈΠ½Π³Π° ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΠΉ ΠΏΠΎ TLS.

Π”Ρ€ΡƒΠ³ΠΈΠΌ способом Π·Π°Ρ‰ΠΈΡ‚Ρ‹ станСт Π½ΠΎΠ²Ρ‹ΠΉ стандарт ACME, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π°Π²Ρ‚ΠΎΠΌΠ°Ρ‚ΠΈΠ·ΠΈΡ€ΡƒΠ΅Ρ‚ ΠΏΠΎΠ»ΡƒΡ‡Π΅Π½ΠΈΠ΅ SSL-сСртификатов. ΠŸΡ€ΠΈ этом ΠΎΠ½ Π΄ΠΎΠ±Π°Π²ΠΈΡ‚ Π΄ΠΎΠΏΠΎΠ»Π½ΠΈΡ‚Π΅Π»ΡŒΠ½Ρ‹Π΅ ΠΌΠ΅Ρ…Π°Π½ΠΈΠ·ΠΌΡ‹ для ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠΈ собствСнника сайта. ΠŸΠΎΠ΄Ρ€ΠΎΠ±Π½Π΅Π΅ ΠΎ Π½Π΅ΠΌ ΠΌΡ‹ писали Π² ΠΎΠ΄Π½ΠΎΠΌ ΠΈΠ· Π½Π°ΡˆΠΈΡ… ΠΏΡ€Π΅Π΄Ρ‹Π΄ΡƒΡ‰ΠΈΡ… ΠΌΠ°Ρ‚Π΅Ρ€ΠΈΠ°Π»ΠΎΠ².

ΠŸΠΎΡ‚Π΅Π½Ρ†ΠΈΠ°Π»ΡŒΠ½Ρ‹Π΅ Π°Ρ‚Π°ΠΊΠΈ Π½Π° HTTPS ΠΈ ΠΊΠ°ΠΊ ΠΎΡ‚ Π½ΠΈΡ… Π·Π°Ρ‰ΠΈΡ‚ΠΈΡ‚ΡŒΡΡ
/ Flickr / Yuri Samoilov / CC BY

ΠŸΠ΅Ρ€ΡΠΏΠ΅ΠΊΡ‚ΠΈΠ²Ρ‹ HTTPS

НСсмотря Π½Π° ряд уязвимостСй, ИВ-Π³ΠΈΠ³Π°Π½Ρ‚Ρ‹ ΠΈ экспСрты ΠΏΠΎ Π˜Π‘ ΡƒΠ²Π΅Ρ€Π΅Π½Ρ‹ Π² Π±ΡƒΠ΄ΡƒΡ‰Π΅ΠΌ ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»Π°. Π—Π° Π°ΠΊΡ‚ΠΈΠ²Π½ΠΎΠ΅ Π²Π½Π΅Π΄Ρ€Π΅Π½ΠΈΠ΅ HTTPS выступаСт ΡΠΎΠ·Π΄Π°Ρ‚Π΅Π»ΡŒ WWW Π’ΠΈΠΌ БСрнСрс-Π›ΠΈ. По Π΅Π³ΠΎ словам, со Π²Ρ€Π΅ΠΌΠ΅Π½Π΅ΠΌ TLS Π±ΡƒΠ΄Π΅Ρ‚ ΡΡ‚Π°Π½ΠΎΠ²ΠΈΡ‚ΡŒΡΡ Π±ΠΎΠ»Π΅Π΅ Π·Π°Ρ‰ΠΈΡ‰Π΅Π½Π½Ρ‹ΠΌ, Ρ‡Ρ‚ΠΎ Π·Π½Π°Ρ‡ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎ повысит Π±Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡ‚ΡŒ соСдинСний. БСрнСрс-Π›ΠΈ Π΄Π°ΠΆΠ΅ ΠΏΡ€Π΅Π΄ΠΏΠΎΠ»ΠΎΠΆΠΈΠ», Ρ‡Ρ‚ΠΎ Π² Π±ΡƒΠ΄ΡƒΡ‰Π΅ΠΌ появятся клиСнтскиС сСртификаты для Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ личности. Они ΠΏΠΎΠΌΠΎΠ³ΡƒΡ‚ ΡƒΠ»ΡƒΡ‡ΡˆΠΈΡ‚ΡŒ Π·Π°Ρ‰ΠΈΡ‚Ρƒ сСрвСров ΠΎΡ‚ Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΎΠ².

Π Π°Π·Π²ΠΈΠ²Π°Ρ‚ΡŒ Ρ‚Π΅Ρ…Π½ΠΎΠ»ΠΎΠ³ΠΈΡŽ SSL/TLS Ρ‚Π°ΠΊΠΆΠ΅ планируСтся с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ машинного обучСния β€” ΡƒΠΌΠ½Ρ‹Π΅ Π°Π»Π³ΠΎΡ€ΠΈΡ‚ΠΌΡ‹ Π±ΡƒΠ΄ΡƒΡ‚ ΠΎΡ‚Π²Π΅Ρ‡Π°Ρ‚ΡŒ Π·Π° Ρ„ΠΈΠ»ΡŒΡ‚Ρ€Π°Ρ†ΠΈΡŽ Π·Π»ΠΎΠ²Ρ€Π΅Π΄Π½ΠΎΠ³ΠΎ Ρ‚Ρ€Π°Ρ„ΠΈΠΊΠ°. Π’ HTTPS-соСдинСниях Ρƒ администраторов Π½Π΅Ρ‚ возмоТности ΡƒΠ·Π½Π°Ρ‚ΡŒ содСрТимоС Π·Π°ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½Π½Ρ‹Ρ… сообщСний β€” Π² Ρ‚ΠΎΠΌ числС ΠΈ ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠΈΡ‚ΡŒ запросы ΠΎΡ‚ врСдоносного ПО. Π£ΠΆΠ΅ сСгодня Π½Π΅ΠΉΡ€ΠΎΠ½Π½Ρ‹Π΅ сСти способны Ρ„ΠΈΠ»ΡŒΡ‚Ρ€ΠΎΠ²Π°Ρ‚ΡŒ ΠΏΠΎΡ‚Π΅Π½Ρ†ΠΈΠ°Π»ΡŒΠ½ΠΎ опасныС ΠΏΠ°ΠΊΠ΅Ρ‚Ρ‹ с Ρ‚ΠΎΡ‡Π½ΠΎΡΡ‚ΡŒΡŽ 90%. (слайд 23 ΠΏΡ€Π΅Π·Π΅Π½Ρ‚Π°Ρ†ΠΈΠΈ).

Π’Ρ‹Π²ΠΎΠ΄Ρ‹

Атаки Π½Π° HTTPS ΠΏΠΎ большСй части связаны Π½Π΅ с ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΠ°ΠΌΠΈ Π² самом ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»Π΅, Π° с ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠΎΠΉ ΡƒΡΡ‚Π°Ρ€Π΅Π²ΡˆΠΈΡ… ΠΌΠ΅Ρ…Π°Π½ΠΈΠ·ΠΌΠΎΠ² ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½ΠΈΡ. ИВ-индустрия Π½Π°Ρ‡ΠΈΠ½Π°Π΅Ρ‚ постСпСнно ΠΎΡ‚ΠΊΠ°Π·Ρ‹Π²Π°Ρ‚ΡŒΡΡ ΠΎΡ‚ ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»ΠΎΠ² ΠΏΡ€Π΅Π΄Ρ‹Π΄ΡƒΡ‰Π΅Π³ΠΎ поколСния ΠΈ ΠΏΡ€Π΅Π΄Π»Π°Π³Π°Π΅Ρ‚ Π½ΠΎΠ²Ρ‹Π΅ инструмСнты для поиска уязвимостСй. Π’ Π±ΡƒΠ΄ΡƒΡ‰Π΅ΠΌ эти инструмСнты Π±ΡƒΠ΄ΡƒΡ‚ ΡΡ‚Π°Π½ΠΎΠ²ΠΈΡ‚ΡŒΡΡ всС Π±ΠΎΠ»Π΅Π΅ ΠΈΠ½Ρ‚Π΅Π»Π»Π΅ΠΊΡ‚ΡƒΠ°Π»ΡŒΠ½Ρ‹ΠΌΠΈ.

Π”ΠΎΠΏΠΎΠ»Π½ΠΈΡ‚Π΅Π»ΡŒΠ½Ρ‹Π΅ ссылки ΠΏΠΎ Ρ‚Π΅ΠΌΠ΅:

Π˜ΡΡ‚ΠΎΡ‡Π½ΠΈΠΊ: habr.com

Π”ΠΎΠ±Π°Π²ΠΈΡ‚ΡŒ ΠΊΠΎΠΌΠΌΠ΅Π½Ρ‚Π°Ρ€ΠΈΠΉ