áá
áºáááºáá² áá»á¬ážáááºá
/flickr/
POODLE
ááá¯ááºááá¯ááºááŸá¯áá²á· áááºáááºááŒá®áž ááááá¯á¶ážá¡ááŒáááºáá«á
áááºážáá¡ááŸá
áºáá¬áááŸá¬ á¡á±á¬ááºáá«á¡ááá¯ááºážááŒá
áºáááº- áááºáá¬ááẠáá±á¬ááºáááºá¡á¬áž SSL 3.0 ááŸáá
áºááá·áº áá»áááºáááºááẠááá¯ááºážá
á±áᬠáá»áááºáááºááŸá¯ááŒááºáá±á¬ááºááŸá¯áá»á¬ážááᯠá¡áá¯áá°áááºá ááá¯á·áá±á¬áẠáá¯ááºááŸááºáá¬ážáá±á¬ áá±áá¬ááœáẠááŸá¬ááœá±áááºá
SSL 3.0 ááẠáá±ááºááá®áá±á¬á·áá±á¬ áááá¯ááá¯áá±á¬áá
áºáá¯ááŒá
áºáááºá áá«áá±ááá·áº áá°á·áá¯á¶ááŒá¯á¶áá±ážáá²á·áááºáááºáá²á· áá±ážááœááºážááá±á¬á· áááºááœááºáá±áá«áááºá áá¬áá¬áá»á¬ážááŸáá·áº ááá¯ááºáááºáá®áá±á¬ ááŒá¿áá¬áá»á¬ážááᯠááŸá±á¬ááºááŸá¬ážááẠáá±á¬ááºáááºáá»á¬ážá áááºážááᯠá¡áá¯á¶ážááŒá¯áááºá á¡áá»áá¯á·áá±á¬á¡áá»ááºá¡áááºáá»á¬ážá¡á áá°ááŒáá¯ááºá¡áá»á¬ážáá¯á¶ážááá¯áẠ7 á 100% áá®ážáá«ážááŸááááºá
ááá¯áá·áºááá¯ááºááᯠáááºááá¯áá¬ááœááºááá²á áá°áááºáž POODLE ááá á¹á ááœááºá áááºááẠSSL 3.0 áá¶á·ááá¯ážááŸá¯ááᯠááááºááẠááá¯á¡ááºáááºá ááá¯á·áá±á¬áº á€ááá á¹á ááœáẠááá¯ááºáááºáá®ááŸá¯ ááŒá¿áá¬áá»á¬áž ááŒá áºááá¯ááºáá»á±ááŸááááºá á¡ááŒá¬ážááŒá±ááŸááºážáá»ááºáá áºáá¯ááẠTLS_FALLBACK_SCSV ááá¹ááá¬ážááŒá áºááá¯ááºááẠ- áááºážááẠSSL 3.0 ááŸáá áºááá·áº áá±áá¬áá²ááŸááºááŸá¯ááᯠá áá áºáá±á¬ááºážáá»á¬ážááŒáá·áºáᬠáá¯ááºáá±á¬ááºáááºááŒá áºááŒá±á¬ááºáž áá±áá»á¬á á±áá«áááºá ááá¯ááºááá¯ááºáá°áá»á¬ážááẠáááá¯ááá¯áá±á¬ á¡ááá·áºááŸááá·áºáá»ááŸá¯áá»á¬ážááᯠá áááºááá¯ááºáá±á¬á·áááºááá¯ááºáá«á Zombie POODLE ááŸáá·áº GOLDENDOODLE ááá¯áá¬ááœááºáááºáááºážáááºážááŸá¬ TLS 1.2-based á¡ááá®áá±ážááŸááºážáá»á¬ážááœáẠCBC áá¶á·ááá¯ážááŸá¯ááá¯ááááºáááºááŒá áºáááºá á¡áááááŒá±ááŸááºážáá»ááºááẠTLS 1.3 ááá¯á·áá°ážááŒá±á¬ááºážááŒááºážááŒá áºááẠ- áááá¯ááá¯áá±á¬ááá¬ážááŸááºážá¡áá áºááẠCBC áá¯ááºááŸááºááŒááºážááá¯á¡áá¯á¶ážáááŒá¯áá«á áááºážá¡á á¬áž AES ááŸáá·áº ChaCha20 ááᯠááá¯ááá¯ááŒá¬ááŸááºáá¶á¡á±á¬áẠá¡áá¯á¶ážááŒá¯áá«áááºá
BEAST
SSL ááŸáá·áº TLS 1.0 ááœáẠááááá¯á¶ážááá¯ááºááá¯ááºááŸá¯áá»á¬ážáá²á០áá
áºáá¯ááᯠ2011 áá¯ááŸá
áºááœáẠááŸá¬ááœá±ááœá±á·ááŸááá²á·áááºá POODLEá BEAST áá²á·ááá¯á·áááº
ááá±á·á¡ááá BEAST á¡á¬ážáááºážáá»ááºáá»á¬áž ááŸááá±áá±ážáááºá
ááá¯áá·áºááá¯ááºááᯠáááºááá¯áá¬ááœááºááá²á ááá¯ááºááá¯ááºáá°ááẠáá±áá¬ááá¯áá¯ááºááŸááºááẠáá¯á¶ááŸááºáá±á¬ááºážááá¯ááŸá¯áá»á¬áž áá±ážááá¯á·ááẠááá¯á¡ááºáááºá VMware ááœááº
áá±áá áº
áááºážááẠ2-bit RSA áá±á¬á·áá»á¬ážááŒáá·áº SSLv40 ááᯠá¡áá±á¬ááºá¡áááºáá±á¬áºáá¬ááœáẠá¡ááŸá¬ážá¡ááœááºážáá»á¬ážááᯠá¡áá¯á¶ážáá»ááá·áº ááŒááºáá»á±á¬áº-áááá¯ááá¯áá±á¬ ááá¯ááºááá¯ááºááŸá¯áá
áºáá¯ááŒá
áºáááºá ááá¯ááºááá¯ááºáá°ááẠáá
áºááŸááºá áá¬ááŸáá·áºáá»á®áá±á¬ TLS áá»áááºáááºááŸá¯áá»á¬ážááᯠáá¬ážáá±á¬ááºááŒá®áž áá°áá®áá±á¬áá®ážááá·áºáá±á¬á·ááᯠá¡áá¯á¶ážááŒá¯á SSLv2 áá¬áá¬ááá¯á· á¡áá°ážá¡áá¯ááºáá»á¬ážááᯠáá±ážááá¯á·áááºá á¡áá¯á¶ážááŒá¯ááŒááºážá
DROWN ááẠ2016 áá¯ááŸá
áºááœáẠááááá¯á¶ážáá°áááá»á¬ážáá¬áá²á·áááºá ááá¯á·áá±á¬ááºááœááºáá±á¬á· ááŒá
áºáá¬áá²á·áááºá
ááá¯áá·áºááá¯ááºááᯠáááºááá¯áá¬ááœááºááá²á SSLv2 áá¶á·ááá¯ážááŸá¯ááᯠááááºááá·áº cryptographic libraries áá»á¬ážá developer áá»á¬ážá០á¡ááá¯ááŒá¯áá¬ážááá·áº áá¬áá±ážááŸá¯áá»á¬ážááᯠááá·áºááœááºážááẠááá¯á¡ááºáá«áááºá á¥ááá¬á¡á¬ážááŒáá·áºá OpenSSL á¡ááœáẠááá¯áá²á·ááá¯á·áá±á¬ áá¬áá±ážááŸá
áºáá¯ááᯠáááºááŒáá²á·ááẠ(2016)
"áá±ážááºáá¬áá¬áá²á·ááá¯á· SSLv2 ááŸááá±á¬ ááŒááºááá¬áá¬á០áááºážááá±á¬á·áá»á¬ážááᯠá¡áá¯á¶ážááŒá¯áá«á á¡áááºážá¡ááŒá áºáá áºáá¯á¡á¬áž DROWN ááœáẠá¡á¬ážáááºážáá»ááºááŸáááá¯ááºáááº" áᯠááœá¶á·ááŒáá¯ážááá¯ážáááºáá±ážáá¬áá¡ááŒá®ážá¡áá²á ááŸááºáá»ááºááŒá¯áááºá
IaaS áááºáá±á¬ááºááŸá¯áá±ážáá° 1cloud.ru Sergei Belkin â áá¬áá¬áá»á¬ážá áœá¬ááẠáá¯á¶ SSL áááºááŸááºááᯠá¡áá¯á¶ážááŒá¯áá«á á€á¡ááŒá±á¡áá±ááẠááŒá áºáá±á«áºáá«áááºá á€ááá á¹á ááœááºá áááºááẠá ááºá¡á¬ážáá¯á¶ážááŸá SSLv2 áá¶á·ááá¯ážááŸá¯ááᯠááááºááẠááá¯á¡ááºáááºá"
á¡áá°ážáá
áºáá¯á¡áá¯á¶ážááŒá¯á ááá·áºá
áá
áºá¡á¬áž á¡ááºááááºáá¯ááºááẠááá¯á¡ááºáááºááŸááááŸá á
á
áºáá±ážááá¯ááºáá«áááºá
ááŸáá¯á¶ážáá±á¬áá«
Software á á¡ááŒá®ážáá¬ážáá¯á¶ážáá±á¬ á¡á¬ážáááºážáá»ááºáá»á¬ážáá²á០áá
áºáá¯ááŒá
áºáááºá
ááá¯ááºááá¯ááºááŸá¯ááᯠHeartbeat TLS ááá¯ážáá»á²á·ááŸá¯ module áááºááŒáá·áº áá¯ááºáá±á¬ááºáááºá TLS áááá¯ááá¯áá±á¬ááẠáá±áá¬áá»á¬ážááᯠá
ááºáááºáááŒáẠáá±ážááá¯á·ááẠááá¯á¡ááºáááºá á¡áá»áááºááŒá¬ááŒáá·áºá
áœá¬ á
ááºáááºááá·áºá¡áá«ááœááºá ááŒááºáá±á¬ááºááŸá¯ááŒá
áºáá±á«áºááŒá®áž áá»áááºáááºááŸá¯ááᯠááŒááºáááºáááºáá±á¬ááºááááºááŒá
áºáá«áááºá ááŒá¿áá¬ááᯠáááºááá¯ááºáááºá¡ááœáẠáá¬áá¬áá»á¬ážááŸáá·áº áá±á¬ááºáááºáá»á¬ážááẠáá»ááºáááºááᯠá¡áá¯á¡áá±á¬áẠ"áá°áá¶áá¶" (
á¡á¬ážáááºážáá»ááºááẠ1.0.1 ááŸáá·áº 1.0.1f á¡ááŒá¬ážááŸá á
á¬ááŒáá·áºááá¯ááºá áá¬ážááŸááºážá¡á¬ážáá¯á¶ážááœáẠá¡ááŒáẠáááºáááºááŸá¯á
áá
Ạá¡áá»á¬ážá¡ááŒá¬ážááœáẠ- Ubuntu á០12.04.4á 6.5 áááºááŒá®ážáá±á¬ CentOSá OpenBSD 5.3 ááŸáá·áº á¡ááŒá¬áž OS á¡áá»á¬ážá¡ááŒá¬ážááœáẠááŸááá±áá«áááºá á
á¬áááºážá¡ááŒáá·áºá¡á
á¯á¶ááŸááá«áááºá
ááá¯áá·áºááá¯ááºááᯠáááºááá¯áá¬ááœááºááá²á ááá¯á¡ááº
áááºááŸááºá¡á á¬ážááá¯áž
ááá¬ážááẠSSL á¡ááá¡ááŸááºááŒá¯áááºááŸááºáá«ááá·áº á á®áá¶ááá·áºááœá²ááá·áº Node áá áºáá¯ááᯠá¡áá¯á¶ážááŒá¯áá°ááŸáá·áº áá¬áá¬ááŒá¬ážááœáẠáááºáááºáá¬ážááŒá®áž áááºážááŒá±á¬ááºážáá»á¬ážááᯠáááºááŒáœá áœá¬ ááŒá¬ážááŒááºáá±ážáá«áááºá ဠnode ááẠááá¬ážáááºáá±á¬ áááºááŸááºááᯠáááºááŒááŒááºážááŒáá·áº ááá¬ážáááºáá¬áá¬ááᯠá¡áá±á¬ááºáá±á¬ááºáᬠMITM ááá¯ááºááá¯ááºááŸá¯ááᯠáá¯ááºáá±á¬ááºááẠááŒá áºááá¯ááºáááºá
á¡ááá¯ááºáž
ááá¯áá·áºááá¯ááºááᯠáááºááá¯áá¬ááœááºááá²á áá¯á¶ááŒááºá
áááºáá»ááá±á¬áááºáá±á¬ááºááŸá¯áá»á¬ážááá¯áá¯á¶ážáá«á
áá±á¬ááºáááºáá¬ááœááºáááºážááá±á¬á· á¡áá
áºááŒá
áºáá«áááá·áºáááºá
/flickr/
HTTPS á¡ááœáẠá¡áá¬ážá¡áá¬áá»á¬áž
á¡á¬ážáááºážáá»ááºáá»á¬ážá
áœá¬ááŸááá±á¬áºáááºáž IT áá¯áá¹ááá®ááŒá®ážáá»á¬ážááŸáá·áº ááááºážá¡áá»ááºá¡áááºáá¯á¶ááŒá¯á¶áá±ážáá»áœááºážáá»ááºáá°áá»á¬ážááẠáááá¯ááá¯áá±á¬áá¡áá¬áááºá¡ááœáẠáá¯á¶ááŒááºááŸá¯ááŸááá«áááºá HTTPS ááᯠáááºááŒáœá
áœá¬ á¡áá±á¬ááºá¡áááºáá±á¬áºáááºá¡ááœááº
á
ááºáááºáá°ááŸá¯ááᯠá¡áá¯á¶ážááŒá¯á SSL/TLS áááºážááá¬ááá¯áááºáž áá®ááœááºááẠá
á®á
ááºáá¬ážááẠ- á
ááẠá¡ááºáááá¯áá®áááºáá»á¬ážááẠá¡áá¹ááá¬ááºááŸááá±á¬ áááºážááŒá±á¬ááºážáá»á¬ážááᯠá
á
áºáá¯ááºáááºá¡ááœáẠáá¬áááºááŸááá«áááºá HTTPS áá»áááºáááºááŸá¯áá»á¬ážááŒáá·áºá á
á®áá¶ááá·áºááœá²áá°áá»á¬ážááẠmalware á០áá±á¬ááºážááá¯áá»ááºáá»á¬ážááᯠááŸá¬ááœá±ááŒááºážá¡áá«á¡ááẠáá¯ááºááŸááºáá¬ážáá±á¬ áááºáá±á·áá»áºáá»á¬ážá á¡ááŒá±á¬ááºážá¡áá¬áá»á¬ážááᯠááŸá¬ááœá±ááẠáááºážáááºážáááŸááá«á ááá±á·ááŒá
áºááŸáá·áºááŒá®ážáá¬ážá á¡á¬áá¯á¶ááŒá±á¬ááœááºáááºáá»á¬ážááẠ90% áááá»ááŸá¯ááŒáá·áº á¡áá¹ááá¬ááºááŸáááá¯ááºáá±á¬ áááºáá±á·áá»áºáá»á¬ážááᯠá
á
áºáá¯ááºááá¯ááºá
áœááºážááŸááá«áááºá (
ááœá±á·ááŸááá»ááºáá»á¬áž
HTTPS áá±á«áºááŸá ááá¯ááºááá¯ááºááŸá¯á¡áá»á¬ážá á¯ááẠáááá¯ááá¯áá±á¬ááá¯ááºááá¯áẠááŒá¿áá¬áá»á¬ážááŸáá·áº áááºááá¯ááºááŒááºážáááŸááá±á¬áºáááºáž áá±ááºááá®áá±á¬á·áá±á¬ áá¯ááºááŸááºáá±ážááá¹ááá¬ážáá»á¬ážá¡ááœáẠáá¶á·ááá¯ážáá±ážáááºá¡ááœáẠááŒá áºáááºá á¡áá¯ááºáá®áá¯ááºáááºážááẠááááºáá»áá¯ážáááºáááá¯ááá¯áá±á¬áá»á¬ážááᯠáááŒááºážááŒááºážá áœáá·áºááœáŸááºáᬠá¡á¬ážáááºážáá»ááºáá»á¬ážááá¯ááŸá¬ááœá±ááẠáááááá¬á¡áá áºáá»á¬ážááᯠáááºážááŸááºážáá¬áááºá á¡áá¬áááºááœáẠá€áááááá¬áá»á¬ážááẠáá¬ááºáááºáááºááŒááºáá¬áááºááŒá áºáááºá
áá±á«ááºážá ááºá¡ááœáẠáá±á¬ááºáááºááá·áºááºáá»á¬áž-
cloud ááœáẠááœá¶á·ááŒáá¯ážááá¯ážáááºááŸá¯á ááááºážá¡áá»ááºá¡ááẠáá¯á¶ááŒá¯á¶áá±ážááŸáá·áº ááá¯ááºáá±ážááá¯ááºáá¬áá±áá¬- 1cloud á០áá»á±áá»ááºáá«á SSL á¡áá»á±á¡áááº- Habré ááŸáá·áº á¡ááŒá¬ážá¡áá¬áá»á¬ážááœáẠá¡áá±á¬ááºážáá¯á¶ážáááºááœá±á·áá»áá±á¬áá á¹á ááºážáá»á¬áž VPN á¡ááŸá áºáá»á¯ááº- Habre ááŸáá·áº á¡ááŒá¬ážá¡áá¬áá»á¬ážá¡ááœáẠááááºáááºáá±á¬ááºážáá«ážáá»á¬áž
source: www.habr.com