Я бы мог сказать, что делаю рекламу этому новому каналу в телеге, потому что всем новоприбывшим привет. Но нет. Есть такие паблики, которые в рекламе не нуждаются. Просто роскомнадзор в тг. 2020-й грозит сдвинуть Землю с оси.

​​РКН и Telegram

У Роскомнадзора появился официальный канал в Telegram, подписаться на который можно здесь.

Сегодняшний пост я хотел бы посвятить прошедшей Чёрной пятнице и всем грядущим массовым онлайн-мероприятиям. А какие же они сейчас ещё могут быть. Только онлайн.

В условиях прошедшей недели распродаж как-то с опозданием вышла прогностическая статья, в которой давалась оценка возможных ловушек для покупателей. А поскольку впереди новогодние праздники, да и эпидемиологическая ситуация не сильно улучшается, актуальность темы сохраняется и дальше. Поэтому, давай немного обсудим её.

Как ты знаешь, в историях с разнообразными злодеями обязательно наступает момент, когда все они объединяются против хороших парней. И в этом смысле Чёрная пятница полностью оправдывает своё название. Дело в том, что именно в дни массовых или даже глобальных распродаж, атаки, связанные с человеческим фактором, поджидают нас на каждом шагу.

Риск заражения во время пандемии привёл к тому, что толпы любителей скидок в этом году штурмуют не супермаркеты, а интернет-магазины. Да и даже розничные торговцы вынужденно уходят в онлайн и стараются привлечь внимание к своим площадкам. Такая ситуация порождает массовые рассылки с информацией об акциях и скидках. И в этих условиях отличить настоящее приглашение от фишинговой атаки довольно непросто.

По части фишинга традиционно частыми и в прошлые годы были атаки с подделкой доменных имён (а ты думал, adidas и abibas — это не про хакеров?!) и аккаунтов в социальных сетях. Здесь незадачливого покупателя ждёт целый букет опасностей — от кражи персональных и банковских данных до загрузки вредоносного ПО самого разного профиля.

Появляются на этом поле и такие откровенные негодяи, как рефандеры (fake refund), обычно терроризирующие как раз онлайн-магазины. В обычное время их активность сводится к умышленному повреждению онлайн-покупок и получении компенсации от магазинов. Но сейчас они действуют в обе стороны, связываясь с покупателями от имени онлайн-площадок якобы из-за отсутствия заказанного товара на складе и предлагая возместить оплату, если жертва назовёт свои банковские данные.

Другим видом фишинга опасны площадки, на которых разные магазины могут вывешивать информацию об акциях или прямые ссылки на конкретные товары. В таком случае, покупатели могут довериться самой площадке и не забыв о мерах предосторожности пройти по никем не проверенным ссылкам.

В общем, такая активность мошенников легко объяснима тремя вещами: особенно массовым уходом торговли в онлайн, жаждой мгновенной халявы у покупателей и слепым доверием к брендам.

Но не так страшен злоумышленник, как кажется! По сути, чтобы не попасться в ловушку, достаточно просто каждый раз перед переходом по ссылке давать себе некоторое время на размышление, ведь именно спешка заставляет нас совершать поступки (и, кстати, покупки), о которых мы потом жалеем. Стоит приглядеться к ссылке и убедиться, что в ней нет подозрительных ошибок. Если подозрение осталось, ты всегда можешь сам связаться с интересующим тебя магазином и проверить, верна ли информация. Какие-то пять минут на обдумывание надёжно защитят тебя от неприятных последствий.

Новости удаленки

Zoom будет предупреждать пользователей о возможных атаках троллей

Невзирая на то, что разработчики Zoom давно ввели обязательные пароли для всех конференций, а также добавили возможность жаловаться на пользователей, на платформе по-прежнему процветает так называемый Zoom-Bombing, с которым компания продолжает бороться.

https://xakep.ru/2020/11/17/antizoombombing/

Если бы я предлагал формат наказания для пойманных хакеров, это бы точно были исправительные работы. Похоже, в Твиттере решили так же. Никто его не ловил, он сам пришёл, хотя, как говорится, who knows.

Ты должен был бороться со злом, а не примкнуть к нему. И ты это сделал.

Недавно мы с тобой уже говорили об уязвимостях в Active Directory. Сегодня я хочу, некоторым образом, продолжить этот разговор.

Дело в том, что в основе работы механизма аутентификации в AD используется протокол Kerberos, устройству и работе которого, пожалуй, нужно будет посвятить отдельную статью. А может быть, и не одну!

Но эта статья посвящена новости о том, как Microsoft выпустила ноябрьские обновления с порцией заплаток от различных уязвимостей. В частности, обновления содержали патч от уязвимости CVE-2020-17049, которая, как и большинство уязвимостей Kerberos, позволяет злоумышленнику удалённо обзавестись правами, которые ему не положены.

И на этом новость могла бы закончиться. Если бы не оказалось, что новая заплатка становится причиной новых ошибок аутентификации на контроллерах домена.

Общий смысл этих проблем сводится к нестыковкам в работе контроллеров домена с установленным обновлением и без него или же попросту с очень старыми версиями операционной системы. Среди нестыковок — невозможность выполнения задач по расписанию и бизнес-приложений, отказ в авторизации невиндовых машин и отказ в продлении для тех учётных записей, которые были созданы в ещё не обновлённой системе и многие другиt радости жизни.

Сейчас Microsoft усиленно работает над ошибками, но многие сознательные пользователи уже накатили ноябрьский пакет обновлений и получили проблемы на свою голову.

На самом деле, эта история парадоксальным образом увязывается с недавней новостью про Zerologon и нежеланием пользователей сразу применять все новые патчи от Microsoft. Если так подумать, может и не надо сразу бросаться обновляться, а немного подождать?

Купила баба порося...

Сегодня я хочу поговорить с тобой про суровые будни пользователя интернета вещей. Причём, говорить буду о собственном опыте, которые приобрёл буквально на днях.

Сама история довольно проста. Сначала, у меня была умная колонка от Яндекса, которая отзывается на "Алису". Не спрашивайте, зачем, так надо. Благодаря ей я совершенно обленился и решил, что хочу не только слушать музыку и переключать каналы, не делая вообще никаких движений, но и пылесосить хочу точно так же.

Так у меня появился пылесос от Xiaomi, с которым, как говорят, Алиса прекрасно дружит. Кстати, и правда хорошо. Но кто знал, что начало этих отношений даётся с таким трудом!

После покупки пылесоса, я выяснил, что для управления им нужно поставить на смартфон приложение Mi Home, которое у китайцев должно отвечать за управление умным домом. Не знаю, как у китайцев, а я бы всю эту технологию умной никак не назвал! Сразу после установки приложения я попытался добавить туда свой пылесос. Включил на нём режим подключения и нажал в Mi Home на кнопочку "Добавить устройство", а после стал ждать. На экране крутился индикатор состояния поиска, пылесос терпеливо ждал сигналов. Но ничего не происходило. Я ждал. Но всё оставалось по-прежнему. Вообще-то, я терпеливый — мало ли, сколько времени надо двум железкам, чтобы подружиться. Но ничего не происходило слишком долго, и я полез гуглить.

Оказалось, что в отличие от самих железок, приложения у Xiaomi получаются не слишком здорово. И главная их проблема — это адский пинг, который не позволяет подключать новые устройства к новому дому. А причина здесь очень простая — подавляющее большинство серверов компании находится непосредственно в Китае. Китайская политика закрытого интернета известна ещё с 2003 года и, спойлер, с того времени она никуда не делась. Поэтому пакетики из других стран, не всегда долетают внутрь "периметра" КНР. Мой вот, например, подобно варварам полторы тысячи лет назад, явно бились о Великий китайский фаервол и дальше не шли.

Но было одно "но", вселяющее надежду на успех. Якобы из Германии или Сингапура сигнал проходит лучше. Не долго думая, я запустил на смартфоне VPN через Германию, и вот тогда случилось чудо.

Практически сразу Mi Home на смартфоне увидел полный перечень устройств, к которым он умеет подключаться. Был в этом списке и мой гаджет. Сам процесс знакомства приложения и пылесоса состоял из подключения к его точке доступа (да-да! пылесос тоже раздаёт Wi-Fi, правда, без доступа в интернет), прописывания пароля от домашней сети, знакомство с третьим участником — домашним роутером. На самом деле, вся эта процедура получилась у меня не с первого раза. Пылесос периодически отваливался и приходилось начинать по-новой. И вот, когда все, наконец, стали друзьями, а пылесос даже выполнил тестовый круг почёта по периметру комнаты и записал свою первую карту местности, пришло время подключать Алису.

Но как только я зашёл в приложение Яндекса, оно начало вести себя ровно так же, как до этого Mi Home. Приложение просто отказалось "узнавать" меня и давать доступ к меню, в котором надо указывать Mi-аккаунт с привязанными к нему устройствами.


Но здесь я уже не растерялся! Было очевидно, что отечественная Алиса не собирается иметь никаких отношений с иностранными агентами. Я отключил VPN и сменил регион с Германии на Россию. После чего, Яндекс сразу же признал во мне своего пользователя и дал доступ к настройкам колонки.

Так я научился дружить между собой колонку и пылесос простым переключением региона. Но самый ужас ждал меня впереди.

Обрадованный успехом, я скомандовал: "Алиса, уберись!". В ответ на мои слова, пылесос послушно зашумел и поехал по комнате. Продолжая проверку, я сказал: "Алиса, выключи пылесос!". На что умная колонка ответила мне: "Не вижу в этом смысла".

Логично завершая 2020-й год, начиналось восстание машин...

Кстати, на Хабре пишут, что у VPN-сервисов все чаще запрашивают пользовательские данные.

На часах воскресенье, а значит время уборки. А значит, тема восстания машин.

Любой безопасник, запустивший кататься по своей квартире робота-пылесоса, обязательно задумывался о том, что вот сейчас этот недо-r2d2 с выходом на внешние серверы считывает периметр каждой комнаты, а хуже того — вращает "башкой" по сторонам и разглядывает своим "глазом" объекты от ножек стульев и кошек до вполне человеческих ног, техники и всего другого. Неужели где-то там, по ту сторону этого лазерного глаза-лидара не притаился мошенник, который преспокойно следит за тобой и, зараза, ухмыляется?

На самом деле, после появления роботов-пылесосов техническая реализация такой атаки оставалась исключительно вопросом времени. И это время пришло.

На днях ИБ-сегмент интернет облетела статья с описанием атаки LidarPhone. Суть этой атаки как раз и заключается в том, что лидар, этот самый лазерный дальномер, с помощью которого пылесос сканирует пространство вокруг себя, может быть переоборудован, например, в лазерный микрофон. Устройство лидара позволяет наводить небольшие колебания в предметах, которые пылесос встречает на своём пути. Отражённый от предметов сигнал возвращает в пылесос информацию о характеристиках предмета, в которые входят и иные колебания, одним из которых является звук.

Получается, что в данном случае пылесос, главным образом, подслушивает за своими владельцами. По характеру акустических колебаний его "мозг" может не только различать голоса, но и разбирать содержание речи с точностью около 90%. Кроме того, пылесос может слить информацию о гендерной принадлежности своего владельца по тембру голоса и даже узнать, за кого голосует объект на выборах, услышав информацию из включённой передачи.

Однако, у этой атаки есть и затрудняющие её моменты. Во-первых, чтобы подчинить пылесос себе, злоумышленнику нужно вмешаться в процесс обновления ПО на нём, а здесь единого решения не существует. Во-вторых, владельцам пылесосов с лидарами известно, что этот самый лидар отчаянно вращается для считывания окружающей среды со всех сторон. Поэтому, чтобы сфокусироваться на конкретном объекте, "глаз" робота должен остановиться, что как минимум вызовет некоторые подозрения.

В любом случае, мирно стоящий на базе пылесос можно отлично собирать информацию обо всём, что происходит вокруг него, и оставаться при этом абсолютно незамеченным.

И тут я подумал — а ведь вот оно, роботы только вошли в нашу повседневную жизнь, а первый закон робототехники уже не работает. И своими действиями роботы приносят вред кожаным мешкам человекам.

Восстание машин, говорите?

Журналистская тусовка сейчас гудит после вчерашнего наблюдательного совета в Иннополисе, где, оказывается, произошел инцидент. Там во время презентации робота для дезинфекции помещений как-то лишнего распылили специальной жижи и пожгли корреспондентам глаза. Говорят, что уже несколько человек обратились в больницу за помощью из-за проблем с сетчаткой.

Судя по официальным данным, в медицинском центре Иннополиса презентовали робота MedBot М-304, куда и позвали СМИ. Плохо некоторым стало уже вчера, начались рези в глазах, а сегодня кто-то поехал в больничку за помощью.

Похоже, как-то плохо настроили своего робота-деструктора, что он решил уничтожать людей. На самом деле, это совсем не смешно. Интересно, кто будет отвечать за произошедшее. Надеюсь, что никаких серьезных последствий для здоровья у журналистов не будет.

Но объясниться за это явно кому-то придется. Может что-то внятное по этому поводу есть у Минцифры Татарстана, которое было ответственно за мероприятие.

Ты все еще тешишь себя надеждой сохранить приватность в социальных сетях? Не то чтобы тебе это удастся, но тут мои коллеги опубликовали интересный материал про то, как настройки приватности могут повлиять на OSINT подручными средствами. Энджой.

Заканчивая неделю паранойи и косых взглядов в сторону представителей интернета вещей, не могу не обратить внимание на те предметы, которые в прямом смысле затрагивают ту часть жизни своих хозяев, которая нуждается в особенной защите. Да, я хочу немного поговорить о безопасности секс-игрушек. Информационной, конечно же.

Я уже писал о поясе верности и прочих забавных историях, связанных, как с самими гаджетами, так и с приложениями для них. Но, если копнуть, так сказать, глубже, получается, что ничего забавного тут нет. И вот почему.

Во-первых, как я неоднократно подчёркивал — чем дороже информация, тем желаннее она для злоумышленников. А возможность прямого шантажа жертвы его интимными предпочтениями — занятие, хоть и гадкое, но весьма перспективное. В связке со смартфоном, любая приблуда может насобирать целую гору информации — от персональных данных до видео и аудио с таким содержанием, которому позавидует фонотека Brazzers.

Во-вторых, создатели подобных гаджетов, в первую очередь заботятся о безопасности медицинской, уделяя гораздо меньшее внимание защите репутации пользователей. Известны случаи, правда относительно давние, когда аналитиками создавались программки, способные отследить подобные гаджеты поблизости и запустить их на полную мощность. В самый неподходящий момент, а не когда тебе хочется.

В-третьих, что самое парадоксальное, декларируемая забота производителей умных секс-игрушек о своих клиентах приводит к созданию анонимных приложений и даже социальных сетей. Такие технологии допускают не только общение, но и удалённый запуск гаджетов, сам понимаешь, зачем. Но, если вдуматься, такая история создаёт отличный канал общения для преступников. Это же практически готовая площадка для сходок мафиози, как например, в сериале "Сопрано".

(Никогда еще мэнинземиддл не было так двусмысленно).

Я не сторонник нагнетания ужаса и запретов по поводу и без. Но, давай подумаем. Если у нас есть анонимный канал для запуска какого-нибудь вибратора, значит, теоретически, с помощью этой технологии мы можем привести в действие, например, взрывной механизм. Какая обидная получится смерть.

Да, конечно, такой инцидент по реализации и по сложности раскрытия будет полностью идентичен обычному звонку на телефон с анонимной сим-карты. Но я привожу это как пример, а не как готовый план к преступлению.

В общем, дивный мир умных секс-игрушек скрывает в себе такое количество потенциальных неприятностей, что, как минимум, задуматься о последствиях стоит.

Тут на днях появилась новость от CheckPoint`а, из которой следует, что ряд широко используемых приложений для Android до самого недавнего времени содержал, а некоторые и до сих пор содержат серьёзную угрозу для пользователей.

Штука в том, что ещё в марте 2020 года компания Google устранила серьёзную уязвимость в одной из своих библиотек Play Core. Эта библиотека используется, в частности, для загрузки обновлений приложений из Google Play.

Для понимания принципа работы уязвимости CVE-2020-8913, которая получила 8,8 балла из 10 по шкале суровости, нужно кратко пояснить за то, как Android фильтрует приложения. Дело в том, что для программок, загружаемых с Google Play, существует специальная папка “verified”, куда, как видно из названия, ложатся доверенные файлы, которые система считает легитимными и проверенными на наличие вредоносов. Такие приложения могут смело обращаться в Google Play и подгружать обновления. Для файлов из сторонних репозиториев используется папка “non-verified” - своеобразное чистилище, где приложения остаются ждать проверки.

Уязвимость кроется в том, что прямое указание директории (например, ../verified_splits/my_evil_payload.apk) при загрузке, скажем, обновления для уже установленного приложения, позволит обойти папку для недоверенных файлов и запихнуть зловред прямо внутрь ранее проверенной программы.

В Google смогли устранить уязвимость. Но исправить приложения сторонних вендоров компания самостоятельно не могла и обратилась с этой просьбой к разработчикам, среди которых были: Facebook, Instagram, WhatsApp, SnapChat, Booking и Edge.

Многие компании отозвались сразу и выпустили обновления. Но, вот уже прошло больше половины года, а судя по отчёту CheckPoint, браузер от Microsoft под Android до сих пор содержит данную уязвимость.

К слову, в докладе приводится любопытный список приложений с пометками, кто и когда выпустил обновления. Оттуда видно, например, что Booking и Viber подошли к вопросу ответственнее всех.

Кажый раз, когда я рассказываю о какой-то дырке в интернете вещей, об удивительных методах взлома дверных замков, о новых возможностях слежки за тобой, я как-то забываю про многогранность мира, который никогда не перестанет удивлять.

Где-то ещё на заре нашего с тобой общения я часто повторял, что человеческий фактор – это самая большая и самая серьёзная брешь в защите информации. Человек - существо сложное, а потому, нуждается в особой защите.

Именно так и решили ребята из уже поминаемой нами за "бережное" отношение к сотрудникам и слежку за их же личной жизнью компании Amazon. Действительно, зачем ограничиваться собственным персоналом, когда люди сами охотно отдают информацию о себе.

Вот носишь ты на руке фитнес-браслет или умные часы. Удобная ведь штука! Время показывает, сообщения на экран выводит, пульс мерит, калории считает, хвалит за прогулки на дальние дистанции! А что, если он ещё и температуру мерить будет, и по тембру голоса определять проблемы с лёгкими (ковид какой-нибудь!), и процент жира в организме высчитывать?

Вот примерно такую штуку и сделали ребята из Amazon. Знакомься, фитнес-браслет Halo! Этот браслет не покажет тебе время, поскольку у него нет дисплея, зато будет заботиться о твоём самочувствии, определять настроение, физические показатели и тот самый процент жира в организме, который будет рассчитан исходя из (барабанная дробь) 3D-модели твоего тела, которую ты сам загрузишь в приложение, сделав несколько фоток себя в одних трусах. Но не волнуйся! Как только система рассчитает оптимальный для тебя жир, она сразу же удалит эти фотки. Обязательно. Конечно. Никакой сбор личной информации здесь не ведётся! Как не ведётся он и с помощью двух микрофонов на корпусе браслета, которые ты даже можешь отключить с помощью специальной кнопки.

Только представь, какой будет скандал, когда вся эта информация, ну та, которая "не собирается", будет украдена с серверов Amazon и выложена в общий доступ.

Ну и напоследок. Отдать свои фотки и аудиодорожки с самыми сокровенными разговорами любой желающий может всего за 100$, купив сам браслет. Дальше - главное не забывать доплачивать за слежку по 4$ в месяц. Иначе приложение в смартфоне, отслеживающее данные с браслета, перестанет показывать (тебе) полезную инфографику о твоих жизненных циклах.

Если вдруг тебе кажется, что статья получилась необоснованно жёсткой, просто подумай, какой колоссальный объём информации о своих клиентах соберёт компания, занимающаяся доставкой товаров! Ты правда веришь, что они не будут подглядывать?

​аналог «Оскара» по кибербезопасности подвёл итоги 2020 года

В общей сложности на премии Pwnie Awards 2020 было 9 номинаций, включая такие, как «Лучшая ошибка в клиентском ПО» и «Самое большое достижение». Главным же провалом в уходящем году была названа уязвимость от Microsoft. Она позволяла создавать поддельные TLS-сертификаты и фиктивные цифровые подписи, верифицируемые в Windows как заслуживающие доверия.

Источнки: Pwnies Awards

Это просто интересно. Тем более, что я про это уже писал

Было бы наверное странно обойти стороной, пожалуй, главное событие пары последних недель в мире киберпреступлений. Я имею в виду успешную атаку на компанию FireEye.

Шутка ли – самая громкая жертва этой недели сама является поставщиком сервиса по защите информации. Начинали FireEye в далёком 2004-ом году, как сервис-песочница, который позволял исследовать входящий трафик на предмет идентификаторов компрометации (хэшей вредоносных файлов, ссылок на опасные ресурсы, адресов злоумышленников и т.д.). За пятнадцать лет компания обросла массой продуктов и услуг в области защиты информации, успела принять участие в расследованиях государственного уровня в США и дружественных им государств. Иными словами, компания очень уютно устроилась под палящим солнцем Калифорнии.

Однако, ничто не вечно под луной. И вот, на этой неделе компания FireEye опубликовала объявление об атаке, проведённой против неё.

Как сообщили сами представители компании, хакеры были очень здорово подготовлены и смогли применить некие неизвестные ранее механизмы атаки. Это довольно забавно слышать от специалистов, которые позиционируют себя, как гуру в выявлении уязвимостей нулевого дня. Хотя, с другой стороны, такая оценка со стороны FireEye делает честь этим неизвестным взломщикам. Естественно, в отчёте заявлено, что в деле замешана страна с очень крутыми "наступательными" возможностями (я теряюсь в догадках, о ком это они).

По мнению экспертов, целью атаки была информация о государственных контрактах компании. Однако, здесь у хакеров случился облом, а потому, они просто утащили данные об авторских наработках компании в области редтиминга. Проще говоря, были украдены инструменты, с помощью которых FireEye тестируют системы защиты своих заказчиков на наличие уязвимостей. Такая информация является конфиденциальной собственностью компании и, по сути, составляет её интеллектуальный авторский капитал.

В общем, было украдено всё, что нажито непосильным трудом. Таким образом, высокотехнологичные механизмы взлома утекли в общий доступ. Поэтому FireEye поспешили опубликовать инструменты, позволяющие защититься от их собственных разработок.

Что же касается самого взлома, информация о нём пока доступна только в общих словах. Вот и легенда кибербезопасности Кевин Митник написал у себя в твиттере: "Интересно, что означает «неизведанная ранее техника»? Поделится ли FireEye подробностями в отношении взлома, чтобы мы все могли извлечь уроки из этого инцидента?"

Но пока что специалисты компании совместно с Microsoft и ФБР, у которых, судя по всему, знатно пригорело от возможного слива подробностей государственных контрактов FireEye, ковыряются в логах и пытаются восстановить цепь событий. А значит, у этой истории будет продолжение.

От себя добавлю, что несмотря на насмешливый тон статьи, я уверен, что на месте FireEye могла оказаться любая ИБ-компания. Ведь каким бы крутым специалистом ты ни был, всего на свете учесть нельзя, хотя и надо к этому стремиться.

Кстати, пока я сочинял этот пост, уязвимость все-таки нашли.

Я давненько обдумывал сегодняшнюю статью. Но наткнулся на очень хороший материал и решил немножко о нём поговорить.

Итак, мы все привыкли пользоваться поисковыми системами в сети, чтобы искать информационные ресурсы и файлы. Но есть поисковики другого плана. Ярким представителем поисковиков такого рода является Shodan.

Названный в честь злого искусственного интеллекта из мира компьютерных игр, Shodan сам по себе не является однозначным злом. Однако, специфика его работы, конечно, весьма впечатляюща. Дело в том, что Shodan осуществляет поиск по устройствам, поключённым к сети Интернет. Роботы-агенты Shodan находятся в постоянном поиске новых устройств. Обнаружив железку, агент начинает "простукивать" порты на ней и определяет, где открыто, а где закрыто.

Пользователь Shodan может искать устройства по многим параметрам, чему как раз и посвящена найденная мною статья. По результату поиска можно либо выяснить, какие уязвимости не закрыты в твоей инфраструктуре, либо найти дырки в системе жертвы.

Надо ли говорить, что частыми клиентами Shodan становятся устройства умного дома, ведь все они подключены к сети Интернет.

В то же время, пользоваться поисковиком нужно осторожно. Матёрые злоумышленники специально оставляют "двери открытыми", чтобы заманивать к себе незадачливых взломщиков. Мы ведь знаем примеры, когда хакеры атакуют хакеров.

Кстати, у Shodan есть более молодой и опасный преемник – Censys. Этот поисковик умеет находить устройства, открытые для заданной сетевой атаки.

Но и Shodan, и Censys создавались, как инструменты защиты, которые позволяют выявить уязвимости и исправить их. Всё, как всегда, упирается в вопрос – кто в данный момент времени берёт в руки удобный инструмент, защитник или взломщик?