Ребята, я тут внезапно чем-то отравился, так что лекции по защите сегодня не будет. Просто перенесём её на следующую субботу. Прошу прощения за такую глупость.
Forwarded from Intro to Gamedev
У цю суботу Білка зайнята конференцією, тому заняття потрібно перенести. Давайте вирішимо на який день:
Anonymous Poll
26%
П'ятниця (завтра), 10:30
74%
Неділя, 10:30
Та же ситуация и у нашей лекции, поэтому важно голоснуть, чтобы воцарила демократия
Итак, как решило голосование, следующая лекция по крипте будет завтра (воскресенье, 29.09) в 12:00 в Белке. Да, в расписании Белки написано, что она закрыта, но для нас откроют.
Дальше паста из предыдущего поста для тех, кто не в курсе, что происходит. Напомню, мы остановились на том, что для шифрования нам очень бы пригодились генераторы случайных чисел. Итак, случайные числа – и почему те генераторы таких чисел, которые вы привыкли использовать, абсолютно непригодны для целей, которые содержат слова «безопасный» или «секретный». Не забудьте посетить эту лекцию, если открываете казино, розыгрыш призов или что-угодно другое, где нужны действительно топовые случайные числа.
Завтра, 29 сентября в 12:00 в Белке. Как пройти - https://g.page/BelkaSpace?share. Наш канал @softwareanddatasecurity и чат @sadschat. Заранее отвечаю, что вход свободный для всех желающих (и не из КПИ тоже) и бесплатный.
Дальше паста из предыдущего поста для тех, кто не в курсе, что происходит. Напомню, мы остановились на том, что для шифрования нам очень бы пригодились генераторы случайных чисел. Итак, случайные числа – и почему те генераторы таких чисел, которые вы привыкли использовать, абсолютно непригодны для целей, которые содержат слова «безопасный» или «секретный». Не забудьте посетить эту лекцию, если открываете казино, розыгрыш призов или что-угодно другое, где нужны действительно топовые случайные числа.
Завтра, 29 сентября в 12:00 в Белке. Как пройти - https://g.page/BelkaSpace?share. Наш канал @softwareanddatasecurity и чат @sadschat. Заранее отвечаю, что вход свободный для всех желающих (и не из КПИ тоже) и бесплатный.
Первая, вступительная лекция, на которой мы рассматривали цели курса, простые шифры, частотный анализ и одноразовый блокнот, теперь на ютубчике: https://youtu.be/0kJXeD7bcQk
Enjoy.
Enjoy.
Forwarded from Intro to Gamedev
Завтра о 12:00 Белка приймає Школу першокурсника, тому наша лекція, разом із лекцією по захисту інформації знову переноситься на неділю - чекайте детальний анонс вже завтра ввечері
Завтра на паре будем смотреть на криптографию дальше. На очереди у нас блочные шифры, любимый всеми AES и AEAD. Но не все так просто: чтобы разобраться с последним необходимо еще понять хеширование, и MAC. Звучит сложно? Так и есть, будет интересная и очень насыщенная лекция. Если вы пропустили первые две – это не страшно, потому что предыдущие лекции есть или скоро появяться на youtube, и вообще, самое главное начинается с этой пары.
В это воскресенье, 6 октября, в Белке в 12:20 открытая лекция по защите программ и данных. Пока что смотрим на крипту, но впереди много интересного. Всегда спрашивают, поэтому говорю заранее: лекции бесплатные и открыты для всех желающих, не только из КПИ. Приходите, буду рад всех видеть
В это воскресенье, 6 октября, в Белке в 12:20 открытая лекция по защите программ и данных. Пока что смотрим на крипту, но впереди много интересного. Всегда спрашивают, поэтому говорю заранее: лекции бесплатные и открыты для всех желающих, не только из КПИ. Приходите, буду рад всех видеть
Обычно взлом сайта или сервиса сводится к краже данных. Такими данными чаще всего являются пароли пользователей и их персональные данные вроде почты, номера телефона, адреса проживания и т.д. Так вот завтра как раз об этом: как хранить пароли пользователей. С одной стороны, все очень просто, но с другой – каждый год увеличивается количество слитых баз и подобранных паролей. Пароли становятся глобальной проблемой всего IT. Ведь другого надежного и такого же простого способа узнать пользователя практически не существует.
Хотите примерно оценить масштаб? Слитая база из 60 млн. аккаунтов Dropbox (2012 год), 100 млн. аккаунтов VK(2012 год), 150 млн. аккаунтов Adobe (2013 год), 160 млн. от LinkedIn (2016 год), 360 млн. от MySpace (2016 год), 458 млн. в списке «Anti Public», 590 млн. «Exploit.In» и 700 млн. почтовых ящиков и паролей от спамботов (оба слива в 2017 году). Всего количество известных взломанных аккаунтов (по данным hibp на 11 октября 2019 года) составляет 8.5 миллиардов! Всего год назад эта цифра составляла 5.5 млрд.
Завтра (12 октября) в 11:30 в Белке пара по защите программ и данных: «Как хранить пароли так, чтобы минимизировать ущерб?». Вход свободный и бесплатный для всех желающих.
Как пароли подбирают и как их подбирают очень быстро, что такое подбор по словарю, подбор по шаблону, гибридный подбор, что такое радужные таблицы, зачем нужна соль и как ее хранить, какие алгоритмы лучше использовать, стоит ли шифровать пароли (помимо хеширования), почему FaceId и TouchId не лучший вариант для интернета? Ну и конечно незаконченная тема про хеши – всё это завтра на лекции! Не пропустите. 11:30, не 12:30 :)
Хотите примерно оценить масштаб? Слитая база из 60 млн. аккаунтов Dropbox (2012 год), 100 млн. аккаунтов VK(2012 год), 150 млн. аккаунтов Adobe (2013 год), 160 млн. от LinkedIn (2016 год), 360 млн. от MySpace (2016 год), 458 млн. в списке «Anti Public», 590 млн. «Exploit.In» и 700 млн. почтовых ящиков и паролей от спамботов (оба слива в 2017 году). Всего количество известных взломанных аккаунтов (по данным hibp на 11 октября 2019 года) составляет 8.5 миллиардов! Всего год назад эта цифра составляла 5.5 млрд.
Завтра (12 октября) в 11:30 в Белке пара по защите программ и данных: «Как хранить пароли так, чтобы минимизировать ущерб?». Вход свободный и бесплатный для всех желающих.
Как пароли подбирают и как их подбирают очень быстро, что такое подбор по словарю, подбор по шаблону, гибридный подбор, что такое радужные таблицы, зачем нужна соль и как ее хранить, какие алгоритмы лучше использовать, стоит ли шифровать пароли (помимо хеширования), почему FaceId и TouchId не лучший вариант для интернета? Ну и конечно незаконченная тема про хеши – всё это завтра на лекции! Не пропустите. 11:30, не 12:30 :)
Завтра на лекции мы закончим тему с хранением паролей и будем подводить итоги по симметричной криптографии. Сброс пароля, токены, двухфакторная аутентификация, а также MAC и AEAD – наконец-то. Не расстраивайтесь, если вы не были на прошлой паре: обычно в начале лекции мы кратко проходимся по материалу предыдущей.
В Белке на 12:20 в субботу 19 октября, приходите все желающие, пользуйтесь возможностью, пока не поставили турникеты. Если вы не из КПИ, это тоже не проблема.
Мы рассмотрим, как хранить хеши паролей в базе так, чтобы даже если их сольют, ничего страшного не произошло. Как правильно сбрасывать пароль пользователя (а не напоминать его). Как добавить в свой сервис двухфакторную аутентификацию. Вы поймете, что сделать хорошо даже проще, чем сделать плохо :)
В Белке на 12:20 в субботу 19 октября, приходите все желающие, пользуйтесь возможностью, пока не поставили турникеты. Если вы не из КПИ, это тоже не проблема.
Мы рассмотрим, как хранить хеши паролей в базе так, чтобы даже если их сольют, ничего страшного не произошло. Как правильно сбрасывать пароль пользователя (а не напоминать его). Как добавить в свой сервис двухфакторную аутентификацию. Вы поймете, что сделать хорошо даже проще, чем сделать плохо :)
Вопрос, который не покидает ваши умы даже во время сна: шифровать-то шифруем, но для шифрования ведь нужен ключ. Хорошо, ключ можно сделать из пароля с помощью KDF. Но как два человека будут знать один и тот же ключ? Не по скайпу же его кидать. А если передавать зашифрованный ключ, то как обменятся ключами шифрования ключей шифрования? Если вы ничего не поняли, это нормально, потому что никто так не делает.
Завтра в Белке, а это будет суббота, 26 октября, в 12:20 открытая лекция по защите программ и данных.
Мы начнем рассматривать ассиметричную криптографию. Начнем мы как раз с ответа на вопрос, как двум людям узнать один и тот же секретный ключ так, чтобы его не подсмотрел никто другой. И это без шифрования и по незащищенному каналу, то есть там, где кто-угодно может подсматривать сообщения!
Завтра в Белке, а это будет суббота, 26 октября, в 12:20 открытая лекция по защите программ и данных.
Мы начнем рассматривать ассиметричную криптографию. Начнем мы как раз с ответа на вопрос, как двум людям узнать один и тот же секретный ключ так, чтобы его не подсмотрел никто другой. И это без шифрования и по незащищенному каналу, то есть там, где кто-угодно может подсматривать сообщения!
Сорян, время в предыдущем посте было неправильное, пара будет в 12:20, пост выше тоже исправил
Распространенность RSA может навести на мысль, что это невероятно крутой и очень защищенный алгоритм. Еще этому способствуют лабы в университетах, которые как на подбор: «реализуйте алгоритм RSA и зашифруйте строку». Реальность куда печальнее, и при использовании в лоб такая защита ломается очень быстро. Примерно так же дела обстоят и с протоколом Диффи-Хеллмана.
Завтра, 2 ноября, в 12:20 в Белке будет проходить открытая лекция по безопасности «Как использовать RSA». Спойлер: никак.
Мы рассмотрим уязвимости RSA и DH, что стоит использовать, а что нет. Посмотрим, как все выученные нами технологии используются для создания сертификатов как для сайтов, так и для подписи приложений для, например, AppStore. И затем, как сертификаты находят свое место в протоколе TLS, который вы чаще всего видите как https, – тот самый парень, который защищает вашу историю просмотра роликов на ютубе от зорких глаз провайдера.
Завтра, 2 ноября, в 12:20 в Белке будет проходить открытая лекция по безопасности «Как использовать RSA». Спойлер: никак.
Мы рассмотрим уязвимости RSA и DH, что стоит использовать, а что нет. Посмотрим, как все выученные нами технологии используются для создания сертификатов как для сайтов, так и для подписи приложений для, например, AppStore. И затем, как сертификаты находят свое место в протоколе TLS, который вы чаще всего видите как https, – тот самый парень, который защищает вашу историю просмотра роликов на ютубе от зорких глаз провайдера.
Завтра разговор пойдет о практически самой распространенной и популярной «крипто-технологии». И нет, это не блокчейн. Речь о TLS, с которым рано или поздно сталкивается каждый программист. А также: https, CRL, OCSP, ocsp-stapling, SNI, eSNI, dnssec, dns-over-https и dns-over-tls. Много стремных слов, поэтому лекция снова обещает быть долгой.
Как обычно, 12:20, 16 ноября в белке вас ждет лекция по защите программ и данных.
Чтобы у вас возникало меньше вопросов, зачем надо этот сертификат, почему он так быстро истекает, что это за наборы странных символов, которые надо указывать при настройке https, почему сертификаты подводят в самый ответственный момент, когда они должны были защитить нас, – приходите завтра на открытую лекцию, на которой прозвучат ответы на эти жуткие вопросы, которые не дают вам спокойно уснуть.
Все знание, которые у вас остались(?) после предыдущих лекций, соединяются вместе, в этом чудесном изобретении, которое позволяет вам лазить по youtube так, что даже ваш провайдер не знает, что вы смотрите. Что такое TLS, и почему эту технологию не смогли сразу придумать нормально, почему каждые несколько лет в ней находят новые уязвимости, зачем вам обязательно нужны сертификаты, которые быстро истекают, и почему вам обязательно нужен ocsp-stapling и must-staple. Все это вы узнаете завтра.
Как обычно, 12:20, 16 ноября в белке вас ждет лекция по защите программ и данных.
Чтобы у вас возникало меньше вопросов, зачем надо этот сертификат, почему он так быстро истекает, что это за наборы странных символов, которые надо указывать при настройке https, почему сертификаты подводят в самый ответственный момент, когда они должны были защитить нас, – приходите завтра на открытую лекцию, на которой прозвучат ответы на эти жуткие вопросы, которые не дают вам спокойно уснуть.
Все знание, которые у вас остались(?) после предыдущих лекций, соединяются вместе, в этом чудесном изобретении, которое позволяет вам лазить по youtube так, что даже ваш провайдер не знает, что вы смотрите. Что такое TLS, и почему эту технологию не смогли сразу придумать нормально, почему каждые несколько лет в ней находят новые уязвимости, зачем вам обязательно нужны сертификаты, которые быстро истекают, и почему вам обязательно нужен ocsp-stapling и must-staple. Все это вы узнаете завтра.
К сожалению, прошлая лекция не записалась на видео😢 Поскольку тема очень важная, мне придется сделать завтра повтор. Понимаю, что многим может быть просто лень идти и слушать одно и то же, но, пожалуйста, постарайтесь найти время и составить мне компанию, чтобы не пришлось рассказывать столь интересные вещи в пустую аудиторию. Как бонус: вы уже будете знать ответы на все мои хитрые вопросы.
Поэтому приглашаю всех на "открытую лекцию по крипте (1)", завтра снова поговорим о TLS, https, CRL, OCSP, ocsp-stapling, SNI, eSNI.
23 ноября в Белке, в 12:20 лекция по защите программ и данных. На всякий случай так же ссылка на канал @softwareanddatasecurity и в чат, где можно заранее задать вопросы, на которые я смогу завтра ответить @sadschat Буду рад всех видеть снова😊
Поэтому приглашаю всех на "открытую лекцию по крипте (1)", завтра снова поговорим о TLS, https, CRL, OCSP, ocsp-stapling, SNI, eSNI.
23 ноября в Белке, в 12:20 лекция по защите программ и данных. На всякий случай так же ссылка на канал @softwareanddatasecurity и в чат, где можно заранее задать вопросы, на которые я смогу завтра ответить @sadschat Буду рад всех видеть снова😊
Завтра лекции не будет, будет только на следующей неделе. Извините, что так поздно сообщаю 🙁
Завтра снова замечательная лекция 👌В нашем прекрасном мирке с TLS и https, несмотря на все изощрения с CRL, OCSP, must-staple и прочими премудростями, всё равно остается место для хитрых атак и подглядываний. Для примера, попробуйте зайти в Украине на сайт вроде https://yandex.ru. Как же провайдеры умудряются их блокировать несмотря на то, что там https?
Завтра в субботу 07.12 в 12:20 в Белке будет открытая лекция, на которой я постараюсь примерно ответить на эти вопросы. Я вкратце расскажу об tls вначале, чтобы те, кого не было в прошлый (и позапрошлый) раз были с нами на одной волне😊
Мы рассмотрим такие штуки как блокировки по имени сервера, подделку ответов DNS (в простом виде, когда это делает mitm), encrypted-SNI, DNS-over-HTTPS, dnssec, ну и тему, которую шарит каждый таксист: VPN. Что это, зачем это, tunnel и transport режимы, IPsec, IKEv2 и прочие радости жизни. Так что приходите, вам будут рады😉
Завтра в субботу 07.12 в 12:20 в Белке будет открытая лекция, на которой я постараюсь примерно ответить на эти вопросы. Я вкратце расскажу об tls вначале, чтобы те, кого не было в прошлый (и позапрошлый) раз были с нами на одной волне😊
Мы рассмотрим такие штуки как блокировки по имени сервера, подделку ответов DNS (в простом виде, когда это делает mitm), encrypted-SNI, DNS-over-HTTPS, dnssec, ну и тему, которую шарит каждый таксист: VPN. Что это, зачем это, tunnel и transport режимы, IPsec, IKEv2 и прочие радости жизни. Так что приходите, вам будут рады😉
Блокчейн! Держава в смартфоні!
Завтра на лекции мы несколько отвлечемся от серьезных тем и поговорим о такой штуке как блокчейн. Как он работает, почему он был (остается?) таким популярным решением (чего?), для какиех целей он подходит и для каких он ну вообще не подходит – а последних явно больше – в этом нам предстоит разобраться.
Завтра, в субботу 14.12 на открытой лекции по крипте в Белке в 12:20. Приходить могут все желающие, но если вы не из КПИ, возьмите с собой документы на всякий случай, если вдруг охранник внизу решит никого не впускать. Жду вас
😊
Завтра на лекции мы несколько отвлечемся от серьезных тем и поговорим о такой штуке как блокчейн. Как он работает, почему он был (остается?) таким популярным решением (чего?), для какиех целей он подходит и для каких он ну вообще не подходит – а последних явно больше – в этом нам предстоит разобраться.
Завтра, в субботу 14.12 на открытой лекции по крипте в Белке в 12:20. Приходить могут все желающие, но если вы не из КПИ, возьмите с собой документы на всякий случай, если вдруг охранник внизу решит никого не впускать. Жду вас
😊
Завтра будет презентация проектов по геймдеву, которая может затянутся и я буду ещё принимать экзамен у заочников, поэтому лекцию завтра придется отменить 😢
В этом году лекций уже не будет. Завтра белка занята зачётом по геймдеву надолго.
Получается, лекция по sqli и remote code execution будет только на ютубе. Обязательно выложу сюда, как только всё будет готово. Ну или проведу её после праздников, почему бы и нет😊 Напишите плз в чатике @sadschat, как считаете, будет лучше.
Получается, лекция по sqli и remote code execution будет только на ютубе. Обязательно выложу сюда, как только всё будет готово. Ну или проведу её после праздников, почему бы и нет😊 Напишите плз в чатике @sadschat, как считаете, будет лучше.