Из-за нехватки места на диске 😕 записались только первые 15 минут, так что блин комом. В следующий раз подойду к вопросу серьезнее.
1 лабка для сильно заинтересованных здесь: https://programengineeringkpi.github.io/Software-And-Data-Security/labs/lab1.html
Если что-то сильно не понятно, пишите в чатик @sadschat , обсудим
1 лабка для сильно заинтересованных здесь: https://programengineeringkpi.github.io/Software-And-Data-Security/labs/lab1.html
Если что-то сильно не понятно, пишите в чатик @sadschat , обсудим
Одна из важнейших тем в курсе, важнее шифрования, важнее подписей и двухфакторной авторизации. Случайные числа – и почему те генераторы таких чисел, которые вы привыкли использовать, абсолютно непригодны для целей, которые содержат слова «безопасный» или «секретный».
Среда, 20 сентября, пространство Белка в 10:25, пара по защите программ и данных.
Не пропустите эту лекцию, если хотите открыть онлайн-казино.
Среда, 20 сентября, пространство Белка в 10:25, пара по защите программ и данных.
Не пропустите эту лекцию, если хотите открыть онлайн-казино.
Чтобы наверняка были все видео из курса, а не начиная с 3 лекции, я проведу еще одну лекцию-повтор, в которой будут темы из первых двух. Пока время и место такие: эта пятница, 12 часов, Белка. Приходите, если пропустили или просто для массовки😊
Adobe тупит. Не будь как Adobe. https://twitter.com/jupenur/status/911286403434246144
(Ребята выложили вместе с публичным ключом свой приватный ключ. Теперь все могут подписывать свои сообщения от имени Adobe Security Incident Response Team. Ключ они, естественно, отозвали, но все равно все очень плохо)
(Ребята выложили вместе с публичным ключом свой приватный ключ. Теперь все могут подписывать свои сообщения от имени Adobe Security Incident Response Team. Ключ они, естественно, отозвали, но все равно все очень плохо)
Twitter
Juho Nurminen
Oh shit Adobe
Завтра на лекции потоковые и блочные шифры. То, что называют Military Grade Security в любой программулине, где их хоть немного используют. Настолько ли этот секьюрити хорош, как использовать его по делу и как не натупить, как создатель вируса Petya. И даже если вы проспите всю лекцию, грозный лозунг про «Military» будет и у вас на вооружении.
27.09 в 12 зале библиотеки (это 6 этаж). Начало в 10:25. Welcome.
27.09 в 12 зале библиотеки (это 6 этаж). Начало в 10:25. Welcome.
В конце прошлого занятия я говорил о лучшем онлайн-курсе по именно криптографии. Если хочется поближе познакомиться с внутренностями алгоритмов шифрования и узнать больше теории, вам сюда: https://www.coursera.org/learn/crypto
Криптография не заканчивается на шифровании. В конце прошлой лекции стало понятно, что даже использование самых современных алгоритмов блочного и потокового шифрования не спасет вас от всех атак. И с этим надо что-то делать.
Завтра, 04.10 в 10:30 в Белке мы начнем разбирать эту тему, которая как ни странно пересекается с вопросом «как хранить пароли?».
Для самых нетерпеливых даю ссылку на ответ: http://howtosafelystoreapassword.com/
Завтра, 04.10 в 10:30 в Белке мы начнем разбирать эту тему, которая как ни странно пересекается с вопросом «как хранить пароли?».
Для самых нетерпеливых даю ссылку на ответ: http://howtosafelystoreapassword.com/
Howtosafelystoreapassword
How to safely store a password?
How to safely store a password. It's 2016
Завтра белка будет занята Сикорским и Интелом, поэтому нашу пару придется перенести на пятницу, 12:00. В четверг я тоже сделаю объявление.
Мы будем говорить о хранении паролей и авторизации пользователей. Почему большинство делает это неправильно и как делать правильно. И что делать, если вдруг в базе красуется такая штука, как на скрине ниже (это скрин с реального проекта).
До пятницы!
Мы будем говорить о хранении паролей и авторизации пользователей. Почему большинство делает это неправильно и как делать правильно. И что делать, если вдруг в базе красуется такая штука, как на скрине ниже (это скрин с реального проекта).
До пятницы!
Я уже говорил, что завтра одна из самых интересных тем: как хранить пароли пользователей. С одной стороны, все очень просто, но с другой – каждый год увеличивается количество слитых баз и подобранных паролей. Пароли становятся глобальной проблемой всего IT. Ведь другого надежного и такого же простого способа узнать пользователя практически не существует.
Хотите примерно оценить масштаб? Слитая база из 60 млн. аккаунтов Dropbox (2012 год), 100 млн. аккаунтов VK(2012 год), 150 млн. аккаунтов Adobe (2013 год), 160 млн. от LinkedIn (2016 год), 360 млн. от MySpace (2016 год), 590 млн. от Exploit.In и 700 млн. почтовых ящиков и паролей от спамботов (оба слива в этом году).
Завтра в 12:20 в Белке пара по защите программ и данных: «Как хранить пароли так, чтобы минимизировать ущерб?».
Как пароли подбирают и как их подбирают очень быстро, что такое подбор по словарю, подбор по шаблону, гибридный подбор, что такое радужные таблицы, зачем нужна соль и как ее хранить, какие алгоритмы лучше использовать, стоит ли шифровать пароли (помимо хеширования), почему FaceId и TouchId не лучший вариант для интернета? Приходите, буду рад всех видеть.
Тема серьезная, поэтому ловите серьезную картинку:
Хотите примерно оценить масштаб? Слитая база из 60 млн. аккаунтов Dropbox (2012 год), 100 млн. аккаунтов VK(2012 год), 150 млн. аккаунтов Adobe (2013 год), 160 млн. от LinkedIn (2016 год), 360 млн. от MySpace (2016 год), 590 млн. от Exploit.In и 700 млн. почтовых ящиков и паролей от спамботов (оба слива в этом году).
Завтра в 12:20 в Белке пара по защите программ и данных: «Как хранить пароли так, чтобы минимизировать ущерб?».
Как пароли подбирают и как их подбирают очень быстро, что такое подбор по словарю, подбор по шаблону, гибридный подбор, что такое радужные таблицы, зачем нужна соль и как ее хранить, какие алгоритмы лучше использовать, стоит ли шифровать пароли (помимо хеширования), почему FaceId и TouchId не лучший вариант для интернета? Приходите, буду рад всех видеть.
Тема серьезная, поэтому ловите серьезную картинку:
Мы недавно говорили о том, что WEP давно был взломан, потому что в нем не было механизма использования nonce. С сегодняшнего дня WPA2 тоже не считается защищённым.
При начальном рукопожатии можно заставить стороны использовать одинаковый nonce повторно. Тогда взлом (расшифровка траффика) практически любого wifi сводится к решению первой лабы, пункта 2. Тем не менее, WPA2 сейчас лучшее, что есть, поэтому не стоит возвращаться к старым протоколам: они ещё больше уязвимы.
Много текста здесь: https://www.krackattacks.com/
При начальном рукопожатии можно заставить стороны использовать одинаковый nonce повторно. Тогда взлом (расшифровка траффика) практически любого wifi сводится к решению первой лабы, пункта 2. Тем не менее, WPA2 сейчас лучшее, что есть, поэтому не стоит возвращаться к старым протоколам: они ещё больше уязвимы.
Много текста здесь: https://www.krackattacks.com/
Krackattacks
KRACK Attacks: Breaking WPA2
This website presents the Key Reinstallation Attack (KRACK). It breaks the WPA2 protocol by forcing nonce reuse in encryption algorithms used by Wi-Fi.
Несколько человек у меня спросили, неужели ничего нельзя поделать и теперь надо ждать wpa3? Нет, надо просто накатить самые последние обновления для всех устройств, которые используют wifi. Ошибка, приводящая к такому поведению, находится в имплементации и её можно исправить. Хотя протокол рукопожатия предусматривает именно такое поведение, так что на самом деле это даже не баг, а фича.
На очереди вопрос, который не покидает ваши умы даже во время сна. Шифровать-то шифруем, но для шифрования нужен ключ. Хорошо, ключ можно сделать из пароля с помощью KDF. Но как два человека будут знать один и тот же ключ? Не по скайпу же его кидать. А если передавать зашифрованный ключ, то как обменятся ключами шифрования ключей шифрования? Если вы ничего не поняли, это нормально, потому что никто так не делает.
Завтра в Белке (библиотека, 3 этаж), в 10:30 открытая лекция по защите программ и данных.
Мы начнем рассматривать ассиметричную криптографию. Начнем мы как раз с ответа на вопрос, как двум людям узнать один и тот же секретный ключ так, чтобы его не подсмотрел никто другой. И это без шифрования и по незащищенному каналу, то есть там, где кто-угодно может подсматривать сообщения!
Завтра в Белке (библиотека, 3 этаж), в 10:30 открытая лекция по защите программ и данных.
Мы начнем рассматривать ассиметричную криптографию. Начнем мы как раз с ответа на вопрос, как двум людям узнать один и тот же секретный ключ так, чтобы его не подсмотрел никто другой. И это без шифрования и по незащищенному каналу, то есть там, где кто-угодно может подсматривать сообщения!
Завтра и только завтра: самый крутой и самый известный в крипте алгоритм RSA на открытой лекции по защете программ и данных. Белка, 10:25. Вы точно не хотите пропустить эту лекцию.
TL;DR Как шифровать одним ключем, а расшифровывать другим?
Мы чуток посмотрели на этот алгоритм в прошлый раз, но этого было явно недостаточно, чтобы окончательно взорвать мозг. В этот раз все будет по-настоящему. RSA и цифровые подписи – это наш последний рубеж на пути к повседневной защите, которая охраняет вашу историю просмотров роликов на ютубе (посредством TLS, который мы рассмотрим чуть позже) и историю ваших транзакций в банке или в Bitcoin (который мы тоже обязательно рассмотрим).
К сожалению, много кто считает, что RSA можно вставить куда-нибудь и алгоритм просто заработает. Это, конечно же, не так, и при использовании в лоб такая защита ломается очень быстро. Поэтому приходите, буду рад всех видеть.
Бонусный вопрос: кто изображен на фото?
А) Иисус в костюме
Б) Гендальф в костюме
В) Изобретатель алгоритма DH в костюме
TL;DR Как шифровать одним ключем, а расшифровывать другим?
Мы чуток посмотрели на этот алгоритм в прошлый раз, но этого было явно недостаточно, чтобы окончательно взорвать мозг. В этот раз все будет по-настоящему. RSA и цифровые подписи – это наш последний рубеж на пути к повседневной защите, которая охраняет вашу историю просмотров роликов на ютубе (посредством TLS, который мы рассмотрим чуть позже) и историю ваших транзакций в банке или в Bitcoin (который мы тоже обязательно рассмотрим).
К сожалению, много кто считает, что RSA можно вставить куда-нибудь и алгоритм просто заработает. Это, конечно же, не так, и при использовании в лоб такая защита ломается очень быстро. Поэтому приходите, буду рад всех видеть.
Бонусный вопрос: кто изображен на фото?
А) Иисус в костюме
Б) Гендальф в костюме
В) Изобретатель алгоритма DH в костюме
TL;DR Битки! Блокчейн!
Завтра на открытой лекции у нас особая тема. Особая тем, что вокруг нее крутится огромный хайп. Да, это блокчейн и биткоины. Это первая наша тема, в которой мы уже не будет придумывать новый криптопримитивы, а начнем использовать старые для своих нужд.
Но начнем с того, почему наши знания нельзя использовать как конструктор. Это очень большое заблуждение: «если у меня есть два хорошо защищенных криптопримитива и я буду использовать их вместе, получится защищенная система». Криптография так не работает. Не повторяйте чужие ошибки – используйте уже известные решения – и не создавайте велосипеды. Если в обычном software development это грозит вам весьма быстрым обратным откликом от недовольных сотрудников, то в безопасности – фидбек будет очень небыстрым, но куда более неприятным, иногда на миллионы долларов неприятнее.
Завтра 01.11 в 10:25 жду всех желающих в Белке на открытой лекции по защите программ и данных.
Дисклеймер: никакие вопросы по тому, как получше купить биток, как написать бота для торговли, что выбрать, монеро или эфир, как сделать ICO – рассматриваться не будут. Вообще. Поэтому, если вас интересует финансовая сторона вопроса, лучше сходить на конференции по блокчейнам, их сейчас много. Если вам хочется разобраться, как работают эти технологии почти безо всяких упрощений – добро пожаловать.
Завтра на открытой лекции у нас особая тема. Особая тем, что вокруг нее крутится огромный хайп. Да, это блокчейн и биткоины. Это первая наша тема, в которой мы уже не будет придумывать новый криптопримитивы, а начнем использовать старые для своих нужд.
Но начнем с того, почему наши знания нельзя использовать как конструктор. Это очень большое заблуждение: «если у меня есть два хорошо защищенных криптопримитива и я буду использовать их вместе, получится защищенная система». Криптография так не работает. Не повторяйте чужие ошибки – используйте уже известные решения – и не создавайте велосипеды. Если в обычном software development это грозит вам весьма быстрым обратным откликом от недовольных сотрудников, то в безопасности – фидбек будет очень небыстрым, но куда более неприятным, иногда на миллионы долларов неприятнее.
Завтра 01.11 в 10:25 жду всех желающих в Белке на открытой лекции по защите программ и данных.
Дисклеймер: никакие вопросы по тому, как получше купить биток, как написать бота для торговли, что выбрать, монеро или эфир, как сделать ICO – рассматриваться не будут. Вообще. Поэтому, если вас интересует финансовая сторона вопроса, лучше сходить на конференции по блокчейнам, их сейчас много. Если вам хочется разобраться, как работают эти технологии почти безо всяких упрощений – добро пожаловать.
Завтра разговор пойдет о куда более распространенной технологии, в отличии от блокчейна. Речь о TLS, с которым рано или поздно сталкивается каждый программист. Чтобы у вас возникало меньше вопросов, зачем надо этот сертификат, почему он так быстро истекает, что это за наборы странных символов, которые надо указывать при настройке https, почему сертификаты подводят в самый ответственный момент, когда они должны были защитить нас, – приходите завтра на открытую лекцию, на которой прозвучат ответы на эти жуткие вопросы, которые не дают вам спокойно уснуть.
Как обычно, 10:25 в белке вас ждет лекция по защите программ и данных. И это будет одна из последних лекций по крипте.
Все знание, которые у вас остались(?) после предыдущих лекций, соединяются вместе, в этом чудесном изобретении, которое позволяет вам лазить по youtube так, что даже ваш провайдер не знает, что вы смотрите. Что такое TLS, и почему эту технологию не смогли сразу придумать нормально, почему каждые несколько лет в ней находят новые уязвимости, зачем вам обязательно нужны сертификаты, которые быстро истекают, и почему вам обязательно нужен ocsp-stapling и must-staple. Все это вы узнаете завтра.
Как обычно, 10:25 в белке вас ждет лекция по защите программ и данных. И это будет одна из последних лекций по крипте.
Все знание, которые у вас остались(?) после предыдущих лекций, соединяются вместе, в этом чудесном изобретении, которое позволяет вам лазить по youtube так, что даже ваш провайдер не знает, что вы смотрите. Что такое TLS, и почему эту технологию не смогли сразу придумать нормально, почему каждые несколько лет в ней находят новые уязвимости, зачем вам обязательно нужны сертификаты, которые быстро истекают, и почему вам обязательно нужен ocsp-stapling и must-staple. Все это вы узнаете завтра.