«Облачное» программирование — первый проект для наукограда в Сколкове
-
Похожий контент
-
От KL FC Bot
После долгих лет исследования и тестирования, в середине августа 2023 года Национальный институт стандартов и технологий США (NIST) наконец-то представил полноценные стандарты постквантового шифрования — FIPS 203, FIPS 204 и FIPS 205. Самое время поговорить о том, что они собой представляют и почему внедрять их в идеале нужно было уже вчера.
Зачем нужна постквантовая криптография
Для начала вкратце опишем ту угрозу, которую представляют для криптографии квантовые компьютеры. Состоит она в том, что квантовые вычисления могут успешно применяться для взлома асимметричного шифрования. Почему это важно? Как правило, шифрование современных коммуникаций в наиболее распространенной форме представляет собой двойную систему:
Все сообщения шифруются симметричным алгоритмом (например, AES) — в нем используется только один ключ, который одинаков у всех участников коммуникации. Симметричные алгоритмы работают хорошо и быстро, но есть проблема: ключ надо как-то так передать от одного собеседника другому, чтобы его невозможно было перехватить в процессе передачи. Поэтому для передачи этого ключа используется асимметричное шифрование (например, RSA или ECDH). В нем у каждого собеседника есть пары ключей — закрытый и открытый, — которые связаны математически. Сообщение шифруется открытым ключом, а расшифровывается только закрытым. Асимметричное шифрование более медленное, поэтому использовать его для шифрования всех сообщений было бы непрактично. Тайну переписки обеспечивает тот факт, что вычислить закрытый ключ, зная соответствующий ему открытый, — задача крайне ресурсоемкая, на ее решение могут уйти десятки, сотни, тысячи, а то и миллионы лет. Но это если мы пытаемся решить ее при помощи классических компьютеров.
Квантовые компьютеры существенно ускоряют вычисления такого рода. В частности, квантовый алгоритм Шора позволяет получать закрытые ключи асимметричного шифрования на многие порядки быстрее, чем рассчитывали создатели соответствующих криптографических схем, — за минуты или часы вместо лет и веков.
В свою очередь, вычислив закрытый ключ асимметричного шифрования, можно узнать ключ симметричного шифрования, которым и зашифрована основная переписка. Таким образом вся переписка может быть прочитана.
View the full article
-
От Elly
Друзья!
АО «Лаборатория Касперского» обеспечивает защиту более 220 000 компаний и организаций по всему миру. Гибкая лицензионная политика, широкий спектр услуг по обследованию сети и доработке программных продуктов для особенностей IT-инфраструктуры предприятия делают решения компании привлекательными для крупных корпораций и организаций. Предлагаем вам поучаствовать в викторине о реализованных проектах «Лаборатории Касперского». Участники викторины смогут ознакомиться с интересными публикациями, размещёнными в специальном разделе, узнать о деятельности компании, взаимодействии с крупными корпорациями и разными организациями, а также особенностях внедрённых защитных продуктов.
НАГРАЖДЕНИЕ
Без ошибок — 1 000 баллов Одна ошибка — 800 баллов Две ошибки — 600 баллов Баллами можно оплатить лицензии и сувениры в магазине Клуба.
ПРАВИЛА ПРОВЕДЕНИЯ
Викторина проводится до 20:00 7 июля 2024 года (время московское).
Правильные ответы будут опубликованы не позднее 10 дней с момента окончания викторины. Публичное обсуждение вопросов и ответов викторины запрещено. Итоги будут подведены в течение десяти дней с момента публикации правильных ответов. Баллы будут начислены в течение двадцати дней с момента опубликования итогов викторины.
Все вопросы, связанные с корректностью проведения викторины, необходимо отправлять пользователю@Mrak (пользователей @oit и @Ellyвключать в копию адресатов) через систему личных сообщений с подробным описанием ситуации. Ответ будет дан коллегиальным решением организаторов викторины и дальнейшего обсуждения не предполагает.
Вопросы по начислению баллов направлять пользователю@Ellyчерез систему личных сообщений.
Вопросы по викторине принимаются только через личные сообщения в течение срока проведения викторины и не позднее трёх дней после публикации ответов (время московское). Ответы направляются представителем от организаторов викторины через личные сообщения в рамках созданной переписки.
Администрация, официально уведомив, может в любой момент внести изменения в правила викторины, перезапустить или вовсе прекратить её проведение, а также отказать участнику в получении приза, применить иные меры (вплоть до блокировки аккаунта) в случае выявления фактов его недобросовестного участия в ней и/или нарушения правил викторины, передачи ответов на викторину иным участникам. При ответе на вопросы викторины запрещается использовать анонимайзеры и другие технические средства для намеренного сокрытия реального IP-адреса.
Вопросы по начислению баллов, принимаются в течение 30 дней с момента подведения итогов викторины. Викторина является собственностью клуба «Лаборатории Касперского», её использование на сторонних ресурсах без разрешения администрации клуба запрещено.
Участие в викторине означает безоговорочное согласие с настоящими правилами. Для перехода к вопросам викторины нажмите ЗДЕСЬ.
-
От KL FC Bot
Несмотря на некоторые неприятности, произошедшие на рынке криптовалют за последние полгода, в сознании многих людей крипта до сих пор остается символом быстрого обогащения с минимальными усилиями. Поэтому не иссякает и поток мошенников, которые паразитируют на этой теме. Чтобы завлекать жертв в свои сети, эти мошенники продолжают придумывать все новые и новые истории, одна интереснее другой. Сегодня поговорим о свежей схеме, в которой пользователю предлагается забрать средства, якобы намайненные его аккаунтом в некой «автоматической облачной майнинговой платформе».
Пока вас не было, у вас тут намайнилось
Все начинается с письма с вложенным PDF-файлом, в котором получателя уведомляют о том, что он вот уже год не входил в когда-то зарегистрированный им аккаунт в некоем сервисе для облачного майнинга биткойнов с незамысловатым названием Bitcoin Cloud Mining. Между тем за это время у него на счету накопилась серьезная сумма — аж 0,7495 биткойна. Но вот беда: поскольку аккаунтом не пользовались почти год, он совсем скоро будет заблокирован, после чего намайненные деньги будут распределены между другими участниками платформы. Времени до блокировки остается немного — правда, не очень понятно, сколько именно: крупным шрифтом в письме указано «2 дня 23:58:38», а мелким — «в течение 24 часов». Но так или иначе, не все потеряно: еще можно успеть войти в аккаунт и забрать средства.
Во вложенном PDF мошенники обещают получателю крупную выплату, но для этого надо поторопиться — аккаунт вот-вот будет заблокирован
View the full article
-
От KL FC Bot
Утечки учетных данных остаются одним из самых популярных у злоумышленников способов проникновения в организацию. Только за 9 месяцев 2023 года по данным Kaspersky Digital Footprint Intelligence в даркнете было опубликовано 315 миллионов записей учетных данных, среди которых множество реквизитов доступа к корпоративным ресурсам, в том числе и к ресурсам компаний из списка Fortune 500. Чтобы эффективнее управлять связанными с этим рисками, минимизировать число уязвимых аккаунтов, быстрее замечать и пресекать несанкционированный доступ, компании внедряют системы управления identity, о которых мы подробно писали ранее. Но эффективный процесс управления identity невозможен, пока большинство корпоративных систем не поддерживают процедуру унифицированной аутентификации. Для внутренних систем компании она обычно завязана на централизованный каталог, например Active Directory, а во внешних SaaS-системах взаимодействие с корпоративным каталогом identity ведется через платформу Single Sign-on (SSO) —либо внешнюю, либо развернутую в инфраструктуре компании, такую как ADFS.
Для сотрудников это предельно удобно — логинясь во внешние системы, такие как SalesForce или Concur, сотрудник проходит единый для корпоративной сети процесс аутентификации, включая ввод пароля и предъявление второго фактора (кода OTP, USB-токена и так далее, согласно корпоративной политике), ему не нужны никакие дополнительные логины и пароли. Более того, однократно войдя утром в одну из систем, в остальные можно входить автоматически. Помимо удобства этот процесс в теории безопасен, поскольку службы IT и ИБ имеют полный централизованный контроль над учетными записями, парольными политиками, методами МФА и логами.
Но на практике уровень безопасности внешних систем, поддерживающих SSO, зачастую оказывается не таким уж высоким.
Подводные камни Single Sign-On
Пока пользователь входит в SaaS-систему, сервер этой системы, клиентское устройство пользователя и платформа SSO проходят несколько этапов взаимодействия, в которых платформа SSO проверяет пользователя и выдает SaaS-системе и клиентскому устройству токены аутентификации, которые подтверждают права пользователя. При этом платформа может снабжать токен целым рядом параметров, напрямую влияющих на безопасность. Они могут включать:
указание периода действия токена (и сессии), по истечении которого потребуется повторная аутентификация; привязка токена к конкретному браузеру или мобильному устройству; привязка токена к конкретным IP-адресам или IP-диапазонам, что позволяет реализовать в том числе географические ограничения; дополнительные условия окончания сессии, например закрытие браузера или выход пользователя из самой SSO-платформы. Ключевая проблема заключается в том, что некоторые облачные провайдеры неверно интерпретируют или вовсе игнорируют эти ограничения, нарушая таким образом модель безопасности, которую выстроила команда ИБ. Более того, в ряде случаев SaaS-платформы недостаточно контролируют корректность самих токенов, открывая простор для их подделки.
Посмотреть статью полностью
-
От st210165
Уважаемые Гений Касперский и вся его команда
а есть ли у Вас разработки своего на кирилице ассемблера и Свой на русском языке язык программирования - прямо с элементарного -если так можно сказать -железа ввода в память основ алфавита и программирования
неплохо бы его с детского сада детям давать изучать и накапливать в базы данных
С уважением Ваш подписчик Игорь
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти