Защита SmartCaptcha теперь доступна пользователям Yandex Cloud

Защита SmartCaptcha теперь доступна пользователям Yandex Cloud

Защита SmartCaptcha теперь доступна пользователям Yandex Cloud

На платформе Yandex Cloud запущен сервис SmartCaptcha; ранее эта система верификации запросов использовалась только в продуктах «Яндекса». В настоящее время новинку тестируют более 30 пользователей, аутсайдерам доступ предоставляется по запросу.

С переносом в публичное облако решение Yandex SmartCaptcha позволит защитить российские сайты от ботов, спама и DDoS-атак. По данным Barracuda Networks, на долю ботов приходится больше половины трафика в интернете, и около 40% таких программ потенциально опасны.

Проблема защиты российского бизнеса от DDoS в этом году обострилась — из-за роста агрессии со стороны хактивистов. Повышение DDoS-активности в первом квартале отметили и отечественные, и зарубежные ИБ-компании.

Использование SmartCaptcha-сервиса, по словам «Яндекса», также поможет избежать падения трафика на сайте. Поскольку решение построено на алгоритмах машинного обучения, более половины пользователей смогут сэкономить время на вход, просто кликнув «Я не робот». Остальным предложат ввести текст — случайное словосочетание, которое человек в 85% случаев легко распознает, а бот выдаст ответ далеко не сразу.

Кроме того, Yandex SmartCaptcha предоставляет возможность кастомизации. Пользователь может выбрать уровень сложности, настроить уникальный визуальный стиль, сменить фон, рамки или метки в интерфейсе, чтобы капча органично смотрелась на сайте.

«За последние несколько лет логика работы нашей «капчи» была существенно улучшена, это заметил и рынок, — комментирует Михаил Федоров, менеджер по развитию продукта Yandex SmartCaptcha. — Разработчики, которые часто встречали SmartCaptcha на сайтах Маркета или Кинопоиска, стали часто обращаться с запросами разместить сервис на сторонних веб-ресурсах. Убедившись, что есть потребность, и протестировав «капчу» на высоконагруженных сервисах Яндекса, мы решили предоставлять ее по сервисной модели для всех желающих».

По данным BuiltWith, в рейтинге стран по использованию CAPTCHA на сайтах Россия сейчас занимает восьмое место (по состоянию на 13 июня). В этом сегменте интернета, как и в прочих, доминирует reCaptcha от Google.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

WireTap: атака на Intel SGX позволяет украсть ключ за 45 минут

Группа исследователей из Технологического института Джорджии и Университета Пердью продемонстрировала атаку под названием WireTap, которая позволяет обойти защиту Intel SGX (Software Guard Extensions).

Главная особенность вектора атаки (PDF) в том, что для неё достаточно физического доступа к серверу и простого оборудования стоимостью менее $1000 — его можно собрать из подержанных деталей.

Учёные создали пассивный DIMM-интерпозер, который подключается к шине памяти DDR4. С его помощью они смогли замедлить и анализировать трафик, затем очистили кэш и получили контроль над защищённым SGX-«анклавом». Дальше дело техники: всего за 45 минут они извлекли ключ аттестации машины.

С помощью украденного ключа можно:

  • подделывать аттестацию и ломать приватность сетей вроде Phala и Secret, где хранятся зашифрованные смарт-контракты;
  • взламывать систему Crust, имитируя доказательства хранения данных и подрывая доверие к узлам сети.

По сути, это позволяет нарушить и конфиденциальность, и целостность таких сервисов.

Intel признала существование атаки, но отметила, что она требует физического доступа и использования спецустройства. А это, по словам Intel, выходит за рамки их стандартной модели угроз.

Исследователи считают, что снизить риски можно с помощью более сложного шифрования памяти, увеличения энтропии, защиты подписи в аттестации и повышения скорости шины.

Напомним, несколькими днями ранее мы рассказывали про другой вектор атаки — Battering RAM. Он работает довольно изящно — через дешёвое «железо» стоимостью всего около $50.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru