DiscoverSDCastSDCast #137: в гостях Артём Кулаков, исследователь безопасности в компании «Positive Technologies»
SDCast #137: в гостях Артём Кулаков, исследователь безопасности в компании «Positive Technologies»

SDCast #137: в гостях Артём Кулаков, исследователь безопасности в компании «Positive Technologies»

Update: 2021-10-282
Share

Description

Давно мы не говорили про безопасность приложений, платформ и вообще аспекты безопасности в разработке. Исправляем! Встречайте 137-й выпуск подкаста. У меня в гостях Артём Кулаков, исследователь безопасности в компании «Positive Technologies».

В этом выпуске мы говорим с Артёмом про его путь в айти и трансформацию из разработчика в исследователя безопасности в целом и в контексте мобильной платформы Android в первую очередь. Обсуждаем безопасность самой платформы, её эволюцию, что делают вендоры и Гугл в частности для улучшения безопасности платформы и приложений на ней. Какие есть инструменты, техники, приёмы и механизмы для контроля и предотвращения и улучшения вопросов безопасности.

Обсуждаем вопросы документации и базовых знаний разработчиков. Как официальная документация платформы и примеры кода влияют на качество кода разрабатываемых приложений. Какими базовыми знаниями по безопасности необходимо обладать разработчикам. Где и как получать эти знания и информацию. Обсудили тему фреймворков и различных библиотек, который абстрагируют работу с различными системными компонентами и как это влияет на качество кода. Обсудили, какие есть варианты аудита безопасности приложений: внутри компаний и вне.

В заключении выпуска немного подискутировали о новых тенденциях и веяниях в области безопасности приложений.

Ссылки на ресурсы по темам выпуска:

* Проект Артёма “Android Guards”:
* Канал в телеграме: https://t.me/android_guards_today
* Чат в телеграме: https://t.me/android_guards
* Канал на YouTube: https://www.youtube.com/c/AndroidGuards
* Подкаст “Android Guards Podcast” в iTunes (https://podcasts.apple.com/us/podcast/android-guards-podcast/id1552280775)
* Подкаст “Android Guards Podcast” в Google (https://podcasts.google.com/feed/aHR0cHM6Ly9jbG91ZC5tYXZlLmRpZ2l0YWwvMzI2NzM)
* Статья про предсказуемый рандом в паролях Касперского (en) (https://donjon.ledger.com/kaspersky-password-manager/)
* Заметка “Zoom Lied about End-to-End Encryption” (https://www.schneier.com/blog/archives/2021/08/zoom-lied-about-end-to-end-encryption.html)
* iOS 15 RCE:
* https://saaramar.github.io/IOMFB_integer_overflow_poc/
* https://github.com/jonathandata1/ios_15_rce
* OWASP Top Ten:
* Web: https://owasp.org/www-project-top-ten/
* API: https://owasp.org/www-project-api-security/
* Mobile: https://owasp.org/www-project-mobile-top-10/
* Примеры IPC багов в Android:
* Доступ к защищенным компонентам приложения (https://blog.oversecured.com/Android-Access-to-app-protected-components/)
* Кража файлов и RCE в TikTok (https://blog.oversecured.com/Oversecured-detects-dangerous-vulnerabilities-in-the-TikTok-Android-app/)
* Книги:
* Android Hacker's Handbook (https://www.amazon.com/Android-Hackers-Handbook-Joshua-Drake/dp/111860864X)
* Android Security Internals (https://nostarch.com/androidsecurity)
* Чем проверить свои приложения:
* OWASP Dependency Checker (https://owasp.org/www-project-dependency-check/)
* MobSF. Сканер безопасности, который можно развернуть у себя в инфраструктуре (https://mobsf.github.io/docs/#/)
* Плагин для анализатора FindBugs сконцентрированный на безопасности (https://find-sec-bugs.github.io/)


Понравился выпуск? — Поддержи подкаст на patreon.com/KSDaemon (https://www.patreon.com/KSDaemon), звёздочками в iTunes (https://podcasts.apple.com/ru/podcast/software-development-podcast/id890468606?l=en) или своём подкаст-плеере, а так же ретвитом или постом! Заходи в телеграм-чат SDCast (https://t.me/SDCast), где можно обсудить выпуски, предложить гостей и высказать свои замечания и пожелания!
Comments 
In Channel
loading
00:00
00:00
x

0.5x

0.8x

1.0x

1.25x

1.5x

2.0x

3.0x

Sleep Timer

Off

End of Episode

5 Minutes

10 Minutes

15 Minutes

30 Minutes

45 Minutes

60 Minutes

120 Minutes

SDCast #137: в гостях Артём Кулаков, исследователь безопасности в компании «Positive Technologies»

SDCast #137: в гостях Артём Кулаков, исследователь безопасности в компании «Positive Technologies»

Konstantin Burkalev