SDCast #137: в гостях Артём Кулаков, исследователь безопасности в компании «Positive Technologies»
Konstantin Burkalev
01:45:08
LinkPodcast
SDCast
About this episode
Давно мы не говорили про безопасность приложений, платформ и вообще аспекты безопасности в разработке. Исправляем! Встречайте 137-й выпуск подкаста. У меня в гостях Артём Кулаков, исследователь безопасности в компании «Positive Technologies».
В этом выпуске мы говорим с Артёмом про его путь в айти и трансформацию из разработчика в исследователя безопасности в целом и в контексте мобильной платформы Android в первую очередь. Обсуждаем безопасность самой платформы, её эволюцию, что делают вендоры и Гугл в частности для улучшения безопасности платформы и приложений на ней. Какие есть инструменты, техники, приёмы и механизмы для контроля и предотвращения и улучшения вопросов безопасности.
Обсуждаем вопросы документации и базовых знаний разработчиков. Как официальная документация платформы и примеры кода влияют на качество кода разрабатываемых приложений. Какими базовыми знаниями по безопасности необходимо обладать разработчикам. Где и как получать эти знания и информацию. Обсудили тему фреймворков и различных библиотек, который абстрагируют работу с различными системными компонентами и как это влияет на качество кода. Обсудили, какие есть варианты аудита безопасности приложений: внутри компаний и вне.
В заключении выпуска немного подискутировали о новых тенденциях и веяниях в области безопасности приложений.
Ссылки на ресурсы по темам выпуска:
* Проект Артёма “Android Guards”:
* Канал в телеграме: https://t.me/android_guards_today
* Чат в телеграме: https://t.me/android_guards
* Канал на YouTube: https://www.youtube.com/c/AndroidGuards
* Подкаст “Android Guards Podcast” в iTunes (https://podcasts.apple.com/us/podcast/android-guards-podcast/id1552280775)
* Подкаст “Android Guards Podcast” в Google (https://podcasts.google.com/feed/aHR0cHM6Ly9jbG91ZC5tYXZlLmRpZ2l0YWwvMzI2NzM)
* Статья про предсказуемый рандом в паролях Касперского (en) (https://donjon.ledger.com/kaspersky-password-manager/)
* Заметка “Zoom Lied about End-to-End Encryption” (https://www.schneier.com/blog/archives/2021/08/zoom-lied-about-end-to-end-encryption.html)
* iOS 15 RCE:
* https://saaramar.github.io/IOMFB_integer_overflow_poc/
* https://github.com/jonathandata1/ios_15_rce
* OWASP Top Ten:
* Web: https://owasp.org/www-project-top-ten/
* API: https://owasp.org/www-project-api-security/
* Mobile: https://owasp.org/www-project-mobile-top-10/
* Примеры IPC багов в Android:
* Доступ к защищенным компонентам приложения (https://blog.oversecured.com/Android-Access-to-app-protected-components/)
* Кража файлов и RCE в TikTok (https://blog.oversecured.com/Oversecured-detects-dangerous-vulnerabilities-in-the-TikTok-Android-app/)
* Книги:
* Android Hacker's Handbook (https://www.amazon.com/Android-Hackers-Handbook-Joshua-Drake/dp/111860864X)
* Android Security Internals (https://nostarch.com/androidsecurity)
* Чем проверить свои приложения:
* OWASP Dependency Checker (https://owasp.org/www-project-dependency-check/)
* MobSF. Сканер безопасности, который можно развернуть у себя в инфраструктуре (https://mobsf.github.io/docs/#/)
* Плагин для анализатора FindBugs сконцентрированный на безопасности (https://find-sec-bugs.github.io/)
Понравился выпуск? — Поддержи подкаст на patreon.com/KSDaemon (https://www.patreon.com/KSDaemon), звёздочками в iTunes (https://podcasts.apple.com/ru/podcast/software-development-podcast/id890468606?l=en) или своём подкаст-плеере, а так же ретвитом или постом! Заходи в телеграм-чат SDCast (https://t.me/SDCast), где можно обсудить выпуски, предложить гостей и высказать свои замечания и пожелания!
В этом выпуске мы говорим с Артёмом про его путь в айти и трансформацию из разработчика в исследователя безопасности в целом и в контексте мобильной платформы Android в первую очередь. Обсуждаем безопасность самой платформы, её эволюцию, что делают вендоры и Гугл в частности для улучшения безопасности платформы и приложений на ней. Какие есть инструменты, техники, приёмы и механизмы для контроля и предотвращения и улучшения вопросов безопасности.
Обсуждаем вопросы документации и базовых знаний разработчиков. Как официальная документация платформы и примеры кода влияют на качество кода разрабатываемых приложений. Какими базовыми знаниями по безопасности необходимо обладать разработчикам. Где и как получать эти знания и информацию. Обсудили тему фреймворков и различных библиотек, который абстрагируют работу с различными системными компонентами и как это влияет на качество кода. Обсудили, какие есть варианты аудита безопасности приложений: внутри компаний и вне.
В заключении выпуска немного подискутировали о новых тенденциях и веяниях в области безопасности приложений.
Ссылки на ресурсы по темам выпуска:
* Проект Артёма “Android Guards”:
* Канал в телеграме: https://t.me/android_guards_today
* Чат в телеграме: https://t.me/android_guards
* Канал на YouTube: https://www.youtube.com/c/AndroidGuards
* Подкаст “Android Guards Podcast” в iTunes (https://podcasts.apple.com/us/podcast/android-guards-podcast/id1552280775)
* Подкаст “Android Guards Podcast” в Google (https://podcasts.google.com/feed/aHR0cHM6Ly9jbG91ZC5tYXZlLmRpZ2l0YWwvMzI2NzM)
* Статья про предсказуемый рандом в паролях Касперского (en) (https://donjon.ledger.com/kaspersky-password-manager/)
* Заметка “Zoom Lied about End-to-End Encryption” (https://www.schneier.com/blog/archives/2021/08/zoom-lied-about-end-to-end-encryption.html)
* iOS 15 RCE:
* https://saaramar.github.io/IOMFB_integer_overflow_poc/
* https://github.com/jonathandata1/ios_15_rce
* OWASP Top Ten:
* Web: https://owasp.org/www-project-top-ten/
* API: https://owasp.org/www-project-api-security/
* Mobile: https://owasp.org/www-project-mobile-top-10/
* Примеры IPC багов в Android:
* Доступ к защищенным компонентам приложения (https://blog.oversecured.com/Android-Access-to-app-protected-components/)
* Кража файлов и RCE в TikTok (https://blog.oversecured.com/Oversecured-detects-dangerous-vulnerabilities-in-the-TikTok-Android-app/)
* Книги:
* Android Hacker's Handbook (https://www.amazon.com/Android-Hackers-Handbook-Joshua-Drake/dp/111860864X)
* Android Security Internals (https://nostarch.com/androidsecurity)
* Чем проверить свои приложения:
* OWASP Dependency Checker (https://owasp.org/www-project-dependency-check/)
* MobSF. Сканер безопасности, который можно развернуть у себя в инфраструктуре (https://mobsf.github.io/docs/#/)
* Плагин для анализатора FindBugs сконцентрированный на безопасности (https://find-sec-bugs.github.io/)
Понравился выпуск? — Поддержи подкаст на patreon.com/KSDaemon (https://www.patreon.com/KSDaemon), звёздочками в iTunes (https://podcasts.apple.com/ru/podcast/software-development-podcast/id890468606?l=en) или своём подкаст-плеере, а так же ретвитом или постом! Заходи в телеграм-чат SDCast (https://t.me/SDCast), где можно обсудить выпуски, предложить гостей и высказать свои замечания и пожелания!