28 октября 2021
SDCast #137: в гостях Артём Кулаков, исследователь безопасности в компании «Positive Technologies»
0
4
Давно мы не говорили про безопасность приложений, платформ и вообще аспекты безопасности в разработке. Исправляем! Встречайте 137-й выпуск подкаста. У меня в гостях Артём Кулаков, исследователь безопасности в компании «Positive Technologies».
В этом выпуске мы говорим с Артёмом про его путь в айти и трансформацию из разработчика в исследователя безопасности в целом и в контексте мобильной платформы Android в первую очередь. Обсуждаем безопасность самой платформы, её эволюцию, что делают вендоры и Гугл в частности для улучшения безопасности платформы и приложений на ней. Какие есть инструменты, техники, приёмы и механизмы для контроля и предотвращения и улучшения вопросов безопасности.
Обсуждаем вопросы документации и базовых знаний разработчиков. Как официальная документация платформы и примеры кода влияют на качество кода разрабатываемых приложений. Какими базовыми знаниями по безопасности необходимо обладать разработчикам. Где и как получать эти знания и информацию. Обсудили тему фреймворков и различных библиотек, который абстрагируют работу с различными системными компонентами и как это влияет на качество кода. Обсудили, какие есть варианты аудита безопасности приложений: внутри компаний и вне.
В заключении выпуска немного подискутировали о новых тенденциях и веяниях в области безопасности приложений.
Ссылки на ресурсы по темам выпуска:
* Проект Артёма “Android Guards”:
* Канал в телеграме: https://t.me/android_guards_today
* Чат в телеграме: https://t.me/android_guards
* Канал на YouTube: https://www.youtube.com/c/AndroidGuards
* Подкаст “Android Guards Podcast” в iTunes (https://podcasts.apple.com/us/podcast/android-guards-podcast/id1552280775)
* Подкаст “Android Guards Podcast” в Google (https://podcasts.google.com/feed/aHR0cHM6Ly9jbG91ZC5tYXZlLmRpZ2l0YWwvMzI2NzM)
* Статья про предсказуемый рандом в паролях Касперского (en) (https://donjon.ledger.com/kaspersky-password-manager/)
* Заметка “Zoom Lied about End-to-End Encryption” (https://www.schneier.com/blog/archives/2021/08/zoom-lied-about-end-to-end-encryption.html)
* iOS 15 RCE:
* https://saaramar.github.io/IOMFB_integer_overflow_poc/
* https://github.com/jonathandata1/ios_15_rce
* OWASP Top Ten:
* Web: https://owasp.org/www-project-top-ten/
* API: https://owasp.org/www-project-api-security/
* Mobile: https://owasp.org/www-project-mobile-top-10/
* Примеры IPC багов в Android:
* Доступ к защищенным компонентам приложения (https://blog.oversecured.com/Android-Access-to-app-protected-components/)
* Кража файлов и RCE в TikTok (https://blog.oversecured.com/Oversecured-detects-dangerous-vulnerabilities-in-the-TikTok-Android-app/)
* Книги:
* Android Hacker's Handbook (https://www.amazon.com/Android-Hackers-Handbook-Joshua-Drake/dp/111860864X)
* Android Security Internals (https://nostarch.com/androidsecurity)
* Чем проверить свои приложения:
* OWASP Dependency Checker (https://owasp.org/www-project-dependency-check/)
* MobSF. Сканер безопасности, который можно развернуть у себя в инфраструктуре (https://mobsf.github.io/docs/#/)
* Плагин для анализатора FindBugs сконцентрированный на безопасности (https://find-sec-bugs.github.io/)
Понравился выпуск? — Поддержи подкаст на patreon.com/KSDaemon (https://www.patreon.com/KSDaemon), звёздочками в iTunes (https://podcasts.apple.com/ru/podcast/software-development-podcast/id890468606?l=en) или своём подкаст-плеере, а так же ретвитом или постом! Заходи в телеграм-чат SDCast (https://t.me/SDCast), где можно обсудить выпуски, предложить гостей и высказать свои замечания и пожелания!
Плейлист
SDCast
Рад представить вам 143-й выпуск подкаста. У меня в гостях Анна Петровичева, директор компании Xperience AI. И в этом выпуске мы говорим про искусственный интеллект, задачи распознавания изображений и...
SDCast #142: в гостях Полина Чижова, руководитель направления продуктов в СберМаркете
Рад представить вам 141-й выпуск подкаста, в котором речь вновь идёт про безопасность приложений. У меня в гостях Александр Герасимов, директор по информационной безопасности в компании Awillix и Серг...
Встречайте 140-й выпуск подкаста. У меня в гостях Елена Степанова из компании Nokia, спикер конференций C++ Russia. В этом выпуске мы говорим про мобильные сети, базовые станции, системное программиро...
Что-то давно мы не говорили про тестирование и качество софта, а про тестирование программно-аппаратных комплексов и подавно. Исправляемся! Встречайте 139-й выпуск подкаста. В этот раз у меня в гостях...
Что вы знаете про 3D графику в вебе? А про стандарты W3C по работе с 3D графикой? У меня в гостях Денис Радин, так же известный в интернетах как PixelCommander, один из первых react разработчиков в Н...
Давно мы не говорили про безопасность приложений, платформ и вообще аспекты безопасности в разработке. Исправляем! Встречайте 137-й выпуск подкаста. У меня в гостях Артём Кулаков, исследователь безопа...
Встречайте 136-й выпуск подкаста, в котором у меня в гостях Иван Евтухович, сооснователь компании «Экспресс 42». Этот выпуск получился больше философским и без каких-то хардкорных технических подробно...
Встречайте 135-й выпуск подкаста. У меня в гостях Андрей Листочкин, CTO в компании Viravix. Очень давно мы собирались пообщаться с Андреем, но свершилось это вот только сейчас. Так что тем для обсужде...
Рад представить вам 134-й выпуск подкаста, в котором идёт речь про AlmaLinux. Наверняка многие из вас слышали про операционную систему CentOS, которая развивалась в основном силами компании RedHat. Но...
Встречайте 131-й выпуск подкаста. У меня в гостях Евгений Сальников, тимлид в компании «Lamoda». В этом выпуске Женя рассказывает про свой довольно витиеватый путь в Айти. Мы обсуждаем различные аспек...
Как часто вам приходится иметь дело с API? Думаю, что почти каждый день: API сервиса, API браузера, API библиотеки или в конце концов API языка программирования. Как же спроектировать хорошее API, кот...
Встречайте 131-й выпуск подкаста. У меня в гостях Евгений Антонов, тимлид в компании «Positive Technologies». С Женей мы знакомы давно, да и поговорить любим, так что выпуск получился довольно продолж...
Рад представить вам 130-й выпуск подкаста, в котором у меня в гостях Егор Болгов, технический руководитель одного из продуктовых направлений в Semrush. В этом выпуске мы говорим о распиле монолита в с...
Встречайте 129-й выпуск подкаста. У меня в гостях Игорь Кузнецов, тимлид в компании «GOST GROUP». В этом выпуске мы говорим про консалтинг и продуктовую разработку, как давать первичную оценку проекта...
Встречайте 128-й выпуск подкаста, в котором у меня в гостях Виталий Виноградов продукт-менеджер b2b продуктов компании NtechLab. В этом выпуске мы говорим про то, кто такой продукт-менеджер, его роль...
Товарищи, в этот раз вас ждёт необычный выпуск подкаста! У меня в гостях автор и разработчик набора сетевых инструментов Intercepter-NG, так же известный как Ares.
В этом выпуске Ares рассказывает ис...
Рад представить вам 126-й выпуск подкаста, в котором мы говорим про Domain Driven Design (DDD) и unit-тестирование. У меня в гостях Владимир Хориков, автор книги про Unit-тестирование и блога Enterpri...
Встречайте 125-й выпуск подкаста, в котором у меня в гостях Антон Виноградов, руководитель фронтенд-разработки SberDevices (https://sberdevices.ru/). В этом выпуске мы говорим про интернет вещей, умны...
Товарищи! После затянувшегося перерыва встречайте 124 выпуск подкаста! На этот раз у меня в гостях Михаил Боднарчук, веб-разработчик из Киева, автор фреймворков для тестирования Codeception & Codecept...
Встречайте 123-й выпуск подкаста, в котором у меня в гостях Иван Муратов, технический директор Первой Мониторинговой Компании в Краснодаре, активист Краснодарского ИТ сообщества и основатель бэкенд-ми...
После несколько затянувшегося перерыва, встречайте 122-й выпуск подкаста, посвящённый файловой системе ZFS. У меня в гостях Георгий Меликов, контрибьютор проектов OpenZFS и ZFS on Linux.
В этом выпу...
Товарищи, в этот раз вас ждёт необычный выпуск подкаста! Почему? — Этот выпуск был записан в прямом эфире с обсуждением вопросов зрителей, онлайн-голосованиями и другими активностями. Но не переживайт...
Встречайте 120-й выпуск подкаста с ребятами из компании Lamoda. У меня в гостях Павел Савельев, руководитель отдела автоматизации бизнес-процессов и Павел Агалецкий, системный архитектор.
В этом выпу...
Продолжаем серию выпусков про IDE. На этот раз у меня в гостях Андрей Старовойт, разработчик из команды WebStorm в JetBrains.
В этом выпуске мы сконцентрировались на вопросах поддержки в IDE новых фи...
Что-то давно не было у меня выпусков про настоящий Open Source, linux, BSD. Восполняем этот пробел! У меня в гостях Дмитрий Маракасов, разработчик свободного ПО, автор проекта repology (https://repolo...
Рад представить вашему вниманию 117-й выпуск SDCast’а, посвящённый вопросам проектирования и разработки UI/UX программных продуктов. У меня в гостях Денис Падрухин, директор компании разработки INEDI....
Встречайте 116-й выпуск подкаста, на этот раз посвящённый аспектам безопасности мобильных платформ и разработке решений по обеспечению безопасности мобильных устройств. У меня в гостях Виктор Яблоков,...
Рад представить 115-й выпуск подкаста, речь в котором идёт про Bitcoin. Волна хайпа биткоина и блокчейн технологий немного спала, но тем не менее капитализация биткоина по прежнему превышает 130 млд д...
Встречайте 114-й выпуск подкаста! У меня в гостях Александр Кукушкин, database инженер в Zalando. Хотя, наверное, многие знают его как разработчика Patroni: A Template for PostgreSQL HA with ZooKeeper...