my talks
1.0.0
セキュリティエンジニアリング、適用された暗号化、セキュリティの使いやすさについての私の講演のリスト。ツイッター、ミディアム。
私は幅広いソフトウェアエンジニアリングのバックグラウンドを持っていますが、今では暗号化ソリューション会社のCossack Labsで製品とソリューションに取り組んでいます。 SaaSサービスやモバイルアプリから重要なインフラストラクチャ /パワーグリッドオペレーター、SCADAネットワークに至るまで、アプリやインフラストラクチャの機密データを保護するためのツールを開発者に提供します。
ソリューションは別として、私たちはアドバイザリーと詳細なアプリケーションセキュリティコンサルティングを提供し、セキュリティレビューと改善アドバイスを使用して、開発のさまざまな段階の開発を支援しています。また、私と私のチームは、上級開発者、建築家、製品マネージャーのための安全なソフトウェア開発トレーニングを実施しています。
楽しむ!
(世界は同じでしょうか?)
2021年に私は焦点を合わせています手を洗うTech Leads、CTO、Solution Architectsにとって興味深い防御的なセキュリティトピック。セキュリティ設計とエンジニアリング、分散アプリのエンドツーエンド暗号化。
あなたが私にあなたの会議で話すように招待したいなら私にメールしてください:)
| ビデオ |
|---|
モバイルアプリのセキュリティについて、Security.plistを紹介し、開発者生活のセキュリティ関連のケースについて話し合います。
#TrackHost
講演とプログラムを確認してください。トピックには、OSINT、セキュリティバイアス、セキュリティが不安定な時期のセキュリティが含まれます。
#TrackHost
YouTubeの講演を確認してください:トピックには、PQ暗号化、セキュリティエンジニアリング、特権エスカレーション、IoTハッキング、カントリー全体のサイバーセキュリティ、ブルースシュナイアーとのインタビューが含まれます。
| ビデオ |
|---|
私たちは暗号化について話し、質問に答えます:
提示:
#security #crypto
| ビデオ |
|---|
「退屈な暗号」について説明します。開発者は、暗号アルゴリズムのすべての詳細を学ぶ(または新しいものを発明する)時間を費やすべきではない理由について説明します。必要なのは、安静時または動いているデータを保護することだけである場合、典型的な暗号化を避ける方法。誰にとっても、すぐに使用できる暗号ライブラリとツールが十分にあります。
提示:
チェックしてください。トピックには、セキュリティリスク管理、セキュリティとパフォーマンスのバランス、SSDLC、DevSecops、Quatum後の暗号が含まれます。
#TrackHost
チェックしてください。トピックには、セキュリティアーキテクチャ、セキュリティエンジニアリング、暗号化、組織セキュリティが含まれます。
#Security#Software-Architecture #Cryptography
| スライド | ビデオ |
|---|
この講演は、完璧なCrypto libは1ページのreadmeを持つclibであると信じている人々に役立ちます:)
クロスプラットフォームの暗号ライブラリを維持することは、予期しないバグ、言語固有のハッキング、困難な決定、開発者向けのAPIを使いやすく途方もないものにするための無限の闘争に満ちた旅です。
複雑な暗号の概念を単純な「暗号化(MSG、キー)」および「DeCrypt(Data、Key)」関数に単純化する方法は? 11の言語に統一されたAPIを提供する方法は、それらのいくつかが強くタイプで、別の言語がJavaScriptである場合?デフォルトでセキュア:誤用から保護するためにどのような設計の選択をするべきか。マルチプラットフォーム性:x64 ubuntu 18.04でRubyを使用してメッセージを暗号化したことを確認する方法は、iPhone armv7sでiOS12で[正常に]復号化されますか?ワイルドネスのテスト:静的アナライザー、ファジング、単体テスト、統合テスト。ドキュメント:とにかくReadMeからコピーパステ、とにかく開発者は、それらが正しいものをコピーすることを確認する方法を確認します。
APIデザインから言語固有のハッキングまで、マルチプラットフォームのオープンソースライブラリを維持する4年の経験について説明します。
提示:
11月4日にスイスのローザンヌにあるJean-Philippe Aumassonと共同で行われるセキュリティと暗号工学に関する公開トレーニング。ソフトウェアエンジニアとソリューションアーキテクトを対象としたトレーニングは、分散アプリケーションとセキュリティ関連の機能に取り組んでいます。
コンテンツの詳細。
あなたのチームのために同様のトレーニングを実施することに興味がありますか?私にメールしてください。
#mobile #iosdev #encryption#e2ee #bear
| スライド | blogpost | ビデオ(ru) | ビデオ(ENG) |
|---|
アプリを撮影する1つの大きなメモに関する実際のケースは、便利なノート暗号化を実装し、既存のユーザーベースのロックをノートロックすることを決定しました。しかし、ユーザビリティ、セキュリティ、モバイルプラットフォームの制限のバランスを見つけることは複雑です。
セキュリティ設計スキームから始めて、適切な暗号化ライブラリを選択し、フローを実装し、インシデントの準備をします。さて、考えてみてください - 暗号化はOWASP MASVS(一般的な8章)の第3章のみです。基本的なセキュリティコントロールがひどく実装されている場合、最高の暗号化も失敗します。
「ロック」と「暗号化」の違い、パスワードと暗号化キーの違い、デバイス間のパスワードの同期方法、キーチェーン/キーストアに正確に保存するもの、適切な暗号化(AES CBCまたはAES GCM、ランダムソルト?IV?IV?ユーザーが指紋を変更した場合(すべてのパスワードを無効にしますか?)、暗号化バージョンを更新します(ライブラリまたはアプリで脆弱性が発見されます - 暗号化がバージョンであるという手がかりさえない場合は、ユーザーを新しい暗号に柔らかく移行します)。
最後に、これはセキュリティソフトウェアエンジニアの目から「メモを暗号化しましょう」という単純なJiraチケットの1つにすぎません:)
提示:
フレンチキット
パリ、フランス、2019年10月7〜8日
rsconf
ミンスク、ベラルーシ、2019年8月9〜11日
Cocoaheads Kyiv Conference
キエフ、ウクライナ、2019年7月28日
#mobile #iosdev #encryption #privacy
| スライド | すぐにビデオが来ます | ブログ投稿 | インタビュー |
|---|
Appleは、暗号化、サイバーセキュリティ、プライバシーについてWWDC 2019で多くの発表を行いました。 Anastasiiaは、新しいCryptokitフレームワーク、データプライバシー規制、新しいアプリの許可など、開発者にとって重要な変更を強調しました。
提示:
#Security#Software-Architecture#App-Sec
| スライド | ビデオ(en) | ビデオ(ru) | ブログ投稿 |
|---|
驚くことではありません。マイクロサービス、アプリケーションの構築に使用するセキュリティ制御が最終的に壊れている(または失敗)。特定の圧力では、一部のコンポーネントは一緒に失敗します。
問題は、一部のコンポーネントが失敗したとしても、セキュリティインシデントが発生しないようにシステムをどのように構築するかということです。また、攻撃が成功したとしても、データリークは発生しません。
「Defense In Depth」はセキュリティエンジニアリングパターンであり、攻撃者が外側の周囲を通過する場合でも、より多くのリスクを緩和することを目的とした独立したセキュリティコントロールセットを構築することを示唆しています。講演中に、現代の分散アプリケーションの脅威とリスクをモデル化し、複数の防衛線を構築することでそれを改善します。セキュリティエンジニアリングの世界からの高レベルのパターンと正確なツールを概説し、現代のWeb開発者に説明します。)
提示:
沼地
サンフランシスコ、米国、2019年6月17〜19日
粘液
ロンドン、英国、2019年5月29〜31日
Infoshare
Gdansk、ポーランド、2019年5月8日から9日
jsfest kyiv
キエフ、ウクライナ、2019年4月5〜6日
| スライド(UKR) |
|---|
5月14〜17日、ウクライナのキエフで開催されたノンメコンサイバーセキュリティ会議で、Cyberkidsイベントで共同組織化と講演を行っていました。子供たちは暗号化について基本を学び、シンプルな暗号系演習を行いました。
私のLNの投稿とNonAmeconサイトについて読んでください。
提示:
#キー管理#workshop #mobile #cryptography
| スライド | Github Repo |
|---|
OWASP SSDLC、暗号化ライブラリを選択する方法、データの周りに暗号化を実装する際の一般的な間違いは何ですか。キー管理手法(ユーザーパスワードの保存、APIキーの保存)。
アプリで改善したいと思うかもしれない実用的なTo Doリスト、サイバーセキュリティの風景、次に読んだ/ダイビングする一連のリソースの理解を深め、アプリをさらに安全にします。
ワークショップ:
De Programmatica Ipsum Magazineのエッセイは、安全なソフトウェア開発と、製品メーカーの世界とセキュリティの世界の間の考え方のギャップについて。
#Security#ソフトウェアアーチテクチャ#Basic-Sanity#Product-Engineering
| スライド | ビデオ |
|---|
データライフサイクル、リスク、信頼、およびセキュリティアーキテクチャ、暗号化、および主要な管理手法にどのように影響するかを詳しく調べます。典型的なSDLパターンを説明します:信頼の狭窄、侵入の監視、ゼロの知識アーキテクチャ、信頼の分散。講演の目標は、一般的な思考の枠組みと、上級エンジニアが内部に含まれる機密データに関して、ソリューションを安全に計画するためのツールに関する十分なアイデアを提供することです。
プラン:
?最新のアプリは多成分であり、ほとんどのデータリークは、建築上の決定が悪いことによって引き起こされます。
?敏感なデータライフサイクルとは何ですか、
?アプリの信頼モデルを構築する方法、
?典型的な信頼パターンは何ですか、
?実際のリスクに基づいて適切なセキュリティ制御を選択する方法。
提示:
DeBexperience 19
IASI、ルーマニア、2019年4月19日
Javazone 18
オスロ、ノルウェー、2018年9月12〜13日
#Security #Usability#Basic-Sanity#Product-Engineering
| スライド | まだビデオはありません |
|---|
これは、典型的なセキュリティの課題を経験するストーリーです。セキュリティ保証を確実に提供し、典型的な落とし穴を避け、実際のユーザーが予測可能な方法で使用できる製品を構築する方法です。これは、開発チーム内で常に顧客のニーズを念頭に置いて、セキュリティ慣行と宗教的遵守のバランスをとることの物語です。顧客の話を聞き、野生の外で実際の行動を観察する。また、アプリのデータを安全に、そして痛みを伴わずに暗号化するための簡単なツールで顧客に力を与えるための最良の決定を下そうとしています。
私たちは、物事を正しく行う前にすべてのことを間違えた顧客の目を通して、そしてセキュリティ製品をセキュリティ中心のエンジニアにとってさらに使いやすく信頼できるものにするためのレッスンを学ぶ責任を負う顧客の目を通して、このプロセスを見てみましょう。
重要なテイクアウト:
参加者は、データベース暗号化/侵入検知ツールの開始と実装のいくつかの段階を通過します。彼らは、暗号化エンジニアリング会社内で「舞台裏」の作品を見ることができ、顧客がどのように学ぶべき最も有用な人の1つであり、「私たちはあなたに何をすべきかを伝える」メンタリティがセキュリティツールをより良くする方法を見るでしょう。
提示:
#security #workshop #mobile #cryptography#symm-encryption#asymm-encryption
| Github Repo |
|---|
ゼロナレッジアルゴリズムとプロトコルにより、キー、パスワード、ファイル、またはこれまでに暗号化されていないまたは可逆的なフォームに転送されることがないようにします。暗号化キーまたは暗号化されていないファイルがサーバーまたはサービス管理者に表示される時点はありません。
Simple IOSアプリケーション(FireBase Notes App)を使用して、2つの暗号化スキームを実装して、BAAを使用するアプリでもデータを保護することがどれほど簡単かを示しました。
プラン:
ワークショップ:
Kyivをコードする女性向けの特別ワークショップ
キエフ、ウクライナ、2018年8月30日
迅速なアヴェイロ
アベロ、ポルトガル、2018年6月21〜22日
#mobile #security#Basic-Sanity
| スライド | uikonfからのビデオ | Mdevtalkからのビデオ | ココアヘッドからのビデオ[ru] |
|---|
プロトコルの脆弱性に深く入り込む前に:セキュリティの観点からアプリの流れを設計することを覚えておく必要があります。
この講演では、Infosecのコピーブックの見出しに焦点を当てます。暗号化やAI支援のインシデント検出など、エキサイティングなものの前に知る必要があります。たとえば、バックグラウンドモードで表示するデータの選択、サードパーティのSDKの選択、私たちが送信するログと場所...
開発者がセキュリティを念頭に置いてアプリを作成し、ユーザーの秘密を保護し、暗号化されていないデータを明らかにしない場合でも、攻撃者は、建築の弱点と解放されていないが非常に単純な脆弱性を活用することにより、これらのセキュリティ対策を迂回する方法を見つけることができます。ハードなもの(暗号など)に焦点を合わせる前に、アプリを単純な攻撃方法から安全にするために必要なすべての小さなビットとピースについて説明します。
提示:
Cocoaheads Kyiv#14
キエフ、ウクライナ、2018年10月6日
Mdevtalk 18
プラハチェコ共和国、2018年5月24日
uikonf 18
ドイツ、ベルリン、2018年5月13日から16日
#security #crypto #databases #notmobile #trust #infrastructures#duties of-duties #echelonization
| スライド | QCONからのビデオ | セキュリティBsides [ru]からのビデオ |
|---|
より広い文脈での暗号化に関する詳細な技術的調査:制御された攻撃面に対してより重大なリスクを絞り込むのに役立つ方法、リスクを効率的かつエレガントに管理することができます。
提示:
QCon London 18
英国ロンドン、2018年3月5〜7日
セキュリティBsidesウクライナ
キエフ、ウクライナ、2018年4月21日
Codemotion Milan
ミラノ、イタリア、11月29〜30日
#security #crypto
| スライド | ビデオ(ru) |
|---|
私たちの生活の中の暗号:暗号アルゴリズムのすべての詳細を学ぶのに時間を費やすべきではない理由。製品に暗号を使用している典型的な間違い。深夜のコミットを避ける方法ですが、代わりに「速くて退屈」をコーディングする方法。
提示:
スウィフトとフィカ
ストックホルム、スウェーデン、2018年9月10日
Devexperience.ro
IASI、ルーマニア、2018年4月23日
Owasp Kyiv Meetup Winter 17
キエフ、ウクライナ、2017年12月2日
#security #blockchain
| スライド | ビデオ(ru) |
|---|
セキュリティエンジニアの仕事は、問題に適したソリューションを選択し、それらを適用することです。暗号化に関するブロックチェーンについて議論することはむしろ退屈です。それは簡単であり、高レベルのプロトコルのいくつかの仮定でさえ抗議を引き起こしません。
私は反対側について話します - ブロックチェーンは質問を引き起こす最適な戦略のように見えます。リスクと脅威のモデル、信頼、保証を進めて、実際のプロジェクトでブロックチェーンを使用した経験(および次に何が起こったのか)を進めます。
提示:
#security #mobile #zkp #zka
スライド| Mobiconfビデオ| | devfest baltics video](https://www.youtube.com/watch?v=o-pnvvcc5fy)---- | --- | --- |
脅威へのアクセスの強化、政府のスヌーピング、そして安全でないインターネットのすべてに伴い、ゼロ知識アプリケーションアーキテクチャとエンドツーエンドの信頼の重要性は、単純なメッセージングよりも複雑なものにとって、アプリ開発者にとってますます明白になります。
ZKAが戦う現実世界の問題について話し、ZKAのさまざまな領域で典型的な暗号設計と進歩を学びます。アプリが証明できるように、データ共有、クラウド内のデータのユーザーコラボレーションの作成方法を確認します。
提示:
DevFest Baltics 17
ラトビア、リガ、2017年11月17日
Se Conf 17
キエフ、ウクライナ、2017年10月27〜29日
Mobiconf 17
2017年10月5〜6日、ポーランド、クラクフ
#ux #productdev #mobile #design
| スライド | ビデオ |
|---|
これは、デザイナー@Anatingeと、一緒に働いて、本当にそれを必要とする人々のために製品を構築した開発者の物語です。それはすべて、緊密なコラボレーションで働くこと、ユーザー調査とユーザーインタビューの実施、チームの働きに関するヒントとトリックを共有することです。
提示:
#security #keys #mobile #trust
| スライド | AppBuildersビデオ | CraftConfビデオ |
|---|
ビルディングトラストについてお話します。信頼は、キー、パスワード、秘密、生体認証の特性、あなたが知っているもの、そしてあなたが知っているものなど、さまざまな信頼トークンを中心に構築されています。私たちは、あなたが信頼するべきもの、信頼を確立し、検証する方法、さまざまなユーザー間で信頼を共有する方法について話します。キーエクスチェンジ、キートラスト、キーデリューション、チャネルトラスト、マルチファクター認証など、技術的な側面について説明します。私は観客に、このツールとアルゴリズムの巨大な宇宙がどのように役立つかを聴衆に理解させようとします。正しい人を入れて、間違った男を魔法の城の外に置いておくことです。そして、妖精はあるべきです!
>>>詳細については、<<<で詳細をご覧ください
提示:
モバイルが最適化されました
ミンスク、ベラルーシ、2017年7月14〜15日
CraftConf 17
ブダペスト、ハンガリー、2017年4月25〜28日
AppBuilders 17
ローザンヌ、スイス、2017年4月24〜25日
#security #mobile #kittens
| スライドはありません | ビデオはありません |
|---|
セキュリティ分野の初心者の要約トーク。
モバイルプラットフォームは、新しい脅威とシステムセキュリティのための新しい機会の両方を提示します。このプレゼンテーションでは、最新のアプローチを扱います。データを保護する方法、信頼できる関係が携帯電話で生まれ、従来のセキュリティレイアウトにどのように影響するかを扱います。携帯電話がどのように重要なクライアントサーバーの関係を決定するかをお伝えします。
私の他の講演に基づいています。
提示:
サボテンハッカソンでの技術ミートアップ
2017年5月、ウクライナのキエフ
Kyiv Meetupをコーディングする女性
キエフ、ウクライナ、2017年3月
#security #workshop #mobile #ssl
| スライド | ビデオはありません | Github Repo |
|---|
アイデアは、より安全なアプリを作成することに関するいくつかの知識を共有することでした。私たちは話しました:
提示:
#security #keys #mobile #trust
| スライド | Eatdogビデオ、1h(ru) | mobiconfビデオ、40m(eng) |
|---|
セキュリティの構築について説明します。これは、アプリケーションキーが公開されても失敗しません。サーバーがハッキングされたとき。一意のユーザーの暗号キー(またはパスワード)が安全である限り持続するセキュリティ。ユーザーが知っている秘密を信頼の源にすることは、アプリがセキュリティモデルに関連して「薄く」になるための究極の方法であり、リスクと開発者の痛みを軽減します。薄い透明なセキュリティレイヤーシステムと、クライアントサーバーシステムでの適用性について学びます。
>>>トランスクリプトとビデオを領域で確認する(25m)<<<
提示:
Mobiconf
Krakow、ポーランド、2016年10月6〜8日
NSBARCELONA
バルセロナ、スペイン、2016年9月21日
nsspain
ログロノ、スペイン、2016年9月14〜15日
試してみてください!スイフト
米国ニューヨーク、2016年9月1〜2日
EatDog
2016年8月18日、ウクライナのハルコフ
#teammanagement #development
| スライド | umtビデオ(ru) |
|---|
誰もが開発者の専門化について話している。 「ニッチを知っている」。現在、すべての開発領域に別々の会議があります:モバイル、クラウド、ビッグデータ、IoT。最新のマルチプラットフォームモバイルアプリを構築するには、IOSとAndroid Devチーム、個別のバックエンド開発チーム、デザイナー、マネージャーを使用する必要があります。見すぎませんか?
組織の別の方法、つまりマルチスキル開発チーム、経験、利点についてお話します。
提示:
Agilepizza#49 Meetup
キエフ、ウクライナ、2016年7月26日
uamobitech
ドニプロ、ウクライナ、2016年7月18〜19日
#security #trust #mobile #zkp #kdf
| スライド | cocoaheadsビデオ(ru) |
|---|
モバイルプラットフォームは、新しい脅威とシステムセキュリティのための新しい機会の両方を提示します。このプレゼンテーションでは、最新のアプローチを扱っています。データを保護する方法、携帯電話との関係が出現すること、従来のセキュリティレイアウトにどのように影響するかを扱います。携帯電話が重要なクライアントサーバーの関係をどのように指示するか。
しかし、さらに重要なことは、これらのものを一貫したシステムにすることについて話します。それは、アーキテクチャパターンがセキュリティを実施し、設計上リスクを最小限に抑える適切なツールを選択する方法です。エケローン化された防御、コンパートメント、リスク制御のアイデアについて学びます。私たちは今どこに立っているのかを理解することで終わります。急速に変化しているセキュリティ環境では、その中でのモバイルの役割は危険で非常に重要です。
>>>詳細については、<<<で詳細をご覧ください
提示:
AppBuilders 16
スイス、チューリッヒ、2016年4月25〜26日
Cocoaheads Kyiv#9
2016年6月、ウクライナのキエフ
#teammanagement #development #design #mobile
| スライド | ビデオ(ru) |
|---|
開発者として、デザインを資産に変換する必要があるとき、私はイライラしたくありません。
私たちは話します:
提示:
#security #trust #mobile #architecture
| スライド | IOSビデオ(ENG)ですか |
|---|
>>>詳細については、<<<で詳細をご覧ください
提示:
Cocoaheads Kyiv
キエフ、ウクライナ、2015年12月
cocoaconfby
ミンスク、ベラルーシ、2015年12月
{iOS}
2015年11月、オランダ、アムステルダム
#security #mobile #architecture
| スライド | ビデオはありません |
|---|
提示:
#mobile #development #nlp
| スライド | ビデオはありません |
|---|
内部に冒とく的なテキストフィルターを備えたアプリの構築に関する短編小説。
提示:
#security #mobile #usersdata #commoncrypto
| スライド | ビデオ(ru) |
|---|
なぜ私たちはセキュリティについて考えるべきなのか。
ユーザーのデータを保護する方法。パスワードを保存する必要がないのはなぜですか。データベースの暗号化:それを行う必要がありますか、あまりにも怠惰ですか?
安全な方法でデータをサーバーに転送する方法。 MITM攻撃とは何ですか?
パスワード保護とは何ですか?なぜスナップショットとペーストボードが危険なのですか?
提示:
#backend #mobile #parse #development
| スライド | ビデオ(ru) |
|---|
>>>詳細については、<<<で詳細をご覧ください
提示:
#teammanagement #development #mobile
| スライド | ビデオはありません |
|---|
今日のコードを書くのが面倒だと感じるなら、すばらしい便利なこと。
提示:
#teammanagement #development #backend #mobile
| スライド | ビデオはありません |
|---|
このMadCode Webinarは、モバイル開発者とバックエンド開発者間の効果的な相互作用に専念し、後者との生産的なコミュニケーションの方法を見つけて、誰がエラーを犯したのかを見つけるのではなく、素晴らしい製品を構築しました。
>>>詳細については、<<<で詳細をご覧ください
提示:
