my talks

รายการการพูดคุยของฉันเกี่ยวกับวิศวกรรมความปลอดภัยการเข้ารหัสประยุกต์ใช้การใช้งานด้านความปลอดภัย Twitter, Medium

ฉันมีพื้นหลังด้านวิศวกรรมซอฟต์แวร์ที่กว้างตอนนี้ฉันทำงานเกี่ยวกับผลิตภัณฑ์และโซลูชั่นที่ บริษัท Cossack Labs Cryptographic Solutions เราให้บริการเครื่องมือสำหรับนักพัฒนาเพื่อการปกป้องข้อมูลที่ละเอียดอ่อนในแอพและโครงสร้างพื้นฐานตั้งแต่บริการ SaaS และแอพมือถือไปจนถึงผู้ประกอบการโครงสร้างพื้นฐาน / ระบบกริดที่สำคัญและเครือข่าย SCADA

นอกเหนือจากโซลูชั่นแล้วเรายังให้คำปรึกษาที่ปรึกษาและการให้คำปรึกษาด้านความปลอดภัยของแอปพลิเคชันเชิงลึกแล้วช่วยเหลือการพัฒนาในขั้นตอนต่าง ๆ ของการพัฒนาด้วยการทบทวนความปลอดภัยและคำแนะนำการปรับปรุง นอกจากนี้ฉันและทีมของฉันดำเนินการฝึกอบรมการพัฒนาซอฟต์แวร์ที่ปลอดภัยสำหรับนักพัฒนาอาวุโสสถาปนิกและผู้จัดการผลิตภัณฑ์

• เครื่องมือโอเพ่นซอร์ส:
  • Themis - ห้องสมุด crypto สำหรับการจัดเก็บและการส่งข้อความในมือถือเดสก์ท็อปและเว็บแอพ
  • ACRA - ชุดความปลอดภัยฐานข้อมูลพร้อมไฟร์วอลล์ SQL และ IDS;
  • HERMES-เอ็นจิ้นการเข้ารหัสแบบ end-to-end สำหรับการทำงานร่วมกันข้อมูล (มือถือ, เว็บ, โครงสร้างพื้นฐาน);

สนุก!

(โลกจะเหมือนกันไหม)

ในปี 2021 ฉันมุ่งเน้นไปที่ การล้างมือ หัวข้อการรักษาความปลอดภัยแบบป้องกันที่น่าสนใจสำหรับลูกค้าเป้าหมาย, CTO, สถาปนิกโซลูชัน การออกแบบความปลอดภัยและวิศวกรรมการเข้ารหัสแบบครบวงจรสำหรับแอพพลิเคชั่นแบบกระจาย

ส่งอีเมลถึงฉันหากคุณต้องการเชิญให้ฉันพูดในที่ประชุมของคุณ :)

เรากำลังพูดถึงความปลอดภัยของแอพมือถือแนะนำ Security.plist หารือเกี่ยวกับกรณีที่เกี่ยวข้องกับความปลอดภัยในชีวิตนักพัฒนา

• ฮีโร่ที่รวดเร็ว
  ออนไลน์ 1 และ 2 ตุลาคม 2563

#trackhost

ตรวจสอบการพูดคุยและโปรแกรม: หัวข้อรวมถึง Osint, ความปลอดภัยอคติ, ความปลอดภัยในช่วงเวลาที่ไม่มั่นคง

• QCon Plus
  ออนไลน์พฤศจิกายน 2563

#trackhost

ตรวจสอบการพูดคุยของ YouTube: หัวข้อต่างๆรวมถึงการเข้ารหัส PQ, วิศวกรรมความปลอดภัย, การเพิ่มสิทธิพิเศษ, การแฮ็ค IoT, ความปลอดภัยทางไซเบอร์ทั่วประเทศ, สัมภาษณ์กับ Bruce Schneier

• nonamecon
  ออนไลน์กันยายน 2563

เรากำลังพูดถึงการเข้ารหัสและตอบคำถาม:

• ตัวเลขที่เราโปรดปรานคืออะไรและทำไมถึงเป็นฐาน 64
• Crypto เป็นสไตล์ชีวิตหรือไม่?
• การเป็น crypto โดยไม่ต้องมีพื้นหลัง crypto
• วิธีเลือกชุด TLS ที่เหมาะสม
• Crypto โพสต์-ควอนตัม: เราควรสนใจไหม?
• ความผิดพลาดในการเข้ารหัส Crypto ที่เราเคยเห็น
• กฎระเบียบ, e2ee, lattice และทุกสิ่ง

นำเสนอที่:

• OPCDE
  ออนไลน์ 29 กรกฎาคม 2020

#Security #crypto

เราจะพูดถึง“ Crypto ที่น่าเบื่อ”: ทำไมนักพัฒนาไม่ควรใช้เวลาเรียนรู้รายละเอียดทั้งหมดของอัลกอริทึม crypto (หรือประดิษฐ์ใหม่) วิธีหลีกเลี่ยงการเข้ารหัสลับทั่วไปเมื่อสิ่งที่คุณต้องการคือการปกป้องข้อมูลที่เหลือหรือเคลื่อนไหว มีห้องสมุดและเครื่องมือเข้ารหัสที่พร้อมใช้งานเพียงพอสำหรับทุกคน

นำเสนอที่:

• บทที่เป็นโอ๊ยตลอดทั้งวัน
  ออนไลน์ 7 มิถุนายน 2563

ลองดู: หัวข้อรวมถึงการจัดการความเสี่ยงด้านความปลอดภัยการรักษาความปลอดภัยและประสิทธิภาพการทำงาน SSDLC, devsecops และ crypto หลังควอตัม

#trackhost

ลองดู: หัวข้อรวมถึงสถาปัตยกรรมความปลอดภัยวิศวกรรมความปลอดภัยการเข้ารหัสความปลอดภัยขององค์กร

#Security #Software-Architecture #cryptography

การพูดคุยนี้มีประโยชน์สำหรับผู้ที่เชื่อว่า Crypto Lib ที่สมบูรณ์แบบเป็น c lib ที่มี readme 1 หน้า :)

การบำรุงรักษาห้องสมุดการเข้ารหัสข้ามแพลตฟอร์มเป็นการเดินทางที่เต็มไปด้วยข้อบกพร่องที่ไม่คาดคิดแฮ็กเฉพาะภาษาการตัดสินใจที่ยากลำบากและการต่อสู้ที่ไม่มีที่สิ้นสุด

วิธีการทำให้แนวคิด crypto ที่ซับซ้อนง่ายขึ้นเป็นฟังก์ชั่น "เข้ารหัส (ผงชูรส, คีย์)" และ "decrypt (data, key)" ฟังก์ชั่น? จะให้ API แบบครบวงจรได้อย่างไรสำหรับ 11 ภาษาเมื่อบางคนมีประเภทอย่างยิ่งและอีกภาษาหนึ่งคือ JavaScript? ปลอดภัยโดยค่าเริ่มต้น: ตัวเลือกการออกแบบควรทำเพื่อป้องกันการใช้ในทางที่ผิด Multi-Platformness: วิธีการตรวจสอบให้แน่ใจว่าข้อความที่เข้ารหัสโดยใช้ Ruby บน X64 Ubuntu 18.04 จะถูกถอดรหัสลงบน iOS12 บน iPhone ARMV7S หรือไม่ การทดสอบ Wildness: เครื่องวิเคราะห์แบบคงที่, ฟัซซิ่ง, การทดสอบหน่วย, การทดสอบการรวม เอกสาร: นักพัฒนาคัดลอกพาสจาก readme อย่างไรก็ตามวิธีการตรวจสอบให้แน่ใจว่าพวกเขาคัดลอกสิ่งที่ถูกต้อง

ฉันจะอธิบายประสบการณ์ 4yrs ในการบำรุงรักษาห้องสมุดโอเพนซอร์สหลายแพลตฟอร์ม Themis: จากการออกแบบ API ไปจนถึงแฮ็กเฉพาะภาษา

นำเสนอที่:

• สีดำ
  Yverdon-Les-Bains, Switzerland, 7-8 พฤศจิกายน 2019

การฝึกอบรมสาธารณะด้านความปลอดภัยและวิศวกรรมการเข้ารหัสได้ดำเนินการร่วมกับ Jean-Philippe Aumasson ในเมืองโลซานน์ประเทศสวิตเซอร์แลนด์เมื่อวันที่ 4 พฤศจิกายนการฝึกอบรมมุ่งเน้นไปที่วิศวกรซอฟต์แวร์และสถาปนิกโซลูชัน

รายละเอียดเกี่ยวกับเนื้อหา

สนใจที่จะทำการฝึกอบรมที่คล้ายกันสำหรับทีมของคุณหรือไม่? ส่งอีเมลถึงฉัน

#Mobile #IOSDEV #ENCRIPTION #E2EE #BEAR

กรณีจริงเกี่ยวกับโน้ตขนาดใหญ่หนึ่งตัวที่ใช้แอพซึ่งตัดสินใจใช้การเข้ารหัสโน้ตที่สะดวกสบายและการล็อคโน้ตสำหรับฐานผู้ใช้ที่มีอยู่ แต่การหาสมดุลระหว่างการใช้งานข้อ จำกัด ด้านความปลอดภัยและแพลตฟอร์มมือถือนั้นซับซ้อน

เราจะเริ่มต้นด้วยรูปแบบการออกแบบความปลอดภัยจากนั้นเลือกไลบรารีการเข้ารหัสที่เหมาะสมจากนั้นใช้โฟลว์และเตรียมพร้อมสำหรับเหตุการณ์ ตอนนี้ - คิดเกี่ยวกับมัน - การเข้ารหัสเป็นเพียงบทที่ 3 ใน OWASP MASVS (8 บทโดยทั่วไป) แม้แต่การเข้ารหัสที่ดีที่สุดก็จะล้มเหลวหากมีการควบคุมความปลอดภัยขั้นพื้นฐาน

คะแนนที่เราจะผ่าน: ความแตกต่างระหว่าง "การล็อค" และ "การเข้ารหัส" ความแตกต่างระหว่างรหัสผ่านและรหัสเข้ารหัสวิธีซิงค์รหัสผ่านระหว่างอุปกรณ์สิ่งที่เก็บไว้ในพวงกุญแจ/คีย์สโตร์วิธีการใช้การเข้ารหัสที่เหมาะสม (AES CBC หรือ AES GCM หากผู้ใช้จะเปลี่ยนลายนิ้วมือของพวกเขา - เราจะทำให้รหัสผ่านทั้งหมดเป็นโมฆะหรือไม่), อัปเดตเวอร์ชันการเข้ารหัส (ลองนึกภาพว่ามีการค้นพบช่องโหว่ในไลบรารีหรือแอพของเรา - วิธีการอัปเดตรหัสและย้ายผู้ใช้อย่างนุ่มนวลไปยังตัวเลขใหม่หากผู้ใช้ไม่มีเงื่อนงำว่าการเข้ารหัส

ในตอนท้ายนี่เป็นเพียงตั๋ว Jira ง่ายๆเพียงใบเดียว "Let's Encrypt the Notes" จากสายตาของวิศวกรซอฟต์แวร์รักษาความปลอดภัย :)

นำเสนอที่:

• FrenchKit
  ปารีสฝรั่งเศส 7-8 ตุลาคม 2562

• RSCONF
  Minsk, Belarus, 9-11 สิงหาคม 2019

• การประชุม Cocoaheads Kyiv
  Kyiv, Ukraine, 28 กรกฎาคม 2019

#mobile #iosdev #encryption #privacy

Apple ได้ประกาศมากมายเกี่ยวกับ WWDC 2019 เกี่ยวกับการเข้ารหัสการเข้ารหัสความปลอดภัยทางไซเบอร์และความเป็นส่วนตัว Anastasiia เน้นการเปลี่ยนแปลงที่สำคัญสำหรับนักพัฒนา - รวมถึงกรอบการเข้ารหัสลับใหม่กฎระเบียบความเป็นส่วนตัวของข้อมูลการอนุญาตแอพใหม่

นำเสนอที่:

• Cocoafriday Kyiv Meetup
  Kyiv, Ukraine, 14 มิถุนายน 2019

#Security #Software-Architecture #App-Sec

ไม่น่าแปลกใจเลยที่บริการขนาดเล็กใด ๆ การควบคุมความปลอดภัยใด ๆ ที่คุณใช้ในการสร้างแอปพลิเคชัน-ในที่สุดจะถูกทำลาย (หรือล้มเหลว) ภายใต้แรงกดดันบางอย่างส่วนประกอบบางอย่างจะล้มเหลวร่วมกัน

คำถามคือ - เราจะสร้างระบบของเราอย่างไรในลักษณะที่เหตุการณ์ความปลอดภัยจะไม่เกิดขึ้นแม้ว่าส่วนประกอบบางส่วนจะล้มเหลว และการรั่วไหลของข้อมูลจะไม่เกิดขึ้นแม้ว่าการโจมตีจะสำเร็จ

"การป้องกันในเชิงลึก" เป็นรูปแบบวิศวกรรมความปลอดภัยที่แนะนำให้สร้างชุดการควบคุมความปลอดภัยอิสระที่มุ่งลดความเสี่ยงมากขึ้นแม้ว่าผู้โจมตีจะข้ามเส้นรอบวงด้านนอก ในระหว่างการพูดคุยเราจะจำลองการคุกคามและความเสี่ยงสำหรับแอปพลิเคชันแบบกระจายที่ทันสมัยและปรับปรุงโดยการสร้างการป้องกันหลายบรรทัด เราจะภาพรวมรูปแบบระดับสูงและเครื่องมือที่แน่นอนจากโลกวิศวกรรมความปลอดภัยและอธิบายพวกเขาลงในเว็บที่ทันสมัย

นำเสนอที่:

• Swampup
  ซานฟรานซิสโก, สหรัฐอเมริกา, 17-19 มิถุนายน 2562

• เมือก
  ลอนดอน, สหราชอาณาจักร, 29-31 พฤษภาคม 2019

• อินฟอร์คาร์
  Gdansk, Poland, 8-9 พฤษภาคม 2019

• JSFest Kyiv
  Kyiv, Ukraine, 5-6 เมษายน 2019

ฉันได้ร่วมจัดระเบียบและพูดในงาน Cyberkids ในระหว่างการประชุม Security Security Nonamecon ใน Kyiv, Ukraine, 14-17 พฤษภาคม เด็ก ๆ ได้เรียนรู้พื้นฐานเกี่ยวกับการเข้ารหัสและทำแบบฝึกหัดการปลดเล็งแบบง่าย ๆ

อ่านเกี่ยวกับในโพสต์ LN ของฉันและเว็บไซต์ nonamecon ของฉัน

นำเสนอที่:

• nonamecon cyberkids
  Kyiv, Ukraine, 14 พฤษภาคม 2019

#การจัดการคีย์ #workshop #mobile #cryptography

OWASP SSDLC วิธีเลือกไลบรารีการเข้ารหัสสิ่งที่เกิดขึ้นทั่วไปในการใช้การเข้ารหัสรอบ ๆ ข้อมูล เทคนิคการจัดการคีย์ (การจัดเก็บรหัสผ่านผู้ใช้การจัดเก็บปุ่ม API)

รายการสิ่งที่ต้องทำที่สามารถดำเนินการได้ของสิ่งต่าง ๆ ที่คุณอาจต้องการปรับปรุงในแอพของคุณทำให้ความเข้าใจของคุณเกี่ยวกับภูมิทัศน์ของความปลอดภัยทางไซเบอร์ซึ่งเป็นชุดของทรัพยากรในการอ่าน/ดำน้ำต่อไปเพื่อให้แอพของคุณปลอดภัยยิ่งขึ้น

เวิร์กช็อปที่:

• Ioscon London
  ลอนดอน, สหราชอาณาจักร, 21 มีนาคม 2562

เรียงความสำหรับนิตยสาร de programmatica ipsum เกี่ยวกับการพัฒนาซอฟต์แวร์ที่ปลอดภัยและช่องว่างความคิดระหว่างโลกของผู้ผลิตผลิตภัณฑ์และโลกของคนรักษาความปลอดภัย

#Security #Software-Architecture #BASIC-SANITY #Engineering ผลิตภัณฑ์

เราจะตรวจสอบวงจรชีวิตข้อมูลความเสี่ยงความน่าเชื่อถือและวิธีการที่พวกเขาส่งผลกระทบต่อสถาปัตยกรรมความปลอดภัยการเข้ารหัสและเทคนิคการจัดการคีย์ เราจะแสดงให้เห็นถึงรูปแบบ SDL ทั่วไป: ความไว้วางใจที่แคบลงการติดตามการบุกรุกสถาปัตยกรรมความรู้ที่ไม่มีความรู้การกระจายความไว้วางใจ เป้าหมายของการพูดคุยคือการให้กรอบการคิดทั่วไปและแนวคิดที่เพียงพอเกี่ยวกับเครื่องมือสำหรับวิศวกรอาวุโสในการวางแผนโซลูชันของพวกเขาอย่างปลอดภัยเกี่ยวกับข้อมูลที่ละเอียดอ่อนที่มีอยู่ภายใน

วางแผน:

- แอพที่ทันสมัยเป็นหลายองค์ประกอบการรั่วไหลของข้อมูลส่วนใหญ่เกิดจากการตัดสินใจทางสถาปัตยกรรมที่ไม่ดี
- วัฏจักรชีวิตที่ละเอียดอ่อนคืออะไร
- วิธีสร้างโมเดลความน่าเชื่อถือสำหรับแอปของคุณ
- รูปแบบความไว้วางใจทั่วไปคืออะไร
- วิธีเลือกการควบคุมความปลอดภัยที่เหมาะสมตามความเสี่ยงในโลกแห่งความเป็นจริง

นำเสนอที่:

• Devexperience 19
  Iasi, โรมาเนีย, 19 เมษายน 2019

• Javazone 18
  ออสโล, นอร์เวย์, 12-13 กันยายน 2561

#Security #ความสามารถในการใช้งาน #BASIC-SANITY #Engineering ผลิตภัณฑ์

นี่เป็นเรื่องราวของการผ่านความท้าทายด้านความปลอดภัยทั่วไป: วิธีการสร้างผลิตภัณฑ์ที่ให้การรับประกันความปลอดภัยอย่างน่าเชื่อถือหลีกเลี่ยงข้อผิดพลาดทั่วไปและสามารถใช้งานได้ในแบบที่คาดการณ์ได้โดยผู้ใช้จริง มันเป็นเรื่องราวของการสร้างสมดุลระหว่างการยึดมั่นทางศาสนากับแนวทางปฏิบัติด้านความปลอดภัยโดยคำนึงถึงความต้องการของลูกค้าตลอดเวลาในทีมพัฒนา การฟังลูกค้าและสังเกตพฤติกรรมที่แท้จริงภายนอกในป่า และพยายามตัดสินใจที่ดีที่สุดเพื่อเพิ่มขีดความสามารถให้กับลูกค้าด้วยเครื่องมือง่าย ๆ สำหรับการเข้ารหัสข้อมูลในแอพของพวกเขาอย่างปลอดภัยและไม่มีความเจ็บปวด

เราจะดูกระบวนการผ่านสายตาของลูกค้าคนหนึ่งของเราที่ทำทุกสิ่งผิดพลาดก่อนที่จะทำสิ่งที่ถูกต้องและผ่านสายตาของวิศวกรผลิตภัณฑ์รับผิดชอบในการเรียนรู้บทเรียนเพื่อให้ผลิตภัณฑ์รักษาความปลอดภัยใช้งานได้มากขึ้นและเชื่อถือได้มากขึ้นสำหรับวิศวกรที่ไม่ได้รับความปลอดภัย

ประเด็นสำคัญ:

ผู้เข้าร่วมประชุมจะผ่านหลายขั้นตอนของการลงทะเบียนเรียนและการใช้งานเครื่องมือตรวจจับการเข้ารหัส/การบุกรุกฐานข้อมูล พวกเขาจะเห็นว่า "เบื้องหลัง" ทำงานภายใน บริษัท วิศวกรรมเข้ารหัสจะเห็นว่าลูกค้าเป็นหนึ่งในคนที่มีประโยชน์มากที่สุดในการเรียนรู้และการได้รับมากกว่า "เราบอกคุณว่าต้องทำอย่างไร" ความคิดทำให้เครื่องมือรักษาความปลอดภัยดีขึ้น

นำเสนอที่:

• QCONNYC 18
  นิวยอร์กซิตี้, สหรัฐอเมริกา, 27-29 มิถุนายน 2561

#Security #WorkShop #Mobile #cryptography #symm-encryption #asymm-encryption

อัลกอริทึมความรู้และโปรโตคอลเป็นศูนย์ทำให้มั่นใจได้ว่าไม่มีปุ่มรหัสผ่านไฟล์หรือวัสดุที่ละเอียดอ่อนอื่น ๆ ที่เคยถูกถ่ายโอนในรูปแบบที่ไม่ได้เข้ารหัสหรือย้อนกลับได้ ไม่มีประเด็นในเวลาที่คีย์การเข้ารหัสหรือไฟล์ที่ไม่ได้เข้ารหัสสามารถมองเห็นได้สำหรับเซิร์ฟเวอร์หรือผู้ดูแลระบบ

เราใช้แอปพลิเคชั่น iOS แบบง่าย (แอป Firebase Notes) และใช้สองรูปแบบการเข้ารหัสเพื่อแสดงให้เห็นว่ามันง่ายเพียงใดในการปกป้องข้อมูลแม้สำหรับแอพที่ใช้ BAAS

วางแผน:

1. เรียนรู้เกี่ยวกับ ZKA
2. คุ้นเคยกับแอปพลิเคชัน Notes Firebase
3. ปกป้องโน้ตของตัวเอง (e2ee)
4. แบ่งปันหมายเหตุให้กับผู้ใช้รายอื่น
5. ปรับปรุงความปลอดภัยโดยทั่วไป (ป้องกันคีย์ปรับปรุงการไหลเข้าสู่ระบบซ่อนภาพหน้าจอรหัสที่ทำให้งงงวย ฯลฯ )

เวิร์กช็อปที่:

• การประชุมเชิงปฏิบัติการพิเศษสำหรับผู้หญิงที่เขียนรหัส Kyiv
  Kyiv, Ukraine, 30 สิงหาคม 2018

• Swift Aveiro
  Aveiro, โปรตุเกส, 21-22 มิถุนายน 2018

#mobile #Security #BASIC-SANITY

ก่อนที่เราจะลึกเข้าไปในช่องโหว่ของโปรโตคอล: สิ่งที่คุณควรจำได้ว่าการออกแบบการไหลของแอพของคุณจากมุมมองด้านความปลอดภัย

การพูดคุยนี้จะมุ่งเน้นไปที่ส่วนหัวสำเนาของ Infosec: สิ่งที่คุณต้องรู้ก่อนสิ่งที่น่าตื่นเต้นเช่นการเข้ารหัสลับและการตรวจจับเหตุการณ์ AI-ASSISTED เช่นตัวเลือกข้อมูลที่คุณแสดงในโหมดพื้นหลังทางเลือกของ SDK ของบุคคลที่สามซึ่งบันทึกที่เราส่งและที่ไหน ...

แม้ว่านักพัฒนาซอฟต์แวร์จะสร้างแอพที่มีความปลอดภัยในใจปกป้องความลับของผู้ใช้และไม่เปิดเผยข้อมูลที่ไม่ได้เข้ารหัสผู้โจมตีสามารถหาวิธีข้ามมาตรการรักษาความปลอดภัยเหล่านี้โดยใช้ประโยชน์จากจุดอ่อนทางสถาปัตยกรรมและช่องโหว่ที่ไม่น่าเชื่อ เราจะพูดคุยเกี่ยวกับบิตและชิ้นเล็ก ๆ ทั้งหมดที่จำเป็นเพื่อให้แอปของคุณปลอดภัยกับการโจมตีอย่างง่าย ๆ ก่อนที่จะมุ่งเน้นไปที่สิ่งที่ยาก (เช่น crypto)

1. การจัดการความลับของผู้ใช้ด้วยความระมัดระวัง (แสดงการจัดเก็บการบันทึก)
2. กฎการตรวจสอบความถูกต้องและรหัสผ่าน
3. การจัดการการเชื่อมต่อการขนส่ง
4. และเคล็ดลับและเทคนิคบางอย่างที่จะทำให้ผู้โจมตีสับสน

นำเสนอที่:

• Cocoaheads Kyiv #14
  Kyiv, Ukraine, 6 ตุลาคม 2018

• Mdevtalk 18
  สาธารณรัฐสาธารณรัฐเช็กปรากเมื่อวันที่ 24 พฤษภาคม 2561

• Uikonf 18
  เบอร์ลิน, เยอรมนี, 13-16 พฤษภาคม 2018

#security #crypto #databases #notmobile #trust #infrastructures #separation-of-tuties #echelonization

การสอบถามทางเทคนิคในเชิงลึกเกี่ยวกับการเข้ารหัสในบริบทที่กว้างขึ้น: วิธีที่จะช่วยลดความเสี่ยงที่สำคัญยิ่งขึ้นในการควบคุมพื้นผิวการโจมตีช่วยให้สามารถจัดการความเสี่ยงได้อย่างมีประสิทธิภาพและสง่างามวิธีการเครื่องมือและอัลกอริทึมในบริบทที่กว้างขึ้นของการจัดการความเสี่ยงด้านโครงสร้างพื้นฐานที่เกี่ยวข้องกับการจัดการข้อมูลที่ละเอียดอ่อน

1. พื้นผิวการโจมตีคืออะไรการเข้ารหัสช่วยให้แคบลง
2. ระบบ crypto อย่างง่าย แต่เป็นข้อเสียอย่างมีนัยสำคัญ
3. การเข้ารหัสด้านมิดเดิลแวร์: การปกป้องข้อมูลในโครงสร้างพื้นฐานบนเว็บ
4. การเข้ารหัสฝั่งไคลเอ็นต์: ไว้วางใจแอพมือถือและการดำเนินการรหัส e2ee. Zka. ZKP
5. Echelonization และเทคนิคดั้งเดิม

นำเสนอที่:

• Qcon London 18
  ลอนดอน, สหราชอาณาจักร, 5-7 มีนาคม 2561

• ความปลอดภัย bsides ยูเครน
  Kyiv, Ukraine, 21 เมษายน 2018

• Codemotion Milan
  มิลาน, อิตาลี, 29-30 พฤศจิกายน

#Security #crypto

Crypto ในชีวิตของเรา: ทำไมคุณไม่ควรใช้เวลาเรียนรู้รายละเอียดทั้งหมดของอัลกอริทึม crypto ความผิดพลาดทั่วไปที่คุณทำโดยใช้ crypto ในผลิตภัณฑ์ของคุณ วิธีหลีกเลี่ยงการทำช่วงดึก แต่ให้รหัส 'เร็วและน่าเบื่อ' แทน

1. เวิร์กโฟลว์วิศวกรรมทั่วไป "เราควรปกป้องข้อมูลเราจะทำอย่างไร" และความผิดพลาดที่เป็นไปได้
2. "crypto ที่น่าเบื่อ" คืออะไรเราต้องการอะไรจากการใช้ผลิตภัณฑ์ crypto
3. โซลูชันที่เป็นไปได้: HSM / TPM / ซอฟต์แวร์ crypto
4. วิธีเลือกซอฟต์แวร์ Crypto ที่เหมาะสม: LIBS, ระบบ, คอนเทนเนอร์
5. เราต้องการให้ crypto คล้ายกับหลอด Edison: ระบบควบคุมและน่าเบื่อ

นำเสนอที่:

• รวดเร็วและ fika
  สตอกโฮล์มสวีเดน 10 กันยายน 2561

• devexperience.ro
  Iasi, Romania, 23 เมษายน 2018

• OWASP KYIV Meetup Winter 17
  Kyiv, Ukraine, 2 ธันวาคม 2017

#Security #blockchain

งานของวิศวกรความปลอดภัยคือการเลือกวิธีแก้ปัญหาที่เหมาะสมสำหรับปัญหาและนำไปใช้ การพูดคุยเกี่ยวกับ blockchain เกี่ยวกับการเข้ารหัสนั้นค่อนข้างน่าเบื่อ: มันง่ายและแม้แต่สมมติฐานบางอย่างในโปรโตคอลระดับสูงก็ไม่ก่อให้เกิดการประท้วง

ฉันจะพูดถึงอีกด้านหนึ่ง - ที่ blockchain ดูเหมือนกลยุทธ์ที่ดีที่สุดซึ่งเป็นสาเหตุของคำถาม เราจะเดินผ่านโมเดลความเสี่ยงและภัยคุกคามความไว้วางใจและการรับประกันเพื่อประสบการณ์การใช้ blockchain ในโครงการจริง (และสิ่งที่เกิดขึ้นต่อไป)

นำเสนอที่:

• ua.sc 17
  Kyiv, ยูเครน, 18 ตุลาคม 2017

#Security #Mobile #ZKP #ZKA

สไลด์ วิดีโอ Mobiconf | | วิดีโอ Baltics Devfest] (https://www.youtube.com/watch?v=o-pnvvcc5fy) ---- | - -

ด้วยการเข้าถึงภัยคุกคามที่ทวีความรุนแรงมากขึ้นการสอดแนมรัฐบาลและความไม่ปลอดภัยของทุกสิ่งความสำคัญของสถาปัตยกรรมแอปพลิเคชันที่ไม่มีความรู้และความไว้วางใจแบบ end-to-end สำหรับสิ่งต่าง ๆ ที่ซับซ้อนกว่าการส่งข้อความง่าย ๆ

เราจะพูดคุยเกี่ยวกับปัญหาในโลกแห่งความเป็นจริงที่ ZKA ต่อสู้กับเรียนรู้การออกแบบการเข้ารหัสลับทั่วไปและความคืบหน้าในขอบเขตที่แตกต่างกันของ ZKA เราจะค้นหาวิธีการแบ่งปันข้อมูลการทำงานร่วมกันของผู้ใช้ในข้อมูลในคลาวด์ด้วยแอปของคุณปลอดภัย

นำเสนอที่:

• Devfest Baltics 17
  Riga, Latvia, 17 พฤศจิกายน 2017

• se conf 17
  Kyiv, Ukraine, 27-29 ตุลาคม 2017

• Mobiconf 17
  Krakow, โปแลนด์, 5-6 ตุลาคม 2017

#UX #ProductDev #mobile #design

นี่คือเรื่องราวจากนักออกแบบ @anatinge และนักพัฒนาที่ทำงานร่วมกันและสร้างผลิตภัณฑ์สำหรับผู้ที่ต้องการมันจริงๆ ทุกอย่างเกี่ยวกับการทำงานร่วมกันอย่างเข้มงวดดำเนินการวิจัยผู้ใช้และการสัมภาษณ์ผู้ใช้การแบ่งปันเคล็ดลับและเคล็ดลับเกี่ยวกับการทำงานเป็นทีม

นำเสนอที่:

• ADDC 2017
  บาร์เซโลนา, 22-23 มิถุนายน 2560

#Security #keys #mobile #trust

เราจะพูดถึงการสร้างความไว้วางใจ ความน่าเชื่อถือถูกสร้างขึ้นรอบ ๆ โทเค็นความน่าเชื่อถือต่างๆ: กุญแจรหัสผ่านความลับคุณสมบัติไบโอเมตริกซ์สิ่งที่คุณมีและสิ่งที่คุณรู้ เราจะพูดคุยเกี่ยวกับสิ่งที่คุณควรไว้วางใจวิธีสร้างและตรวจสอบความน่าเชื่อถือวิธีแบ่งปันความไว้วางใจในหมู่ผู้ใช้ที่แตกต่างกัน เราจะหารือเกี่ยวกับแง่มุมทางเทคนิค: การแลกเปลี่ยนคีย์, คีย์ Trust, การสืบทอดคีย์, ความน่าเชื่อถือของช่อง, การตรวจสอบความถูกต้องแบบหลายปัจจัย ฉันจะพยายามทำให้ผู้ชมเข้าใจว่าจักรวาลขนาดใหญ่ของเครื่องมือและอัลกอริทึมนี้มีจุดประสงค์เพียงจุดเดียว: ปล่อยให้คนที่เหมาะสมอยู่ในการรักษาคนผิดนอกปราสาทวิเศษของเรา และนางฟ้าควรมี!

>>> อ่านเพิ่มเติมในโพสต์กลาง <<<

นำเสนอที่:

• มือถือปรับให้เหมาะสม
  Minsk, Belarus, 14-15 กรกฎาคม 2017

• งานฝีมือ 17
  บูดาเปสต์ฮังการี 25-28 เมษายน 2017

• AppBuilders 17
  Lausanne, Switzerland, 24-25 เมษายน 2017

#Security #mobile #kittens

สรุปการพูดคุยสำหรับมือใหม่ในด้านความปลอดภัย

แพลตฟอร์มมือถือนำเสนอทั้งภัยคุกคามใหม่และโอกาสใหม่สำหรับความปลอดภัยของระบบ งานนำเสนอนี้จะจัดการกับวิธีการที่ทันสมัย: วิธีการปกป้องข้อมูลซึ่งความสัมพันธ์ที่เชื่อถือได้เกิดขึ้นกับโทรศัพท์มือถือซึ่งส่งผลกระทบต่อเลย์เอาต์ความปลอดภัยแบบดั้งเดิมอย่างไร ฉันจะบอกคุณว่าโทรศัพท์มือถือกำหนดความสัมพันธ์กับลูกค้าเซิร์ฟเวอร์ที่สำคัญได้อย่างไร

ขึ้นอยู่กับการพูดคุยอื่น ๆ ของฉัน

นำเสนอที่:

• Tech Meetup บน Cactus Hackathon
  Kyiv, ยูเครน, พฤษภาคม 2017

• ผู้หญิงที่เขียนรหัส Kyiv Meetup
  Kyiv, ยูเครน, มีนาคม 2017

#Security #WorkShop #Mobile #SSL

แนวคิดคือการแบ่งปันความรู้บางอย่างเกี่ยวกับการสร้างแอพที่ปลอดภัยยิ่งขึ้น เราพูดคุยเกี่ยวกับ:

• ทำไม SSL ไม่เพียงพอ
• กลยุทธ์ในการใช้ SSL Pinning
• วิธีทำความเข้าใจความเสี่ยงพื้นฐานและภัยคุกคามของโครงสร้างพื้นฐานเซิร์ฟเวอร์ไคลเอนต์มือถือทั่วไป
• วิธีการป้องกันจากภัยคุกคามเหล่านั้น
• การเข้ารหัสแบบสมมาตรคืออะไร ทำไมเราถึงต้องการมัน สถานที่จัดเก็บข้อมูลและคีย์
• การเข้ารหัสการถ่ายโอนคืออะไร เมื่อเราต้องการมัน

นำเสนอที่:

• แอลป์ที่รวดเร็ว
  Crans-Montana, Switzerland, 10-11 พ.ย. 2559

#Security #keys #mobile #trust

เราจะพูดคุยเกี่ยวกับการสร้างความปลอดภัยในการสร้างซึ่งไม่ล้มเหลวเมื่อมีการเปิดเผยคีย์แอปพลิเคชัน เมื่อเซิร์ฟเวอร์ถูกแฮ็ก; ความปลอดภัยที่ใช้เวลานานเท่าที่คีย์ crypto ของผู้ใช้ (หรือรหัสผ่าน) ที่ไม่ซ้ำกันนั้นปลอดภัย การวางความลับที่ผู้ใช้รู้จักให้เป็นแหล่งที่มาของความไว้วางใจเป็นวิธีที่ดีที่สุดสำหรับแอพที่จะกลายเป็น "บาง" ที่เกี่ยวข้องกับรูปแบบความปลอดภัยซึ่งจะช่วยลดความเสี่ยงและความเจ็บปวดของนักพัฒนา เราจะได้เรียนรู้เกี่ยวกับระบบเลเยอร์ความปลอดภัยที่โปร่งใสและการบังคับใช้ในระบบไคลเอนต์เซิร์ฟเวอร์

>>> ตรวจสอบการถอดเสียงและวิดีโอเกี่ยวกับ Realm (25m) <<<

นำเสนอที่:

• mobiconf
  Krakow, โปแลนด์, 6-8 ต.ค. 2559

• Nsbarcelona
  บาร์เซโลนาสเปน 21 กันยายน 2559

• NSSpain
  Logrono, สเปน, 14-15 กันยายน 2559

• ลอง! Swift
  NYC, USA, 1-2 ก.ย. 2559

• กินด็อก
  Kharkov, ยูเครน, 18 สิงหาคม 2559

#TeamManagement #Development

ทุกคนกำลังพูดถึงความเชี่ยวชาญของนักพัฒนา 'รู้จักคุณซอก' เรามีการประชุมแยกต่างหากสำหรับทุกพื้นที่ในขณะนี้: มือถือ, คลาวด์, ข้อมูลขนาดใหญ่, IoT ในการสร้างแอพมือถือแบบทวีคูณที่ทันสมัยคุณต้องทำงานร่วมกับทีม iOS และ Android Dev แยกต่างหากแยกทีมงานแบ็กเอนด์เดฟนักออกแบบและผู้จัดการแยกต่างหาก ดูไม่มากเกินไป?

ฉันจะพูดคุยเกี่ยวกับวิธีการอื่นขององค์กร: ทีม Dev ที่มีความหลากหลายประสบการณ์และผลประโยชน์

นำเสนอที่:

• Agilepizza #49 Meetup
  Kyiv, ยูเครน, 26 กรกฎาคม 2559

• Uamobitech
  Dnipro, ยูเครน, 18-19 กรกฎาคม 2559

#Security #trust #mobile #zkp #kdf

แพลตฟอร์มมือถือนำเสนอทั้งภัยคุกคามใหม่และโอกาสใหม่สำหรับความปลอดภัยของระบบ งานนำเสนอนี้เกี่ยวข้องกับวิธีการที่ทันสมัย: วิธีการปกป้องข้อมูลซึ่งเชื่อถือได้ความสัมพันธ์เกิดขึ้นกับโทรศัพท์มือถือซึ่งส่งผลกระทบต่อเลย์เอาต์ความปลอดภัยแบบดั้งเดิมอย่างไร โทรศัพท์มือถือกำหนดความสัมพันธ์กับลูกค้าเซิร์ฟเวอร์ที่สำคัญได้อย่างไร

แต่สิ่งที่สำคัญกว่านั้นเราพูดถึงการทำให้สิ่งเหล่านี้เป็นระบบที่สอดคล้องกัน: วิธีคิดที่จะเลือกเครื่องมือที่เหมาะสมซึ่งรูปแบบสถาปัตยกรรมบังคับใช้ความปลอดภัยและลดความเสี่ยงจากการออกแบบ เราเรียนรู้เกี่ยวกับความคิดของการป้องกันการควบคุมการแบ่งส่วนและการควบคุมความเสี่ยง เราจบด้วยการทำความเข้าใจว่าเรายืนอยู่ที่ไหนในตอนนี้: ในภูมิทัศน์ด้านความปลอดภัยที่เปลี่ยนแปลงอย่างรวดเร็วและบทบาทของมือถือในนั้นทั้งอันตรายและสำคัญมาก

>>> อ่านเพิ่มเติมในโพสต์กลาง <<<

นำเสนอที่:

• AppBuilders 16
  ซูริคสวิตเซอร์แลนด์ 25-26 เม.ย. 2559

• Cocoaheads Kyiv #9
  Kyiv, ยูเครน, มิถุนายน 2559

#TeamManagement #development #design #mobile

ในฐานะนักพัฒนาฉันไม่ต้องการที่จะหงุดหงิดเมื่อฉันต้องการแปลงการออกแบบเป็นสินทรัพย์

เราจะพูดถึง:

• เครื่องมือและวิธีการประหยัดเวลาของตัวเองมากมาย
• วิธีการสื่อสารกับนักออกแบบและ
• ถ้ามันโอเคที่จะเปลี่ยนการออกแบบด้วยตัวเอง

นำเสนอที่:

• Itsubbota Meetup
  Kyiv, ยูเครน, พฤษภาคม 2559

#Security #trust #mobile #architecture

• การสื่อสารกับเซิร์ฟเวอร์: ความปลอดภัยความน่าเชื่อถือใช้งานง่ายเลือกสอง
• การเข้ารหัสที่ใช้: คุณควรกำหนดค่า CommonCrypto ด้วยตนเองหรือ ... ?
• ตัวอย่างที่ใช้งานได้จริง: ปกป้องการขนส่งเครือข่ายโดยไม่ทำลายแอพ
• ความปลอดภัยในการจัดเก็บข้อมูล: วิธีป้องกันไม่ให้ใครอ่านข้อความแชทลับของคุณ

>>> อ่านเพิ่มเติมในโพสต์กลาง <<<

นำเสนอที่:

• Cocoaheads Kyiv
  KYIV, ยูเครน, ธันวาคม 2558

• Cocoaconfby
  MINSK, เบลารุส, ธันวาคม 2558

• ทำ {ios}
  อัมสเตอร์ดัมเนเธอร์แลนด์พฤศจิกายน 2558

#Security #Mobile #architecture

• Wise Fish รู้ว่าไม่มีการพูดคุยเกี่ยวกับความปลอดภัยไม่เพียงพอ
• การสื่อสารกับเซิร์ฟเวอร์: ความปลอดภัยความน่าเชื่อถือใช้งานง่ายเลือกสอง
• การเข้ารหัสที่ใช้: คุณควรกำหนดค่า CommonCrypto ด้วยตนเองหรือ…?
• ความปลอดภัยของเครือข่ายคือปิรันย่าที่มีความเสี่ยงและมีความเสี่ยงในการดำเนินการ
• ตัวอย่างที่ใช้งานได้จริง: การปกป้องการขนส่งเครือข่ายโดยไม่ทำลายแอป

นำเสนอที่:

• Lviv Mobile Dev Day
  LVIV, ยูเครน, ตุลาคม 2558

#Mobile #Development #NLP

เรื่องสั้นเกี่ยวกับการสร้างแอพด้วยตัวกรองข้อความคำหยาบคายภายใน

• ตัวกรองคำหยาบคาย: ทำไมเราถึงต้องการมันในมือถือเลย?
• จัดการกรณีที่ยุ่งยาก: มีอะไรผิดปกติกับคำว่า 'คลาสสิก'
• วิธีกรองเร็ว (สตริงกับชุด)
• การกรองที่อ่อนโยนไม่ทำให้ผู้ใช้ตกใจ

นำเสนอที่:

• Itsubbota Meetup
  KYIV, ยูเครน, กันยายน 2558

#Security #Mobile #UsersData #commoncrypto

• ทำไมเราควรคิดถึงความปลอดภัยเลย

• วิธีปกป้องข้อมูลของผู้ใช้ ทำไมเราไม่ควรเก็บรหัสผ่าน เข้ารหัสฐานข้อมูล: จำเป็นหรือขี้เกียจเกินไปที่จะทำเช่นนั้น?

• วิธีถ่ายโอนข้อมูลไปยังเซิร์ฟเวอร์อย่างปลอดภัย MITM Attack คืออะไร?

• การป้องกันรหัสผ่านคืออะไร? ทำไมสแน็ปช็อตและพาสบอร์ดถึงอันตราย?

นำเสนอที่:

• เว็บแคมป์
  โอเดสซ่ายูเครนกรกฎาคม 2558

#backend #mobile #parse #development

• จำเป็นต้องมีนักพัฒนากี่คนในการเขียนแอพมือถือไคลเอนต์-เซิร์ฟเวอร์ สนุกและง่าย: ตั้งค่าแอพใหม่ด้วย parse.com
• รู้สึกมั่นใจพอที่จะใช้เซิร์ฟเวอร์ของตัวเอง? ตรวจสอบปัญหาการโยกย้าย
• ประสบการณ์ของตัวเอง: ข้อ จำกัด และแนวปฏิบัติที่ดีที่สุด

>>> อ่านเพิ่มเติมในโพสต์กลาง <<<

นำเสนอที่:

• Stanfy Madcode Meetup #5
  Kyiv, ยูเครน, เมษายน 2558

#TeamManagement #Development #Mobile

สิ่งที่ดีและมีประโยชน์ที่จะทำถ้าคุณรู้สึกขี้เกียจเกินไปที่จะเขียนรหัสวันนี้

นำเสนอที่:

• Itsubbota Meetup
  Kyiv, ยูเครน, เมษายน 2558

#TeamManagement #Development #Backend #Mobile

การสัมมนาผ่านเว็บ Madcode นี้อุทิศตนเพื่อการโต้ตอบที่มีประสิทธิภาพระหว่างนักพัฒนามือถือและนักพัฒนาแบ็กเอนด์เพื่อค้นหาวิธีการสื่อสารที่มีประสิทธิผลกับสิ่งหลังไม่ได้ใช้เวลาในการค้นหาว่าใครทำผิดพลาด แต่เป็นการสร้างผลิตภัณฑ์ที่ยอดเยี่ยมด้วยกัน

>>> อ่านเพิ่มเติมในโพสต์กลาง <<<

นำเสนอที่:

• Stanfy Madcode Meetup #1
  KYIV, ยูเครน, พฤศจิกายน 2014