my talks

我关于安全工程，应用密码学，安全可用性的讨论列表。 Twitter，中等。

我拥有广泛的软件工程背景，现在我在密码解决方案公司Cossack Labs上从事产品和解决方案。我们为开发人员提供了保护应用程序和基础架构中敏感数据的工具，从SaaS服务和移动应用程序到关键的基础架构 /电网运营商和SCADA网络。

除了解决方案之外，我们确实提供了咨询和深入的应用程序安全咨询，并通过安全审查和改进建议协助开发各个阶段的发展。我和我的团队也为高级开发人员，建筑师和产品经理进行安全的软件开发培训。

• 开源工具：
  • Themis-在移动，桌面和Web应用程序中用于存储和消息传递的加密库；
  • ACRA - 带有SQL防火墙和ID的数据库安全套件；
  • 爱马仕 - 用于数据协作的端到端加密引擎（移动，Web，基础架构）；

享受！

（世界会一样吗？）

在2021年，我专注于洗手防御性安全主题对于技术线索，CTO，解决方案架构师很有趣。安全设计和工程，分布式应用程序的端到端加密。

如果您想邀请我在您的会议上讲话，请给我发电子邮件:)

我们谈论的是移动应用程序安全，介绍安全性。播放器，讨论开发人员生活中与安全相关的案例。

• 迅速的英雄
  在线，2020年10月1日和2日

#TrackHost

检查会谈和计划：主题包括OSINT，安全偏见，不安全感的安全性。

• QCON Plus
  在线，2020年11月

#TrackHost

检查YouTube会谈：主题包括PQ密码学，安全工程，特权升级，物联网黑客，全国范围内的网络安全，对Bruce Schneier的采访。

• Nonamecon
  在线，2020年9月

我们正在谈论密码学并回答问题：

• 什么是我们最喜欢的密​​码，为什么它是base64
• 加密是生活方式吗？
• 没有加密背景就可以进入加密货币吗？
• 如何选择适当的TLS套件
• Quantum Crypto：我们应该在乎吗？
• 我们看到的加密编码错误
• 法规，e2ee，晶格和所有东西

介绍：

• OPCDE
  在线，2020年7月29日

#security #crypto

我们将讨论“无聊的加密”：为什么开发人员不应该花时间学习加密货币（或发明新的）的所有细节。当您需要的只是在休息或运动中保护数据时，如何避免典型的加密蛋糕。每个人都有足够的现成加密库和工具。

介绍：

• Owasp章节一整天
  在线，2020年6月7日

检查一下：主题包括安全风险管理，平衡安全性和性能，SSDLC，DevSecops和Qual-Quatum Crypto。

#TrackHost

检查一下：主题包括安全架构，安全工程，密码学，组织安全。

#security＃软件架构#cryptography

这次演讲对于相信完美的加密lib是一页1页的lib的人很有用:)

维护跨平台加密库是一段充满意外的错误，特定于语言的黑客，艰难的决策以及使面向开发人员的API易于使用且难以合理的无休止的努力。

如何将复杂的加密概念简化为简单的“加密（MSG，键）”和“解密（数据，键）”功能？当其中一些人是强烈的类型而另一种是JavaScript时，如何为11种语言提供统一的API？默认情况下安全：应做出哪些设计选择以防止滥用。多平台：如何确保使用Ruby在X64 Ubuntu上加密该消息18.04将在iPhone ARMV7S上[成功]在ios12上进行[成功]？测试野性：静态分析仪，模糊，单位测试，集成测试。文档：无论如何，开发人员还是从readme复制了纸，如何确保他们复制正确的东西。

我将描述有关维护多平台开源库Themis的4年经验：从API设计到特定语言的黑客。

介绍：

• 黑色
  2019年11月7日至8日，瑞士Yverdon-Les-Bains

11月4日，与瑞士洛桑的让·菲利普·奥马森（Jean-Philippe Aumasson）共同开展了有关安全和加密工程的公共培训。针对用于分布式应用程序和安全相关功能的软件工程师和解决方案架构师的培训。

有关内容的详细信息。

有兴趣为您的团队进行类似的培训吗？给我发电子邮件。

#mobile #iosdev #Ectryption＃e2ee #bear

关于一个大笔记的实际情况，该应用程序决定实现便利的注释加密，并为其现有用户群锁定锁定。但是，在可用性，安全性和移动平台的限制之间找到平衡是复杂的。

我们将从安全设计方案开始，然后选择适当的加密库，然后实现流程，并为事件做准备。现在 - 考虑一下 - 密码学只是OWASP MASVS中的第3章（总体上8章）。如果基本的安全控制措施严重实施，即使是最佳的加密系统也将失败。

我们将要经历的要点：“锁定”和“加密”之间的区别，密码和加密密钥之间的差异，如何在设备之间同步密码，在键链/钥匙店，如何使用适当的密码库（AES CBC或AES GCM或AES GCM，随机盐，随机盐，iv padding iv padding of bione of the Indry of the Indriry），确切地存储在键链/密钥库中，如何使用适当的加密货币？如果用户将更改其指纹 - 我们是否可以使所有密码无效？），更新加密版本（想象一下，在我们的库或应用中发现了漏洞 - 如何更新密码，并且如果用户甚至没有线索，则将用户软迁移到新的密码中。

最后，这只是安全软件工程师眼中的一张简单的JIRA票“让我们加密注释” :)

介绍：

• FrenchKit
  法国巴黎，2019年10月7日至8日

• RSCONF
  明斯克，白俄罗斯，2019年8月9日至11日

• Cocoaheads Kyiv会议
  基辅，乌克兰，2019年7月28日

#Mobile #iosdev #Encryption #privacy

苹果在WWDC 2019上发布了许多有关加密，网络安全和隐私的公告。 Anastasiia强调了开发人员的重要变化，包括新的Cryptokit框架，数据隐私法规，新的应用程序权限。

介绍：

• Cocoafriday Kyiv Meetup
  基辅，乌克兰，2019年6月14日

#Security＃软件架构＃App-Sec

毫不奇怪，任何微服务，您使用用于构建应用程序的任何安全控制 - 最终都会被打破（或失败）。在某些压力下，某些组件会一起失败。

问题是 - 我们如何以某种方式构建系统，即使某些组件失败，也不会发生安全事件。即使攻击成功，数据泄漏也不会发生。

“深入防御”是一种安全工程模式，它表明，即使攻击者越过外围外围，也建立了一套独立的安全控制措施，旨在减轻更多的风险。在演讲中，我们将为现代分布式应用程序的威胁和风险建模，并通过建立多种防御线来改进它。我们将概述安全工程领域的高级模式和确切的工具，并向现代Web开发人员解释；）

介绍：

• 沼泽
  美国旧金山，2019年6月17日至19日

• 粘液
  英国伦敦，2019年5月29日至31日

• Infoshare
  波兰的格丹斯克，2019年5月8日至9日

• JSFEST KYIV
  基辅，乌克兰，2019年4月5日至6日

5月14日至17日，我在乌克兰基辅举行的Nonamecon Cyber​​ Security会议上的Cyber​​kids活动共同组织和讲话。孩子们学习了有关加密的基础知识，并进行了简单的密码练习。

在我的LN帖子和Nonamecon网站上阅读。

介绍：

• Nonamecon Cyber​​kids
  基辅，乌克兰，2019年5月14日

＃键管理#workshop #mobile #cryptography

OWASP SSDLC，如何选择加密库，在数据实施加密方面是什么常见错误。密钥管理技术（存储用户密码，存储API键）。

您可能想改进的应用程序的可行的待办事项清单，加深您对网络安全景观的了解，这是一套读/潜水的资源，以使您的应用程序更加安全。

讲习班：

• 伦敦艾斯康
  英国伦敦，2019年3月21日

De Programmatica Ipsum杂志的论文介绍了安全软件开发以及产品制造商和安全人员世界之间的心态差距。

#security＃软件架构＃基本智慧＃产品工程

我们将深入研究数据生命周期，风险，信任以及它们如何影响安全体系结构，加密和关键管理技术。我们将说明典型的SDL模式：缩小信任，监视入侵，零知识体系结构，分发信任。谈话的目的是提供一般思维框架和有关高级工程师的工具的足够想法，以便在其中包含的敏感数据方面安全地计划其解决方案。

计划：

？现代应用程序是多组件，大多数数据泄漏是由差的建筑决策引起的，
？什么是敏感的数据生命周期，
？如何为您的应用建立信任模型，
？什么是典型的信任模式，
？如何根据现实世界风险选择适当的安全控制。

介绍：

• Devexperience 19
  罗马尼亚Iasi，2019年4月19日

• Javazone 18
  挪威奥斯陆，2018年9月12日至13日

#security #usbility＃Basic-Sanity＃产品工程

这是一个经历典型安全挑战的故事：如何构建可靠提供安全保证的产品，避免典型的陷阱，并以真实用户的可预测方式使用。这是一个使宗教坚持安全实践与开发团队内部始终牢记的需求保持平衡的故事；在野外聆听客户并观察外面的实际行为；并试图做出最佳决策，以使客户使用简单的工具为其安全和无痛苦的应用程序加密数据。

我们将通过其中一位客户的眼光来看看这个过程，他们在做正确的事情之前和产品工程师的眼睛都使所有事情做错了，负责学习课程，以使安全产品更加可用，更可靠地对以安全为中心的工程师。

关键要点：

与会者将经历启动的几个阶段，并实施数据库加密/入侵检测工具。他们将看到一家密码工程公司内部的“幕后”工作，将看到客户是最有用的人之一，以及如何克服“我们告诉您要做什么”的心态使安全工具变得更好。

介绍：

• QCONNYC 18
  美国纽约市，2018年6月27日至29日

#security #workshop #mobile #cryptography＃symm-compryption＃amymm-recryption

零知识算法和协议确保没有键，密码，文件或任何其他敏感材料以未加密或可逆的形式转移。服务器或服务管理员可以看到加密密钥或未加密文件时，没有时间点。

我们采用了简单的iOS应用程序（Firebase Notes应用程序），并实施了两种加密方案，以说明即使对于使用BAA的应用程序，也有多么容易保护数据。

计划：

1. 了解ZKA
2. 熟悉Firebase Notes应用程序
3. 保护自己的笔记（E2EE）
4. 与其他用户分享笔记
5. 通常提高安全性（保护密钥，改善登录流量，隐藏屏幕截图，混淆代码等）

讲习班：

• 编码基辅的女性的特殊研讨会
  基辅，乌克兰，2018年8月30日

• 迅速的aveiro
  葡萄牙Aveiro，2018年6月21日至22日

#mobile #security＃基本效果

在我们深入协议漏洞之前：您应该记得从安全角度设计应用程序流程的内容。

这次演讲将重点放在Infosec的副本标题上：您需要在加密术和AI辅助事件检测等令人兴奋的内容之前了解什么。就像，您在背景模式下显示的数据选择，第三方SDK的选择，我们发送的日志以及在哪里...

即使开发人员创建具有安全性的应用程序，保护用户秘密并没有透露未加密的数据，攻击者也可以通过利用建筑弱点和毫无意义但非常简单的漏洞来找到绕过这些安全措施的方法。我们将讨论所有微小的零件和零件都是为了使您的应用程序确保在专注于艰苦的事情之前（例如加密货币）之前的简单攻击方式安全。

1. 谨慎处理用户秘密（显示，存储，记录）。
2. 输入验证和密码规则。
3. 处理运输连接。
4. 以及一些会使攻击者感到困惑的技巧和技巧。

介绍：

• Cocoaheads Kyiv＃14
  基辅，乌克兰，2018年10月6日

• Mdevtalk 18
  布拉格捷克共和国，2018年5月24日

• Uikonf 18
  德国柏林，2018年5月13日至16日

#security #crypto #databases #notmobile #trust #infrastructures＃-of-duties #echelonization

在更广泛的情况下，有关密码学的深入技术询问：如何帮助缩小控制攻击表面的更大风险，使能够有效，优雅地管理风险，工具和算法如何在管理范围内管理与处理敏感数据相关的更广泛的背景下更广泛地管理基础架构的风险。

1. 什么是攻击表面，密码学如何有助于缩小它。
2. 简单的加密系统，但有重要的缺点。
3. 中间件侧加密：保护基于Web的基础架构中的数据。
4. 客户端加密：信任移动应用程序和代码执行。 E2EE。 ZKA。 ZKP。
5. 回声和传统技术。

介绍：

• QCON伦敦18
  英国伦敦，2018年3月5日至7日

• Security Bsides乌克兰
  基辅，乌克兰，2018年4月21日

• Codemotion Milan
  意大利米兰，11月29日至30日

#security #crypto

我们生活中的加密：为什么您不应该花时间学习加密货币的所有细节。您在产品中使用加密货币犯的典型错误。如何避免深夜提交，但要编码“快速无聊”。

1. 典型的工程工作流程“我们应该保护数据，应该做什么”以及可能的错误。
2. 什么是“无聊的加密”，我们想要使用加密产品的东西。
3. 可能的解决方案：HSM / TPM /软件加密。
4. 如何选择适当的软件加密：LIBS，系统，容器。
5. 我们希望加密与爱迪生灯相似：可控和无聊的系统。

介绍：

• 斯威夫特和菲卡
  斯德哥尔摩，瑞典，2018年9月10日

• devexperience.ro
  罗马尼亚Iasi，2018年4月23日

• Owasp Kyiv Meetup Winter 17
  基辅，乌克兰，2017年12月2日

#security #blockchain

安全工程师的工作是为问题选择适当的解决方案并应用它们。讨论有关密码学的区块链相当无聊：这很简单，即使是高级协议中的某些假设也不会引起抗议。

我将谈论另一面 - 区块链看起来像是最佳策略，它引起问题。我们将浏览风险和威胁模型，信任和保证，以在真实项目中使用区块链（以及接下来发生的事情）。

介绍：

• UA.SC 17
  基辅，乌克兰，2017年10月18日

#security #mobile #zkp #zka

幻灯片| Mobiconf视频| | DevFest Baltics视频]（https://www.youtube.com/watch?v=o-pnvvcc5fy）----- | --- | --- |

通过加强威胁访问，窥探政府和不安全互动，零知识应用程序架构的重要性和端到端的信任的重要性，而不是简单的消息，对应用程序开发人员来说越来越复杂。

我们将讨论ZKA对抗，学习典型的加密设计和在ZKA不同领域的进步的现实世界中的问题。我们将发现如何使用您的应用程序安全地确保数据共享，用户在云中的数据协作。

介绍：

• Devfest Baltics 17
  拉脱维亚里加，2017年11月17日

• SE Con​​f 17
  基辅，乌克兰，2017年10月27日至29日

• Mobiconf 17
  波兰克拉科夫，2017年10月5日至6日

#ux #productdev #mobile #design

这是一个设计师@Anatinge的故事，也是一个开发人员，他们共同努力并为真正需要它的人建造了产品。这一切都是关于紧密合作，进行用户研究和用户访谈，分享有关团队工作的提示和技巧。

介绍：

• ADDC 2017
  巴塞罗那，2017年6月22日至23日

#security #keys #mobile #trust

我们将谈论建立信任。信任是围绕各种信任令牌建立的：密钥，密码，秘密，生物特征属性，所拥有的事物以及您所知道的事物。我们将讨论您应该信任什么，如何建立和验证信任，如何在不同用户中分享。我们将讨论技术方面：密钥交换，密钥信任，密钥推导，渠道信任，多因素身份验证。我将尝试使观众了解这种庞大的工具和算法如何仅仅实现一个目的：让正确的人进入，将错误的家伙放在我们的魔法城堡外面。仙女应该是！

>>>在中等文章中阅读更多<<<

介绍：

• 移动优化
  明斯克，白俄罗斯，2017年7月14日至15日

• CraftConf 17
  布达佩斯，匈牙利，2017年4月25日至28日

• Appbuilders 17
  洛桑，瑞士，2017年4月24日至25日

#security #mobile #kittens

摘要对安全领域的新手进行讨论。

移动平台提供了新的威胁和系统安全的新机会。本演示文稿将涉及现代方法：如何保护数据，这些数据与手机相关的信任关系如何影响传统的安全布局。我会告诉您手机如何决定重要的客户服务器关系。

根据我的其他谈话。

介绍：

• 仙人掌黑客马拉松的技术聚会
  基辅，乌克兰，2017年5月

• 编码Kyiv Meetup的女性
  基辅，乌克兰，2017年3月

#security #workshop #mobile #ssl

这个想法是分享一些有关制作更安全的应用程序的知识。我们谈到了：

• 为什么SSL还不够
• 实施SSL固定的策略
• 如何理解常见移动客户服务器基础架构的基本风险和威胁
• 保护这些威胁的方法
• 什么是对称加密？为什么我们需要它。在哪里存储数据和密钥。
• 什么是转移加密？当我们需要时。

介绍：

• 快速阿尔卑斯山
  克兰斯孟塔纳（Crans-Montana），瑞士，2016年11月10日至11日

#security #keys #mobile #trust

我们将讨论建立安全性，当应用程序密钥暴露时不会失败；当服务器被黑客入侵时；只要唯一用户的加密键（或密码）安全的安全性即可。将用户知道的秘密成为信任的来源是应用程序与安全模型“稀疏”的最终方法，从而降低了风险和开发人员的痛苦。我们将了解薄透明的安全层系统及其在客户端服务器系统中的适用性。

>>>在Realm（25m）上检查成绩单和视频<<<

介绍：

• Mobiconf
  波兰克拉科夫，2016年10月6日至8日

• nsbarcelona
  西班牙巴塞罗那，2016年9月21日

• NSSPAIN
  西班牙Logrono，2016年9月14日至15日

• 尝试！迅速
  美国纽约市，2016年9月1日至2日

• 饮食
  哈科夫，乌克兰，2016年8月18日

#TeamManagement #Development

每个人都在谈论开发人员的专业化。 “知道你的利基”。现在，我们为每个开发区都有单独的会议：移动，云，大数据，物联网。为了构建一个现代的乘法移动应用程序，您需要与单独的iOS和Android开发团队一起工作，单独的后端开发团队，设计师和经理。看起来不多？

我将谈论另一种组织方式：多风险开发团队，经验和福利。

介绍：

• Agilepizza＃49聚会
  基辅，乌克兰，2016年7月26日

• Uamobitech
  Dnipro，乌克兰，2016年7月18日至19日

#security #trust #mobile #zkp #kdf

移动平台提供了新的威胁和系统安全的新机会。本演示文稿涉及现代方法：如何保护数据，哪些信任关系与手机出现，它们如何影响传统的安全布局。手机如何决定重要的客户服务器关系。

但是，更重要的是，我们谈论要使这些东西成为一致的系统：如何思考选择正确的工具，哪些建筑模式可以实现安全性并通过设计最大程度地降低风险。我们了解了回架的防御，隔间和风险控制的想法。我们结束了了解现在的立场：在迅速变化的安全环境中，Mobile在其中的作用既危险又非常重要。

>>>在中等文章中阅读更多<<<

介绍：

• Appbuilders 16
  瑞士苏黎世，2016年4月25日至26日

• Cocoaheads Kyiv＃9
  基辅，乌克兰，2016年6月

#TeamManagement #Development #Design #mobile

作为开发人员，当我需要将设计转换为资产时，我不想感到沮丧。

我们将谈论：

• 许多工具和如何节省时间的方法
• 如何与设计师交流，以及
• 如果可以自己更改设计

介绍：

• Itsubbota聚会
  基辅，乌克兰，2016年5月

#security #trust #mobile #architecture

• 与服务器的通信：安全性，可靠性，易用性，选择两个
• 应用密码学：您应该手动配置CommonCrypto还是...？
• 实际示例：保护网络运输而不破坏应用程序
• 存储安全：如何防止任何人阅读您的秘密聊​​天消息

>>>在中等文章中阅读更多<<<

介绍：

• Cocoaheads Kyiv
  基辅，乌克兰，2015年12月

• 可可饼
  明斯克，白俄罗斯，2015年12月

• 做{ios}
  荷兰阿姆斯特丹，2015年11月

#security #mobile #architecture

• 明智的鱼知道对安全性不足
• 与服务器的通信：安全性，可靠性，易用性，选择两个
• 应用密码学：您应该手动配置CommonCrypto还是…？
• 网络安全是PIRANHA的风险和实施中的荷兰
• 实际示例：保护网络运输而无需破坏应用程序

介绍：

• 利维夫移动开发日
  乌克兰利沃夫，2015年10月

#mobile #development #nlp

关于建立具有亵渎文本过滤器的应用程序的短篇小说。

• 亵渎过滤器：为什么我们在移动中完全需要它们？
• 处理棘手的案例：“经典”一词有什么问题
• 如何快速过滤（字符串与集合）
• 温和的过滤不要吓use用户

介绍：

• Itsubbota聚会
  基辅，乌克兰，2015年9月

#security #mobile #usersdata #commoncrypto

• 我们为什么要考虑安全。

• 如何保护用户的数据。为什么我们不应该存储密码。加密数据库：有必要或懒得这样做？

• 如何以安全的方式将数据传输到服务器。什么是MITM攻击？

• 什么是密码保护？为什么快照和粘贴板很危险？

介绍：

• Webcamp
  乌克兰敖德萨，2015年7月

#backend #mobile #parse #development

• 编写客户服务器移动应用需要多少个开发人员？有趣而简单：与Parse.com建立一个新应用。
• 感觉足够自信使用自己的服务器？检查迁移问题。
• 自己的经验：限制和最佳实践

>>>在中等文章中阅读更多<<<

介绍：

• Stanfy MadCode Meetup＃5
  基辅，乌克兰，2015年4月

#TeamManagement #development #mobile

如果您觉得太懒惰，无法今天编写代码，那么要做的事情要做。

介绍：

• Itsubbota聚会
  基辅，乌克兰，2015年4月

#TeamManagement #development #backend #mobile

这项MadCode网络研讨会致力于移动和后端开发人员之间的有效互动，以找到与后者的生产沟通方式，而不是花时间寻找谁犯了错误，而是共同建造出色的产品。

>>>在中等文章中阅读更多<<<

介绍：

• Stanfy MadCode Meetup＃1
  基辅，乌克兰，2014年11月