my talks

我關於安全工程，應用密碼學，安全可用性的討論列表。 Twitter，中等。

我擁有廣泛的軟件工程背景，現在我在密碼解決方案公司Cossack Labs上從事產品和解決方案。我們為開發人員提供了保護應用程序和基礎架構中敏感數據的工具，從SaaS服務和移動應用程序到關鍵的基礎架構 /電網運營商和SCADA網絡。

除了解決方案之外，我們確實提供了諮詢和深入的應用程序安全諮詢，並通過安全審查和改進建議協助開發各個階段的發展。我和我的團隊也為高級開發人員，建築師和產品經理進行安全的軟件開發培訓。

• 開源工具：
  • Themis-在移動，桌面和Web應用程序中用於存儲和消息傳遞的加密庫；
  • ACRA - 帶有SQL防火牆和ID的數據庫安全套件；
  • 愛馬仕 - 用於數據協作的端到端加密引擎（移動，Web，基礎架構）；

享受！

（世界會一樣嗎？）

在2021年，我專注於洗手防禦性安全主題對於技術線索，CTO，解決方案架構師很有趣。安全設計和工程，分佈式應用程序的端到端加密。

如果您想邀請我在您的會議上講話，請給我發電子郵件:)

我們談論的是移動應用程序安全，介紹安全性。播放器，討論開發人員生活中與安全相關的案例。

• 迅速的英雄
  在線，2020年10月1日和2日

#TrackHost

檢查會談和計劃：主題包括OSINT，安全偏見，不安全感的安全性。

• QCON Plus
  在線，2020年11月

#TrackHost

檢查YouTube會談：主題包括PQ密碼學，安全工程，特權升級，物聯網黑客，全國范圍內的網絡安全，對Bruce Schneier的採訪。

• Nonamecon
  在線，2020年9月

我們正在談論密碼學並回答問題：

• 什麼是我們最喜歡的密​​碼，為什麼它是base64
• 加密是生活方式嗎？
• 沒有加密背景就可以進入加密貨幣嗎？
• 如何選擇適當的TLS套件
• Quantum Crypto：我們應該在乎嗎？
• 我們看到的加密編碼錯誤
• 法規，e2ee，晶格和所有東西

介紹：

• OPCDE
  在線，2020年7月29日

#security #crypto

我們將討論“無聊的加密”：為什麼開發人員不應該花時間學習加密貨幣（或發明新的）的所有細節。當您需要的只是在休息或運動中保護數據時，如何避免典型的加密蛋糕。每個人都有足夠的現成加密庫和工具。

介紹：

• Owasp章節一整天
  在線，2020年6月7日

檢查一下：主題包括安全風險管理，平衡安全性和性能，SSDLC，DevSecops和Qual-Quatum Crypto。

#TrackHost

檢查一下：主題包括安全架構，安全工程，密碼學，組織安全。

#security＃軟件架構#cryptography

這次演講對於相信完美的加密lib是一頁1頁的lib的人很有用:)

維護跨平台加密庫是一段充滿意外的錯誤，特定於語言的黑客，艱難的決策以及使面向開發人員的API易於使用且難以合理的無休止的努力。

如何將復雜的加密概念簡化為簡單的“加密（MSG，鍵）”和“解密（數據，鍵）”功能？當其中一些人是強烈的類型而另一種是JavaScript時，如何為11種語言提供統一的API？默認情況下安全：應做出哪些設計選擇以防止濫用。多平台：如何確保使用Ruby在X64 Ubuntu上加密該消息18.04將在iPhone ARMV7S上[成功]在ios12上進行[成功]？測試野性：靜態分析儀，模糊，單位測試，集成測試。文檔：無論如何，開發人員還是從readme複製了紙，如何確保他們複製正確的東西。

我將描述有關維護多平台開源庫Themis的4年經驗：從API設計到特定語言的黑客。

介紹：

• 黑色
  2019年11月7日至8日，瑞士Yverdon-Les-Bains

11月4日，與瑞士洛桑的讓·菲利普·奧馬森（Jean-Philippe Aumasson）共同開展了有關安全和加密工程的公共培訓。針對用於分佈式應用程序和安全相關功能的軟件工程師和解決方案架構師的培訓。

有關內容的詳細信息。

有興趣為您的團隊進行類似的培訓嗎？給我發電子郵件。

#mobile #iosdev #Ectryption＃e2ee #bear

關於一個大筆記的實際情況，該應用程序決定實現便利的註釋加密，並為其現有用戶群鎖定鎖定。但是，在可用性，安全性和移動平台的限制之間找到平衡是複雜的。

我們將從安全設計方案開始，然後選擇適當的加密庫，然後實現流程，並為事件做準備。現在 - 考慮一下 - 密碼學只是OWASP MASVS中的第3章（總體上8章）。如果基本的安全控制措施嚴重實施，即使是最佳的加密系統也將失敗。

我們將要經歷的要點：“鎖定”和“加密”之間的區別，密碼和加密密鑰之間的差異，如何在設備之間同步密碼，在鍵鏈/鑰匙店，如何使用適當的密碼庫（AES CBC或AES GCM或AES GCM，隨機鹽，隨機鹽，iv padding iv padding of bione of the Indry of the Indriry），確切地存儲在鍵鏈/密鑰庫中，如何使用適當的加密貨幣？如果用戶將更改其指紋 - 我們是否可以使所有密碼無效？ ），更新加密版本（想像一下，在我們的庫或應用中發現了漏洞 - 如何更新密碼，並且如果用戶甚至沒有線索，則將用戶軟遷移到新的密碼中。

最後，這只是安全軟件工程師眼中的一張簡單的JIRA票“讓我們加密註釋” :)

介紹：

• FrenchKit
  法國巴黎，2019年10月7日至8日

• RSCONF
  明斯克，白俄羅斯，2019年8月9日至11日

• Cocoaheads Kyiv會議
  基輔，烏克蘭，2019年7月28日

#Mobile #iosdev #Encryption #privacy

蘋果在WWDC 2019上發布了許多有關加密，網絡安全和隱私的公告。 Anastasiia強調了開發人員的重要變化，包括新的Cryptokit框架，數據隱私法規，新的應用程序權限。

介紹：

• Cocoafriday Kyiv Meetup
  基輔，烏克蘭，2019年6月14日

#Security＃軟件架構＃App-Sec

毫不奇怪，任何微服務，您使用用於構建應用程序的任何安全控制 - 最終都會被打破（或失敗）。在某些壓力下，某些組件會一起失敗。

問題是 - 我們如何以某種方式構建系統，即使某些組件失敗，也不會發生安全事件。即使攻擊成功，數據洩漏也不會發生。

“深入防禦”是一種安全工程模式，它表明，即使攻擊者越過外圍外圍，也建立了一套獨立的安全控制措施，旨在減輕更多的風險。在演講中，我們將為現代分佈式應用程序的威脅和風險建模，並通過建立多種防禦線來改進它。我們將概述安全工程領域的高級模式和確切的工具，並向現代Web開發人員解釋；）

介紹：

• 沼澤
  美國舊金山，2019年6月17日至19日

• 粘液
  英國倫敦，2019年5月29日至31日

• Infoshare
  波蘭的格丹斯克，2019年5月8日至9日

• JSFEST KYIV
  基輔，烏克蘭，2019年4月5日至6日

5月14日至17日，我在烏克蘭基輔舉行的Nonamecon Cyber​​ Security會議上的Cyber​​kids活動共同組織和講話。孩子們學習了有關加密的基礎知識，並進行了簡單的密碼練習。

在我的LN帖子和Nonamecon網站上閱讀。

介紹：

• Nonamecon Cyber​​kids
  基輔，烏克蘭，2019年5月14日

＃鍵管理#workshop #mobile #cryptography

OWASP SSDLC，如何選擇加密庫，在數據實施加密方面是什麼常見錯誤。密鑰管理技術（存儲用戶密碼，存儲API鍵）。

您可能想改進的應用程序的可行的待辦事項清單，加深您對網絡安全景觀的了解，這是一套讀/潛水的資源，以使您的應用程序更加安全。

講習班：

• 倫敦艾斯康
  英國倫敦，2019年3月21日

De Programmatica Ipsum雜誌的論文介紹了安全軟件開發以及產品製造商和安全人員世界之間的心態差距。

#security＃軟件架構＃基本智慧＃產品工程

我們將深入研究數據生命週期，風險，信任以及它們如何影響安全體系結構，加密和關鍵管理技術。我們將說明典型的SDL模式：縮小信任，監視入侵，零知識體系結構，分發信任。談話的目的是提供一般思維框架和有關高級工程師的工具的足夠想法，以便在其中包含的敏感數據方面安全地計劃其解決方案。

計劃：

？現代應用程序是多組件，大多數數據洩漏是由差的建築決策引起的，
？什麼是敏感的數據生命週期，
？如何為您的應用建立信任模型，
？什麼是典型的信任模式，
？如何根據現實世界風險選擇適當的安全控制。

介紹：

• Devexperience 19
  羅馬尼亞Iasi，2019年4月19日

• Javazone 18
  挪威奧斯陸，2018年9月12日至13日

#security #usbility＃Basic-Sanity＃產品工程

這是一個經歷典型安全挑戰的故事：如何構建可靠提供安全保證的產品，避免典型的陷阱，並以真實用戶的可預測方式使用。這是一個使宗教堅持安全實踐與開發團隊內部始終牢記的需求保持平衡的故事；在野外聆聽客戶並觀察外面的實際行為；並試圖做出最佳決策，以使客戶使用簡單的工具為其安全和無痛苦的應用程序加密數據。

我們將通過其中一位客戶的眼光來看看這個過程，他們在做正確的事情之前和產品工程師的眼睛都使所有事情做錯了，負責學習課程，以使安全產品更加可用，更可靠地對以安全為中心的工程師。

關鍵要點：

與會者將經歷啟動的幾個階段，並實施數據庫加密/入侵檢測工具。他們將看到一家密碼工程公司內部的“幕後”工作，將看到客戶是最有用的人之一，以及如何克服“我們告訴您要做什麼”的心態使安全工具變得更好。

介紹：

• QCONNYC 18
  美國紐約市，2018年6月27日至29日

#security #workshop #mobile #cryptography＃symm-compryption＃amymm-recryption

零知識算法和協議確保沒有鍵，密碼，文件或任何其他敏感材料以未加密或可逆的形式轉移。服務器或服務管理員可以看到加密密鑰或未加密文件時，沒有時間點。

我們採用了簡單的iOS應用程序（Firebase Notes應用程序），並實施了兩種加密方案，以說明即使對於使用BAA的應用程序，也有多麼容易保護數據。

計劃：

1. 了解ZKA
2. 熟悉Firebase Notes應用程序
3. 保護自己的筆記（E2EE）
4. 與其他用戶分享筆記
5. 通常提高安全性（保護密鑰，改善登錄流量，隱藏屏幕截圖，混淆代碼等）

講習班：

• 編碼基輔的女性的特殊研討會
  基輔，烏克蘭，2018年8月30日

• 迅速的aveiro
  葡萄牙Aveiro，2018年6月21日至22日

#mobile #security＃基本效果

在我們深入協議漏洞之前：您應該記得從安全角度設計應用程序流程的內容。

這次演講將重點放在Infosec的副本標題上：您需要在加密術和AI輔助事件檢測等令人興奮的內容之前了解什麼。就像，您在背景模式下顯示的數據選擇，第三方SDK的選擇，我們發送的日誌以及在哪裡...

即使開發人員創建具有安全性的應用程序，保護用戶秘密並沒有透露未加密的數據，攻擊者也可以通過利用建築弱點和毫無意義但非常簡單的漏洞來找到繞過這些安全措施的方法。我們將討論所有微小的零件和零件都是為了使您的應用程序確保在專注於艱苦的事情之前（例如加密貨幣）之前的簡單攻擊方式安全。

1. 謹慎處理用戶秘密（顯示，存儲，記錄）。
2. 輸入驗證和密碼規則。
3. 處理運輸連接。
4. 以及一些會使攻擊者感到困惑的技巧和技巧。

介紹：

• Cocoaheads Kyiv＃14
  基輔，烏克蘭，2018年10月6日

• Mdevtalk 18
  布拉格捷克共和國，2018年5月24日

• Uikonf 18
  德國柏林，2018年5月13日至16日

#security #crypto #databases #notmobile #trust #infrastructures＃-of-duties #echelonization

在更廣泛的情況下，有關密碼學的深入技術詢問：如何幫助縮小控制攻擊表面的更大風險，使能夠有效，優雅地管理風險，工具和算法如何在管理範圍內管理與處理敏感數據相關的更廣泛的背景下更廣泛地管理基礎架構的風險。

1. 什麼是攻擊表面，密碼學如何有助於縮小它。
2. 簡單的加密系統，但有重要的缺點。
3. 中間件側加密：保護基於Web的基礎架構中的數據。
4. 客戶端加密：信任移動應用程序和代碼執行。 E2EE。 ZKA。 ZKP。
5. 迴聲和傳統技術。

介紹：

• QCON倫敦18
  英國倫敦，2018年3月5日至7日

• Security Bsides烏克蘭
  基輔，烏克蘭，2018年4月21日

• Codemotion Milan
  意大利米蘭，11月29日至30日

#security #crypto

我們生活中的加密：為什麼您不應該花時間學習加密貨幣的所有細節。您在產品中使用加密貨幣犯的典型錯誤。如何避免深夜提交，但要編碼“快速無聊”。

1. 典型的工程工作流程“我們應該保護數據，應該做什麼”以及可能的錯誤。
2. 什麼是“無聊的加密”，我們想要使用加密產品的東西。
3. 可能的解決方案：HSM / TPM /軟件加密。
4. 如何選擇適當的軟件加密：LIBS，系統，容器。
5. 我們希望加密與愛迪生燈相似：可控和無聊的系統。

介紹：

• 斯威夫特和菲卡
  斯德哥爾摩，瑞典，2018年9月10日

• devexperience.ro
  羅馬尼亞Iasi，2018年4月23日

• Owasp Kyiv Meetup Winter 17
  基輔，烏克蘭，2017年12月2日

#security #blockchain

安全工程師的工作是為問題選擇適當的解決方案並應用它們。討論有關密碼學的區塊鏈相當無聊：這很簡單，即使是高級協議中的某些假設也不會引起抗議。

我將談論另一面 - 區塊鏈看起來像是最佳策略，它引起問題。我們將瀏覽風險和威脅模型，信任和保證，以在真實項目中使用區塊鏈（以及接下來發生的事情）。

介紹：

• UA.SC 17
  基輔，烏克蘭，2017年10月18日

#security #mobile #zkp #zka

幻燈片| Mobiconf視頻| | DevFest Baltics視頻]（https://www.youtube.com/watch?v=o-pnvvcc5fy）----- | --- | --- |

通過加強威脅訪問，窺探政府和不安全互動，零知識應用程序架構的重要性和端到端的信任的重要性，而不是簡單的消息，對應用程序開發人員來說越來越複雜。

我們將討論ZKA對抗，學習典型的加密設計和在ZKA不同領域的進步的現實世界中的問題。我們將發現如何使用您的應用程序安全地確保數據共享，用戶在雲中的數據協作。

介紹：

• Devfest Baltics 17
  拉脫維亞里加，2017年11月17日

• SE Con​​f 17
  基輔，烏克蘭，2017年10月27日至29日

• Mobiconf 17
  波蘭克拉科夫，2017年10月5日至6日

#ux #productdev #mobile #design

這是一個設計師@Anatinge的故事，也是一個開發人員，他們共同努力並為真正需要它的人建造了產品。這一切都是關於緊密合作，進行用戶研究和用戶訪談，分享有關團隊工作的提示和技巧。

介紹：

• ADDC 2017
  巴塞羅那，2017年6月22日至23日

#security #keys #mobile #trust

我們將談論建立信任。信任是圍繞各種信任令牌建立的：密鑰，密碼，秘密，生物特徵屬性，所擁有的事物以及您所知道的事物。我們將討論您應該信任什麼，如何建立和驗證信任，如何在不同用戶中分享。我們將討論技術方面：密鑰交換，密鑰信任，密鑰推導，渠道信任，多因素身份驗證。我將嘗試使觀眾了解這種龐大的工具和算法如何僅僅實現一個目的：讓正確的人進入，將錯誤的傢伙放在我們的魔法城堡外面。仙女應該是！

>>>在中等文章中閱讀更多<<<

介紹：

• 移動優化
  明斯克，白俄羅斯，2017年7月14日至15日

• CraftConf 17
  布達佩斯，匈牙利，2017年4月25日至28日

• Appbuilders 17
  洛桑，瑞士，2017年4月24日至25日

#security #mobile #kittens

摘要對安全領域的新手進行討論。

移動平台提供了新的威脅和系統安全的新機會。本演示文稿將涉及現代方法：如何保護數據，這些數據與手機相關的信任關係如何影響傳統的安全佈局。我會告訴您手機如何決定重要的客戶服務器關係。

根據我的其他談話。

介紹：

• 仙人掌黑客馬拉鬆的技術聚會
  基輔，烏克蘭，2017年5月

• 編碼Kyiv Meetup的女性
  基輔，烏克蘭，2017年3月

#security #workshop #mobile #ssl

這個想法是分享一些有關製作更安全的應用程序的知識。我們談到了：

• 為什麼SSL還不夠
• 實施SSL固定的策略
• 如何理解常見移動客戶服務器基礎架構的基本風險和威脅
• 保護這些威脅的方法
• 什麼是對稱加密？為什麼我們需要它。在哪裡存儲數據和密鑰。
• 什麼是轉移加密？當我們需要時。

介紹：

• 快速阿爾卑斯山
  克蘭斯孟塔納（Crans-Montana），瑞士，2016年11月10日至11日

#security #keys #mobile #trust

我們將討論建立安全性，當應用程序密鑰暴露時不會失敗；當服務器被黑客入侵時；只要唯一用戶的加密鍵（或密碼）安全的安全性即可。將用戶知道的秘密成為信任的來源是應用程序與安全模型“稀疏”的最終方法，從而降低了風險和開發人員的痛苦。我們將了解薄透明的安全層系統及其在客戶端服務器系統中的適用性。

>>>在Realm（25m）上檢查成績單和視頻<<<

介紹：

• Mobiconf
  波蘭克拉科夫，2016年10月6日至8日

• nsbarcelona
  西班牙巴塞羅那，2016年9月21日

• NSSPAIN
  西班牙Logrono，2016年9月14日至15日

• 嘗試！迅速
  美國紐約市，2016年9月1日至2日

• 飲食
  哈科夫，烏克蘭，2016年8月18日

#TeamManagement #Development

每個人都在談論開發人員的專業化。 “知道你的利基”。現在，我們為每個開發區都有單獨的會議：移動，雲，大數據，物聯網。為了構建一個現代的乘法移動應用程序，您需要與單獨的iOS和Android開發團隊一起工作，單獨的後端開發團隊，設計師和經理。看起來不多？

我將談論另一種組織方式：多風險開發團隊，經驗和福利。

介紹：

• Agilepizza＃49聚會
  基輔，烏克蘭，2016年7月26日

• Uamobitech
  Dnipro，烏克蘭，2016年7月18日至19日

#security #trust #mobile #zkp #kdf

移動平台提供了新的威脅和系統安全的新機會。本演示文稿涉及現代方法：如何保護數據，哪些信任關係與手機出現，它們如何影響傳統的安全佈局。手機如何決定重要的客戶服務器關係。

但是，更重要的是，我們談論要使這些東西成為一致的系統：如何思考選擇正確的工具，哪些建築模式可以實現安全性並通過設計最大程度地降低風險。我們了解了回架的防禦，隔間和風險控制的想法。我們結束了了解現在的立場：在迅速變化的安全環境中，Mobile在其中的作用既危險又非常重要。

>>>在中等文章中閱讀更多<<<

介紹：

• Appbuilders 16
  瑞士蘇黎世，2016年4月25日至26日

• Cocoaheads Kyiv＃9
  基輔，烏克蘭，2016年6月

#TeamManagement #Development #Design #mobile

作為開發人員，當我需要將設計轉換為資產時，我不想感到沮喪。

我們將談論：

• 許多工具和如何節省時間的方法
• 如何與設計師交流，以及
• 如果可以自己更改設計

介紹：

• Itsubbota聚會
  基輔，烏克蘭，2016年5月

#security #trust #mobile #architecture

• 與服務器的通信：安全性，可靠性，易用性，選擇兩個
• 應用密碼學：您應該手動配置CommonCrypto還是...？
• 實際示例：保護網絡運輸而不破壞應用程序
• 存儲安全：如何防止任何人閱讀您的秘密聊​​天消息

>>>在中等文章中閱讀更多<<<

介紹：

• Cocoaheads Kyiv
  基輔，烏克蘭，2015年12月

• 可可餅
  明斯克，白俄羅斯，2015年12月

• 做{ios}
  荷蘭阿姆斯特丹，2015年11月

#security #mobile #architecture

• 明智的魚知道對安全性不足
• 與服務器的通信：安全性，可靠性，易用性，選擇兩個
• 應用密碼學：您應該手動配置CommonCrypto還是…？
• 網絡安全是PIRANHA的風險和實施中的荷蘭
• 實際示例：保護網絡運輸而無需破壞應用程序

介紹：

• 利維夫移動開發日
  烏克蘭利沃夫，2015年10月

#mobile #development #nlp

關於建立具有褻瀆文本過濾器的應用程序的短篇小說。

• 褻瀆過濾器：為什麼我們在移動中完全需要它們？
• 處理棘手的案例：“經典”一詞有什麼問題
• 如何快速過濾（字符串與集合）
• 溫和的過濾不要嚇use用戶

介紹：

• Itsubbota聚會
  基輔，烏克蘭，2015年9月

#security #mobile #usersdata #commoncrypto

• 我們為什麼要考慮安全。

• 如何保護用戶的數據。為什麼我們不應該存儲密碼。加密數據庫：有必要或懶得這樣做？

• 如何以安全的方式將數據傳輸到服務器。什麼是MITM攻擊？

• 什麼是密碼保護？為什麼快照和粘貼板很危險？

介紹：

• Webcamp
  烏克蘭敖德薩，2015年7月

#backend #mobile #parse #development

• 編寫客戶服務器移動應用需要多少個開發人員？有趣而簡單：與Parse.com建立一個新應用。
• 感覺足夠自信使用自己的服務器？檢查遷移問題。
• 自己的經驗：限制和最佳實踐

>>>在中等文章中閱讀更多<<<

介紹：

• Stanfy MadCode Meetup＃5
  基輔，烏克蘭，2015年4月

#TeamManagement #development #mobile

如果您覺得太懶惰，無法今天編寫代碼，那麼要做的事情要做。

介紹：

• Itsubbota聚會
  基輔，烏克蘭，2015年4月

#TeamManagement #development #backend #mobile

這項MadCode網絡研討會致力於移動和後端開發人員之間的有效互動，以找到與後者的生產溝通方式，而不是花時間尋找誰犯了錯誤，而是共同建造出色的產品。

>>>在中等文章中閱讀更多<<<

介紹：

• Stanfy MadCode Meetup＃1
  基輔，烏克蘭，2014年11月