SlideShare ist ein Scribd-Unternehmen logo

Вадим Дробинин. Защищаем себя и пользователей: руководство по безопасности

A
AvitoTech

Докладчик поднимет важную тему защиты пользовательских данных и непосредственно ресурсов приложений от внешних угроз, расскажет об основных проблемах, с которыми сталкиваются разработчики, обеспокоенные безопасностью своих приложений и покажет наиболее успешные способы защиты от атак на Swift

Technologie
1 von 26
Downloaden Sie, um offline zu lesen
@Valzevul Вадим Дробинин Защищаем себя и пользователей (руководство по безопасности для iOS)
@ValzevulЗащищаем себя и пользователей В двух словах • Что мы будем защищать? • Какие бывают атаки? • Примеры атак • Как проверить приложение? • Способы защиты • Что дальше? 2
@Valzevul Мобильные устройства — основной источник личных данных пользователей и мы не умеем их защищать
@ValzevulЗащищаем себя и пользователей Что мы будем защищать? 4 Стэк мобильной безопасности Уровень инфраструктуры • CDMA, GSM • GPS • SMS, MMS Уровень «железа» • Устройство • Прошивка Уровень ОС • Версия OS • Root-доступ Уровень приложений • ???
@ValzevulЗащищаем себя и пользователей Уровень приложений Transport Layer Security • NSURLConnection и NSURLSession требуют ATS • ATS требует TLS 1.2 и сертификаты • Приложения должны соответствовать * 5 Защита данных • Всё шифруется с помощью уникального ключа в 256 бит • Ключи «оборачиваются» в ключи классов • Класс = политика безопасности
@ValzevulЗащищаем себя и пользователей Уровень приложений Transport Layer Security 6 Защита данных С iOS9 сложно налажать в зашифрованной передаче данных Почти все файлы надежно зашифрованы на диске
@ValzevulЗащищаем себя и пользователей Какие бывают атаки? 7 TamperingRepudiation Information Disclosure Denial of Service Elevation of Privilege Spoofing
@ValzevulЗащищаем себя и пользователей Repudiation Какие бывают атаки? 8 Repudiation
 (атаки отказа) «Toll Fraud» Внедрение на стороне клиента Утерянный девайс Вредоносная программа
@ValzevulЗащищаем себя и пользователей Какие бывают атаки? 9 Spoofing
 (атаки подмены) Социальная инженерия Вредоносный QR-код Неправильная обработка сессий Непроверенные NFC-теги Слабая система авторизации Вредоносное приложение
@ValzevulЗащищаем себя и пользователей Какие бывают атаки? 10 Tampering
 (атаки искажения) Взлом мобильной сети Незащищенная Wi-Fi сеть Изменение локальных данных
@ValzevulЗащищаем себя и пользователей Какие бывают атаки? 11 Information Disclosure
 (атаки раскрытия) Взлом бэкенда Reverse Engineering приложения Утерянный девайс Вредоносная программа
@ValzevulЗащищаем себя и пользователей Какие бывают атаки? 12 Denial of Service (атаки обслуживания) Спам уведомлениями DDoS Падение приложения Излишнее использование API
@ValzevulЗащищаем себя и пользователей Какие бывают атаки? 13 Elevation of Privilege
 (атаки уровня доступа) Скомпромен- тированные credentials (1) Изъяны в аутентификации Выход из Sandbox Jailbreak / Rootkits Слабая система авторизации Скомпромен- тированные credentials (2)
@ValzevulЗащищаем себя и пользователей Примеры атак • Information Disclosure (1): • Бэкапы в iTunes не шифруются по-умолчанию • Вирус BackStab • Information Disclosure (2): • Никто не шифрует данные под PIN • Elcomsoft iOS Forensic Toolkit 14
@ValzevulЗащищаем себя и пользователей Примеры атак • Information Disclosure (3): • UIPasteboard (1Password, токены, URLы) • Кэш • Elevation of Privilege: • Ad-hoc → можно использовать Private APIs • Вирусы для EnPublic (CVE-2014-1276) 15
@ValzevulЗащищаем себя и пользователей Elevation of Privilege 16 github.com/valzevul/ElevationOfPrivilegeHack
@ValzevulЗащищаем себя и пользователей Как проверить приложение? • White-box vs. Black-box; • Личные данные (PII, personal or identifying information); • Penetration-тесты («пентесты»). 17
@ValzevulЗащищаем себя и пользователей PII • Логины, пароли, геолокация, адрес, связь с социальными сетями; • Имя девайса, имя сети, UDID; • Данные приложения, логи и cookies. 18
@ValzevulЗащищаем себя и пользователей Пентесты 19 Взаимодействие с сетью Проблемы с приватностью Reverse Engineering URL Schema (iOS Masque Attack) Анализ Runtime
@ValzevulЗащищаем себя и пользователей Пентесты • Окружение: • iDevice • Сеть • Jailbreak • Утилиты: • BigBoss Recommended Tools • OpenSSH • Clutch • Class-Dump • Cycript • Keychain dumper • … 20
@ValzevulЗащищаем себя и пользователей Как защитить приложение? • TLS и Certificate Pinning • Secure Networking by Apple • TrustKit • Шифрование • Шифруйте всё (атрибуты NSData и NSFileManager) • Используйте Keychain • Не используйте Preferences, Cookies, /Library и /Documents 21
@ValzevulЗащищаем себя и пользователей Как защитить приложение? • Запретите синхронизацию • NSURLIsExcludedFromBackupKey • Очищайте «скриншоты» • applicationDidEnterBackground → hidden • Не пишите в NSLog • Избегайте кэша клавиатуры • secureTextEntry • UITextAutocorrectionTypeNo 22
@ValzevulЗащищаем себя и пользователей Как защитить приложение? • Jailbreak-detection: • Проверьте наличие файлов MobileSubstrate.dylib, ssh, Cydia.app • Проверьте вызов fork() • Проверьте родителя через sysctl (если не запущен или это ядро, вас дебажат!) • Обфусцируйте код 23
@ValzevulЗащищаем себя и пользователей Что дальше? 24
@ValzevulЗащищаем себя и пользователей Что дальше? • Apple Pay: Inspect, Set Up, Promote (Vadim Drobinin, https://vk.cc/6iPXEe) • Usability vs. Security (Josiah Renaudin, https:// vk.cc/6j2i75) • Demystifying Apple 'Pie' & TouchID (Sebas Guerrero, https://vk.cc/6iPY3f) • iOS Headers, http://developer.limneos.net/ 25
vadim@drobinin.com Вопросы и хейт-мейлы @Valzevul Узнавайте в кальянных и на конференциях

Empfohlen

Защищаем себя и пользователей — Вадим Дробинин (iOS Security Guide by Vadim D...
Защищаем себя и пользователей — Вадим Дробинин (iOS Security Guide by Vadim D...Защищаем себя и пользователей — Вадим Дробинин (iOS Security Guide by Vadim D...
Защищаем себя и пользователей — Вадим Дробинин (iOS Security Guide by Vadim D...Vadim Drobinin
 
Самочувствие malware на iOS устройствах / Дмитрий Евдокимов (Didital Security)
Самочувствие malware на iOS устройствах / Дмитрий Евдокимов (Didital Security)Самочувствие malware на iOS устройствах / Дмитрий Евдокимов (Didital Security)
Самочувствие malware на iOS устройствах / Дмитрий Евдокимов (Didital Security)Ontico
 
#MBLTdev: Безопасность iOS-устройств (viaForensics)
#MBLTdev: Безопасность iOS-устройств (viaForensics)#MBLTdev: Безопасность iOS-устройств (viaForensics)
#MBLTdev: Безопасность iOS-устройств (viaForensics)e-Legion
 
Борьба с целенаправленными угрозами: взгляд Cisco
Борьба с целенаправленными угрозами: взгляд Cisco Борьба с целенаправленными угрозами: взгляд Cisco
Борьба с целенаправленными угрозами: взгляд Cisco Cisco Russia
 
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Expolink
 
Лаборатория Касперского. Алексей Киселев. "Современные DDoS-атаки - в чем опа...
Лаборатория Касперского. Алексей Киселев. "Современные DDoS-атаки - в чем опа...Лаборатория Касперского. Алексей Киселев. "Современные DDoS-атаки - в чем опа...
Лаборатория Касперского. Алексей Киселев. "Современные DDoS-атаки - в чем опа...Expolink
 
Cisco Talos. Эксперты по безопасности, которые защитят вас.
Cisco Talos. Эксперты по безопасности, которые защитят вас.Cisco Talos. Эксперты по безопасности, которые защитят вас.
Cisco Talos. Эксперты по безопасности, которые защитят вас.Cisco Russia
 
Доктор Веб. Дарья Степанова: "Переход на Dr.Web: актуальность, ваши выгоды и ...
Доктор Веб. Дарья Степанова: "Переход на Dr.Web: актуальность, ваши выгоды и ...Доктор Веб. Дарья Степанова: "Переход на Dr.Web: актуальность, ваши выгоды и ...
Доктор Веб. Дарья Степанова: "Переход на Dr.Web: актуальность, ваши выгоды и ...Expolink
 

Empfohlen

Защищаем себя и пользователей — Вадим Дробинин (iOS Security Guide by Vadim D...
Защищаем себя и пользователей — Вадим Дробинин (iOS Security Guide by Vadim D...Защищаем себя и пользователей — Вадим Дробинин (iOS Security Guide by Vadim D...
Защищаем себя и пользователей — Вадим Дробинин (iOS Security Guide by Vadim D...Vadim Drobinin
 
Самочувствие malware на iOS устройствах / Дмитрий Евдокимов (Didital Security)
Самочувствие malware на iOS устройствах / Дмитрий Евдокимов (Didital Security)Самочувствие malware на iOS устройствах / Дмитрий Евдокимов (Didital Security)
Самочувствие malware на iOS устройствах / Дмитрий Евдокимов (Didital Security)Ontico
 
#MBLTdev: Безопасность iOS-устройств (viaForensics)
#MBLTdev: Безопасность iOS-устройств (viaForensics)#MBLTdev: Безопасность iOS-устройств (viaForensics)
#MBLTdev: Безопасность iOS-устройств (viaForensics)e-Legion
 
Борьба с целенаправленными угрозами: взгляд Cisco
Борьба с целенаправленными угрозами: взгляд Cisco Борьба с целенаправленными угрозами: взгляд Cisco
Борьба с целенаправленными угрозами: взгляд Cisco Cisco Russia
 
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Expolink
 
Лаборатория Касперского. Алексей Киселев. "Современные DDoS-атаки - в чем опа...
Лаборатория Касперского. Алексей Киселев. "Современные DDoS-атаки - в чем опа...Лаборатория Касперского. Алексей Киселев. "Современные DDoS-атаки - в чем опа...
Лаборатория Касперского. Алексей Киселев. "Современные DDoS-атаки - в чем опа...Expolink
 
Cisco Talos. Эксперты по безопасности, которые защитят вас.
Cisco Talos. Эксперты по безопасности, которые защитят вас.Cisco Talos. Эксперты по безопасности, которые защитят вас.
Cisco Talos. Эксперты по безопасности, которые защитят вас.Cisco Russia
 
Доктор Веб. Дарья Степанова: "Переход на Dr.Web: актуальность, ваши выгоды и ...
Доктор Веб. Дарья Степанова: "Переход на Dr.Web: актуальность, ваши выгоды и ...Доктор Веб. Дарья Степанова: "Переход на Dr.Web: актуальность, ваши выгоды и ...
Доктор Веб. Дарья Степанова: "Переход на Dr.Web: актуальность, ваши выгоды и ...Expolink
 
CWS_20082014_Дарья_Коваленко
CWS_20082014_Дарья_КоваленкоCWS_20082014_Дарья_Коваленко
CWS_20082014_Дарья_КоваленкоDaria Kovalenko
 
Свой или чужой?
Свой или чужой? Свой или чужой?
Свой или чужой? Positive Hack Days
 
Целенаправленные угрозы
Целенаправленные угрозыЦеленаправленные угрозы
Целенаправленные угрозыAleksey Lukatskiy
 
Доктор Веб. Дмитрий Иванов. "Как избавиться от шифровальщиков"
Доктор Веб. Дмитрий Иванов. "Как избавиться от шифровальщиков"Доктор Веб. Дмитрий Иванов. "Как избавиться от шифровальщиков"
Доктор Веб. Дмитрий Иванов. "Как избавиться от шифровальщиков"Expolink
 
FireEye - защита от APT и Zero Day атак
FireEye - защита от APT и Zero Day атакFireEye - защита от APT и Zero Day атак
FireEye - защита от APT и Zero Day атакArtem Tarashkevych
 
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Expolink
 
Microsoft. Андрей Иванов. "Удивительное рядом - безопасность из облака"
Microsoft. Андрей Иванов. "Удивительное рядом - безопасность из облака"Microsoft. Андрей Иванов. "Удивительное рядом - безопасность из облака"
Microsoft. Андрей Иванов. "Удивительное рядом - безопасность из облака"Expolink
 
Кортунов Никита. Как ускорить разработку приложений или есть ли жизнь после P...
Кортунов Никита. Как ускорить разработку приложений или есть ли жизнь после P...Кортунов Никита. Как ускорить разработку приложений или есть ли жизнь после P...
Кортунов Никита. Как ускорить разработку приложений или есть ли жизнь после P...AvitoTech
 
Андрей Юткин. Media Picker — to infinity and beyond
Андрей Юткин. Media Picker — to infinity and beyondАндрей Юткин. Media Picker — to infinity and beyond
Андрей Юткин. Media Picker — to infinity and beyondAvitoTech
 
TechLeads meetup: Евгений Потапов, ITSumma
TechLeads meetup: Евгений Потапов, ITSumma TechLeads meetup: Евгений Потапов, ITSumma
TechLeads meetup: Евгений Потапов, ITSumma Badoo Development
 
TechLeads meetup: Алексей Рыбак, Badoo
TechLeads meetup: Алексей Рыбак, BadooTechLeads meetup: Алексей Рыбак, Badoo
TechLeads meetup: Алексей Рыбак, BadooBadoo Development
 
TechLeads meetup: Андрей Шелёхин, Tinkoff.ru
TechLeads meetup: Андрей Шелёхин, Tinkoff.ruTechLeads meetup: Андрей Шелёхин, Tinkoff.ru
TechLeads meetup: Андрей Шелёхин, Tinkoff.ruBadoo Development
 
TechLeads meetup: Макс Лапшин, Erlyvideo
TechLeads meetup: Макс Лапшин, ErlyvideoTechLeads meetup: Макс Лапшин, Erlyvideo
TechLeads meetup: Макс Лапшин, ErlyvideoBadoo Development
 
«Как 200 строк на Go помогли нам освободить 15 серверов» – Паша Мурзаков (Badoo)
«Как 200 строк на Go помогли нам освободить 15 серверов» – Паша Мурзаков (Badoo)«Как 200 строк на Go помогли нам освободить 15 серверов» – Паша Мурзаков (Badoo)
«Как 200 строк на Go помогли нам освободить 15 серверов» – Паша Мурзаков (Badoo)AvitoTech
 
Golang в avito
Golang в avitoGolang в avito
Golang в avitoAvitoTech
 
«Миллион открытых каналов с данными по сети» – Илья Биин (Zenhotels)
«Миллион открытых каналов с данными по сети» – Илья Биин (Zenhotels)«Миллион открытых каналов с данными по сети» – Илья Биин (Zenhotels)
«Миллион открытых каналов с данными по сети» – Илья Биин (Zenhotels)AvitoTech
 
Нейронечёткая классификация слабо формализуемых данных | Тимур Гильмуллин
Нейронечёткая классификация слабо формализуемых данных | Тимур ГильмуллинНейронечёткая классификация слабо формализуемых данных | Тимур Гильмуллин
Нейронечёткая классификация слабо формализуемых данных | Тимур ГильмуллинPositive Hack Days
 
Usability vs. Security: Find the Right Balance in Mobile Apps
Usability vs. Security: Find the Right Balance in Mobile AppsUsability vs. Security: Find the Right Balance in Mobile Apps
Usability vs. Security: Find the Right Balance in Mobile AppsJosiah Renaudin
 
Demystifying Apple 'Pie' & TouchID
Demystifying Apple 'Pie' & TouchIDDemystifying Apple 'Pie' & TouchID
Demystifying Apple 'Pie' & TouchIDSebastián Guerrero Selma
 
How to Lean
How to LeanHow to Lean
How to LeanJake Causby
 
Юзабилити и функциональность ДБО2017
Юзабилити и функциональность ДБО2017Юзабилити и функциональность ДБО2017
Юзабилити и функциональность ДБО2017Дмитрий Силаев
 
UX STRAT USA: Jon Ashley and Matt Wakeman, "Decision-Making Frameworks for Om...
UX STRAT USA: Jon Ashley and Matt Wakeman, "Decision-Making Frameworks for Om...UX STRAT USA: Jon Ashley and Matt Wakeman, "Decision-Making Frameworks for Om...
UX STRAT USA: Jon Ashley and Matt Wakeman, "Decision-Making Frameworks for Om...UX STRAT
 

Weitere ähnliche Inhalte

Was ist angesagt?

CWS_20082014_Дарья_Коваленко
CWS_20082014_Дарья_КоваленкоCWS_20082014_Дарья_Коваленко
CWS_20082014_Дарья_КоваленкоDaria Kovalenko
 
Целенаправленные угрозы
Целенаправленные угрозыЦеленаправленные угрозы
Целенаправленные угрозыAleksey Lukatskiy
 
Доктор Веб. Дмитрий Иванов. "Как избавиться от шифровальщиков"
Доктор Веб. Дмитрий Иванов. "Как избавиться от шифровальщиков"Доктор Веб. Дмитрий Иванов. "Как избавиться от шифровальщиков"
Доктор Веб. Дмитрий Иванов. "Как избавиться от шифровальщиков"Expolink
 
FireEye - защита от APT и Zero Day атак
FireEye - защита от APT и Zero Day атакFireEye - защита от APT и Zero Day атак
FireEye - защита от APT и Zero Day атакArtem Tarashkevych
 
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Expolink
 
Microsoft. Андрей Иванов. "Удивительное рядом - безопасность из облака"
Microsoft. Андрей Иванов. "Удивительное рядом - безопасность из облака"Microsoft. Андрей Иванов. "Удивительное рядом - безопасность из облака"
Microsoft. Андрей Иванов. "Удивительное рядом - безопасность из облака"Expolink
 

Was ist angesagt? (7)

CWS_20082014_Дарья_Коваленко
CWS_20082014_Дарья_КоваленкоCWS_20082014_Дарья_Коваленко
CWS_20082014_Дарья_Коваленко
 
Свой или чужой?
Свой или чужой? Свой или чужой?
Свой или чужой?
 
Целенаправленные угрозы
Целенаправленные угрозыЦеленаправленные угрозы
Целенаправленные угрозы
 
Доктор Веб. Дмитрий Иванов. "Как избавиться от шифровальщиков"
Доктор Веб. Дмитрий Иванов. "Как избавиться от шифровальщиков"Доктор Веб. Дмитрий Иванов. "Как избавиться от шифровальщиков"
Доктор Веб. Дмитрий Иванов. "Как избавиться от шифровальщиков"
 
FireEye - защита от APT и Zero Day атак
FireEye - защита от APT и Zero Day атакFireEye - защита от APT и Zero Day атак
FireEye - защита от APT и Zero Day атак
 
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"
 
Microsoft. Андрей Иванов. "Удивительное рядом - безопасность из облака"
Microsoft. Андрей Иванов. "Удивительное рядом - безопасность из облака"Microsoft. Андрей Иванов. "Удивительное рядом - безопасность из облака"
Microsoft. Андрей Иванов. "Удивительное рядом - безопасность из облака"
 

Andere mochten auch

Кортунов Никита. Как ускорить разработку приложений или есть ли жизнь после P...
Кортунов Никита. Как ускорить разработку приложений или есть ли жизнь после P...Кортунов Никита. Как ускорить разработку приложений или есть ли жизнь после P...
Кортунов Никита. Как ускорить разработку приложений или есть ли жизнь после P...AvitoTech
 
Андрей Юткин. Media Picker — to infinity and beyond
Андрей Юткин. Media Picker — to infinity and beyondАндрей Юткин. Media Picker — to infinity and beyond
Андрей Юткин. Media Picker — to infinity and beyondAvitoTech
 
TechLeads meetup: Евгений Потапов, ITSumma
TechLeads meetup: Евгений Потапов, ITSumma TechLeads meetup: Евгений Потапов, ITSumma
TechLeads meetup: Евгений Потапов, ITSumma Badoo Development
 
TechLeads meetup: Алексей Рыбак, Badoo
TechLeads meetup: Алексей Рыбак, BadooTechLeads meetup: Алексей Рыбак, Badoo
TechLeads meetup: Алексей Рыбак, BadooBadoo Development
 
TechLeads meetup: Андрей Шелёхин, Tinkoff.ru
TechLeads meetup: Андрей Шелёхин, Tinkoff.ruTechLeads meetup: Андрей Шелёхин, Tinkoff.ru
TechLeads meetup: Андрей Шелёхин, Tinkoff.ruBadoo Development
 
TechLeads meetup: Макс Лапшин, Erlyvideo
TechLeads meetup: Макс Лапшин, ErlyvideoTechLeads meetup: Макс Лапшин, Erlyvideo
TechLeads meetup: Макс Лапшин, ErlyvideoBadoo Development
 
«Как 200 строк на Go помогли нам освободить 15 серверов» – Паша Мурзаков (Badoo)
«Как 200 строк на Go помогли нам освободить 15 серверов» – Паша Мурзаков (Badoo)«Как 200 строк на Go помогли нам освободить 15 серверов» – Паша Мурзаков (Badoo)
«Как 200 строк на Go помогли нам освободить 15 серверов» – Паша Мурзаков (Badoo)AvitoTech
 
Golang в avito
Golang в avitoGolang в avito
Golang в avitoAvitoTech
 
«Миллион открытых каналов с данными по сети» – Илья Биин (Zenhotels)
«Миллион открытых каналов с данными по сети» – Илья Биин (Zenhotels)«Миллион открытых каналов с данными по сети» – Илья Биин (Zenhotels)
«Миллион открытых каналов с данными по сети» – Илья Биин (Zenhotels)AvitoTech
 
Нейронечёткая классификация слабо формализуемых данных | Тимур Гильмуллин
Нейронечёткая классификация слабо формализуемых данных | Тимур ГильмуллинНейронечёткая классификация слабо формализуемых данных | Тимур Гильмуллин
Нейронечёткая классификация слабо формализуемых данных | Тимур ГильмуллинPositive Hack Days
 
Usability vs. Security: Find the Right Balance in Mobile Apps
Usability vs. Security: Find the Right Balance in Mobile AppsUsability vs. Security: Find the Right Balance in Mobile Apps
Usability vs. Security: Find the Right Balance in Mobile AppsJosiah Renaudin
 
Юзабилити и функциональность ДБО2017
Юзабилити и функциональность ДБО2017Юзабилити и функциональность ДБО2017
Юзабилити и функциональность ДБО2017Дмитрий Силаев
 
UX STRAT USA: Jon Ashley and Matt Wakeman, "Decision-Making Frameworks for Om...
UX STRAT USA: Jon Ashley and Matt Wakeman, "Decision-Making Frameworks for Om...UX STRAT USA: Jon Ashley and Matt Wakeman, "Decision-Making Frameworks for Om...
UX STRAT USA: Jon Ashley and Matt Wakeman, "Decision-Making Frameworks for Om...UX STRAT
 
UX STRAT USA: Shikha Desai, "Using Design Jams to Guide Microsoft's Office Su...
UX STRAT USA: Shikha Desai, "Using Design Jams to Guide Microsoft's Office Su...UX STRAT USA: Shikha Desai, "Using Design Jams to Guide Microsoft's Office Su...
UX STRAT USA: Shikha Desai, "Using Design Jams to Guide Microsoft's Office Su...UX STRAT
 
UX STRAT Europe, Michael Thompson, “Bridging the UX-Business Gap: A Framework...
UX STRAT Europe, Michael Thompson, “Bridging the UX-Business Gap: A Framework...UX STRAT Europe, Michael Thompson, “Bridging the UX-Business Gap: A Framework...
UX STRAT Europe, Michael Thompson, “Bridging the UX-Business Gap: A Framework...UX STRAT
 
UX STRAT Europe, Michel Jansen, “Using UX Strategy to Move Aegon Toward Custo...
UX STRAT Europe, Michel Jansen, “Using UX Strategy to Move Aegon Toward Custo...UX STRAT Europe, Michel Jansen, “Using UX Strategy to Move Aegon Toward Custo...
UX STRAT Europe, Michel Jansen, “Using UX Strategy to Move Aegon Toward Custo...UX STRAT
 
UX STRAT Europe, Kees Moens, “Haarlem Oil: UX Strategy at ING”
UX STRAT Europe, Kees Moens, “Haarlem Oil: UX Strategy at ING”UX STRAT Europe, Kees Moens, “Haarlem Oil: UX Strategy at ING”
UX STRAT Europe, Kees Moens, “Haarlem Oil: UX Strategy at ING”UX STRAT
 
UX STRAT USA: Beverly May, "Moving Your Team From Good To Great UX"
UX STRAT USA: Beverly May, "Moving Your Team From Good To Great UX"UX STRAT USA: Beverly May, "Moving Your Team From Good To Great UX"
UX STRAT USA: Beverly May, "Moving Your Team From Good To Great UX"UX STRAT
 

Andere mochten auch (20)

Кортунов Никита. Как ускорить разработку приложений или есть ли жизнь после P...
Кортунов Никита. Как ускорить разработку приложений или есть ли жизнь после P...Кортунов Никита. Как ускорить разработку приложений или есть ли жизнь после P...
Кортунов Никита. Как ускорить разработку приложений или есть ли жизнь после P...
 
Андрей Юткин. Media Picker — to infinity and beyond
Андрей Юткин. Media Picker — to infinity and beyondАндрей Юткин. Media Picker — to infinity and beyond
Андрей Юткин. Media Picker — to infinity and beyond
 
TechLeads meetup: Евгений Потапов, ITSumma
TechLeads meetup: Евгений Потапов, ITSumma TechLeads meetup: Евгений Потапов, ITSumma
TechLeads meetup: Евгений Потапов, ITSumma
 
TechLeads meetup: Алексей Рыбак, Badoo
TechLeads meetup: Алексей Рыбак, BadooTechLeads meetup: Алексей Рыбак, Badoo
TechLeads meetup: Алексей Рыбак, Badoo
 
TechLeads meetup: Андрей Шелёхин, Tinkoff.ru
TechLeads meetup: Андрей Шелёхин, Tinkoff.ruTechLeads meetup: Андрей Шелёхин, Tinkoff.ru
TechLeads meetup: Андрей Шелёхин, Tinkoff.ru
 
TechLeads meetup: Макс Лапшин, Erlyvideo
TechLeads meetup: Макс Лапшин, ErlyvideoTechLeads meetup: Макс Лапшин, Erlyvideo
TechLeads meetup: Макс Лапшин, Erlyvideo
 
«Как 200 строк на Go помогли нам освободить 15 серверов» – Паша Мурзаков (Badoo)
«Как 200 строк на Go помогли нам освободить 15 серверов» – Паша Мурзаков (Badoo)«Как 200 строк на Go помогли нам освободить 15 серверов» – Паша Мурзаков (Badoo)
«Как 200 строк на Go помогли нам освободить 15 серверов» – Паша Мурзаков (Badoo)
 
Golang в avito
Golang в avitoGolang в avito
Golang в avito
 
«Миллион открытых каналов с данными по сети» – Илья Биин (Zenhotels)
«Миллион открытых каналов с данными по сети» – Илья Биин (Zenhotels)«Миллион открытых каналов с данными по сети» – Илья Биин (Zenhotels)
«Миллион открытых каналов с данными по сети» – Илья Биин (Zenhotels)
 
Нейронечёткая классификация слабо формализуемых данных | Тимур Гильмуллин
Нейронечёткая классификация слабо формализуемых данных | Тимур ГильмуллинНейронечёткая классификация слабо формализуемых данных | Тимур Гильмуллин
Нейронечёткая классификация слабо формализуемых данных | Тимур Гильмуллин
 
Usability vs. Security: Find the Right Balance in Mobile Apps
Usability vs. Security: Find the Right Balance in Mobile AppsUsability vs. Security: Find the Right Balance in Mobile Apps
Usability vs. Security: Find the Right Balance in Mobile Apps
 
Demystifying Apple 'Pie' & TouchID
Demystifying Apple 'Pie' & TouchIDDemystifying Apple 'Pie' & TouchID
Demystifying Apple 'Pie' & TouchID
 
How to Lean
How to LeanHow to Lean
How to Lean
 
Юзабилити и функциональность ДБО2017
Юзабилити и функциональность ДБО2017Юзабилити и функциональность ДБО2017
Юзабилити и функциональность ДБО2017
 
UX STRAT USA: Jon Ashley and Matt Wakeman, "Decision-Making Frameworks for Om...
UX STRAT USA: Jon Ashley and Matt Wakeman, "Decision-Making Frameworks for Om...UX STRAT USA: Jon Ashley and Matt Wakeman, "Decision-Making Frameworks for Om...
UX STRAT USA: Jon Ashley and Matt Wakeman, "Decision-Making Frameworks for Om...
 
UX STRAT USA: Shikha Desai, "Using Design Jams to Guide Microsoft's Office Su...
UX STRAT USA: Shikha Desai, "Using Design Jams to Guide Microsoft's Office Su...UX STRAT USA: Shikha Desai, "Using Design Jams to Guide Microsoft's Office Su...
UX STRAT USA: Shikha Desai, "Using Design Jams to Guide Microsoft's Office Su...
 
UX STRAT Europe, Michael Thompson, “Bridging the UX-Business Gap: A Framework...
UX STRAT Europe, Michael Thompson, “Bridging the UX-Business Gap: A Framework...UX STRAT Europe, Michael Thompson, “Bridging the UX-Business Gap: A Framework...
UX STRAT Europe, Michael Thompson, “Bridging the UX-Business Gap: A Framework...
 
UX STRAT Europe, Michel Jansen, “Using UX Strategy to Move Aegon Toward Custo...
UX STRAT Europe, Michel Jansen, “Using UX Strategy to Move Aegon Toward Custo...UX STRAT Europe, Michel Jansen, “Using UX Strategy to Move Aegon Toward Custo...
UX STRAT Europe, Michel Jansen, “Using UX Strategy to Move Aegon Toward Custo...
 
UX STRAT Europe, Kees Moens, “Haarlem Oil: UX Strategy at ING”
UX STRAT Europe, Kees Moens, “Haarlem Oil: UX Strategy at ING”UX STRAT Europe, Kees Moens, “Haarlem Oil: UX Strategy at ING”
UX STRAT Europe, Kees Moens, “Haarlem Oil: UX Strategy at ING”
 
UX STRAT USA: Beverly May, "Moving Your Team From Good To Great UX"
UX STRAT USA: Beverly May, "Moving Your Team From Good To Great UX"UX STRAT USA: Beverly May, "Moving Your Team From Good To Great UX"
UX STRAT USA: Beverly May, "Moving Your Team From Good To Great UX"
 

Ähnlich wie Вадим Дробинин. Защищаем себя и пользователей: руководство по безопасности

Безопасные связи, Дмитрий Евдокимов
Безопасные связи, Дмитрий ЕвдокимовБезопасные связи, Дмитрий Евдокимов
Безопасные связи, Дмитрий ЕвдокимовYandex
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Aleksey Lukatskiy
 
Доктор Веб. Вячслав Медведев: "Антивирусная безопасность. Типичные ошибки"
Доктор Веб. Вячслав Медведев: "Антивирусная безопасность. Типичные ошибки"Доктор Веб. Вячслав Медведев: "Антивирусная безопасность. Типичные ошибки"
Доктор Веб. Вячслав Медведев: "Антивирусная безопасность. Типичные ошибки"Expolink
 
Безопасность каждого шага Вашего мобильного бизнеса
Безопасность каждого шага Вашего мобильного бизнесаБезопасность каждого шага Вашего мобильного бизнеса
Безопасность каждого шага Вашего мобильного бизнесаКРОК
 
Юрий Леонычев «Безопасность мобильных приложений для Android. Теория и практика»
Юрий Леонычев «Безопасность мобильных приложений для Android. Теория и практика»Юрий Леонычев «Безопасность мобильных приложений для Android. Теория и практика»
Юрий Леонычев «Безопасность мобильных приложений для Android. Теория и практика»Yandex
 
Информационная безопасность и web-приложения
Информационная безопасность и web-приложенияИнформационная безопасность и web-приложения
Информационная безопасность и web-приложенияMaxim Krentovskiy
 
Cisco TALOS – интеллектуальная платформа для анализа угроз
Cisco TALOS – интеллектуальная платформа для анализа угрозCisco TALOS – интеллектуальная платформа для анализа угроз
Cisco TALOS – интеллектуальная платформа для анализа угрозCisco Russia
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceAleksey Lukatskiy
 
Cisco AMP: платформа для борьбы с вредоносным кодом
Cisco AMP: платформа для борьбы с вредоносным кодомCisco AMP: платформа для борьбы с вредоносным кодом
Cisco AMP: платформа для борьбы с вредоносным кодомCisco Russia
 
Опасная сериализация / Иван Юшкевич (Digital Security)
Опасная сериализация / Иван Юшкевич (Digital Security)Опасная сериализация / Иван Юшкевич (Digital Security)
Опасная сериализация / Иван Юшкевич (Digital Security)Ontico
 
Доктор Веб - Почему при наличии антивируса компании несут убытки от вирусных ...
Доктор Веб - Почему при наличии антивируса компании несут убытки от вирусных ...Доктор Веб - Почему при наличии антивируса компании несут убытки от вирусных ...
Доктор Веб - Почему при наличии антивируса компании несут убытки от вирусных ...Expolink
 
Доктор Веб - Почему при наличии антивируса компании несут убытки от вирусных ...
Доктор Веб - Почему при наличии антивируса компании несут убытки от вирусных ...Доктор Веб - Почему при наличии антивируса компании несут убытки от вирусных ...
Доктор Веб - Почему при наличии антивируса компании несут убытки от вирусных ...Expolink
 
Дмитрий Евдокимов
Дмитрий ЕвдокимовДмитрий Евдокимов
Дмитрий ЕвдокимовCodeFest
 
Защита данных безнеса с помощью шифрования
Защита данных безнеса с помощью шифрованияЗащита данных безнеса с помощью шифрования
Защита данных безнеса с помощью шифрованияVladyslav Radetsky
 
Обеспечение безопасности активов современного бизнеса с помощью криптографии
Обеспечение безопасности активов современного бизнеса с помощью криптографии Обеспечение безопасности активов современного бизнеса с помощью криптографии
Обеспечение безопасности активов современного бизнеса с помощью криптографии BAKOTECH
 
ВЕБИНАР: Риски утечки конфиденциальных данных клиентов. Какие мы ошибки допу...
ВЕБИНАР: Риски утечки конфиденциальных данных клиентов. Какие мы ошибки допу... ВЕБИНАР: Риски утечки конфиденциальных данных клиентов. Какие мы ошибки допу...
ВЕБИНАР: Риски утечки конфиденциальных данных клиентов. Какие мы ошибки допу...sharbachou
 
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещениеЭкспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещениеAleksey Lukatskiy
 
Правила_кибер_гигиены.pdf
Правила_кибер_гигиены.pdfПравила_кибер_гигиены.pdf
Правила_кибер_гигиены.pdfMykhailo Antonishyn
 

Ähnlich wie Вадим Дробинин. Защищаем себя и пользователей: руководство по безопасности (20)

Безопасные связи, Дмитрий Евдокимов
Безопасные связи, Дмитрий ЕвдокимовБезопасные связи, Дмитрий Евдокимов
Безопасные связи, Дмитрий Евдокимов
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
 
Bitdefender io t_pta_2017
Bitdefender io t_pta_2017Bitdefender io t_pta_2017
Bitdefender io t_pta_2017
 
Доктор Веб. Вячслав Медведев: "Антивирусная безопасность. Типичные ошибки"
Доктор Веб. Вячслав Медведев: "Антивирусная безопасность. Типичные ошибки"Доктор Веб. Вячслав Медведев: "Антивирусная безопасность. Типичные ошибки"
Доктор Веб. Вячслав Медведев: "Антивирусная безопасность. Типичные ошибки"
 
Безопасность каждого шага Вашего мобильного бизнеса
Безопасность каждого шага Вашего мобильного бизнесаБезопасность каждого шага Вашего мобильного бизнеса
Безопасность каждого шага Вашего мобильного бизнеса
 
Юрий Леонычев «Безопасность мобильных приложений для Android. Теория и практика»
Юрий Леонычев «Безопасность мобильных приложений для Android. Теория и практика»Юрий Леонычев «Безопасность мобильных приложений для Android. Теория и практика»
Юрий Леонычев «Безопасность мобильных приложений для Android. Теория и практика»
 
Информационная безопасность и web-приложения
Информационная безопасность и web-приложенияИнформационная безопасность и web-приложения
Информационная безопасность и web-приложения
 
Cisco TALOS – интеллектуальная платформа для анализа угроз
Cisco TALOS – интеллектуальная платформа для анализа угрозCisco TALOS – интеллектуальная платформа для анализа угроз
Cisco TALOS – интеллектуальная платформа для анализа угроз
 
Secure development
Secure developmentSecure development
Secure development
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
 
Cisco AMP: платформа для борьбы с вредоносным кодом
Cisco AMP: платформа для борьбы с вредоносным кодомCisco AMP: платформа для борьбы с вредоносным кодом
Cisco AMP: платформа для борьбы с вредоносным кодом
 
Опасная сериализация / Иван Юшкевич (Digital Security)
Опасная сериализация / Иван Юшкевич (Digital Security)Опасная сериализация / Иван Юшкевич (Digital Security)
Опасная сериализация / Иван Юшкевич (Digital Security)
 
Доктор Веб - Почему при наличии антивируса компании несут убытки от вирусных ...
Доктор Веб - Почему при наличии антивируса компании несут убытки от вирусных ...Доктор Веб - Почему при наличии антивируса компании несут убытки от вирусных ...
Доктор Веб - Почему при наличии антивируса компании несут убытки от вирусных ...
 
Доктор Веб - Почему при наличии антивируса компании несут убытки от вирусных ...
Доктор Веб - Почему при наличии антивируса компании несут убытки от вирусных ...Доктор Веб - Почему при наличии антивируса компании несут убытки от вирусных ...
Доктор Веб - Почему при наличии антивируса компании несут убытки от вирусных ...
 
Дмитрий Евдокимов
Дмитрий ЕвдокимовДмитрий Евдокимов
Дмитрий Евдокимов
 
Защита данных безнеса с помощью шифрования
Защита данных безнеса с помощью шифрованияЗащита данных безнеса с помощью шифрования
Защита данных безнеса с помощью шифрования
 
Обеспечение безопасности активов современного бизнеса с помощью криптографии
Обеспечение безопасности активов современного бизнеса с помощью криптографии Обеспечение безопасности активов современного бизнеса с помощью криптографии
Обеспечение безопасности активов современного бизнеса с помощью криптографии
 
ВЕБИНАР: Риски утечки конфиденциальных данных клиентов. Какие мы ошибки допу...
ВЕБИНАР: Риски утечки конфиденциальных данных клиентов. Какие мы ошибки допу... ВЕБИНАР: Риски утечки конфиденциальных данных клиентов. Какие мы ошибки допу...
ВЕБИНАР: Риски утечки конфиденциальных данных клиентов. Какие мы ошибки допу...
 
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещениеЭкспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
 
Правила_кибер_гигиены.pdf
Правила_кибер_гигиены.pdfПравила_кибер_гигиены.pdf
Правила_кибер_гигиены.pdf
 

Mehr von AvitoTech

Сегментация изображений на острие науки (Евгений Нижибицкий, Rambler&Co)
Сегментация изображений на острие науки (Евгений Нижибицкий, Rambler&Co)Сегментация изображений на острие науки (Евгений Нижибицкий, Rambler&Co)
Сегментация изображений на острие науки (Евгений Нижибицкий, Rambler&Co)AvitoTech
 
Применение компьютерного зрения для анализа спортивных соревнований (Николай ...
Применение компьютерного зрения для анализа спортивных соревнований (Николай ...Применение компьютерного зрения для анализа спортивных соревнований (Николай ...
Применение компьютерного зрения для анализа спортивных соревнований (Николай ...AvitoTech
 
Распознавание лиц с помощью глубоких нейронных сетей (Сергей Миляев, VisionLabs)
Распознавание лиц с помощью глубоких нейронных сетей (Сергей Миляев, VisionLabs)Распознавание лиц с помощью глубоких нейронных сетей (Сергей Миляев, VisionLabs)
Распознавание лиц с помощью глубоких нейронных сетей (Сергей Миляев, VisionLabs)AvitoTech
 
AvitoNet: сервис компьютерного зрения в Avito (Артур Кузин, Avito)
AvitoNet: сервис компьютерного зрения в Avito (Артур Кузин, Avito)AvitoNet: сервис компьютерного зрения в Avito (Артур Кузин, Avito)
AvitoNet: сервис компьютерного зрения в Avito (Артур Кузин, Avito)AvitoTech
 
Yandex Tank - Арсений Фомченко
Yandex Tank - Арсений ФомченкоYandex Tank - Арсений Фомченко
Yandex Tank - Арсений ФомченкоAvitoTech
 
Migro - Юрий Богомолов
Migro - Юрий БогомоловMigro - Юрий Богомолов
Migro - Юрий БогомоловAvitoTech
 
TableKit - Максим Соколов
TableKit - Максим СоколовTableKit - Максим Соколов
TableKit - Максим СоколовAvitoTech
 
Jsonwire Grid - Михаил Подцерковский (Avito)
Jsonwire Grid - Михаил Подцерковский (Avito)Jsonwire Grid - Михаил Подцерковский (Avito)
Jsonwire Grid - Михаил Подцерковский (Avito)AvitoTech
 
SimplePEG - Алексей Охрименко
SimplePEG - Алексей ОхрименкоSimplePEG - Алексей Охрименко
SimplePEG - Алексей ОхрименкоAvitoTech
 
Как перестать бояться и начать контрибьютить - Алексей Кудрявцев
Как перестать бояться и начать контрибьютить - Алексей Кудрявцев Как перестать бояться и начать контрибьютить - Алексей Кудрявцев
Как перестать бояться и начать контрибьютить - Алексей КудрявцевAvitoTech
 
"Анонимизация фото с помощью Vision", Хомутников Тимофей, Avito
"Анонимизация фото с помощью Vision", Хомутников Тимофей, Avito"Анонимизация фото с помощью Vision", Хомутников Тимофей, Avito
"Анонимизация фото с помощью Vision", Хомутников Тимофей, AvitoAvitoTech
 
“iOS 11 в App in the Air”, Пронин Сергей, App in the Air
“iOS 11 в App in the Air”, Пронин Сергей, App in the Air“iOS 11 в App in the Air”, Пронин Сергей, App in the Air
“iOS 11 в App in the Air”, Пронин Сергей, App in the AirAvitoTech
 
"ARKit в приложении Афиша Рестораны”, Меджлумян Самвел, Антышев Дмитрий, Ramb...
"ARKit в приложении Афиша Рестораны”, Меджлумян Самвел, Антышев Дмитрий, Ramb..."ARKit в приложении Афиша Рестораны”, Меджлумян Самвел, Антышев Дмитрий, Ramb...
"ARKit в приложении Афиша Рестораны”, Меджлумян Самвел, Антышев Дмитрий, Ramb...AvitoTech
 
ASO for iOS 11
ASO for iOS 11ASO for iOS 11
ASO for iOS 11AvitoTech
 
Добиваемся эффективности каждого из 9000+ UI-тестов - Максим Сахаров (Tutu.ru)
Добиваемся эффективности каждого из 9000+ UI-тестов - Максим Сахаров (Tutu.ru)Добиваемся эффективности каждого из 9000+ UI-тестов - Максим Сахаров (Tutu.ru)
Добиваемся эффективности каждого из 9000+ UI-тестов - Максим Сахаров (Tutu.ru)AvitoTech
 
Проблемы управления тестами, или Что мешает создавать дешевые и полезные тест...
Проблемы управления тестами, или Что мешает создавать дешевые и полезные тест...Проблемы управления тестами, или Что мешает создавать дешевые и полезные тест...
Проблемы управления тестами, или Что мешает создавать дешевые и полезные тест...AvitoTech
 
Запускаем тесты в Continuous Integration - Сергей Пак (JetBrains)
Запускаем тесты в Continuous Integration - Сергей Пак (JetBrains)Запускаем тесты в Continuous Integration - Сергей Пак (JetBrains)
Запускаем тесты в Continuous Integration - Сергей Пак (JetBrains)AvitoTech
 
Векторы развития систем автоматизации тестирования - Дмитрий Химион (Avito)
Векторы развития систем автоматизации тестирования - Дмитрий Химион (Avito)Векторы развития систем автоматизации тестирования - Дмитрий Химион (Avito)
Векторы развития систем автоматизации тестирования - Дмитрий Химион (Avito)AvitoTech
 
Прокачиваем WebDriverAgent, или Как тестировать iOS-приложения после ядерного...
Прокачиваем WebDriverAgent, или Как тестировать iOS-приложения после ядерного...Прокачиваем WebDriverAgent, или Как тестировать iOS-приложения после ядерного...
Прокачиваем WebDriverAgent, или Как тестировать iOS-приложения после ядерного...AvitoTech
 
Конкурс Авито-2017 - Решение 2ое место - Василий Рубцов
Конкурс Авито-2017 - Решение 2ое место - Василий РубцовКонкурс Авито-2017 - Решение 2ое место - Василий Рубцов
Конкурс Авито-2017 - Решение 2ое место - Василий РубцовAvitoTech
 

Mehr von AvitoTech (20)

Сегментация изображений на острие науки (Евгений Нижибицкий, Rambler&Co)
Сегментация изображений на острие науки (Евгений Нижибицкий, Rambler&Co)Сегментация изображений на острие науки (Евгений Нижибицкий, Rambler&Co)
Сегментация изображений на острие науки (Евгений Нижибицкий, Rambler&Co)
 
Применение компьютерного зрения для анализа спортивных соревнований (Николай ...
Применение компьютерного зрения для анализа спортивных соревнований (Николай ...Применение компьютерного зрения для анализа спортивных соревнований (Николай ...
Применение компьютерного зрения для анализа спортивных соревнований (Николай ...
 
Распознавание лиц с помощью глубоких нейронных сетей (Сергей Миляев, VisionLabs)
Распознавание лиц с помощью глубоких нейронных сетей (Сергей Миляев, VisionLabs)Распознавание лиц с помощью глубоких нейронных сетей (Сергей Миляев, VisionLabs)
Распознавание лиц с помощью глубоких нейронных сетей (Сергей Миляев, VisionLabs)
 
AvitoNet: сервис компьютерного зрения в Avito (Артур Кузин, Avito)
AvitoNet: сервис компьютерного зрения в Avito (Артур Кузин, Avito)AvitoNet: сервис компьютерного зрения в Avito (Артур Кузин, Avito)
AvitoNet: сервис компьютерного зрения в Avito (Артур Кузин, Avito)
 
Yandex Tank - Арсений Фомченко
Yandex Tank - Арсений ФомченкоYandex Tank - Арсений Фомченко
Yandex Tank - Арсений Фомченко
 
Migro - Юрий Богомолов
Migro - Юрий БогомоловMigro - Юрий Богомолов
Migro - Юрий Богомолов
 
TableKit - Максим Соколов
TableKit - Максим СоколовTableKit - Максим Соколов
TableKit - Максим Соколов
 
Jsonwire Grid - Михаил Подцерковский (Avito)
Jsonwire Grid - Михаил Подцерковский (Avito)Jsonwire Grid - Михаил Подцерковский (Avito)
Jsonwire Grid - Михаил Подцерковский (Avito)
 
SimplePEG - Алексей Охрименко
SimplePEG - Алексей ОхрименкоSimplePEG - Алексей Охрименко
SimplePEG - Алексей Охрименко
 
Как перестать бояться и начать контрибьютить - Алексей Кудрявцев
Как перестать бояться и начать контрибьютить - Алексей Кудрявцев Как перестать бояться и начать контрибьютить - Алексей Кудрявцев
Как перестать бояться и начать контрибьютить - Алексей Кудрявцев
 
"Анонимизация фото с помощью Vision", Хомутников Тимофей, Avito
"Анонимизация фото с помощью Vision", Хомутников Тимофей, Avito"Анонимизация фото с помощью Vision", Хомутников Тимофей, Avito
"Анонимизация фото с помощью Vision", Хомутников Тимофей, Avito
 
“iOS 11 в App in the Air”, Пронин Сергей, App in the Air
“iOS 11 в App in the Air”, Пронин Сергей, App in the Air“iOS 11 в App in the Air”, Пронин Сергей, App in the Air
“iOS 11 в App in the Air”, Пронин Сергей, App in the Air
 
"ARKit в приложении Афиша Рестораны”, Меджлумян Самвел, Антышев Дмитрий, Ramb...
"ARKit в приложении Афиша Рестораны”, Меджлумян Самвел, Антышев Дмитрий, Ramb..."ARKit в приложении Афиша Рестораны”, Меджлумян Самвел, Антышев Дмитрий, Ramb...
"ARKit в приложении Афиша Рестораны”, Меджлумян Самвел, Антышев Дмитрий, Ramb...
 
ASO for iOS 11
ASO for iOS 11ASO for iOS 11
ASO for iOS 11
 
Добиваемся эффективности каждого из 9000+ UI-тестов - Максим Сахаров (Tutu.ru)
Добиваемся эффективности каждого из 9000+ UI-тестов - Максим Сахаров (Tutu.ru)Добиваемся эффективности каждого из 9000+ UI-тестов - Максим Сахаров (Tutu.ru)
Добиваемся эффективности каждого из 9000+ UI-тестов - Максим Сахаров (Tutu.ru)
 
Проблемы управления тестами, или Что мешает создавать дешевые и полезные тест...
Проблемы управления тестами, или Что мешает создавать дешевые и полезные тест...Проблемы управления тестами, или Что мешает создавать дешевые и полезные тест...
Проблемы управления тестами, или Что мешает создавать дешевые и полезные тест...
 
Запускаем тесты в Continuous Integration - Сергей Пак (JetBrains)
Запускаем тесты в Continuous Integration - Сергей Пак (JetBrains)Запускаем тесты в Continuous Integration - Сергей Пак (JetBrains)
Запускаем тесты в Continuous Integration - Сергей Пак (JetBrains)
 
Векторы развития систем автоматизации тестирования - Дмитрий Химион (Avito)
Векторы развития систем автоматизации тестирования - Дмитрий Химион (Avito)Векторы развития систем автоматизации тестирования - Дмитрий Химион (Avito)
Векторы развития систем автоматизации тестирования - Дмитрий Химион (Avito)
 
Прокачиваем WebDriverAgent, или Как тестировать iOS-приложения после ядерного...
Прокачиваем WebDriverAgent, или Как тестировать iOS-приложения после ядерного...Прокачиваем WebDriverAgent, или Как тестировать iOS-приложения после ядерного...
Прокачиваем WebDriverAgent, или Как тестировать iOS-приложения после ядерного...
 
Конкурс Авито-2017 - Решение 2ое место - Василий Рубцов
Конкурс Авито-2017 - Решение 2ое место - Василий РубцовКонкурс Авито-2017 - Решение 2ое место - Василий Рубцов
Конкурс Авито-2017 - Решение 2ое место - Василий Рубцов
 

Вадим Дробинин. Защищаем себя и пользователей: руководство по безопасности

  • 1. @Valzevul Вадим Дробинин Защищаем себя и пользователей (руководство по безопасности для iOS)
  • 2. @ValzevulЗащищаем себя и пользователей В двух словах • Что мы будем защищать? • Какие бывают атаки? • Примеры атак • Как проверить приложение? • Способы защиты • Что дальше? 2
  • 3. @Valzevul Мобильные устройства — основной источник личных данных пользователей и мы не умеем их защищать
  • 4. @ValzevulЗащищаем себя и пользователей Что мы будем защищать? 4 Стэк мобильной безопасности Уровень инфраструктуры • CDMA, GSM • GPS • SMS, MMS Уровень «железа» • Устройство • Прошивка Уровень ОС • Версия OS • Root-доступ Уровень приложений • ???
  • 5. @ValzevulЗащищаем себя и пользователей Уровень приложений Transport Layer Security • NSURLConnection и NSURLSession требуют ATS • ATS требует TLS 1.2 и сертификаты • Приложения должны соответствовать * 5 Защита данных • Всё шифруется с помощью уникального ключа в 256 бит • Ключи «оборачиваются» в ключи классов • Класс = политика безопасности
  • 6. @ValzevulЗащищаем себя и пользователей Уровень приложений Transport Layer Security 6 Защита данных С iOS9 сложно налажать в зашифрованной передаче данных Почти все файлы надежно зашифрованы на диске
  • 7. @ValzevulЗащищаем себя и пользователей Какие бывают атаки? 7 TamperingRepudiation Information Disclosure Denial of Service Elevation of Privilege Spoofing
  • 8. @ValzevulЗащищаем себя и пользователей Repudiation Какие бывают атаки? 8 Repudiation
 (атаки отказа) «Toll Fraud» Внедрение на стороне клиента Утерянный девайс Вредоносная программа
  • 9. @ValzevulЗащищаем себя и пользователей Какие бывают атаки? 9 Spoofing
 (атаки подмены) Социальная инженерия Вредоносный QR-код Неправильная обработка сессий Непроверенные NFC-теги Слабая система авторизации Вредоносное приложение
  • 10. @ValzevulЗащищаем себя и пользователей Какие бывают атаки? 10 Tampering
 (атаки искажения) Взлом мобильной сети Незащищенная Wi-Fi сеть Изменение локальных данных
  • 11. @ValzevulЗащищаем себя и пользователей Какие бывают атаки? 11 Information Disclosure
 (атаки раскрытия) Взлом бэкенда Reverse Engineering приложения Утерянный девайс Вредоносная программа
  • 12. @ValzevulЗащищаем себя и пользователей Какие бывают атаки? 12 Denial of Service (атаки обслуживания) Спам уведомлениями DDoS Падение приложения Излишнее использование API
  • 13. @ValzevulЗащищаем себя и пользователей Какие бывают атаки? 13 Elevation of Privilege
 (атаки уровня доступа) Скомпромен- тированные credentials (1) Изъяны в аутентификации Выход из Sandbox Jailbreak / Rootkits Слабая система авторизации Скомпромен- тированные credentials (2)
  • 14. @ValzevulЗащищаем себя и пользователей Примеры атак • Information Disclosure (1): • Бэкапы в iTunes не шифруются по-умолчанию • Вирус BackStab • Information Disclosure (2): • Никто не шифрует данные под PIN • Elcomsoft iOS Forensic Toolkit 14
  • 15. @ValzevulЗащищаем себя и пользователей Примеры атак • Information Disclosure (3): • UIPasteboard (1Password, токены, URLы) • Кэш • Elevation of Privilege: • Ad-hoc → можно использовать Private APIs • Вирусы для EnPublic (CVE-2014-1276) 15
  • 16. @ValzevulЗащищаем себя и пользователей Elevation of Privilege 16 github.com/valzevul/ElevationOfPrivilegeHack
  • 17. @ValzevulЗащищаем себя и пользователей Как проверить приложение? • White-box vs. Black-box; • Личные данные (PII, personal or identifying information); • Penetration-тесты («пентесты»). 17
  • 18. @ValzevulЗащищаем себя и пользователей PII • Логины, пароли, геолокация, адрес, связь с социальными сетями; • Имя девайса, имя сети, UDID; • Данные приложения, логи и cookies. 18
  • 19. @ValzevulЗащищаем себя и пользователей Пентесты 19 Взаимодействие с сетью Проблемы с приватностью Reverse Engineering URL Schema (iOS Masque Attack) Анализ Runtime
  • 20. @ValzevulЗащищаем себя и пользователей Пентесты • Окружение: • iDevice • Сеть • Jailbreak • Утилиты: • BigBoss Recommended Tools • OpenSSH • Clutch • Class-Dump • Cycript • Keychain dumper • … 20
  • 21. @ValzevulЗащищаем себя и пользователей Как защитить приложение? • TLS и Certificate Pinning • Secure Networking by Apple • TrustKit • Шифрование • Шифруйте всё (атрибуты NSData и NSFileManager) • Используйте Keychain • Не используйте Preferences, Cookies, /Library и /Documents 21
  • 22. @ValzevulЗащищаем себя и пользователей Как защитить приложение? • Запретите синхронизацию • NSURLIsExcludedFromBackupKey • Очищайте «скриншоты» • applicationDidEnterBackground → hidden • Не пишите в NSLog • Избегайте кэша клавиатуры • secureTextEntry • UITextAutocorrectionTypeNo 22
  • 23. @ValzevulЗащищаем себя и пользователей Как защитить приложение? • Jailbreak-detection: • Проверьте наличие файлов MobileSubstrate.dylib, ssh, Cydia.app • Проверьте вызов fork() • Проверьте родителя через sysctl (если не запущен или это ядро, вас дебажат!) • Обфусцируйте код 23
  • 24. @ValzevulЗащищаем себя и пользователей Что дальше? 24
  • 25. @ValzevulЗащищаем себя и пользователей Что дальше? • Apple Pay: Inspect, Set Up, Promote (Vadim Drobinin, https://vk.cc/6iPXEe) • Usability vs. Security (Josiah Renaudin, https:// vk.cc/6j2i75) • Demystifying Apple 'Pie' & TouchID (Sebas Guerrero, https://vk.cc/6iPY3f) • iOS Headers, http://developer.limneos.net/ 25