Вы просили — мы сделали. Вебинар на тему IT & Security уже 27 апреля!
Темы:
♤ Роль информационной безопасности в IT-мире
♤ Практические советы и профессиональные знания из отрасли
♤ Базовые навыки аудита
♤ Рекомендации по сокрытию личных данных
Скорее регистрируйся 👉 тут
Темы:
♤ Роль информационной безопасности в IT-мире
♤ Практические советы и профессиональные знания из отрасли
♤ Базовые навыки аудита
♤ Рекомендации по сокрытию личных данных
Скорее регистрируйся 👉 тут
paradisecurity.android.ctf.apk
3.4 MB
Недавно @inwady предоставил задачу для YauzaCTF. Мы были приятно удивлены, что она многим понравилась. Некоторые даже написали полноценный разбор.
Знаю, что многие относятся специфично к CTF, но предлагаем всем попробовать свои силы в решении этой задачи! Она клевая, скачивайте apk ;)
#inwady #superangel
Знаю, что многие относятся специфично к CTF, но предлагаем всем попробовать свои силы в решении этой задачи! Она клевая, скачивайте apk ;)
#inwady #superangel
Мы с вами частенько говорим об информационной гигиене, однако сегодня я бы хотела поговорить о совершенно стандартном ее проявлении.
Понятие телефонов уже давно стало более широким, я не могу представить свою жизнь без него под рукой, он интегрирован в мою жизнь и обходиться без него просто невозможно. Наверняка, вы думали о этом, раз мы постоянно вертим смартфоны в руках, они лежат у нас в карманах - это не самые чистые предметы. Но насколько они грязные?
Недавно я прочла в одной медицинской статье, что на каждый квадратный дюйм мобильного телефона приходится около 25 тысяч микробов, что делает его одним из самых грязных вещей, с которыми мы сталкиваемся каждый день. И об этом стоит задуматься. Я заметила, что моя кожа портиться и начинает воспаляться, если мне приходится долгое время говорить по телефону, когда я непосредственно прикасаясь им к лицу.
Мы с моей подругой провели двухнедельный эксперимент, в ходе которого неделю общались по телефону только с помощью гарнитуры и еще неделю, когда говорили непосредственно поднося телефон к лицу. И разница действительно была. Я ее до сих пор замазываю и лечу :) Хотя свой смартфон я регулярно протираю антибактериальными салфетками, это, видимо, не делает его чище. Так что если вы сталкиваетесь с воспалениями на лице, советую задуматься о том, чтобы постараться не подносить свой телефон к коже и общаться исключительно с помощью гарнитуры.
Понятие телефонов уже давно стало более широким, я не могу представить свою жизнь без него под рукой, он интегрирован в мою жизнь и обходиться без него просто невозможно. Наверняка, вы думали о этом, раз мы постоянно вертим смартфоны в руках, они лежат у нас в карманах - это не самые чистые предметы. Но насколько они грязные?
Недавно я прочла в одной медицинской статье, что на каждый квадратный дюйм мобильного телефона приходится около 25 тысяч микробов, что делает его одним из самых грязных вещей, с которыми мы сталкиваемся каждый день. И об этом стоит задуматься. Я заметила, что моя кожа портиться и начинает воспаляться, если мне приходится долгое время говорить по телефону, когда я непосредственно прикасаясь им к лицу.
Мы с моей подругой провели двухнедельный эксперимент, в ходе которого неделю общались по телефону только с помощью гарнитуры и еще неделю, когда говорили непосредственно поднося телефон к лицу. И разница действительно была. Я ее до сих пор замазываю и лечу :) Хотя свой смартфон я регулярно протираю антибактериальными салфетками, это, видимо, не делает его чище. Так что если вы сталкиваетесь с воспалениями на лице, советую задуматься о том, чтобы постараться не подносить свой телефон к коже и общаться исключительно с помощью гарнитуры.
paradiSEcurity
Псс, завтра вебинар IT & Security 😼
Мы уже скоро начинаем!
Мы тут разыгрываем место на нашем курсе Принципы безопасности мобильных приложений и 10% скидку. Заполняйте форму, итоги конкурса и информацию по набору на курс мы выставим на канале.
На сайте указана стоимость курса, но мы понимаем, что чаще всего разработчиков интересуют конкретные темы, потому у нас есть возможность выбрать только интересные вам уроки и регулировать за это стоимость.
И еще запись вебинара IT&Security теперь можно посмотреть, если не смогли присутствовать😋
На сайте указана стоимость курса, но мы понимаем, что чаще всего разработчиков интересуют конкретные темы, потому у нас есть возможность выбрать только интересные вам уроки и регулировать за это стоимость.
И еще запись вебинара IT&Security теперь можно посмотреть, если не смогли присутствовать😋
Недавно мне опять написали по поводу проекта на стороне. Многие разработчики берут подработки, и пилят в свободное время от основной работы приложения на заказ. И я не исключение. Но в последнее время у меня совсем мало времени, да и желания особого нет, потому я переслала на некоторое время этим заниматься.
Нынешнему заказчику меня посоветовал человек, которому я когда-то уже успешно сдала достаточно сложный проект, так что он был твердо уверен в том, что с такой задачей смогу справиться только я и больше никто.
И потому сейчас я затрону тему того, как стоит оценивать свой труд, когда вы берете такие проекты. С обычной работой вроде все итак понятно, у вас есть фиксированный оклад и премии изредка - никакой магии. Многие разработчики просто считают сколько времени им необходим будет потратить на реализацию упавшего им приложения и умножают на стоимость часа своей работы. Я тоже раньше пользовалась этой схемой, но в ней есть неприятный нюанс. Когда я беру дополнительную работу, то я трачу на нее своей личное время, которое обычно уходит у меня на отдых, развлечения и самообразование, таким образом я вроде и больше зарабатываю, но, фактически, это приводит к тому что я теряю, хм, скажем так, в духовном плане, и начинаю быстрее уставать. Так что со временем я стала брать за работу на стороне дороже, чем стоят мои обычные часы. Но потом я поняла, что и это не совсем верная позиция.
На самом деле, есть проекты, которые я готова выполнить вообще бесплатно, просто потому что мне нравится сама идея, например, или я хочу помочь. Но помимо этого бывают проекты, которые мне вообще не хочется выполнять или у меня итак мало времени или оно у меня распланировано под что-то другое, и в таком случае я поднимаю стоимость своей работы просто до невероятных значений. Так, ещё в универе, я поправила верстку на сайте за 30к.
Так что схема моих расценок довольно простая:
🐰 Проект мне интересен как идея и я хочу сама вложиться в него - делаю бесплатно, за шоколадку или за какую-то чисто номинальная сумму
🐰 Проект просто попал ко мне, у меня есть время и я хотела выполнить что-нибудь для получения дополнительного заработка - обычный почасовой прайс
🐰 Проект ни к селу ни к двору, вообще непонятно что и зачем и вообще у меня нет времени, но заказчик очень настаивает - (фиксированный прайс) умножить (цифра с неба)
P.S. С праздником, кстати :)
Нынешнему заказчику меня посоветовал человек, которому я когда-то уже успешно сдала достаточно сложный проект, так что он был твердо уверен в том, что с такой задачей смогу справиться только я и больше никто.
И потому сейчас я затрону тему того, как стоит оценивать свой труд, когда вы берете такие проекты. С обычной работой вроде все итак понятно, у вас есть фиксированный оклад и премии изредка - никакой магии. Многие разработчики просто считают сколько времени им необходим будет потратить на реализацию упавшего им приложения и умножают на стоимость часа своей работы. Я тоже раньше пользовалась этой схемой, но в ней есть неприятный нюанс. Когда я беру дополнительную работу, то я трачу на нее своей личное время, которое обычно уходит у меня на отдых, развлечения и самообразование, таким образом я вроде и больше зарабатываю, но, фактически, это приводит к тому что я теряю, хм, скажем так, в духовном плане, и начинаю быстрее уставать. Так что со временем я стала брать за работу на стороне дороже, чем стоят мои обычные часы. Но потом я поняла, что и это не совсем верная позиция.
На самом деле, есть проекты, которые я готова выполнить вообще бесплатно, просто потому что мне нравится сама идея, например, или я хочу помочь. Но помимо этого бывают проекты, которые мне вообще не хочется выполнять или у меня итак мало времени или оно у меня распланировано под что-то другое, и в таком случае я поднимаю стоимость своей работы просто до невероятных значений. Так, ещё в универе, я поправила верстку на сайте за 30к.
Так что схема моих расценок довольно простая:
🐰 Проект мне интересен как идея и я хочу сама вложиться в него - делаю бесплатно, за шоколадку или за какую-то чисто номинальная сумму
🐰 Проект просто попал ко мне, у меня есть время и я хотела выполнить что-нибудь для получения дополнительного заработка - обычный почасовой прайс
🐰 Проект ни к селу ни к двору, вообще непонятно что и зачем и вообще у меня нет времени, но заказчик очень настаивает - (фиксированный прайс) умножить (цифра с неба)
P.S. С праздником, кстати :)
😈 Тиндер и Баду разрушают твою личную жизнь😈
Многие мои друзья пользуются разными сервисами знакомств. Причем пользуются давно и довольно часто. Они покупают подписки, следят за лайками, регулярно заходят в эти соц сети. Однако дело так и не двигается. Они сидят там годами, иногда даже встречаются с кем-то, но как правило эти отношения не уходят дальше первого свидания или не длятся больше нескольких месяцев.
Да, у меня есть примеры, когда люди действительно находили друг друга с помощью этих сервисов и даже уже несколько лет женаты, однако как правило эти люди не сидели там долго. То есть они заходили туда с конкретной целью и покидали эти сервисы навечно, как только добивались ее.
Сервисы знакомств дают вам иллюзию того, что у вас есть большой выбор. Будто достаточно открыть приложение и вы легко сможете найти себе кого-нибудь. Но фактически там постоянно сидят одни и те же люди. А Инстаграм сделал наши ожидания от своих потенциальных партнеров космическими — вот люди и залипают в бесконечные карточки целыми днями, покупают подписку. Тут стоит понять лишь одно — единственного/ой и неповторимого/ой не существует, а у приложений знакомств есть четкая бизнес модель. Их цель не найти вам пару — их цель удержать и заработать на вас. Не верьте им и не злоупотребляйте. А как они хранят ваши данные — это вообще отдельная история...
Многие мои друзья пользуются разными сервисами знакомств. Причем пользуются давно и довольно часто. Они покупают подписки, следят за лайками, регулярно заходят в эти соц сети. Однако дело так и не двигается. Они сидят там годами, иногда даже встречаются с кем-то, но как правило эти отношения не уходят дальше первого свидания или не длятся больше нескольких месяцев.
Да, у меня есть примеры, когда люди действительно находили друг друга с помощью этих сервисов и даже уже несколько лет женаты, однако как правило эти люди не сидели там долго. То есть они заходили туда с конкретной целью и покидали эти сервисы навечно, как только добивались ее.
Сервисы знакомств дают вам иллюзию того, что у вас есть большой выбор. Будто достаточно открыть приложение и вы легко сможете найти себе кого-нибудь. Но фактически там постоянно сидят одни и те же люди. А Инстаграм сделал наши ожидания от своих потенциальных партнеров космическими — вот люди и залипают в бесконечные карточки целыми днями, покупают подписку. Тут стоит понять лишь одно — единственного/ой и неповторимого/ой не существует, а у приложений знакомств есть четкая бизнес модель. Их цель не найти вам пару — их цель удержать и заработать на вас. Не верьте им и не злоупотребляйте. А как они хранят ваши данные — это вообще отдельная история...
Интересно, какие данные хранят о тебе приложения? Сейчас мы все достанем и посмотрим💥
#superangle #inwady
#superangle #inwady
Telegraph
Memory Profiler
Доброго времени суток, сегодня хочу рассказать про небольшой встроенный инструмент в Android Studio, который может помочь в задаче по снятию dump-а приложения. Для начала давайте разберемся, какие варианты получения дампа существуют: Использование отладчиков…
Приветики, давно не виделись. Праздники пролетели со скоростью света и я все не могу войти в режим и опять начать писать. Да и увлеклась параллельным проектом, потому времени вообще стало мало. Вообще я все хотела поговорить про Google IO. Но что-то у меня так и не задалось написать целиком статью, потому вот вам краткий экскурс:
1. Активное продвижение Kotlin, теперь этот язык окончательно укрепился в мобильной разработке. Однако я до сих пор думаю, что писать на нем библиотеки - не лучший вариант.
2. Новая версия Android Q - основное направление - безопасность, но это не точно :) Самая клевая фишка - темная тема и возможность обновления системы, без ее перезагрузки. Звучит мило, но надо смотреть как все это будет работать.
3. Pixel 3a - дешевый для всего мира и не совсем дешевый для стран СНГ (всего-то 399$)
P.S. Зацените приложение Прямая расшифровка от Google. Работает действительно впечатляюще.
1. Активное продвижение Kotlin, теперь этот язык окончательно укрепился в мобильной разработке. Однако я до сих пор думаю, что писать на нем библиотеки - не лучший вариант.
2. Новая версия Android Q - основное направление - безопасность, но это не точно :) Самая клевая фишка - темная тема и возможность обновления системы, без ее перезагрузки. Звучит мило, но надо смотреть как все это будет работать.
3. Pixel 3a - дешевый для всего мира и не совсем дешевый для стран СНГ (всего-то 399$)
P.S. Зацените приложение Прямая расшифровка от Google. Работает действительно впечатляюще.
У меня тут небольшой обзор первого дня PHDays есть, если кому интересно как проходят конференции по иб — велком
Завтра Алексей Набережный @inwady будет выступать на DroidHeads с очень важной темой про fuzzing-тестирование. Приходите, будет интересно :)
vk.company
VK / DroidHeads Meetup
8 июня в офисе Mail.ru Group пройдет мобильный митап совместно с сообществами разработчиков MosDroid и Cocoaheads.
Меня тут позвали вести twitter-аккаунт Mobileunderhood. Это коллективный твиттер-аккаунт для мобильных разработчиков с новым автором каждую неделю, подробнее вот тут.
Скажу честно, в твиттер я не очень, потому приветствуются пинки разного калибра, а желательно просто ваша активность :)
Вообще, смысл этого мероприятия довольно прост: я в течение недели на этом общем аккаунте раскрываю какие-то интересные темы. Но так как вы, зайки, у меня умные, и читаете @paradisecurity, то, скорее всего, вы будете самыми прошаренными в темах, о которых я там буду рассказывать, потому не стесняйтесь дополнять меня и лайкать.
А вообще, я подумала не терять время зря и попытаться впихнуть весь полезный код, который бы помог сделать каждому разработчику свое приложение чуть безопаснее в одну либу и оставить ее для всех в открытом доступе. Никаких сверхъестественных решений я предлагать не собираюсь, все это скорее всего можно найти в свободном доступе или просто сделать выводы прошерстив любой чек-лист по безопасности мобильных приложений. Я просто решила собрать все это в кучу.
Что в этой либе будет
Возможно вы помните еще давнооо я публиковала список того, на что стоит обратить внимание при разработке безопасносного мобильного приложения. В общем-то именно это (ну или отчасти) я и буду освещать на этой неделе. Так что отталкиваясь от такого плана, предлагаю придумать этой либе название. Я за SecurityLib. Чтобы сделать свои предложения — вперед под этот твитт.
Комментарии, пулы и полезные предложения — приветствуются, как в твиттере, так и на гите. На канале я никогда не создавала треды с возможностью комментировать, так вот, теперь у вас есть уникальная возможность высказаться под постами твиттер-аккаунта, который на неделю стал моим.
P.S. Только чур не шалить :)
Скажу честно, в твиттер я не очень, потому приветствуются пинки разного калибра, а желательно просто ваша активность :)
Вообще, смысл этого мероприятия довольно прост: я в течение недели на этом общем аккаунте раскрываю какие-то интересные темы. Но так как вы, зайки, у меня умные, и читаете @paradisecurity, то, скорее всего, вы будете самыми прошаренными в темах, о которых я там буду рассказывать, потому не стесняйтесь дополнять меня и лайкать.
А вообще, я подумала не терять время зря и попытаться впихнуть весь полезный код, который бы помог сделать каждому разработчику свое приложение чуть безопаснее в одну либу и оставить ее для всех в открытом доступе. Никаких сверхъестественных решений я предлагать не собираюсь, все это скорее всего можно найти в свободном доступе или просто сделать выводы прошерстив любой чек-лист по безопасности мобильных приложений. Я просто решила собрать все это в кучу.
Что в этой либе будет
Возможно вы помните еще давнооо я публиковала список того, на что стоит обратить внимание при разработке безопасносного мобильного приложения. В общем-то именно это (ну или отчасти) я и буду освещать на этой неделе. Так что отталкиваясь от такого плана, предлагаю придумать этой либе название. Я за SecurityLib. Чтобы сделать свои предложения — вперед под этот твитт.
Комментарии, пулы и полезные предложения — приветствуются, как в твиттере, так и на гите. На канале я никогда не создавала треды с возможностью комментировать, так вот, теперь у вас есть уникальная возможность высказаться под постами твиттер-аккаунта, который на неделю стал моим.
P.S. Только чур не шалить :)
Что можно сделать плохого с приложением
1. Тамперинг (незначительно изменение приложения для подмены ключевых функций, фишинга или слива данных)
2. Ресерч кода. Пользователь получает деньги за клики или checkin, если нет защиты от деобфускации то можно вытащить API, вытащить тестовые сборки (если build.test)
3. Недостатки в приложении. Разработчики могут допускать ошибки, которые могут приводить к серьезным атакам в виде IPC. Внутренние данные из приложения можно отправить на сервер.
1. Тамперинг (незначительно изменение приложения для подмены ключевых функций, фишинга или слива данных)
2. Ресерч кода. Пользователь получает деньги за клики или checkin, если нет защиты от деобфускации то можно вытащить API, вытащить тестовые сборки (если build.test)
3. Недостатки в приложении. Разработчики могут допускать ошибки, которые могут приводить к серьезным атакам в виде IPC. Внутренние данные из приложения можно отправить на сервер.