Я пересмотрела все серии Рика и Морти, We Bare Bears, ОВЫ Самурая Кеншина, Акиру и осталась без вариантов, что смотреть дальше 😫
Буду благодарна, если накидаете хороших вариантов в @mother_paradisecurity_bot
Буду благодарна, если накидаете хороших вариантов в @mother_paradisecurity_bot
Подписчики прислали в личку статьи с пестрыми заголовками, типа: *Смартфоны на Android 7.1.1 и старше не смогут открывать сайты уже в 2021 году*.
Такая информация появилась буквально день назад и связана с тем, что сертификационный центр Let’s Encrypt, занимающийся выдачей сертификатов криптографии для TLS-шифрования, объявил о переходе на создание подписей с использованием только собственного корневого сертификата.
Это приведет к тому, что каждый третий работающий на Android смартфон, не сможет открыть большинство интернет-ресурсов. Проблема вызвана тем, корневой сертификат Let's Encrypt может быть распознан системой не младше Android 7.1.1.
По статистике, доля устройств с такой ОС составляет не более 66,2% от общего числа. Так что остальные 33,8% владельцев устройств столкнутся с тем, что попытка открыть большинство интернет-порталов будет вызывать ошибку.
Звучит как та еще страшилка, верно? Прям хочется начать брызгать слюной и махать руками 🤯🤯🤯
На самом деле, нужно просто расслабиться и получать удовольствие. Во-первых, если вам так не хочется обновлять свой Android, то просто начнете использовать в качестве браузера Firefox, тк он пока что единственный браузер, который полагается на свой собственный список корневых сертификатов.
А если вас это не устраивает – просто обновите, наконец, устройство! Что нужно еще такого придумать, чтобы мне, наконец, не приходилось поддерживать Android 4.4 на проде?? 🤦♀️
Такая информация появилась буквально день назад и связана с тем, что сертификационный центр Let’s Encrypt, занимающийся выдачей сертификатов криптографии для TLS-шифрования, объявил о переходе на создание подписей с использованием только собственного корневого сертификата.
Это приведет к тому, что каждый третий работающий на Android смартфон, не сможет открыть большинство интернет-ресурсов. Проблема вызвана тем, корневой сертификат Let's Encrypt может быть распознан системой не младше Android 7.1.1.
По статистике, доля устройств с такой ОС составляет не более 66,2% от общего числа. Так что остальные 33,8% владельцев устройств столкнутся с тем, что попытка открыть большинство интернет-порталов будет вызывать ошибку.
Звучит как та еще страшилка, верно? Прям хочется начать брызгать слюной и махать руками 🤯🤯🤯
На самом деле, нужно просто расслабиться и получать удовольствие. Во-первых, если вам так не хочется обновлять свой Android, то просто начнете использовать в качестве браузера Firefox, тк он пока что единственный браузер, который полагается на свой собственный список корневых сертификатов.
А если вас это не устраивает – просто обновите, наконец, устройство! Что нужно еще такого придумать, чтобы мне, наконец, не приходилось поддерживать Android 4.4 на проде?? 🤦♀️
Что может быть лучше, чем хорошая конференция в этот пасмурный грустный ноябрь? 💦🍁
В этом году я уже выступала на Mobius. На новый, осенний сезон, я уже присоединилась к Программному Комитету и теперь знаю, как скрупулезно готовятся доклады! Поверьте, такое пропускать нельзя 😉
Сейчас в топе онлайн конференции, сами знаете почему. Но онлайн конференция очень отличается от того, что происходит обычно в оффлайне. И если вы ищите хорошую онлайн конференцию – то это точно про Mobius.
Кстати, там будет очень много клевых ребят, многих из которых я знаю лично как офигенных разработчиков, у которых точно стоит поучиться!
В этом сезоне будут:
❗️Кирилл Розов, автор канала Android Broadcast, с которым мы частенько залипаем на тему того, как лучше вести каналы про разработку
❗️Артур Василов, с которым я когда-то вообще училась в универе, а ныне разработчик в Яндексе
❗️Евгений Мацюк, мой коллега, действующий GDE
❗️Алексей Набережный, его то вы наверно точно знаете, он у меня частенько публикуется
❗️Михаил Емельянов, он как раз курировал мой доклад в прошлом сезоне
Кстати, вот промокод от меня: paradiSEcurity2020JRG
В этом году я уже выступала на Mobius. На новый, осенний сезон, я уже присоединилась к Программному Комитету и теперь знаю, как скрупулезно готовятся доклады! Поверьте, такое пропускать нельзя 😉
Сейчас в топе онлайн конференции, сами знаете почему. Но онлайн конференция очень отличается от того, что происходит обычно в оффлайне. И если вы ищите хорошую онлайн конференцию – то это точно про Mobius.
Кстати, там будет очень много клевых ребят, многих из которых я знаю лично как офигенных разработчиков, у которых точно стоит поучиться!
В этом сезоне будут:
❗️Кирилл Розов, автор канала Android Broadcast, с которым мы частенько залипаем на тему того, как лучше вести каналы про разработку
❗️Артур Василов, с которым я когда-то вообще училась в универе, а ныне разработчик в Яндексе
❗️Евгений Мацюк, мой коллега, действующий GDE
❗️Алексей Набережный, его то вы наверно точно знаете, он у меня частенько публикуется
❗️Михаил Емельянов, он как раз курировал мой доклад в прошлом сезоне
Кстати, вот промокод от меня: paradiSEcurity2020JRG
Теперь вас и двухфакторка не спасет. Если честно, ситуация очень неприятная. Увели крупный канал Reddit с помощью троянца, замаскированного под видеоредактор Filmora.
Код Дурова
Мошенникам удалось украсть доступ к крупному Telegram-каналу
Злоумышленники получили доступ к одному из крупных русскоязычных Telegram-каналов.
Россия для грустных, Android – для очень грустных 💦💦💦
Да, большая часть вирусов распространяется именно через Google Play. Как же так происходит?
На самом деле большинство людей заблуждаются, что если приложение установлено напрямую из Google Play или AppStore, то оно проверенное и не может быть вирусом. К сожалению, это не так.
Могу только сказать, что за последние пять лет Google Play очень сильно эволюционировал в плане анализа и отбора приложений. Более того, его защита будет более мощной даже чем у AppStore. Например, вывести приложение в топ в AppStore с помощью накрученных инсталлов, лайков и комментариев все еще можно (если осторожно), а вот чтобы провернуть такой фокус с Google Play – вам придется сильно постараться и вы рискуете в этом случае не только самим приложением, но и своей личной учеткой, а также всеми связанными с ней учетками.
Но этого все еще не достаточно. Android уже долгое время остается самой популярной мобильной системой и желающих поживиться на этом – превеликое множество.
Вот интересный отчет, который подробно раскрывает тему, откуда на вашем девайсе могут появиться вредоносы.
Да, большая часть вирусов распространяется именно через Google Play. Как же так происходит?
На самом деле большинство людей заблуждаются, что если приложение установлено напрямую из Google Play или AppStore, то оно проверенное и не может быть вирусом. К сожалению, это не так.
Могу только сказать, что за последние пять лет Google Play очень сильно эволюционировал в плане анализа и отбора приложений. Более того, его защита будет более мощной даже чем у AppStore. Например, вывести приложение в топ в AppStore с помощью накрученных инсталлов, лайков и комментариев все еще можно (если осторожно), а вот чтобы провернуть такой фокус с Google Play – вам придется сильно постараться и вы рискуете в этом случае не только самим приложением, но и своей личной учеткой, а также всеми связанными с ней учетками.
Но этого все еще не достаточно. Android уже долгое время остается самой популярной мобильной системой и желающих поживиться на этом – превеликое множество.
Вот интересный отчет, который подробно раскрывает тему, откуда на вашем девайсе могут появиться вредоносы.
На фоне новостей по крипте захотелось обзорно вам про нее рассказать 🤖
Вы заметили, что криптовалюта опять растет? Сейчас она на пике и активно развивается. А знаете почему?
DeFi.
Над первыми фрагментами кода работали разработчики со всего мира и в декабре 2017 года был опубликован первый большой DeFi-проект, MakerDAO. Теперь же стейблкоины заполонили почти весь крипто мир, очень удобно, когда мы не привязываемся токену (ETH, BTC) с непонятной волатильностью, а обмениваемся родным “стабильным” долларом.
Приведу простой пример. Вася делает уборку в твоем доме, но платить за работу в BTC никто не хочет, потому что через час валюта может либо упасть, либо снова вырасти. Сейчас же появились многочисленные стейблкоины, которые привязаны к доллару. Когда Вася закончит работу, ты ему заплатишь 10 монет, которые будут эквивалентны 10$ в криптовалюте.
Но что значит это для всего сообщества? Произошел в прямом смысле БУМ. Теперь $ ворвался к разработчикам смартконтрактов, появляются новые инструменты. От пула ликвидности (аналог exchange-валют в банке, только при этом комиссию платят не банку, а людям, которые вложили токены) до полноценных страховых крипто-компаний.
В эфире теперь контракты выглядят не просто как шаблонные ICO, а как полноценный банковский код, который решает, как лучше держать твои финансы и в какой токен их лучше конвертировать через децентрализованные биржи.
Есть и минусы. Тут опять есть «Черный четверг» — аналог хакерской атаки на The DAO, где крипто контракт показал свои слабые места. Технология молодая, стейблкоин может превратиться в тыкву, которую нельзя будет обменять в фиат.
Интересный факт, если раньше блокчейн история была только для спекулянтов, то сейчас она привлекает инженеров и экономистов, почти каждый день появляются новые консенсусы и интересные алгоритмы децентрализации. Даже их мобильные приложения сейчас больше похожи на банковские инструменты, а транзакции в интернете по конвертации крипто токенов можно делать одним кликом.
У блокчейна если два пути развития. Либо вперед к светлому и свободному будущему, либо “минфин предложил лишать свободы за недекларирование криптовалют”.
Вы заметили, что криптовалюта опять растет? Сейчас она на пике и активно развивается. А знаете почему?
DeFi.
Над первыми фрагментами кода работали разработчики со всего мира и в декабре 2017 года был опубликован первый большой DeFi-проект, MakerDAO. Теперь же стейблкоины заполонили почти весь крипто мир, очень удобно, когда мы не привязываемся токену (ETH, BTC) с непонятной волатильностью, а обмениваемся родным “стабильным” долларом.
Приведу простой пример. Вася делает уборку в твоем доме, но платить за работу в BTC никто не хочет, потому что через час валюта может либо упасть, либо снова вырасти. Сейчас же появились многочисленные стейблкоины, которые привязаны к доллару. Когда Вася закончит работу, ты ему заплатишь 10 монет, которые будут эквивалентны 10$ в криптовалюте.
Но что значит это для всего сообщества? Произошел в прямом смысле БУМ. Теперь $ ворвался к разработчикам смартконтрактов, появляются новые инструменты. От пула ликвидности (аналог exchange-валют в банке, только при этом комиссию платят не банку, а людям, которые вложили токены) до полноценных страховых крипто-компаний.
В эфире теперь контракты выглядят не просто как шаблонные ICO, а как полноценный банковский код, который решает, как лучше держать твои финансы и в какой токен их лучше конвертировать через децентрализованные биржи.
Есть и минусы. Тут опять есть «Черный четверг» — аналог хакерской атаки на The DAO, где крипто контракт показал свои слабые места. Технология молодая, стейблкоин может превратиться в тыкву, которую нельзя будет обменять в фиат.
Интересный факт, если раньше блокчейн история была только для спекулянтов, то сейчас она привлекает инженеров и экономистов, почти каждый день появляются новые консенсусы и интересные алгоритмы децентрализации. Даже их мобильные приложения сейчас больше похожи на банковские инструменты, а транзакции в интернете по конвертации крипто токенов можно делать одним кликом.
У блокчейна если два пути развития. Либо вперед к светлому и свободному будущему, либо “минфин предложил лишать свободы за недекларирование криптовалют”.
This media is not supported in your browser
VIEW IN TELEGRAM
Небольшая подборка постов, которые больше всего зашли за ближайший период
🔥 Простой реверс Android-приложения
🔥 Как создавать безопасные приложения
🔥 Инструменты для реверса Android-приложений
🔥 Как оценить приложение
🔥 Реверс-инжиниринг и Право
🔥 Про SSL-пиннинг на Android
🔥 Простой реверс Android-приложения
🔥 Как создавать безопасные приложения
🔥 Инструменты для реверса Android-приложений
🔥 Как оценить приложение
🔥 Реверс-инжиниринг и Право
🔥 Про SSL-пиннинг на Android
This media is not supported in your browser
VIEW IN TELEGRAM
Архитектура и Junior-разработчик))) Ну, он хотя бы нашел выход, все мы такими были 😂
Как же это охеренно! Твиттер – американская компания, Трамп – пока еще президент Америки. И они просто пишут под его постами, что информация, которую он публикует – сомнительного характера, а еще и сноски делают с доказательствами этого.
This media is not supported in your browser
VIEW IN TELEGRAM
Забавная штука 😂
Горячие пирожкиии!!! Apple снизили комиссию для разработчиков в App Store с 30% до 15% с 1 января 2021 года.
Их довели своими антимонопольными исками (это только за 2020 год):
⚡️ Epic Games
⚡️ Match Group (владеет Tinder)
⚡️ Telegram
⚡️ Spotify
⚡️ Rakuten
⚡️ Лаборатория Касперского
⚡️ и тд.
Правда фича с 15% комиссии будет доступна только для приложений с выручкой <$1 млн в год. Очень похоже на налог на богатство. Собственно, программу так и назвали – “программой для малого бизнеса”.
К чему это приведет:
💦 Разработчики начнут зарабатывать на 15% больше, поэтому смело смогут покупать себе феррари минуя лизинг
💦 Пользователи станут платить меньше за приложения, потому что для привлечения еще большего количества пользователей, разработчикам теперь есть куда снижать цены
💦 Не произойдет ни того ни другого, потому что все мы работаем по найму и цены устанавливает бизнес, а не мы
Их довели своими антимонопольными исками (это только за 2020 год):
⚡️ Epic Games
⚡️ Match Group (владеет Tinder)
⚡️ Telegram
⚡️ Spotify
⚡️ Rakuten
⚡️ Лаборатория Касперского
⚡️ и тд.
Правда фича с 15% комиссии будет доступна только для приложений с выручкой <$1 млн в год. Очень похоже на налог на богатство. Собственно, программу так и назвали – “программой для малого бизнеса”.
К чему это приведет:
💦 Разработчики начнут зарабатывать на 15% больше, поэтому смело смогут покупать себе феррари минуя лизинг
💦 Пользователи станут платить меньше за приложения, потому что для привлечения еще большего количества пользователей, разработчикам теперь есть куда снижать цены
💦 Не произойдет ни того ни другого, потому что все мы работаем по найму и цены устанавливает бизнес, а не мы
А вообще, я тут узнала, что приложения с заработком в AppStore меньше $1 млн 98%. Однако эти 98% занимают всего 5% от выручки Apple. Так что выходит, что Apple опять всем утерли нос. Такие дела.
Уровни модели безопасности Android/iOS
Я более чем уверена, что большинство мобильных разработчиков вообще не знает термин “модель безопасности”. Во-первых, им и не надо, 99% из всех не нуждаются в этом знании, однако оставшийся 1% мы часто видимо в СМИ. Ну, видимо для этого 1% я и пишу данный пост :0
В мобильных приложениях модель безопасности основана на трех китах:
1. Операционка
2. Приложение
3. Пользователь
Если описать их взаимодействие вкратце, то будет что-то вроде: “чтобы действие было успешно выполнено все три стороны должны быть с ним согласны”.
1. Безопасность операционной системы
Я знала пентестера, который вместо того чтобы взламывать конкретные приложения, иcкал уязвимости в самой среде, кек.
Ядро – это бог и дьявол во плоти, оно решает что и когда начинает работать, когда и куда нужно отправлять данные, как происходит взаимодействие между различными модулями – от его взора не скрыться ничему. Однако, как сказал Дядя Бен: “с большой силой приходит большая ответственность”.
Безопасность операционной системы определяется общую безопасность всей системы.
В свою очередь безопасность операционной системы держится на своих трех китах:
⚡️ Изоляция процесса
⚡️ Модель разрешений, контролируемых пользователем
⚡️ Межпроцессорное взаимодействие
Как-нибудь расскажу о том, как мобильные ОС обеспечивают свою безопасность более подробно.
2. Безопасность приложений
Если с безопасностью ОС более менее все понятно, тк ее пишут инженеры, чей код проходит тщательную лупу других инженеров (если это не Meizu, конечно), аспект безопасности мобильных приложений, как правило, всегда упускается из виду, а потом наши милые и безобидные приложения используют как вектор атаки.
Я писала об обеспечении безопасности приложений выше вот в этом посте.
3. Конечный пользователь
А пользователь вообще не думает что там происходит внутри приложения, а уж тем более операционной системы, он просто тыкает в экран и ждет, что все будет работать и, конечно же, безопасно 🌈
Но, в то же время именно конечный пользователь – это решающий фактор, когда речь идет о безопасности всей системы.
Вообще, была идея у какой-то компании прежде чем давать пользоваться устройством предоставлять пользователю предварительный инструктаж по безопасности, но, конечно же, от этого в итоге отказались.
Многие ругают банковские приложения, что они хотят получать доступ ко всему и всегда, залезть в самые потаенные уголки наших устройств. Но винить их в этом точно не стоит, в одном только Сбербанке с начала 2020 года зафиксировали 2.9 миллиона обращений клиентов о попытках обмана и взлома. А сколько денег удалось таким способом увести – вообще лучше не думать. И это только один банк и одна схема. Есть тысячи других банков и приложений, данные которых оказываются в опасности из-за действий самих пользователей.
Правда другая проблема состоит в том, что сам Сбербанк и подобные ему приложения далеко не безгрешны и периодически сливают пользовательские данные то госорганам, то просто из-за тупой ошибки.
Я более чем уверена, что большинство мобильных разработчиков вообще не знает термин “модель безопасности”. Во-первых, им и не надо, 99% из всех не нуждаются в этом знании, однако оставшийся 1% мы часто видимо в СМИ. Ну, видимо для этого 1% я и пишу данный пост :0
В мобильных приложениях модель безопасности основана на трех китах:
1. Операционка
2. Приложение
3. Пользователь
Если описать их взаимодействие вкратце, то будет что-то вроде: “чтобы действие было успешно выполнено все три стороны должны быть с ним согласны”.
1. Безопасность операционной системы
Я знала пентестера, который вместо того чтобы взламывать конкретные приложения, иcкал уязвимости в самой среде, кек.
Ядро – это бог и дьявол во плоти, оно решает что и когда начинает работать, когда и куда нужно отправлять данные, как происходит взаимодействие между различными модулями – от его взора не скрыться ничему. Однако, как сказал Дядя Бен: “с большой силой приходит большая ответственность”.
Безопасность операционной системы определяется общую безопасность всей системы.
В свою очередь безопасность операционной системы держится на своих трех китах:
⚡️ Изоляция процесса
⚡️ Модель разрешений, контролируемых пользователем
⚡️ Межпроцессорное взаимодействие
Как-нибудь расскажу о том, как мобильные ОС обеспечивают свою безопасность более подробно.
2. Безопасность приложений
Если с безопасностью ОС более менее все понятно, тк ее пишут инженеры, чей код проходит тщательную лупу других инженеров (если это не Meizu, конечно), аспект безопасности мобильных приложений, как правило, всегда упускается из виду, а потом наши милые и безобидные приложения используют как вектор атаки.
Я писала об обеспечении безопасности приложений выше вот в этом посте.
3. Конечный пользователь
А пользователь вообще не думает что там происходит внутри приложения, а уж тем более операционной системы, он просто тыкает в экран и ждет, что все будет работать и, конечно же, безопасно 🌈
Но, в то же время именно конечный пользователь – это решающий фактор, когда речь идет о безопасности всей системы.
Вообще, была идея у какой-то компании прежде чем давать пользоваться устройством предоставлять пользователю предварительный инструктаж по безопасности, но, конечно же, от этого в итоге отказались.
Многие ругают банковские приложения, что они хотят получать доступ ко всему и всегда, залезть в самые потаенные уголки наших устройств. Но винить их в этом точно не стоит, в одном только Сбербанке с начала 2020 года зафиксировали 2.9 миллиона обращений клиентов о попытках обмана и взлома. А сколько денег удалось таким способом увести – вообще лучше не думать. И это только один банк и одна схема. Есть тысячи других банков и приложений, данные которых оказываются в опасности из-за действий самих пользователей.
Правда другая проблема состоит в том, что сам Сбербанк и подобные ему приложения далеко не безгрешны и периодически сливают пользовательские данные то госорганам, то просто из-за тупой ошибки.
Вы наверно уже слышали про новый законопроект про 16 обязательных российских приложений для смартфонов, TV и компов.
Короче, суть его проста, с 1 марта 2021 года идете вы в магазин и покупаете там себе новенький Samsung/iPhone или любой другой девайс и там у вас уже и Госуслуги и Мой круг, и платежная система Мир настроены и готовы работать, и поисковик Спутник тут как тут! В общем, очень удобно, СОВЕТУЮ.
Кстати, делаться это будет, конечно же, за наши денежки, ведь мало того что в РФ итак самая дорогая электроника.
Ну что тут сказать, можно порадоваться за магазины, ведь теперь у них появится новая услуга, помимо “установки необходимого ПО”, будет теперь еще и удаление))
Короче, суть его проста, с 1 марта 2021 года идете вы в магазин и покупаете там себе новенький Samsung/iPhone или любой другой девайс и там у вас уже и Госуслуги и Мой круг, и платежная система Мир настроены и готовы работать, и поисковик Спутник тут как тут! В общем, очень удобно, СОВЕТУЮ.
Кстати, делаться это будет, конечно же, за наши денежки, ведь мало того что в РФ итак самая дорогая электроника.
Ну что тут сказать, можно порадоваться за магазины, ведь теперь у них появится новая услуга, помимо “установки необходимого ПО”, будет теперь еще и удаление))
Как выяснилось, никто не боится за андроиды, всем больше интересна история с Apple. Лично я думаю, что они вряд ли будут прогибаться под какие-то там законопроекты, тем более если учитывать какую опасность несет это бренду. Так что тут несколько вариантов:
1. Apple станет исключением, на которое этот законопроект распространяться не будет;
2. Технику Apple будут вскрывать перед продажей и устанавливать все вручную (если честно звучит так себе, учитывая какие риски автоматически за собой несет такой вариант);
3. Появятся серые рынки, которые будут продавать не вскрытую Apple-технику (даже звучит смешно);
4. Будем покупать за рубежом (это, кстати, тоже такой себе вариант, потому что готовится новый законопроект по регистрации наших устройств);
5. Ну и фантастически вариант – Apple прогибается под этот законопроект.
1. Apple станет исключением, на которое этот законопроект распространяться не будет;
2. Технику Apple будут вскрывать перед продажей и устанавливать все вручную (если честно звучит так себе, учитывая какие риски автоматически за собой несет такой вариант);
3. Появятся серые рынки, которые будут продавать не вскрытую Apple-технику (даже звучит смешно);
4. Будем покупать за рубежом (это, кстати, тоже такой себе вариант, потому что готовится новый законопроект по регистрации наших устройств);
5. Ну и фантастически вариант – Apple прогибается под этот законопроект.