Россия
apps4all.ru Share

Apps4All

Apps4All - это профессиональная социальная сеть для разработчиков приложений и участников экосистемы мобильных технологий.

Apps4All

Страна: Россия
Город: Москва
Год основания: 2011
Количество сотрудников: 21-50
Специализация:
Технологии:
Количество приложений: 0
PR/Медиа:
Softline Venture Partners инвестирует в Apps4All
http://rusbase.vc/news/softline-venture-partners-investiruet-v-apps4all/
30.10.2012
Приложение – каждому. Разговор с основателями Apps4All
http://firrma.ru/data/interview/719/
15.11.2012
Сергей Борисов, Apps4All: «Один учредитель — бизнес, два учредителя — полбизнеса, больше — уже не бизнес»
http://www.towave.ru/pub/sergei-borisov-apps4all-odin-uchreditel-eto-biznes-dva-uchreditelya-polbiznesa-kogda-ikh-bolshe
09.04.2013
Основатель бренда «Коркунов» вложил $1 млн в Apps4All
http://www.forbes.ru/news/242256-osnovatel-brenda-korkunov-vlozhil-1-mln-v-apps4all
17.07.2013
Apps4All вышла на рынок Великобритании
http://firrma.ru/data/news/2493/?sphrase_id=12627
10.02.2014
Android захватил Москву
http://www.gazeta.ru/tech/2014/04/11_a_5989437.shtml
11.04.2014
От идеи до готового продукта за 24 часа?!
http://rusbase.vc/blogs/author/sergeykonovalov/ot-idei-do-gotovogo-produkta-za-24-chasa/
11.04.2014
Как это было: конференция Droidcon
https://www.iguides.ru/main/gadgets/google/kak_eto_bylo_konferentsiya_driodcon/
13.04.2014
Сбербанк и разработчики раскрылись навстречу друг-другу
http://www.it-weekly.ru/market/business/61273.html
21.05.2014
Как продвигать мобильные приложения
http://www.cossa.ru/articles/230/74358/
23.05.2014
В Москве прошел хакатон мобильных финансовых сервисов
https://hi-tech.mail.ru/news/hackaton.html
31.07.2014
Мария Дмитриева, генеральный директор AdWatch Isobar, о «Big Brand Hackathon»
https://www.iguides.ru/main/other/mariya_dmitrieva_generalnyy_direktor_adwatch_isobar_o_big_brand_hackathon/
16.10.2014
Мария Дмитриева: «Больше всего я боюсь, что клиенты теперь будут думать, что приложение можно создать за одни сутки»
http://www.cossa.ru/articles/230/89207/
23.10.2014
MOBILE XMAS и MOBILE AWARDS 2014: как это было
http://macradar.ru/news/mobile-xmas-mobile-awards-2014-kak-eto-bylo/
18.12.2014
Экскурсия в офис компании Apps4All, крупнейшего в России сообщества мобильных разработчиков
https://www.iguides.ru/main/other/ekskursiya_v_ofis_kompanii_apps4all_krupneyshego_v_rossii_soobshchestva_mobilnykh_razrabotchikov_/
30.01.2015
Apps4All откроет офис в Кремниевой Долине
http://firrma.ru/data/news/4631/
09.02.2015
Apps4All получила $250 тысяч от фонда GVA LaunchGurus
http://rusbase.com/news/apps-4-gva/
30.09.2015
Российские разработчики создали бьющий током «умный браслет» для эффективной мотивации
http://tjournal.ru/paper/lifeplus-shocker
20.03.2015
Шестой Форум Apps4All показал, как развивается индустрия мобильных технологий
http://4pda.ru/2015/03/27/210919/
27.03.2015
Как выжать максимум из хакатона?
http://rusbase.vc/opinion/max-hakaton/
30.06.2015
AngelHack Moscow: как это было
http://getmobian.com/news/2015/07/16/angelhack-moscow-kak-eto-bylo.html
16.07.2015
Объявлены победители московского финала AngelHack
http://4pda.ru/2015/07/15/232384/
15.07.2015
Победители премии AdIndex Awards 2015 на Digital XMAS
https://www.iguides.ru/main/other/pobediteli_premii_adindex_awards_2015_na_digital_xmas/
30.11.2015
Droidcon Moscow 2015: Как это было
http://droider.ru/post/droidcon-moscow-2015-kak-eto-byilo-12-10-2015/
12.10.2015
Эксперты обсудили перспективы развития медиарынка в ходе конференции Future of Media 2015
http://outdoor.ru/market/27863/
26.05.2015
Хакатон Сколково и IBM по мобильным приложениям
https://habrahabr.ru/company/ibm/blog/252797/
11.03.2015
«Сколково» и IBM провели хакатон по мобильным приложениям
https://sk.ru/news/b/articles/archive/2015/04/04/mobilnyy-centr-skolkovo-i-ibm-proveli-hakaton-po-mobilnym-prilozheniyam.aspx
04.04.2015
Apps4All проведет Droidcon в Сан-Франциско
http://droider.ru/post/apps4all-provedet-droidcon-v-san-frantsisko-22-01-2016/
22.01.2016
 
02-05-2017, 13:32
Apps4All

​Пароли, валидация ввода и… да, будь как Tesla

Продолжение. Читайте также первую статью из серии.

По оценкам Gartner, к 2020 году количество IoT-устройств достигнет 20 млрд, а значит появится еще больше объектов для атак. Растущее взрывными темпами число атак на Интернет вещей лишний раз доказывает, что пользователи часто не могут самостоятельно контролировать безопасность новых устройств. Поэтому важно, чтобы эту роль на себя взяли сами вендоры или провайдеры услуг Интернета вещей, закладывая безопасность уже на этапе разработки устройства и проводя дополнительные тестирования защищенности перед их выпуском на рынок. Тем более что улучшить безопасность IoT-устройств можно на всех этапах жизненного цикла IoT-устройства. Антон Тюрин, руководитель группы разработки методов обнаружения атак Positive Technologies, уверен, что этапы внедрения и последующего обновления устройств представляют целый ряд возможностей для того, чтобы существенно затруднить жизнь IoT-хакеру, нацелившемуся на тот или иной девайс.

Внедрение

На этом этапе необходимо скорректировать настройки, чтобы минимизировать риски атак. Поэтому ключевые рекомендации таковы:

  • минимизируйте количество ПО и сетевых сервисов. Чем меньше вспомогательного стороннего программного обеспечения и сетевых сервисов с открытыми портами, тем меньше уязвимостей;
  • создайте ограниченную учетную запись, от имени которой будет исполнятся код. Так, в случае компрометации учетной записи, злоумышленник не получит полный контроль над устройством;
  • отключите ненадежные сетевые сервисы Telnet, FTP и службы обнаружения и управления устройствами UPnP и Bonjour. Лучше воспользоваться защищенными аналогами — SSH и протоколами передачи файлов, работающими поверх него: SCP, SFTP. Рекомендуем установить Fail2ban, который будет блокировать IP-адреса, с которых идет подбор пароля. Воспользуйтесь руководствами по настройке: 20 Linux Server Hardening Security Tips, Red Hat Enterprise Linux 7 Security Guide, CERN Security baseline for servers;
  • не изобретайте собственных алгоритмов шифрования или протоколов, используйте существующие. Однако и тут стоит быть осторожными. Например, в протокол Zigbee, над которым работали Samsung, Philips, Motorola, безопасность закладывалась изначально. Он был взломан: приоритет удобства использования и высокая совместимость привели к неудачной реализации механизмов безопасности. Подробное описание техники было продемонстрирована на Black Hat и опубликован White Paper. Также рекомендуем изучить SSL and TLS Deployment Best Practices;
  • фильтруйте данные, поступающие от пользователя. В противном случае, может привести к несанкционированному доступу к устройству. Показателен случай с IP-камерой от Motorola. Исследователями был обнаружен cgi-скрипт, который принимал на вход имя загружаемого файла и передавал его прямо в командную строку. Кроме того, веб-сервер был запущен от root и все команды исполнялись с наивысшими привилегиями. Отличные условия для OS command injection;

Картинка: SecurityLab

  • настройте парольную политику. Необходимо, чтобы устройство запрашивало при инициализации пароль у пользователя и проверяло его на сложность. Для проверки паролей можно воспользоваться открытой библиотекой Dropbox zxcvbn library, она импортирована больше чем на 10 языков.

Картинка: GitHub

Безопасность веб

Многими IoT-устройствами можно управлять через веб-интерфейс. В ходе одного из исследований Smart Grid наши эксперты обнаружили множество пользовательских веб-панелей управления системами мониторинга солнечных электростанций. Примерно 5% систем вообще не требовали пароля для входа на страницу конфигурации, у остальных 95% систем пароль был, но его оказалось достаточно легко подобрать. Обойдя таким образом авторизацию, злоумышленник может удаленно установить модифицированную прошивку или просто поменять параметры системы, что приведет к аварии.

Для повышения безопасности в этом случае мы рекомендуем:

  • тестировать веб-приложения методом черного ящика с помощью сканеров и автоматизированных средств (SQLmap, nikto, w3af, aqunetix);
  • использовать https. В случае с http, если девайс находится в сети, которую уже прослушивает злоумышленник, то логины и пароли пользователей обязательно утекут;
  • проверить, что используемый программистами на этапе разработки отладочный API убран из оригинального приложения;
  • реализовать двухфакторную аутентификацию с помощью программных токенов (Authy) или SMS (Infobip).

Обновление

Конечно же, обновлять необходимо не только разработанное ПО, но и все third-party зависимости, а также компоненты операционной системы. Правильным решением станет продуманная схема обновления и подпись прошивок, для того чтобы злоумышленник не мог установить прошивку, изменённую как ему нужно. Хороший пример работы вендора с обновлениями — компания Tesla. После того, как в середине сентября группе китайских хакеров после нескольких месяцев исследований удалось получить полный контроль над электронными системами автомобиля Tesla во время его движения, компания быстро выпустила прошивку с исправлениями и попросила всех владельцев незамедлительно ее скачать и установить.

Картинка: Keen Security Lab Blog


 
0 0 0

Чтобы оставлять комментарии вам необходимо зарегистрироваться

Платформа Apps4All объединяет всех участников рынка: разработчиков, крупнейшие IT-корпорации, стартап-проекты, венчурных инвесторов, представителей бизнеса и государственных органов для создания и развития качественных и успешных мобильных продуктов.

Ежедневно на сайте публикуется несколько десятков новостей, посвященных всем аспектам индустрии мобильных приложений и игр:

  • последние разработки,
  • статьи о монетизации и продвижении приложений,
  • интервью с лидерами рынка,
  • анализ хитов продаж и советы по тестированию и дизайну,
  • обзоры последних новинок ведущих магазинов приложений,
  • аналитика российского и мирового рынка мобильных приложений.

Участники сообщества получают бесплатный доступ к уникальным возможностям экосистемы мобильных технологий, устройств и приложений.

Компания была создана в 2011 году. На данный момент на портале apps4all.ru зарегистрировано свыше 3500 компаний-разработчиков и представлено более 15000 созданных ими мобильных приложений.