Создаём абсолютно безопасное и надёжное приложение


Оглавление (нажмите, чтобы открыть):

BlackBerry в России

Если вы попытаетесь искать приложения для обеспечения безопасности и конфиденциальности в Google Play, то вы увидите множество списков приложений для защиты от вирусов и вредоносных программ. Но, к сожалению, это очень узкий взгляд на проблему. Есть множество приложений, которые могут сделать использование смартфона более безопасным. Большинство из них достаточно просты в использовании и не требуют значительных ресурсов вашего устройства. Конечно, для бизнес-использования, вам лучше изучить пакет приложений BlackBerry, но для вот лучшие пользовательские приложения для обеспечения безопасности, доступные на Android.

Android Device Manager

Android Device Manager — это сервис, который помогает защитить ваш смартфон от кражи или потери. Это приложение должно быть установлено на каждом устройстве Android (если у него есть магазин Google Play). Вы можете в любой момент получить доступ к своему аккаунту, перейдя в Настройки аккаунта Google в меню настроек вашего устройства. После активации сервиса (это производится по умолчанию) вы можете зайти на веб-сайт и управлять вашим устройством. Возможности включают поиск и удаление данных с устройства. Вы даже можете включить громкий сигнал, чтобы его найти. Услуга полностью бесплатна. Это одно из обязательных приложений для безопасности.

Подробней о том, как найти ваш смартфон на базе Android используя Android Device Manager — в нашей статье: Как найти ваш BlackBerry PRIV используя Удаленное управление Android?

Applock

Цена: бесплатно / донейт по желанию

Applock — одно из наиболее полезных приложений для обеспечения безопасности. Оно работает, блокируя различные приложения. После установки приложения вам нужно будет ввести код для доступа к настройкам приложения. Это обязательное приложение для семей с детьми. Кроме того, это хороший способ удержать любопытного друга от изучения информации в вашем телефоне. Applock даже удержит злоумышленников, на некоторое время, если телефон попадет к ним в руки. Однако это не лучшее решение. Грамотный специалист сможет обойти эту блокировку, потратив достаточно времени. Это приложение бесплатно и содержит рекламу. Вы можете сделать донейт, и удалить рекламу. Вы также можете просто отключить рекламу и использовать бесплатную версию этого приложения.

DuckDuckGo

DuckDuckGo один из самых безопасных сервисов для поиска. Это поисковая система, похожая на Google, Bing или Yahoo, однако его основное преимущество в том, что он не отслеживает историю поиска. Это означает, что вам не потребуется беспокоиться о том, что кто-то будет наблюдать за тем, что вы ищете. Приложение работает достаточно хорошо. У него есть настройки поиска и встроенный браузер. Формально, это не приложение для безопасности, но тем не менее, оно отлично подойдет для тех, кто хочет получить больше конфиденциальности.

Браузер Ghostery

Ghostery — один из лучших браузеров. Приложение покажет вам трекеры и рекламные сети, которыми пользуется каждый веб-сайт и предоставит возможность отключить их. Его функции похожи на DuckDuckGo, но доступны для каждого веб-сайта, а не только для поиска. В большинстве сценариев браузер работает очень хорошо, но это не самый быстрый браузер. Это одно из лучших приложений для тех, кто хочет путешествовать в интернете и сохранять конфиденциальность.

GlassWire

GlassWire — это новое приложение для обеспечения безопасности, которое позволяет вам видеть, какие приложения расходуют ваши данные. Вы получите живой график, который в режиме реального времени показывает, сколько данных потребляют ваши приложения. Кроме того, вы получите оповещения, которые позволят вам узнать, когда новое приложение загружает данные. Это отличный способ узнать, сколько данных использует каждое из ваших приложений. Это также отличный способ увидеть какие-то странные действия, которые могут происходить в фоновом режиме. Это приложение, по своему назначению напоминает предустановленное на смартфоны BlackBerry на базе Android приложение DTEK, однако GlassWire предоставляет информацию не только о доступе к вашим данным, но и о объемах переданной информации.

LastPass

Цена: бесплатно / $ 12 в год

LastPass — одно из лучших приложений для управления паролями. Он позволяет хранить пароли сайтов, PIN-коды и другую важную информацию для быстрого доступа. Это намного безопаснее, чем просто записывать эту информацию. Вы также можете использовать LastPass Authenticator для дополнительной безопасности. LastPass — это мощное и кроссплатформенное приложение. Бесплатная версия имеет достаточно много возможностей, а полная версия добавляет некоторые функции, параметры синхронизации с другими устройствами и многое другое. Это одно из обязательных приложений для безопасности.

Reslio Sync

Resilio Sync — это ваше собственное облачное хранилище. Версия Resilio Sync для компьютера превращает ваш обычный бытовой компьютер в сервер для хранения данных, а приложение может использоваться для доступа к файлам. Функционал приложения похож на Google Диск или Dropbox, за исключением того, что вы знаете, где хранятся ваши файлы. Это отлично подходит для важных данных и тех, кто не доверяет онлайновому облачному хранилищу, но все же хочет иметь возможность им пользоваться. Приложение очень легко в настройке, даже для новичков, а также совершенно бесплатно. Это одно из самых недооцененных приложений для безопасности.

Signal Private Messenger, Telegram или WhatsApp

На Android существует множество приложений, поддерживающих защищенный обмен сообщениями. Signal Private Messenger, Telegram или WhatsApp — станут отличным выбором. Каждый и этих мессенджеров поддерживает сквозное шифрование сообщения, видеовызовы, групповые сообщения и общий доступ к файлам. Они немного отличаются набором функций, но на ваш выбор скорее всего повлияет то, каким из этих приложений пользуются ваши друзья и собеседники. Они все бесплатны, так что по крайней мере вам не придется беспокоиться об этом.

Мы бы советовали вам опробовать Signal Private Messenger, который использует систему поиска контактов с помощью номера телефона, а если у ваших друзей нет Signal Private Messenger, то они просто будут получать от вас обычные SMS. Приложение можно считать одним из самых безопасных, ведь каждое сообщение, входящее или исходящее, имеет свой код шифрования, который не раскрывается до самого получения, предотвращая любые попытки перехвата. Для того, чтобы полностью обезопасить себя, приложение должно быть установлено у обоих собеседников, но Signal Private Messenger также очень хорошо работает и как автономное приложение для SMS.

Проект Tor (три приложения)

Проект Tor, вероятно, является одним из наиболее очевидных способов обеспечить безопасность и конфиденциальность на любой платформе. К сожалению, приложения для Android не так надежны, как версии для компьютера, но они продолжают совершенствоваться.

На данный момент проект Tor предоставляет доступ к Orfox — браузеру Tor на Android (который все еще в бета версии), и Orbot — прокси-приложению, которое позволяет другим приложениям использовать технологию Tor, чтобы оставаться анонимным. Браузер все еще находится в разработке, и анонимность не может быть гарантирована, но Orbot определенно заслуживает внимания.

В проект также недавно вошло приложение Ooniprobe, которое позволяет вам определить, блокирует ли ваш интернет-провайдер соединение с некоторыми сайтами. Это превосходные приложения для безопасности для тех, кто немного более продвинут.

TunnelBear VPN

Цена: бесплатно / $ 7.99 в месяц / $ 49.99 в год

Список приложений безопасности не будет полным без сервисов VPN, и мы выбрали TunnelBear. Его простота использования и доступность делают его отличным выбором для новичков, поскольку мы предполагаем, что эксперты, вероятно, найдут более элегантное VPN-решение. TunnelBear позволяет вам использовать VPN в различных странах, и эффективно скрывать ваш IP-адрес от используемых сайтов. VPN также позволяет использовать общественный WiFi с большей безопасностью. Бесплатная версия предоставляет 500 Мб бесплатного трафика каждый месяц. Вы также можете получить неограниченное количество данных за 6,99 долл. США в месяц или 49,99 долл. США в год. Это, конечно, один из многих VPN сервисов, и в ближайшее время мы расскажем вам о других вариантах!

BlackBerry Privacy Shade

Цена: бесплатно

Недавно BlackBerry выпустила приложение для обеспечения конфиденциальности BlackBerry Privacy Shade. Это Android приложение имеет очень простую концепцию, но чрезвычайно практично. Оно функционирует именно так, как предполагает его название и позволяет управлять тем, какой контент отображается на экране вашего смартфона.

Современная тенденция к увеличению размеров дисплеев смартфонов имеет обратную сторону. Находясь в вагоне метро или автобусе рядом с незнакомцами вы вынуждены демонстрировать то, что находится на экране вашего смартфона всем окружающим.

BlackBerry Privacy Shade позволяет вам скрывать все, что отображается на вашем экране, показывая выбранную информацию в небольшом окне, чтобы обеспечить приватность при использовании устройства в людных местах.

Чтобы обеспечить быстрый доступ к приложению, BlackBerry добавила его в быстрые настройки в Android Nougat, а если вы используете устройство BlackBerry с дополнительной программируемой клавишей, вы можете назначить запуск BlackBerry Privacy Shade с ее помощью. Если вы хотите опробовать Privacy Shade, то приложение уже доступно в Google Play.

Если вы выбрали один из смартфонов BlackBerry на базе Android — BlackBerry PRIV, DTEK50 или DTEK60, то кроме пакета приложений BlackBerry Hub+ для повышения производительности, на них предустановлены приложения BlackBerry для безопасности пользователя: DTEK для мониторинга активности приложений и Менеджер паролей BlackBerry:

Не пропустите наши обзоры лучших приложений для смартфонов BlackBerry на базе Android:

44 полезных приложения, которыми можно пользоваться абсолютно бесплатно

Ребята, мы вкладываем душу в AdMe.ru. Cпасибо за то,
что открываете эту красоту. Спасибо за вдохновение и мурашки.
Присоединяйтесь к нам в Facebook и ВКонтакте

Недавнее исследование показало, что каждый год компании тратят $ 34 млрд на неиспользуемые лицензии для программного обеспечения. К сожалению, эта проблема касается не только крупных корпораций. Мы уверены, что многие из вас тратят деньги на ПО и приложения впустую, потому что позже находят их бесполезными. Просто непонятно, как так получается, когда есть столько бесплатных приложений высокого качества.

Редакция AdMe.ru собрала для вас лучшие бесплатные приложения на все случаи жизни, и вы точно захотите ими воспользоваться.

Программы навигации

1. Google Maps

В этой программе так много удобных функций, что она просто незаменима! Google Maps доступна бесплатно, к тому же картами можно пользоваться и в режиме офлайн. А при помощи Google Street View можно детально рассмотреть пункт назначения.

2. Maps.me

Maps.me тоже имеет функцию поиска офлайн, предоставляет информацию о дорожном движении и работает по всему миру. Его можно рассматривать как главного конкурента Google Maps.

Образовательные программы

3. Wikipedia

Самая большая и самая популярная энциклопедия на интернет-основе, которую может редактировать любой пользователь.

4. Coursera

Coursera — открытая учебная площадка, включающая образовательные курсы для людей по всему миру.


5. Space Engine

Space Engine дает возможность исследовать Вселенную прямо со своего компьютера. Это реалистичная модель нашей Вселенной, составленная по последним астрономическим данным.

Разбираемся в системе обеспечения безопасности Android

Содержание статьи

Android — молодая операционная система, и ее, как любую другую новорожденную ОС, принято упрекать в отсутствии должного уровня безопасности. Антивирусные компании и профильные аналитики рапортуют о настоящем буме вредоносного ПО для Android и предрекают скорое наступление армии зомби-вирусов, которые опустошат кошельки пользователей. Но так ли уязвим зеленый робот на самом деле?

Введение

На заре своего развития Android стала настоящим магнитом для нападок со стороны антивирусных компаний и независимых исследователей: инженеров Google обвиняли в недальновидности, огромном количестве брешей и общей ненадежности архитектуры Android. Это касалось всех компонентов системы, но основной удар экспертов обрушился на реализацию механизма разграничения прав, который якобы ограничивал приложения друг от друга, но имел брешь в самой своей основе.

В пример обычно приводились приложения, использующие эксплойты ядра Linux, которые позволяли получить права root, а затем сделать с системой все, что захочет злоумышленник. Этих нескольких найденных уязвимостей хватило, чтобы создать в желтой прессе шумиху, которая не улеглась и по сей день.

Но как же обстоят дела на самом деле? Проблема существует или нет? Стоит ли бояться юзерам Android за сохранность своих данных, или перейти на iOS, и как, если это возможно, защитить свои данные от злоумышленников? Обо всем этом повествует наш сегодняшний обзор.

Хакер #166. DDoS

Дыра в дыре?

В своей основе Android полагается на ядро Linux, которое выполняет большую часть грязной работы за него. На Linux ложатся такие заботы, как соблюдение прав доступа, слежение за процессами и их корректным выполнением. На деле это значит, что ни одно приложение Android не может получить доступ к данным другого приложения, пока последнее этого не захочет.

Реализуется это простым и превосходным методом: через соблюдение прав доступа. В Android каждое приложение — это отдельный пользователь со своими правами доступа и полномочиями. Каждое приложение в такой системе получает свой собственный идентификатор пользователя (UID) и собственный каталог внутри каталога /data, так что все его данные защищаются с помощью простых прав доступа, которые разрешают самому приложению читать собственные файлы, но запрещают делать это любому другому процессу.

Увидеть, какому UID принадлежит приложение, можно с помощью любого менеджера задач

В Android это называется песочницей (sandboxing), которая позволяет сберечь данные соседних приложений друг от друга, не позволив зловреду утащить частную информацию, сохраненную любым приложением системы. В песочницу попадают абсолютно все приложения, включая заранее предустановленные на аппарат. Фактически лишь небольшая часть Android работает с правами root, а именно начальный процесс zygote, выполняющий функции контроля за исполнением приложений, и небольшая часть системных сервисов. Все остальные приложения всегда работают в песочницах, поэтому зловред, даже прошедший процедуру «впаривания» пользователю, не может утащить ничего ценного, кроме содержимого SD-карты, доступ к которой по умолчанию открыт всем (позже мы еще вернемся к этому).

Кроме данных отдельно взятых приложений, для доступа закрыта также базовая инсталляция Android, размещаемая на отдельном разделе внутренней NAND-памяти и подключенная к каталогу /system. По умолчанию она смонтирована в режиме только для чтения и, в принципе, не хранит в себе никакой конфиденциальной информации (для ее размещения также используются песочницы в /data), поэтому каким-то хитрым образом прописаться в автозагрузку или модифицировать системные компоненты не получится (если, конечно, не использовать эксплойты для получения прав root, о чем я подробнее расскажу ниже).

Для общения приложениям доступно несколько вариантов IPC, причем родные для Linux средства коммуникации, такие как разделяемая память и сокеты, доступны только процессам, принадлежащим одному приложению, да и то лишь в том случае, если хотя бы часть приложения написана на компилируемом в машинный код языке, то есть с использованием Android NDK. Во всех остальных случаях приложения смогут использовать Binder для безопасного обмена сообщениями и интенты для вызова сторонних приложений (о них мы также поговорим ниже).

Ознакомиться со списком полномочий приложения можно и после его установки

Интересно, что в Android, начиная с версии 2.2, есть понятие администратора устройства, но значит оно совсем не то, что под ним понимают пользователи UNIX и Windows. Это просто API, с помощью которого приложение может изменять политику безопасности паролей, а также запрашивать необходимость в шифровании хранилища данных и производить удаленный вайп смартфона. Это своего рода костыль, который был придуман в ответ на запросы корпоративных пользователей Android, которые хотели получить больший контроль над безопасностью данных на смартфонах сотрудников. Фактически этим API может воспользоваться любое приложение, но для этого пользователь должен явно подтвердить свое намерение предоставить приложению такие полномочия. Также в последних версиях Android появилась возможность загрузки устройства в безопасном режиме, когда пользователь получает доступ только к предустановленным приложениям. Она может понадобиться в случае компрометации устройства сторонним приложением.

Начиная с версии 3.0, Android имеет встроенную поддержку шифрования всех пользовательских данных с помощью стандартной подсистемы dmcrypt ядра Linux. Шифрование производится в отношении того самого каталога /data алгоритмом AES128 в режиме CBC и ESSIV:SHA256 с помощью ключа, генерируемого на основе пароля, который необходимо ввести во время загрузки ОС. При этом стоит учитывать, что карта памяти не шифруется, поэтому сохраненные на ней данные остаются полностью открытыми.

Приложения и права доступа

Наряду с песочницей, одним из основных механизмов системы безопасности Android являются права доступа приложений к функциям системы Android (привилегии), которые позволяют контролировать, какие именно возможности ОС будут доступны приложению. Это могут быть как функции работы с камерой или доступ к файлам на карте памяти, так и возможность использования функциональности, которая может привести к утечке информации со смартфона (доступ в Сеть) либо к трате средств пользователя со счета мобильного оператора (отправка SMS и совершение звонков).

У Android есть замечательная особенность: абсолютно любое приложение обязано содержать в себе информацию о том, какие именно из функций Android оно может использовать. Эта информация заключена в файле AndroidManifest.xml внутри APK-файла и извлекается инсталлятором перед установкой приложения для того, чтобы пользователь смог ознакомиться с тем, к какой функциональности смартфона приложение сможет получить доступ. При этом пользователь должен в обязательном порядке согласиться с этим списком перед установкой приложения.

На заре становления Android такой подход был раскритикован как слишком наивный, однако, как показало время, его эффективность получилась чрезвычайно высокой. Несмотря на то что большинство пользователей игнорирует список привилегий перед установкой приложения, многие ознакомляются с ним и, если обнаруживают какие-то несоответствия (например, когда игра запрашивает возможность отправки SMS или доступ к адресной книге), рассказывают об этом в отзывах и ставят одну звезду. В результате приложение очень быстро получает низкий суммарный рейтинг и большое количество негативных комментариев.

Также хочется заметить, что все возможные привилегии достаточно четко и логично разделены, благодаря чему злоупотребления привилегиями практически не бывает. Например, приложение может потребовать возможность читать SMS, но не отправлять их или получать уведомления о пришедшем сообщении. Фактически единственный серьезный недостаток системы привилегий был найден только в том, что инженеры Google вообще не предусмотрели никаких ограничений на чтение карты памяти (запись тем не менее ограничена), посчитав это бессмысленным для съемных накопителей. В свое время эта «брешь» привела к возможности получения координат смартфона, выуженных из кеша стандартного приложения «Галерея», который хранился на карте памяти. Что, в свою очередь, вынудило Google добавить в настройки последних версий Android опцию, после активации которой система будет явно спрашивать пользователя о возможности доступа какого-либо приложения к SD-карте.

Еще одна важная особенность такой системы заключается в том, что пользовательские настройки всегда будут приоритетнее запросов приложений, а это значит, что, если пользователь отключит GPS, приложение никак не сможет включить его самостоятельно даже при наличии всех прав на использование GPS. При этом некоторые функции ОС недоступны для приложений вовсе. Например, манипулировать SIM-картой имеет право только операционная система, и никто, кроме нее.

Проверка привилегий идет на самом низком уровне ОС, в том числе на уровне ядра Linux, так что для обхода этой системы безопасности зловреду придется не только получить права root на устройстве, но и каким-то образом скомпрометировать ядро, что гораздо более сложная задача.

Как уже было сказано выше, приложения могут обмениваться информацией, используя стандартные для Android средства коммуникации Binder, интенты (Intents) и провайдеры данных (Content Provider). Первый представляет собой механизм удаленного вызова процедур (RPC), реализованный на уровне ядра Linux, но контролируемый системным сервисом Service Manager. С точки зрения программного интерфейса Binder является всего лишь средством импорта объектов из другого приложения, но с точки зрения безопасности полностью контролируется обсуждаемым выше механизмом разграничения прав доступа. Это значит, что приложения смогут получить доступ друг к другу только в том случае, если оба этого захотят. Это особенно важно в свете того, что в Android Binder является основным средством коммуникации, на основе которого построен графический интерфейс, а также другие компоненты ОС, доступные программисту. Доступ к ним ограничивается с помощью обсуждаемого выше механизма привилегий. Как системные компоненты, так и сторонние приложения могут ограничивать доступ к своей функциональности с помощью декларации прав на доступ к своим функциям. В случае системных компонентов все они описаны в документации для программистов Android-приложений. Независимые разработчики, которые хотят открыть API к своим приложениям, должны описать требуемые для этого привилегии в AndroidManifest.xml и опубликовать соответствующую документацию. Все это относится также к провайдерам данных (Content Provider), специальному интерфейсу (также реализованному поверх Binder), с помощью которого приложения могут открывать доступ к своим данным другим приложениям. В Android провайдеры данных везде, это и адресная книга, и плей-листы, и хранилище настроек. Доступ к ним опять же ограничивается с помощью механизма привилегий и прав доступа.

Мастер Йода рекомендует:  Мощнейшая атака на корневые DNS сервера

Поверх Binder также реализована так называемая технология интентов, простых широковещательных сообщений. Приложения могут посылать их «в систему» с целью вызова внешних приложений для совершения какого-либо действия. Например, приложение может использовать интенты для вызова почтового клиента с указанием адреса, открытия веб-страницы, каталога в файловой системе и всего, что может быть записано в виде URI. Система автоматически находит все приложения, способные принимать данный тип интентов (а точнее URI-адресов), и передает URI им (а точнее, одному из них, выбранному пользователем). То, какие типы интентов может принимать и обрабатывать приложение, определяет программист во время сборки приложения. Кроме того, он может использовать фильтрацию по содержимому URI, чтобы избежать «спама».

Принцип работы Binder

Сами по себе перечисленные механизмы обмена данными и вызова функций приложений, контролируемые с помощью системы привилегий, в Android реализованы достаточно четко и ясно, однако они могут привести к проблемам в том случае, если программист недостаточно серьезно относится к декларации привилегий, необходимых для доступа к своему приложению. Это может привести к утечкам информации или возможности задействования функциональности приложения кем угодно. Например, в первых версиях Dropbox для Android имелась проблема с правильным определением привилегий, которая приводила к тому, что любое установленное приложение могло использовать Dropbox-клиент для заливки какой угодно информации на «облачный диск» www.securelist.com.

Защита от срыва стека

Для защиты приложений, созданных с использованием Android NDK, а также системных компонентов, написанных на языке Си, Android включает в себя обширный набор механизмов защиты от срыва стека, в свое время реализованных самыми разными разработчиками для различных проектов. В Android 1.5 системные компоненты были переведены на использование библиотеки safe-iop, реализующей функции безопасного выполнения арифметических операций над целыми числами (защита от integer overflow). Из OpenBSD была позаимствована реализация функции dmalloc, позволяющая предотвратить атаки с использованием двойного освобождения памяти и атаки согласованности чанков, а также функция calloc с проверкой на возможность целочисленного переполнения во время операции выделения памяти. Весь низкоуровневый код Android, начиная с версии 1.5, собирается с задействованием механизма компилятора GCC ProPolice для защиты от срыва стека на этапе компиляции.

В версии 2.3 в коде были устранены все возможные уязвимости манипуляции со строками, выявленные с помощью сборки исходных текстов с флагами ‘-Wformat-security’, ‘-Werror=format-security’, а также применены «железные» механизмы защиты от срыва стека (бит No eXecute (NX), доступный начиная с ARMv6). Также Android 2.3 задействует метод защиты от уязвимости, найденной в ноябре 2009 года во всех ядрах Linux 2.6 (возможность разыменования NULL-указателя), с помощью записи отличного от нуля значения в файл /proc/sys/vm/mmap_min_addr. Такой метод защиты позволил устранить уязвимость без необходимости в обновлении самого ядра Linux, что невозможно на многих устройствах.

Начиная с версии 4.0, Google внедрила в Android технологию Address space layout randomization (ASLR), которая позволяет расположить в адресном пространстве процесса образ исполняемого файла, подгружаемых библиотек, кучи и стека случайным образом. Благодаря этому эксплуатация многих типов атак существенно усложняется, поскольку атакующему приходится угадывать адреса перехода для успешного выполнения атаки. В дополнение, начиная с версии 4.1, Android собирается с использованием механизма RELRO (Read-only relocations), который позволяет защитить системные компоненты от атак, основанных на перезаписи секций загруженного в память ELF-файла. В той же версии 4.1 была впервые активирована функция ядра dmesg_restrict (/proc/sys/kernel/dmesg_restrict), появившаяся в ядре 2.6.37 и позволяющая отключить возможность чтения системного журнала ядра (dmesg) непривилегированными пользователями.

-В альтернативной Android-прошивке MIUI ни одно стороннее приложение не сможет отправить SMS без явного подтверждения со стороны пользователя.

-CyanogenMod расширяет стандартный механизм полномочий Android возможностью отмены любого полномочия уже после установки приложения.

    В рамках экспериментального проекта SE Android идет работа над форком Android с активированной системой безопасности SELinux.

Репозиторий приложений

Репозиторий приложений Google Play (в девичестве Android Market) всегда был самым слабым местом Android. Несмотря на то что механизм, требующий от приложений обязательного указания списка своих привилегий перед установкой, изначально работал правильно и позволял создать экосистему, в которой пользователи сами бы могли предупреждать друг друга о возможном зловредном поведении программы, опубликованной в репозитории, пользователи то и дело заражали свои смартфоны вирусами.

Основная проблема здесь заключалась в том, что приложение и его автор не подвергались каким-либо серьезным проверкам перед публикацией пакета в репозиторий. Фактически все, что нужно было сделать, — это написать программу, создать аккаунт в Google Play, внести членский взнос и опубликовать приложение. Все это мог сделать абсолютно любой человек, выложив в Маркет любой код, что и было многократно продемонстрировано в различных исследованиях безопасности Android.

Чтобы хотя бы частично решить эту проблему, не прибегая к ручной проверке приложений на безопасность, как сделано в Apple App Store, Google в начале этого года ввела в строй сервис Bouncer, представляющий собой виртуальную машину, в которой автоматически запускается любое публикуемое в репозитории приложение. Bouncer выполняет многократный запуск софтины, производит множество действий, симулирующих работу пользователя с приложением, и анализирует состояние системы до и после запуска с целью выяснить, не было ли попыток доступа к конфиденциальной информации, отправки SMS на короткие платные номера и так далее.

По словам Google, Bouncer позволил сократить количество вредоносов сразу после запуска сервиса на 40%. Однако, как показали дальнейшие исследования, его можно было легко обойти: проанализировать некоторые характеристики системы (e-mail-адрес владельца «смартфона», версию ОС и так далее) и затем создать приложение, которое при их обнаружении не будет вызывать подозрений, а после попадания на настоящий смартфон делать всю грязную работу.

Скорее всего, Google уже разработала схему противодействия обнаружению Bouncer с помощью генерации уникальных виртуальных окружений для каждого нового приложения, но так или иначе вирусы будут продолжать проникать в Google Play, и стоит быть внимательным при установке приложений, обязательно читая отзывы пользователей и анализируя список полномочий приложения перед его установкой.

Ревью кода и обновления

Последнее, но не менее важное, о чем хотелось бы сказать, говоря о системе безопасности Android, — это ревью кода и процесс реагирования команды разработчиков на появление новых уязвимостей. Когда-то программисты OpenBSD показали, что это один из наиболее важных аспектов разработки безопасной ОС, и Google следует их примеру достаточно четко.

В Google на постоянной основе работает команда безопасности Android (Android Security Team), задача которой заключается в том, чтобы следить за качеством кода операционной системы, выявлять и исправлять найденные в ходе разработки новой версии ОС ошибки, реагировать на отчеты об ошибках, присланные пользователями и секьюрити-компаниями. В целом эта команда работает в трех направлениях:

  • Анализ новых серьезных нововведений ОС на безопасность. Любое архитектурное изменение Android должно быть в обязательном порядке одобрено этими ребятами.
  • Тестирование разрабатываемого кода, в котором принимают участие также Google Information Security Engineering team и независимые консультанты. Идет постоянно на протяжении всего цикла подготовки нового релиза ОС.
  • Реагирование на обнаружение уязвимости в уже выпущенной ОС. Включает в себя постоянный мониторинг возможных источников информации о найденной уязвимости, а также поддержку стандартного баг-трекера.

Если уязвимость будет обнаружена, команда безопасности начинает следующий процесс:


  1. Уведомляет компании, входящие в альянс OHA (Open Handset Alliance), и начинает обсуждение возможных вариантов решения проблемы.
  2. Как только решение будет найдено, в код вносятся исправления.
  3. Патч, содержащий решение проблемы, направляется членам OHA.
  4. Патч вносится в репозиторий Android Open Source Project.
  5. Производители/операторы начинают обновление своих устройств в режиме OTA или публикуют исправленную версию прошивки на своих сайтах.

Особенно важным в этой цепочке является тот факт, что обсуждение проблемы будет происходить только с теми членами OHA, которые подписали соглашение о неразглашении. Это дает гарантию, что общественность узнает о найденной проблеме только после того, как она уже будет решена компаниями, и фикс появится в репозитории AOSP. Если же об уязвимости станет известно из общедоступных источников (форума, например), команда безопасности сразу приступит к решению проблемы в репозитории AOSP, так чтобы доступ к исправлению получили сразу все и как можно скорее.

Приложениям вход в каталог с частной информацией других приложений закрыт

Опять же слабым местом здесь остаются производители устройств и операторы связи, которые могут затянуть с публикацией исправленной версии, несмотря на ранний доступ к исправлению.

В выводе ps хорошо видно, что все приложения с правами разных пользователей

  • Подробное разъяснение реализации системы шифрования Android;
  • описание системы полномочий для разработчиков приложений;
  • руководство по созданию безопасных Android-приложений.

Выводы

Как и любая другая операционная система, Android не лишена уязвимостей и различных архитектурных допущений, упрощающих жизнь вирусописателей. Но говорить о том, что Android уязвима по определению, также не стоит. В ней явно прослеживается влияние последних тенденций в разработке безопасных операционных систем. Это и песочницы для приложений, и четко контролируемый системой механизм обмена данными между приложениями, и наработки проекта OpenBSD — единственной ОС общего назначения, разработка которой всегда велась с упором на безопасность.

Безопасные сайты с бесплатными программами для Windows

Безопасные сайты с бесплатными программами для Windows

Сайты с бесплатным программами для Windows нередко становятся источниками опасных вирусов, загружаемых вместе с нужным вам ПО или же вместо него. Защититься от таких угроз и быть уверенным, что под кнопкой скачивания не скрывается зловред, позволяют специальные сервисы для проверки репутации веб-ресурсов. Именно с их помощью и был создан этот список безопасных источников.

Установка происходит в фоновом режиме без каких-либо подтверждений и дополнительных соглашений. С помощью этого же файла весь полученный софт впоследствии можно обновлять, загружая свежие версии программ.

Это один из крупнейших веб-сайтов, предоставляющих возможность поиска и загрузки нужного ПО. В его библиотеке сотни тысяч различных приложений, утилит и драйверов. Все они регулярно обновляются, чтобы пользователи получали только свежие и актуальные версии.

Softpedia отличается максимально удобным и быстрым поиском с привязкой к операционной системе или лицензии ПО. Есть сортировка результатов по категориям, рейтингу, количеству скачиваний и новинкам. Никакой регистрации для загрузки программ не потребуется.

В левом блоке сайта доступен поиск программ по разделам, а чуть ниже — по названию. Справа всегда можно найти рейтинг самого популярного. В основном блоке по центру отображаются самые свежие публикации, а также новости, обзоры и гайды.

Скачивать нужные программы можно как по отдельности, так и через фирменный инсталлятор. Последний позволит автоматически обновлять все установленные через FileHippo приложения.

5. Download Crew

Каждая программа в списке по категориям дополняется короткой характеристикой с указанием её главных особенностей. Это позволяет не тратить время на переходы и изучение полного описания. Даже с минимальными знаниями английского можно сразу понять, о чём идёт речь.

Как и многие другие подобные ресурсы, FilePuma предлагает собственную утилиту для обновления всех установленных с сайта программ.

Нередко на SnapFiles появляются пользовательские мини-обзоры, доступные в отдельном разделе сайта. Из них можно узнать немало интересных деталей, не указанных в официальном описании на сайте.

Безопасность приложения: это почти просто

— Дай мне справку, что моя программа безопасна.

— Нет проблем! А что ты для этого делал?

— Э… Ну… Это… Ничего…

— А почему ты тогда думаешь, что она безопасна?

— Нет проблем! Все удовольствие будет стоить X0000 долларов.

О статье

В этой статье я рассказываю о некоторых практиках создания безопасного программного обеспечения.

Первая ее часть посвящена безопасному программированию.

С одной стороны, методы безопасного программирования известны. Накоплен опыт их использования, написано много литературы.

С другой стороны, применяют их не очень часто. Для многих программистов и менеджеров проекта они остаются не очень понятной экзотикой.

Статья, конечно, не претендует на полное освещение этого вопроса. Но пусть это будет маленький шажок в нужном направлении. И, надеюсь, вы убедитесь, что в безопасном программировании нет ничего такого уж необычного.

Во второй части я рассказываю о менее известных аспектах безопасности приложений. Но, в некотором смысле, эти аспекты даже более важны, чем использование методик безопасного программирования.

Внимание! Статья большая и подразумевает внимательное прочтение.

Часть I. Безопасное программирование

Знайте свои технологии

У каждой технологии есть две стороны. Одна сторона — свойства, полезные нашему пользователю, мы используем их в своих продуктах; вторая сторона — свойства, которые может использовать взломщик, слабости технологии. Иногда технология слаба настолько, что ее использование нельзя оправдать ни при каких условиях. Например, функция gets в программе на C — практически всегда зло. Другие технологии использовать можно, принимая необходимые для защиты меры. Так использование SQL сервера потенциально может открыть возможность для sql injection. Но мы знаем, как с этим бороться и просто должны предпринять необходимые меры защиты.

Мы должны знать обе стороны наших технологий. Как сделать полезную программу — это главное знание любого программиста, благодаря этому знанию мы зарабатываем деньги. Поэтому вполне понятно, что основное наше время мы посвящаем изучению этой стороны.

Но хороший специалист понимает и вторую сторону. Мы не обязаны знать, как взломщик будет нас атаковать, мы не обязаны уметь создавать эксплойт под ту или иную уязвимость. Но мы должны понимать, какие наши действия могут привести к появлению уязвимостей, и как мы можем этого избежать.

В интернете сейчас есть несколько хороших ресурсов, посвященных этой теме.

Один их таких ресурсов — «The Open Web Application Security Project». Как следует из названия, проект посвящен безопасности веб приложений, однако эту же информацию можно применять и при программировании в других областях. Сайт сделан в популярной сейчас форме википедии, и состоит из отдельных статей; есть списки этих статей, сгруппированные по разным принципам. Указатель на статьи, сгруппированные по технологиям, можно найти по следующему адресу.

Я и дальше буду неоднократно ссылаться на OWASP. Этот проект — очень ценный ресурс для специалистов, занимающихся безопасностью приложений.

Очень хорошим источником информации может послужить сайт Common Weakness Enumeration. Сайт содержит интересную нам информацию в виде каталога, в котором перечислены причины возникновения уязвимостей в программном обеспечении. Воспринимается он сложнее, чем OWASP, но может оказаться более удобным, например, при формировании списков проверки.

Сверяйтесь с этими сайтами регулярно. Информация о безопасности технологий постоянно обновляется, здесь как в зазеркалье: чтобы оставаться на месте, надо бежать со всех ног.

Используйте библиотеки

Не изобретайте велосипед! Конечно, всем нам очень интересно сделать что-то свое. Но в безопасности изобретательство приводит к очень неприятным последствиям, поэтому используйте проверенные средства.


Сейчас существует большое количество разнообразных библиотек. Вы можете найти готовые решения почти для любой задачи, причем найти можно и платные библиотеки, и библиотеки с открытым кодом.

Например, для реализации криптографических методов можно рекомендовать openssl. Библиотека хорошо известна, проверена в достаточной для большинства из нас степени, распространяется под свободной лицензией.

Веб программистам, использующим Java EE, может понравиться ESAPI. Эта библиотека создана в рамках уже упоминавшегося здесь проекта OWASP, она реализует множество методов, необходимых для создания безопасных веб приложений. В библиотеке присутствуют функции, осуществляющие фильтрацию входных данных, аутентификацию пользователя, проверку прав доступа, и многое другое. Код лицензирован под BSD лицензией, допускающей очень широкое использование.

К сожалению, ESAPI сейчас не развивается. Тем не менее, это хорошо зарекомендовавшая себя библиотека, и есть основания надеяться, что ее поддержка будет возобновлена.

Возможно, имеет смысл обратить внимание и на другую библиотеку для JAVA, Coverity Security Library. Библиотека была выпущена в конце прошлого года и пока отзывов о ней не так много. Тем не менее, создана она известной в области безопасности приложений компанией, и, можно надеяться, они понимают, что делают.

Это только некоторые возможности. Я упомянул их исключительно в качестве примера, список библиотек далеко не ограничен только ими. Более того, многие современные фреймворки также содержат необходимые функции. Обращайте только внимание, кто разрабатывал эту библиотеку, насколько хорошо она проверена и протестирована.

Иногда в проекте невозможно использование чужих библиотек. В крайнем случае (совсем-совсем крайнем!) напишите свою, тщательно ее проверьте и протестируйте, попросите специалистов проверить и протестировать, еще раз сами тщательно проверьте и протестируйте. Используйте функции из этой библиотеки в своем коде, не пишите новые методы, каждый раз, когда они вам нужны.

В безопасности вообще так: меньше велосипедов — лучше решение.

Делайте самопроверку

Мы все торопимся. Код, который мы пишем сейчас, надо было сдать еще вчера, поэтому единственное необходимое для него качество — он должен компилиться. Ну, может быть, он еще должен делать что-то полезное, проходить какой-то набор тестов.

Остановитесь. Когда вы только написали свой код, еще до его компиляции, сделайте небольшой перерыв, отдохните, забудьте про код. После перерыва посмотрите на написанное с разных сторон: проверьте синтаксис, соответствие кода корпоративному стандарту; проверьте логику кода; проверьте его соответствие требованиям безопасности («знайте свои технологии», помните?).

Вы сэкономите много времени. Хотя, кажется, что время теряется зря, оно вернется за счет существенного сокращения отладки приложения.

Самопроверка является признанной практикой создания качественного ПО. Так она включена в PSP (Personal Software Process), процесс, разработанный специально для создания качественного продукта в условиях жестких временны́х и финансовых ограничений.

Обратите внимание: суета — враг не только качества, но и быстроты.

Используйте утилиты проверки кода

Человеку свойственно делать глупые ошибки. При этом все программисты знают, что именно глупые ошибки труднее всего обнаружить: какая-нибудь непоставленная точка с запятой может привести к потере целого дня (если не больше).

Человеку сложно помнить все сразу. Для уязвимостей существует огромное количество причин; чтобы избежать проблем, надо помнить их все, надо проверять программу на их наличие. Более того, взломщики не стоят на месте: то, что считалось безопасным вчера, сегодня уже может быть уязвимо.

Частично уменьшить проблемы с глупыми ошибками и быстро меняющимся миром могут утилиты автоматизированного анализа. Эти программы просматривают код и ищут в нем признаки возможных проблем с безопасностью. Автоматизированные утилиты хороши тем, что могут быстро и почти без участия человека находить многие типы уязвимостей, давая возможность программисту обращать больше внимания на другие проблемы. Зачастую, эти утилиты могут проводить достаточно сложный анализ, который у человека занял бы очень много времени. Некоторые из этих возможностей уже встроены в современные компиляторы, надо только знать, как их включить.

Не стоит только слишком полагаться на автоматизированный анализ. К информации, выдаваемой подобными программами, надо относиться примерно так же, как мы относимся к предупреждениям компилятора. Мы все знаем, что отсутствие предупреждения еще не значит отсутствие ошибки; такие сканеры обнаруживают далеко не все уязвимости, даже хорошо известного им типа. С другой стороны, наличие предупреждения еще не является доказательством наличия проблемы, и бездумное стремление избавиться от всех предупреждений иногда может привести только к более серьезным уязвимостям.

Автоматизация может освободить наше время для чего-то более интересного. Если часть своей работы можно поручить компьютеру, то почему бы это не сделать?

Тестируйте

Чтобы быть безопасной, программа должна демонстрировать определенное поведение. Например, при попытке ввода слишком длинной строки программа должна ее либо отвергать, либо обрезать; при попытке ввода специальных символов данные должны либо отвергаться, либо символы должны специальным образом кодироваться.

Такое поведение может быть протестировано. И мы получаем все преимущества автоматизированного тестирования программы: его можно проводить часто, практически без участия человека.

Не буду здесь давать никаких ссылок. В тестировании безопасного поведения нет никаких особенностей по сравнению с обычным функциональным тестированием. Вы можете использовать все свои наработки, включая TDD, непрерывную интеграцию, и все остальное, что вы знаете лучше меня. Конечно, вы должны уметь описать безопасное поведение (опять, «знайте свои технологии»).

Не все может быть протестировано эффективно. Например, использование функции gets() почти всегда приводит к переполнению буфера; эта проблема может быть обнаружена при тестировании. Но более эффективно обнаруживать ее с помощью автоматизированного сканирования кода: простой grep легко с этим справляется. Пример, конечно, сильно утрирован, но может являться хорошей отправной точкой для обдумывания возможностей тестирования безопасности.

Тестирование не может решить всех проблем безопасности. Но если что-то возможно протестировать автоматически, почему этим не пользоваться?

Мастер Йода рекомендует:  Обзор плагина Yoast SEO для Wordpress

Делайте code review

Ревизия кода — самый эффективный способ обнаружения ошибок. Причем он наиболее эффективен как с точки зрения количества обнаруживаемых дефектов, так и с точки зрения стоимости (времени) их обнаружения. Так Стив Макконнел в своей книге «Совершенный код» приводит ссылку на исследование компании IBM, в котором обнаружили, что один час, инвестированный в ревизию кода, сохраняет до 100 часов тестирования и устранения ошибок. Хотя я думаю, что число 100 будет достигаться очень редко, тем не менее, это очень хороший повод задуматься.

Ревизию кода можно организовать по-разному. В этой роли может выступать и парное программирование, и неформальный просмотр кода коллегами-программистами, и очень формальная инспекция с привлечением специалиста по безопасному программированию. Многое зависит от поставленных целей: чем более высокие требования предъявляются к программе, тем большее количество людей должны быть вовлечены в ревизию, тем более формально она должна проводиться.

Организация ревизии зависит и от квалификации программистов. Очевидно, если они сами в достаточной мере знакомы с принципами безопасного программирования, привлекать стороннего специалиста не имеет смысла, и неформальной процедуры вполне может быть достаточно. С другой стороны, привлечение стороннего специалиста к участию в сильно формализованной инспекции кода может стать важной частью программы обучения программистов.

И опять OWASP. Конечно, этот проект не мог обойти такую важную методологию стороной. Поэтому, если вы собираетесь проводить ревизию кода в своем проекте (я вас еще не убедил это делать?) соответствующая страница этого сайта — хорошая точка для старта.

Так вы еще не делаете code review? Нет вам прощения.

Используйте все меры в комплексе

Э… Здесь что-то надо писать?

Часть II. Проектирование безопасности

Мотивирующая аналогия

Давайте пока отвлечемся от безопасности. Одной из самых часто встречающихся программистам задач является изменение уже существующей программы. Нам не очень часто доводится создавать программу «с нуля», а вот изменять («поддерживать») уже существующую — сколько угодно.

Итак, нам предстоит изменить существующую программу. И пусть это будет «существенное» изменение, чтобы это не значило, каждый программист легко может сам додумать ситуацию.

Есть одна проблема. Программа при своей начальной разработке не была предназначена для изменений. Не знаю почему: то ли не подумали, то ли очень спешили — не важно, есть результат. Программа состоит из большого количества модулей, сильно зависимых друг от друга. Делая небольшие изменения в одном модуле, мы ломаем другие. Знакомо?

Серьезная ли это проблема?

Пусть у нас есть программа в 100 строк. Думаю, каждый более или менее квалифицированный программист легко внесет в нее любое, даже очень «существенное», изменение. И займет у него это, если не день, то уж не больше двух-трех, здесь смешно даже обсуждать «изменение».

Программа в 10 тысяч строк. Задача будет уже не из самых легких, но, если постараться, то можно решить и ее.

Программа в 1 миллион строк. Здесь все очень сложно: можно сильно упереться и решить задачу, но может оказаться быстрее и дешевле выбросить весь код и написать заново.

Конечно, я взял размеры программ «с потолка». Понятно, что все будет зависеть и от «существенности» изменений, и от степени запущенности проблемы. Но с подобным сталкиваемся мы все, и каждый представляет, как быстро растет сложность модификации программы с ростом ее размера.

Поэтому все мы знаем про SOLID и, возможно, про другие подобные принципы. Если программа с самого начала проектировалась и развивалась с учетом этих принципов, то поддерживать ее становится намного проще. Для очень больших программ проектирование с учетом дальнейшей поддержки вообще становится необходимым условием ее возможности.

А теперь вернемся к безопасности.

Принципы безопасных архитектуры и дизайна

В безопасности есть свой «solid». Не думаю, что это заявление кого-то из вас удивит: про существование этих принципов все (или почти все) знают, на них регулярно ссылаются в обсуждениях на этом сайте.

Давайте я напомню эти принципы:

  • простота механизмов (economy of mechanism);
  • безопасность по умолчанию (fail-safe defaults);
  • полное проникновение защиты (complete mediation);
  • открытый дизайн (open design);
  • разделение полномочий (separation of privilege);
  • минимум привилегий (least privilege);
  • минимизация разделения ресурсов (least common mechanism);
  • психологическая приемлемость (psychological acceptability).



Эти принципы были сформулированы почти 40 лет назад в статье “The Protection of Information in Computer Systems”. Сейчас к ним любят добавлять еще несколько правил (пример), но факт тот, что эти принципы известны уже давно, и они остаются верными до настоящего времени. Есть и примеры удачных решений, построенных в соответствии с этими принципами.

Казалось бы, проектируй себе на здоровье, людям на безопасность.

Но одних только принципов не достаточно. Строить безопасную систему, зная только общие принципы безопасности, можно. Но это будет напоминать решение задач по геометрии, с опорой только на ее аксиомы. Для того чтобы проектирование было эффективным, очень полезно знать типовые подходы, готовые решения.

Мы должны использовать шаблоны.

Шаблоны безопасных архитектуры и дизайна

В нашей работе постоянно возникают повторяющиеся задачи. Каждая система, каждая программа в чем-то похожа на многие другие. И для стандартных задач существуют стандартные решения — шаблоны.

Шаблоны хороши своей проверенностью. Каждый шаблон возник из опыта, он является результатом проб, ошибок, улучшений, устранения найденных проблем. Применяя шаблон, мы можем достаточно точно предсказать, к каким последствиям это приведет, какая от него будет польза, с какими проблемами придется бороться.

В программировании хорошо известны design patterns. Это шаблонные решения задач, возникающих при проектировании программ. Их использование существенно упрощает нам жизнь: надо привести стоящую перед нами задачу к стандартной, и применить уже имеющееся, заведомо работающее решение. Поэтому книга «банды четырех» — практически обязательное чтение для любого программиста.

Шаблонами проектирование дело не ограничивается: шаблоны существуют на всех уровнях. Есть шаблоны архитектуры (вспомним, хотя бы MVC), есть шаблоны написания кода, есть шаблоны пользовательского интерфейса, есть шаблоны поведения программы. Практически на каждую возникающую задачу есть свои шаблонные решения.

В безопасности также имеются свои шаблоны. Шаблонные решения есть для всех уровней построения информационной системы. Существуют шаблоны безопасности предприятия в целом, включающие организационные меры защиты; существуют шаблоны построения информационной системы, как чисто технической сущности; и существуют шаблоны безопасных приложений.

Нас, конечно, интересуют шаблоны безопасности приложений. Здесь тоже можно говорить о разных уровнях: существуют шаблоны безопасного поведения, и шаблоны структуры безопасной программы.

Безопасность программы часто связывается именно с ее безопасным поведением. Оно включает в себя, например аутентификацию пользователя, проверку прав его доступа, фильтрацию входных данных. Поведение — это то, что легко можно показать, протестировать; именно поэтому маркетологи обычно «продают» исключительно функции безопасности.

Но я хочу обратить внимание читателей на структуру безопасной программы. Да, она находится в тени: ее сложно продемонстрировать, ее сложно продать.

Но от структуры программы безопасность зависит в неменьшей степени, чем от ее поведения. От структуры программы зависит вероятность сделать в ней ошибку; от структуры программы зависит, станет ли эта ошибка уязвимостью; от структуры программы зависит, насколько серьезна будет эта уязвимость. Например, задумайтесь, какая ошибка приведет к более серьезным последствиям: в коде, который имеет доступ к важным данным, или в коде, который такого доступа не имеет?

Думаю, вы и без моих объяснений понимаете важность архитектуры и дизайна программы. Поэтому осмелюсь порекомендовать вам две публикации, посвященные структурным шаблонам безопасных программ.

Первая публикация — «Security Design Patterns» (pdf). На мой взгляд, это одна из самых качественных публикаций, посвященных структурным паттернам безопасных программ. Она была опубликована почти 10 лет назад, в 2004 году консорциумом Open Group. В этой публикации вы найдете как методику проектирования безопасности с использованием шаблонов, так и описание многих из них.

Например, очень интересно описание шаблона «Protected System». В других источниках он более известен, как «Reference Monitor», и очень часто упоминается в литературе. Но, чаще всего, именно упоминается: в большинстве других публикаций ему посвящается от силы полстраницы. В работе Open Group использование шаблона «Protected System» разбирается очень подробно, в том числе продемонстрированы возможные варианты его использования.

Вторая публикация — «Secure Design Patterns» (pdf). Это более свежая информация, отчет о работе, проделанной в Software Engineering Institute и спонсированной Министерством обороны США.

Отчет SEI представляет собой каталог известных на момент публикации шаблонов безопасности. Причем представлены шаблоны трех разных уровней: шаблоны архитектуры, шаблоны дизайна и шаблоны реализации. Поэтому работа может быть использована как очень хороший источник информации по данной теме.

Существует и другая литература. Но, на мой взгляд, двух упомянутых источников будет достаточно, хотя бы для начала. Разобравшись с имеющейся в них информацией, вы уже сможете создавать существенно более безопасные программы.

Читайте, думайте, применяйте.

Заключение

Простую программу сделать безопасной очень легко. Для этого не надо много думать, планировать: на безопасность надо только немного обратить внимание, применить практики безопасного программирования, описанные в первой части этой статьи.

Задумываясь о дизайне средней по сложности программы, вы сэкономите себе много времени, денег и, возможно, сохраните свою репутацию.

Качественная архитектура и дизайн сложной программы — единственный способ сделать ее безопасной.

Вспомните об этом, когда следующий раз будете планировать новую программу или рефакторинг уже существующей.

P.S. Статья получилась большой. Я не стал делить ее на части, очень хотелось сохранить ее целостность. Надеюсь, было интересно, и я не слишком вас загрузил.

В качестве маленького бонуса добавлю микрообзор литературы по теме статьи.

1. Steve McConnel, “Rapid Development. Taming Wild Software Schedulers”, Microsoft Press 1996

Очень интересная книга. Автор описывает различные технические и управленческие технологии, позволяющие эффективно разрабатывать высококачественное программное обеспечение.

Важная мысль из этой книги: быстрая разработка не значит хаотическая. Быстрота достигается не за счет отсутствия планирования, а, наоборот, за счет тщательного планирования, предсказания возможных проблем.

2. Steve McConnell, “Code Complete: A Practical Handbook of Software Construction”, Microsoft Press, Second Edition, 2004

Вероятно, одна из самых необходимых любому программисту книг. Является энциклопедией программирования: описывает как стили кода, так и многие практики его разработки.

С точки зрения безопасности: плохо написанная программа не может быть безопасна.

3. Eric J. Braud “Software Engineering: An Object-Oriented Perspective”, Wiley Computer Publishing, 2001

В нашей стране эта книга вышла под названием «Технология разработки программного обеспечения».

Содержание книги полностью соответствует ее названию. Обсуждается технология разработки, начиная от сбора информации о потребностях пользователя и заканчивая сопровождением.

С точки зрения безопасности, книга интересна вниманием к качественным, нефункциональным свойствам программных продуктов, каковым и является их безопасность.

4. Len Bass, Paul Clements, Rick Kazman, “Software Architecture in Practice”, Addison-Wesley Professional, Second Edition, 2003

Книга ведущих мировых специалистов в области архитектуры программного обеспечения.

Описывается связь структуры (архитектуры) программного обеспечения и нефункциональных ее свойств: быстродействия, модифицируемости, безопасности и других.

Обсуждаются вопросы проектирования архитектуры, как компромиссного решения, оптимальным образом удовлетворяющего потребности клиента.

5. Paul Clements, Felix Bachmann, Len Bass, David Garlan, James Ivers, Reed Little, Robert Nord, Judith Safford “Documenting Software Architectures. Views and Beyond” Addison-Wesley Publishing 2008

Еще одна книга ведущих мировых специалистов в области архитектуры программного обеспечения.

Важной идеей книги является отсутствие одной, годной для описания всех свойств программного продукта «архитектуры». Полное описание архитектуры является объединением разных «точек зрения».

Нам важно понимание, как должна быть описана архитектура программы для анализа ее безопасности. Не всегда описание, предлагаемое другими проектировщиками, может быть использовано специалистом по безопасности, тогда он должен создать свое.

6. Richard N. Tailor, Nenad Medvidovic, Eric M. Dashfy, “Software Architecture. Foundations, Theory, and Practice”, Wiley, 2010

Учебник, посвященный вопросам архитектуры программного обеспечения. Книга интересена описанием истории вопроса; содержит много информации о методах проектирования, описания и анализа архитектуры.

В отличие от двух предыдущих книг, является более академичной, фундаментальной.

7. Matt Bishop “Computer security. Art and science”, Pearson education, 2003


Если бы вы спросили меня, какую одну книгу по безопасности надо прочитать, я бы назвал эту. Обязательна для прочтения любому специалисту по безопасности, но требует некоторых математических знаний.

Хорошая фундаментальная книга.

8. Jonh Viega, Gary McGraw “Building secure software. How to Avoid Security Problems the Right Way”, Addison-Wesley Publishing Company, 2005

9. Gary McGraw “Software Security. Building Security in”, Addison-Wesley Publishing Company, 2006

10. Greg Hoglund, Gary McGraw “Exploiting Software. How to Break Code”, Addison-Wesley Publishing Company, 2004

Три книги, объединенные одним автором (Gary McGraw). С разных сторон описываются подходы к разработке и тестированию безопасности программного обеспечения.

Здесь можно найти описание Touch Points — методики внедрения учета требований безопасности практически в любой процесс разработки ПО.

Другая важная методика — Attack Patterns — может быть использована как при анализе проекта программного обеспечения, так и при разработке программы тестирования.

11. Julia H. Allen, Sean Barnum, Robert J. Ellison, Gary McGraw, Nancy R. Mead, “Software Security Engineering. A Guide for Project Managers”, Addison-Wesley Publishing Company, 2008

Очень не плохая книга, в написании которой так же принял участие Garry McGraw. Содержит ссылки на большое количество различных методов и методологий, которые могут быть использованы при разработке программы.

К сожалению, из описания не всегда очевидно, как ту или иную методику, метод можно использовать именно для проектирования или анализа безопасности.

Книга может быть использована как справочник, как указатель на возможные решения. Но описания решений лучше искать в источниках, на которые книга ссылается.

12. Mark S. Merkov, Lakshmikanth Raghavan, “Secure and Resilient Software Development”, Auerbach Publications, 2010

Книга двух практиков. Оба они работают (по крайней мере, на момент написания книги) в PayPal Inc. Как вы догадываетесь, работы с безопасностью у них немало.

Авторы, похоже, описывают методики, которые сами использовали и которые для них сработали. Книга охватывает весь цикл жизни программного обеспечения, начиная от проектирования до релиза.

13. Michael Howard, David LeBlanc, “Writing Secure Code”, Microsoft Press, Second Edition, 2003

14. Frank Swiderski, Window Snyder, “Threat Modeling”, Microsoft Press, 2004

15. Michael Howard, Steve Lipner, “The Security Development LifeCycle”, Microsoft Press, 2006

Знаменитые три книги издательства Microsoft. Думаю, много о них говорить не имеет смысла.

Первая книга ориентирована (в большей степени) на программистов, вторая — на проектировщиков, третья — на менеджеров проекта.

16. Michael Howard, David LeBlanc, Jonh Viega, “24 Deadly Sins of Software Security. Programming Flaws and How to Fix Them”, McGraw-Hill/Osborne, 2009

Эта книга является развитием успешной публикации этих же авторов “19 Deadly Sins of Software Security. Programming Flaws and How to Fix Them”.

В книге авторы описывают возможные проблемы с безопасностью программного обеспечения, признаки присутствия этих проблем и методы их устранения.

Книга хороша для знакомства с проблемами безопасности: авторы демонстрируют, как вроде бы безобидные конструкции могут превратиться в серьезные уязвимости.

Книга может быть использована и как справочник при построении программы повышения безопасности ваших продуктов.

17. Mark Down, John McDonald, Justin Schun, “The Art of Software Security Assessement. Identifying and Preventing Software Vulnerabilities”, Addison-Wesley, 2007

Большая (1048 страниц) книга, практически энциклопедия, посвященная различным аспектам безопасности. Содержит описание проблем, связанных с отдельными языками; проблем взаимодействия с ОС; проблем использования современных веб технологий.

Хорошая книга для начального знакомства с проблемами безопасности приложений.

Вы также можете использовать ее и как справочник при построении программы повышения безопасности ваших продуктов.

18. Karl E. Wiegers, “Peer Reviews in Software. A Practical Guide”, Addison-Wesley Publishing Company, 2010

Очень хорошая книга, посвященная ревизии кода. Автор описывает и обсуждает различные методики организации ревизии, их сильные и слабые стороны. Книга содержит и много ссылок на дополнительную литературу.

Особенно интересно, что эти же методы могут использоваться не только для ревизии кода, но и для ревизии любых артефактов разработки.

Если вы собираетесь внедрять ревизию — эта книга одна из первых, на которую следует обратить внимание.

19. Paul C. Jorgensen “Software Testing. A Craftman’s Approach”, Auerbach Publications, Third Edition, 2008

Учебник по тестированию. Автор описывает разные подходы к созданию тестовых примеров, методы и методологии тестирования, метрики-показатели качества тестирования.

В книге описывается тестирование «вообще», но многие идеи могут быть перенесены и в тестирование безопасности.

Практики, вероятно, посчитают эту книгу слишком академичной.

20. Cem Kaner, “A Tutorial in Exploratory Testing”, 2008

Документ написан человеком, имя которого часто связывают с термином «исследовательское тестирование». Автор предлагает набор практических идей, помогающих определить в программе места, наиболее вероятно содержащие ошибки.

Идея исследовательского тестирования во многом перекликается с идеей тестирования, основанного на рисках. И, поскольку тестирование, основанное на рисках, является базой для тестирования безопасности, с описанной методикой может быть очень полезно познакомиться.

Документ легко найти в интернете.

21. James A. Whittaker, “How to Break Software: A Practical Guide to Testing”, Addison-Wesley, 2002

22. James A. Whittaker, “How to Break Software Security”, Addison-Wesley, 2003

23. Mike Andrews, James A. Whittaker “How to Break Web Software: Functional and Security Testing of Web Applications and Web Services”, Addison-Wesley Professional, 2006

24. James A. Whittaker, “Exploratory Software Testing: Tips, Tricks, Tours, and Techniques to Guide Test Design”, Addison-Wesley Professional, 2009

Четыре книги одного автора, которые очень часто рекомендуют в качестве пособия по тестированию безопасности. В первой из этих книг автор формулирует подход, в остальных — развивает эти идеи.

Whittaker пропагандирует подход к исследовательскому тестированию, который несколько отличается от подхода Сема Канера.

Методика, пропагандируемая автором, в чем-то напоминает подход Attack Patterns (метод анализа безопасности). Напоминает настолько, что кто-то даже скажет «совпадает», но, во многом, это и делает методику автора полезной при тестировании безопасности.

25. Christoper Steel, Ramesh Nagappan, Ray Lai, “Core Security Patterns. Best Pracices and Strategies fo J2EE, Web Services, and Identity Management”, Prentice Hall, 2005

Объемная книга (1088 страниц). Авторы охватывают практически все аспекты разработки безопасного программного обеспечения на платформе J2EE. Они описывают как возможности самой платформы, так и многие шаблоны безопасности.

Несмотря на ориентацию на J2EE книга может быть интересна всем, кто использует Java. Более того, многие идеи из этой книги применимы и при работе с другими языками программирования в вебе.


НКО | 5 надежных и простых приложений для персональной безопасности при посещении сайтов

Олег Гант

Всего материалов: 368

5 надежных и простых приложений для персональной безопасности при посещении сайтов

Пред­ла­га­ем вам пять надеж­ных инстру­мен­тов, кото­рые поз­во­лят без­опас­но путе­ше­ство­вать по Сети. Эти инстру­мен­ты рас­счи­та­ны на людей, у кото­рых нет ника­ких тех­ни­че­ских навы­ков, и на тех, кто ищет про­стых реше­ний.

Мы созна­тель­но не вда­ем­ся в опи­са­ние тех­ни­че­ских дета­лей, как рабо­та­ют эти инстру­мен­ты, выда­вая толь­ко конеч­ный резуль­тат. Если вам инте­рес­на тех­ни­че­ская сто­ро­на дела, вы смо­же­те изу­чить ее сами на сай­тах пред­став­лен­ных сер­ви­сов.

Бра­у­зер Opera

Это про­стое и не тре­бу­ю­щее ника­ких тех­ни­че­ских навы­ков реше­ние. Иде­те на сай­те Opera и сгру­жа­е­те себе на ком­пью­тер послед­нюю вер­сию бра­у­зе­ра. Каж­дый раз, когда вам надо про­смот­реть кон­тент забло­ки­ро­ван­но­го сай­та, вклю­ча­е­те режим Off-road (ранее он назы­вал­ся Тур­бо) для уско­ре­ния загруз­ки ресур­сов, он вклю­чен все­гда по умол­ча­нию.

Этот режим отправ­ля­ет все ваши запро­сы сна­ча­ла на спе­ци­аль­ный зару­беж­ный сер­вер, и толь­ко отту­да запрос идет на адрес, кото­рый вы ука­за­ли. Таким обра­зом, вы лег­ко обхо­ди­те бло­ки­ров­ку. К при­ме­ру, так мож­но читать забло­ки­ро­ван­ный в Казах­стане Livejournal. Режим Off-road еще и шиф­ру­ет дан­ные, кото­рые идут от сай­тов к ваше­му бра­у­зе­ру, и обес­пе­чи­ва­ет необ­хо­ди­мую без­опас­ность при рабо­те с откры­ты­ми wi-fi точ­ка­ми досту­па, ска­жем в кафе.

Рас­ши­ре­ние friGate

Если вы исполь­зу­е­те бра­у­зер Google Chrome, вам подой­дет это малень­кое при­ло­же­ние. Оно встра­и­ва­ет­ся в ваш бра­у­зер, и когда вы захо­ди­те на закры­тый цен­зо­ра­ми сайт, вы про­сто нажи­ма­е­те кноп­ку на пане­ли бра­у­зе­ра, и про­грам­ма про­во­дит вас через все бло­ки­ров­ки к нуж­но­му кон­тен­ту.

Рас­ши­ре­ние friGate вклю­ча­ет­ся пря­мо с пане­ли бра­у­зе­ра.

Вклю­ча­ет­ся режим, кото­рый про­во­дит ваш запрос через раз­ные прок­си сер­ве­ра по все­му миру и таким обра­зом обхо­дит все запре­ты. При этом мы не заме­ти­ли сни­же­ния ско­ро­сти загруз­ки стра­ниц.

При­ло­же­ние ZenMate для Google Chrome

Это новая раз­ра­бот­ка, кото­рая уже хоро­шо пока­за­ла себя. Она не толь­ко дает воз­мож­ность лег­ко и быст­ро захо­дить на забло­ки­ро­ван­ные ресур­сы, но и дела­ет ваш сёр­финг без­опас­ным и шиф­ро­ван­ным. «Боль­шой брат» не смо­жет уви­деть конеч­ной точ­ки ваше­го путе­ше­ствия по Сети. Все что они уви­дят, это некие вполне без­обид­ные IP адре­са в Аме­ри­ке и Евро­пе.

Вклю­чить при­ло­же­ние мож­но пря­мо с пане­ли ваше­го бра­у­зе­ра, при этом вы сами може­те выбрать, куда сна­ча­ла пой­дет ваш запрос, что­бы обой­ти бло­ки­ров­ку. Адрес ваше­го рас­по­ло­же­ния может быть замас­ки­ро­ван под жите­ля US, UK, Germany, Switzerland или Hong Kong.

При­ло­же­ние уста­нав­ли­ва­ет­ся в ваш бра­у­зер, и вы без­опас­но и быст­ро може­те рабо­тать с забло­ки­ро­ван­ны­ми ресур­са­ми. Сей­час это при­ло­же­ние мож­но исполь­зо­вать бес­плат­но, но, как гово­рят раз­ра­бот­чи­ки, это пред­ло­же­ние дей­ству­ет толь­ко на пери­од, пока они его тести­ру­ют. Осо­бая пре­лесть в том, что оно не тре­бу­ет от вас ника­кой настрой­ки. Загру­зи­ли и поль­зуй­тесь.

Мастер Йода рекомендует:  Приложение ВКонтакте сообщит пользователю о его долгах

При­ло­же­ние TunnelBear

Неболь­шая про­грам­ма, кото­рую вы уста­нав­ли­ва­е­те у себя на ком­пью­те­ре. Она очень про­стая, но не толь­ко дает вам воз­мож­ность читать то, что «дядя не велел», но и поз­во­ля­ет делать это без­опас­но. Это при­ло­же­ние созда­ет VPN соеди­не­ние, и кто бы ни отсле­жи­вал ваш тра­фик, они не смо­гут про­сле­дить конеч­ной точ­ки ваше­го сёр­фин­га.

Если 500 Мб вам ока­жет­ся недо­ста­точ­но, то за $4,95 в месяц, или $49,99 в год, вы сде­ла­е­те ваш Интер­нет абсо­лют­но сво­бод­ным.

Про­грам­ма предо­став­ля­ет 500 Мб бес­плат­но­го тра­фи­ка в месяц и каж­дый месяц эта циф­ра обнов­ля­ет­ся. Если вам надо боль­ше тра­фи­ка, вы може­те под­пи­сать­ся на плат­ный тариф. Все, что вам нуж­но для чте­ния забло­ки­ро­ван­ных сай­тов, − уста­но­вить TunnelBear и вклю­чить тун­нель.

При­ло­же­ние Hotspot Shield VPN

Hotspot Shield VPN − это ком­плекс­ное реше­ние для тех, кому по роду дея­тель­но­сти нужен посто­ян­ный зашиф­ро­ван­ный, без­опас­ный и быст­рый канал в Сети не толь­ко на ком­пью­те­ре, но и на план­шет­ном девай­се или смарт­фоне. Эта про­грам­ма уста­нав­ли­ва­ет­ся на ком­пью­тер (Мас, РС), на план­шет или смарт­фон (IOS, Android).

При­ло­же­ние Hotspot Shield VPN мож­но уста­но­вить на смарт­фо­нах и план­шет­ных ком­пью­те­рах

Она защи­ща­ет ваши сес­сии в веб-бра­у­зе­ре, обна­ру­жи­ва­ет и бло­ки­ру­ет вре­до­нос­ное ПО, сохра­ня­ет кон­фи­ден­ци­аль­ность, обес­пе­чи­ва­ет доступ к забло­ки­ро­ван­ным сай­там. Доступ­но в бес­плат­ной вер­сии либо по под­пис­ке Hotspot Shield Elite. Вер­сия по под­пис­ке, как мне пока­за­лось рабо­та­ет быст­рее, но и бес­плат­ный тариф меня вполне устра­и­ва­ет.

7 приложений, которые сделают твою жизнь проще #1

Сегодня у каждого есть смартфон. А у кого его нет, то это ненадолго: тяжелые путы общественного мнения заставят тебя приобрести что-то более функциональное, чем неубиваемая Nokia. Да и не надо этому противиться, ведь смартфоны круты не только как средство связи или источник распространения идиотских картинок в Instagram. Смартфоны круты прежде всего своими приложениями, которые не только облегчают тебе жизнь, но и делают её интереснее.

BroDude скрупулезно изучил различные независимые приложения, которые сделают тебя счастливее, да и помогут убить время с пользой. Они помогут в работе, на отдыхе и даже при приготовлении коктейлей.

1. InShaker

Если ты любитель коктейлей, да погорячее, обрати внимание на это приложение. Его можно приобрести в iTunes абсолютно бесплатно. Что оно тебе даёт? Доступ к сотням оригинальных, классических, инновационных алкогольных напитков, которые сделать в домашних условиях не так сложно, как кажется на первый взгляд. Рецептура довольно проста. Незаменимая вещь для поборника культурного пития.

2. Антирадар Стрелка

Работает на Android и iOS. Приложение платное, но полностью оправдывает все затраты, так как дорожный штраф, как правило, обходится в разы дороже. «Стрелка» создана для водителя, который не хочет тратить свои кровные из-за камер и нелепо раскиданных по городу постов ДПС. Программа синхронизируется с базой сайта speedcamonline.ru, но её данные можно расширять за счёт внешних ссылок на текстовые файлы.

Преимущество этого радара в том, что он не требует подключения к сети, только на время обновления базы данных, да и работает он в фоновом режиме, поверх остальных приложений. Предупреждает заранее, и, разумеется, ты можешь выставить определенное расстояние для каждого вида ситуации, да и в выборе звукового сигнала разработчики тебя не обидят. Обновляется программа каждые 24 часа, что минимизирует риск нарваться на штраф.

В целом, чертовски полезное приложение, которое мы прописываем каждому автолюбителю.

3. БРЕДУСЫ

Современный человек часто чего-нибудь да ждет. Стоит на остановке, либо в очереди за справкой, а может, просто помирает от скуки и ждет банального озарения. Каждый знаком с этим чувством. Мы же предлагаем снять путы уныния с помощью приложения «БРЕДУСЫ» . Особо понравится тебе, если ты фанатеешь от сложных, ассоциативных задачек, где надо напрягать извилины и искать нестандартные варианты решения. Приятен и тот факт, что вся база ребусов абсолютно уникальна. Она не повторяет изъезженных штампов.

«БРЕДУСЫ» работают на Android и iOS, скрасят твоё времяпрепровождение, прокачают твой мозг и повеселят тебя. Кроме того, головоломки интересно разгадывать не только одному, но и в дружной компании. Настоятельно рекомендуем использовать в долгих поездках – скучно не будет.

4. Домашняя бухгалтерия

Мы часто пишем, что если человек хочет добиться видимого успеха за сравнительно короткий период, то он обязан держать свои финансы в узде. Для этого ему необходимо просчитывать свой бюджет на ближайшее будущее, вовремя оплачивать счета и кредиты. Если у чувака ещё и семья за плечами, то делать это необходимо ещё более тщательно, ведь от твоих решений зависит благополучие и детей, и жены, и вообще твоего наследия.

«Домашняя бухгалтерия» – это приложение для всех популярных платформ: Windows, Android и iOS, которое поможет тебе справиться со всей этой финансовой махиной, потому как не так просто держать деньги под контролем и понимать, куда они исчезают. «Домашняя бухгалтерия» помогает вести учет не только личных финансов, но и финансов каждого члена твоей собственной общественной ячейки. Чтобы добиться конфиденциальности, каждый пользователь может защитить данные паролем. Ты можешь составить общий бюджет в зависимости от финансовых целей каждого человека. Приложение будет напоминать тебе и о выплатах, и о долгах, что в конечном итоге избавит тебя от многих проблем. Отдельно отметим возможность импорта банковских выписок, надежность резервного копирования и функцию синхронизации с данными других компьютеров. Сейчас кризисное время, и «Бухгалтерия» не просто игрушка, а вещь необходимая.

5. Мотивация дня

Специально для тех, кому мотивация строить и жить помогает. Хорошо бы, чтобы близкие люди подбадривали тебя каждый день: перед уходом на работу, по факту прибытия домой, перед сном и после сна. Но живем мы в реальном мире, а не в мире розовых единорогов. К тому же, люди сейчас отдаляются друг от друга, что вредит работоспособности и, как следствие, нашим амбициям. Потому тебе и нужна «Мотивация дня» – штука за 15 рублей, которая всегда приободрит, скажет нужные слова в нужный момент и, что самое главное, наделит тебя вековой мудростью.

Работает она просто! Каждый день ты получаешь один мотивирующий материал, который подобран специально для тебя. Получаемый контент формируется исходя из категорий материалов, которые ты предварительно выбираешь. Но при этом текст не является помойкой из тезисов, собранных в интернете. Над текстами работали и работают профессиональные авторы. В итоге приложение высылает тебе оригинальный контент, который касается сферы конкретно твоих интересов. Благодаря «Мотивации» жизнь становится более осмысленной, это безусловно. Что ещё важно – в приложении нет рекламы, а дизайн представляет собой минималистичное полотно, в котором легко разобраться. Приобрести можно в iTunes.

6. Runtastic Mountain Bike PRO

Есть велосипеды городские и неспешные, есть велосипеды шоссейные (для наших дорог непредназначенные), а есть велосипеды горные, которые хороши и в городе, и в горах. Они чертовски полезны для твоего организма, почти неубиваемые, да и выглядят круто. Странно было бы, если бы для любителей горных велогонок не было создано какого-нибудь приложения. И вот оно появилось – Runtastic Mountain Bike PRO. По сути, представляет собой идеальное приложение, которое совмещает в себе более 50 специализированных функций. Можно загружать карты, измерять дистанцию заезда, фиксировать потраченные калории и всё в таком духе. Фантастическая штука, на самом деле. И незаменимая для тех парней, кто серьёзно увлекается велоспортом.

7. Транжира

Ещё одна программа, которая следит за тем, чтобы ты не вышел за пределы собственных финансовых возможностей. А ведь это чертовски легко, когда в твои глаза то и дело бьёт обворожительная и тошнотворная реклама. Но «Транжира» не сделает тебя настоящим транжирой, напротив, поможет сэкономить.

Ничего сложного в приложении нет, оно просто до безумия и ровно так же полезно. Есть ряд категорий, которые помогают управлять финансами, контролировать сбережения. Ты можешь установить лимиты трат на определенные категории, к примеру, на еду или поездки – всё это наглядно показывается, а по окончании месяца превращается в крайне полезную статистику расходов и доходов. Пользу от приложения ощутишь уже через 30 дней. Как не превышать лимиты и жить по средствам, чтобы в конечном итоге подняться на финансовую ступень повыше? Просто установи это приложение.

5 лучших приложений мобильный безопасности на Andro >

Вопрос безопасности на мобильной платформе Android является не самым простым. Ведутся споры относительно того, нужны ли на смартфонах антивирусы. Нужно принимать во внимание, устанавливает ли пользователь приложения из-за пределов официального магазина Play Store, однако нет никаких сомнений в том, что за последние годы вопрос вредоносных приложений на Android стал более острым. К счастью, антивирусы также становятся всё лучше и не отстают от новых угроз, так что выбор имеется довольно обширный.

Большинство приложений безопасности на Android представляют собой комплексные пакеты, которые включают в себя ряд инструментов, от фильтра контактов до удалённой блокировки или стирания данных. Ниже будут рассмотрены пять приложений безопасности на Android и их возможности. Обзор ведётся с потребительской точки зрения, так что бесплатные программы являются бесплатными только для личного использования, а не на коммерческой основе на предприятиях.


Avast Antivirus & Security

Это по-настоящему бесплатное приложение предлагает впечатляющий набор инструментов. Здесь есть антивирусная защита, ведётся сканирование приложений и предоставляется подробная информация о том, что они делают, есть веб-щит со сканированием адресов на предмет наличия вредоносного кода на страницах.

Есть разнообразные дополнительные инструменты, включая блокировщик звонков из чёрного списка, блокировку приложений пин-кодом, сканирование Wi-Fi для повышения безопасности и скорости. К сожалению, блокировка приложений ограничена всего двумя программами, если не приобрести платную версию Pro, которая также устраняет рекламу и даёт доступ к технической поддержке из приложения.

Если выполнен рут устройства, имеется брандмауэр, который позволяет управлять сетевым трафиком. Можно блокировать определённым приложениям доступ к Wi-Fi или сети, что поможет усилить безопасность и сэкономить заряд аккумулятора.

Согласно результатам последнего тестирования независимого института AV-Test в ноябре, в котором приняли участие 26 приложений на Android, Avast показывает высокий уровень обнаружения угроз, а именно 99,9%. Если рассматривать угрозы последних четырёх недель, результат вырастает до 100%. В результате приложение находится в верхней части рейтинга по уровню обнаружения вредоносного программного обеспечения, а вместе с расширенной функциональностью программа становится ещё привлекательнее. Она не сильно замедляет операционную систему и не расходует много энергии, также не было ложных срабатываний.

Бесплатная версия этого приложения предлагает качественные функции, защищает от угроз интернета и обеспечивает дополнительную защиту на устройствах с рутом. Если вы хотите уберечься от вредоносных программ и смело работать в браузере, попробуйте Avast.

Sophos Free Antivirus and Security

Существует много качественных приложений для обеспечения безопасности на Android, но трудно найти функциональное, бесплатное с уровнем обнаружения вредоносного ПО в реальном времени 100%.

Sophos Free Antivirus and Security на протяжении многих месяцев был лидером, постоянно показывая уровень обнаружения 100% в тестах AV-Test. Программа не демонстрируют ложных срабатываний, предлагает надёжное сканирование при установке приложений, уже установленных приложений и флеш-памяти.

Также пользователи получают внушительный пакет дополнительных возможностей, включая защиту от потери или кражи устройства, возможность стирания данных, блокировки, обнаружения и т.д. при помощи СМС. Есть веб-фильтр, защита приложений паролем, блокировка спама, советы по конфиденциальности и безопасности и другие инструменты.

Это не самое привлекательное внешнее приложение в данном списке, но оно работает как нужно, минимально влияет на скорость работы смартфонов и расход энергии. Приложение полностью бесплатное и без рекламы.

Некоторым пользователям не нужны сложные приложения и достаточно простейших варианты для защиты от вирусов. Если вам не требуются инструменты защиты от кражи, защита цифровой личности и прочие избыточные возможности множества приложений, вам подойдёт программа AVL.

Она набирает 99,8% в рейтинге защиты в реальном времени, поднимаясь до 100% при рассмотрении вирусов последних четырех недель, ложные срабатывания отсутствуют. Тестирование показало хорошую скорость работы и без лишнего влияния на интерфейс операционной системы или продолжительность автономной работы. AVL умеет сканировать файлы множества форматов помимо APK, приложение разработано с прицелом на скорость и эффективность. Если оно вам нравится, но вы хотите получить больше возможностей, имеется вариант приложения AVL Pro.

Avira Antivirus Security

С постоянно высоким уровнем обнаружения угроз и отсутствием ложных срабатываний можно смело доверять бесплатной версии Avira свой смартфон или планшет на Android. Программа мало грузит систему и обладает быстрым минималистичным дизайном, который хорошо вписывается во внешний вид платформы Android.

Avira позволяет сканировать приложения в поиске возможных проблем. Программа автоматически сканирует новые приложения и обновления для них. Она слегка упала в плане обнаружения вредоносного кода в результатах AV-Test, показав уровень 98,9% в реальном времени и 99,8% при обнаружении угроз последних четырех недель, зато у программы есть ряд дополнительных возможностей. Предлагаются инструменты защиты от воров, которые помогут дистанционно найти устройство, заблокировать его, стереть данные или активировать звонок. Есть инструмент защиты цифровой личности, который скажет, если ваш почтовый ящик или почту друзей взломали. Есть несколько вариантов чёрного списка, так что можно избавиться от ненужных звонков и спама.

Существует премиальная версия с функцией антифишинга, более частыми обновлениями и улучшенной поддержкой, но и базовой версии для большинства пользователей будет достаточно.

Trend Micro Security & Antivirus

В последние два года средний уровень обнаружения вредоносного программного обеспечения у этого приложение был 99,9%. Это делает Trend Micro достойным выбором для устройств на Android. В последнем тестировании программа показала 99,8% обнаружения в реальном времени и 100% при поиске вирусов последних четырёх недель. Ложные срабатывания отсутствовали, влияние на скорость и продолжительность работы устройства было минимальным.

Пользователь вместе с бесплатной версии программы получает ряд разнообразных инструментов. Есть защита от фишинговых сайтов, сканер конфиденциальности для Facebook и инструменты для повышения автономности работы и экономии памяти. Функция под названием Just-a-Phone закрывает ненужные фоновые процессы.

В течение длящегося семь дней пробного периода можно попробовать премиальные функции, в число которых входят блокировка и очистка вредоносного ПО, инструмент Антивор, блокировка приложений, фильтр звонков и другие. Позже они стоят $36 в год, что довольно много, поскольку бесплатная версия сама по себе даёт немало.

В последнем ноябрьском тестировании только 4 из 26 приложений смогли показать 100% обнаружения в реальном времени, 8 из 26 показали 100% при поиске вирусов последних четырёх недель. В наш список не вошли Eset Mobile Security & Antivirus и 360 Mobile Security , поскольку уровень обнаружения у программ упал.

Среди крупных имен привлекают внимание Kaspersky и Norton , но их возможности не оправдывают цену. То же самое можно сказать про отличную программу Bitdefender Mobile Security & Antivirus . Bitdefender и Norton набрали в ноябрьских тестах 100%, однако бесплатный у них только пробный период, а потом нужно покупать подписку на год.

Безопасные сайты с бесплатными программами для Windows

Безопасные сайты с бесплатными программами для Windows

Сайты с бесплатным программами для Windows нередко становятся источниками опасных вирусов, загружаемых вместе с нужным вам ПО или же вместо него. Защититься от таких угроз и быть уверенным, что под кнопкой скачивания не скрывается зловред, позволяют специальные сервисы для проверки репутации веб-ресурсов. Именно с их помощью и был создан этот список безопасных источников.

Установка происходит в фоновом режиме без каких-либо подтверждений и дополнительных соглашений. С помощью этого же файла весь полученный софт впоследствии можно обновлять, загружая свежие версии программ.

Это один из крупнейших веб-сайтов, предоставляющих возможность поиска и загрузки нужного ПО. В его библиотеке сотни тысяч различных приложений, утилит и драйверов. Все они регулярно обновляются, чтобы пользователи получали только свежие и актуальные версии.

Softpedia отличается максимально удобным и быстрым поиском с привязкой к операционной системе или лицензии ПО. Есть сортировка результатов по категориям, рейтингу, количеству скачиваний и новинкам. Никакой регистрации для загрузки программ не потребуется.

В левом блоке сайта доступен поиск программ по разделам, а чуть ниже — по названию. Справа всегда можно найти рейтинг самого популярного. В основном блоке по центру отображаются самые свежие публикации, а также новости, обзоры и гайды.

Скачивать нужные программы можно как по отдельности, так и через фирменный инсталлятор. Последний позволит автоматически обновлять все установленные через FileHippo приложения.

5. Download Crew

Каждая программа в списке по категориям дополняется короткой характеристикой с указанием её главных особенностей. Это позволяет не тратить время на переходы и изучение полного описания. Даже с минимальными знаниями английского можно сразу понять, о чём идёт речь.

Как и многие другие подобные ресурсы, FilePuma предлагает собственную утилиту для обновления всех установленных с сайта программ.

Нередко на SnapFiles появляются пользовательские мини-обзоры, доступные в отдельном разделе сайта. Из них можно узнать немало интересных деталей, не указанных в официальном описании на сайте.

7 лучших софтовых сайтов, где можно бесплатно загрузить новые проги

Спрос на разнообразный софт для ПК существует постоянно, и он невероятно велик. По этой причине сайты по загрузкам программ размножаются очень и очень быстро, а вот найти действительно лучшие ресурсы оказывается неожиданно сложно. Необходимо скачать на компьютер различные программы? Специально для вас мы сделали список, где собраны лучшие софтовые сайты в Сети.

SoftOk- https://softok.info/

Ресурс SoftOk — один из самых молодых, но уже набирающих популярность ресурсов. Отличается современным дизайном и богатым выбором программ практически для любых нужд. Программы сгруппированы в удобные подборки, позволяющие подобрать программу по целой совокупности параметров. Версии под операционные системы iOS и Android также присутствуют.

Softobase — https://softobase.com/ru/

Самый удобный и большой сайт, где можно бесплатно загрузить программы на свой ноутбук или ПК. База данный постоянно пополняется, поэтому даже последние версии вам будут всегда доступны. Все проги разбиты по категориям, чтобы можно было легко и быстро найти и загрузить необходимую. Сайт интересен еще и тем, что на нем есть обзоры, видео, статьи и ответы на вопросы юзеров.

Бесплатные Программы — https://www.besplatnyeprogrammy.ru/

Бесплатные Программы Ру — сайт для скачивания программ бесплатно с примитивным разделением на категории. Ориентироваться на нем просто, традиционно наличествует поиск по названию, а также список рекомендаций. В целом это отличный ресурс для поиска и загрузки базового набора приложений.

SoftPortal — https://www.softportal.com/

Еще один из крупных сайтов где представлено огромное количество софта для различных устройств – SoftPortal. В ассортименте есть варианты для компьютера и телефона, представлены разделы для различных операционных систем (Android, Macintosh, IOS, семейства Windows), более 20 категорий софта по назначению. Аудио, графика, дизайн, образование, различные утилиты для рабочего стола – это неполный список того, что вы сможете загрузить, и что важно – бесплатно и без ввода кодов и смс. Этот ресурс постоянно обновляется и оперативно выкладывает все новинки индустрии.

FreeSOFT — https://freesoft.ru/

На следующем месте стоит сайт для скачивания программ для компьютера Freesoft. Основной упор здесь сделан на софте для Windows, однако также присутствуют программы на Android, MAC, Linux, и гаджеты компании Apple. Важно что это безопасный сайт, на котором выкладываемый контент тщательно фильтруется и проверяется на наличие вредоносных составляющих.

Soft-File — https://soft-file.ru/

Далее, сайт для скачивания программ — Soft-File. Богатая программная составляющая, множество статей, отзывов, обзоров – все это делает его весьма популярным среди пользователей. Найти здесь можно практически все – от мобильных программ до офисного софта. Сотни предложений разбиты на категории для удобного поиска, а интуитивно понятный интерфейс сэкономит вам время.

TopDownloads — https://topdownloads.ru/

TopDownloads – простой и добротный ресурс с ежедневными обновлениями, которые можно просмотреть отдельным списком. Сотни новинок и уже знакомых предложений разделены на категории в удобном каталоге. Как и многие другие сайты бесплатных программ, TopDownloads также предлагает обзоры, новости, составляет рейтинг по популярности. Кроме софта здесь также присутствует музыка, видео, документы и многое другое.

Как видно, популярные сайты для загрузки разнообразного софта – тема достаточно обширная, ведь электронные устройства давно стали неотъемлемой частью жизни всех нас. Хотите загрузить новую игру, драйвера или же просто необходимо обновить старые версии софта? Мы собрали для вас лучшие сайты для скачивания программ, выбирайте один из них – и находите все необходимое! Делитесь статьей с друзьями в социальных сетях, ставьте высокие оценки ниже и пишите комменты, если ваш любимый софтовый сайт здесь не указан! Еще предлагаем вам обязательно и прямо сейчас посмотреть нашу статью про ТОП 10 лучших сайтов с бесплатными фильмами и сериалами, которая стала одной из самых читаемых за последние месяцы! Может и там вы найдете для себя полезные ресурсы ��

Добавить комментарий