Embedded Security Engineer

А подскажите может кто сталкивался с компаниями или людьми которые занимаются Embedded Security Engineer

Что я понимаю под Embedded Security Engineer
— experience in security for IoT devices
— familiar with secure coding practices in C and shell scripts

Есть возможность сотрудничества для одного из наших стартапов
для компаний или фрилансеров, но пока даже не знаю в какую сторону смотреть и есть ли возможности для такой команды в Украине.

👍ПодобаєтьсяСподобалось0
До обраногоВ обраному0
LinkedIn
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

Из описания не совсем понятно, вы свою команду предлагаете или кого-то ищите?

...когда-то давно наш заказчик отдавал железяку на линуксе на security аудит (делала немецкая фирма). Хакнули, получили рута, покопались на файловой системе и прислали репорт. Если интересно, поищу их контакты.

Embedded Security Engineer

ох ыть вашу, ну и должность ) Похоже в обязанности входит защита софта от клонирования с привязкой к железу, контролируемые обновления , лицензии и прочее ...

Да не только. Обратите внимание на

— familiar with secure coding practices in C
Вы многих в профессиональной жизни видели, кто действительно уделял много внимания безопасному коду на C?

Тут имеется в виду что-то наподобие «не переполнять буфера», «не оставлять неинициализированные переменные», «не пользоваться atoi» и т. д.

Нуууу, и это тоже. Вы забыли про проблемы многопоточных приложений. А еще кросс-платформенная разработка. Да много чего есть небезопасного в С.

Смарт карты всякие например

Как-то несекьюрно держать открытым в мир dev enviroment и вордпрессовскую админку:
dev.getcujo.com
dev.getcujo.com/...jo.com/wp-admin/&reauth=1

Опа. Как обычно dev забыли закрыть.. Спасибо.. Уже чиним..

Як не через двері, то через вікно.
Очевидно, на спам через почту мало хто відгукнувся.

А что, Педро с проекта ушел?

Люблю приятные сюрпризы.. Оказывается Педро уже и в Украине знают..

Нет, Педро все еще есть..

Интересно, значит ли это, что появились задачи, с которыми Он не в состоянии справиться? Парень он шибко умный и опытный (это правда). Хотя требования к выполнению в срок поставленных задач там жесткое, и сложность их уж точно не измеряется линейно. Будет сложно и горячо...

Сегодняшний тренд в IoT: «а давайте везде засунем линукс ... и никогда не будем его обновлять». Так что, может, и взлетит ... но после критической массы громких случаев, типа блокировщика-вымогателя в термостате. А пока что эти случаи не массовые, так что петух пока не клюнул.

К сожалению тренд намного хуже — давайте возьмём двухцентовый микроконтоллер, абы дешевле, а секьюрность прикрутим внешнюю, как у этого ведерка. Правда защищает оно от очень узкого круга атак, если защищает, конечно, ибо доступно технической информации ноль.

Ну, в двухцентовом микроконтроллере, скорее всего, будет крутится что-то кастомной разработки, без известных уязвимостей. Это, конечно, тоже «security through obscurity», но, по крайней мере, для эксплуатации потенциальных уязвимостей нужно их сначала найти для каждого решения, потом разработать эксплоит, что может быть просто экономически невыгодно. Так что тут зоопарк решений, как-бы, даже благо. А вот когда контроллер уже позволяет запихнуть полноценную ОС, причем ещё и с каким-нибудь webkit для отрисовки трех кнопочек, причем всё работает от root ... Ну и т.д.

Три кнопки можно сделать и на Sming для ESP8266, там хоть рута нет :D

Есть возможность сотрудничества для одного из наших стартапов getcujo.com
Самая плохая идея для стартапа, это тоже самое, что торговать воздухом, пока он есть — всем хорошо и никто ни о чём не беспокоиться, только его уберёшь — всегда слышишь предсмертные хрипы клиентов. Ну и секьюрити решения покупают всегда после возникновения проблем, а не упреждая. И разочарование в продукте наступает в 90% случаев, ибо домашняя сеть уже кишит вирусами, ботнетами и пр., а теперь сюда добавить тупых полудомохозяек у которых увели пароль от фейсбучика или банковского аккаунта и ваше ведёрко от этого не уберегло... Но судя по доступному описанию продукта (его просто нет) вы это и сами знаете, поэтому продаёте их как фетиши, верующему да поможет.

Спасибо за комментарий. Пока что как раз решение работает и именно по предотвращению аттак.
но переубеждать вас не очень хочется, поэтому так сказать «у каждого человека может быть свое экспертное мнение» :)

Можно почитать кейсы в бложке www.getcujo.com/blog
Плюс взяли первое место в TechCrunch battle
www.newswire.com/...ompetes-for-most-10790391

Пока что как раз решение работает и именно по предотвращению аттак.
но переубеждать вас не очень хочется, поэтому так сказать «у каждого человека может быть свое экспертное мнение» :)
Да, пожалуйста. Мне только неясно что вы делать будете с рекламациями и какая ваша целевая аудитория.
Можно почитать кейсы в бложке www.getcujo.com/blog
Ни о чём. Прочитал три статьи подряд, единственную техническую информацию, что я там нашёл было, что порт 80 принадлежит HTTP и что он заставляет роутер шевелиться (я оставлю без комментариев).

Ну а табличка внизу выше всяких похвал: www.getcujo.com/compare

Только у CUJO есть Automatic Updates. Это вы, конечно, сильно задвинули.

хттпс в ссылке забыли. Ну то такое...

Исправил в топике.

Підписатись на коментарі