7294
Полезный канал про технологии и информационную безопасность. Нам не поИБ на ИБ. А вам? О канале: http://telegra.ph/Cybershit-08-14 Связь: @cybrsht_bot
Всем привет. Пропал, каюсь, работы слишком много :(
А пока принес вам 40% скидку на все курсы и сертификации от Linux Foundation. Скидка действует только сегодня.
Если кто давно планировал сдать что-то серьезное по k8s, Linux или из DevOps — самое время.
Например Certified Kubernetes Administrator (CKA) и Certified Kubernetes Security Specialist (CKS) бандлом стоит $435 вместо $725.
Экзамен можно сдать в течении года после покупки
> https://training.linuxfoundation.org/end-of-summer-2023/
Все уже успели перевели свои Google-аккаунты на Passkey?
С сегодняшнего дня это официальный способ аутентификации для Google и огромный шаг к будущему без паролей 🔐
включать тут > https://myaccount.google.com/signinoptions/passkeys
Blog > https://blog.google/technology/safety-security/the-beginning-of-the-end-of-the-password/
Неплохие площадки для экспериментов с docker и kubernetes, если лень разворачивать лабы и разбираться с админской частью.
https://labs.play-with-docker.com/
https://labs.play-with-k8s.com/
Есть и песочницы и отдельные таски, где можно подтянуть темы, которые вы давно откладывали, например как работают linux capabilities или seccomp профили
Советую как будет время глянуть вчерашний ИБ-митап Яндекса, достаточно интересные и разные темы. Cразу спойлер — про слив упомянули, но ничего не рассказали, обещали потом.
А вообще парням большой респект за то, что несмотря на то, что происходит в мире российского ИБ, они просто рассказывают важные и интересные вещи о том, как можно и нужно делать ИБ, без какого-либо продающего контекста (ну если только чуть-чуть). Ну и в опенсорс коммитят конечно же 🙂
Все доклады классные, просто бери обводи и обновляй свои ИБ планы на 2023-2024 года.
00:04:13 Про DevSecOps в Яндекс.Облаке, немного продающий облако, но затрагивающий лучшие практики о том, как построить процессы ИБ в финтехе и не только.
01:10:15 Про выстраивание и автоматизацию процессов безопасности, экономию времени на ревью доступов, взаимодействия между команд и пр. Оч крутые кейсы для внедрения в любой организации.
01:38:32 Про организацию безопасного удаленного доступа до инфраструктуры, тут больше понравилась вторая часть, которая реально затрагивает большинство проблем при внедрении решений типа Teleport или Boundary.
Понял тут, что не рассказывал о trufflehog, наверное лучшем на сегодншний день решении для поиска секретов. SSH и API ключи, пароли к бд, токены, облачные учетные данные и многое другое. Там уже 700 детекторов/регулярок, причем для некоторых есть сразу автоматическая проверка. Нашли например креды к AWS или GCP, нажали кнопочку и trufflehog любезно постучал в нужную апишку для валидации.
Еще помимо привычных множественных сканов репозиториев, есть возможность поиска по файловой системе и даже s3 бакетам. Бонусом можно скачать плагин для браузера чтобы и по JS пройтись.
Короче, мастхев для безопасности ваших пайплайнов и обнаружения секретов, которые кто-то случайно забыл положить куда следует или удалить. Ну или не случайно 😏
> https://github.com/trufflesecurity/trufflehog
Я снова пропал, но тут такая новость сегодня, что нельзя было не поделиться — поддержка Passkeys теперь официально доехала до Google Chrome (Chrome Stable M108 если быть точным).
На всякий случай Passkeys — это инициатива альянсов FIDO и W3C по разработке стандарта аутентификации без использования паролей, которые являются занозой в заднице в современном мире: утечки, брутфорс, сменяемость, желание написать его на листочке и приклеить к монитору и пр.
Короче крутые чуваки собрались как-то, подумали и изобрели WebAuthn. Потом инициативу поддержали Apple, Google и Microsoft, обернули это в Passkeys и вот он, продукт который можно внедрять и нести людям (многие уже давно принесли даже, только Google опаздывает).
Короче, со стороны поддержки клиентов кажется все готово, осталось, чтобы технологию начали чаще внедрять уже на стороне приложений и, кажется, сегодня эра passwordless стала намного ближе.
P.s проблема паролей постепенно уходит, приходит проблема социальной инженерии через openai.
Аминь.
- - -
Новость про passkey в Chrome > https://blog.chromium.org/2022/12/introducing-passkeys-in-chrome.html
Почитать подробнее > https://www.passkeys.io
Потестить как это работает > https://webauthn.io/
Наверное лучший роадмап по сертификациям в ИБ, отсортированный по направлениям и уровню сложности.
В очередной раз в этом убедился.
> https://pauljerimy.com/security-certification-roadmap/ <
p.s выглядит это конечно страшно, но что не сделать ради многострочного статуса в Linkedin, да? 😁
Если моделирование угроз (threat modeling) у вас тоже вызывает боль, либо это увлекательное занятие вам только предстоит, попробую сэкономить вам несколько десятков часов вашего времени и просто порекомендую начать с > https://shellsharks.com/threat-modeling
И неважно делаете вы модель угроз для приложения или инфраструктурного компонента. А еще пришла в голову мысль, что доступ к таким материалам при пентесте может сильно ускорить процесс получения результата :) Удачи!
Никогда не забуду свою первую... ⛔️
В новой iOS 16 появился бекдор фича Rapid Security Responses, позволяющая патчить iPhone и аксессуары не дожидаясь обновления ОС. Должна включаться автоматом при обновлении на новую ОС.
Идея с точки зрения ИБ конечно прикольная, но усложнит жизни любителям джейблрейка.
Для тех, кто пропустил увлекательный доклад с недавнего BlackHat и DEFCON от представителей Rapid7 про их исследования ПО для Cisco ASA.
В текущих реалиях, когда многие остались отрезанными от обновлений и подписок, готовы скачивать различные кряки, образа и клиенты для администрирования штата своих Cisco, такая тема кажется более чем актуальна.
Если опустить рассказ про то, как Cisco выпустила патч не закрывающий зарепорченную уязвимость, то основные темы доклада всего две:
– Установка вредоносного программного обеспечения для ASA и простые способы внедрения бекдоров в ПО администрирования Cisco ASDM.
– Создание вредоносных установочных пакетов и загрузочных образов для модуля FirePOWER. Там вообще забавная история с очень сложными кредами root:cisco123 для рутового пользователя в образах FirePOWER, которые в большинстве инсталляций имеют доступ ко всему трафику.
По сути весь доклад про то как вредоносные пакеты могут оказаться на ваших ASA, а также полный инструментарий со скриптами и модулями для метасплоита. Все как полагается.
Из рекомендаций по устранению — это конечно же максимальная изоляция административного доступа до цисок, обновление дистрибутивов ПО (что для многих сейчас проблематично) и несколько YARA правил на детект эксплоитов и вредоносных пакетов. 🔥
read > https://www.rapid7.com/blog/post/2022/08/11/rapid7-discovered-vulnerabilities-in-cisco-asa-asdm-and-firepower-services-software/
repo with materials > https://github.com/jbaines-r7/cisco_asa_research
На днях смотрел видео от Hashicorp и был приятно удивлен, что они сопровождают свои вебинары сурдопереводчиком для глухонемых. Я давно такого не видел, а тут еще и тематика такая. Показалось, что это прям очень круто!
Я в этой теме полный профан, но знаю что там существует несколько диалектов, и в целом язык может отличаться в зависимости от географии.
Интересно как он пополняется новыми жестами, ведь в IT куча сленговых слов и аббревиатур. А еще кажется можно это автоматизировать и визуализировать в режиме реального времени без участия человека, хотя с человеком это наверное намного приятнее. Крутая и узкоспециализированная профессия с погружением в область.
Кажется в текущих реалиях таких штук должно быть больше, в том числе на конференциях.
Ого, а вы наверное и забыли, что подписаны на этот канал?
Судя по датам последних публикаций канал перешел в режим один пост в пол года. Причины этому максимально банальны — большое кол-во работы и как следствие частичная потеря интереса к ИБ. Как там это сейчас называется, выгорание?
За последний год удалось позаниматься интереснейшими проектами, задачами, пообщаться с крутыми специалистами и восстановиться.
Лишний раз убедился, что в ИТ и ИБ огромное количество талантливых и умных людей, которые вне публичного поля и просто тихо делают свою работу, делают ее по-настоящему!
Еще нужно сказать, что очень важно уметь делать перерывы и успевать просто пожить.
Основная идея этого лиричного текста в том, что я хочу попробовать восстановить привычную активность и возможно немного поменять формат. Посмотрим, но пока без обязательств 🌚
Вообще идея создания подобной карточной ИБ-игры преследует меня уже давно. Хочется и чтобы на конференциях можно было зарубиться, и не погруженным в мир ИБ было интересно. Мы с другом даже делали прототип, но дальше тестов к сожалению ничего не уехало :(
На самом деле там не все так просто
Для участия в розыгрыше нажмите на «Я участвую»
*****
Победители: Mak Mih
Кто пропустил, вчера Microsoft выкатила июньские обновления безопасности в рамках Patch Tuesday.
Коротко обзор:
[RU] https://news.microsoft.com/ru-ru/update-tuesday-microsoft-security-updates-jun2021/
[EN] https://krebsonsecurity.com/2021/06/microsoft-patches-six-zero-day-security-holes/
Пятничный подгон — как быстро и безопасно управлять переменными окружения на macOS с помощью keychain.
По сути там уже все есть, нужно только добавить обертку.
Делаем раз:
tee ~/keychain-env.sh <<'EOF'Два:
function keychain-env-read () {
security find-generic-password -w -a ${USER} -D "environment variable" -s "${1}"
}
function keychain-env-add () {
[ -n "$1" ] || print "Missing environment variable name"
read -s "?Enter Value for ${1}: " secret
( [ -n "$1" ] && [ -n "$secret" ] ) || return 1
security add-generic-password -U -a ${USER} -D "environment variable" -s "${1}" -w "${secret}"
}
EOF
echo -n 'source ~/keychain-env.sh' >> ~/.zshrc
Три:source ~/.zshrc
Теперь взмахом руки можно добавлять переменные окружения в ваш keychain и вычитывать их оттуда. keychain-env-add AWS_ACCESS_KEY_ID
export AWS_ACCESS_KEY_ID=$(keychain-env-get AWS_ACCESS_KEY_ID);
полный сниппет тут
Читать полностью…
🐐 Kubernetes Goat — наверное самый популярный проект для изучения безопасности Kubernetes.
Круто, что благодаря сообществу они продолжают развивать и добавлять новые сценарии. Например недавно добавили лабы для изучения Cilium Tetragon и Kyverno.
Большинство сценариев простые, зато их уже более 20 штук, поэтому для общего понимания очень даже.
> https://madhuakula.com/kubernetes-goat/
> https://github.com/madhuakula/kubernetes-goat
Говорят, чтобы пойти работать джун аппсеком достаточно научиться разворачивать какую-нибудь oauth proxy перед своими критическими сервисами.
Согласны? Узнали? Какая ваша любимая? 🫠
А вы знали, что OpenSSH на macOS позволяет пасс-фразы от ваших ssh-ключей добавить в keychain, чтобы автоматом подтягивать их при подключении?
Делаем:ssh-add --apple-use-keychain ~/.ssh/[priv-key]И подключаем в конфиге агента ~/.ssh/config:
Host *Готово, вы сэкономили немного своего времени на ввод passphrase.
UseKeychain yes
AddKeysToAgent yes
IdentityFile ~/.ssh/id_rsa
Пссс, завезем немного движа в ИБ?
Давно вынашивал идею закрытого сообщества для безопасников, где можно было бы черпать экспертизу, обмениваться опытом, получать актуальную информацию и просто общаться с крутыми и интересными людьми.
Почему закрытого? Потому что сами знаете специфику нашего направления, когда далеко не все готовы обсуждать многие вещи публично. Но согласитесь, у многих есть опыт, которым можно поделиться и который может быть очень полезен. Мне кажется закрытый формат может хотя бы частично эту проблему решить.
В общем, не буду ходить вокруг да около, сейчас я на этапе проверки гипотезы поэтому очень хочется получить от вас обратную связь.
Основную идею постарался изложить тут > https://cyfeed.co
Если вам было бы интересно поучаствовать в таком, можете оставить там свой email, это поможет мне понять на сколько такой формат откликается в ИБ.
А тут будут анонсы и внутрянка, чтобы понять на каком этапе сейчас проект > @cyfeed
P.s говорят с понедельника можно начать новую жизнь, проверим на примере сообщества 👨💻
Вопрос который меня в последнее время сильно волнует. Будет очень круто если поучаствуете анонимно.
Если вы еще не касались истории с импортозамещением — игнорируйте (хотя предположу, что коснулось многих).
Собственно вопрос ↓
Там в либе Apache Commons Text нашли уязвимость, позволяющую выполнять удаленное выполнение кода — CVE-2022-42889.
Но несмотря на CVSS 9.8, уязвимость затрагивает только несколько методов, связанных с интерполяцией данных, что в целом выглядит не так критично.
Поискать в коде можно по:StringLookupFactory.INSTANCE.interpolatorStringLookup().lookup()или StringSubstitutor.createInterpolator().replace()В любом случае возьмите на вооружение и если лень читать код просто пропатчите либы до новой версии 1.10, благо она уже вышла.
Уязвимость затрагивает версии Apache Commons Text 1.5–1.9.
Reports:
https://www.rapid7.com/blog/post/2022/10/17/cve-2022-42889-keep-calm-and-stop-saying-4shell/
https://securitylab.github.com/advisories/GHSL-2022-018_Apache_Commons_Text/
https://vulners.com/rapid7blog/RAPID7BLOG:F7BA3352D40FAE34A5EC64E58595ED85
https://blog.aquasec.com/cve-2022-42889-text2shell-apache-commons-vulnerability
Google опубликовала очень стильный проект H4CK1NG.GOOGLE (фактически GoogleCTF 22) с набором своих новых челленджей по разным направлениям, каждое из которых сопровождается крутейшими видео-историями.
Если вдруг заскучали после рабочего понедельника, можно провести вечер с пользой. В случае ступора можно сходить в дискорд проекта за подсказками или writeups — это уже для совсем ленивых :)
Are you ready? [Y/N]
https://h4ck1ng.google
Playlist > https://www.youtube.com/playlist?list=PL590L5WQmH8dsxxz7ooJAgmijwOz0lh2H
Если вы находитесь в поиске бюджетного инструмента для решения проблемы с паразитивным бот-трафиком, и у вас нет свободных финансов для приобретения какого-нибудь Cloudflare, можно посмотреть в сторону вот этих ультимативных репок для прокачки ваших Nginx или Apache.
Настроенный веб-сервер под ключ одной кнопкой (почти). Ну либо если вам нужен какой-то докрученный кастом, то придется курить доки и конфиги из репы.
https://github.com/mitchellkrogza/nginx-ultimate-bad-bot-blocker
https://github.com/mitchellkrogza/apache-ultimate-bad-bot-blocker
Наткнулся на проект Casdoor — это достаточно функциональная платформа для организации IAM и SSO с множеством интеграций, провайдеров и удобным интерфейсом. Может использоваться не только как IdP для OAuth, OIDC, SAML и CAS, но и как сервисный провайдер, а внутри куча крутилок для мапинга атрибутов, разные модели управления доступом (RBAC, ABAC, ACL), политики и даже поддержка WebAuthn!
В целом выглядит все очень круто — репа с 3,5к звездочек, удобные демо, если хочется потыкать в живую, документация, API, готовый SDK и пр.
Но нет ничего идеального. На гите десятки свежих issue, релизы выходят каждый день, а в демке бывает что-то не работает. Сложилось впечатление, что пытаются охватить необъятное.
Короче у ребят есть мощный потенциал, скорость разработки, активное коммьюнити под боком а учитывая, что проект еще молодой, вполне может стать намного более функциональной заменой для тот же Keycloak. Там правда уже есть замашки за монетизацию, поэтому очень надеюсь, что они в итоге останутся на светлой стороне.
Делитесь и своими находками :)
site > https://casdoor.org
git > https://github.com/casdoor/casdoor
demo > https://door.casdoor.com
Сегодня частично затронем тему EndpointSecurity и поговорим про инструмент osquery. Исторически osquery сделали инфраструктурщики в Facebook, под свои задачи еще в 2013, а после публикации в опенсорс он завоевал сердечки и остальных.
Эта штука способа превратить ОС в реляционную базу данных, а вас вооружить всей мощью SQL чтобы с этими данными работать.
Глянуть историю процессов в динамике, найти стремные файлы используя YARA-правила или отобразить открытые порты — проще простого, собрать все недавние http запросы, включая JA3 от TLS — изи, нужно что-то посложнее? На самом деле все ограничивается вашей фантазией потому что у osquery есть свой SDK и возможность подключения расширений, написанных на плюсах, go или python.
Модель взаимодействия может быть тоже разной, агент может ждать запросы от мастера, или отгружать нужную инфу по шедулеру. Можно также организовать отправку всего этого добра в SIEM, напрямую в Elastic или еще какие IR системы.
Для тех, кто любит чтобы еще и красиво было можно сразу ставить в связке с fleetdm или osctrl для понятного и единого UI.
К слову для MacOS это вообще наверное лучшее, что существует на сегодняшний день для аналитики и мониторинга.
Помимо классики, osquery умеет в k8s, с помощью плагина kubequery, и частично в облака, но для этих целей уже лучше будет посмотреть в сторону cloudquery, правда это уже проект от других авторов и отдельная тема для разговора.
osquery > https://osquery.io/
cloudquery > https://www.cloudquery.io
k8s plugin > https://github.com/Uptycs/kubequery
UI > https://fleetdm.com, https://osctrl.net/
Overview > https://blog.palantir.com/osquery-across-the-enterprise-3c3c9d13ec55
QueryCon 2019 > http://www.youtube.com/watch?v=oaxappbTc2A&list=PLciHOL_J7IwoYxJ7FwJ-aomCBZViDBMas
osquery в мире AppSec > https://2019.zeronights.ru/wp-content/themes/zeronights-2019/public/materials/2_ZN2019_igor_grachev_evgenij_sidorov_andrej_kovalevOsquery_AppArmor.pdf
Старенькие конфиги для примера > https://github.com/palantir/osquery-configuration
Застрахуй братуху, застрахуй или зачем вам ИБ, если можно просто купить полис?
https://cloud.yandex.ru/insurance-offer
https://sber.insure/products/cyber/
Судя по количеству материалов по запросу "cybersecurity insurance" за рубежом это уже частая практика, посмотрим приживется ли у нас. Любопытно глянуть на реальные кейсы.
p.s ого первый пост с лета :0
В Kaspersky решили не мелочиться и сделать VR игру для знакомства топ-менеджмента с рисками ИБ.
Такой Standoff на минималках)
https://www.kaspersky.com/blog/vr-interactive-simulation/40188/
Идея обучения своих сотрудников вопросам ИБ не является чем-то новым, но последнее время стремительно набирает популярность.
Поэтому в рамках этого партнерского материала хочу вам рассказать про своих знакомых из компании Secure-T, которые мне предложили разыграть среди подписчиков бесплатную проверку социалкой на 150 человек.
Ребята не первый год на рынке и уже обучают и тестируют более 10 тысяч сотрудников крупных организаций.
Вот немного статистики из их последних двух фишинговый рассылок:
1-й кейс — 46% сотрудников перешли по ссылке в открытом письме, а 14% ввели свои учетные данные в поддельные формы;
2-й кейс — 50% сотрудников перешли по ссылке в письме, а 28,5% ввели свои учетные данные в поддельные формы.
В рамках проверки они подготовят фишинговые шаблоны и проверят знания сотрудников в вашей организации. По завершении работ вам будет предоставлен отчет.
Условия для участия простые:
1. Быть подписанными на канал
2. Тыкнуть на кнопку «Я участвую»
Тянуть не будем, розыгрыш состоится уже в эту пятницу, результаты будут в 19:00. С победителем розыгрыша я дополнительно свяжусь.
Ну а для тех, кто хочет побольше узнать о деятельности ребят:
Сайт компании: https://secure-t.ru/
Сайт продукта: https://edu.secure-t.ru/
Если вы еще не интегрировали MITRE ATT&CK в свои процессы, вот вам отличный повод еще раз понять, как применять фреймворк на практике — CISA выпустило свое краткое руководство, где с помощью общих инструкций и на примере трояна TrickBot показали как работать с MITRE ATT&CK и сопоставить поведение злоумышленника.
https://us-cert.cisa.gov/sites/default/files/publications/Best%20Practices%20for%20MITRE%20ATTCK%20Mapping.pdf
