Кстати, а как у вас обстоят дела с сетевым железом? (анонимно конечно же)
Anonymous Poll
36%
Пока сидим и не дергаемся
9%
Наверное нужно начать делать какой-то рисеч
15%
Активно ищем замену
5%
Нашли замену
4%
Начали переезд
5%
Уже переехали на что-то другое
25%
Не нужно было никуда мигрировать
Если вы находитесь в поиске бюджетного инструмента для решения проблемы с паразитивным бот-трафиком, и у вас нет свободных финансов для приобретения какого-нибудь Cloudflare, можно посмотреть в сторону вот этих ультимативных репок для прокачки ваших Nginx или Apache.
Настроенный веб-сервер под ключ одной кнопкой (почти). Ну либо если вам нужен какой-то докрученный кастом, то придется курить доки и конфиги из репы.
https://github.com/mitchellkrogza/nginx-ultimate-bad-bot-blocker
https://github.com/mitchellkrogza/apache-ultimate-bad-bot-blocker
Настроенный веб-сервер под ключ одной кнопкой (почти). Ну либо если вам нужен какой-то докрученный кастом, то придется курить доки и конфиги из репы.
https://github.com/mitchellkrogza/nginx-ultimate-bad-bot-blocker
https://github.com/mitchellkrogza/apache-ultimate-bad-bot-blocker
Google опубликовала очень стильный проект H4CK1NG.GOOGLE (фактически GoogleCTF 22) с набором своих новых челленджей по разным направлениям, каждое из которых сопровождается крутейшими видео-историями.
Если вдруг заскучали после рабочего понедельника, можно провести вечер с пользой. В случае ступора можно сходить в дискорд проекта за подсказками или writeups — это уже для совсем ленивых :)
Are you ready? [Y/N]
https://h4ck1ng.google
Playlist > https://www.youtube.com/playlist?list=PL590L5WQmH8dsxxz7ooJAgmijwOz0lh2H
Если вдруг заскучали после рабочего понедельника, можно провести вечер с пользой. В случае ступора можно сходить в дискорд проекта за подсказками или writeups — это уже для совсем ленивых :)
Are you ready? [Y/N]
https://h4ck1ng.google
Playlist > https://www.youtube.com/playlist?list=PL590L5WQmH8dsxxz7ooJAgmijwOz0lh2H
Если моделирование угроз (threat modeling) у вас тоже вызывает боль, либо это увлекательное занятие вам только предстоит, попробую сэкономить вам несколько десятков часов вашего времени и просто порекомендую начать с > https://shellsharks.com/threat-modeling
И неважно делаете вы модель угроз для приложения или инфраструктурного компонента. А еще пришла в голову мысль, что доступ к таким материалам при пентесте может сильно ускорить процесс получения результата :) Удачи!
Никогда не забуду свою первую...⛔️
И неважно делаете вы модель угроз для приложения или инфраструктурного компонента. А еще пришла в голову мысль, что доступ к таким материалам при пентесте может сильно ускорить процесс получения результата :) Удачи!
Никогда не забуду свою первую...
Please open Telegram to view this post
VIEW IN TELEGRAM
shellsharks
The Enchiridion of Impetus Exemplar
A vade mecum for all things Threat Modeling.
Там в либе Apache Commons Text нашли уязвимость, позволяющую выполнять удаленное выполнение кода — CVE-2022-42889.
Но несмотря на CVSS 9.8, уязвимость затрагивает только несколько методов, связанных с интерполяцией данных, что в целом выглядит не так критично.
Поискать в коде можно по:
Уязвимость затрагивает версии Apache Commons Text 1.5–1.9.
Reports:
https://www.rapid7.com/blog/post/2022/10/17/cve-2022-42889-keep-calm-and-stop-saying-4shell/
https://securitylab.github.com/advisories/GHSL-2022-018_Apache_Commons_Text/
https://vulners.com/rapid7blog/RAPID7BLOG:F7BA3352D40FAE34A5EC64E58595ED85
https://blog.aquasec.com/cve-2022-42889-text2shell-apache-commons-vulnerability
Но несмотря на CVSS 9.8, уязвимость затрагивает только несколько методов, связанных с интерполяцией данных, что в целом выглядит не так критично.
Поискать в коде можно по:
StringLookupFactory.INSTANCE.interpolatorStringLookup().lookup()
или StringSubstitutor.createInterpolator().replace()
В любом случае возьмите на вооружение и если лень читать код просто пропатчите либы до новой версии 1.10, благо она уже вышла.Уязвимость затрагивает версии Apache Commons Text 1.5–1.9.
Reports:
https://www.rapid7.com/blog/post/2022/10/17/cve-2022-42889-keep-calm-and-stop-saying-4shell/
https://securitylab.github.com/advisories/GHSL-2022-018_Apache_Commons_Text/
https://vulners.com/rapid7blog/RAPID7BLOG:F7BA3352D40FAE34A5EC64E58595ED85
https://blog.aquasec.com/cve-2022-42889-text2shell-apache-commons-vulnerability
Наверное лучший роадмап по сертификациям в ИБ, отсортированный по направлениям и уровню сложности.
В очередной раз в этом убедился.
> https://pauljerimy.com/security-certification-roadmap/ <
p.s выглядит это конечно страшно, но что не сделать ради многострочного статуса в Linkedin, да? 😁
В очередной раз в этом убедился.
> https://pauljerimy.com/security-certification-roadmap/ <
p.s выглядит это конечно страшно, но что не сделать ради многострочного статуса в Linkedin, да? 😁
Paul Jerimy Media
Security Certification Roadmap - Paul Jerimy Media
IT Security Certification Roadmap charting security implementation, architecture, management, analysis, offensive, and defensive operation certifications.
Вопрос который меня в последнее время сильно волнует. Будет очень круто если поучаствуете анонимно.
Если вы еще не касались истории с импортозамещением — игнорируйте (хотя предположу, что коснулось многих).
Собственно вопрос ↓
Если вы еще не касались истории с импортозамещением — игнорируйте (хотя предположу, что коснулось многих).
Собственно вопрос ↓
Учитывая, что часто приходится отказываться от международных продуктов и проектов и заменять их российскими аналогами и opensource решениями.
Повлияло ли это на ваш интерес к работе с области и как?
Повлияло ли это на ваш интерес к работе с области и как?
Anonymous Poll
19%
С импортозамещением не сталкивался
37%
Не повлияло, все интересно
13%
Немного повлияло, стало менее интересно
7%
Повлияло существенно, планирую менять работу из-за этого
8%
Координально поменяла, ушел из ИБ
16%
Другое (если готовы поделиться, было бы круто)
Я снова пропал, но тут такая новость сегодня, что нельзя было не поделиться — поддержка Passkeys теперь официально доехала до Google Chrome (Chrome Stable M108 если быть точным).
На всякий случай Passkeys — это инициатива альянсов FIDO и W3C по разработке стандарта аутентификации без использования паролей, которые являются занозой в заднице в современном мире: утечки, брутфорс, сменяемость, желание написать его на листочке и приклеить к монитору и пр.
Короче крутые чуваки собрались как-то, подумали и изобрели WebAuthn. Потом инициативу поддержали Apple, Google и Microsoft, обернули это в Passkeys и вот он, продукт который можно внедрять и нести людям (многие уже давно принесли даже, только Google опаздывает).
Короче, со стороны поддержки клиентов кажется все готово, осталось, чтобы технологию начали чаще внедрять уже на стороне приложений и, кажется, сегодня эра passwordless стала намного ближе.
P.s проблема паролей постепенно уходит, приходит проблема социальной инженерии через openai.
Аминь.
- - -
Новость про passkey в Chrome > https://blog.chromium.org/2022/12/introducing-passkeys-in-chrome.html
Почитать подробнее > https://www.passkeys.io
Потестить как это работает > https://webauthn.io/
На всякий случай Passkeys — это инициатива альянсов FIDO и W3C по разработке стандарта аутентификации без использования паролей, которые являются занозой в заднице в современном мире: утечки, брутфорс, сменяемость, желание написать его на листочке и приклеить к монитору и пр.
Короче крутые чуваки собрались как-то, подумали и изобрели WebAuthn. Потом инициативу поддержали Apple, Google и Microsoft, обернули это в Passkeys и вот он, продукт который можно внедрять и нести людям (многие уже давно принесли даже, только Google опаздывает).
Короче, со стороны поддержки клиентов кажется все готово, осталось, чтобы технологию начали чаще внедрять уже на стороне приложений и, кажется, сегодня эра passwordless стала намного ближе.
P.s проблема паролей постепенно уходит, приходит проблема социальной инженерии через openai.
Аминь.
- - -
Новость про passkey в Chrome > https://blog.chromium.org/2022/12/introducing-passkeys-in-chrome.html
Почитать подробнее > https://www.passkeys.io
Потестить как это работает > https://webauthn.io/
Пссс, завезем немного движа в ИБ?
Давно вынашивал идею закрытого сообщества для безопасников, где можно было бы черпать экспертизу, обмениваться опытом, получать актуальную информацию и просто общаться с крутыми и интересными людьми.
Почему закрытого? Потому что сами знаете специфику нашего направления, когда далеко не все готовы обсуждать многие вещи публично. Но согласитесь, у многих есть опыт, которым можно поделиться и который может быть очень полезен. Мне кажется закрытый формат может хотя бы частично эту проблему решить.
В общем, не буду ходить вокруг да около, сейчас я на этапе проверки гипотезы поэтому очень хочется получить от вас обратную связь.
Основную идею постарался изложить тут > https://cyfeed.co
Если вам было бы интересно поучаствовать в таком, можете оставить там свой email, это поможет мне понять на сколько такой формат откликается в ИБ.
А тут будут анонсы и внутрянка, чтобы понять на каком этапе сейчас проект > @cyfeed
P.s говорят с понедельника можно начать новую жизнь, проверим на примере сообщества👨💻
Давно вынашивал идею закрытого сообщества для безопасников, где можно было бы черпать экспертизу, обмениваться опытом, получать актуальную информацию и просто общаться с крутыми и интересными людьми.
Почему закрытого? Потому что сами знаете специфику нашего направления, когда далеко не все готовы обсуждать многие вещи публично. Но согласитесь, у многих есть опыт, которым можно поделиться и который может быть очень полезен. Мне кажется закрытый формат может хотя бы частично эту проблему решить.
В общем, не буду ходить вокруг да около, сейчас я на этапе проверки гипотезы поэтому очень хочется получить от вас обратную связь.
Основную идею постарался изложить тут > https://cyfeed.co
Если вам было бы интересно поучаствовать в таком, можете оставить там свой email, это поможет мне понять на сколько такой формат откликается в ИБ.
А тут будут анонсы и внутрянка, чтобы понять на каком этапе сейчас проект > @cyfeed
P.s говорят с понедельника можно начать новую жизнь, проверим на примере сообщества
Please open Telegram to view this post
VIEW IN TELEGRAM
Понял тут, что не рассказывал о trufflehog, наверное лучшем на сегодншний день решении для поиска секретов. SSH и API ключи, пароли к бд, токены, облачные учетные данные и многое другое. Там уже 700 детекторов/регулярок, причем для некоторых есть сразу автоматическая проверка. Нашли например креды к AWS или GCP, нажали кнопочку и trufflehog любезно постучал в нужную апишку для валидации.
Еще помимо привычных множественных сканов репозиториев, есть возможность поиска по файловой системе и даже s3 бакетам. Бонусом можно скачать плагин для браузера чтобы и по JS пройтись.
Короче, мастхев для безопасности ваших пайплайнов и обнаружения секретов, которые кто-то случайно забыл положить куда следует или удалить. Ну или не случайно😏
> https://github.com/trufflesecurity/trufflehog
Еще помимо привычных множественных сканов репозиториев, есть возможность поиска по файловой системе и даже s3 бакетам. Бонусом можно скачать плагин для браузера чтобы и по JS пройтись.
Короче, мастхев для безопасности ваших пайплайнов и обнаружения секретов, которые кто-то случайно забыл положить куда следует или удалить. Ну или не случайно
> https://github.com/trufflesecurity/trufflehog
Please open Telegram to view this post
VIEW IN TELEGRAM
А вы знали, что OpenSSH на macOS позволяет пасс-фразы от ваших ssh-ключей добавить в keychain, чтобы автоматом подтягивать их при подключении?
Делаем:
Если ключей несколько, то агент по имени ключа будет доставать нужную фразу.
P.S На старых версиях MacOS команда чуть отличается, вот тут подглядите.
Ну а теперь похоливарим за безопасность такого метода, особенно если у вас включен iCloud sync?🤪
Делаем:
ssh-add --apple-use-keychain ~/.ssh/[priv-key]
И подключаем в конфиге агента ~/.ssh/config:Host *Готово, вы сэкономили немного своего времени на ввод passphrase.
UseKeychain yes
AddKeysToAgent yes
IdentityFile ~/.ssh/id_rsa
Если ключей несколько, то агент по имени ключа будет доставать нужную фразу.
P.S На старых версиях MacOS команда чуть отличается, вот тут подглядите.
Ну а теперь похоливарим за безопасность такого метода, особенно если у вас включен iCloud sync?
Please open Telegram to view this post
VIEW IN TELEGRAM
Советую как будет время глянуть вчерашний ИБ-митап Яндекса, достаточно интересные и разные темы. Cразу спойлер — про слив упомянули, но ничего не рассказали, обещали потом.
А вообще парням большой респект за то, что несмотря на то, что происходит в мире российского ИБ, они просто рассказывают важные и интересные вещи о том, как можно и нужно делать ИБ, без какого-либо продающего контекста (ну если только чуть-чуть). Ну и в опенсорс коммитят конечно же🙂
Все доклады классные, просто бери обводи и обновляй свои ИБ планы на 2023-2024 года.
00:04:13 Про DevSecOps в Яндекс.Облаке, немного продающий облако, но затрагивающий лучшие практики о том, как построить процессы ИБ в финтехе и не только.
01:10:15 Про выстраивание и автоматизацию процессов безопасности, экономию времени на ревью доступов, взаимодействия между командами и пр. Оч крутые кейсы для внедрения в любой организации.
01:38:32 Про организацию безопасного удаленного доступа до инфраструктуры, тут больше понравилась вторая часть, которая реально затрагивает большинство проблем при внедрении решений типа Teleport или Boundary.
А вообще парням большой респект за то, что несмотря на то, что происходит в мире российского ИБ, они просто рассказывают важные и интересные вещи о том, как можно и нужно делать ИБ, без какого-либо продающего контекста (ну если только чуть-чуть). Ну и в опенсорс коммитят конечно же
Все доклады классные, просто бери обводи и обновляй свои ИБ планы на 2023-2024 года.
00:04:13 Про DevSecOps в Яндекс.Облаке, немного продающий облако, но затрагивающий лучшие практики о том, как построить процессы ИБ в финтехе и не только.
01:10:15 Про выстраивание и автоматизацию процессов безопасности, экономию времени на ревью доступов, взаимодействия между командами и пр. Оч крутые кейсы для внедрения в любой организации.
01:38:32 Про организацию безопасного удаленного доступа до инфраструктуры, тут больше понравилась вторая часть, которая реально затрагивает большинство проблем при внедрении решений типа Teleport или Boundary.
Please open Telegram to view this post
VIEW IN TELEGRAM
YouTube
Yet Another Security Meetup #1
00:00:00 Начало трансляции
00:02:11 Открытие – Антон Карпов, Яндекс
00:04:13 Как мы строили Банк в Облаке и что мы поняли – Андрей Абакумов, Яндекс
00:30:59 Новая реальность DDoS атак – Алексей Тощаков, Яндекс
01:10:15 Классификация, моделирование и policy…
00:02:11 Открытие – Антон Карпов, Яндекс
00:04:13 Как мы строили Банк в Облаке и что мы поняли – Андрей Абакумов, Яндекс
00:30:59 Новая реальность DDoS атак – Алексей Тощаков, Яндекс
01:10:15 Классификация, моделирование и policy…
Говорят, чтобы пойти работать джун аппсеком достаточно научиться разворачивать какую-нибудь oauth proxy перед своими критическими сервисами.
Согласны? Узнали? Какая ваша любимая? 🫠
Согласны? Узнали? Какая ваша любимая? 🫠
Неплохие площадки для экспериментов с docker и kubernetes, если лень разворачивать лабы и разбираться с админской частью.
https://labs.play-with-docker.com/
https://labs.play-with-k8s.com/
Есть и песочницы и отдельные таски, где можно подтянуть темы, которые вы давно откладывали, например как работают linux capabilities или seccomp профили
https://labs.play-with-docker.com/
https://labs.play-with-k8s.com/
Есть и песочницы и отдельные таски, где можно подтянуть темы, которые вы давно откладывали, например как работают linux capabilities или seccomp профили
🐐 Kubernetes Goat — наверное самый популярный проект для изучения безопасности Kubernetes.
Круто, что благодаря сообществу они продолжают развивать и добавлять новые сценарии. Например недавно добавили лабы для изучения Cilium Tetragon и Kyverno.
Большинство сценариев простые, зато их уже более 20 штук, поэтому для общего понимания очень даже.
> https://madhuakula.com/kubernetes-goat/
> https://github.com/madhuakula/kubernetes-goat
Круто, что благодаря сообществу они продолжают развивать и добавлять новые сценарии. Например недавно добавили лабы для изучения Cilium Tetragon и Kyverno.
Большинство сценариев простые, зато их уже более 20 штук, поэтому для общего понимания очень даже.
> https://madhuakula.com/kubernetes-goat/
> https://github.com/madhuakula/kubernetes-goat
Cybershit
Я снова пропал, но тут такая новость сегодня, что нельзя было не поделиться — поддержка Passkeys теперь официально доехала до Google Chrome (Chrome Stable M108 если быть точным). На всякий случай Passkeys — это инициатива альянсов FIDO и W3C по разработке…
Все уже успели перевели свои Google-аккаунты на Passkey?
С сегодняшнего дня это официальный способ аутентификации для Google и огромный шаг к будущему без паролей 🔐
включать тут > https://myaccount.google.com/signinoptions/passkeys
Blog > https://blog.google/technology/safety-security/the-beginning-of-the-end-of-the-password/
С сегодняшнего дня это официальный способ аутентификации для Google и огромный шаг к будущему без паролей 🔐
включать тут > https://myaccount.google.com/signinoptions/passkeys
Blog > https://blog.google/technology/safety-security/the-beginning-of-the-end-of-the-password/
Google
The beginning of the end of the password
We’ve begun rolling out support for passkeys across Google Accounts on all major platforms as an additional option that people can use to sign in.
Пятничный подгон — как быстро и безопасно управлять переменными окружения на macOS с помощью keychain.
По сути там уже все есть, нужно только добавить обертку.
Делаем раз:
По сути там уже все есть, нужно только добавить обертку.
Делаем раз:
tee ~/keychain-env.sh <<'EOF'Два:
function keychain-env-read () {
security find-generic-password -w -a ${USER} -D "environment variable" -s "${1}"
}
function keychain-env-add () {
[ -n "$1" ] || print "Missing environment variable name"
read -s "?Enter Value for ${1}: " secret
( [ -n "$1" ] && [ -n "$secret" ] ) || return 1
security add-generic-password -U -a ${USER} -D "environment variable" -s "${1}" -w "${secret}"
}
EOF
echo -n 'source ~/keychain-env.sh' >> ~/.zshrc
Три:source ~/.zshrc
Теперь взмахом руки можно добавлять переменные окружения в ваш keychain и вычитывать их оттуда. keychain-env-add AWS_ACCESS_KEY_ID
export AWS_ACCESS_KEY_ID=$(keychain-env-get AWS_ACCESS_KEY_ID);
полный сниппет тут