On-Demand Container Scanning API

Прошлым летом ресечер Jerry Gamblin выложил на сайте vulnerablecontainers.org иформацию об уязвимостях 1000 самых популярных образов на Docker Hub. Не так давно по просьбе желающих он выпустил открытое API - scan.vulnerablecontainers.org на базе Trivy, Flask, Gunicorn и Nginx.

Как этим пользоваться можно почитать здесь:
https://jerrygamblin.com/2020/02/23/on-demand-container-scanning-api/

#tools #docker

путь Yandex Browser-а выбрал #zoom

https://twitter.com/c1truz_/status/1244737672930824193

+ нет end2end шифрования https://theintercept.com/2020/03/31/zoom-meeting-encryption/

​Миру нужен новый герой! Это ты! Давно думаешь допилить фичу для своего инди-проекта, но не знаешь когда? Откладываешь на потом? Скажи нет прокрастинации и участвуй в этом онлайн-хакатоне.

Хакатон "Ленивая Жопа"

• Описание: Russian Hackers проводят хакатон для сообщества. На хакатоне вы можете получить волшебное ничего, магический пендель и неоплачиваемую работу. Победителя выберем по количеству upvote на продакт ханте

• Даты проведения: 3 — 5 апреля

• Место проведения: online

• Регистрация: до 3 апреля

• Ссылка: lazyass.ru

• Если ты владеешь телеграм-каналом, поддержи наш хакатон и репостни его к себе в канал. Baxtep тебя не забудет

#hackathon @RussianHackers_Channel

The 'S' in Zoom, Stands for Security
uncovering (local) security flaws in Zoom's latest macOS client
https://objective-see.com/blog/blog_0x56.html
+
https://twitter.com/DanAmodio/status/1245329512889487361

За ссылки спасибо @ldviolet

Компания Microsoft опубликовала матрицу Adversarial Tactics, Techniques & Common Knowledge (ATT&CK) для Kubernetes. Данная матрица описывает и каталогизирует поведения атакующего на всех его стадиях от проникновения, до нанесения ущерба.
Взялись они это делать для своего Azure и пришли к выводу что есть большое сходство с матрицами для Windows и Linux. Так что большинство тактик такие же (9 штук), но есть и различия - отсутствует Collection, Command and Control и Exfiltration. Техник пока у них набралось 40 штук и каждая имеет небольшое описание с которым рекомендую ознакомится по ссылке.

CVE-2020-8816 – Pi-hole Remote Code Execution

https://natedotred.wordpress.com/2020/03/28/cve-2020-8816-pi-hole-remote-code-execution/

Сравнение Github Actions и CircleCI для тестирования Pull Reqeust-ов

https://blogs.vmware.com/opensource/2020/04/02/ci-tests-tools/

#github #githubactions #circleci #vmvare

This webinar uses examples to teach you how to deduce what queries are actually doing by reading the system log and system tables. We'll then explore standard ways to increase query speed: data types and encodings, filtering, join reordering, skip indexes, materialized views, session parameters, to name just a few. In each case we'll circle back to query plans and system metrics to demonstrate changes in ClickHouse behavior that explain the boost in performance. 

Secrets of ClickHouse Query Performance
https://www.youtube.com/watch?v=6WICfakG84c

Хей, мы планируем выпуск про вычисления на GPU сделать. Не хотите вопросов подкинуть? может что-то слышали и хотите узнать детальнее? А может готовы все-все оспорить? Напишите в чате или боту. Спасибо :)

Это было забавно.

https://www.reddit.com/r/ProgrammerHumor/comments/78aa07/reddit_host_a_joke_etcpasswd_with_hashes_for/

Move Fast & Roll Your Own Crypto
A Quick Look at the Confidentiality of Zoom Meetings
https://citizenlab.ca/2020/04/move-fast-roll-your-own-crypto-a-quick-look-at-the-confidentiality-of-zoom-meetings/

За ссылку спасибо @ldviolet

Go бывает разный.

TamaGo - bare metal Go framework for ARM SoCs.
https://www.youtube.com/watch?v=4QircrJjEtQ
+
https://github.com/f-secure-foundry/tamago

VirSecCon2020
VIRTUAL SECURITY CONFERENCE
April 4, 2020 at 9:30AM PDT (19:30 MSK)

Программа
https://virseccon2020.splashthat.com/

Трансляция
https://www.twitch.tv/nahamsec

- «Ой, у нас каналы перегружены», в историческом порядке:

1. Основные генераторы интернет-трафика — Youtube/Netflix — проектируются с использованием клиент-серверной архитектуры доставки видео, и до сих пор используют только её.

2. Проводные провайдеры вводят дешевые безлимитные тарифы, пользователи перестают считать трафик.

3. Проводные провайдеры отказываются от бесплатных локальных ресурсов, DC++-хабов, BitTorrent retracker'ов, всё больше интернет-трафика.

4. Мобильные телефоны и коммуникаторы становятся смартфонами с малым объемом памяти, доступные цены на мобильный интернет.

5. Дешевые и быстрые безлимитные тарифы полностью вытесняют оплату по трафику у проводных провайдеров, пользователи перестают хранить медиафайлы: зачем, если можно скачать или слушать/смотреть во «ВКонтакте»?

6. ПО, ранее использовавшие p2p-архитектуру, переделывается под клиент-серверную (Skype), или становится нишевым (SIP).

7. Пиратские «онлайн-кинотеатры» завоёвывают популярность, торрент-трекеры теряют популярность.

8. Dropbox, Яндекс.Диск и компания: зачем хранить файлы на ПК и передавать между ПК/смартфоном в пределах домашней сети, если можно хранить в интернете?

9. Дешевые и быстрые безлимитные тарифы у мобильных операторов (но с ограничением p2p-сетей), производительные смартфоны с малым объемом памяти: зачем хранить музыку на смартфоне, если можно слушать со Spotify?

10. Интернет-цензура в России: часть сайтов перестаёт открываться по непонятным причинам, Always-on VPN в другую страну.

11. Массовое шифрование всего трафика в интернете, фактическая невозможность нормального/массового использования локальных кеширующих прокси-серверов.

12. Появление нескольких проектов распределенных интернет-сайтов и видеовещания, отсутствие их популярности даже для нишевого использования, отсутствие поддержки со стороны разработчиков браузеров.

13. Повальное шифрование трафика в интернете, превращение всего в клиент-серверную архитектуру, SSL Pinning в программах, DNS over HTTPS в браузерах.

Виден ли свет в конце шифрованного туннеля провайдерской трубы? За последние годы появилось, по меньшей мере, 2 серьёзных проекта: IPFS и ZeroNet. Первый функционально скуден, но поддерживается крупными игроками (CloudFlare) и сравнительно распространён, а второй — не в пример функционально продвинут, но не получает должного внимания. Также есть нишевые: PeerTube, DAT. Если не все они, то я не знаю, кто.

Забыл еще важную вещь: у абсолютно всех сервисов аудио- и видеовещания отсутствует функция скачивания файлов. Смотрите онлайн, слушайте онлайн.

https://twitter.com/ValdikSS/status/1246183074771107843

Linux Kernel Manager and Activity Monitor
https://github.com/orhun/kmon

Но должен предупредить - книга не совсем для новичков, и я ожидаю, что мой читатель уже трогал CloudFormation, а так же умеет писать (или хотя бы читать) код на Python, работал с Boto3 и, разумеется, умеет в AWS.

Собственная книга, на которую нужно обратить внимание всем, работающим с AWS - это круто. @ThomasStorm клёвый. Будь как @ThomasStorm. #рекомендация

Опыт AWS

Мал, да удал. Анбоксинг микровиртуалки Firecracker
https://habr.com/ru/company/oleg-bunin/blog/464305/

Attacking Serverless Servers: Reverse Engineering the AWS, Azure, and GCP Function Runtime
https://www.youtube.com/watch?v=DegAofI3fR0
+
https://github.com/pumasecurity/serverless-prey

A quick guide to service mesh and various tools in the space, looking at AWS App Mesh, Consul Connect, Istio, Linkerd and more.

https://thenewstack.io/an-exploratory-guide-to-the-service-mesh-platforms/

#kubernetes #k8s #istio #aws #linkerd #consul #kuma #maesh

Запись доклада "Continuous Deployment with Argo CD"
https://www.youtube.com/watch?v=bAmiBUHltBA

Argo CD is a declarative, GitOps continuous delivery tool for Kubernetes.
https://argoproj.github.io/argo-cd/
+
https://github.com/argoproj/argo-cd/