Когда-то я увидел у @count0_digest ссылки на цикл статей про Chaos Engineering и вот наконец-то добрался до них и прочитал. Было интересно.

Chaos Engineering — Part 1
The art of breaking things purposefully
https://medium.com/@adhorn/chaos-engineering-ab0cc9fbd12a

Chaos Engineering — Part 2
Planning your first experiment
https://medium.com/@adhorn/chaos-engineering-part-2-b9c78a9f3dde

Chaos Engineering — Part 3
Failure Injection — Tools and Methods.
https://medium.com/@adhorn/chaos-engineering-part-3-61579e41edd8

Так же у автора этого цикла есть вебинар "Chaos Engineering on AWS. Building Resilient Systems"
https://anz-resources.awscloud.com/anz-webinars-on-demand-developer/applying-chaos-engineering-principles-for-building-fault-tolerant-applications

Для тех, кто не хочет там регаться я прицепил к посту видео собственно с самим вебинаром.

Статья от этого же автора

Immutable Infrastructure
Reliability, consistency and confidence through immutability
https://medium.com/@adhorn/immutable-infrastructure-21f6613e7a23

Я хочу рассказать о проекте по обучению безопасности, к созданию которого сам приложил руку (даже две) - https://hacktory.ai/

Сейчас там доступно два курса, которые можно попробовать бесплатно.

Первый, "Безопасность WEB", научит искать уязвимости и устранять их в различных аспектах и компонентах Web.

Второй, "Java Secure Programming", тоже основан на опыте пентестеров и призван научить делать ваши Java-приложения безопасными и надёжными. Этот курс продолжает развиваться и дополняться.

Первым 20 пользователям, кто пройдёт любую лабораторную работу и скинет в личку md5 от самого последнего флага в формате Имя лабы - md5(last_flag), я отправлю в ответ код, который позволит активировать доступ на месяц.

Если флаг кем-то уже был сдан, то следующему придётся добывать новый, а код активации выдаётся только один на человека.

Также есть канал @hacktory, где выкладываются анонсы и обучающие материалы.

Ну и буду рад любому фидбеку в личных сообщениях - @rusdacent.

Всем приятного обучающего времяпрепровождения! :)

Security Chaos Engineering

В связи с увеличением числа упоминаний темы Chaos Engineering на просторах Интернета в последнее время, грех не поговорить о Security Chaos Engineering.

Сама по себе концепция хаос-инжиниринга основана на нескольких гипотезах - определение "стабильного" состояния, создания гипотезы о последующем состоянии, введение переменных, осуществление попыток "сломать" гипотезу. После серии тестов инфраструктура оценивается на предмет доступности, безопасности и производительности. Как итог цель всего этого - получить систему, способную выдерживать экстремальные условия.

Security Chaos Engineering выделяется лишь гипотезами, касающимися безопасности. Тесты могут состоять, например, из отключения правил Security Groups, изменение файлов случайным образом, прослушивание портов, внедрение вредоносного трафика в VPC, случайное убийство процессов. При этом все это должно быть автоматизированно, а состояния системы должны непрерывно отслеживаться.

А теперь, где можно познакомиться подробнее:
Security Chaos Engineering for Cloud Services - про эксперименты, результаты и опыт взаимодействия с CloudStrike для реализации экспериментов

Building Secure Systems using Security Chaos Engineering and Immunity - Yury Niño Roa - за ссылку спасибо @tech_b0lt_Genona, у него же можете почитать в целом про chaos engineering

Security Precognition: Chaos Engineering in Incident Response - неплохой вводный доклад с RSA Conference

Инструменты для тестирования и контроля состояний среды в процессе тестирования:
ChaoSlingr, Security Monkey

Выложены доклады с HellaConf 2020.

Заинтересовало всего два доклада

Первый про проблемы с зависимостями в проектах
Frank Rietta: Securing the Open Source Software Supply Chain
https://www.youtube.com/watch?v=dVc8qv991kY
Слайды
https://speakerdeck.com/rietta/securing-the-open-source-software-supply-chain

Второй про open source проект, который позволяет по коду искать опасные паттерны.
Drew Dennison: sgrep:grep for code, an open source tool to find bugs
https://www.youtube.com/watch?v=LnF5t73N1gI
Слайды
https://r2c.dev/HellaSecureSemgrep.pdf

Все доклады
https://www.youtube.com/playlist?list=PLb47HxNiZ8g8JN1zvoI2zwy-zdey3nBf9

Программа
https://hella-secure.com/hellaconf-2020/

Dave McAllister из Splunk

RED (Rates, Errors, Duration) is designed for monitoring microservices. RED gives you the framework to build alerting, monitoring and analysis into a flexible structure to meet the emerging needs of services-based cloud-native architectures and give you the capability to grow as your environment scales. By seeing multiple dimensions, we can monitor and focus to get to root cause faster, with less false positives and quicker resolution. We’ll look at how signals impact observability. The RED approach will help reduce your production issues and fail panics we all see.

Seeing RED
https://www.youtube.com/watch?v=aI3o_YRGabc

RED (Rates, Errors, Duration) was a spinoff from Google’s Golden Signals designed for monitoring microservices. However, RED use has clearly demonstrated that the applicability is applicable to any services-based architecture. With RED, unlike the modern belief in observability, your architecture is watched from aspects of multiple dimensions. You receive alerts and indications not just from anomalies, but also from headache alerts. By seeing multiple dimensions of concerns, be they failures in service or activity to close to the edge of capability, these combined monitors and deep-dive, focused access get you to your root cause faster, with less false positives and quicker resolution.

https://www.socallinuxexpo.org/scale/18x/presentations/seeing-red - более подробное описание доклада

Флант опубликовал историю одной не очень обычной задачи, реализованной с помощью Helm-хуков: https://habr.com/ru/company/flant/blog/501424/

Безопасность облачных решений
26 мая 17:00 МСК

Программа и спикеры:

1. Антон Жаболенко, Яндекс.Облако – Использование seccomp для защиты облачной инфраструктуры
В докладе мы поговорим про seccomp — механизм ядра Linux, который позволяет ограничивать доступные приложению системные вызовы. Мы наглядно покажем, как данный механизм позволяет сокращать поверхность атаки на систему, а также расскажем, как его можно использовать для защиты внутрненней инфраструктуры облака.

2. Вадим Шелест, Digital Security –  Облачный пентест: Методики тестирования Amazon AWS
В настоящее время все больше компаний задумывается о переходе на использование облачной инфраструктуры. Некоторые хотят таким образом оптимизировать затраты на техническое обслуживание и персонал, другие считают, что облако более защищено от атак злоумышленников и безопасно по умолчанию.

3. Спикер из Wrike – TBA

4. Алмас Журтанов, Luxoft – BYOE на минималках
Проблема защиты персональных данных при использовании SaaS-решений уже долгое время беспокоит ИБ-специалистов по всему миру. Даже при максимальной защите от внешних нарушителей, возникает вопрос о степени контроля провоайдера SaaS-платформы над обрабатываемыми платформой данными. В этом докладе я хотчу рассказать о простом способе минимизировать доступ провайдера SaaS к данным клиентов путём внедрения прозрачного шифрования данных на стороне клиента и рассмотрим плюсы и минусы такого решения.

5. TBA 

Регистрация
https://wriketeam.timepad.ru/event/1303270/

Also, backdoor allows to inspect Secure Kernel and run 3-rd party trustlets in the Isolated User Mode (a virtualization-based security feature of Windows 10).

To deploy the backdoor you can use DMA attack toolkit or UEFI bootkit based on signed insecure bootloader from Kaspersky products that was discovered by @ValdikSS.

Hyper-V backdoor
https://github.com/Cr4sh/s6_pcie_microblaze/tree/master/python/payloads/DmaBackdoorHv#hyper-v-backdoor

За ссылку спасибо @ldviolet

ЗЫ Статья на которую ссылаются от ValdikSS
Эксплуатация подписанных загрузчиков для обхода защиты UEFI Secure Boot
https://habr.com/ru/post/446072/

Интересный проект от Stanford Systems and Networking Research позволяющий с помощью AWS Lambda распараллеливать задачи типа компиляции, object recognition, обработки видео, тестирования и подобных.

GitHub
https://github.com/stanfordsnr/gg

Доклад про gg на USENIX ATC 2019
From Laptop to Lambda: Outsourcing Everyday Jobs to Thousands of Transient Functional Containers
https://www.youtube.com/watch?v=VVWVN6Czji4

Paper
http://stanford.edu/~sadjad/gg-paper.pdf

gg упоминается в другом, более раннем, докладе (скриншот со временем компиляции из него)
Supercomputing as a Service: Massively-Parallel Jobs on FaaS Platforms
https://www.serverlesscomputing.org/wosc2/presentations/s2-wosc-slides.pdf

В нём рассказывается не только про указанный выше gg, но и про ExCamera (проект для быстрого процессинга видео), который использует mu
Framework to Run General-Purpose Parallel Computations on AWS Lambda
https://github.com/excamera/mu
ExCamera и mu не развиваются уже.

Вчера посмотрел вебинар по cdk8s на канале CNCF, выглядит интересно, этакий конкурент Pulumi.
Webinar: End YAML engineering with cdk8s!
https://www.youtube.com/watch?v=QcF_6ZSEd5k

cdk8s is a software development framework for defining Kubernetes applications and reusable abstractions using familiar programming languages and rich object-oriented APIs. cdk8s generates pure Kubernetes YAML - you can use cdk8s to define applications for any Kubernetes cluster running anywhere.

https://github.com/awslabs/cdk8s

Отличнейший цикл статей про то как Microsoft пытался противостоять взлому Xbox 360

Защита и взлом Xbox 360 (Часть 1)
https://habr.com/ru/post/491634/

Защита и взлом Xbox 360 (Часть 2)
https://habr.com/ru/post/495662/

Защита и взлом Xbox 360 (Часть 3)
https://habr.com/ru/post/500246/

​Не секрет, что я не очень люблю mogodb и троллю их при любой возможности (так же как и рубистов):
https://xn--r1a.website/nosingularity/194

Семь лет назад вышла статья, о которой я писал тут
https://xn--r1a.website/nosingularity/35

и спустя два года вышла еще одна
https://aphyr.com/posts/322-call-me-maybe-mongodb-stale-reads
где первый коммент "As a Stripe customer, I sure hope you’re not using Mongo to keep track of my transactions."
Быгыгы :)

В очередной раз напомню, что stripe с оценкой $36 ярдов написан на руби и монге.

В последнем же треде в августе 2017 автор исследования сказал, что в версии 3.4 тоже беды с башкой (зачеркнуто) все стало еще хуже.

Мне предъявили, что все это было давно, в четвертой ветке, вышедшей в авгусе 2018 все поменялось и я перегибаю палку.

Ну что, мои маленькие любители json'ов, держите:
https://twitter.com/jepsen_io/status/1261276984681754625

MongoDB 4.2.6's transactions aren't full ACID, or even snapshot isolated. We found read skew, cyclic information flow, and internal inconsistencies, including transactions which could read their own writes from the future. Ooooh, spooooky!
Also transactions are allowed to lose data & read uncommitted, possibly impossible states by default, because why would you *not* want that behavior from something called a transaction. This was already documented, but I found it surprising!

Подробнее тут:
http://jepsen.io/analyses/mongodb-4.2.6

Митап «Мониторинг производительности». 21 мая (четверг), в 18:30
Программа:
Михаил Макуров, «Производительность: система мониторинга от и до», Интерсвязь.
Алексей Акопян, Олег Кириченко, «Экспертная сессия: обзор решения APM от AppDynamics», Инфосистемы Джет.

Трансляция https://www.youtube.com/channel/UCyQ9sLBi9F3Mo_LRQrJ6RNg

Регистрация: https://eventuer.timepad.ru/event/1299546/

Будет трансляция и запись. Пицца... только если сами закажите.

Выложены доклады с Observe 20/20, виртуальная конференция посвящённая observability.

Доклады
https://www.youtube.com/playlist?list=PL_E9Q1OlyhOMOizUGObQpfi0JNVe7YLk9

В рамках конференции проводился воркшоп
Steve Flanders - OpenTelemetry as easy as 1, 2, 3
https://www.youtube.com/watch?v=K3JNw8Gue7c

Материалы к нему
https://observe2020.io/2020/03/workshop-1-steve-flanders/

Программа конференции
https://observe2020.io/agenda/

Хочется сказать большое спасибо каналам и чатам за поддержку https://hacktory.ai/

@in51d3 - канал про безопасность, железо и всё что с этим связано
@count0_digest - "Пятничный деплой" в представлении не нуждается :)
@sysadm_in - чат портала https://sys-adm.in/
@aws_notes - канал с кучей интересного и полезного про AWS
@bykvaadm - различные аспекты администрирования систем и не только
@sec_devops - канал с большим количеством полезного материала про DevSecOps
@ZnProd - чат подкаста "Цинковый прод". Я писал о них тут https://xn--r1a.website/tech_b0lt_Genona/1592
@oleg_log - Олег и его лог :)

Если я кого-то случайно забыл, то напишите и я обязательно добавлю.

Ну, а АКЦИЯ!!!111!! указанная в прошлом сообщении остаётся актуальной, только теперь не 20, а 13 ключей :)
- - -
Кто пройдёт любую лабораторную работу и скинет в личку (@rusdacent) md5 от самого последнего флага в формате Имя лабы - md5(last_flag), я отправлю в ответ код, который позволит активировать доступ на месяц.

Если флаг кем-то уже был сдан, то следующему придётся добывать новый, а код активации выдаётся только один на человека.

Напомню и про канал @hacktory, где можно следить за анонсами и обучающими материалами.

This blog is part three of our detection engineering series; which provides examples of how detection engineers can use capability abstraction and the detection spectrum to implement Detection-in-Depth.

Capability Abstraction
https://posts.specterops.io/capability-abstraction-fbeaeeb26384

Detection Spectrum
https://posts.specterops.io/detection-spectrum-198a0bfb9302

Detection in Depth
https://posts.specterops.io/detection-in-depth-a2392b3a7e94

Continuous Security with Kubernetes
https://www.youtube.com/watch?v=buwAZSQ14Tk

​​Безопасность EKS — лучшие практики:

https://aws.github.io/aws-eks-best-practices/

Сетевая безопасность, защита подов, инфраструктура, compliance и так далее. Рекомендации, ссылки на другие ресурсы и инструменты.

Отличный, комплексно и качественно выполненный документ. Безопасникам — однозначно в закладки.

#security #best_practices #EKS

Learn how to use Go to automate tasks like security incident response, disaster recovery plan testing, and test environment population – all without running a single server! By creating AWS Lambda functions using Go you can minimize your own management overhead while creating tools that are more readable, fault tolerant, testable, and performant than shell scripts.

Serverless Ops - Bye Bye Bash, Hello Go! / Rob Sutter (AWS)
https://www.youtube.com/watch?v=PSD-5M6vYYw