Forwarded from IT Meetups - анонсы мероприятий
Kubernetes Meetup Online
3 июня 17:00 МСК
1. Kubernetes, микросервисы, CI/CD и докер для ретроградов: советы по обучению - Евгений Потапов, ITsumma.ru
2. Disaster recovery в Kubernetes — Марсель Ибраев, Southbridge.io
3. EKS и самоделкины — Алексей Дюжов, Motorsport network
https://uwdc.timepad.ru/event/1322441/
3 июня 17:00 МСК
1. Kubernetes, микросервисы, CI/CD и докер для ретроградов: советы по обучению - Евгений Потапов, ITsumma.ru
2. Disaster recovery в Kubernetes — Марсель Ибраев, Southbridge.io
3. EKS и самоделкины — Алексей Дюжов, Motorsport network
https://uwdc.timepad.ru/event/1322441/
uwdc.timepad.ru
Kubernetes Meetup Online / События на TimePad.ru
UWDC совместно с #Sysadminka проводит Online Kubernetes Meetup
3 июня (среда) в 19.00 — 21.30 по Екатеринбургу (17.00 — 19.30 по Москве). Регистрация не обязательна, но позволит напомнить вам о митапе. Трансляция пройдет на Youtube, вопросы собираем…
3 июня (среда) в 19.00 — 21.30 по Екатеринбургу (17.00 — 19.30 по Москве). Регистрация не обязательна, но позволит напомнить вам о митапе. Трансляция пройдет на Youtube, вопросы собираем…
IT Meetups - анонсы мероприятий
Kubernetes Meetup Online 3 июня 17:00 МСК 1. Kubernetes, микросервисы, CI/CD и докер для ретроградов: советы по обучению - Евгений Потапов, ITsumma.ru 2. Disaster recovery в Kubernetes — Марсель Ибраев, Southbridge.io 3. EKS и самоделкины — Алексей Дюжов…
Чатик "Сисадминки" - @sysadminka
TL;DR
This article explores how we can reverse engineer Docker images by examining the internals of how Docker images store data, how to use tools to examine the different aspects of the image, and how we can create tools like Dedockify to leverage the Python Docker API to create Dockerfiles from source images.
Reverse Engineer Docker Images into Dockerfiles
https://medium.com/appfleet/reverse-engineer-docker-images-into-dockerfiles-4d667874098c
Medium
Reverse Engineer Docker Images into Dockerfiles
This article explores how we can reverse engineer Docker images by examining the internals of how Docker images store data, how to use tools to examine the different aspects of the image, and how we…
> For this vulnerability, I was paid $100,000 by Apple under their Apple Security Bounty program.
Zero-day in Sign in with Apple
https://bhavukjain.com/blog/2020/05/30/zeroday-signin-with-apple/
Zero-day in Sign in with Apple
https://bhavukjain.com/blog/2020/05/30/zeroday-signin-with-apple/
Forwarded from DOFH - DevOps from hell
Meanwhile, Hetzner запустил клауд с апишечкой к серверам
https://www.hetzner.com/cloud
Покупка сервера на хецнере теперь выглядит так:
https://www.hetzner.com/cloud
Покупка сервера на хецнере теперь выглядит так:
curl -H 'Authorization: Bearer YOUR-API-TOKEN' \
-H 'Content-Type: application/json' \
-d '{ "name": "server01", "server_type": "cx21", "location": "nbg1", "image": "ubuntu -16.04"}' \
-X POST 'https://api.hetzner.cloud/v1/servers'
Hetzner
Flexible Cloud Hosting Services und VPS Server
Hetzner Cloud Hosting Services ✓ VPS Server und Block Storage ✓ günstige Preise ✓ in Deutschland, Finland, USA und Singapur
Тут "дятел" в интернеты влетел
https://www.opennet.ru/opennews/art.shtml?num=53061
"Починил" у себя так
1. Комментим через
Предполагалось, что проблема затрагивает старые выпуски дистрибутивов (включая Debian 9, Ubuntu 16.04, RHEL 6/7) в которых используются проблемные ветки OpenSSL, но проблема проявилась также при работе пакетного менеджера APT в актуальных выпусках Debian 10 и Ubuntu 18.04/20.04, так как APT использует библиотеку GnuTLS. Суть проблемы в том, что многие TLS/SSL-библиотеки разбирают сертификат как линейную цепочку, в то время как в соответствии с RFC 4158 сертификат может представлять ориентированный распределённый циклический граф с несколькими якорями доверия, которые нужно учитывать. О данной недоработке в OpenSSL и GnuTLS было известно уже много лет. В OpenSSL проблема была устранена в ветке 1.1.1, а в GnuTLS остаётся неисправленной.
https://www.opennet.ru/opennews/art.shtml?num=53061
"Починил" у себя так
1. Комментим через
! строчку mozilla/AddTrust_External_Root.crt в /etc/ca-certificates.conf
2. Запускаем update-ca-certificateswww.opennet.ru
Устаревание корневого сертификата AddTrust привело к сбоям в системах с OpenSSL и GnuTLS
30 мая истёк 20-летний срок действия корневого сертификата AddTrust, который применялся для формирования перекрёстной подписи (cross-signed) в сертификатах одного из крупнейших удостоверяющих центров Sectigo (Comodo). Перекрёстная подпись позволяла обеспечить…
Технологический Болт Генона
Тут "дятел" в интернеты влетел Предполагалось, что проблема затрагивает старые выпуски дистрибутивов (включая Debian 9, Ubuntu 16.04, RHEL 6/7) в которых используются проблемные ветки OpenSSL, но проблема проявилась также при работе пакетного менеджера APT…
В личке пока обсуждал спросили, что на счёт CentOS/RHEL. По ссылке на opennet есть, но я сюда отдельно вынесу
# trust dump --filter "pkcs11:id=%AD%BD%98%7A%34%B4%26%F7%FA%C4%26%54%EF%03%BD%E0%24%CB%54%1A;type=cert" > /etc/pki/ca-trust/source/blacklist/addtrust-external-root.p11-kit
# update-ca-trust extract
Forwarded from oleg_log (Oleg Kovalov)
Думаю все уже наслушались про zero-day в Sign-in with Apple и выплате в 100к.
Но мне больше понравилась эта статья, где все тож самое, только по полочкам рассказывается https://aaronparecki.com/2020/05/31/30/the-real-cause-of-the-sign-in-with-apple-zero-day
тлдр:
1: Validate your form inputs!
2: Never roll your own authentication.
Но мне больше понравилась эта статья, где все тож самое, только по полочкам рассказывается https://aaronparecki.com/2020/05/31/30/the-real-cause-of-the-sign-in-with-apple-zero-day
тлдр:
1: Validate your form inputs!
2: Never roll your own authentication.
Aaron Parecki
The Real Cause of the Sign In with Apple Zero-Day
The zero-day bug in Sign In with Apple actually had nothing to do with the OAuth or OpenID Connect part of the Sign In with Apple exchange, and very little to do even with JWTs. Let's take a closer look to see what actually happened.
Прямой эфир
CDF / Антон Вайс и Cloud Native CI/CD // 02.06.2020
https://www.youtube.com/watch?v=eZKKxFbyE08
CDF / Антон Вайс и Cloud Native CI/CD // 02.06.2020
https://www.youtube.com/watch?v=eZKKxFbyE08
YouTube
- YouTube
Forwarded from Dmitry Sh
В блоге рассказываем про новую важную фичу, появившуюся в werf: https://habr.com/ru/company/flant/blog/504390/
Хабр
Организация распределенного CI/CD с помощью werf
werf — наша Open Source-утилита для сборки и деплоя приложений. Сегодня мы с радостью сообщаем, что werf научилась работать в распределенном режиме, начиная с...
Forwarded from Записки админа
🛠 Live Patching Tools.
Сравнение livepatch-утилит, которые позволяют патчить ядро налету, уменьшая, тем самым, количество необходимых ребутов.
#livepatch #kernel #напочитать
Сравнение livepatch-утилит, которые позволяют патчить ядро налету, уменьшая, тем самым, количество необходимых ребутов.
#livepatch #kernel #напочитать
Forwarded from Security Wine (бывший - DevSecOps Wine) (Denis Yakimov)
IAST and hybrid analysis
SAST и DAST - два основных инструмента для поиска уязвимостей в приложении. Как правило SAST из коробки - это большое количество ложных срабатываний, а DAST - это неполный набор уязвимостей, выявленных на ограниченном множестве запросов к развернутому сервере (либо такое же большое количество ложных срабатываний)
IAST (Interactive AST) должен сочетать в себе SAST и DAST, но, что из себя в конечном итоге представляет класс решений, до конца сообщество и вендоры не определились. Попробуем внести некоторую ясность и разобраться в текущих наработках.
Версии:
1) IAST - агент, отслеживающий работу приложения и сопутствующего компилятора и интерпретатора, что позволяет определить уязвимость в развернутом приложении с указание на строчку в коде. В случае с предварительно скомпилированными ПО IAST может точно определить проблему в байт-коде, что ускоряет его поиск в исходном коде. (Acuetix source)
2) IAST - инструмент, который использует SAST для формирования наборов входных данных и шаблонов ожидаемых результатов, а DAST выполняет тестирование системы на этих наборах, опционально привлекая к процессу человека-оператора в неоднозначных ситуациях (PT Blog)
3) IAST - инструмент, выполняющий тесты безопасности, для развернутого приложения основываясь на запросы-ответы в рамках функциональных тестов, проверяя, таким образом, не все приложение, а только часть (Пример ПО: Wallarm FAST)
Наиболее зрелые представители IAST на рынке - Checkmarx, Veracode, Synopsys
Из бесплатных IAST есть Contrast (не open-source, но free)
За ссылку спасибо @tech_b0lt_Genona
Вообще задача с совмещением результатов SAST и DAST сама по себе довольно интересная.
Вот некоторые мысли о создании гибридного SAST/DAST с Google Patents:
Method of correlation Static and Dynamic AST Results For A Web Application
Из блога Veracode:
A Dose of Reality on Automated Static-Dynamic Hybrid Analysis
Пример из какого-то неизвестного мне инструмента:
Examples of hybrid analysis
#iast #tools #sast #dast
SAST и DAST - два основных инструмента для поиска уязвимостей в приложении. Как правило SAST из коробки - это большое количество ложных срабатываний, а DAST - это неполный набор уязвимостей, выявленных на ограниченном множестве запросов к развернутому сервере (либо такое же большое количество ложных срабатываний)
IAST (Interactive AST) должен сочетать в себе SAST и DAST, но, что из себя в конечном итоге представляет класс решений, до конца сообщество и вендоры не определились. Попробуем внести некоторую ясность и разобраться в текущих наработках.
Версии:
1) IAST - агент, отслеживающий работу приложения и сопутствующего компилятора и интерпретатора, что позволяет определить уязвимость в развернутом приложении с указание на строчку в коде. В случае с предварительно скомпилированными ПО IAST может точно определить проблему в байт-коде, что ускоряет его поиск в исходном коде. (Acuetix source)
2) IAST - инструмент, который использует SAST для формирования наборов входных данных и шаблонов ожидаемых результатов, а DAST выполняет тестирование системы на этих наборах, опционально привлекая к процессу человека-оператора в неоднозначных ситуациях (PT Blog)
3) IAST - инструмент, выполняющий тесты безопасности, для развернутого приложения основываясь на запросы-ответы в рамках функциональных тестов, проверяя, таким образом, не все приложение, а только часть (Пример ПО: Wallarm FAST)
Наиболее зрелые представители IAST на рынке - Checkmarx, Veracode, Synopsys
Из бесплатных IAST есть Contrast (не open-source, но free)
За ссылку спасибо @tech_b0lt_Genona
Вообще задача с совмещением результатов SAST и DAST сама по себе довольно интересная.
Вот некоторые мысли о создании гибридного SAST/DAST с Google Patents:
Method of correlation Static and Dynamic AST Results For A Web Application
Из блога Veracode:
A Dose of Reality on Automated Static-Dynamic Hybrid Analysis
Пример из какого-то неизвестного мне инструмента:
Examples of hybrid analysis
#iast #tools #sast #dast
Forwarded from Пятничный деплой
Новый перевод в блоге Флант — мини-исследование о производительности etcd: https://habr.com/ru/company/flant/blog/505100/
Хабр
Как с fio проверить диски на достаточную производительность для etcd
Прим. перев.: эта статья — итоги мини-исследования, проведенного инженерами IBM Cloud в поисках решения реальной проблемы, связанной с эксплуатацией базы данных...
Прямой эфир с @ThomasStorm
Тонем в облаках: краткое руководство освоения AWS
https://www.youtube.com/watch?v=YkldgTt6BuY
Тонем в облаках: краткое руководство освоения AWS
https://www.youtube.com/watch?v=YkldgTt6BuY
YouTube
Тонем в облаках: краткое руководство освоения AWS
Карен Товмасян Solution Architect | DevOps and Cloud @ EPAM Systems, AWS certified
Дискуссия в Zoom https://us02web.zoom.us/j/83252725791
Встреча пройдет 4 июня в 19:00 нск, 15:00 мск.
----------
Вы никогда в жизни не поднимали ничего сложнее виртуальной…
Дискуссия в Zoom https://us02web.zoom.us/j/83252725791
Встреча пройдет 4 июня в 19:00 нск, 15:00 мск.
----------
Вы никогда в жизни не поднимали ничего сложнее виртуальной…
Технологический Болт Генона
Прямой эфир с @ThomasStorm Тонем в облаках: краткое руководство освоения AWS https://www.youtube.com/watch?v=YkldgTt6BuY
Вопросы и обсуждение в Zoom:
https://us02web.zoom.us/j/83252725791
https://us02web.zoom.us/j/83252725791
Zoom Video
Join our Cloud HD Video Meeting
Zoom is the leader in modern enterprise video communications, with an easy, reliable cloud platform for video and audio conferencing, chat, and webinars across mobile, desktop, and room systems. Zoom Rooms is the original software-based conference room solution…
How I made $31500 by submitting a bug to Facebook
How did I found SSRF in Facebook — the story of my first bug bounty
https://medium.com/@win3zz/how-i-made-31500-by-submitting-a-bug-to-facebook-d31bb046e204
IT Meetups - анонсы мероприятий
Kubernetes Meetup Online 3 июня 17:00 МСК 1. Kubernetes, микросервисы, CI/CD и докер для ретроградов: советы по обучению - Евгений Потапов, ITsumma.ru 2. Disaster recovery в Kubernetes — Марсель Ибраев, Southbridge.io 3. EKS и самоделкины — Алексей Дюжов…
YouTube
Kubernetes Meetup от команды UWDC & #Sysadminka
https://uwdc.timepad.ru/event/1322441/
UWDC совместно с #Sysadminka проводит Kubernetes Meetup
3 июня (среда) в 19.00 - 21.30 по Екатеринбургу (17.00 - 19.30 по Москве). Трансляция пройдет на Youtube, общение и вопросы спикерам в телеграм-чате https://xn--r1a.website/sysadminka…
UWDC совместно с #Sysadminka проводит Kubernetes Meetup
3 июня (среда) в 19.00 - 21.30 по Екатеринбургу (17.00 - 19.30 по Москве). Трансляция пройдет на Youtube, общение и вопросы спикерам в телеграм-чате https://xn--r1a.website/sysadminka…
Forwarded from Записки админа
🐧 Меж тем, a13xp0p0v реализовал для mainline ядра идею, описанную в статье grsecurity "Resolving an Unfortunate STACKLEAK Interaction".
Если интересно про компиляторы, плагины для инструментации кода на этапе компиляции, инлайн-ассемблер, ядро Linux и его безопасность, то советую посмотреть, чтобы получить общее представление. Сначала -- статью grsecurity. Там отличное введение в тему. Потом мой патч. Там конкретная реализация с детальными комментариями, плюс расширенное пояснение в описании коммита. (ц)
#linux #security #gcc
Если интересно про компиляторы, плагины для инструментации кода на этапе компиляции, инлайн-ассемблер, ядро Linux и его безопасность, то советую посмотреть, чтобы получить общее представление. Сначала -- статью grsecurity. Там отличное введение в тему. Потом мой патч. Там конкретная реализация с детальными комментариями, плюс расширенное пояснение в описании коммита. (ц)
#linux #security #gcc
Forwarded from IT Meetups - анонсы мероприятий
Онлайн-встреча по информационной безопасности Digital Security ON AIR
10 июня 17:00 МСК
Регистрация
https://digital-securityi-serv.timepad.ru/event/1313810/
10 июня 17:00 МСК
Послушаем и обсудим вместе с вами доклады:
- Облачные сервисы: атаки и защита
- Уязвимости корней доверия Intel (Authenticated Code Modules)
- 3D Secure, или что скрывается в механизмах безопасности онлайн-платежей
- DevSecOps: Фаззинг исходного кода
- Безопасность PHP-фреймворков
Развлечемся игрой в Kahoot, призы по всем канонам гостеприимства – за нами, все выигранное отправим победителям.
Проведем небольшой online CTF для тех, кто приходит на конференции не только ради докладов. Будут задания на реверс-инжиниринг, веб-безопасность и форензику.
Регистрация
https://digital-securityi-serv.timepad.ru/event/1313810/
digital-securityi-serv.timepad.ru
Онлайн-встреча по информационной безопасности Digital Security ON AIR / События на TimePad.ru
10 июня присоединяйтесь к онлайн-встрече по информационной безопасности Digital Security ON AIR.
Стартуем в 17:00, закончить планируем в 20:00. В программе доклады на актуальные темы ИБ, небольшой online CTF, а также игра Kahoot с призами. Вход свободный.
Стартуем в 17:00, закончить планируем в 20:00. В программе доклады на актуальные темы ИБ, небольшой online CTF, а также игра Kahoot с призами. Вход свободный.
Forwarded from Alpha Centauri | Космос (Paul Potseluev)
На Reddit прошла Ask me anything-сессия разработчиков ПО из SpaceX. Один из наших читателей, SP, собрал интересные тезисы из их ответов пользователям. Возможно, чуть позже мы подготовим текст с более подробным разбором, а пока держите вот такие краткие итоги:
- Кодеры SpaceX подтвердили, что на мониторах в драконе крутится GUI на Chromium и Javacript. сначала они этот вариант сделали для презентации НАСА, а потом им самим понравилось
- Пока игр на Crew Dragon нет, но в будущем их скорее всего добавят
- Симулятор стыковки не имеет ничего общего с реальным софтом, его начали только как шуточный проект
- Управление "Драконом" не имеет ничего общего с Tesla
- "Старлинки" сейчас генерируют в районе 5 терабайт телеметрии сутки, миссия Dragon -- сотни гигабайт
- Софт Starlink сейчас обновляют примерно раз в неделю. Получается, что ПО на выведенных спутниках новее, чем на тех, что находятся в процессе запуска
- Спутники Starlink это скорее датацентр с серверами, чем космический аппарат
- Каждый запуск 60-ти Starlink'ов -- это вывод более 4000 компьютеров с линуксом. На данный момент в группировке на орбите более 30К компьютеров и 6К контроллеров
- Про алгоритмы посадки рассказывать не могут - секрет :)
- Много программистов пришли в SpaceX из геймдева, из-за похожей математики и умения решать проблемы с производительностью
- Используемые языки программирования:
-- основной С/С++, сторонние библиотеки используют по минимуму, предпочитая писать собственные для контроля качества кода, применяют в основном ООП, хотя любят также упрощать код;
вебстек для дисплеев - HTML / CSS / JS + веб-компоненты + собственный фреймворк;
-- python для тестирования и автоматизации
- на бортовых компьютерах RTLinux (linux ядро с патчем PREEMPT_RT, превращающим ее в ОС реального времени), на контроллерах голый код;
- GUI в ЦУПе основаны на LabVIEW
- Качество кода обеспечивается модульными тестами и интеграционными тестами в том числе и на летных образцах
- Управление Драконом создано исходя из принципа минимального взаимодействия с пилотом
- Спутники Старлинк настроены переходить в режим высокого аэродинамического сопротивления при долгом отсутствии связи с землей для быстрого схода с орбиты.
- В SpaceX есть мощный инструмент для сопоставления программы полета с симулятором. Можно полностью смоделировать миссию или любые сценарии сбоя даже на оборудовании, разложенном на столе.
- Наземное ПО для Старшипа основано на вебстеке и GUI Дракона, оно же будет использовано и в интерфейсах самого Старшипа.
- Возможно скоро поделятся скриншотами с дисплеев Дракона
- Система безопасности полета работает не на бортовом компьютере, а исключительно на контроллерах и сама взаимодействует с датчиками. Эта система отвечает за прекращение полета, к примеру когда ракета сходит с курса
Ну и ответ на самый важный вопрос: "Of course we play KSP :)"
- Кодеры SpaceX подтвердили, что на мониторах в драконе крутится GUI на Chromium и Javacript. сначала они этот вариант сделали для презентации НАСА, а потом им самим понравилось
- Пока игр на Crew Dragon нет, но в будущем их скорее всего добавят
- Симулятор стыковки не имеет ничего общего с реальным софтом, его начали только как шуточный проект
- Управление "Драконом" не имеет ничего общего с Tesla
- "Старлинки" сейчас генерируют в районе 5 терабайт телеметрии сутки, миссия Dragon -- сотни гигабайт
- Софт Starlink сейчас обновляют примерно раз в неделю. Получается, что ПО на выведенных спутниках новее, чем на тех, что находятся в процессе запуска
- Спутники Starlink это скорее датацентр с серверами, чем космический аппарат
- Каждый запуск 60-ти Starlink'ов -- это вывод более 4000 компьютеров с линуксом. На данный момент в группировке на орбите более 30К компьютеров и 6К контроллеров
- Про алгоритмы посадки рассказывать не могут - секрет :)
- Много программистов пришли в SpaceX из геймдева, из-за похожей математики и умения решать проблемы с производительностью
- Используемые языки программирования:
-- основной С/С++, сторонние библиотеки используют по минимуму, предпочитая писать собственные для контроля качества кода, применяют в основном ООП, хотя любят также упрощать код;
вебстек для дисплеев - HTML / CSS / JS + веб-компоненты + собственный фреймворк;
-- python для тестирования и автоматизации
- на бортовых компьютерах RTLinux (linux ядро с патчем PREEMPT_RT, превращающим ее в ОС реального времени), на контроллерах голый код;
- GUI в ЦУПе основаны на LabVIEW
- Качество кода обеспечивается модульными тестами и интеграционными тестами в том числе и на летных образцах
- Управление Драконом создано исходя из принципа минимального взаимодействия с пилотом
- Спутники Старлинк настроены переходить в режим высокого аэродинамического сопротивления при долгом отсутствии связи с землей для быстрого схода с орбиты.
- В SpaceX есть мощный инструмент для сопоставления программы полета с симулятором. Можно полностью смоделировать миссию или любые сценарии сбоя даже на оборудовании, разложенном на столе.
- Наземное ПО для Старшипа основано на вебстеке и GUI Дракона, оно же будет использовано и в интерфейсах самого Старшипа.
- Возможно скоро поделятся скриншотами с дисплеев Дракона
- Система безопасности полета работает не на бортовом компьютере, а исключительно на контроллерах и сама взаимодействует с датчиками. Эта система отвечает за прекращение полета, к примеру когда ракета сходит с курса
Ну и ответ на самый важный вопрос: "Of course we play KSP :)"
Reddit
From the spacex community on Reddit: We are the SpaceX software team, ask us anything!
Explore this post and more from the spacex community