Я как-то писал про подкаст "Базовый блок" (https://xn--r1a.website/tech_b0lt_Genona/1736). Они опубликовали перевод интересной статьи

Почему атаки с помощью мгновенных кредитов станут нормой

Эти атаки поражают воображение. В каждой из них злоумышленник, не имея ни цента, мгновенно занял эфиров на сотни тысяч долларов, пропустил их через ряд уязвимых ончейн-протоколов, присвоил активов на сотни тысяч долларов и сразу же вернул свои огромные кредиты. Всё это произошло мгновенно – в одной эфириум-транзакции.

https://basicblockradio.com/flash-attacks/

Automating SLI/SLO based build validation with Keptn and Jenkins
https://www.youtube.com/watch?v=GhEZLvc8B70

https://keptn.sh/
https://github.com/keptn/keptn

Automating SLI/SLO based build validation with Keptn and Jenkins / Andreas Grabner (Dynatrace)

https://www.slideshare.net/grabnerandi/jenkins-online-meetup-automated-sli-based-build-validation-with-keptn

Поделюсь отличной новостью - наконец-то опубликовали исходный код SQLancer для логического фаззинга в СУБД. Когда я нашел статью о новом подходе, то поинтересовался у автора планирует ли он выложить исходный код фаззера. И хотя автор заверил, что опубликует код в ближайшее время, я сомневался в этом до последнего момента. Потому что когда я такой же вопрос задал автору фаззера для графических шейдеров с помощью метаморфического тестирования, то мне сначала пообещали, что дадут попробовать, а потом появилась новость, что компанию GraphicFuzz купил Гугл, потому что фаззер успешно находил баги в видеодрайверах. Правда потом код фаззера всё-таки опубликовали. C SQLancer похожая ситуация - есть статья, которая описывает концепт и есть список багов в популярных СУБД, найденных с помощью такого подхода. Идея достаточно простая — построить какое-нибудь AST-дерево с условиями, задать SQL запросы и проверить, нет ли логического бага. Разработчики sqlite пишут, что sqlancer это AFL нашего времени:

"One fuzzing researcher of particular note is Manuel Rigger, currently (as this paragraph is written on 2019-12-21) at ETH Zurich. Most fuzzers only look for assertion faults, crashes, undefined behavior (UB), or other easily detected anomalies. Dr. Rigger's fuzzers, on the other hand, are able to find cases where SQLite computes an incorrect answer. Rigger has found many such cases. Most of these finds are fairly obscure corner cases involving type conversions and affinity transformations, and a good number of the finds are against unreleased features. Nevertheless, his finds are still important as they are real bugs, and the SQLite developers are grateful to be able to identify and fix the underlying problems. Rigger's work is currently unpublished. When it is released, it could be as influential as Zalewski's invention of AFL and profile-guided fuzzing."

P.S. Есть альтернатива sqlancer на Golang от PingCAP - https://github.com/chaos-mesh/go-sqlancer

Запись доклада

Containers & DevSecOps
https://www.youtube.com/watch?v=HuHjQxo1b3U

Исходный код демо с доклада

Overview
Github Repo
AWS ECR - Image Scanning - CVE
AWS Codepipeline/Build - CI/CD
AWS ECR - Immutable Tags
Run Time Security - Falco
Logging - FireLens
Alerting - Cloudwatch
Auditing - Cloudtrail

https://github.com/strongjz/devsecopspipeline

Сравнение Prisma Cloud Compute и Aqua CSP

Совместно с нашей командой опубликовали в открытом доступе сравнение двух ключевых "коробочных" entreprise решений на российском рынке по защите контейнеров - Aqua CSP от Aqua Security и Prisma Cloud Compute от Palo Alto Networks.

Сравниваем архитектуру, компоненты, возможность написания правил, функционал по контролю run-time, интеграции и много другое.

В статье также можно почитать про риски и архитектуру решений.

https://www.anti-malware.ru/reviews/Application-containers-security-risks-and-key-security-solutions

#tools #k8s

К P A C U B 0

https://www.youtube.com/watch?v=DuB8VUICGqc // will occasionally show ads

https://www.youtube.com./watch?v=DuB8VUICGqc // will not show ads

тред https://www.reddit.com/r/webdev/comments/gzr3cq/fyi_you_can_bypass_youtube_ads_by_adding_a_dot/

Перевод отличной статьи рассказывающей о том, как сделать ваше приложение стабильней и надёжней, отлавливая проблемы уже "на границе" с внешним миром.

месяц назад случился поворотный момент: я рассуждала в Твиттере о различии парсинга JSON в статически и динамически типизированных языках, и наконец я нашла то, что искала. Теперь у меня есть единственный, цепкий слоган, являющийся квинтэссенцией того, чем для меня является TypeDD (Type-Driven Design), и, что ещё лучше, состоящий всего из нескольких слов:

Парсите, а не валидируйте.

https://habr.com/ru/post/498042/

Выложены записи докладов Percona Live Online 2020
https://www.youtube.com/playlist?list=PLWhC0zeznqkmvgI4GqFUKSGqre5snyDt-

Программа
https://www.percona.com/live/percona-live-online-full-agenda

Вот это поворот

GitLab Acquires Peach Tech and Fuzzit to Expand its DevSecOps Offering
https://about.gitlab.com/press/releases/2020-06-11-gitlab-acquires-peach-tech-and-fuzzit-to-expand-devsecops-offering.html

Использование 2x NVIDIA Quadro P4000 8GB 

пароль в 8 символов длинною из маленьких букв -> макс. ~ 2 мин 

пароль в 8 символов длинною из больших и маленьких букв, а также цифр -> макс. ~ 2.2 часа 

пароль в 8 символов длинною из больших и маленьких букв, а также цифр и пробела -> макс. ~ 2.5 часа 

пароль в 8 символов из всех символов ascii -> макс. ~ 3 дня 

Как взломать VNC пароль из захваченного трафика (challenge response)
https://tgraph.io/Kak-vzlomat-VNC-parol-iz-zahvachennogo-trafika-challenge-response-06-09

Оригинал
https://hashcat.net/forum/thread-8833-post-46908.html

Тут AWS массово инстансы на Graviton2 завезли. Это arm64, по сути. И они показали себя хорошо

Amazon EC2 R6g instances deliver up to 40% better price performance over x86-based Amazon EC2 R5 instances for memory-intensive workloads such as open-source databases, in-memory caches, and real time big data analytics

Теперь доступны в нескольких AZ

The C6g and R6g instances are now available in the AWS US East (N. Virginia and Ohio), US West (Oregon), Europe (Frankfurt and Ireland), and Asia Pacific (Tokyo) regions

Amazon EC2 C6g and R6g instances powered by AWS Graviton2 processors are now generally available
https://aws.amazon.com/about-aws/whats-new/2020/06/amazon-ec2-c6g-r6g-instances-amazon-graviton2-processors-generally-available/

Оп-па http://jepsen.io/analyses/postgresql-12.3

Results
In most respects, PostgreSQL behaved as expected: both read uncommitted and read committed prevent write skew and aborted reads. We observed no internal consistency violations. However, we have two surprising results to report. The first is that PostgreSQL’s “repeatable read” is weaker than repeatable read, at least as defined by Berenson, Adya, Bailis, et al. This is not necessarily wrong: the ANSI SQL standard is ambiguous. The second result, which is definitely wrong, is that PostgreSQL’s “serializable” isolation level isn’t serializable: it allows G2-item during normal operation.

CVE-2020-10749 PoC (Kubernetes MitM attacks via IPv6 rogue router advertisements)
https://github.com/knqyf263/CVE-2020-10749

Репозиторий с примерами OWASP практик для Golang https://github.com/OWASP/Go-SCP/tree/master/src #golang #security

Прямо сейчас проходит Open Security Summit (до 19 июня идёт)

Видео выкладывают сразу
https://www.youtube.com/channel/UCyse9b_2JLJUxKMLgSpOL-Q/videos

Программа обширна и разнообразна
https://open-security-summit.org/schedule/

Так что если вас интересует безопасность в разных её аспектах, то что-то для себя скорей всего найдёте.

Raspberry Pi Kubernetes Cluster
https://www.youtube.com/watch?v=--aYMb8SonU

K3s first - Kubernetes Raspberry Pi Cluster
https://www.youtube.com/watch?v=S50S0XZHn84

Digital Rebar (aka DRP) is a self-managed hardware-neutral data center automation platform for provisioning and managing infrastructure as code (IaC).

https://rackn.com/rebar/

Materials to build and deploy a simple Edge Lab for demonstration, training and development
https://github.com/digitalrebar/edgelab

Начался OWASP SAMM User Day 2020

Трансляция
https://www.youtube.com/watch?v=BpNbWZg_pKY

Программа
https://owaspsamm.org/user-day/

Что такое OWASP SAMM можно почитать тут - https://xn--r1a.website/tech_b0lt_Genona/1683

UEFI scanner brings Microsoft Defender ATP protection to a new level
https://www.microsoft.com/security/blog/2020/06/17/uefi-scanner-brings-microsoft-defender-atp-protection-to-a-new-level/

За ссылку спасибо @ldviolet

В блоге рассказываем про актуальные GUI для работы с Kubernetes: https://habr.com/ru/company/flant/blog/506948/

Flatpak - a security nightmare
http://flatkill.org/