FWD: Cloudsec 2020

Выложены доклады с FWD: Cloudsec 2020 - конференции по облачной безопасности.

https://www.youtube.com/playlist?list=PLCPCP1pNWD7OBQvDY7vLCFhxWxok9DITl

#talks

Выложены доклады Rooted CON 2020. Это конференция посвящённая различным аспектам информационной безопасности проводящаяся с 2010 года.

Основной язык конференции испанский, но доклады, которые надо было переводить, переведены на английский и собраны в отдельный плейлист
https://www.youtube.com/playlist?list=PLUOjNfYgonUudCTkwyok3zUVaUPy2CwS3

Программа
https://www.rootedcon.com/archive/rooted2020/

Elastic Security opens public detection rules repo
https://www.elastic.co/blog/elastic-security-opens-public-detection-rules-repo
+
https://github.com/elastic/detection-rules

Статический анализ

Прочитал статью Технологии, используемые в анализаторе кода PVS-Studio для поиска ошибок и потенциальных уязвимостей и для меня было новостью, что в качестве одной из технологий используются статические аннотации для самых популярных библиотек. То есть они взяли самые популярные библиотеки (WinAPI, glibc, STL, Qt, OpenSSL и другие), проаннотировали каждую фунцию для описания инвариантов и при статическом анализе проверяют выполнение инвариантов из аннотаций. Очень похоже на подход Frama-C + ACSL для верификации исходного кода. Ещё мне в статье показалось странным, что они сравнивают свой статический анализатор с использованием регулярных выражений. Я конечно знаю про подход продавцов ПО "возьми самого слабого и сравнивайся с ним, чтобы в глазах покупателя выглядеть наиболее выгодно", но уж и сравнивать статический анализатор с наколенными инструментами, то с наиболее близким аналогом будет coccinelle для семантических патчей, semgrep или coccigrep, но точно не regexp, который не учитывает контекст.

Нашёл слайды от одного из создателей Coverity, они интересны тем, что там описывается и техническая и продуктовая составляющие сервиса. Очень познавательно.

В области статического анализа кода серьезная конкуренция, есть и коммерческие продукты и opensource аналоги, которые могут составить конкуренцию коммерческим продуктам. Может сложится впечатление, что все вместе они покрывают множество проблем, которые вообще возможно найти с помощью стат. анализа. Но это не так и приведу два примера для иллюстрации этого утверждения.

По стандарту POSIX функция mmap() возвращает MAP_FAILED или -1 в случае ошибки выделения памяти. Популярной ошибкой среди разработчиков является проверка возвращаемого значения на 0, что не соответствует стандарту. Из-за этого возможно появление проблем. Эвристику на такую ошибку нашёл Hanno Böck, потом написал простейший скрипт и нашёл проблемы в проектах Geeqie, GDB, KDE/kwayland, Mesa, QEMU и др. В скрипте как раз используется стандартный grep, а для coccinelle семантический патч выглядел бы примерно так:

 identifier p; statement S; @@
  p = mmap(...);
- if (!p) S
+ if (p != MAP_FAILED) S

Я оформил тикет для clang-analyzer и возможно в ближайшее время проверка на такой тип ошибок появится в LLVM.

Вторая одна эвристика выявляет проблемы с сортировкой. Yury Gribov написал подгружаемую с помощью LD_PRELOAD библиотеку, которая проверяет выполнение условия для функций сортировки в `qsort()`: "When the same objects (consisting of width bytes, irrespective of their current positions in the array) are passed more than once to the comparison function, the results shall be consistent with one another. That is, they shall define a total ordering on the array.". Для сложных структур данных легко нарушить требование. Список проектов, в которых были найдены ошибки, внушителен: gcc, PostGIS, dpkg, graphicsmagick и другие.

Service Mesh Comparison: Istio vs Linkerd

https://www.infracloud.io/service-mesh-comparison-istio-vs-linkerd/

Практика переезда с MySQL Percona
16 июля 15:00 МСК

Практический опыт переезда боевого проекта со 100 Гб базы данных из MySQL Percona в кластер на базе Vitess для горизонтального масштабирования

Регистрация
https://devops-nsk.timepad.ru/event/1348920/

Видео опубликовали. Напоминаю: на TechLeadConf рассказывали про инструменты для документации, с фокусом на доки от инженеров и для инженеров. Документирование кода, диаграммы и схемы, публикация в Confluence, вот это всё. Костя Валеев рассказал про Foliant, Семён Факторович — про Pandoc, а я про Sphinx.

https://youtu.be/4qv0YNtuRlE

Below Kubernetes: Demystifying container runtimes
https://www.youtube.com/watch?v=MDsjINTL7Ek

CVE-2020-1350 | Windows DNS Server Remote Code Execution Vulnerability

A remote code execution vulnerability exists in Windows Domain Name System servers when they fail to properly handle requests. An attacker who successfully exploited the vulnerability could run arbitrary code in the context of the Local System Account. Windows servers that are configured as DNS servers are at risk from this vulnerability.

To exploit the vulnerability, an unauthenticated attacker could send malicious requests to a Windows DNS server.

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1350

https://twitter.com/jonasLyk/status/1282945750746509313

Отличнейший тред про MS и Bug Bounty.

Обзор отличный, дыра эпичная, да.

В догонку к эпичной дыре в Windows https://xn--r1a.website/tech_b0lt_Genona/1883 Обзор этой дыры:

https://research.checkpoint.com/2020/resolving-your-way-into-domain-admin-exploiting-a-17-year-old-bug-in-windows-dns-servers/

FSecureLABS - Leonidas framework

Leonidas - фреймворк для эмуляции действий злоумышленника в облаке. Фреймворк предоставляет YAML-формат для определения действий злоумышленника и связанных с ними свойств обнаружения. Правила для обнаружения можно задавать с помощью Sigma rules.

#tools #aws

https://devsecops.fm/episodes/terragrunt/ - мы тут недавно про терагрант говорили. Надеюсь, кому-то наш подкаст будет полезным.

Опыт переезда боевого проекта со 100 Гб базы данных из MySQL Percona в кластер на базе Vitess
https://www.youtube.com/watch?v=qkAzVzL5fTw

CVE-2020-1350 (SIGRed) - Windows DNS DoS Exploit
https://github.com/maxpl0it/CVE-2020-1350-DoS

Windows Task Manager Runs Doom (896 cores)
https://www.youtube.com/watch?v=hSoCmAoIMOU

This Powershell Script is checking if your server is vulnerable for the CVE-2020-1350 Remote Code Execution flaw in the Windows DNS Service

Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 Windows Server 2019

Note: Script is not supported (not tested) in Windows Server 2008 en Windows Server 2008 R2. Those operatingsystems are End-of-life.

https://github.com/T13nn3s/CVE-2020-1350