SDCast #122: в гостях Георгий Меликов, контрибьютор проектов OpenZFS и ZFS on Linux

После несколько затянувшегося перерыва, встречайте 122-й выпуск подкаста, посвящённый файловой системе ZFS. У меня в гостях Георгий Меликов, контрибьютор проектов OpenZFS и ZFS on Linux. В этом выпуске мы говорим о том, как устроена файловая система ZFS, в чём её особенности и отличия от других файловых систем, из каких компонентов она состоит и как работает.…

https://sdcast.ksdaemon.ru/2020/09/sdcast-122/

Чат подкаста - @SDCast

Редакции нашего канала постоянно задают один и тот же вопрос: каким образом персональные данные россиян утекают в сеть и оказываются в продаже в дарке? Кто виноват, хакеры?
Нет. Виноваты кривые руки и наплевательское отношение к вопросам ИБ.

Свежий пример: российская компания, занимающаяся поставкой деревообрабатывающих станков. Красивый сайт, SSL-сертификат от Thawte и… корявая настройка .htacess в Apache на Ubuntu, по причине которой тысячи PDF-файлов с персональными данными клиентов, а также сканами их паспортов оказываются доступны всем желающим.

Кстати, возникает логичный вопрос, а зачем вообще хранить такие данные на веб-сервере? Мы написали в компанию и надеемся, что вскоре уязвимость будет устранена. Только вот есть подозрение, что эти данные уже гуляют по сети…
@In4security

Пофиксили видосы

VictoriaMetrics и мониторинг приватных облаков LeroyMerlin
https://www.youtube.com/watch?v=74swsWqf0Uc

Воркшоп Terraform
https://www.youtube.com/watch?v=TMgW5Jtk6b0

> подсоленный md5

Ясно

DevSecOps: организация фаззинга исходного кода
https://habr.com/ru/company/dsec/blog/517596/

Эт, я как-то раньше собирать начал, думаю повод открыть. Короч решил сделать Awesome Load Balancing. Да, сборник проектов, докладов и прочех веселостей по теме. Feel free to dobavit.

https://github.com/cristaloleg/awesome-load-balancing

Олег Ненашев «Обновлять нельзя оставить». Управляем зависимостями в CI/CD

Олег Ненашев — разработчик в CloudBees, состоит в core team проекта Jenkins. C 2008 года занимается автоматизацией, инфраструктурой и фреймворкостроением для крупных программно-аппаратных проектов с помощью Jenkins и десятков других тулов. Пишет код, поддерживает ядро и плагины Jenkins, организует митапы в СПб и других городах.

https://www.youtube.com/watch?v=Mw1e5nU27CU

Huawei будет использовать собственную ОС Harmony для смартфонов
https://www.opennet.ru/opennews/art.shtml?num=53692
+
Репа с документацией OpenHarmony
https://gitee.com/openharmony/docs/tree/master/docs-en

Расшифровка доклада

VictoriaMetrics и мониторинг приватных облаков. Павел Колобаев
https://habr.com/ru/post/518680/

CNCF landscape 😱

Picture from David's Bell twitter
Source post
#study #landscape

How I Hacked Facebook Again! Unauthenticated RCE on MobileIron MDM
https://blog.orange.tw/2020/09/how-i-hacked-facebook-again-mobileiron-mdm-rce.html

Edgar: Solving Mysteries Faster with Observability

Edgar helps Netflix teams troubleshoot distributed systems efficiently with the help of a summarized presentation of request tracing, logs, analysis, and metadata.

https://netflixtechblog.com/edgar-solving-mysteries-faster-with-observability-e1a76302c71f

Выложены доклады с RSAC 2020 Asia Pacific & Japan - A Virtual Learning Experience
https://www.youtube.com/playlist?list=PLeUGLKUYzh_gONkrhv3a2FVnV99PbNlAQ

Программа тут
https://www.rsaconference.com/apj/agenda/full-agenda?location=Asia%20Pacific%20%26%20Japan&year=2020

От Threat Modeling до безопасности AWS: 50+ open-source инструментов для выстраивания безопасности DevOps

Сделал то, что давно хотел - большая статья со всеми практиками DevSecOps с описанием open-source инструментов. В качестве формата была выбрана статья на Хабре в нашем корпоративном блоге. На мой взгляд получилось круто. Более 50 инструментов, распределенных по 16 практикам, включая моделирование угроз, SAST, DAST, SCA, защиту Docker и Kubernetes, фреймворки BDD, проверку IaC и даже Security Chaos Engineering. В результате не получилось охватить и половины всего того, что уже есть, поэтому постарался указать все ссылки на чужие подборки, которые я знаю. Приятного чтения, надеюсь это вам поможет на первых этапах построения DevSecOps.

https://habr.com/ru/company/swordfish_security/blog/518758/

#tools #dev #ops

18 способов устранения узких мест в MySQL

https://youtube.com/watch?v=7Q8zKxlXbUY

#mysql #percona

Всем привет! В этот четверг 17 сентября, совместно с Softline, я буду проводить вебинар по Grafana. Рассмотрим такие темы как observability, MTTR vs MTBF, а также я сделаю небольшое демо Metrics/Logs/Tracing где покажу, как с помощью Grafana можно эффективно искать корреляции между метриками (Prometheus), логами (Loki) и трейсами (Jaeger). Вебинар бесплатный, требуется предварительная регистрация. https://softline.ru/events/web_2020_grafana_200917

Чат Grafana - @grafana_ru

Большой шум поднялся в инфосек сообществе после опубликования сегодня голландской инфосек компанией Secure BV технических подробностей устраненной Microsoft в августовском обновлении уязвимости CVE-2020-1472, получившей название Zerologon.

Хотя ранее и было известно, что ошибка получила 10 из 10 по шкале критичности и касается повышения привилегий в Netlogon, службе аутентификации в Windows Server, полной информации не было. Она появилась сегодня и поставила всех на уши.

Уязвимость заключается в недостатке в криптографической аутентификации протокола Netlogon Remote Protocol. Она позволяет злоумышленнику выдавать себя за любой хост в сети, включая сам контроллер домена. Кроме того, хакер может отключить функции безопасности аутентификации Netlogon и изменить пароль в Active Directory.

В чем же конкретно содержалась ошибка? В реализации алгоритма шифрования AES-CFB8 в функции ComputeNetlogonCredential, где вектор инициализации (IV) является фиксированным и состоит из 16 нулевых байтов, хотя по требованиям безопасности он должен быть случайным. В итоге для 1 из 256 ключей применение шифрования к вводу, состоящему из всех нулей, даст такой же нулевой вывод.

Чем же это плохо? А тем, что хакер, попробовав несколько раз подряд (среднее ожидаемое количество попыток равняется 256), может обойти процесс аутентификации, поскольку один из ключевых его параметров, ClientCredential, вычисляется как раз с помощью ComputeNetlogonCredential. То есть в среднем в 1 из 256 попыток сервер при получении клиентского запроса из 8 нулей будет ожидать ClientCredential также из 8 нулей.

А поскольку аккаунт подключающегося компьютера не блокируется в случае неверного ответа, то с помощью простой последовательности попыток напихать серверу 8 нулей, которая займет около 3 секунд, злоумышленник пройдет процесс аутентификации.

В дальнейшем хакер предпримет еще несколько трюков, связанных с уязвимостью ComputeNetlogonCredential, чтобы полноценно взять контроллер домена под свою власть.

Единственное ограничение на применение атаки - злоумышленник должен совершать ее изнутри сети, предварительно скомпрометировав одну из машин. Но это задача во многих случаях решаемая.

Выпущенный Microsoft в августе патч устанавливает заплатку на уязвимость Zerologon, делая обязательным включение механизма NRPC транспортного шифрования, который хакер мог обойти, просто отключив его со стороны клиента (такое допускалось).

Инфосек эксперты признают Zerologon весьма простой к использованию и очень опасной уязвимостью - "This is really scary". Чтобы не было "scary" надо просто своевременно апдейтить свои Windows Server.

CVE-2020-1472: Zerologon
https://github.com/blackarrowsec/redteam-research/tree/master/CVE-2020-1472