Расшифровка доклада

VictoriaMetrics и мониторинг приватных облаков. Павел Колобаев
https://habr.com/ru/post/518680/

CNCF landscape 😱

Picture from David's Bell twitter
Source post
#study #landscape

How I Hacked Facebook Again! Unauthenticated RCE on MobileIron MDM
https://blog.orange.tw/2020/09/how-i-hacked-facebook-again-mobileiron-mdm-rce.html

Edgar: Solving Mysteries Faster with Observability

Edgar helps Netflix teams troubleshoot distributed systems efficiently with the help of a summarized presentation of request tracing, logs, analysis, and metadata.

https://netflixtechblog.com/edgar-solving-mysteries-faster-with-observability-e1a76302c71f

Выложены доклады с RSAC 2020 Asia Pacific & Japan - A Virtual Learning Experience
https://www.youtube.com/playlist?list=PLeUGLKUYzh_gONkrhv3a2FVnV99PbNlAQ

Программа тут
https://www.rsaconference.com/apj/agenda/full-agenda?location=Asia%20Pacific%20%26%20Japan&year=2020

От Threat Modeling до безопасности AWS: 50+ open-source инструментов для выстраивания безопасности DevOps

Сделал то, что давно хотел - большая статья со всеми практиками DevSecOps с описанием open-source инструментов. В качестве формата была выбрана статья на Хабре в нашем корпоративном блоге. На мой взгляд получилось круто. Более 50 инструментов, распределенных по 16 практикам, включая моделирование угроз, SAST, DAST, SCA, защиту Docker и Kubernetes, фреймворки BDD, проверку IaC и даже Security Chaos Engineering. В результате не получилось охватить и половины всего того, что уже есть, поэтому постарался указать все ссылки на чужие подборки, которые я знаю. Приятного чтения, надеюсь это вам поможет на первых этапах построения DevSecOps.

https://habr.com/ru/company/swordfish_security/blog/518758/

#tools #dev #ops

18 способов устранения узких мест в MySQL

https://youtube.com/watch?v=7Q8zKxlXbUY

#mysql #percona

Всем привет! В этот четверг 17 сентября, совместно с Softline, я буду проводить вебинар по Grafana. Рассмотрим такие темы как observability, MTTR vs MTBF, а также я сделаю небольшое демо Metrics/Logs/Tracing где покажу, как с помощью Grafana можно эффективно искать корреляции между метриками (Prometheus), логами (Loki) и трейсами (Jaeger). Вебинар бесплатный, требуется предварительная регистрация. https://softline.ru/events/web_2020_grafana_200917

Чат Grafana - @grafana_ru

Большой шум поднялся в инфосек сообществе после опубликования сегодня голландской инфосек компанией Secure BV технических подробностей устраненной Microsoft в августовском обновлении уязвимости CVE-2020-1472, получившей название Zerologon.

Хотя ранее и было известно, что ошибка получила 10 из 10 по шкале критичности и касается повышения привилегий в Netlogon, службе аутентификации в Windows Server, полной информации не было. Она появилась сегодня и поставила всех на уши.

Уязвимость заключается в недостатке в криптографической аутентификации протокола Netlogon Remote Protocol. Она позволяет злоумышленнику выдавать себя за любой хост в сети, включая сам контроллер домена. Кроме того, хакер может отключить функции безопасности аутентификации Netlogon и изменить пароль в Active Directory.

В чем же конкретно содержалась ошибка? В реализации алгоритма шифрования AES-CFB8 в функции ComputeNetlogonCredential, где вектор инициализации (IV) является фиксированным и состоит из 16 нулевых байтов, хотя по требованиям безопасности он должен быть случайным. В итоге для 1 из 256 ключей применение шифрования к вводу, состоящему из всех нулей, даст такой же нулевой вывод.

Чем же это плохо? А тем, что хакер, попробовав несколько раз подряд (среднее ожидаемое количество попыток равняется 256), может обойти процесс аутентификации, поскольку один из ключевых его параметров, ClientCredential, вычисляется как раз с помощью ComputeNetlogonCredential. То есть в среднем в 1 из 256 попыток сервер при получении клиентского запроса из 8 нулей будет ожидать ClientCredential также из 8 нулей.

А поскольку аккаунт подключающегося компьютера не блокируется в случае неверного ответа, то с помощью простой последовательности попыток напихать серверу 8 нулей, которая займет около 3 секунд, злоумышленник пройдет процесс аутентификации.

В дальнейшем хакер предпримет еще несколько трюков, связанных с уязвимостью ComputeNetlogonCredential, чтобы полноценно взять контроллер домена под свою власть.

Единственное ограничение на применение атаки - злоумышленник должен совершать ее изнутри сети, предварительно скомпрометировав одну из машин. Но это задача во многих случаях решаемая.

Выпущенный Microsoft в августе патч устанавливает заплатку на уязвимость Zerologon, делая обязательным включение механизма NRPC транспортного шифрования, который хакер мог обойти, просто отключив его со стороны клиента (такое допускалось).

Инфосек эксперты признают Zerologon весьма простой к использованию и очень опасной уязвимостью - "This is really scary". Чтобы не было "scary" надо просто своевременно апдейтить свои Windows Server.

CVE-2020-1472: Zerologon
https://github.com/blackarrowsec/redteam-research/tree/master/CVE-2020-1472

> Летом в vgacon была выявлена и устранена уязвимость (CVE-2020-14331), способная привести к переполнению буфера из-за отсутствия должных проверок наличия доступной памяти в буфере прокрутки. Уязвимость привлекла внимание разработчиков, который организовали fuzzing-тестирование кода vgacon в syzbot.

> В связи с этим Линус Торвальдс принял решение не пытаться сопровождать невостребованный код, а просто удалить его. Если найдутся пользователи, которым данная функциональность окажется необходима, код для поддержки прокрутки в консоли будет возвращён в ядро как только найдётся мэйнтейнер, готовый взять его сопровождение в свои руки.

В ядре Linux из текстовой консоли удалили поддержку прокрутки текста
https://www.opennet.ru/opennews/art.shtml?num=53714

Выложены доклады с USENIX Security '20
https://www.youtube.com/playlist?list=PLbRoZ5Rrl5leqxwFLw3lAQ9on-fK5xLea

Программа доступна тут
https://www.usenix.org/conference/usenixsecurity20/technical-sessions

Выложены доклады с Google Cloud Next ’20: OnAir. Их почти 300 штук и покрывают разные тематики.
https://www.youtube.com/playlist?list=PLIivdWyY5sqLwPxvq9Fy0dl3Y_pbRg1_L

Программа с описаниями и уровнями докладов
https://docs.google.com/document/d/1oGbPTa-M39OhWbT3MOxrXR3fDHyO89ojEkhZt6VeSak/edit

Чат по GCP - @goo_cloud_ru

> Разработчики проекта Samba предупредили пользователей, что недавно выявленная в Windows уязвимость ZeroLogin (CVE-2020-1472) проявляется и в реализации контроллера домена на базе Samba. Уязвимость вызвана недоработками в протоколе MS-NRPC и криптоалгоритме AES-CFB8, и при успешной эксплуатации позволяет злоумышленнику получить доступ администратора в контроллере домена.

https://www.opennet.ru/opennews/art.shtml?num=53728

Хоп-ля. А ваши кубы так могут? нет? го контейнеры раскатывать.

твит https://twitter.com/oleg_kovalov/status/1306582073763926016

го.мод https://github.com/kubernetes/kubernetes/blob/master/go.mod#L499

блейм https://github.com/kubernetes/kubernetes/commit/f66ef23c1182e72db9cbb80f6df4186a326374c0

Вангую что кто-то go mod tidy забыл сделать.

Выложены доклады с Open Source Summit + Embedded Linux Conference NA 2020
https://www.youtube.com/playlist?list=PLbzoR-pLrL6oyIqGsEZdb1E4pWzWn9qOZ

Программа доступна тут
https://events.linuxfoundation.org/open-source-summit-north-america/program/schedule/

следующий спринт инициативы OSCD состоится 5-го Октября, через 3 недели.
мы сосредоточимся на трех областях — Simulation, Detection & Response.
будем разрабатывать тесты Atomic Red Team, TheHive Responders, и правила Sigma, улучшая их покрытие фреймворков MITRE ATT&CK и ATC RE&CT.

задач много, и они очень разные — от написания правил Sigma по готовым поисковым запросам (20-30 минут) до разработки модулей реагирования TheHive на Python (16+ часов).

присоединяйтесь!

https://twitter.com/oscd_initiative/status/1305748180517224449