Tic Tac Consul — Multi-Cloud, Serverless Networking
https://medium.com/hashicorp-engineering/tic-tac-consul-multi-cloud-serverless-networking-b030111a2af3
+
https://github.com/peytoncasper/tic-tac-consul
https://medium.com/hashicorp-engineering/tic-tac-consul-multi-cloud-serverless-networking-b030111a2af3
+
https://github.com/peytoncasper/tic-tac-consul
Stealing arbitrary GitHub Actions secrets
https://blog.teddykatz.com/2021/03/17/github-actions-write-access.html
https://blog.teddykatz.com/2021/03/17/github-actions-write-access.html
Teddy Katz’s Blog
Stealing arbitrary GitHub Actions secrets
I’m a big fan of the “try weird stuff and see what happens” approach to security research. Modern software has a huge number of bugs, and engineering teams often have to prioritize which bugs to fix, based in part on the number of users affected by each bug.…
Технологический Болт Генона
Антон Бабенко (https://github.com/antonbabenko) вернул к жизни свой канал на Youtube и теперь пилит там годноту. Вот, например, он не только потрогал утилиту статического анализа checkov для IaC (https://github.com/bridgecrewio/checkov), но и пригласил на…
Всё это время Антон продолжал рассказывать много интересного.
Тематика прошедшего последнего стрима
Webhooks/serverless processing with Terraform on AWS - Your weekly dose of #Terraform (Ep 26)
https://www.youtube.com/watch?v=9EjTrmhI6Ug
А через 20 минут (14-00 МСК) начнётся стрим продолжение по той же тематике
https://www.youtube.com/watch?v=ug5JJrhfzHs
Тематика прошедшего последнего стрима
During an hour I want to develop infrastructure for processing webhooks events on AWS serverless-ly, which involves AWS API Gateway, AWS Lambda, AWS Step Functions, AWS IAM, etc.
Webhooks/serverless processing with Terraform on AWS - Your weekly dose of #Terraform (Ep 26)
https://www.youtube.com/watch?v=9EjTrmhI6Ug
А через 20 минут (14-00 МСК) начнётся стрим продолжение по той же тематике
https://www.youtube.com/watch?v=ug5JJrhfzHs
YouTube
Webhooks/serverless processing with Terraform on AWS (part 1)
During an hour I want to develop infrastructure for processing webhooks events on AWS serverless-ly, which involves AWS API Gateway, AWS Lambda, AWS Step Functions, AWS IAM, etc.
## Why?
Today I found a blog post about "Amazon API Gateway service integration…
## Why?
Today I found a blog post about "Amazon API Gateway service integration…
Это просто прекрасно
> По словам пользователя Twitter git_huh, у одного из администраторов Twibe был пароль «123456». Сразу после этого соцсеть прекратила работу.
> gut_huh опубликовал скриншот папки с видеофайлами, на превью которых видно людей с паспортами в руках. Он пояснил, что это ролики из админки Twibe, которые присылали пользователи для того, чтобы верифицировать свои аккаунты.
> В то же время в Twibe нет никаких способов подтверждения данных аккаунта, кроме как предоставить паспорт. При регистрации пользователю достаточно указать лишь имя, электронную почту и пароль. На почту письмо с уведомлением о регистрации не приходит, а подтверждение с помощью мобильного телефона так же отсутствует.
https://habr.com/ru/news/t/547924/
+
https://tjournal.ru/internet/354929-twibe-klon-tvittera-kuda-perehodyat-na-fone-vozmozhnogo-bana-socseti-novyy-servis-obvinyayut-v-peredache-dannyh-vlastyam
> По словам пользователя Twitter git_huh, у одного из администраторов Twibe был пароль «123456». Сразу после этого соцсеть прекратила работу.
> gut_huh опубликовал скриншот папки с видеофайлами, на превью которых видно людей с паспортами в руках. Он пояснил, что это ролики из админки Twibe, которые присылали пользователи для того, чтобы верифицировать свои аккаунты.
> В то же время в Twibe нет никаких способов подтверждения данных аккаунта, кроме как предоставить паспорт. При регистрации пользователю достаточно указать лишь имя, электронную почту и пароль. На почту письмо с уведомлением о регистрации не приходит, а подтверждение с помощью мобильного телефона так же отсутствует.
https://habr.com/ru/news/t/547924/
+
https://tjournal.ru/internet/354929-twibe-klon-tvittera-kuda-perehodyat-na-fone-vozmozhnogo-bana-socseti-novyy-servis-obvinyayut-v-peredache-dannyh-vlastyam
Хабр
Из Twibe, свежесозданного российского клона Twitter, утекли паспортные данные пользователей. Сайт тут же закрылся
В социальной сети Twibe, которую начали подавать как замену Twitter в связи с замедлением работы, обнаружили уязвимость, через которую удалось скачать видеоролики с паспортными данными пользователей....
Container security automation with Ansible
https://www.youtube.com/watch?v=G-hOhtFyg-c
https://www.youtube.com/watch?v=G-hOhtFyg-c
YouTube
Container security automation with Ansible - DevConf.CZ 2021
Speaker: Sumit Jaiswal
Docker containers are the new way developers package applications. Due to the ease of use and deployment, more and more applications are getting deployed in containers for production use. With so many moving parts, it becomes imperative…
Docker containers are the new way developers package applications. Due to the ease of use and deployment, more and more applications are getting deployed in containers for production use. With so many moving parts, it becomes imperative…
Технологический Болт Генона
This Arduino Cassette Tape Makes Loading ZX Spectrum Software Incredibly Easy https://www.hackster.io/news/this-arduino-cassette-tape-makes-loading-zx-spectrum-software-incredibly-easy-c44a6b0731e7 + https://github.com/jamhamster/TZX-Cassette-Mod + A TZXDuino…
I got a Pi Zero W into a cassette tape and I'm using it to emulate a ZX Spectrumhttps://www.reddit.com/r/raspberry_pi/comments/m5mq6r/i_got_a_pi_zero_w_into_a_cassette_tape_and_im/
+
https://twitter.com/RealJamHamster/status/1369990830916767749
Forwarded from oleg_log (Oleg Kovalov)
Why Security Defects Go Unnoticed during Code Reviews? A Case-Control Study of the Chromium OS Project
ТЛДР не сделаю ибо забил читать, но вещь крутая, действительно люди заморочились.
http://amiangshu.com/papers/paul-ICSE-2021.pdf
ТЛДР не сделаю ибо забил читать, но вещь крутая, действительно люди заморочились.
http://amiangshu.com/papers/paul-ICSE-2021.pdf
Forwarded from SecAtor
Мы неоднократно писали, что исследователи Positive Technologies весьма успешно потрошат микрокод процессоров Intel.
Например, в октябре они достали ключи шифрования, которые используются для защиты обновлений. Мы тогда предположили, что дальнейшие исследования в этой области вполне могут привести к встроенным бэкдорам АНБ в процессорах Intel. И возможно мы оказались правы.
Ермолов, Скляров и Горячий нашли в платформе Apollo Lake две недокументированные инструкции, позволяющие путем доступа к шине управления модифицировать микрокод. По мнению исследователей, эти инструкции присутствуют на всех процессорах Intel.
Правда для этого процессор должен быть в режиме Red Unlocked, то есть хакер должен иметь доступ к управлению Intel Management Engine. По умолчанию он залочен и доступ есть только у Intel. Но в некоторых процессорах есть дыры, позволившие его получить.
Да, Intel, по идее, может это все пропатчить. Нет, это будет не быстро.
Что имеем в итоге - недокументированные инструкции, позволяющие взять CPU (а значит и всю систему) под контроль, доступ к которым (по идее) имеют только Intel (или некоторые товарищи стоящие за ними).
Пилят, вот точно АНБшный бэкдор!
Например, в октябре они достали ключи шифрования, которые используются для защиты обновлений. Мы тогда предположили, что дальнейшие исследования в этой области вполне могут привести к встроенным бэкдорам АНБ в процессорах Intel. И возможно мы оказались правы.
Ермолов, Скляров и Горячий нашли в платформе Apollo Lake две недокументированные инструкции, позволяющие путем доступа к шине управления модифицировать микрокод. По мнению исследователей, эти инструкции присутствуют на всех процессорах Intel.
Правда для этого процессор должен быть в режиме Red Unlocked, то есть хакер должен иметь доступ к управлению Intel Management Engine. По умолчанию он залочен и доступ есть только у Intel. Но в некоторых процессорах есть дыры, позволившие его получить.
Да, Intel, по идее, может это все пропатчить. Нет, это будет не быстро.
Что имеем в итоге - недокументированные инструкции, позволяющие взять CPU (а значит и всю систему) под контроль, доступ к которым (по идее) имеют только Intel (или некоторые товарищи стоящие за ними).
Пилят, вот точно АНБшный бэкдор!
Twitter
Mark Ermolov
Wow, we (+@h0t_max and @_Dmit) have found two undocumented x86 instructions in Intel CPUs which completely control microarchitectural state (yes, they can modify microcode)
Forwarded from Sysadmin Tools 🇺🇦
Если вы ждали поддержку ui для #victoriametrics такую же как и #prometheus graph то можно затестить.
Фидбек приветствуется
Фидбек приветствуется
GitHub
GitHub - VictoriaMetrics/vmui: UI monorepo for VictoriaMetrics
UI monorepo for VictoriaMetrics . Contribute to VictoriaMetrics/vmui development by creating an account on GitHub.
Forwarded from Zhovner Hub
Хабр
Flipper Zero — вымученная сертификация, открытие исходников и новые приколдесы
Flipper Zero — проект карманного мультитула для хакеров в формфакторе тамагочи, который мы разрабатываем. Предыдущие посты [ 1 ],[ 2 ],[ 3 ],[ 4 ],[ 5 ],[ 6 ],[ 7 ],[ 8 ],[ 9 ],[ 10 ],[ 11 ],[ 12 ]....
Компания Nokia перелицензировала ОС Plan9 под лицензией MIT
https://www.opennet.ru/opennews/art.shtml?num=54815
+
https://www.bell-labs.com/institute/blog/plan-9-bell-labs-cyberspace/
https://www.opennet.ru/opennews/art.shtml?num=54815
+
https://www.bell-labs.com/institute/blog/plan-9-bell-labs-cyberspace/
www.opennet.ru
Компания Nokia перелицензировала ОС Plan9 под лицензией MIT
Компания Nokia, в 2015 году поглотившая компанию Alcatel-Lucent, которой принадлежал исследовательский центр Bell Labs, объявила о передаче всей связанной с проектом Plan 9 интеллектуальной собственности некоммерческой организации Plan 9 Foundation, которая…
Secure containerized environments with updated threat matrix for Kubernetes
https://www.microsoft.com/security/blog/2021/03/23/secure-containerized-environments-with-updated-threat-matrix-for-kubernetes/
https://www.microsoft.com/security/blog/2021/03/23/secure-containerized-environments-with-updated-threat-matrix-for-kubernetes/
Тут в Ruby on Rails пробрался GPL-2 код
В issue разборка как с этим жить
https://github.com/rails/rails/issues/41750
В issue разборка как с этим жить
https://github.com/rails/rails/issues/41750
PostgresPro выложили расширенный курс по PostgreSQL 12.
Страница курса
https://postgrespro.ru/education/courses/DEV2
Плейлист
https://www.youtube.com/playlist?list=PLaFqU3KCWw6K3AyBVcZGdXMtM2xvjHA1N
Уровень выложенного курса DEV2, предлагается сначала проштудировать курс предыдущего уровня DEV1
https://postgrespro.ru/education/courses/DEV1
Страница курса
https://postgrespro.ru/education/courses/DEV2
Плейлист
https://www.youtube.com/playlist?list=PLaFqU3KCWw6K3AyBVcZGdXMtM2xvjHA1N
Уровень выложенного курса DEV2, предлагается сначала проштудировать курс предыдущего уровня DEV1
https://postgrespro.ru/education/courses/DEV1
postgrespro.ru
DEV2
Postgres Professional - российская компания, разработчик систем управления базами данных
https://permission.site/
Тут можно посмотреть, куда браузеры захотят получить доступ. Если покликать, то можно понять, что отключено/включено по-умолчанию, а что может запрашивать прав.
Тут можно посмотреть, куда браузеры захотят получить доступ. Если покликать, то можно понять, что отключено/включено по-умолчанию, а что может запрашивать прав.
CAN MY WATER COOLED RASPBERRY PI CLUSTER BEAT MY MACBOOK?
https://www.the-diy-life.com/can-my-water-cooled-raspberry-pi-cluster-beat-my-macbook/
За наводку спасибо @sysadmin_tools
https://www.the-diy-life.com/can-my-water-cooled-raspberry-pi-cluster-beat-my-macbook/
За наводку спасибо @sysadmin_tools