PostgresPro выложили расширенный курс по PostgreSQL 12.

Страница курса
https://postgrespro.ru/education/courses/DEV2

Плейлист
https://www.youtube.com/playlist?list=PLaFqU3KCWw6K3AyBVcZGdXMtM2xvjHA1N

Уровень выложенного курса DEV2, предлагается сначала проштудировать курс предыдущего уровня DEV1
https://postgrespro.ru/education/courses/DEV1

Когда у тебя релиз, а в CI всего один раннер доступен и тот завис.

https://permission.site/

Тут можно посмотреть, куда браузеры захотят получить доступ. Если покликать, то можно понять, что отключено/включено по-умолчанию, а что может запрашивать прав.

CAN MY WATER COOLED RASPBERRY PI CLUSTER BEAT MY MACBOOK?
https://www.the-diy-life.com/can-my-water-cooled-raspberry-pi-cluster-beat-my-macbook/

За наводку спасибо @sysadmin_tools

https://twitter.com/SergeySabbath/status/1375449624497037315?s=09
+
https://docs.google.com/spreadsheets/d/1I4qeDPE2L6uuOa1rZ21LB_UkjqgMt8MxxCuij2hMcsc/edit#gid=0

Продолжение банкета

Тред
https://twitter.com/mathemonkey/status/1376596348557004807

Как узнать AWS ID любого публичного S3 бакета:

https://www.cloudar.be/awsblog/finding-the-accountid-of-any-public-s3-bucket/

Перебрав максимум 120 комбинаций, можно вычислить номер любого аккаунта. И нет, это не баг, это фича:

https://aws.amazon.com/blogs/storage/limit-access-to-amazon-s3-buckets-owned-by-specific-aws-accounts/

В самом конце 2020-го года у S3 появилась возможность делать строгий доступ для нужных аккаунтов (по их AWS ID). В полиси можно использовать *-wildcard, потому просто подбирая последовательно 0*, 12*, 123*... легко можно подобрать реальный AWS ID.

Короче, публичные бакеты — зло. А теперь это вдвойне опасно. Раскрытие AWS ID не смертельно само по себе, но это как сказать недругам номер своей квартиры — дверь должна быть железная и находиться постоянно под охраной.

#security #S3

Compare AWS and Azure services to Google Cloud

https://cloud.google.com/free/docs/aws-azure-gcp-service-comparison

#aws #azure #gce #google #microsoft

The CISA Hunt and Incident Response Program (CHIRP) is a tool created to dynamically query Indicators of Compromise (IoCs) on hosts with a single package, outputting data in a JSON format for further analysis in a SIEM or other tool. CHIRP does not modify any system data.

A forensic collection tool written in Python.
https://github.com/cisagov/CHIRP

Пару дней назад релизнулся PMapper от NCC Group. Строит и показывает связи между ролями и пользователями в AWS IAM

Principal Mapper (PMapper) is a script and library for identifying risks in the configuration of AWS Identity and Access Management (IAM) for an AWS account or an AWS organization. It models the different IAM Users and Roles in an account as a directed graph, which enables checks for privilege escalation and for alternate paths an attacker could take to gain access to a resource or action in AWS.

https://github.com/nccgroup/PMapper
https://github.com/nccgroup/PMapper/wiki

Сегодня прочитал замечательное

Вайтишники из «ИТ Ассоциации» держали репозитории «Дія City» в открытом доступе
https://ebanoe.it/2021/04/04/diia-city-fail/

> на ресурсе dc.diia.gov.ua в открытую лежал git репозиторий лендинг промоушен-странички

Это какое-то проклятье. На такое натыкался много раз.

Самое забавное, когда ты видишь такое и говоришь людям, что у вас там git голой жопой на сайте торчит, они иногда удивляются и говорят в ответ "А что такого?".

Есть готовый тулинг который позволяет вытянуть всю репу с историей и структурой.

Например
https://github.com/kost/dvcs-ripper
Умеет в git, mercurial, svn, cvs, bazaar.

Анализ истории, помимо явно прописанных конфигов, как в статье, позволяет найти "удалённую" из репы инфу, но при этом действующую по факту: креды к БД или токен к сервису.

Например
https://github.com/dxa4481/truffleHog
https://github.com/UKHomeOffice/repo-security-scanner

Через последние может быть полезно прогнать в принципе.

Дежурное напоминание: не делайте доставку сайтов через clone/pull кода на конечном хосте (ну или хотя бы вычищайте лишнее после этого) и не кладите репы исходников в контейнер.

ЗЫ Из РФ ebanoe.it побанено

CVE-2020-5377: Dell OpenManage Server Administrator File Read
https://rhinosecuritylabs.com/research/cve-2020-5377-dell-openmanage-server-administrator-file-read/
+
https://github.com/RhinoSecurityLabs/CVEs/tree/master/CVE-2020-5377_CVE-2021-21514

:(

https://lore.kernel.org/dri-devel/20200710103910.GD1203263@kroah.com/

This presentation discusses how Podman users can deploy their docker-compose orchestrations on Kubernetes. With the recent release of Podman 3.0, Podman’s system service can support docker-compose. This allows you to run your orchestrated workloads with Podman. We can then capture those containers and generate YAML that can be run on a Kubernetes platform. While discussing this workflow, we will dive deeper into topics around the RESTFul API, Podman’s system service, generation and replaying of Kubernetes YAML with Podman, and for future improvements that could make the workflow more portable and powerful.

From Docker Compose to Kubernetes with Podman
https://www.youtube.com/watch?v=Bvtv_NoUVc8

Пользуясь случаем напомню, что у нас есть камунити по Podman и мы его строим - @ru_podman

Kubesploit: A New Offensive Tool for Testing Containerized Environments
https://www.cyberark.com/resources/threat-research-blog/kubesploit-a-new-offensive-tool-for-testing-containerized-environments
+
https://github.com/cyberark/kubesploit

F

В качестве причины провала проекта один их ключевых разработчиков Mesos упоминает невозможность конкурировать с платформой Kubernetes, которая была создана позднее, обобщила опыт своих предшественников и создавалась компанией Google, имеющей богатый опыт создания крупных кластеров. В отличие от Kubernetes проект Mesos был создан аспирантами, не имевшими большого опыта работы с кластерами, которые затем были приняты на работу в Twitter. Проект развивался путём проб и ошибок, и, оглядываясь назад, разработчики признают, что многие вещи стоило бы сделать иначе.

Apache сворачивает разработку кластерной платформы Mesos
https://www.opennet.ru/opennews/art.shtml?num=54926

Встрече сообщества — быть!

Она пройдет 20 Мая 2021 года в Москве, на конференции Positive Hack Days 10 [1].
На встрече прозвучат доклады о применении фреймворка ATT&CK [2] на практике по направлениям предотвращения, эмуляции, реагирования и обнаружения угроз компьютерной безопасности. Будет также доступна онлайн трансляция мероприятия.

Завершится встреча практикумом по разработке правил Sigma [3].

Хотите поделиться с сообществом своим опытом использования ATT&CK?
Подайте заявку [4] на участие в качестве спикера до 6 Мая!

[1] https://www.phdays.com/ru/
[2] https://attack.mitre.org/
[3] https://github.com/SigmaHQ/sigma/
[4] https://attack.community/cfp.html

Mitigation который мы заслужили

For now, the two hackers and Zoom are the only ones that know how the vulnerability works. As long as it stays that way there is not much that Zoom users have to worry about. For those that worry anyway, the browser version is said to be safe from this vulnerability. For anyone else, keep your eyses peeled for the patch and update at earliest convenience after it comes out.

Zoom zero-day discovery makes calls safer, hackers $200,000 richer
https://blog.malwarebytes.com/exploits-and-vulnerabilities/2021/04/zoom-zero-day-discovery-makes-calls-safer-hackers-200000-richer/

Системы отображения информации космических кораблей «Восток» и «Восход»
https://www.astronaut.ru/bookcase/article/article130.htm

Тематически исторический пост.

С праздником, друзья!

Всего лишь 100к за такой баг? серьезно? Не серьезно же...

https://therecord.media/security-researcher-drops-chrome-and-edge-zero-day-on-twitter/