Продолжение банкета

Тред
https://twitter.com/mathemonkey/status/1376596348557004807

Как узнать AWS ID любого публичного S3 бакета:

https://www.cloudar.be/awsblog/finding-the-accountid-of-any-public-s3-bucket/

Перебрав максимум 120 комбинаций, можно вычислить номер любого аккаунта. И нет, это не баг, это фича:

https://aws.amazon.com/blogs/storage/limit-access-to-amazon-s3-buckets-owned-by-specific-aws-accounts/

В самом конце 2020-го года у S3 появилась возможность делать строгий доступ для нужных аккаунтов (по их AWS ID). В полиси можно использовать *-wildcard, потому просто подбирая последовательно 0*, 12*, 123*... легко можно подобрать реальный AWS ID.

Короче, публичные бакеты — зло. А теперь это вдвойне опасно. Раскрытие AWS ID не смертельно само по себе, но это как сказать недругам номер своей квартиры — дверь должна быть железная и находиться постоянно под охраной.

#security #S3

Compare AWS and Azure services to Google Cloud

https://cloud.google.com/free/docs/aws-azure-gcp-service-comparison

#aws #azure #gce #google #microsoft

The CISA Hunt and Incident Response Program (CHIRP) is a tool created to dynamically query Indicators of Compromise (IoCs) on hosts with a single package, outputting data in a JSON format for further analysis in a SIEM or other tool. CHIRP does not modify any system data.

A forensic collection tool written in Python.
https://github.com/cisagov/CHIRP

Пару дней назад релизнулся PMapper от NCC Group. Строит и показывает связи между ролями и пользователями в AWS IAM

Principal Mapper (PMapper) is a script and library for identifying risks in the configuration of AWS Identity and Access Management (IAM) for an AWS account or an AWS organization. It models the different IAM Users and Roles in an account as a directed graph, which enables checks for privilege escalation and for alternate paths an attacker could take to gain access to a resource or action in AWS.

https://github.com/nccgroup/PMapper
https://github.com/nccgroup/PMapper/wiki

Сегодня прочитал замечательное

Вайтишники из «ИТ Ассоциации» держали репозитории «Дія City» в открытом доступе
https://ebanoe.it/2021/04/04/diia-city-fail/

> на ресурсе dc.diia.gov.ua в открытую лежал git репозиторий лендинг промоушен-странички

Это какое-то проклятье. На такое натыкался много раз.

Самое забавное, когда ты видишь такое и говоришь людям, что у вас там git голой жопой на сайте торчит, они иногда удивляются и говорят в ответ "А что такого?".

Есть готовый тулинг который позволяет вытянуть всю репу с историей и структурой.

Например
https://github.com/kost/dvcs-ripper
Умеет в git, mercurial, svn, cvs, bazaar.

Анализ истории, помимо явно прописанных конфигов, как в статье, позволяет найти "удалённую" из репы инфу, но при этом действующую по факту: креды к БД или токен к сервису.

Например
https://github.com/dxa4481/truffleHog
https://github.com/UKHomeOffice/repo-security-scanner

Через последние может быть полезно прогнать в принципе.

Дежурное напоминание: не делайте доставку сайтов через clone/pull кода на конечном хосте (ну или хотя бы вычищайте лишнее после этого) и не кладите репы исходников в контейнер.

ЗЫ Из РФ ebanoe.it побанено

CVE-2020-5377: Dell OpenManage Server Administrator File Read
https://rhinosecuritylabs.com/research/cve-2020-5377-dell-openmanage-server-administrator-file-read/
+
https://github.com/RhinoSecurityLabs/CVEs/tree/master/CVE-2020-5377_CVE-2021-21514

:(

https://lore.kernel.org/dri-devel/20200710103910.GD1203263@kroah.com/

This presentation discusses how Podman users can deploy their docker-compose orchestrations on Kubernetes. With the recent release of Podman 3.0, Podman’s system service can support docker-compose. This allows you to run your orchestrated workloads with Podman. We can then capture those containers and generate YAML that can be run on a Kubernetes platform. While discussing this workflow, we will dive deeper into topics around the RESTFul API, Podman’s system service, generation and replaying of Kubernetes YAML with Podman, and for future improvements that could make the workflow more portable and powerful.

From Docker Compose to Kubernetes with Podman
https://www.youtube.com/watch?v=Bvtv_NoUVc8

Пользуясь случаем напомню, что у нас есть камунити по Podman и мы его строим - @ru_podman

Kubesploit: A New Offensive Tool for Testing Containerized Environments
https://www.cyberark.com/resources/threat-research-blog/kubesploit-a-new-offensive-tool-for-testing-containerized-environments
+
https://github.com/cyberark/kubesploit

F

В качестве причины провала проекта один их ключевых разработчиков Mesos упоминает невозможность конкурировать с платформой Kubernetes, которая была создана позднее, обобщила опыт своих предшественников и создавалась компанией Google, имеющей богатый опыт создания крупных кластеров. В отличие от Kubernetes проект Mesos был создан аспирантами, не имевшими большого опыта работы с кластерами, которые затем были приняты на работу в Twitter. Проект развивался путём проб и ошибок, и, оглядываясь назад, разработчики признают, что многие вещи стоило бы сделать иначе.

Apache сворачивает разработку кластерной платформы Mesos
https://www.opennet.ru/opennews/art.shtml?num=54926

Встрече сообщества — быть!

Она пройдет 20 Мая 2021 года в Москве, на конференции Positive Hack Days 10 [1].
На встрече прозвучат доклады о применении фреймворка ATT&CK [2] на практике по направлениям предотвращения, эмуляции, реагирования и обнаружения угроз компьютерной безопасности. Будет также доступна онлайн трансляция мероприятия.

Завершится встреча практикумом по разработке правил Sigma [3].

Хотите поделиться с сообществом своим опытом использования ATT&CK?
Подайте заявку [4] на участие в качестве спикера до 6 Мая!

[1] https://www.phdays.com/ru/
[2] https://attack.mitre.org/
[3] https://github.com/SigmaHQ/sigma/
[4] https://attack.community/cfp.html

Mitigation который мы заслужили

For now, the two hackers and Zoom are the only ones that know how the vulnerability works. As long as it stays that way there is not much that Zoom users have to worry about. For those that worry anyway, the browser version is said to be safe from this vulnerability. For anyone else, keep your eyses peeled for the patch and update at earliest convenience after it comes out.

Zoom zero-day discovery makes calls safer, hackers $200,000 richer
https://blog.malwarebytes.com/exploits-and-vulnerabilities/2021/04/zoom-zero-day-discovery-makes-calls-safer-hackers-200000-richer/

Системы отображения информации космических кораблей «Восток» и «Восход»
https://www.astronaut.ru/bookcase/article/article130.htm

Тематически исторический пост.

С праздником, друзья!

Всего лишь 100к за такой баг? серьезно? Не серьезно же...

https://therecord.media/security-researcher-drops-chrome-and-edge-zero-day-on-twitter/

Загадка Жака Фреско:

можно ли открыть тачку с помощью беспроводного дверного звонка за 300 рублей?

Debugging tool for Kubernetes which tests and displays connectivity between nodes in the cluster.
https://github.com/bloomberg/goldpinger

Обновляем гитлабчики 💅💅💅

Today we are releasing versions 13.10.3, 13.9.6, and 13.8.8 for GitLab Community Edition (CE) and Enterprise Edition (EE).

These versions contain important security fixes, and we strongly recommend that all GitLab installations be upgraded to one of these versions immediately.
. . .
Remote code execution when uploading specially crafted image files
An issue has been discovered in GitLab CE/EE affecting all versions starting from 11.9. GitLab was not properly validating image files that is passed to a file parser which resulted in a remote command execution. This is a critical severity issue (AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H, 9.9). We have requested a CVE ID and will update this blog post when it is assigned.

https://about.gitlab.com/releases/2021/04/14/security-release-gitlab-13-10-3-released/

С одной стороны думается, что зря Elasticsearch в эту войну вступил (сделав SSPL), а с другой стороны не понятно что бы он мог ещё сделать. OpenDistro был первым звоночком.

Компания Amazon объявила о создании проекта OpenSearch, в рамках которого создан форк платформы поиска, анализа и хранения данных Elasticsearch, а также связанного с платформой web-интерфейса Kibana. Код распространяется под лицензией Apache 2.0. В будущем планируется переименовать службу Amazon Elasticsearch Service в Amazon OpenSearch Service.
. . .
К работе над OpenSearch уже присоединились такие компании, как Red Hat, SAP, Capital One и Logz.io. Примечательно, что компания Logz.io ранее пыталась развивать собственный форк Elasticsearch, но присоединилась к работе над общим проектом. 
. . .
Поводом для создания форка стал перевод исходного проекта Elasticsearch на несвободную лицензию SSPL (Server Side Public License) и прекращение публикации изменений под старой лицензией Apache 2.0. 

https://www.opennet.ru/opennews/art.shtml?num=54959

https://github.com/golang/go/commit/13a4e8c41cd1d242a435d44e7f66f370e5306a8c

Сопротивление уровня /b/

Ссылка честно взята с @HowToGoWrong

Добрый день, друзья! Хорошие новости, 29 апреля пройдет очередной Online Monitoring Meetup, на котором Александр Калошин, CEO Last.Backend выступит с темой “Прометеус - как мы мониторим приватные кластера куба, к которым мало доступа.”

Александр поделится тем, как интегрировать мониторинг к клиентам, которым предоставляются услуги по DevOps/SRE, чтоб всё было безопасно, прозрачно, а главное удобно для всех сторон.

После доклада Александра приглашаем обсудить темы для докладов на предстоящем Big Monitoring Meetup, который состоится 10 июня в Санкт-Петербурге оффлайн.

Начало: 19.00. Регистрация: https://www.meetup.com/monhouse-tech/events/277583781/