Запись доклада

Kubernetes: Observability — важная часть Security
https://www.youtube.com/watch?v=2kq42cCG4GM

Отличнейший пост

> What can you do with a stolen laptop? Can you get access to our internal network? That was the question a client wanted answered recently. Spoiler alert: Yes, yes you can. This post will walk you through how we took a “stolen” corporate laptop and chained several exploits together to get inside the client’s corporate network.

https://dolosgroup.io/blog/2021/7/9/from-stolen-laptop-to-inside-the-company-network

The State of Developer Ecosystem 2021 - DevOps

https://www.jetbrains.com/lp/devecosystem-2021/devops/

Плейлист PG Day'21
https://www.youtube.com/playlist?list=PL83V-7Vhzqkpj0qwmOimKR-x3FRVg9lDn

Доклады
https://pgday.ru/ru/2021/papers

National Security Agency. Kubernetes Hardening Guidance. 2021.

Рекомендации от NSA (National Security Agency) и CISA (Cybersecurity and Infrastructure Security Agency) как делать эти ваши Kubernetes'ы защищёнными.

Идёт прием докладов на Chaos Constructions, так же мы приглашаем стать спонсорами и партнерами. По вариантам участия - пишите @lady_noname.

Demoparty - конкурсы по программированию, музицированию и графике, присылайте ваши работы, правила участия на сайте. Соревнования в программировании шейдеров - качественное развлечение для тех, кто умеет в матан, запись в общем чате заранее. Так же с нетерпением ждем демки.

Кроме всего традиционно можно поиграть за старинными компьютерами, состоятся и трационные турниры. А еще нужно принести свои модификации ретро-техники, если они у вас есть и дать интервью нашим коллегам для Chaos TV, по ретротехнике пишите в личку бессменному хранителю выставки - @Mihhru.

Ну и конечно же конференция по новым компьютерным технологиям и защите компьютерных программ, теперь и с трансляцией в Youtube. Темы для обсуждений: всё, что связано с безопасностью ПО и железа. Если есть рассказать про интересное железо - тоже добро пожаловать.

Билеты. Online участие - бесплатно.

Тернистая история Лисп-машин: первый бум AI, война Столлмана и удивительный интерфейс
https://habr.com/ru/company/yandex/blog/519922/

> Как выяснили журналисты Financial Times, Apple намерена внедрить в свои iPhone бэкдор, который позволит ее специалистам сканировать устройства на наличие фотографий жестокого обращения с детьми. Специалисты по безопасности заявляют об опасности тотальной слежки за пользователями смартфонов.

https://habr.com/ru/news/t/571576/

> I have identified the privacy flaws in Telegram's self-destruct chats. One can retrieve audio, video messages, shared locations, and files even after the self-destruct feature works on both devices.

Telegram Self-Destruct? Not Always

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/telegram-self-destruct-not-always/

Проблеме подвержены web-прокси, балансировщики нагрузки, web-акселераторы, системы доставки контента и прочие конфигурации, в которых запросы перенаправляются по схеме фронтэнд-бэкенд. Автор исследования продемонстрировал возможность атаки на системы Netflix, Verizon, Bitbucket, Netlify CDN и Atlassian, и получил 56 тысяч долларов в программах по выплате вознаграждений за выявление уязвимостей. Наличие проблемы также подтверждено в продуктах F5 Networks. Частично проблема затрагивает mod_proxy в http-сервере Apache (CVE-2021-33193) . . . В nginx возможность одновременного указания заголовков "Content-Length" и "Transfer-Encoding были блокированы в прошлом выпуске (1.21.1). Средства для проведения атак уже добавлены в инструментарий Burp и доступны в форме расширения Turbo Intruder.

Новая атака на системы фронтэнд-бэкенд, позволяющая вклиниться в запросы
https://www.opennet.ru/opennews/art.shtml?num=55601

Начали выкладывать доклады с DEF CON 29

Main Stage Presentations
https://www.youtube.com/playlist?list=PL9fPq3eQfaaBUD1zVxJWJmX86A6d0isBI

Программа тут
https://defcon.org/html/defcon-29/dc-29-schedule.html

Тут @mobile_appsec_world набрал первую тыЩу подписчиков. С чем его и поздравляю.

Если вам интересная тематика безопасности мобильных приложений, тулинга связанного с этим и т.д., то присоединяйтесь, там есть чего почитать на эту тему.

Ведёт его Юрий Шабалин из Swordfish Security, вот один из недавних его постов на Хабре

Развитие механизмов безопасности Android (от версии к версии)
https://habr.com/ru/company/swordfish_security/blog/565092/

Компания Elasticsearch опубликовала выпуск elasticsearch-py 7.14.0, официальной клиентской библиотеки для языка Python, содержащий изменение, блокирующее возможность подключения к серверам, на которых используется не оригинальная коммерческая платформа Elasticsearch. Клиентская библиотека отныне будет выводить ошибку, если на другой стороне используется продукт, представляющийся в заголовке "X-Elastic-Product" не как "Elasticsearch" для новых выпусков, или не передающий поля tagline и build_flavor для старых версий.

Библиотека elasticsearch-py продолжает поставляться под лицензией Apache 2.0, но функциональность её теперь ограничена только возможностью подключения к коммерческим продуктам Elasticsearch. По данным компании Amazon блокировка затрагивает не только форки Open Distro for Elasticsearch и OpenSearch, но и решения на базе открытых версий Elasticsearch. Аналогичные изменения ожидают включения в клиентские библиотеки для JavaScript и Hadoop.

В официальных клиентах Elasticsearch блокирована возможность подключения к форкам
https://www.opennet.ru/opennews/art.shtml?num=55608

Продолжаем прививочный раздел.

В воскресенье ревакцинировался "Спутником Лайт". Перед этим количество антител не замерял.

Из побочек была сонливость вчера. Сегодня можно считать, что почти в норме.

Пишу статью под предварительным названием «AWS – с чего начать». Поделитесь, пожалуйста, в комментариях примерами из своего опыта — что было самым сложным/проблематичным/непонятным, мешающем начать работать с AWS сервисами (и возможно продолжающем мешать).

В общем смысле, это может быть что угодно - от знакомства для собственного мини-проектика до начала работы вашей команды на AWS. Хотелось бы учесть ваш опыт в статье, чтобы было полезно для других.

​Хозяйке стартаперам на заметку: в B2B все происходит ОЧЕНЬ долго.

Многие из вас знают, что мы разрабатываем несколько продуктов - holistic.dev, parsers.dev и dwh.dev

У holistic.dev есть интеграции со всеми основными клауд провайдерами в РФ.

Они сделаны в виде FaaS (function as a service) только по одной причине - облакам некогда заниматься такими интеграциями.

Но ребята из MCS (облако mailru) оказались наиболее легкими на подъем и запилили интеграцию для своих managed баз прямо к себе в админку.

Таймлайн выглядел так:
- 2020 весь год. Я ищу контакты в MCS
- 2020 декабрь. С первого разговора с нужным человеком MCS принимают решение об интеграции
- 2021 февраль. Интеграция готова
- 2021 март. Я узнаю о том, что интеграция готова, мы начинаем общаться о промо материалах
- 2021 апрель. Я рассказываю об интеграции у себя в канале
- 2021 июнь. Мы общаемся о промо материалах.
- 2021 август. Промо выходит в медиа каналах mail.ru (Новость на сайте и в телеге)


Собственно, это была подводка к новости - про нашу интеграцию с MCS объявлено официально, ура! :)

PS: если решите делать B2B стартап, ищите sales-кофаундера сразу....

Ясно почему GitHub лежал недавно. Шорткаты завозили. Нажимаем точку в репе, получаем VS Code.

> New shortcut: Press . on any GitHub repo.

https://twitter.com/github/status/1425505817827151872