National Security Agency. Kubernetes Hardening Guidance. 2021.

Рекомендации от NSA (National Security Agency) и CISA (Cybersecurity and Infrastructure Security Agency) как делать эти ваши Kubernetes'ы защищёнными.

Идёт прием докладов на Chaos Constructions, так же мы приглашаем стать спонсорами и партнерами. По вариантам участия - пишите @lady_noname.

Demoparty - конкурсы по программированию, музицированию и графике, присылайте ваши работы, правила участия на сайте. Соревнования в программировании шейдеров - качественное развлечение для тех, кто умеет в матан, запись в общем чате заранее. Так же с нетерпением ждем демки.

Кроме всего традиционно можно поиграть за старинными компьютерами, состоятся и трационные турниры. А еще нужно принести свои модификации ретро-техники, если они у вас есть и дать интервью нашим коллегам для Chaos TV, по ретротехнике пишите в личку бессменному хранителю выставки - @Mihhru.

Ну и конечно же конференция по новым компьютерным технологиям и защите компьютерных программ, теперь и с трансляцией в Youtube. Темы для обсуждений: всё, что связано с безопасностью ПО и железа. Если есть рассказать про интересное железо - тоже добро пожаловать.

Билеты. Online участие - бесплатно.

Тернистая история Лисп-машин: первый бум AI, война Столлмана и удивительный интерфейс
https://habr.com/ru/company/yandex/blog/519922/

> Как выяснили журналисты Financial Times, Apple намерена внедрить в свои iPhone бэкдор, который позволит ее специалистам сканировать устройства на наличие фотографий жестокого обращения с детьми. Специалисты по безопасности заявляют об опасности тотальной слежки за пользователями смартфонов.

https://habr.com/ru/news/t/571576/

> I have identified the privacy flaws in Telegram's self-destruct chats. One can retrieve audio, video messages, shared locations, and files even after the self-destruct feature works on both devices.

Telegram Self-Destruct? Not Always

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/telegram-self-destruct-not-always/

Проблеме подвержены web-прокси, балансировщики нагрузки, web-акселераторы, системы доставки контента и прочие конфигурации, в которых запросы перенаправляются по схеме фронтэнд-бэкенд. Автор исследования продемонстрировал возможность атаки на системы Netflix, Verizon, Bitbucket, Netlify CDN и Atlassian, и получил 56 тысяч долларов в программах по выплате вознаграждений за выявление уязвимостей. Наличие проблемы также подтверждено в продуктах F5 Networks. Частично проблема затрагивает mod_proxy в http-сервере Apache (CVE-2021-33193) . . . В nginx возможность одновременного указания заголовков "Content-Length" и "Transfer-Encoding были блокированы в прошлом выпуске (1.21.1). Средства для проведения атак уже добавлены в инструментарий Burp и доступны в форме расширения Turbo Intruder.

Новая атака на системы фронтэнд-бэкенд, позволяющая вклиниться в запросы
https://www.opennet.ru/opennews/art.shtml?num=55601

Начали выкладывать доклады с DEF CON 29

Main Stage Presentations
https://www.youtube.com/playlist?list=PL9fPq3eQfaaBUD1zVxJWJmX86A6d0isBI

Программа тут
https://defcon.org/html/defcon-29/dc-29-schedule.html

Тут @mobile_appsec_world набрал первую тыЩу подписчиков. С чем его и поздравляю.

Если вам интересная тематика безопасности мобильных приложений, тулинга связанного с этим и т.д., то присоединяйтесь, там есть чего почитать на эту тему.

Ведёт его Юрий Шабалин из Swordfish Security, вот один из недавних его постов на Хабре

Развитие механизмов безопасности Android (от версии к версии)
https://habr.com/ru/company/swordfish_security/blog/565092/

Компания Elasticsearch опубликовала выпуск elasticsearch-py 7.14.0, официальной клиентской библиотеки для языка Python, содержащий изменение, блокирующее возможность подключения к серверам, на которых используется не оригинальная коммерческая платформа Elasticsearch. Клиентская библиотека отныне будет выводить ошибку, если на другой стороне используется продукт, представляющийся в заголовке "X-Elastic-Product" не как "Elasticsearch" для новых выпусков, или не передающий поля tagline и build_flavor для старых версий.

Библиотека elasticsearch-py продолжает поставляться под лицензией Apache 2.0, но функциональность её теперь ограничена только возможностью подключения к коммерческим продуктам Elasticsearch. По данным компании Amazon блокировка затрагивает не только форки Open Distro for Elasticsearch и OpenSearch, но и решения на базе открытых версий Elasticsearch. Аналогичные изменения ожидают включения в клиентские библиотеки для JavaScript и Hadoop.

В официальных клиентах Elasticsearch блокирована возможность подключения к форкам
https://www.opennet.ru/opennews/art.shtml?num=55608

Продолжаем прививочный раздел.

В воскресенье ревакцинировался "Спутником Лайт". Перед этим количество антител не замерял.

Из побочек была сонливость вчера. Сегодня можно считать, что почти в норме.

Пишу статью под предварительным названием «AWS – с чего начать». Поделитесь, пожалуйста, в комментариях примерами из своего опыта — что было самым сложным/проблематичным/непонятным, мешающем начать работать с AWS сервисами (и возможно продолжающем мешать).

В общем смысле, это может быть что угодно - от знакомства для собственного мини-проектика до начала работы вашей команды на AWS. Хотелось бы учесть ваш опыт в статье, чтобы было полезно для других.

​Хозяйке стартаперам на заметку: в B2B все происходит ОЧЕНЬ долго.

Многие из вас знают, что мы разрабатываем несколько продуктов - holistic.dev, parsers.dev и dwh.dev

У holistic.dev есть интеграции со всеми основными клауд провайдерами в РФ.

Они сделаны в виде FaaS (function as a service) только по одной причине - облакам некогда заниматься такими интеграциями.

Но ребята из MCS (облако mailru) оказались наиболее легкими на подъем и запилили интеграцию для своих managed баз прямо к себе в админку.

Таймлайн выглядел так:
- 2020 весь год. Я ищу контакты в MCS
- 2020 декабрь. С первого разговора с нужным человеком MCS принимают решение об интеграции
- 2021 февраль. Интеграция готова
- 2021 март. Я узнаю о том, что интеграция готова, мы начинаем общаться о промо материалах
- 2021 апрель. Я рассказываю об интеграции у себя в канале
- 2021 июнь. Мы общаемся о промо материалах.
- 2021 август. Промо выходит в медиа каналах mail.ru (Новость на сайте и в телеге)


Собственно, это была подводка к новости - про нашу интеграцию с MCS объявлено официально, ура! :)

PS: если решите делать B2B стартап, ищите sales-кофаундера сразу....

Ясно почему GitHub лежал недавно. Шорткаты завозили. Нажимаем точку в репе, получаем VS Code.

> New shortcut: Press . on any GitHub repo.

https://twitter.com/github/status/1425505817827151872

Выложили записи с AWS AMER Summit May 2021
https://www.youtube.com/playlist?list=PL2yQDdvlhXf_V5oVkswDdYbAmu1yZil3K

Полный список докладов прицепил в виде pdf

tl;dr In this post, we discuss an insecure coding pattern commonly used in system observability and program analysis tools, and several techniques that can enable one to evade observation from such tools using that pattern, especially when they are being used for security event analysis. We also discuss several ways in which such software can be written that do not enable such evasion, and the current limitations that make it more difficult than necessary to write such code correctly.

Some Musings on Common (eBPF) Linux Tracing Bugs
https://research.nccgroup.com/2021/08/06/some-musings-on-common-ebpf-linux-tracing-bugs/

Уже некоторое время орудуют мошенники, «продающие» «Флиппер» за копейки и под другим названием.

Один из наших бэкеров решил ради интереса заказать этот фейк. Продавец правда что-то отправил, а посылка уже дошла!

Распаковка: https://www.youtube.com/watch?v=OzkvEWqMNY8

Не покупайте фейковые Флипперы.

Это уже не новость, но кажется ещё не все в курсе. Поэтому решила-таки об этом написать.

Zoom должен будет заплатить штраф в размере $85 миллионов в ответ на коллективный иск на основании того что Zoom публично соврали по поводу использования сквозного шифрования. На деле его там нет, кроме версий, которые хостятся на серверах пользователей. По умолчанию сервера Zoom, включая и те которые расположены в Китае, хранят ключи шифрования позволяющие Zoom иметь доступ к содержанию ваших звонков. Пруф об этом на английском и с подробностями:

https://arstechnica.com/tech-policy/2021/08/zoom-to-pay-85m-for-lying-about-encryption-and-sending-data-to-facebook-and-google/

Поэтому призываю всех — используйте надёжные альтернативы. Например, big blue button.

The record of a recent stream with CNCF Ambassador, Saiyam Pathak, dedicated to Deckhouse Platform is available for watching on YouTube. The subjects covered include the motivation behind Deckhouse, how and why this project was created, what is the platform, how it works, and what it brings to the Kubernetes users, and a short demonstration of Grafana dashboards in Deckhouse. Enjoy!