Выложены доклады с Open Source Summit + Embedded Linux Conference + OSPOCon 2021

https://www.youtube.com/playlist?list=PLbzoR-pLrL6q8QMGJ4dFnqejkHDm76kJV

Программа тут
https://osselc21.sched.com/

​​AWS Architecture Monthly Magazine

Хочется чего-нибудь почитать по AWS, возможно, в пути или где вообще нет интернета? Может быть у вас всегда с собой Kindle или же, как я, предпочитаете бумажный вариант?

Есть классное место. Уже несколько месяцев читаю и наслаждаюсь. Ведь это не просто ссылка, которая растворится через какое-то время в вашей ленте. Это можно распечать, засунуть в рюкзак, забыть, а потом получить в лесу, или на даче без связи, истинное удовольствие.

https://aws.amazon.com/architecture/architecture-monthly/

Реально качественные статьи, тематическая подборка по для каждого месяца, лучшие авторы и рекомендации экспертов, подборка видео по теме, решения и описание референсной архитектуры — всё на самом высшем уровне. В pdf версии ссылки кликабельные (в бумажной, к сожалению, нет😀).

Очень рекомендую. Начиная с мая 2021-го года вёрстка и наполнение радикально изменились — каждый месяц увеличивается объём и качество. В AWS вспомнили про нас, кто любит читать бумагу и электронные книжки. Надеюсь, на выходе можно будет подписаться на регулярное издание и получать по (физической) почте.

На картинке журналы AWS Architecture Monthly, cкачать pdf:

▫️ November 2021 IoT for the Edge
▫️ October 2021 Aerospace
▫️ September 2021 Advertising Technology
▫️ August 2021 Sustainability

#design

Новости из помойки NPM

> Проблема была устранена через 6 часов после появления информации об уязвимости, но уявзвимость присутствовала в NPM дольше, чем охватывают логи с телеметрией. GitHub утверждает, что следов совершения атак с использованием данной уязвимости с сентября 2020 года не зафиксировано, но нет гарантий, что проблема не экслуатировалась раньше.

> Напомним, что в соответствии с проведённым в 2020 году исследованием, лишь 9.27% мэйнтенеров пакетов используют для защиты доступа двухфакторную аутентификацию, а в 13.37% случаев при регистрации новых учётных записей разработчики пытались повторно использовать скомпрометированные пароли, фигурирующие в известных утечках паролей. В ходе проверки надёжности используемых паролей удалось получить доступ к 12% аккаунтов в NPM (13% пакетов) из-за использования предсказуемых и тривиальных паролей, таких как "123456". В числе проблемных оказались 4 учётные записи пользователей из Top20 самых популярных пакетов, 13 учётных записей, пакеты которых загружали более 50 млн раз в месяц, 40 - более 10 млн загрузок в месяц и 282 с более 1 млн загрузок в месяц.

Уязвимость, позволявшая выпустить обновление для любого пакета в репозитории NPM
https://www.opennet.ru/opennews/art.shtml?num=56167

Лайк, шер https://habr.com/ru/company/flipperdevices/blog/589163/

Среда это маленькая пятница

What's Inside the EU Green Pass QR Code?
https://gir.st/blog/greenpass.html

Service Architecture at SoundCloud — Part 1: Backends for Frontends
https://developers.soundcloud.com/blog/service-architecture-1

Service Architecture at SoundCloud — Part 2: Value-Added Services
https://developers.soundcloud.com/blog/service-architecture-2

Service Architecture at SoundCloud — Part 3: Domain Gateways
https://developers.soundcloud.com/blog/service-architecture-3

Наверное, может быть полезно, но я так и не придумал как я могу для себя использовать.

apt-transport-oci is an apt-get plugin to support distributing *.deb packages over an OCI registry such as ghcr.io .

https://github.com/AkihiroSuda/apt-transport-oci

> DiscordSafety
> выявляли в системе токен сервиса Discord и отправляли на внешний хост

Класс

В каталоге PyPI (Python Package Index) выявлено 11 пакетов, включающих вредоносный код. До выявления проблем в сумме пакеты успели загрузить около 38 тысяч раз. Выявленные вредоносные пакеты примечательны применением замысловатых способов скрытия каналов связи с серверами злоумышленников.

- importantpackage (6305 загрузок), important-package (12897) - устанавливали соединение с внешним сервером под видом подключения к pypi.python.org для предоставления shell-доступа к системе (reverse shell) и использовали для скрытия канала связи программу trevorc2.
- pptest (10001), ipboards (946) - использовали DNS в качестве канала связи для передачи сведений о системе (в первом пакете имя хоста, рабочий каталог, внутренний и внешний IP, в во втором - имя пользователя и хоста).
- owlmoon (3285), DiscordSafety (557), yiffparty (1859) - выявляли в системе токен сервиса Discord и отправляли на внешний хост.
- trrfab (287) - отправлял на внешний хост идентификатор, имя хоста и содержимое /etc/passwd, /etc/hosts, /home.
- 10Cent10 (490) - устанавливал обратное shell-соединение с внешним хостом.
- yandex-yt (4183) - выводил сообщение о компрометации системы и перенаправлял на страницу с дополнительной информацией о дальнейших действиях, выдаваемой через nda.ya.ru (api.ya.cc).

В каталоге PyPI выявлены вредоносные библиотеки, использующие CDN PyPI для скрытия канала связи
https://www.opennet.ru/opennews/art.shtml?num=56190

Backdooring Rust crates for fun and profit

Finally, let’s be honest, who has the resources to carefully audit each one of their dependencies (including the transitive ones), for each update?

I see 3 main axes to reduce the impact and the risks associated with these kinds of attacks.

Firstly, a bigger standard library would reduce the need for external dependencies and thus reduce the risk of compromise.

Secondly, Rust supports git dependencies. Using Git dependencies pinned to a commit can prevent some of the techniques mentioned above.

Thirdly, using cloud developer environments such as GitHub Codespaces or Gitpod. By working in sandboxed environments for each project, one can significantly reduce the impact of a compromise.

https://kerkour.com/rust-crate-backdoor/

За ссылку спасибо @vrutkovs

> «Лаборатория Касперского» представила бесплатную версию свой операционной системы KasperskyOS Community Edition

> Community Edition

На скрине очень Community получилось.

Wooooooow

Today, we’re taking a first step towards that world by announcing support for relational databases, including Postgres and MySQL from Workers.

Неужели я откажусь от Supabase и просто возьму PG где-то "там" ? (и доведу проект до релиза)

https://blog.cloudflare.com/relational-database-connectors/

Тут в СПб 2 декабря "МойОфис" проводит митап оффлайновый. Трансляции в этот раз не завезли.

Systems Engineering meetup: миграция почтовых серверов, автоматизация НТ и ArangoDB для надежного хранения данных

19:00-19:30  —  Миграция почтового сервера. Типовые сценарии и риски / Андрей Колесников, МойОфис
19:30-20:00 — Автоматизация нагрузочного тестирования / Евгений Мальцев, Московский кредитный банк
20:20-20:50 — Применение графовой модели для долгосрочного хранения древовидной структуры метаданных / Алексей Красиков, Гриша Мелихов, МойОфис

Регистрация
https://myoffice.timepad.ru/event/1796620/

Если всё сложится, то может и я доползу.

Fuzzing the Linux kernel yet again

A text version of my PHDays "Fuzzing the Linux kernel" talk is now available in both English and Russian.

Contains an overview of Linux kernel fuzzing approaches and related tips.

Thanks to folks from @xakep_ru for transcribing and translating!

Links to the original talk: slides, video (ru), video (en-dub).

В этот четверг, 25 ноября, собираемся для обсуждения докладов, задаем вопросы докладчикам шестого Big Monitoring Meetup. Доклады можно найти на нашем YouTube канале, задать вопрос в комметариях под видео или в нашем чате: https://xn--r1a.website/monhouse_tech.

Ссылка на доклды конференции: https://www.youtube.com/playlist?list=PL_6HEdnVWofdZwMqErh-eZ4hRF3PxHOyt

Участники встречи:

• Константин Михайлов, CEO в Saymon: Комьюнити версии продуктов Saymon

• Ольга Чаталян, продакт-менеджер в Tinkoff: Технические сложности миграции со спланка

• Николай Храмчихин, Software engineer в VictoriaMetrics: Примеры использования VMPodScrape

• Вячеслав Милованов, Paessler: Какие новые вещи начали мониторить, когда пришли в другой бизнес

• Майк Голубев, Solutions Architect в AWS: Использование Lambda Extensions для интеграции внешних решений мониторинга и observability

Регистрация: https://www.meetup.com/monhouse-tech/events/281711407/

25 ноября в 17:00 (MSK) буду участвовать в вебинаре "Новые вызовы при работе с Kubernetes и как их преодолевать." на площадке СЛЁРМ.

Рассмотрим какие вызовы встают перед компаниями, которые только начинают или уже используют Kubernetes. Посмотрим на это все со стороны разных департаментов: Management, Dev, Ops/SRE, DecSecOps, Security teams. А при рассмотрении различных кейсов коснёмся таких тем как troubleshooting, root cause analysis, optimizations, security и как их можно решить это сторонними OpenSource решениями и решением Luntry.

Будет 4 кейса, буде много live demo и я впервые на большую аудиторию покажу Luntry =)

Чего только не бывает

> We wanted to let you know that, between September 9th and November 18th, the Chromium source tree contained some test Office documents that included some unshielded malware. These samples were inadvertently committed to the repository without obfuscation in the process of testing the security feature to detect the presence of malware distributed through macros in Office documents. These test files were not included in any Chrome release.

[Important] Update your Chromium source code checkout to the latest version
https://groups.google.com/a/chromium.org/g/chromium-dev/c/-Jk-CXbCzEs/m/XYwgky74EwAJ

Запись вебинара. @k8security много полезного и интересного рассказал.

Новые вызовы при работе с Kubernetes и как их преодолевать.
https://www.youtube.com/watch?v=AGT8QK2xy4A

Слайды в комментарии закинул.

Московский слет FPGA разработчиков уже завтра 27 ноября! Начинаем в 10:00

Кто будет в офлайн формате, не забудьте взять пцр, qr или сертификат, и переобувку (весь день в зимних ботах тяжко). Приходите по-раньше, будет кофе и печеньки.
===
Трансляция для онлайн участников начнется в 10:00, ждем вас. Поставьте колокольчик и напоминание, что бы не пропустить. До встречи завтра.
https://youtu.be/zklfrAunxd8
==
PS перешлите ссылку на трансляцию трем знакомым плисоводам 😎

#news Исследователи выявили на портале Госуслуг еще две уязвимости, связанные с использованием Covert Redirect (скрытой переадресации). Важным отличием выявленных уязвимостей является возможность перехвата cookie-файлов при помощи технологии XSS (SSRF). Это позволяет злоумышленникам не только перенаправлять своих жертв на вредоносный ресурс, но и получать доступ к тем социальным аккаунтам, которые авторизованы в их браузере.

https://esia.gosuslugi.ru/aas/oauth2/ac?response_type=code&client_id={данные по запросу}&redirect_uri=http://gosulsug.ru/login/

https://esia.gosuslugi.ru/aas/oauth2/ac?response_type=code&client_id={данные по запросу}&redirect_uri=mailto:yourname@domain.com

@tomhunter