Наткнулся недавно на достаточно неплохую подборку Container CVE List в:
- Kubernetes
- runc
- ContainerD
- Docker

Начинание хорошее, главное, чтобы поддерживалось актуальное состояние. Так о самих у уязвимостях я пишу и на данном канала [1,2,3,...], а еще как я писал ранее - можно следить за этим всем с помощью специальных поисковых запросах в репозитории проекта Kubernetes.

LastPass выпустила отчет "Psychology of Passwords", оценив практику работы с паролями среди почти 4000 специалистов по ИБ. Результаты интересные. 92% считают, что использовать те же пароли или их вариации небезопасно, но при этом 65% ровно это и делают. А 45% вообще не меняли пароли в последние годы, даже если знали, что сервисы, где использовали эти пароли, пострадали от утечек или были скомпрометированы. Основная причина такого нелогичного поведения - 68% просто боится забыть новый пароль. При этом 90% респондентов имеют не менее 50 учетных записей в различных онлайн-сервисах и приложениях и это число выросло на 50% по сравнению с прошлым годом.

92% считают незазорным использовать в паролях какую-либо публично известную персональную информацию - тот же день рождения или часть домашнего адреса. Рост использования MFA на работе и в личных целях вырос до 76% респондентов (на 10%). С другой стороны 47% пользователей не поменяло своих привычек при переходе на удаленку во время пандемии и почти столько же (46%).

180 дней бесплатные курсы по Google cloud и 1 месяц бесплатная сертификация. есть 2 специализации по безопасности.
предложение ограничено первыми 100 000 зарегистрировавшимся.

https://www.coursera.org/promo/google-cloud-free-courses-2021

для тех кому интересно глубоко погрузится в криптографию рекомендуем серию семинаров

«Математические методы криптографического анализа»!

С целью обеспечить лучшее представление слушателей о характере очередного заседания, анонсы докладов будут сопровождаться пояснениями о виде предстоящего заседания (доклад/лекция или обсуждение), а также о категории обсуждаемых вопросов.

Список категорий, которые представляется логичным выделить для характеризации тем семинаров:
1. Проблемы математической криптографии – разработка и иерархия математических моделей в криптографии, общие подходы к анализу криптографических механизмов и протоколов.
2. Криптографические примитивы и математические задачи криптографии – вопросы синтеза и анализ конкретных примитивов, а также методы решения важных для криптографии вычислительных задач.
3. Криптографические протоколы и анализ их стойкости – синтез и анализ протокольных решений.
4. Математические аспекты реализации криптографических механизмов – задачи создания безопасных и эффективных реализаций.

В рамках каждой из категорий могут быть представлены как новые результаты, так и обзорные доклады. Отнесение каждого доклада к той или иной категории мы всегда будем согласовывать с автором. Безусловно, некоторые доклады могут выходить за рамки одной категории.

Видео записи прошедших семинаров можно скачать по ссылке: https://yadi.sk/d/c00VAq9mhTeuFQ

РАССЫЛКА: Если Вы знаете кого-нибудь, кто не получает письма с расписанием работы семинара, но очень хотел бы их получать, то попросите его написать письмо с просьбой внести его адрес в список адресов для рассылки. Письма просьба присылать на MathMethodsOfCryptanalysis@mail.ru

Небольшой анонс.

После завтра, а именно 13 октября в 19:00 (Мск) будет вебинар «Дыры и заборы: безопасность в Kubernetes», который является по сути предваряющим курс "Безопасность в Kubernetes" на площадке СЛЁРМ.

Я решил также внести свою небольшую, посильную лепту в этот образовательный проект для широкой аудитории. Не только же корпоративные тренинги читать =)

Доброе понедельничное утро!

Однажды мы удостоились репоста одного из ведущих в стране спецов по информационной безопасности, прожившего довольно долгое время в Северной Америке и потому на своей шкуре ощутившего разницу между тем, как обращаются с реальностью представители нашей части мира и тамошние жители.

И этот самый спец не просто нас репостнул, а добавил к тексту очень важную вещь про то, как наши и американцы относятся к изобретательству и предпринимательству. Дело в том, что у нас сначала принято что-то сделать, а потом попытаться понять, можно ли это продать и кому. А у американцев – наоборот. Сначала ты находишь проблему конкретного человека и обещаешь ему ее решить, а потом – думаешь, как это сделать.

Поэтому американцы не смеются над нашим анекдотом про двух бизнесменов, договорившихся, что один другому продаст цистерну нефти за тысячу долларов, после чего один пошел искать цистерну нефти, а второй – тысячу долларов. Для них это – норма жизни и практически девиз. FITUMI – Fake It Till You Make It.
И поэтому у нас обычно проблемы в стиле «запилили офигенный продукт, а он никому не нужен», а у американцев – «наобещали с три короба, а потом уткнулись в неразрешимую инженерную задачку». Такая вот разница в вопросе толерантности. К ошибкам, конечно, не подумайте чего.

Забавным образом это сочетается и с другим культурным различием (идут ли эти черты всегда вместе или нет – вопрос к культурологам, но для американцев и наших – точно идут). Так называемая пирамида Минто, она же top-down метод – это основа основ деловой коммуникации у разных там англосаксов. Сначала – проблема, потом сразу решение, потом аргументы, доказательства, теории, если до них вообще доходит дело.

В нашей же части мира все наоборот – после констатации проблемы идет теоретическое обоснование подхода к ее решению, потом приводятся аргументы за и против разных подходов и прочая теза с антитезой, и только потом, в результате синтеза (это когда «они сошлись вода и камень, стихи и проза, лед и пламень») случается вывод и решение. Такое обожают ученые, инженеры и русские с немцами, и терпеть не могут продавцы, топ-менеджеры и разного рода англосаксы.

Хотя топ-менеджеры и инженеры тоже разные бывают, тут уж как пойдет. Один наш источник вспоминает, как его компания, гендиректор которой обладал фундаментальным русским образованием в точных науках, купила за бешеные деньги американского инженерного спеца из мирового IT-гиганта, инновации развивать.
Но вышла незадача. Спец этот мало того, что был американцем, так еще и вырос в корпоративной культуре, где у топ-менеджеров нет времени обсуждать всякие там теории. Так что вышло практически комбо из обеих культурных особенностей.

Наш американец приходил на встречи с гендиректором, делал пятиминутный питч и просил ресурсы и людей. А гендиректор сначала вежливо, последовательно и занудно просил доказать все свои утверждения, начав примерно от Царя Гороха (чем практически наносил американцу личное оскорбление – ведь все же уже написал, и вообще встреча не про доказательства, а про решения скорее принимать). А потом эти самые ресурсы ему не давал, потому что «а на что давать ресурсы, пусть хоть что-то сделает, а то разговоры одни».

Сказать, что оба были жутко фрустрированы – не сказать ничего. И все бы закончилось депортацией американца восвояси, если бы наши герои не сходили в бар, ой то есть, конечно, если бы не нашелся персонаж, последовательно несколько раз объяснявший обоим про разницу в коммуникации – и таки в итоге объяснивший.
Профессию мудрого персонажа предоставим читателям гордо воображать самим.

Хорошей недели!

Synopsys выпустил свеженький отчет по безопасности open source. Как и в прошлый годы развенчивается миф о том, что open source более защищенный, чем проприетарный софт из-за того, что его якобы смотрит больше людей. Открытость софта мало влияет на безопасность, что не мешает противникам проприетарного ПО и сторонникам открытого продолжать стоять на своем (хоть это и больно).

Kubernetes Security Checklist and Requirements

В канале было много того, что касается безопасности ванильного Kubernetes, но, когда дело доходит до составления перечня требований или чеклиста для аудита, так или иначе приходится тратить время для сведения всего этого воедино. Чтобы упростить эту задачу мы зарелизили собственный чек-лист безопасности k8s: Kubernetes Security Checklist and Requirements 🎉

Здесь важно отметить,что этот чек-лист - это лишь один из путей повышения безопасности кластера. Этот путь самый сложный и во многом самый противоречивый и утрированный. Многое из того, что здесь есть, запросто может не подойти для вашей инфраструктуры в силу культуры или технических ограничений. Все это сделано с той целью, чтобы напомнить вам о тех мерах, про которые вы могли забыть, но для вас они подходят больше всего. PR'ы приветствуются!

Кстати, есть также версия на русском.

#k8s #ops