Burp Suite: Deep Dive!

Всем привет!

Вы наверняка слышали про Burp Suite. Его часто используют при тестировании на проникновении или анализе защищенности ПО.

Если хотели узнать про него больше, но не знали с чего начать, то сегодняшний пост может вам подойти!

По ссылке доступе набор видео-уроков, включающих в себя рассказ про:
🍭 Basics (целых 5 видео 😊)
🍭 Advanced Scoping
🍭 Sitemap и Scanner
🍭 Repeater и не только

Всего доступно 21 видео, в среднем по 15-17 минут каждое. Помимо этого, если интересна тематика безопасности web-приложений, то однозначно стоит посмотреть в сторону Web Security Academy.

Где лучше всего (не) хранить секреты?

Всем привет!

Есть очень популярная и правильная рекомендация – не хранить секреты в исходном коде, конфигурационных файлах и т.д. Но настолько ли все плохо и действительно ли их быстро «уведут»?

Чтобы проверить эту гипотезу Автор статьи решил провести эксперимент. Он создал несколько canary tokens – специальные «метки», которые сообщат, если кто-то попробует ими воспользоваться.

После чего Автор разместил их на разных ресурсах:
🍭 Публичные репозитории: GitHub, GitLab, BitBucket, DockerHub
🍭 «Собственные» ресурсы: FTP-сервер, Блог
🍭 SaaS-сервисы: Pastebin, JSFiddle
🍭 Пакетные менеджеры: NPM, PuPi
🍭 Облачные хранилища: AWS S3, GCP Google Cloud Storage

В результате эксперимента была собрана очень интересная аналитика, которую Автор детально описал в статье.

Какое ваше мнение? Откуда быстрее всего «забрали» секреты? Пишите в комментариях!

P.S. А если очень не терпится, то увы! ) статья очень интересная и мы настойчиво рекомендуем ее прочесть 😊

Как работает kubectl port-forward?

Всем привет!

Если вы когда-нибудь задумывались о том, что именно происходит в случае реализации команды kubectl port-forward и искали ответ, то он есть в статье!

Автор подробно описывает, что происходит:
🍭 Инициализация: kubectl port-forward
🍭 AuthN/Z, реализуемый на стороне kube-apiserver
🍭 Получение информации о pod
🍭 Установка сессии
🍭 Настройка iptables
🍭 Взаимодействие с pod через port-forward

Все это оформлено в виде наглядной sequence-диаграммы. Ссылку на нее можно найти в статье.

Кстати, Автор делал это не из праздного интереса, а для разработки собственной утилиты – kftray. Сам он описывает ее так: «kubectl port-forward on steroids!».

Если кратко, то она позволяет не терять соединение, даже в случае «смерти» pod, поддерживает разные протоколы, записывает логи и не только. Подробности – в repo проекта!

Разработка, найм и социальная инженерия!

Всем привет!

Допустим, вы – специалист, который ищет работу, так или иначе связанную с разработкой: от полноценного ПО до приятных утилит для автоматизации чего-либо.

И вот однажды получаете сообщение по почте, что ваше резюме интересно работодателю!

Talk is cheap. Show me the code! (c) Linus Torvalds

И что может быть лучше, чем пройти небольшое тестовое задание?

Например, вас попросят добавить некий новый функционал в тестовый проект или потребуется устранить некий недостаток. Конечно, после изменения кодовой базы, надо проверить, что все работает. «Рекрутер» попросит запустить приложение и сделать screenshot, который подтвердит, что все в порядке.

И вроде бы все хорошо, но есть нюанс… Он заключается в том, что это может быть достаточно хорошо реализованная социальная инженерия. И нет, это не домыслы, это реальный случай, который нашла команда из ReversingLabs. Подробнее про него можно прочесть в статье – там описан «полный цикл».

Да, есть множество способов решать задачки по программированию – от online-площадок, до полностью самостоятельного написания кода «у себя». Но социальная инженерия «бьет» по самым больным местам. Вдруг вы получили письмо от компании, в которой всегда хотели работать? И вот уже открыть архив не кажется странным.

Будьте бдительны ) И не забывайте о том, что самое слабое звено в любой системе защиты – это мы с вами 😊

Supply chain атака на PyPi: Revival Hijack

Всем привет!

«Как только пакет удаляется из PyPi, его имя сразу становится доступно для регистрации». Directed by Robert B. Weide.

Наверное, тут уже не «кажется, что что-то может пойти не так», а прямо кричит об этом. Особенно учитывая то, насколько Supply Chain атаки «популярны».

Сценарий крайне простой:
🍭 Пользователь работает с пакетом X версии 1.42
🍭 «Владелец пакета» удаляет его из PyPi
🍭 Злоумышленник регистрирует пакет X версии большей, чем 1.42. Но только уже совсем с иным «содержанием»
🍭 Пользователь обновляет пакет…

И это не typosquotting, где пользователь ошибся. С его точки зрения это вполне легитимная операция.

Команда JFrog, нашедшая указанный недостаток, написала отличную статью, в которой все описано в мельчайших подробностях. От теории до PoC с примерами, скриншотами и всем необходимым для более глубокого погружения.

На этом ребята не остановились и пошли дальше! Они «прикинули» сколько пакетов подвержено этой атаке. Т.е. были недавно удалены. Оказалось, что таких – 22 000! При этом, в среднем в месяц удаляется около 309 пакетов.

Но есть и хорошие новости! Чтобы защитить community, специалисты JFrog создали Security Holding. Он загружает «пакет-заглушку» для наиболее часто скачиваемых пакетов, что были удалены. И понижает версию до 0.0.0.1, что позволяет минимизировать вероятность dependency confusion.

И даже это еще не все… 😊 Крайне рекомендуем к ознакомлению! Читается на одном дыхании!

JET Pilot: UI для Kubernetes

Всем привет!

Если вы из тех, кому нравится выбор, и вы любите смотреть на разные технологии, решающие одну и ту же задачу, но по-разному, то JET Pilot может вас заинтересовать.

Это минималистичный UI для Kubernetes, который позволяет:
🍭 Получать информацию о ресурсах кластера
🍭 Смотреть и редактировать их конфигурацию
🍭 Анализировать логи в real time
🍭 Получать shell-доступ внутрь контейнера

Каких-то явных преимуществ в сравнении с Lens или k9s у него нет. Но у всех свои вкусы )

Например, тот, кто написал этот пост любит k9s и не очень любит использовать Lens 😊

KubeAdmiral: multi-cluster orchestration engine!

Всем привет!

В начале своей деятельности команда ByteDance использовала подход, в котором для каждого бизнес-направления использовались собственные кластеры Kubernetes.

Со временем, ребята поняли, что такой подход имеет ряд существенных ограничений с утилизацией ресурсов и поддержкой отдельно взятых инсталляций.

Это привело к дому, что они начали «копать» в сторону реализации федеративных кластеров. И сперва использовали для этого KubeFed.

Концепт состоит в том, что есть host и member кластеры. Пользователь может создать federated-ресурс на host кластере, после чего он будет создан в member-кластерах.

Однако, и у такого подхода есть недостатки: поддержка ограниченного количества ресурсов для scheduling; возможные проблемы, связанные с rescheduling и не только.

Все описанное выше привело к тому, что был создан KubeAdmiral! Он позволяет централизованно управлять множеством кластеров и не содержит недостатков, которые есть у KubeFed.

Подробнее о нем можно прочесть в статье, repo проекта или в документации.

VEX Hub: агрегация информации по VEX-отчетам

Всем привет!

Vulnerability Exploitability eXchange (VEX) – удобный формат обмена информацией о том, подвержено ли некоторое ПО уязвимости X или нет. Или при каких условиях. VEX может быть частью SBOM, а может жить «самостоятельной жизнью».

Его задача достаточно проста – обогащение информацией. Процесс управления уязвимостями (Vulnerability Management), вероятно, больше всех прочих нуждается в множестве данных, которые помогут принять решение и расставить приоритеты.

Как иначе понять, за какую из 100 Critical-уязвимостей браться в первую очередь, при условии, что «мощность» команды на устранение в нужный период лишь 40 штук?

Для того, чтобы немного упростить жизнь, команда Aqua Security анонсировала VEX Hub! У него крайне простое назначение – агрегировать VEX-данные от различных производителей и централизованно предоставлять информацию пользователям.

Работает по следующему принципу:
🍭 Maintainer repo создает папку .vex в корне и помещает в нее отчет
🍭 Maintainer делает PR в VEX Hub с просьбой добавить его для сбора информации
🍭 Crawler Aqua собирает данные и агрегирует все в едином repo
🍭 Все!

Больше подробностей можно узнать в repo проекта или в статье от Aqua Security. Да, наполнение пока «не очень», но и проект анонсировали недавно. Интересно будет наблюдать за его развитием 😊

P.S. Кстати, Trivy, начиная с версии v0.54 может работать с VEX для предоставления еще большей информации об уязвимостях.

Top100 Vulnerabilities: Step-By-Step

Всем привет!

В приложении вы найдете файл, в котором рассматриваются наиболее известные уязвимости. Например, SQLi, XSS, SSI, Brute Force и т.д.

Для каждой из них описано:
🍭 Параметры. Фактически – причины, из-за которых уязвимость возникает и ее можно эксплуатировать
🍭 Воспроизведение. Верхнеуровневый алгоритм, который позволит ей «воспользоваться»

Не стоит искать в документе алгоритма в стиле «делай 1,2,3 и реализуешь SQLi» - его там не будет.

Однако, в нем можно найти общие концепты, которые помогут лучше понять происходящее и как от него можно и нужно защищаться.

Диаграммы на любой вкус и цвет!

Всем привет!

Многие люди гораздо проще готовы воспринимать информацию, представленную в виде графики, а не текстового описания.

Если вы из таких, то этот легкий пятничный пост точно для вас! На сайте собрано невообразимое количество различных схем.

Например, можно найти:
🍭 Infrastructure as Code
🍭 API Security Cheatsheets
🍭 Объяснение принципов работы аутентификации (Password, Session, Cookie, Token, JWT, SSO, OAuth)
🍭 Good Coding Principles to Improve Code Quality и много чего еще

Помимо самой схемы-диаграммы есть небольшое описание или ссылка на видеоролик, в котором можно найти больше информации

P.S. Всех с пятницей и отличных вам выходных!!! 😊

Shift Left/Right с использованием Trivy

Всем привет!

Trivy – достаточно известный инструмент от Aqua Security, который используется для идентификации уязвимостей и некорректных конфигураций в образах контейнеров. Такой вот «швейцарский нож», который много чего умеет.

Многие уже знают, что это и как с этим работать. А если вы еще не пробовали, то рекомендуем вам вот эту статью. В ней Автор показывает, как работать с Trivy и Trivy Operator.

Например:
🍭 Сканирование образов на наличие уязвимостей
🍭 Сканирование конфигурационных файлов для идентификации проблем
🍭 Анализ файловой системы для поиска чувствительных данных
🍭 Запуск Trivy Operator для анализа образов, из которых запущены контейнеры в кластере Kubernetes
🍭 Отправка данных в Grafana и последующая визуализация

Ничего «сверхъестественного», просто хорошая обзорная статья, в которой рассматриваются разные режимы работы Trivy и «точки интеграции» в процессы безопасной разработки. А еще внутри можно найти наглядные и полезные sequence-диаграммы 😊

ChatGPT против Snyk!

Всем привет!

«Когда я впервые попросил написать ChatGPT *что-то* я был приятно удивлен результату! Казалось, что это может сэкономить кучу времени!» - так Автор начинает свою статью. Наверное, эта мысль отзывается многим.

Но так ли все хорошо на самом деле? Для ответа на этот вопрос Автор проделал простой эксперимент: он попросил ChatGPT написать ему конфигурацию для создания S3 Bucket при помощи Terraform.

Полученный результат Автор проанализировал с помощью Snyk и нашел достаточно много нюансов, связанных с ИБ. Да, впоследствии (согласно условиям эксперимента) скрипт был адаптирован силами того же ChatGPT и улучшен, но не факт, что ИБ-проблемы исчезли на 100%.

Из этого небольшого эксперимента можно сделать несколько выводов:
🍭 «Prompt engineering» - крайне важная вещь. ChatGPT не будет «додумывать» за вас что вам надо. Ему надо явно ставить задачу
🍭 AI/LLM – не панацея и все результаты, полученные с их помощью надо проверять. Поэтому не следует убирать проверки из ваших CI-конвейеров
🍭 Пока что AI/LLM могут выступать в качестве хорошего помощника, который может решить «проблему чистого листа», но не более

Вроде бы это и очевидно, но как соблазнительно все выглядит – хочется просто взять и скопировать результаты, запустить приложение и радоваться! Однако, доверяй, но проверяй.

Небольшие Kubernetes Quizzes!

Всем привет!

Есть очень хороший ресурс, посвященный Kubernetes – Learnk8s. Помимо множества обучающих материалов, команда сделала набор задач, посвященных тонкостям работы технологии контейнерной оркестрации.

Например:
🍭 Counting endpoints (как и сколько endpoints будет у Service)
🍭 Waiting for miracle (как работает shutdown)
🍭 I said stop (как «оттянуть» время удаления Pod)
🍭 Designing shared clusters (какую архитектуру выбрать)
🍭Kernel panic (время паниковать? 😊)

На текущий момент доступно 19 таких «статей». Все приводить мы не стали, полный список можно найти по Автору – Daniele Polencic. Для каждого задания приводится условие, варианты ответов и непосредственно ответ с пояснениями.

Рекомендуем, прежде чем читать ответ, подумать, что именно будет происходить и почему 😊 Очень увлекательно!

Как контейнер устроен «внутри»?

Всем привет!

Сегодня хотим поделиться с вами еще одной теоретической статьей из цикла «как оно устроено». Такие статьи помогают лучше разобраться в технологии, в том, чего от нее ожидать и, как следствие, как ее можно защищать.

Если упростить, то контейнер это:
🍭 Один или несколько процессов, выполняемых пользователем (Processes)
🍭 Он изолирован от ОС, на которой запущен (Namespaces)
🍭 Также он ограничен в доступных ресурсах (Cgroups)
🍭 У него есть собственная файловая система, независимая от ОС, на которой он запущен (Chroot)

Да, описание не совсем корректное и его можно улучшить, но оставим его для упрощения восприятия.

В статье Автор описывает что такое Processes, Namespaces, Cgroups и Chroot. Далее он предлагает создать «аналог контейнера» с использованием Golang: код и комментарии на месте.

Создание идет «по нарастающей» - от простого вывода в stdout до «изоляции и ограничения» с использованием Namespaces и Cgroups.

Безопасность Kubernetes: руководство новичка!

Всем привет!

Сегодня хотим предложить вам чтение на выходные! Статья про безопасность Kubernetes для начинающих, ~ 30 минут для прочтения.

Начинается все с постепенного погружения: что такое Kubernetes, из каких компонентов он состоит и зачем они нужны, какие задачи выполняют. Что такое ConfigMaps, Secrets, Volumes, Namespaces и т.д.

Дальше Автор углубляется в вопросы ИБ:
🍭 Общие концепты. Вопросы, связанные с AuthN/Z, использование Admission Controller, Pod Security, RBAC и т.д.
🍭 Векторы атак. Примеры тактик и техник, с «привязкой» к этапам kill chain
🍭 Реагирование и расследование. Набор рекомендаций для идентификации событий ИБ, характерных для сред контейнерной оркестрации

Таким образом статья представляет из себя отличный обзорный материал, в котором собрано все необходимое для того, чтобы начать погружаться в безопасность Kubernetes.

Контроль целостности образов в Kubernetes

Всем привет!

Контроль целостности образов, запускаемых в кластере Kubernetes – важный аспект безопасности цепочки поставки (Supply Chain Security).

В статье Автор предлагает реализовать его с использованием нескольких Open Source решений: Cosign, Kyverno и HashiCorp Vault.

Получается следующая схема:
🍭 Cosign подписывает образ в CI/CD
🍭 Ключ, используемый для подписи, хранится HashiCorp Vault
🍭 Kyverno проверяет наличие и валидность подписи перед тем, как запустить образ. Также она контролирует, что образ «извлекается» из доверенного источника

Как все это настроить, какие политики нужны для Vault и Kyverno, как это «соединить вместе» - очень детально описано в статье. С примерами и комментариями Автора 😊

Application Security Cheat Sheet!

Всем привет!

По ссылке можно найти «сборник cheat sheets», посвященных Application Security. Cheat sheet – это небольшая «шпаргалка», в которой содержится «выжимка» по некоторой теме.

Что есть внутри:
🍭 Контейнеры. Основные принципы технологии, способы «побега»
🍭 Linux. Немного про основы и bash tips
🍭 Мобильные приложения. iOs и Android
🍭 Web Application. Cookie Security, CORS, Race Condition и многое другое

Можно найти сведения как об атаках, так и о способах защиты. Из плюсов – cheat sheets, как правило, весьма «конкретные и явные», из минусов – теорию и понимание основ с них поиметь сложно (а это важно 😊).