Самая бесполезная docker-команда

Всем привет!

Небольшой пятничный пост, чтобы немного поднять вам настроение. В статье Автор описывает самую бесполезную docker-команду.

Собственно, вот она:

docker run -ti 
    --privileged 
    --net=host --pid=host --ipc=host 
    --volume /:/host 
    busybox 
    chroot /host

А почему? А потому что можно! А зачем? Кто его знает 😊

P.S. Хотя, бывают случаи, что это и правда нужно для debug в определенных условиях (например, в Fedora CoreOS). Но и тут есть специализированные инструменты, о которых мы писали ранее

Semgrep Assistant

Всем привет!

Наверное, каждый задумывался о том, чем ему могут быть полезны нейронные сети. ИБ-специалисты не исключение. Возможно, вы задавались вопросами: «А может ли сеть анализировать результаты на наличие false-positive? Делать triage?» или нечто другое.

Команда Semgrep не исключение. Последние месяцы они проводили тестирование Semgrep Assistant. Его задача – помогать идентифицировать false-positive и писать правила для анализа.

Каков результат? По мнению команды тестирования – с анализом false-positive "полет нормальный" и им вполне можно пользоваться. А вот с написанием правил ситуация иная – он сможет помочь в написании базовых правил, сложные пока ему не даются.

Подробнее про путь Команды и про дальнейшие планы можно прочесть в статье. Есть еще одна хорошая новость! Сейчас Assistant доступен всем желающим (для GitHub) и можно «включить» эту опцию, если захотите попробовать самостоятельно.

GitLab: Hardening

Всем привет!

В статье приводится минималистичный перечень рекомендаций, который позволяет повысить уровень безопасности GitLab.

В нем указаны:
🍭 Реализовать многофакторную аутентификацию
🍭Настроить дополнительные sign-up checks
🍭Ограничить видимость проектов и групп
🍭 Реализовать hardening SSH
🍭 Настроить ограничения (лимиты) для учетных записей
🍭 Обезопасить секреты в CI
🍭 Настроить защиту веток для CI

«Хм, очевидно же!» - можете подумать вы. Все так! Но самое интересное в завершении статьи. Ссылка на официальную документацию GitLab, где можно найти расширенный перечень рекомендаций по безопасности GitLab и материалы по его hardening.

Kraken: P2P Docker Registry

Всем привет!

Герой сегодняшнего поста – Kraken – разработка Uber, которая представляет из себя P2P Docker Registry. Во главу угла поставлена масштабируемость и доступность.

Концептуально представляет из себя набор хостов, которые являются seeder’ами, агенты, которые устанавливаются на узлы кластера и набор дополнительных компонентов, которые управляют работой всей сети.

Может подойди, если у вас в инфраструктуре есть большое количество узлов и потребность в распространении образов. В repo можно найти benchmark, в которого указано время загрузки 3G Docker image на 2600 узлов, при этом загрузка осуществлялась параллельно.

Подробнее прочитать про Kraken и его возможности можно в документации из repo проекта.

State of Open Source Security

Всем привет!

В приложении можно найти легкое пятничное чтиво. Отчет, посвященный open source от Snyk.

Внутри можно найти:
🍭 Статистику по сканирования приложений
🍭 Данные об использовании средств защиты цепочки поставки ПО
🍭 Способы проверки open source компонентов
🍭 Сведения о том, как часто Компании сталкиваются с проблемами при использовании open source и не только

Отчет небольшой (~ 19 страниц), много инфографики и выводов.

Устройство сети Kubernetes

Всем привет!

Весьма объемная статья (~ 36 минут), в которой очень детально описано устройство сети Kubernetes. Начиная с простого создания pod sandbox, создания правил маршрутизации при помощи kube-proxy и разрешения имен с использованием CoreDNS, Автор все глубже погружает читателя в то, что происходит «под капотом».

А что может быть лучше для таких целей, чем самим побыть в роли Kubernetes и реализовать то, что он реализует самостоятельно (ну почти)? Ни-че-го!

Автор реализует следующие шаги:
🍭 Создание сетевых пространств имен Client и Server
🍭 Настройка сетевой связности между этими пространствами имен с использованием bridge
🍭 Реализация аналогичных активностей, но теперь Client и Server находятся на разных хостах. Использованием eth0
🍭 После этого Автор возвращается к сущностям Kubernetes и объясняет устройство сети уже с их использованием

И, что самое классное – все команды есть в статье! А также много-много-много схем, которые позволяют улучшить понимание того, что происходит.

Testing Handbook

Всем привет!

Команда Trail Of Bits (если кто не знает, то именно эта контора делала один из аудитов ИБ Kubernetes, в 2019) анонсировала Testing Handbook!

Со слов Авторов, это «shortest path for developers and security professionals to derive maximum value from the static and dynamic analysis tools». Материал создан на основе опыта Trail Of Bits, полученного при анализе проектов.

Пока что доступна только первая глава, посвященная Semgrep. В ней можно найти:
🍭 Установка и первые шаги
🍭 Advanced usage
🍭 Интеграция в CI
🍭 Ссылки на дополнительные ресурсы

Надеемся, что ребята не забросят этот проект и Handbook будет только наполняться информацией. А мы, в свою очередь, будем держать вас в курсе ☺️

Supply Chain Security для Golang

Всем привет!

По ссылкам доступен набор статей от Google, посвященный безопасности supply chain при использовании Golang.

В них рассматривается:
🍭 Управление уязвимостями в Golang. Использование OSV и govulncheck, который не только идентифицирует уязвимости в используемых компонентах, но и показывает «что реально используется»
🍭 Существующие атаки на зависимости и что Golang может предложить. Например, Go Checksum Database, в которой содержится информация о SHA-256 hash для всех публично доступных Golang модулей, что позволяет контролировать целостность
🍭 Shift Left (куда без него 😊). VS Code Extensions и FUZZ тестирование

В статьях много интересных ссылок на дополнительные источники информации. А все упомянутые проекты – open source, можно брать и смотреть!

State of Kubernetes Security Report

Всем привет!

В приложении доступен отчет от Red Hat, посвященный безопасности Kubernetes. Все «стандартно» для такого рода материалов.

Внутри можно найти:
🍭 Наиболее «распространенные» инциденты ИБ
🍭 Основные опасения при использовании контейнеров (ну хоть тут ИБ «победила» 😊)
🍭 Распределение ответственности за безопасность k8s
🍭 Самые «популярные» типы misconfigurations
🍭 Какие open source инструменты чаще всего используются и не только

Отчет небольшой (~16 страниц), ничего лишнего – только данные и выводы.

OSC&R: техники и тактики атак на software supply chain

Всем привет!

На сайте можно ознакомиться с «братом меньшим» матрицы MITRE – OSC&R (Open Software Supply Chain Attack Reference).

Материал содержит набор тактик и техник, которые могут быть использованы для совершения атак на цепочку поставок ПО. Сгруппирован, как и «старший брат», по шагам kill-chain.

Кроме этого, материал структурирован по разделам:
🍭 Container Security
🍭 Open Source Security
🍭 SCM Posture
🍭 Code Security и т.д.

Для каждой тактики есть кратко описание и меры, которыми можно воспользоваться для противодействия.

Headlamp: yet another Kubernetes UI

Всем привет!

Если вам хочется попробовать еще один Web UI для Kubernetes, отличный, например, от Lens или k9s, то можно попробовать Headlamp.

Продукт разрабатывался командой Kinvolk, которая стала частью Microsoft. HeadLamp легковесен, прост в установке и использовании. И, конечно же, open source.

При помощи него можно:
🍭 Получать сводную информацию о кластере / кластерах
🍭 Реализовывать R/W-операции на основании предоставленных прав
🍭 Устанавливать в кластер или локально
🍭 Обладает системой «расширений» за счет plugins

Подробнее про него можно узнать в статье или в документации.

Jless: удобный просмотр json-файлов

Всем привет!

Возможно, вы когда-нибудь задумывались: «Эх, было бы классно совместить vim и jq!». Чтож, вы не одиноки!

Jless – утилита, которая как раз реализует подобное, позволяя упростить просмотр json-файлов прямо в терминале. И, самое главное, по заверению разработчиков «Exit jless; don't worry, it's not as hard as exiting vim».

При помощи нее можно перемещаться по файлу, используя привычные j, k, /searchpattern и многое другое.

С небольшой демо можно ознакомиться прямо на сайте, User Guide доступен тут, а исходники – на GitHub ☺️

Друзья, у нас внутри разгорелся жаркий спор на тему блокирования сборок и коммитов в реальной жизни, а не в документах. Мы решили вынести этот вопрос в такое вот голосование 😊

Эксплуатация RBAC и persistence в k8s

Всем привет!

В статье от Aqua Security разобрана атака, которая была совершена на один из их honeypot-кластеров.

Все вышло достаточно просто:
🍭 Некорретная настройка kube-apiserver, которая позволяла создавать ресурсы в кластере
🍭 Создание ClusterRole kube-controller в namespace kube-system
🍭 Создание DaemonSet с crypto-miner

С одной стороны – еще один пример, связанный с некорректной конфигурацией кластера. С другой стороны, образ, который использовался в DaemonSet был скачан более 14 000 раз.

Поэтому даже «да тут все понятно»-практики являются достаточно значимыми для обеспечения ИБ кластера и не стоит забывать их реализовывать.

P.S. В завершении статьи можно найти mapping рассмотренного сценария на матрицу MITRE.

Kyverno: написание политик с CEL

Всем привет!

Kyverno – одна из популярных реализаций Admission Controller, который позволяет осуществлять validating, mutating и generating операции с ресурсами Kubernetes.

Написание политик очень напоминает подготовку обычных манифестов, которые везде используются в Kubernetes и является достаточно простым.

И вроде бы все хорошо, но в Kubernetes версии 1.26 был добавлен функционал Validating Admission Policies, которые используют CEL – Common Expression Language. Возможно, Вам он понравился и хочется использовать в Kyverno!

В статье Автор рассказывает о том, как и когда это можно будет реализовать. Для этого берется базовый пример – контроль hostPathMount, который реализуется сперва «привычным» способом, а потом через CEL-политику.

В завершении демонстрируется то, как можно параметризировать политики и что для этого требуется. Все примеры детально расписаны и достаточно наглядны, чтобы определиться с тем, какой вариант реализации политик Вам больше по душе ☺️

Платформа управления контейнерами на базе Kubernetes «Штурвал»

✅Команда «Лаборатории Числитель» выпустила новый ролик.

Александр Краснов, CTO «Штурвала» об особенностях платформы:

🍭Автоматизирует управление кластерами Kubernetes — осуществляет их развертывание и управление конфигурациями, узлами и системными сервисами
🍭Разработана с использованием Open Source-решений и содержит компоненты собственной разработки
🍭Готова к установке в закрытых контурах и средах без доступа к интернету
🍭Позволяет снизить риски информационной безопасности за счет централизации функций управления кластерами и исключения необходимости подключения к ним напрямую
🍭Позволяет быстро предоставить разработчикам необходимые сервисы и ускорить time-to-market продуктов

Смотрите на YouTube-канале «Лаборатории Числитель»

WAF Testing Dataset

Всем привет!

Защита приложений не заканчивается в момент разработки и/или тестирования. Защита ПО в режиме runtime – штука крайне важная и про нее забывать не следует. А Web Application Firewall (WAF) – одна из наиболее часто используемых технологий для защиты web-приложений.

При выборе решений практически всегда встает вопрос – какое из них лучше и какое нужно выбрать? Вариантов решения задачи множество – от «аналитических таблиц», до проведения пилотных проектов.

Но что может быть лучше, чем проверить WAF «нагрузив его, как следует»? Ничего! Но есть нюанс: где взять те самые данные для проведения «нагрузочного тестирования»?
Ответом может стать проект «Web Application Firewall (WAF) Comparison Project» от open-appsec (CheckPoint).

Внутри можно найти 973,964 различных http-запросов, сгруппированных по 12 категориям. Дополнительно в набор входит 73,924 вредоносные нагрузки (malicious payload), в которых представлены: SQL Injection, XSS, XXE, Path Traversal, Command execution, Log4Shell и Shellshock.

А если не хочется тестировать самому, но любопытны результаты – то есть вот такая статья, в которой сравнили Microsoft Azure WAFv2, AWS WAF, F5 Nginx App Protect WAF и CloudGuard AppSec. Результаты, аналитика, таблицы и много-много-много данных.