​Микросервисная архитектура уже давно и основательно пришла в нашу жизнь, но как оказалось далеко не везде, где используется контейнерная оркестрация есть модель угроз или хотя бы подходящий список векторов атак для этой платформы. В сегодняшнем материале речь пойдет про моделирование угроз под Kubernetes и к сожалению на эту тему не так много материалов, как хотелось бы.

На сегодняшний день есть всего 3 общественные инициативы:

1. Cloud Native Computing Foundation (CNCF)
https://github.com/cncf/financial-user-group/tree/master/projects/k8s-threat-model
2. NCC Group
https://www.nccgroup.com/uk/about-us/newsroom-and-events/blogs/2017/november/kubernetes-security-consider-your-threat-model/
3. Результаты работы группы экспертов Security Audit Working Group, которые недавно уже убрали в с публичного репозиторий k8s, но интернет все помнит.

Также можно глянуть матрицу угроз от Microsoft (ATT&CK-like)
https://www.microsoft.com/security/blog/2020/04/02/attack-matrix-kubernetes/

Все эти материалы будут отличной отправной точкой при подготовки собственной модели угроз или аудите k8s, но несмотря на то, что это самые актуальные на сегодняшний день материалы, главное всегда держать в голове тот факт, что даже год — это уже слишком много в контексте контейнерной оркестрации, и многие вещи могут сильно измениться от версии к версии.

#k8s #security

Nuclei is a fast tool for configurable targeted scanning based on templates offering massive extensibility and ease of use

#security #scanner

#linux #kernel #ядро

Серия статей о ядре Linux и его внутреннем устройстве.
https://github.com/proninyaroslav/linux-insides-ru

Обфускация кода - попытка сделать код программы нечитаемым. Если для компилируемых программ скрытие их кода не является проблемой, то с интерпретируемыми нужно постараться, чтобы скрыть интеллектуальную собственность.

Так же обфускация часто применяется в недобросовестных скриптах, чтобы запутать пользователя, систему и антивирус.

К примеру, эту строку

alert("Hello, JavaScript" );

можно обфусцировать до такого вида:
$=~[];$={___:++$,$$$$:(![]+"")[$],__$:++$,$_$_:(![]+"") + 8 строк подобного вида


Automatic simplification of obfuscated JavaScript code

Spiffy: Automated JavaScript deobfuscation

Automatic detection for javaScript obfuscation attacks

DEFCON a different approach to JavaScript obfuscation


#security #javanoscript #обфуксация #obfuscation

Спорим, ты готовишь sudo неправильно

sudo you are doing it wrong

#sudo

Потенциально опасные стандартные утилиты Linux, которые могут быть использованы хакером при взломе систем. По ссылкам глубже - примеры эксплуатации

https://gtfobins.github.io/

#security #linux

Атака NAT slipstreaming для отправки запросов на внутренний IP https://opennet.ru/54058/

В списке небезопасных утилит из предыдущего поста есть пункт suid. Вы, конечно, знаете, что это suid бит, позволяющий выполнить программу от имени её владельца. Но наверняка не знаете какие опасности это несет. Почитайте-ка.

SUID и безопасность

How can I get setuid shell noscripts to work?

Linux Privilege Escalation using SUID Binaries

Радует, что от этого атавизма планомерно избавляются. Но до полного исключения suid из всех систем ещё далеко

#security #linux #suid

Встреча русскоязычных пользователей GitHub. В программе:

- Олег Докука, разработчик открытого программного обеспечения для @rsocket @reactor. Олег расскажет нам как он заинтересовался open source и стал известным разработчиком в 3 популярных проектах

- Анна Федоришин, директор в Перконе, расскажет о том как сделать CVE security fix на Open Source продукте, не подвергая весь проект опасности

- Дмитрий Сошников, ведущий эксперт по ИИ и машинному обучению, cloud developer advocate в Майкрософте. Дмитрий покажет нам коллективный портрет посетителя митапа: короткое интерактивное представление с Python, Codespaces и когнитивными сервисами

#k8s #security

Презентации с Digital Security ON AIR 29.10.20

Темы:
Арсенал исследователя UEFI BIOS
Самое слабое звено инфраструктуры эквайринга
Золотой век Red Teaming С2 фреймворков
Защита Kubernetes со всех сторон

Доклады: https://www.youtube.com/playlist?list=PLpO1edtkcyU5vbVTfM1f7m_rhyAt-ZMcK

Cisco SD-WAN Lab for EVE-NG

#lab #eveng

Кто работает в Москве. Вам тут скидки на обучение объявили. Торопитесь, пока не передумали!

Стоит отметить, что многие курсы официально не являются обучением, а оформляются как консультационные услуги. Но вы все равно попробуйте - такое нечасто бывает

https://i.moscow/measure-supports-card/b68c1e6c0f654bdba0d94f2f16948c12

#ipsec #course

Рубрика "Иногда нам пишут". Авторское всё сохранено:
"Привет уважаемый Linkmeup
Я проспорил ученикам полный курс по IPSec. я записал в видеоформате в ютуб всё что я знаю об IPSec, говорят получилось неплохо и обьёмно, я подумал что возможно вашему уважаемому сообществу тоже будет интересен плэйлист который получился
если вдруг это так вот ссылка на плэйлист
https://www.youtube.com/playlist?list=PLJiaYySZYx020nm9FA8XBPXI-oopdE4tl"

Наше уважаемое сообщество, вам интересен такой плейлист?

P.S. Не убранные на записях шумы всячески порицаем, но сделать ничего не можем.

Open Redirect Vulnerabilities
Инструмент фишинга, когда жертве дают с виду "хорошую" ссылку вида https://sberbank.ru с кучей параметров, которая редиректит на мошеннический сайт.

Конечно, сбер и другие монстры не позвоялют себе вываливать такие уязвимости в прод. Но представьте, что вашему бухгалтеру придет письмо от контрагента со ссылкой
https://kontragent.ru/query?q1=buh&q2=loh&redirect=hacksite.ru
А на hacksite.ru сами представляете что может быть: от безобидной шутки, до фейкового интерфейса сбербанка или налоговой.

Именно поэтому нас давно предостерегают от бездумного тыкания по сокращенным сслыкам. Ведь за https://bit.ly/3lBBMuJ может скрываться черт знает что

#security #phishing

#security #lab

Как говорится — не bWAPP'ом единым!

Подборка заранее уязвимых приложений, сервисов, ОС и пр. для вашего обучения, либо тестирования различного рода сканеров.

https://github.com/vavkamil/awesome-vulnerable-apps/