Ужас какой

Недавно мой товарищ поднял один достаточно интересный вопрос о решении ServiceMesh Istio, о котором мы с командой ранее даже не задумывались ввиду того что не эксплуатируем данное решения.

И так вопрос и ситуация следующая: Для работы istio-init контейнер, который добавляется во ВСЕ Pods в ServiceMesh, требует NET_ADMIN и NET_RAW capabilities, которые обычно рекомендуется забирать из-за их опасности (пример) ... При этом чаще всего когда системное приложение все же требует таких capabilities оно живет в своем отдельном namespace и его достаточно просто можно добавить в исключение в том же PolicyEngine. Но как вы понимаете в данной ситуации это будет ВЕЗДЕ - во всех namespaces с вашими прикладными микросервисами в ServiceMesh ...

Как с этим живете? Как это контролируете? Как спят ваши безопасники?)

P.S. В последствии я еще заметил, что там же runAsUser: 0, runAsGroup: 0, runAsNonRoot: false
P.S.S. Контролировать это можно, но надо постараться. Пост тут скорее чтобы обратить ваше внимание на эту ситуацию

Ловите промокод на 20% скидки на СKS. Возможно, прокатит и на другие экзамены от Linux Foundation.

20KODE

TruffleHog - поиск credentials в
- git
- github
- gitlab
- docker
- S3
- filesystem (files and directories)
- syslog
- circleci
- GCS (Google Cloud Storage)

#security #credentials

Не могу вспомнить кто у меня недавно спрашивал можно ли сдать СKA из России. Вот что написано на сайте

Получается, что можно, но не из всей России. Если найдете способ оплатить

Приколитесь: немцы снифали и расшифровывали зашифрованный трафик на серверах jabber.ru в датацентре Hetzner.

Выпустили отдельный SSL сертификат и проксировали коннекты к TCP:5222. Ого! Вскрылось случайно из-за ошибки их админов. Если бы не эта ошибка, скорее всего, так никто бы и не заметил.

Скорее всего это правительственная атака и хостеров просто обязали накручивать эти редиректы. Интересно сколько таких джаббер серверов прослушивается в данный момент. Ведь кулхацкеры скамеры чаще всего используют именно джаббер. Еще один эпизод оправдывающий параною красноглазых криптоманьяков.

Мораль:

1. Проверяйте фингерпринты сертификатов даже если лень.

2. Безопаснее E2E шифрования ничего не придумали, но и там всем лень проверять отпечатки ключей.

Лично мне больше все нравится подход Телеграм с 4 эмоджи в качестве отпечатка ключа, это не сложно сверить при звонке.

Пост на HN: https://news.ycombinator.com/item?id=37955264

Само расследование https://notes.valdikss.org.ru/jabber.ru-mitm/

Кажется, у kubernetes какие-то проблемы с CDN

Пять дней назад открыта ишью на то, что некоторых бинарников нет на некторых хранилищах.

Судя по всему - проблема в CDN k8s.io и с разных регионов недоступны разные бинари. А раз за пять дней они так и не разлили бинари по всем регионам, то напрашивается вывод, что проблемы чуть глубже, чем забыли залить эту версию на этот сервер

Сообщают, что ТТК в Магнитогорске сломался. Сильно сломался.

Судя по всему, проблема у ТТК глобальная. Затронуло всю сеть - не только Магнитку

UPD: Говорят, только внутрнняя инфра легла. Транспорт работает. Расходимся, пока всё в порядке

В CloudFlare изобрели шифрование с помощью светильников

У kodekloud есть бесплатная платформа для проверки знаний в контексте СKS. Четыре лабы с заданиями на
- network policies
- RBAC
- seccomp
- AppArmor
- Aquasec Trivy
- Kubesec
- CIS Benchmarks
- Falco

#CKS

Тут опять в соседнем чате возникло обсуждение, что читать/смотреть для осознания базовых фундаментальных вещей, если в школе ковырял в носу, а теперь прижало и надо вот прямо сейчас.
И как обычно всё свалилось к лекциям MIT и всяким Фейнманам, на что имею сказать, что есть бомбический teach-in от МГУ, где всё то же самое, только на родном языке. Визуалам – видосики, любителям читать – текст лекции. От школьной математики до матана и квантовой физики. Всё настолько разжёвано и на пальцах, что за выходные можно наверстать все упущения молодости.
P.S. Я тут узнал, что в школах активно вводят маркерные доски. Где подписать петицию, чтобы у детей не отнимали кайф покидаться меловой тряпкой? А то что это за школа такая, где дети мела не нюхали...

https://teach-in.ru/#category-physics

Подъехали записи с OpenSysConf 23
Спасибо всем причастным!
https://www.youtube.com/playlist?list=PL8ma-LO-KRZZtazWADJIAIAaj4_pgxCFG

А в лучшем чате для девопсов и сисадминов сегодня показали как в git откатиться до любого состояния. Даже после git reset —hard

git reflog

https://stackoverflow.com/questions/5473/how-can-i-undo-git-reset-hard-head1

#git

Your printer is not your printer! Райтапы от Devcore с Pwn2Own в двух частях.

За последние несколько лет принтер стал одним из основных устройств в корпоративной интрасети, и его функциональные возможности также значительно расширились. Для удобства использования поддерживаются не только печать или отправка факсов, но и облачные сервисы печати, например AirPrint. Прямая печать с мобильных устройств стала основным требованием в эпоху IoT. Их также используют его для печати внутренних деловых компании, что делает обеспечение безопасности принтеров еще более важным занятием.

Но чем сложней и умней становятся принтеры и МФУ, тем большую проблему они могут и создать.

В прицел исследователей попали довольно популярные аппараты:
- HP Color LaserJet Pro M479fdw
- Lexmark MC3224i
- Canon imageCLASS MF743Cdw

В 2021 году ребята обнаружили RCE (CVE-2022-24673 и CVE-2022-3942) в принтерах Canon и HP, а также уязвимость (CVE-2021-44734) в Lexmark. Они использовали эти уязвимости для эксплуатации Canon ImageCLASS MF644Cdw, HP Color LaserJet Pro MFP M283fdw и Lexmark MC3224i на Pwn2Own Austin 2021.

Статьи в их блоге:
- Your printer is not your printer! - Hacking Printers at Pwn2Own Part I
- Your printer is not your printer! - Hacking Printers at Pwn2Own Part II

Living Like It's 99: No Social Media, No Smartphone

Как отказаться от смартфона, удалить аккаунты в соц. сетях и обрести душевное спокойствие.

Грегори Альварез, автор статьи, решил провести эксперимент, который затянулся на годы. Начальной причиной отказа от социальных сетей и смартфона стала проблема с приватностью, и продолжилось отказом от дешёвого дофамина и боязни пропустить интересное.

Похожий эксперимент по отказу от смартфона проводил Мэтт Д'Авелла (видео на канале Мэтта, переведённое видео от Kramarty TV), но в его случае это был тридцатидневный эксперимент, который нельзя назвать бесполезным.

Разумеется, Грегори отказался не от всех девайсов:
- Garmin Fenix 5 Plus для музыки и навигации
- GoPro Hero5 Session для фото и видео
- Aeku M5 в роли простой звонилки

Без мессенджеров автор тоже не остался, и использует десктопную версию Signal.

Вне поля зрения статьи остался компьютер, но сложно быть специалистом по безопасности без компьютера.

В какой-то мере это похоже на модный "цифровой детокс", но вопрос действительно довольно насущный. И это история не столько про успешный успех или эффективную эффективность, сколько про то, что тревожный примат стал ещё более тревожным, уткнувшись в телефон листая соц. сети и бесконечные видео, которые просто поедают наше время, давая в замен только разочарования и кислое послевкусие.

Статья в блоге автора:
Living Like It's 99: No Social Media, No Smartphone
Статья в pdf:
Living Like It's 99: No Social Media, No Smartphone.pdf

Сдал таки. Со второго раза.

Готовился по курсу Мумшада и Killer.sh перед экзаменом

В отличие от CKA только на опыте девопса (без security) CKS не сдашь. Экзамен реально сложный и сложен он тем, что спрашивают не только о ванильном кубере, а о надстройках и смежных инструментах. Например: kube-bench, trivy, falco, sysdig, appArmor, seccomp

Из заданий:
Сделать безопасным Dockerfile , писать сетевые политики, политики аудита, фиксить ключи запуска и манифесты apiserver, kubelet, etcd, парсить логи

Защита от MITM провайдеров

Для предотвращения получения TLS-сертификатов третьими лицами, которые в ходе MITM-атаки могут контролировать трафик сервера, рекомендовано использовать DNS-запись CAA, через которую можно указать какой именно удостоверяющий центр и какая именно учётная запись в этом удостоверяющем центре авторизированы на выдачу сертификата для домена.

CAA поддерживается в Let's Encrypt и не позволяет запросить сертификат, используя другой ACME-ключ. Для включения привязки в DNS-зону следует добавить:

для привязки домена example.com к удостоверяющему центру letsencrypt.org:

example.com. IN CAA 0 issue "letsencrypt.org"

для дополнительно привязки к учётной записи acme-v02.api.letsencrypt.org/acme/acct/1234567890

example.com. IN CAA 0 issue "letsencrypt.org; accounturi=https://acme-v02.api.letsencrypt.org/acme/acct/1234567890"

DNS-сервер должен быть размещён на отдельном сервере, не подверженном MITM-атаке. Для дополнительной защиты от подмены DNS необходимо использовать протокол DNSSEC, который помешает атакующим подменить DNS-ответы с записью CAA.

В дополнение к предыдущему посту

Наверняка, все уже почитали о MiTM'e jabber.ru, когда облачные хостеры воткнули полицейскую железку между серверами клиентов и провайдером интернета и сгенерировали новый сертификат для жертвы, чтобы спокойно потом расшифровывать трафик. В этот пост хочу вынести выводы из оригинального поста Валдика и ссылок из него. Пусть методы борьбы с такого рода MiTM'ом будут тут в сжатом виде - так подписчикам и мне самому будет проще вернуться к материалу и вспомнить детали. А кто ещё не читал оригинальный пост - вперед к чтению - там очень интересное расследование!

- DNS CAA из предыдущего поста
- Мониторить выдачу сертификатов на ваш домен. Работает не всегда
- Периодически коннектиться к сервису и проверять и проверять публичный ключ
- Ограничить способы выдачи сертификатов и аккаунты, которым это позволено
- Мониторить сторонними сервисами изменения сертификатов
- Контролировать смену MAC адреса шлюза

Вообще, советую побродить по бложику - там много интересного, например о том, что Cloudflare зло и надежного E2E шифрования не существует

#mitm #security #TLS #certificates