Living Like It's 99: No Social Media, No Smartphone

Как отказаться от смартфона, удалить аккаунты в соц. сетях и обрести душевное спокойствие.

Грегори Альварез, автор статьи, решил провести эксперимент, который затянулся на годы. Начальной причиной отказа от социальных сетей и смартфона стала проблема с приватностью, и продолжилось отказом от дешёвого дофамина и боязни пропустить интересное.

Похожий эксперимент по отказу от смартфона проводил Мэтт Д'Авелла (видео на канале Мэтта, переведённое видео от Kramarty TV), но в его случае это был тридцатидневный эксперимент, который нельзя назвать бесполезным.

Разумеется, Грегори отказался не от всех девайсов:
- Garmin Fenix 5 Plus для музыки и навигации
- GoPro Hero5 Session для фото и видео
- Aeku M5 в роли простой звонилки

Без мессенджеров автор тоже не остался, и использует десктопную версию Signal.

Вне поля зрения статьи остался компьютер, но сложно быть специалистом по безопасности без компьютера.

В какой-то мере это похоже на модный "цифровой детокс", но вопрос действительно довольно насущный. И это история не столько про успешный успех или эффективную эффективность, сколько про то, что тревожный примат стал ещё более тревожным, уткнувшись в телефон листая соц. сети и бесконечные видео, которые просто поедают наше время, давая в замен только разочарования и кислое послевкусие.

Статья в блоге автора:
Living Like It's 99: No Social Media, No Smartphone
Статья в pdf:
Living Like It's 99: No Social Media, No Smartphone.pdf

Сдал таки. Со второго раза.

Готовился по курсу Мумшада и Killer.sh перед экзаменом

В отличие от CKA только на опыте девопса (без security) CKS не сдашь. Экзамен реально сложный и сложен он тем, что спрашивают не только о ванильном кубере, а о надстройках и смежных инструментах. Например: kube-bench, trivy, falco, sysdig, appArmor, seccomp

Из заданий:
Сделать безопасным Dockerfile , писать сетевые политики, политики аудита, фиксить ключи запуска и манифесты apiserver, kubelet, etcd, парсить логи

Защита от MITM провайдеров

Для предотвращения получения TLS-сертификатов третьими лицами, которые в ходе MITM-атаки могут контролировать трафик сервера, рекомендовано использовать DNS-запись CAA, через которую можно указать какой именно удостоверяющий центр и какая именно учётная запись в этом удостоверяющем центре авторизированы на выдачу сертификата для домена.

CAA поддерживается в Let's Encrypt и не позволяет запросить сертификат, используя другой ACME-ключ. Для включения привязки в DNS-зону следует добавить:

для привязки домена example.com к удостоверяющему центру letsencrypt.org:

example.com. IN CAA 0 issue "letsencrypt.org"

для дополнительно привязки к учётной записи acme-v02.api.letsencrypt.org/acme/acct/1234567890

example.com. IN CAA 0 issue "letsencrypt.org; accounturi=https://acme-v02.api.letsencrypt.org/acme/acct/1234567890"

DNS-сервер должен быть размещён на отдельном сервере, не подверженном MITM-атаке. Для дополнительной защиты от подмены DNS необходимо использовать протокол DNSSEC, который помешает атакующим подменить DNS-ответы с записью CAA.

В дополнение к предыдущему посту

Наверняка, все уже почитали о MiTM'e jabber.ru, когда облачные хостеры воткнули полицейскую железку между серверами клиентов и провайдером интернета и сгенерировали новый сертификат для жертвы, чтобы спокойно потом расшифровывать трафик. В этот пост хочу вынести выводы из оригинального поста Валдика и ссылок из него. Пусть методы борьбы с такого рода MiTM'ом будут тут в сжатом виде - так подписчикам и мне самому будет проще вернуться к материалу и вспомнить детали. А кто ещё не читал оригинальный пост - вперед к чтению - там очень интересное расследование!

- DNS CAA из предыдущего поста
- Мониторить выдачу сертификатов на ваш домен. Работает не всегда
- Периодически коннектиться к сервису и проверять и проверять публичный ключ
- Ограничить способы выдачи сертификатов и аккаунты, которым это позволено
- Мониторить сторонними сервисами изменения сертификатов
- Контролировать смену MAC адреса шлюза

Вообще, советую побродить по бложику - там много интересного, например о том, что Cloudflare зло и надежного E2E шифрования не существует

#mitm #security #TLS #certificates

Почти год назад на хабре был сезон Kubernetes - конкурс статей про один очень известный инструмент. И благодаря таким начинаниям хочется верить, что хабр всё ещё торт.

Пост - финалист сезона - доступно объясняющий, почему DNS в кубе не так прост, как может казаться. В этом посте про:
- Go DNS Resolving
- systemd-resolved
- CoreDNS

TLDR: если dig или nslookup показывают один результат, а приложение - другой, то это нормально. А доверять нельзя никому

Глубже погрузиться в Go DNS Resolving можно прочитав этот пост

Ещё глубже в Linux DNS resolving - по ссылкам из последнего поста. Начать можно отсюда

#DNS

Роутер от провайдера

Для меня было откровением, когда я подключил интернет, сменил дефолтный пароль от админа, а оказалось, что есть еще "суперадмин".

В моем случае, в роутере от МГТС, был следующий root:

mgts;mtsoao

На Ростелекоме (в частности, на роутерах от huawei), бывают следующие пары логинов и паролей:

telecomadmin;admintelecom
telecomadmin;NWTF5x%RaK8mVbD
telecomadmin;NWTF5x%
telecomadmin;nE7jA%5m

Цикл лекций от ВШЭ и kaspersky Lab Основы анализа вредоносных объектов

#security #лекции #посмотреть

Товарищ из сисадминки заказал такой аппарат с 12г оперативы и 512 диска за примерно $70

Получил, проверил и оказалось, что вместо обещанных 12 ГБ там всего 3, а диска вместо 512 ГБ аж на 500 ГБ меньше. И андроид 8 вместо обещанного 12

Причем в интерфейсе андроида все цифры красивые - как в объявлении. А стороннее приложение показывает иначе. Фото в следующем посте

Будьте бдительны и не доверяйте безымянным китайцам!

Получил CKS, а тяга к курсам и сертификатам все ещё не утихает. Что же делать?
Собрал ещё пачку сертификатов по безопасности кубернетеса и облаков.

- Certified Cloud Native Security Expert от какой-то неизвестной мне конторы. В описании курса перечислены темы из CKS, отдельные модули о Microservices Architecture и Container Security и такие инструменты: kube-hunter, KubiScan, krane, inspec, wazuh. Выглядит интересно, но бесполезно после CKS и непонятно кто вообще признает серты этой компании. Если вы что-то знаете об этой компании - напишите в комментах, пожалуйста


По облачной безопасности сертов больше:
- Вендорские от AWS, GCP, Azure

- CompTIA Cloud+ - уважаемая контора и сертфикация. Вендор фри. Темы:
- 1 Cloud Architecture and Design
- 1.1 Compare and contrast the different types of cloud models
- 1.2 Capacity planning
- 1.3 High availability and scaling in cloud environments
- 1.4 Solution design in support of the business requirements
- 2 Security
- 2.1 Identity and access management (LDAP, SSO, SAML, PKI, MFA)
- 2.2 Secure a network in a cloud environment (VLAN, VXLAN, GENEVE, DoH, DoT, DNSSEC, NTP, IPSEC, TLS, VPNs, WAF, IPS, IDS, IPC, DLP)
- 2.3 OS and application security controls
- 2.4 Data security and compliance controls in cloud environments
- 2.5 Tools to meet security requirements
- 2.6 Incident response
- 3 Deployment
- 3.1 Integrate components into a cloud solution (email, VoIP, messaging, VDI)
- 3.2 Storage in cloud environments (SAN, NAS, network filesystems)
- 3.3 Cloud networking solutions
- 3.4 Appropriate compute sizing
- 3.5 Cloud migrations (Physical to virtual (P2V), Virtual to virtual (V2V), Storage migration, Database migration)
- 4 Operations and Support
- 4.1 Logging, monitoring, and alerting
- 4.2 Efficient operation
- 4.3 Optimize cloud environments
- 4.4 Automation and orchestration techniques
- 4.5 Backup and restore operations
- 4.6 Disaster recovery
- 5 Troubleshooting
- 5.1 Troubleshooting methodology to resolve cloud-related issues
- 5.2 Troubleshoot security issues
- 5.3 Troubleshoot deployment issues
- 5.4 Troubleshoot connectivity issues
- 5.5 Troubleshoot common performance issues
- 5.6 Troubleshoot automation or orchestration issues
Полное описание экзамена
У CompTIA ещё много сертификаций на сайте. Насколько я понял, курсы они не читают, а только принимают экзамены. Курсы доступны на других платформах

- GIAC Cloud Security Automation. GIAC - отделение небезызвестной SANS. Очень уважаемая компания. Сертификатов у них много по разным направлениям, как и у CompTIA. Топики:
- Microservice Security
- Cloud Security Fundamentals
- Cloud Security Monitoring
- Compliance as Code
- Configuration Management as Code
- Container Security
- Continuous Security Monitoring
- Data Protection and Secrets Management
- Deployment Orchestration and Secure Content Delivery
- DevOps Fundamentals
- DevSecOps Security Controls
- Runtime Security Automation
- Secure Infrastructure as Code
- Securing Cloud Architecture
- Serverless Security

- Certified Cloud Security Professional от ISC2. Топики похожи на перечисленные выше от конкурентов. Детальней тут

#courses #security #cloud

так вот он какой, аналоговый SELECT

Была такая система с карточками, у которых рядом с краем пробиты отверстия. В карточках, которые должны остаться в результате поиска, отверстие прорезалось до края карты. В процессе поиска нужно было вставить спицу в нужное отверстие в стопке карточек, стоящих в ящике вертикально. Все карточки с отверстиями оставались висеть на спице, а карты с прорезями в нужной категории оставались в ящике.

https://habr.com/ru/articles/774026/#comment_26161246