На THM стартовала очередная рождественская история Advent of Cyber 2023. Каждый день выходит новое задание по Security направлению с инструкциями как добиться результата.
Я участвовал в прошлом году и мне очень понравилось. Рекомендую всем поучаствовать в этом году. Там даже призы есть!

Spoofing DNS Records by Abusing DHCP DNS Dynamic Updates

Исследователи из Akamai обнаружили новый набор атак на домены Active Directory, использующие серверы Microsoft DHCP. Эти атаки могут позволить злоумышленникам подменить важные записи DNS, что приведет к различным последствиям - от кражи учетных данных до полной компрометации домена Active Directory. Атаки не требуют никаких учетных данных и работают с конфигурацией Microsoft DHCP-сервера по умолчанию.

Масштаб проблемы предсказать сложно, так как Active Directory используется во множестве компаний, однако Microsoft DHCP используется далеко не везде.(40% сетей, отслеживаемых Akamai)

Исследователи из Akamai сообщили о своих результатах в Microsoft, однако исправление ситуации не планируется.

В этом блоге мы подробно рассказываем о лучших практиках настройки DHCP-сервера Microsoft таким образом, чтобы смягчить последствия этих атак, а также делимся инструментом, предназначенным для использования системными администраторами и "синими" командами для обнаружения

Но есть и хорошая новость, в статье не только про атаку, но и оборону. Решить за Microsoft проблему у вас не выйдет, но смягчить последствия вполне посильно:
- Отключите DHCP DNS Dynamic Updates, если он не используется
- Управляемые записи (Managed records) не защищены от спуфинга при любой конфигурации. Eсли возможно, используйте статические DNS-записи для не-Windows хостов
- Не используйте DNSUpdateProxy, используйте DNS credential

Так же опубликован Powershell-инструмент для обнаружения данной уязвимости - Invoke-DHCPCheckup
Будет интересно не только системным администраторам, но и "синим" коммандам.

P.S. Картинка из поста довольно лаконично описывает ситуацию.

Порше останавливает продажи модели Macan с 2024 года в Европе из-за несоответствия нормам по ИБ.

А вот стандарт ИБ для транспортных средств. Самое интересное с 29 страницы начинается
https://unece.org/sites/default/files/2023-02/R155r.pdf

Хотите быть _сертифицированным_ YAML программистом?
Тогда вам нужен экзамен от Linux Foundation на знание ямла.
Ну чисто ради плашки в linkedin можно пройти.

Зато это гордое звание Сертифицированного ямл инженера!

Выложили запись #Sysadminka 024
Про девопс и собеседования

https://www.youtube.com/watch?v=_FMMy4Dnp9A

С Наступающим, друзья!
Спасибо, что остаётесь с нами, читаете и комментируете

Давайте будем добрее в новом году и всё у нас обязательно получится

Обнаружить нарушителя в инфраструктуре не так то просто. Большие компании нанимают целые отделы для анализа логов и поведения софта, чтобы вовремя найти злоумышленника и предовратить развитие атаки.

Если такого отдела нет (да и если есть), то можно поставить специально подготовленную уязвимую систему, не участвующую в бизнес процессах, а лишь притягивающую на себя внимание атакующего. И внимательно наблюдать за ней. Когда кто-то скачает файл или попытается залогиниться - это звоночек, указывающий, что кто-то пытается зайти туда, куда не должен и нужно усилить охрану. Такие системы называются Honey Pot и могут эмулировать самые разные продакшн системы: VPN серверы, веб серверы, mail серверы, ssh серверы, elasticsearch, jira, smb шары, ...

T-Pot - целый комбайн из Honey Pots, работающий в OnPrem или облаках. Он оркестрирует работу пачки разных Honey Pots и выдает результаты работы в удобном интерфейсе


Ну а если не хочется заморачиваться с установкой и настройкой, то можно попробовать canarytokens. Я уже писал об этом сервисе

#security #honeypot

Обнаружил случайно, что GitLab депрекейтят встроенные переменные CI_JOB_JWT, CI_JOB_JWT_V1, CI_JOB_JWT_V2 в 17 версии, которую обещают в мае.

Эти переменные используются для обмена данными с другими продуктами, в частности, для получения данных из Hashicorp Vault. Так, что если вы ещё не переделали свои пайплайны, то я знаю, чем вы займетесь после праздников

Взломали RIPE NCC
Врубайте MFA

Credits: Pavel Odintsov

Хочешь вырастить психически нездорового ребенка?
В добавок к книжке-раскраске про Kubernetes подари ему The Illustrated Children’s Guide to eBPF
#eBPF

Шшшшшикарный плейлист с Liquid Funk
https://soundcloud.com/maxlmlx/sets/liquid

#liquid #dnb #liquidfunk

При использовании OIDC аутентификации для k8s (keycloak, например), нужно использовать особый kubeconfig - в нем вместо сертификата пользователя указаны параметры OIDC аутентификации или опции для получения этих параметров.

Для второго случая обычно используют плагин kubelogin

Но гораздо проще ввести учетные данные от Active Directory на специальной страничке, скачать оттуда конфиг и спокойно им пользоваться без установки дополнительных плагинов

Самый популярный инструмент для этого - kuberos. К сожалению, его разработка прекращена шесть лет назад. Но это не мешает ему быть очень удобным инструментом со всеми функциями, необходимыми такому инструменту.

Оригинальный Docker образ основан на уязвимом alpine:3.7 с ужасным CVE-2019-14697

Я пересобрал и выложил образ без уязвимости. Пользуйтесь на здоровье

Образ
Коммит

#oidc #keycloak #k8s

Встречайте ещё один ИТ подкаст от хорошего человека

Запустил свой подкаст «Код доступа».

Подписка доступна в Spotify и Apple Podcasts. Так же есть RSS и можно слушать на сайте.

Буду благодарен за подписки: https://koddostupa.com/

Вчера во всех ИТ (и не только) каналах брюзжали о том, какой плохой 2ГИС и как ФСБ ворует все наши данные.

Сегодня 2ГИС написали что случилось

https://habr.com/ru/companies/2gis/articles/786006/

Large Model Systems Organization

В пятницу первой рабочей недели предлагаю продолжить тему использования LLM в своей повседневной деятельности.
В прошлом году я уже писал про CodeLlama, которая умеет в код на Python, C++, C#, Java, PHP, Typenoscript (Javanoscript) и обучалась на специализированных датасетах, но использовать ее на HuggingFace не очень удобно, а чтобы поднять локально необходимо значительные вычислительные ресурсы.

Поэтому хочу порекомендовать проект https://chat.lmsys.org/, который позволяет с помощью браузера получить доступ к большому количеству различных проприетарных и открытых моделей (28 моделей, в том числе ChatGPT-4, ChatGPT-3.5 и Claude-v1) абсолютно бесплатно, без регистрации и VPN. Это некоммерческая платформа с веб интерфейсом, API и CLI c открытым исходным кодом от Large Model Systems Organization университета UC Berkeley с целью сделать использование LLM доступным всем желающим. Также целью этого исследования является создания benchmark для сравнения эффективности существующих моделей на основе анонимного голосования пользователей по опыту использования на платформе.

Мне очень нравится функциональность Chatbot Arena, где можно выбрать 2 любые модели из списка и получать, сравнивать ответы и работать с ними одновременно, в параметрах можно задать temperature (случайность сгенерированного результата), выборку Top-P (выбор токенов из вариантов с наибольшей вероятностью) и max output tokens. Можно поиграться с разными моделями и параметрами для решения различных прикладных задач, выбрать своих фаворитов и поделиться своим опытом на платформе и в комментариях под этим сообщением😊

А для тех кому интересна безопасность LLМ, исследования, уязвимости, способы эксплуатации и прочее из мира AI/ML Security рекомендую отличный тематический канал моего хорошего товарища - https://news.1rj.ru/str/pwnai

PS: Желаю всем удачного окончания недели и отличных выходных!

Есть несколько способов деплоя из GitLab в kubernetes:

- GitLab Runner в целевом k8s кластере. Деплой через kubectl apply с правами ServiceAccount раннера

- GitOps. Деплой из сторонней системы, типа argoCD, Flux

- Деплой из любого раннера. Джобе нужен kubeconfig и сетевая связность с целевым кластером

- GitLab Agent Server for Kubernetes. Требуется отдельный сервер с доступом к k8s кластеру

Для работы GitLab Agent Server for Kubernetes (KAS) на кластер необходимо установить агента.
Что самое интересное - эта фича позволяет не только взаимодействовать с к8с из пайплайнов (читай - деплоить), но и работать с кластером через привычный kubectl. Права берутся из прав на конкретный проект, авторизация - через GitLab.

Сам я такой способ вживую не видел, но звучит интересно. Если кто-то имеет опыт - поделитесь в комментариях насколько это удобно и какие сложности возникали