Когда не умеешь писать на CodeQL, но надо написать data flow для поиска open redirect в JS

#пятничное #sast #dev

Cloud Native Security Hub and k3s defence

Любопытная статья по защите k3s (легковесная версия k8s) с помощью Sysdig и Sysdig Falco. Согласно статье, общее время на развертывание k3s + sysdig занимает до 8 минут.... Не знаю кому это, если честно, нужно, но если вы никогда не видели Falco и не знаете, как он ставится, может быть полезно. Вот в эту же копилку статья про деплой k3s в связке с Falco на Raspberry Pi 4.

А вот то, что реально может понадобится, так это Cloud Native Security Hub - портал, на котором Sysdig собрала сгруппированные правила Falco на разные случаи жизни (защита etcd, elasticsearch, consul, gke и многое другое). И не забываем про проблемы Falco.

#k8s #ops

CloudSecDocs

Один из крутых инженеров Marco Lancini, за активностью которого слежу, релизнул cloudsecdocs.com. Это большая Интернет-энциклопедия по безопасности облаков.

Вот что уже можно почитать:
- Secure SDLC: сканеры, работа с секретами, compliance as code, лабы, моделирование угроз, метрики, логирование
- Docker и Kubernetes, что это, какие компоненты, как деплоить и работать с этим
- Моделирование угроз для Docker и Kubernetes
- Опиcание RBAC
- Описание важных компонентов с точки зрения безопасности k8s
- Атаки и пентест на контейнеры
- Компоненты AWS и Azure, а также их защита
- Угрозы и методология тестирования облаков

#aws #gcp #azure #dev #ops #k8s #docker #attack

Protecting Docker and Kubernetes.

Тут от рассылки StackRox прилетел их Whitepaper "Protecting K8s Against MITRE ATT&CK Techniques". Про ATT&CK я уже кое-что писал в разрезе Cloud Security здесь.

Кстати, у StackRox также есть технические документы по следующим темам:

"Container and Kubernetes Security: An Evaluation Guide"

"Hardening Docker: Your Definitive Security Toolkit"

"Top 9 Kubernetes Best Practices to Maximize Security"

#k8s #docker #ops

Способы и примеры внедрения утилит для проверки безопасности Docker

Тут Павел (@shad0wrunner) выпустил статью на Хабре по способам и примерам внедрения проверки образов Docker. В число рассматриваемых инструментов входят Dockle, Trivy и Hadolint. Варианты внедрения: путём конфигурации CI/CD pipeline на примере GitLab (с описанием процесса поднятия тестового инстанса), с использованием shell-скрипта, с построением Docker-образа для сканирования.

https://habr.com/ru/company/swordfish_security/blog/524490/

#docker #dev

Kubernetes Security Demos

Полезное репо, подготовленное для Kubernetes appOps Security Talks с набором манифестов для настройки Network Policies, Security Context и PSP. Здесь же вы найдете поясняющие статьи и доклады. Есть также вариант развертывания демо кластера по скрипту на GKE.

https://github.com/cloudogu/k8s-security-demos

#k8s #ops

Static analysis by OPA - Dockerfiles

Уже ни для кого не секрет, что неправильное формирование Dockerfile может являться серьезной проблемой в безопасности приложений. Как правило, для решения данной проблемы все используют Hadolint для статического сканирования Docker-файлов.

В этом посте я предлагаю вам взглянуть на детектирование проблем с помощью Conftest - инструмента для выполнения статического анализа конфигурационных файлов (YAML, JSON, XML, Dockerfile, HCL и многое другое). Что самое интересное в нем, так это то, что правила для Conftest пишутся на языке Rego. Это позволяет стать на шаг ближе к унифицированному подходу контроля за средой с помощью Open Policy Agent, о котором я писал ранее, и не городить кучу инструментов. Вот статья, в которой описано применение Conftest для проверки Dockerfile с помощью кастомных рулов.

#docker #ops #dev #opa

CI/CD System - Security Hardnening

Мы много говорим о встраивании безопасности в пайплайн и shift left, но не всегда своевременно вспоминаем про безопасность того, что наши пайплайны выполняет.

Небольшая подборка статей о безопасности CI/CD платформ.

Security Practices in GitLab

Managing Security of Jenkins

Securing Jenkins CI Systems

Security hardening for GitHub Actions

TeamCity Security Notes

CircleCI Security

#dev #ops

When You Shift Left like a Champ

#пятничное

CVE-2020-0267: длинная история одной уязвимости

Я наконец-то этого дождался, уязвимость (пока единственную критическую в Android 11), получившую идентификатор CVE-2020-0267, которую мы с коллегой @jd7drw нашли в операционной системе Android, наконец-то пофиксили.

На мой взгляд, это очень интересная бага, о которой мы писали в том числе в Хакер и рассказывали на PHDays. Суть в том, что используя вполне легитимные механизмы, предоставляемые Android, без root-доступа, без специальных разрешений, абсолютно прозрачно для пользователя, можно было подменить любое приложение.

Механизм идеальный, создаем приложение, которое может нести какую-то полезную нагрузку, например, показывать курс криптовалюты или сделать тиндер для котиков. 😻
Но помимо основного приложения в бэкграунде создается Activity с указанным параметром taskAffinity. В этом параметре необходимо указать имя пакета приложения, которое мы хотим подменить. Собственно всё, наш зловред готов.

После этих нехитрых манипуляций при нажатии на иконку приложения, имя которого мы указали в taskAffinity, вместо запуска нормального приложения будет выведена на передний план Activity злоумышленника. Эта Activity может полностью копировать интерфейс подменяемого приложения и отправлять вводимые учетные данные на сторонний сервер. При этом, если есть двух-факторная аутентификация, никто не мешает по аналогичной схеме отправить смс-код на сервер. После кражи учетных данных можно свернуть свою активность и запустить/показать пользователю реальное приложение, которое он хотел запустить.

А если подменить приложение настроек, то можно попробовать защититься и от удаления 👹

Эту уязвимость мы зарепортили еще в 2017 году, и какого было моё удивление, когда ее "переоткрыли" спустя два года, назвали звучным именем StrandHogg и дико распиарили. Суть абсолютно такая же, но CVE они не получили (вроде бы).

Чуть позже выложу код PoC, чтобы можно было потестить самим 😉

Это наша первая CVE и упоминание на странице благодарностей Android и я думаю, что эта пятница явно удалась!

#Android #CVE #TaskHijacking #Research

Open source behavior container analysis

Когда дело доходит до обеспечения runtime безопасности контейнерной среды, как правило, используют PSP и AppArmor, Seccomp, SELinux профили. Это, в свою очередь, создает еще больше сложностей, ведь при отсутствии понимания о работе своих приложений, есть высокий риск порезать нужную привилегию. С этой целью многие организации начинают присматриваться к коммерческим решениям, где есть встроенный функционал профилирования и автоматическое генерирование политик. Тем не менее, далеко не все знают про наличие open-source утилит. Вот некоторые из них:
- kube-psp-advisor для генерирования PSP
- oci-seccomp-bpf-hook и go2seccomp для генерирования seccomp-профилей
- inspektor-gadget для генерирования network policies
- udica для SELinux

В бонус к этому месяц назад на Kubecon North America 2020 Virtual был доклад Pod Security as an Afterthought, где спикер подробно рассказывает про работу некоторых из этих утилит.

#k8s #docker #ops

Container Security: эволюция атак в 2020 году

6 ноября с 10:00 по МСК пройдет конференция DevOpsFest 2020, где будет два доклада по Security. Первый - мой. На нем я расскажу про безопасность контейнеров:
- Как злоумышленник может атаковать небезопасно настроенный кластер
- Какие появились CVE в 2020 году для k8s
- Как злоумышленник может закрепиться в инфраструктуре
- В чем связь между небезопасной версией ядра Linux и безопасностью облака
- Мои мысли о существующих механизмах и инструментах защиты
- Что из себя представляет enterprise решения по безопасности контейнеров, зачем его покупать и на что обращать внимание

Второй доклад "DevSecOps: Фаззинг исходного кода" от коллег из Digital Security. Не так давно они выпустили статью с таким же названием на Habr.

Прослушивание бесплатное. Материалы и записи платные.

P.S. А еще там есть крутая виртуальная площадка, где можно общаться. Я буду там, подходите знакомиться :)

#ops #k8s #docker #ops #talks

Taint Tracking, перевод статьи про Pysa и экспериментальный функционал Semgrep.

Только сейчас нашел перевод на Habr статьи про Pysa, которую я публиковал недавно. Напомню, что Pysa - статический анализатор от Facebook для Python проектов. Pysa представляет из себя модуль для open source проекта Pyre, который также, как и в CodeQL, позволяет описывать свой data flow с помощью taint tracking.

Taint tracking - это механизм отслеживания taint data - так называемых "испорченных" данных. Это данные, которые поступили на вход (как правило от клиента), прошли через написанный разработчиками код и попали в небезопасную функцию, что в свою очередь породило уязвимость. Описывается taint tracking везде через Source и Sink. Пример того, как это работает в CodeQL, можно увидеть на скриншоте. Здесь ищется код, в котором данные, передаваемые пользователем, через proces.argv попадают в fs.readFile(). Конструкция Taint Tracking является одной из самых популярных в CodeQL. На этом же механизме построен анализ данных в Pysa.

В документации Semgrep также недавно появилась страница с описанием taint tracking в качестве экспериментальной фичи в Python. Это должно значительно сократить объем необходимых правил для поиска багов и увеличить процент покрытия.

#sast #dev

Automating Kubernetes Security Reporting with Starboard Operator

В июне я писал об инструменте Starboard, который предоставляет возможность интегрировать такие инструменты, как trivy, kubebench, kubehunter через CustomResourceDefinitions (CRDs). Недавно Aqua внедрила фичу, позволяющую запускать сканирование trivy (либо Aqua CSP для владельцев энтерпрайз решения) по мере появления новых подов и автоматически формировать отчеты об уязвимостях через их собственные операторы PodController и JobController.

Статья + видео:
Automating Kubernetes Security Reporting with Starboard Operator by Aqua

Статья про Starboard и его сценарии использования:
Starboard: The Kubernetes-Native Toolkit for Unifying Security

#k8s #ops

Презентация Container Security: эволюция атак в 2020 году.

Тем временем на сайте DevOpsFest 2020 выложили презентацию с моего доклада по атакам на контейнеры (+ некоторые мысли по защите).

#k8s #docker #attack #ops

Deep Dive into Real-World Kubernetes Threats

В продолжении хочу порекомендовать доклад "Command and KubeCTL: Real-World Kubernetes Security for Pentesters", а также крутую статью от этого же автора "Deep Dive into Real-World Kubernetes Threats". Этот материал поможет как пентестерам, кто осваивается в безопасности k8s, так и тем, кто эту безопасность выстраивает.

Ссылка на демо.

Ссылка на слайды доклада.

+ Для тех, кто погружается в тему атак, я проставил ко всем релевантным постам хештэг #attack

#k8s #docker #ops

A Methodology for Penetration
Testing Docker Systems

Нашел неплохой документ от января этого года, собирающий все основные моменты по тестированию безопасности приложения в Docker.

#docker #literature #attack #ops #dev

Security Scorecard for Open Source Projects

Open Source Security Foundation выпустила инструмент под названием Security Scorecard. Основная цель инструмента - автоматизировать анализ и процесс принятия решений об использовании open-source проектов на GitHub. Запускается инструмент довольно просто:
./scorecard --repo=github.com/kubernetes/kubernetes

После этого Scorecard выполняет набор проверок, например:

- Есть ли в проекте политика безопасности?
- Использует ли проект статические анализаторы кода (например, CodeQL)?
- Использует ли проект OSS-Fuzz?
- Был ли новый релиз и коммит за последние 90 дней?
- Подписываются ли релизы?
- Являются ли контрибьютеры членами разных организаций?
- и другие проверки.

Каждая проверка оценивается по 10-бальной шкале уверенности. 0 - невозможно получить сигнал, 10 - инструмент уверен в результате.

#dev