Hack Series: Is your Ansible Package Configuration Secure?
Хорошая статья, которая раскрывает аспекты безопасности Ansible: несколько простых рекомендаций и разбор уязвимости CVE-2020-14365, которая позволяет реализовать атаку через supply chain.
Основная проблема кроется в том, что ansible старых версий использует dnf-модуль, который позволяет скачивать внешние пакеты без проверки их целостности и организации безопасного соединения через HTTPS. Проблема актуальна и для новых версиях в тех случаях, когда используется
#ops #attack
Хорошая статья, которая раскрывает аспекты безопасности Ansible: несколько простых рекомендаций и разбор уязвимости CVE-2020-14365, которая позволяет реализовать атаку через supply chain.
Основная проблема кроется в том, что ansible старых версий использует dnf-модуль, который позволяет скачивать внешние пакеты без проверки их целостности и организации безопасного соединения через HTTPS. Проблема актуальна и для новых версиях в тех случаях, когда используется
force: true.#ops #attack
Include Security Research Blog
Hack Series: Is your Ansible Package Configuration Secure? - Include Security Research Blog
In our client assessment work hacking software and cloud systems of all types, we’re often asked to look into configuration management tools such as Ansible. In this post we’ll deep dive into what package management vulnerabilities in the world of Ansible…
Mobsfscan - SAST for Android and iOS source code
mobsfscan - отдельный проект от MobSF, который направлен на поиск уязвимостей в исходном коде мобильных приложений (Java, Kotlin, Swift, Objective C). По факту это обертка вокруг правил semgrep и libsast, но результат может быть весьма полезным.
#mobile #sast #dev
mobsfscan - отдельный проект от MobSF, который направлен на поиск уязвимостей в исходном коде мобильных приложений (Java, Kotlin, Swift, Objective C). По факту это обертка вокруг правил semgrep и libsast, но результат может быть весьма полезным.
#mobile #sast #dev
GitHub
GitHub - MobSF/mobsfscan: mobsfscan is a static analysis tool that can find insecure code patterns in your Android and iOS source…
mobsfscan is a static analysis tool that can find insecure code patterns in your Android and iOS source code. Supports Java, Kotlin, Swift, and Objective C Code. mobsfscan uses MobSF static analysi...
Introducing the Open Source Insights Project
Google продолжают радовать своими открытыми продуктами, посвященными безопасности open-source. На этот раз они выпустили Open Source Insights Project. С самим сервисом можно поиграть здесь. Он позволяет анализировать сторонние зависимости для указанного компонента с помощью интерактивного графа, а если открыть описание компонента, то можно увидеть историю релизов и перечень тестов от OpenSSF Scorecards (было ли сканирование SAST для компонента, fuzzing, давно ли были релизы и так далее)
Другие интересные проекты от Google:
- Cosign
- Open Source Vulnerabilities (OSV)
Обсуждать можно в нашем чате: @sec_devops_chat
#sca #dev
Google продолжают радовать своими открытыми продуктами, посвященными безопасности open-source. На этот раз они выпустили Open Source Insights Project. С самим сервисом можно поиграть здесь. Он позволяет анализировать сторонние зависимости для указанного компонента с помощью интерактивного графа, а если открыть описание компонента, то можно увидеть историю релизов и перечень тестов от OpenSSF Scorecards (было ли сканирование SAST для компонента, fuzzing, давно ли были релизы и так далее)
Другие интересные проекты от Google:
- Cosign
- Open Source Vulnerabilities (OSV)
Обсуждать можно в нашем чате: @sec_devops_chat
#sca #dev
Как топ-менеджеру относиться к ИБ-рискам, кроме подхода "либо случится, либо нет"?
На выходных наткнулся в FB на статью 2020 года от VP InfoWatch, которая затрагивает тему, как относится современный бизнес к информационной безопасности и по какому пути в безопасности развиваться не надо.
Основная идея состоит в том, что безопасность является ничем иным как очередным сервисом, а все риски, которыми безопасники привыкли пугать, вероятностны, при этом расходы абсолютны. Соответственно, убедить бизнес не принимать риски становится непростой задачей, однако гораздо чаще специалисты ИБ уходят в "технические игрушки", не вникая в суть и цели бизнеса, а также критерии его успешности.
Завершает статью правильная цитата, которую стоит записать всем, кто склонен топить ИТ жесткими требованиями ИБ:
"Переломить эту тенденцию может только инфобезопасник 2.0, который хорошо понимает объект защиты и принципы его функционирования, а не только методы и приёмы безопасности."
Очень рекомендую, если вы работаете на этой неделе и еще не успели морально выйти из выходных.
Обсудить можно в нашем чате: @sec_devops_chat
#talks
На выходных наткнулся в FB на статью 2020 года от VP InfoWatch, которая затрагивает тему, как относится современный бизнес к информационной безопасности и по какому пути в безопасности развиваться не надо.
Основная идея состоит в том, что безопасность является ничем иным как очередным сервисом, а все риски, которыми безопасники привыкли пугать, вероятностны, при этом расходы абсолютны. Соответственно, убедить бизнес не принимать риски становится непростой задачей, однако гораздо чаще специалисты ИБ уходят в "технические игрушки", не вникая в суть и цели бизнеса, а также критерии его успешности.
Завершает статью правильная цитата, которую стоит записать всем, кто склонен топить ИТ жесткими требованиями ИБ:
"Переломить эту тенденцию может только инфобезопасник 2.0, который хорошо понимает объект защиты и принципы его функционирования, а не только методы и приёмы безопасности."
Очень рекомендую, если вы работаете на этой неделе и еще не успели морально выйти из выходных.
Обсудить можно в нашем чате: @sec_devops_chat
#talks
vc.ru
Как топ-менеджеру относиться к ИБ-рискам, кроме подхода "либо случится, либо нет"? — Личный опыт на vc.ru
Разговоры о том, как убедить бизнес в том, чтобы он обращал больше внимания на информационную безопасность, возникают, планово или стихийно, на любой конференции по информационной безопасности. Чаще всего вывод из таких дискуссий один – давайте попросим регуляторов…
Siloscape: First Known Malware Targeting Windows Containers to Compromise Cloud Environments
Разбор от Unit 42 (отдел исследований Palo Alto) вредоносного ПО Siloscape, которое использует Windows контейнеры для выходы за их пределы и эксплуатации мисконфигурации Kubernetes. Все это сопровождается коннектом до внешних C2-серверов через Tor-прокси. Инициализация вредоносного ПО предполагается через RCE веб-сервера.
Кстати, это не первая статья автора, которая посвящена безопасности Windows-контейнеров:
- Windows Server Containers Are Open, and Here's How You Can Break Out
- What I Learned from Reverse Engineering Windows Containers
Важно отметить, что Windows-контейнеры используют те же привилегии, что и хост, из-за чего не должны использоваться в качестве security boundary. Вместо этого рекомендуется использовать Hyper-V containers.
Обсудить можно здесь: @sec_devops_chat
#ops #attack #k8s
Разбор от Unit 42 (отдел исследований Palo Alto) вредоносного ПО Siloscape, которое использует Windows контейнеры для выходы за их пределы и эксплуатации мисконфигурации Kubernetes. Все это сопровождается коннектом до внешних C2-серверов через Tor-прокси. Инициализация вредоносного ПО предполагается через RCE веб-сервера.
Кстати, это не первая статья автора, которая посвящена безопасности Windows-контейнеров:
- Windows Server Containers Are Open, and Here's How You Can Break Out
- What I Learned from Reverse Engineering Windows Containers
Важно отметить, что Windows-контейнеры используют те же привилегии, что и хост, из-за чего не должны использоваться в качестве security boundary. Вместо этого рекомендуется использовать Hyper-V containers.
Обсудить можно здесь: @sec_devops_chat
#ops #attack #k8s
Unit 42
Siloscape: First Known Malware Targeting Windows Containers to Compromise Cloud Environments
The main purpose of Siloscape is to open a backdoor into poorly configured Kubernetes clusters in order to run malicious containers.
Introducing SLSA, an End-to-End Framework for Supply Chain Integrity
Под конец рабочей недели еще один пост с материалами от Google. Компания представила фреймворк SLSA (Supply-chain Levels for Software Artifacts), в котором обобщён имеющийся опыт по защите инфраструктуры разработки от атак, осуществляемых на стадии написания кода, тестирования, сборки и распространения продукта. Фреймворк учитывает 8 видов атак, связанных с угрозами внесения вредоносных изменений на стадиях, указанных выше. Каждая атака описана существующим примером. Оригинал можно прочитать здесь.
#dev #ops
Под конец рабочей недели еще один пост с материалами от Google. Компания представила фреймворк SLSA (Supply-chain Levels for Software Artifacts), в котором обобщён имеющийся опыт по защите инфраструктуры разработки от атак, осуществляемых на стадии написания кода, тестирования, сборки и распространения продукта. Фреймворк учитывает 8 видов атак, связанных с угрозами внесения вредоносных изменений на стадиях, указанных выше. Каждая атака описана существующим примером. Оригинал можно прочитать здесь.
#dev #ops
AquaSecurity_Cloud_Native_Threat_Report_2021.pdf
7.5 MB
Attacks in the Wild on the Container Supply Chain and Infrastructure
Помните отчет от Aqua, где они установили honeypot'ы для определения атак направленных на контейнерную среду? Они выпустили новый отчет, где атак было зафиксировано больше (рост на 26% за квартал), а результаты не менее интересны. Отчет достаточно хорошо описывает векторы атаки, связанные с MITRE ATT&CK, с приложенными скриншотами используемых скриптов.
#attack #docker #k8s #ops
Помните отчет от Aqua, где они установили honeypot'ы для определения атак направленных на контейнерную среду? Они выпустили новый отчет, где атак было зафиксировано больше (рост на 26% за квартал), а результаты не менее интересны. Отчет достаточно хорошо описывает векторы атаки, связанные с MITRE ATT&CK, с приложенными скриншотами используемых скриптов.
#attack #docker #k8s #ops
Container Security в DevOps курилке
В эту пятницу в 20.00 состоится выход первой серии подкаста "DevOps курилка", который будет проводиться с помощью встроенных механизмов тг в известном чате @devops_ru. Тема первого выпуска - безопасность контейнеров, где я буду общаться с @Asgoret и @afidelina о формировании требований, моделировании угроз, слепых зонах и инструментах. Все вопросы можно будет задавать в чате @sec_devops_chat. Также постараюсь заготовить некоторый материал, чтобы закидывать его в режиме онлайн в чат.
Подключиться к подкасту:
https://www.tgoop.com/devops_ru?voicechat
#talks
В эту пятницу в 20.00 состоится выход первой серии подкаста "DevOps курилка", который будет проводиться с помощью встроенных механизмов тг в известном чате @devops_ru. Тема первого выпуска - безопасность контейнеров, где я буду общаться с @Asgoret и @afidelina о формировании требований, моделировании угроз, слепых зонах и инструментах. Все вопросы можно будет задавать в чате @sec_devops_chat. Также постараюсь заготовить некоторый материал, чтобы закидывать его в режиме онлайн в чат.
Подключиться к подкасту:
https://www.tgoop.com/devops_ru?voicechat
#talks
Application Threat Modeling или чего не хватает вашим приложениям
На подкасте упоминал про процесс моделирования угроз, который по-хорошему должен стоять в начале формирования требований безопасности к любой системе и приложению, в том числе Kubernetes. Тем не менее только сейчас нашел статью, которую хотел зашарить еще в пятницу в чат (в дополнение к тем, которыми уже поделился) - "Application Threat Modeling или чего не хватает вашим приложениям". Это небольшая статья от @icyberdeveloper о процессе моделирования угроз с применением методик STRIDE/DRIDE на примере простого приложения.
Основные шаги при моделировании угроз:
1. Декомпозиция приложения на объекты под угрозой.
2. Определение опасностей, грозящих системе.
3. Построение деревьев угроз.
4. Оценка риска безопасности для каждого дерева.
5. Сортировка опасностей в порядке убывания степени их серьезности.
6. Выбор методов борьбы с опасностями.
7. Отбор технологий для выбранных методов борьбы с опасностями.
Кстати, про все это вас будут спрашивать, если вы захотите пройти собеседование в иностранные компании на позицию AppSec или DevSecOps, поэтому однозначно стоит добавить в свой roadmap.
#dev #ops #threatmodeling
На подкасте упоминал про процесс моделирования угроз, который по-хорошему должен стоять в начале формирования требований безопасности к любой системе и приложению, в том числе Kubernetes. Тем не менее только сейчас нашел статью, которую хотел зашарить еще в пятницу в чат (в дополнение к тем, которыми уже поделился) - "Application Threat Modeling или чего не хватает вашим приложениям". Это небольшая статья от @icyberdeveloper о процессе моделирования угроз с применением методик STRIDE/DRIDE на примере простого приложения.
Основные шаги при моделировании угроз:
1. Декомпозиция приложения на объекты под угрозой.
2. Определение опасностей, грозящих системе.
3. Построение деревьев угроз.
4. Оценка риска безопасности для каждого дерева.
5. Сортировка опасностей в порядке убывания степени их серьезности.
6. Выбор методов борьбы с опасностями.
7. Отбор технологий для выбранных методов борьбы с опасностями.
Кстати, про все это вас будут спрашивать, если вы захотите пройти собеседование в иностранные компании на позицию AppSec или DevSecOps, поэтому однозначно стоит добавить в свой roadmap.
#dev #ops #threatmodeling
How do you feel about reading posts in english?
Anonymous Poll
42%
Cool!
22%
Okay, but only if the Russian language remains
30%
No difference
6%
Bad!
OPA instead of PSP
Большинство, кажется, уже в курсе, что PSP в Kubernetes перейдет в статус
Недавно в чат вкинули репо с правилами для OPA, которые можно взять за основу, чтобы полностью заменить PSP. Спасибо @Uburro!
#ops #k8s #ops
Большинство, кажется, уже в курсе, что PSP в Kubernetes перейдет в статус
deprecated в версии 1.21, а альфа-релиз замены появится только в 1.22, но тем не менее проблема будущего встроенного policy движка все еще стоит на повестке. Один из вариантов - Open Policy Agent (OPA) Gatekeeper.Недавно в чат вкинули репо с правилами для OPA, которые можно взять за основу, чтобы полностью заменить PSP. Спасибо @Uburro!
#ops #k8s #ops
RESTler - first stateful REST API fuzzing tool
RESTler - инструмент от Microsoft, принимающий в качестве входных значений OpenAPI/Swagger спецификацию, а на выходе формирующий набор тестов, направленных на повышение безопасности. Сам же инструмент выполняет и фаззинг. Пока что среди багов находит утечку ресурсов, неавторизованный доступ, наличие ошибок (500), use-after-free, доступность дочерних ресурсов не из родительских.
#fuzzing #dev
RESTler - инструмент от Microsoft, принимающий в качестве входных значений OpenAPI/Swagger спецификацию, а на выходе формирующий набор тестов, направленных на повышение безопасности. Сам же инструмент выполняет и фаззинг. Пока что среди багов находит утечку ресурсов, неавторизованный доступ, наличие ошибок (500), use-after-free, доступность дочерних ресурсов не из родительских.
#fuzzing #dev
GitHub
GitHub - microsoft/restler-fuzzer: RESTler is the first stateful REST API fuzzing tool for automatically testing cloud services…
RESTler is the first stateful REST API fuzzing tool for automatically testing cloud services through their REST APIs and finding security and reliability bugs in these services. - microsoft/restler...
Изучаем уязвимости в сервисах поставки кода
Увидел тут в Античате вырезку из журнала "Хакер" - "Опасная разработка. Изучаем уязвимости в сервисах поставки кода". Рассматриваются уязвимости и мисконфигурации таких продуктов как Jira, Confluence, Asana, GitLab, TeamCity и нескольких других.
Увидел тут в Античате вырезку из журнала "Хакер" - "Опасная разработка. Изучаем уязвимости в сервисах поставки кода". Рассматриваются уязвимости и мисконфигурации таких продуктов как Jira, Confluence, Asana, GitLab, TeamCity и нескольких других.
"Большую часть перечисленного я обнаружил в 2019 году, так что не жди, что проделанное мной можно будет повторить на актуальных версиях перечисленных программ. Большинство уязвимостей уже закрыты, но моя цель в данном случае - продемонстрировать, как нужно думать, что бы их обнаруживать."#attack
Telegram
ANTICHAT Channel
Опасная разработка. Изучаем уязвимости в сервисах поставки кода — «Хакер»
Forwarded from CloudSec Wine
🔸Building an end-to-end Kubernetes-based DevSecOps software factory on AWS
"DevSecOps software factory implementation can significantly vary depending on the application, infrastructure, architecture, and the services and tools used. In a previous post, I provided an end-to-end DevSecOps pipeline for a three-tier web application deployed with AWS Elastic Beanstalk. The pipeline used cloud-native services along with a few open-source security tools. This solution is similar, but instead uses a containers-based approach with additional security analysis stages. It defines a software factory using Kubernetes along with necessary AWS Cloud-native services and open-source third-party tools. Code is provided in the GitHub repo to build this DevSecOps software factory, including the integration code for third-party scanning tools."
https://aws.amazon.com/ru/blogs/devops/building-an-end-to-end-kubernetes-based-devsecops-software-factory-on-aws/
#aws
"DevSecOps software factory implementation can significantly vary depending on the application, infrastructure, architecture, and the services and tools used. In a previous post, I provided an end-to-end DevSecOps pipeline for a three-tier web application deployed with AWS Elastic Beanstalk. The pipeline used cloud-native services along with a few open-source security tools. This solution is similar, but instead uses a containers-based approach with additional security analysis stages. It defines a software factory using Kubernetes along with necessary AWS Cloud-native services and open-source third-party tools. Code is provided in the GitHub repo to build this DevSecOps software factory, including the integration code for third-party scanning tools."
https://aws.amazon.com/ru/blogs/devops/building-an-end-to-end-kubernetes-based-devsecops-software-factory-on-aws/
#aws
Managing SSH Access at Scale with HashiCorp Vault
Выходим из затяжной паузы по постам и начинаем неделю с материала HashiCorp Vault об управлении SSH-ключами. Подобная интеграция может быть нужна по нескольким причинам. Во-первых, закрытые ключи пользователей хостов нередко становятся скомпрометированными по той или ной причине. Во-вторых, управление закрытыми ключами зачастую становится довольно сложной задачей, как и масштабирование данного процесса. Как итог процесс сопровождается отсутствием инвентаризации, что ведет к хаосу с точки зрения управления доступами.
В результате интеграции Vault предоставляет механизм управления ключами совместно с политиками (порядок того, кто куда имеет доступ) и аудитом. Теперь вместо долгосрочных ключей используются кратковременные сертификаты с помощью SSH CA хранилища, которые можно создать в несколько экземпляров для различных сред (dev, stage, prod, infra).
Managing SSH Access at Scale with HashiCorp Vault
#vault #ops
Выходим из затяжной паузы по постам и начинаем неделю с материала HashiCorp Vault об управлении SSH-ключами. Подобная интеграция может быть нужна по нескольким причинам. Во-первых, закрытые ключи пользователей хостов нередко становятся скомпрометированными по той или ной причине. Во-вторых, управление закрытыми ключами зачастую становится довольно сложной задачей, как и масштабирование данного процесса. Как итог процесс сопровождается отсутствием инвентаризации, что ведет к хаосу с точки зрения управления доступами.
В результате интеграции Vault предоставляет механизм управления ключами совместно с политиками (порядок того, кто куда имеет доступ) и аудитом. Теперь вместо долгосрочных ключей используются кратковременные сертификаты с помощью SSH CA хранилища, которые можно создать в несколько экземпляров для различных сред (dev, stage, prod, infra).
Managing SSH Access at Scale with HashiCorp Vault
#vault #ops
Light-weighted API Firewall by Wallarm
Wallarm выложили на Github свой легковесный вариант API Firewall. Это реверс-прокси, написанный на Go, который валидирует запросы и ответы для OpenAPI v3. Поддерживается инсталляция через Helm.
Примеры:
- API Firewall demo with Docker Compose
- Protecting Kubernetes Application
Hot-to guide:
- Securing REST with free API Firewall.
#waf #ops
Wallarm выложили на Github свой легковесный вариант API Firewall. Это реверс-прокси, написанный на Go, который валидирует запросы и ответы для OpenAPI v3. Поддерживается инсталляция через Helm.
Примеры:
- API Firewall demo with Docker Compose
- Protecting Kubernetes Application
Hot-to guide:
- Securing REST with free API Firewall.
#waf #ops
GitHub
GitHub - wallarm/api-firewall: Fast and light-weight API proxy firewall for request and response validation by OpenAPI specs.
Fast and light-weight API proxy firewall for request and response validation by OpenAPI specs. - GitHub - wallarm/api-firewall: Fast and light-weight API proxy firewall for request and response va...
NCC_Group_Google_GOIST2005_Report_2020-08-06_v1.1 .pdf
849.7 KB
Announcing the results of Istio’s first security assessment
Команда Istio выпустила результаты аудита безопасности их продукта версии 1.6.5, который проводился NCC Group в прошлом году. К отчету идет сопутствующая статья, где поясняется, откуда взялись те или иные Security Best Practices.
#ops #attack #report #k8s
Команда Istio выпустила результаты аудита безопасности их продукта версии 1.6.5, который проводился NCC Group в прошлом году. К отчету идет сопутствующая статья, где поясняется, откуда взялись те или иные Security Best Practices.
#ops #attack #report #k8s