Приколитесь: немцы снифали и расшифровывали зашифрованный трафик на серверах jabber.ru в датацентре Hetzner.

Выпустили отдельный SSL сертификат и проксировали коннекты к TCP:5222. Ого! Вскрылось случайно из-за ошибки их админов. Если бы не эта ошибка, скорее всего, так никто бы и не заметил.

Скорее всего это правительственная атака и хостеров просто обязали накручивать эти редиректы. Интересно сколько таких джаббер серверов прослушивается в данный момент. Ведь кулхацкеры скамеры чаще всего используют именно джаббер. Еще один эпизод оправдывающий параною красноглазых криптоманьяков.

Мораль:

1. Проверяйте фингерпринты сертификатов даже если лень.

2. Безопаснее E2E шифрования ничего не придумали, но и там всем лень проверять отпечатки ключей.

Лично мне больше все нравится подход Телеграм с 4 эмоджи в качестве отпечатка ключа, это не сложно сверить при звонке.

Пост на HN: https://news.ycombinator.com/item?id=37955264

Само расследование https://notes.valdikss.org.ru/jabber.ru-mitm/

Кажется, у kubernetes какие-то проблемы с CDN

Пять дней назад открыта ишью на то, что некоторых бинарников нет на некторых хранилищах.

Судя по всему - проблема в CDN k8s.io и с разных регионов недоступны разные бинари. А раз за пять дней они так и не разлили бинари по всем регионам, то напрашивается вывод, что проблемы чуть глубже, чем забыли залить эту версию на этот сервер

Сообщают, что ТТК в Магнитогорске сломался. Сильно сломался.

Судя по всему, проблема у ТТК глобальная. Затронуло всю сеть - не только Магнитку

UPD: Говорят, только внутрнняя инфра легла. Транспорт работает. Расходимся, пока всё в порядке

В CloudFlare изобрели шифрование с помощью светильников

У kodekloud есть бесплатная платформа для проверки знаний в контексте СKS. Четыре лабы с заданиями на
- network policies
- RBAC
- seccomp
- AppArmor
- Aquasec Trivy
- Kubesec
- CIS Benchmarks
- Falco

#CKS

Тут опять в соседнем чате возникло обсуждение, что читать/смотреть для осознания базовых фундаментальных вещей, если в школе ковырял в носу, а теперь прижало и надо вот прямо сейчас.
И как обычно всё свалилось к лекциям MIT и всяким Фейнманам, на что имею сказать, что есть бомбический teach-in от МГУ, где всё то же самое, только на родном языке. Визуалам – видосики, любителям читать – текст лекции. От школьной математики до матана и квантовой физики. Всё настолько разжёвано и на пальцах, что за выходные можно наверстать все упущения молодости.
P.S. Я тут узнал, что в школах активно вводят маркерные доски. Где подписать петицию, чтобы у детей не отнимали кайф покидаться меловой тряпкой? А то что это за школа такая, где дети мела не нюхали...

https://teach-in.ru/#category-physics

Подъехали записи с OpenSysConf 23
Спасибо всем причастным!
https://www.youtube.com/playlist?list=PL8ma-LO-KRZZtazWADJIAIAaj4_pgxCFG

А в лучшем чате для девопсов и сисадминов сегодня показали как в git откатиться до любого состояния. Даже после git reset —hard

git reflog

https://stackoverflow.com/questions/5473/how-can-i-undo-git-reset-hard-head1

#git

Your printer is not your printer! Райтапы от Devcore с Pwn2Own в двух частях.

За последние несколько лет принтер стал одним из основных устройств в корпоративной интрасети, и его функциональные возможности также значительно расширились. Для удобства использования поддерживаются не только печать или отправка факсов, но и облачные сервисы печати, например AirPrint. Прямая печать с мобильных устройств стала основным требованием в эпоху IoT. Их также используют его для печати внутренних деловых компании, что делает обеспечение безопасности принтеров еще более важным занятием.

Но чем сложней и умней становятся принтеры и МФУ, тем большую проблему они могут и создать.

В прицел исследователей попали довольно популярные аппараты:
- HP Color LaserJet Pro M479fdw
- Lexmark MC3224i
- Canon imageCLASS MF743Cdw

В 2021 году ребята обнаружили RCE (CVE-2022-24673 и CVE-2022-3942) в принтерах Canon и HP, а также уязвимость (CVE-2021-44734) в Lexmark. Они использовали эти уязвимости для эксплуатации Canon ImageCLASS MF644Cdw, HP Color LaserJet Pro MFP M283fdw и Lexmark MC3224i на Pwn2Own Austin 2021.

Статьи в их блоге:
- Your printer is not your printer! - Hacking Printers at Pwn2Own Part I
- Your printer is not your printer! - Hacking Printers at Pwn2Own Part II

Living Like It's 99: No Social Media, No Smartphone

Как отказаться от смартфона, удалить аккаунты в соц. сетях и обрести душевное спокойствие.

Грегори Альварез, автор статьи, решил провести эксперимент, который затянулся на годы. Начальной причиной отказа от социальных сетей и смартфона стала проблема с приватностью, и продолжилось отказом от дешёвого дофамина и боязни пропустить интересное.

Похожий эксперимент по отказу от смартфона проводил Мэтт Д'Авелла (видео на канале Мэтта, переведённое видео от Kramarty TV), но в его случае это был тридцатидневный эксперимент, который нельзя назвать бесполезным.

Разумеется, Грегори отказался не от всех девайсов:
- Garmin Fenix 5 Plus для музыки и навигации
- GoPro Hero5 Session для фото и видео
- Aeku M5 в роли простой звонилки

Без мессенджеров автор тоже не остался, и использует десктопную версию Signal.

Вне поля зрения статьи остался компьютер, но сложно быть специалистом по безопасности без компьютера.

В какой-то мере это похоже на модный "цифровой детокс", но вопрос действительно довольно насущный. И это история не столько про успешный успех или эффективную эффективность, сколько про то, что тревожный примат стал ещё более тревожным, уткнувшись в телефон листая соц. сети и бесконечные видео, которые просто поедают наше время, давая в замен только разочарования и кислое послевкусие.

Статья в блоге автора:
Living Like It's 99: No Social Media, No Smartphone
Статья в pdf:
Living Like It's 99: No Social Media, No Smartphone.pdf

Сдал таки. Со второго раза.

Готовился по курсу Мумшада и Killer.sh перед экзаменом

В отличие от CKA только на опыте девопса (без security) CKS не сдашь. Экзамен реально сложный и сложен он тем, что спрашивают не только о ванильном кубере, а о надстройках и смежных инструментах. Например: kube-bench, trivy, falco, sysdig, appArmor, seccomp

Из заданий:
Сделать безопасным Dockerfile , писать сетевые политики, политики аудита, фиксить ключи запуска и манифесты apiserver, kubelet, etcd, парсить логи

Защита от MITM провайдеров

Для предотвращения получения TLS-сертификатов третьими лицами, которые в ходе MITM-атаки могут контролировать трафик сервера, рекомендовано использовать DNS-запись CAA, через которую можно указать какой именно удостоверяющий центр и какая именно учётная запись в этом удостоверяющем центре авторизированы на выдачу сертификата для домена.

CAA поддерживается в Let's Encrypt и не позволяет запросить сертификат, используя другой ACME-ключ. Для включения привязки в DNS-зону следует добавить:

для привязки домена example.com к удостоверяющему центру letsencrypt.org:

example.com. IN CAA 0 issue "letsencrypt.org"

для дополнительно привязки к учётной записи acme-v02.api.letsencrypt.org/acme/acct/1234567890

example.com. IN CAA 0 issue "letsencrypt.org; accounturi=https://acme-v02.api.letsencrypt.org/acme/acct/1234567890"

DNS-сервер должен быть размещён на отдельном сервере, не подверженном MITM-атаке. Для дополнительной защиты от подмены DNS необходимо использовать протокол DNSSEC, который помешает атакующим подменить DNS-ответы с записью CAA.

В дополнение к предыдущему посту

Наверняка, все уже почитали о MiTM'e jabber.ru, когда облачные хостеры воткнули полицейскую железку между серверами клиентов и провайдером интернета и сгенерировали новый сертификат для жертвы, чтобы спокойно потом расшифровывать трафик. В этот пост хочу вынести выводы из оригинального поста Валдика и ссылок из него. Пусть методы борьбы с такого рода MiTM'ом будут тут в сжатом виде - так подписчикам и мне самому будет проще вернуться к материалу и вспомнить детали. А кто ещё не читал оригинальный пост - вперед к чтению - там очень интересное расследование!

- DNS CAA из предыдущего поста
- Мониторить выдачу сертификатов на ваш домен. Работает не всегда
- Периодически коннектиться к сервису и проверять и проверять публичный ключ
- Ограничить способы выдачи сертификатов и аккаунты, которым это позволено
- Мониторить сторонними сервисами изменения сертификатов
- Контролировать смену MAC адреса шлюза

Вообще, советую побродить по бложику - там много интересного, например о том, что Cloudflare зло и надежного E2E шифрования не существует

#mitm #security #TLS #certificates

Почти год назад на хабре был сезон Kubernetes - конкурс статей про один очень известный инструмент. И благодаря таким начинаниям хочется верить, что хабр всё ещё торт.

Пост - финалист сезона - доступно объясняющий, почему DNS в кубе не так прост, как может казаться. В этом посте про:
- Go DNS Resolving
- systemd-resolved
- CoreDNS

TLDR: если dig или nslookup показывают один результат, а приложение - другой, то это нормально. А доверять нельзя никому

Глубже погрузиться в Go DNS Resolving можно прочитав этот пост

Ещё глубже в Linux DNS resolving - по ссылкам из последнего поста. Начать можно отсюда

#DNS

Роутер от провайдера

Для меня было откровением, когда я подключил интернет, сменил дефолтный пароль от админа, а оказалось, что есть еще "суперадмин".

В моем случае, в роутере от МГТС, был следующий root:

mgts;mtsoao

На Ростелекоме (в частности, на роутерах от huawei), бывают следующие пары логинов и паролей:

telecomadmin;admintelecom
telecomadmin;NWTF5x%RaK8mVbD
telecomadmin;NWTF5x%
telecomadmin;nE7jA%5m

Цикл лекций от ВШЭ и kaspersky Lab Основы анализа вредоносных объектов

#security #лекции #посмотреть

Товарищ из сисадминки заказал такой аппарат с 12г оперативы и 512 диска за примерно $70

Получил, проверил и оказалось, что вместо обещанных 12 ГБ там всего 3, а диска вместо 512 ГБ аж на 500 ГБ меньше. И андроид 8 вместо обещанного 12

Причем в интерфейсе андроида все цифры красивые - как в объявлении. А стороннее приложение показывает иначе. Фото в следующем посте

Будьте бдительны и не доверяйте безымянным китайцам!