Слышали про honeypot?
Это специально оставленная брешь в системе, которую с большой вероятностью найдет хакер и наследит там. По этим следам мгновенно будет понятно, что система находится под атакой и админы должны усилить бдительность.
canarytokens - генератор артефактов, при открытии которых приходит алерт на электронную почту
Из артефактов:
- URL
- DNS
- AWS key
- MS Office document
- kubeconfig
- PDF
- EXE/DLL
- WireGuard config
- Дампы баз данных
- ...
#honeypot #security
Это специально оставленная брешь в системе, которую с большой вероятностью найдет хакер и наследит там. По этим следам мгновенно будет понятно, что система находится под атакой и админы должны усилить бдительность.
canarytokens - генератор артефактов, при открытии которых приходит алерт на электронную почту
Из артефактов:
- URL
- DNS
- AWS key
- MS Office document
- kubeconfig
- EXE/DLL
- WireGuard config
- Дампы баз данных
- ...
#honeypot #security
Canarytokens
Know. Before it matters
Canarytokens is a free tool that helps you discover you’ve been breached by having attackers announce themselves. The tokens allow you to implant traps around your network and notifies you as soon as they are triggered.
У MS есть полезный обновляющийся портал с гайдам, схемами и полезными ссылками.
Вот, например, по security
https://learn.microsoft.com/en-us/security/
#security
Вот, например, по security
https://learn.microsoft.com/en-us/security/
#security
Docs
Microsoft Security documentation and training - Security
Cybersecurity documentation, training, and certifications for security engineers, security operations analysts, and identity and access administrators.
Исследователи из компании Oxeye обнаружили критическую уязвимость в популярной JavaScript-библиотеке vm2. Брешь получила имя “SandBreak“ и 10 баллов по шкале CVSS. Специалистам по кибербезопасности, использующим vm2, стоит незамедлительно пропатчить библиотеку. Библиотека vm2 является наиболее популярной JavaScript-песочницей, которую за один месяц скачивают 16,5 млн раз. Она предоставляет фреймворк для тестов, с помощью которого можно запускать подозрительный код в одном процессе.
Источник: https://www.anti-malware.ru/news/2022-10-10-111332/39698
Сама CVE
#cve #security
Источник: https://www.anti-malware.ru/news/2022-10-10-111332/39698
Сама CVE
#cve #security
Anti-Malware
В JavaScript-библиотеке и песочнице vm2 нашли критическую уязвимость
Исследователи из компании Oxeye обнаружили критическую уязвимость в популярной JavaScript-библиотеке vm2. Брешь получила имя “SandBreak“ и 10 баллов по шкале CVSS. Специалистам по кибербезопасности,
Как обезопасить себя в Интернете
https://medium.com/@sergeybelove/the-checklist-to-secure-your-digital-life-19024396db16
#security #privacy
https://medium.com/@sergeybelove/the-checklist-to-secure-your-digital-life-19024396db16
#security #privacy
Medium
Checklist to secure your digital life
This post has been created for a wide audience, specifically for people who may think that they are at risk of being compromised, and that…
Методологии тестирования безопасности:
- OSSTMM - The Open Source Security Testing Methodology Manual. Фокусируется на взаимодействии систем. Подходит для взлома инфраструктуры
- OWASP - Open Web Application Security Project. Как видно из названия - тестирование защищенности веб приложений (XSS, CSRF, SQLi и прочее)
- NIST Cybersecurity Framework
- NCSC CAF - National Cyber Security Centre Cyber Assessment Framework
#security #pentest #framework
- OSSTMM - The Open Source Security Testing Methodology Manual. Фокусируется на взаимодействии систем. Подходит для взлома инфраструктуры
- OWASP - Open Web Application Security Project. Как видно из названия - тестирование защищенности веб приложений (XSS, CSRF, SQLi и прочее)
- NIST Cybersecurity Framework
- NCSC CAF - National Cyber Security Centre Cyber Assessment Framework
#security #pentest #framework
По мотивам недавнего поста про Kubernetes goat.
Для тренировки с уязвимыми пайплайнами есть подобный продукт - CI/CD Goat
В комплекте неправильно настроенные Jenkins, Gitea и Gitlab
#cicd #security
Для тренировки с уязвимыми пайплайнами есть подобный продукт - CI/CD Goat
В комплекте неправильно настроенные Jenkins, Gitea и Gitlab
#cicd #security
GitHub
GitHub - cider-security-research/cicd-goat: A deliberately vulnerable CI/CD environment. Learn CI/CD security through multiple…
A deliberately vulnerable CI/CD environment. Learn CI/CD security through multiple challenges. - cider-security-research/cicd-goat
Как получить доступ на ноду
У
Запускаем под
пизблагодарность от коллег
#k8s #security
kubernetes
, если есть kubeconfig
, но нет доступа по ключу ssh
? У
kubectl
есть режим debug
, позволяющий дебажить кластер. Один из его параметров запускает под и монтирует файловую систему ноды внутрь этого пода. Запускаем под
k debug node/${NODENAME} -it --image=busyboxВся ФС ноды есть в поде в директории
/host
Добавляем свой ключecho "ssh-ed25519 KEY_DATA_HERE mikrotik-ninja@bubnovd.net" >> /host/home/mikrotik-ninja/.ssh/authorized_keysТолько не забудьте два раза написать
>
в последней команде, чтобы не затереть уже существующие ключи и не получить #k8s #security
kubesec Верификатор k8s манифестов
Может работать как бинарник на хосте, контейнер, плагин к kubectl или внешний http сервис. Есть даже AdmissionController, который позволяет проверять ресурсы на лету - при создании пода/деплоймента/демонсета/...
Проверяет манифесты на соответствие security best practices. Судя по гитхабу - можно дописать свои правила
#k8s #security
Может работать как бинарник на хосте, контейнер, плагин к kubectl или внешний http сервис. Есть даже AdmissionController, который позволяет проверять ресурсы на лету - при создании пода/деплоймента/демонсета/...
Проверяет манифесты на соответствие security best practices. Судя по гитхабу - можно дописать свои правила
#k8s #security
kubesec.io
kubesec.io :: kubesec.io
Немного тулзов, чтобы у твоего кубернетеса не было дыры в безопасности
- rbac-manager - оператор для удобной работы с RBAC. Позволяет биндить роли по лейблам на ресурсах, создавать биндинги в разных неймспейсах из одного манифеста и по-другому упрощает жизнь кластер админа
- rbac-lookup - CLI утилита для просмотра прав юзеров. Одной строкой выводит все биндинги
- audit2rbac - читает аудит логи к8с и генерирует RBAC исходя из того, что нужно юзерам
#k8s #security #rbac
- rbac-manager - оператор для удобной работы с RBAC. Позволяет биндить роли по лейблам на ресурсах, создавать биндинги в разных неймспейсах из одного манифеста и по-другому упрощает жизнь кластер админа
- rbac-lookup - CLI утилита для просмотра прав юзеров. Одной строкой выводит все биндинги
- audit2rbac - читает аудит логи к8с и генерирует RBAC исходя из того, что нужно юзерам
#k8s #security #rbac
GitHub
GitHub - FairwindsOps/rbac-manager: A Kubernetes operator that simplifies the management of Role Bindings and Service Accounts.
A Kubernetes operator that simplifies the management of Role Bindings and Service Accounts. - FairwindsOps/rbac-manager
TruffleHog - поиск credentials в
- git
- github
- gitlab
- docker
- S3
- filesystem (files and directories)
- syslog
- circleci
- GCS (Google Cloud Storage)
#security #credentials
- git
- github
- gitlab
- docker
- S3
- filesystem (files and directories)
- syslog
- circleci
- GCS (Google Cloud Storage)
#security #credentials
GitHub
GitHub - trufflesecurity/trufflehog: Find and verify secrets
Find and verify secrets. Contribute to trufflesecurity/trufflehog development by creating an account on GitHub.
В дополнение к предыдущему посту
Наверняка, все уже почитали о MiTM'e jabber.ru, когда облачные хостеры воткнули полицейскую железку между серверами клиентов и провайдером интернета и сгенерировали новый сертификат для жертвы, чтобы спокойно потом расшифровывать трафик. В этот пост хочу вынести выводы из оригинального поста Валдика и ссылок из него. Пусть методы борьбы с такого рода MiTM'ом будут тут в сжатом виде - так подписчикам и мне самому будет проще вернуться к материалу и вспомнить детали. А кто ещё не читал оригинальный пост - вперед к чтению - там очень интересное расследование!
- DNS CAA из предыдущего поста
- Мониторить выдачу сертификатов на ваш домен. Работает не всегда
- Периодически коннектиться к сервису и проверять и проверять публичный ключ
- Ограничить способы выдачи сертификатов и аккаунты, которым это позволено
- Мониторить сторонними сервисами изменения сертификатов
- Контролировать смену MAC адреса шлюза
Вообще, советую побродить по бложику - там много интересного, например о том, что Cloudflare зло и надежного E2E шифрования не существует
#mitm #security #TLS #certificates
Наверняка, все уже почитали о MiTM'e jabber.ru, когда облачные хостеры воткнули полицейскую железку между серверами клиентов и провайдером интернета и сгенерировали новый сертификат для жертвы, чтобы спокойно потом расшифровывать трафик. В этот пост хочу вынести выводы из оригинального поста Валдика и ссылок из него. Пусть методы борьбы с такого рода MiTM'ом будут тут в сжатом виде - так подписчикам и мне самому будет проще вернуться к материалу и вспомнить детали. А кто ещё не читал оригинальный пост - вперед к чтению - там очень интересное расследование!
- DNS CAA из предыдущего поста
- Мониторить выдачу сертификатов на ваш домен. Работает не всегда
- Периодически коннектиться к сервису и проверять и проверять публичный ключ
- Ограничить способы выдачи сертификатов и аккаунты, которым это позволено
- Мониторить сторонними сервисами изменения сертификатов
- Контролировать смену MAC адреса шлюза
Вообще, советую побродить по бложику - там много интересного, например о том, что Cloudflare зло и надежного E2E шифрования не существует
#mitm #security #TLS #certificates
Telegram
Mikrotik Ninja
Защита от MITM провайдеров
Для предотвращения получения TLS-сертификатов третьими лицами, которые в ходе MITM-атаки могут контролировать трафик сервера, рекомендовано использовать DNS-запись CAA, через которую можно указать какой именно удостоверяющий центр…
Для предотвращения получения TLS-сертификатов третьими лицами, которые в ходе MITM-атаки могут контролировать трафик сервера, рекомендовано использовать DNS-запись CAA, через которую можно указать какой именно удостоверяющий центр…
Получил CKS, а тяга к курсам и сертификатам все ещё не утихает. Что же делать?
Собрал ещё пачку сертификатов по безопасности кубернетеса и облаков.
- Certified Cloud Native Security Expert от какой-то неизвестной мне конторы. В описании курса перечислены темы из CKS, отдельные модули о Microservices Architecture и Container Security и такие инструменты:
По облачной безопасности сертов больше:
- Вендорские от AWS, GCP, Azure
- CompTIA Cloud+ - уважаемая контора и сертфикация. Вендор фри. Темы:
- 1 Cloud Architecture and Design
- 1.1 Compare and contrast the different types of cloud models
- 1.2 Capacity planning
- 1.3 High availability and scaling in cloud environments
- 1.4 Solution design in support of the business requirements
- 2 Security
- 2.1 Identity and access management (LDAP, SSO, SAML, PKI, MFA)
- 2.2 Secure a network in a cloud environment (VLAN, VXLAN, GENEVE, DoH, DoT, DNSSEC, NTP, IPSEC, TLS, VPNs, WAF, IPS, IDS, IPC, DLP)
- 2.3 OS and application security controls
- 2.4 Data security and compliance controls in cloud environments
- 2.5 Tools to meet security requirements
- 2.6 Incident response
- 3 Deployment
- 3.1 Integrate components into a cloud solution (email, VoIP, messaging, VDI)
- 3.2 Storage in cloud environments (SAN, NAS, network filesystems)
- 3.3 Cloud networking solutions
- 3.4 Appropriate compute sizing
- 3.5 Cloud migrations (Physical to virtual (P2V), Virtual to virtual (V2V), Storage migration, Database migration)
- 4 Operations and Support
- 4.1 Logging, monitoring, and alerting
- 4.2 Efficient operation
- 4.3 Optimize cloud environments
- 4.4 Automation and orchestration techniques
- 4.5 Backup and restore operations
- 4.6 Disaster recovery
- 5 Troubleshooting
- 5.1 Troubleshooting methodology to resolve cloud-related issues
- 5.2 Troubleshoot security issues
- 5.3 Troubleshoot deployment issues
- 5.4 Troubleshoot connectivity issues
- 5.5 Troubleshoot common performance issues
- 5.6 Troubleshoot automation or orchestration issues
Полное описание экзамена
У CompTIA ещё много сертификаций на сайте. Насколько я понял, курсы они не читают, а только принимают экзамены. Курсы доступны на других платформах
- GIAC Cloud Security Automation. GIAC - отделение небезызвестной SANS. Очень уважаемая компания. Сертификатов у них много по разным направлениям, как и у CompTIA. Топики:
- Microservice Security
- Cloud Security Fundamentals
- Cloud Security Monitoring
- Compliance as Code
- Configuration Management as Code
- Container Security
- Continuous Security Monitoring
- Data Protection and Secrets Management
- Deployment Orchestration and Secure Content Delivery
- DevOps Fundamentals
- DevSecOps Security Controls
- Runtime Security Automation
- Secure Infrastructure as Code
- Securing Cloud Architecture
- Serverless Security
- Certified Cloud Security Professional от ISC2. Топики похожи на перечисленные выше от конкурентов. Детальней тут
#courses #security #cloud
Собрал ещё пачку сертификатов по безопасности кубернетеса и облаков.
- Certified Cloud Native Security Expert от какой-то неизвестной мне конторы. В описании курса перечислены темы из CKS, отдельные модули о Microservices Architecture и Container Security и такие инструменты:
kube-hunter
, KubiScan
, krane
, inspec
, wazuh
. Выглядит интересно, но бесполезно после CKS и непонятно кто вообще признает серты этой компании. Если вы что-то знаете об этой компании - напишите в комментах, пожалуйстаПо облачной безопасности сертов больше:
- Вендорские от AWS, GCP, Azure
- CompTIA Cloud+ - уважаемая контора и сертфикация. Вендор фри. Темы:
- 1 Cloud Architecture and Design
- 1.1 Compare and contrast the different types of cloud models
- 1.2 Capacity planning
- 1.3 High availability and scaling in cloud environments
- 1.4 Solution design in support of the business requirements
- 2 Security
- 2.1 Identity and access management (LDAP, SSO, SAML, PKI, MFA)
- 2.2 Secure a network in a cloud environment (VLAN, VXLAN, GENEVE, DoH, DoT, DNSSEC, NTP, IPSEC, TLS, VPNs, WAF, IPS, IDS, IPC, DLP)
- 2.3 OS and application security controls
- 2.4 Data security and compliance controls in cloud environments
- 2.5 Tools to meet security requirements
- 2.6 Incident response
- 3 Deployment
- 3.1 Integrate components into a cloud solution (email, VoIP, messaging, VDI)
- 3.2 Storage in cloud environments (SAN, NAS, network filesystems)
- 3.3 Cloud networking solutions
- 3.4 Appropriate compute sizing
- 3.5 Cloud migrations (Physical to virtual (P2V), Virtual to virtual (V2V), Storage migration, Database migration)
- 4 Operations and Support
- 4.1 Logging, monitoring, and alerting
- 4.2 Efficient operation
- 4.3 Optimize cloud environments
- 4.4 Automation and orchestration techniques
- 4.5 Backup and restore operations
- 4.6 Disaster recovery
- 5 Troubleshooting
- 5.1 Troubleshooting methodology to resolve cloud-related issues
- 5.2 Troubleshoot security issues
- 5.3 Troubleshoot deployment issues
- 5.4 Troubleshoot connectivity issues
- 5.5 Troubleshoot common performance issues
- 5.6 Troubleshoot automation or orchestration issues
Полное описание экзамена
У CompTIA ещё много сертификаций на сайте. Насколько я понял, курсы они не читают, а только принимают экзамены. Курсы доступны на других платформах
- GIAC Cloud Security Automation. GIAC - отделение небезызвестной SANS. Очень уважаемая компания. Сертификатов у них много по разным направлениям, как и у CompTIA. Топики:
- Microservice Security
- Cloud Security Fundamentals
- Cloud Security Monitoring
- Compliance as Code
- Configuration Management as Code
- Container Security
- Continuous Security Monitoring
- Data Protection and Secrets Management
- Deployment Orchestration and Secure Content Delivery
- DevOps Fundamentals
- DevSecOps Security Controls
- Runtime Security Automation
- Secure Infrastructure as Code
- Securing Cloud Architecture
- Serverless Security
- Certified Cloud Security Professional от ISC2. Топики похожи на перечисленные выше от конкурентов. Детальней тут
#courses #security #cloud
Practical DevSecOps
DevSecOps Training - DevSecOps Certification - Practical DevSecOps
World class DevSecOps Training and Certifications.Learn devsecops from Industry experts with practical, hands-on training in our state of the art labs.
Above - Network protocol sniffer, allows you to find network attack vectors
Абсолютно бесшумный снифер. Позволяет остаться незамеченным при исследовании сетевых протоколов
#network #security
Абсолютно бесшумный снифер. Позволяет остаться незамеченным при исследовании сетевых протоколов
#network #security
GitHub
GitHub - casterbyte/Above: Invisible network protocol sniffer
Invisible network protocol sniffer. Contribute to casterbyte/Above development by creating an account on GitHub.
Обнаружить нарушителя в инфраструктуре не так то просто. Большие компании нанимают целые отделы для анализа логов и поведения софта, чтобы вовремя найти злоумышленника и предовратить развитие атаки.
Если такого отдела нет (да и если есть), то можно поставить специально подготовленную уязвимую систему, не участвующую в бизнес процессах, а лишь притягивающую на себя внимание атакующего. И внимательно наблюдать за ней. Когда кто-то скачает файл или попытается залогиниться - это звоночек, указывающий, что кто-то пытается зайти туда, куда не должен и нужно усилить охрану. Такие системы называются Honey Pot и могут эмулировать самые разные продакшн системы: VPN серверы, веб серверы, mail серверы, ssh серверы, elasticsearch, jira, smb шары, ...
T-Pot - целый комбайн из Honey Pots, работающий в OnPrem или облаках. Он оркестрирует работу пачки разных Honey Pots и выдает результаты работы в удобном интерфейсе
Ну а если не хочется заморачиваться с установкой и настройкой, то можно попробовать canarytokens. Я уже писал об этом сервисе
#security #honeypot
Если такого отдела нет (да и если есть), то можно поставить специально подготовленную уязвимую систему, не участвующую в бизнес процессах, а лишь притягивающую на себя внимание атакующего. И внимательно наблюдать за ней. Когда кто-то скачает файл или попытается залогиниться - это звоночек, указывающий, что кто-то пытается зайти туда, куда не должен и нужно усилить охрану. Такие системы называются Honey Pot и могут эмулировать самые разные продакшн системы: VPN серверы, веб серверы, mail серверы, ssh серверы, elasticsearch, jira, smb шары, ...
T-Pot - целый комбайн из Honey Pots, работающий в OnPrem или облаках. Он оркестрирует работу пачки разных Honey Pots и выдает результаты работы в удобном интерфейсе
Ну а если не хочется заморачиваться с установкой и настройкой, то можно попробовать canarytokens. Я уже писал об этом сервисе
#security #honeypot
GitHub
GitHub - telekom-security/tpotce: 🍯 T-Pot - The All In One Honeypot Platform 🐝
🍯 T-Pot - The All In One Honeypot Platform 🐝. Contribute to telekom-security/tpotce development by creating an account on GitHub.
ContainerCVE - онлайн платформа для поиска уязвимостей в публичных образах на hub.docker.com. Использует под капотом trivy
#security #docker
#security #docker
Containercve
ContainerCVE: Scan Docker containers for security vulnerabilities
Quickly find the CVE's for any public Docker Hub image. Powered by the popular open-source tool Trivy.
Как собрать контейнер и не вооружить хакера
Хакеру необязательно ставить внутрь системы или контейнера какой-то дополнительный софт. Часто для плохих дел достаточно всеми любимых утилит типа curl, vim, pip
В статье о том, как можно использовать эти с виду безопасные утилиты в деструктивных целях и как от этого защититься
#security #docker #lolbins
Хакеру необязательно ставить внутрь системы или контейнера какой-то дополнительный софт. Часто для плохих дел достаточно всеми любимых утилит типа curl, vim, pip
В статье о том, как можно использовать эти с виду безопасные утилиты в деструктивных целях и как от этого защититься
#security #docker #lolbins
Кроссворд про #security и много других игр (неинтересных) по кнопке Play Other Games
https://securityawareness.usalearning.gov/cdse/multimedia/games/cybersecurity-crossword/index.html
https://securityawareness.usalearning.gov/cdse/multimedia/games/cybersecurity-crossword/index.html