Слышали про honeypot?
Это специально оставленная брешь в системе, которую с большой вероятностью найдет хакер и наследит там. По этим следам мгновенно будет понятно, что система находится под атакой и админы должны усилить бдительность.

canarytokens - генератор артефактов, при открытии которых приходит алерт на электронную почту

Из артефактов:
- URL
- DNS
- AWS key
- MS Office document
- kubeconfig
- PDF
- EXE/DLL
- WireGuard config
- Дампы баз данных
- ...

#honeypot #security

У MS есть полезный обновляющийся портал с гайдам, схемами и полезными ссылками.
Вот, например, по security

https://learn.microsoft.com/en-us/security/

#security

Исследователи из компании Oxeye обнаружили критическую уязвимость в популярной JavaScript-библиотеке vm2. Брешь получила имя “SandBreak“ и 10 баллов по шкале CVSS. Специалистам по кибербезопасности, использующим vm2, стоит незамедлительно пропатчить библиотеку. Библиотека vm2 является наиболее популярной JavaScript-песочницей, которую за один месяц скачивают 16,5 млн раз. Она предоставляет фреймворк для тестов, с помощью которого можно запускать подозрительный код в одном процессе.

Источник: https://www.anti-malware.ru/news/2022-10-10-111332/39698

Сама CVE

#cve #security

Как обезопасить себя в Интернете
https://medium.com/@sergeybelove/the-checklist-to-secure-your-digital-life-19024396db16

#security #privacy

Методологии тестирования безопасности:
- OSSTMM - The Open Source Security Testing Methodology Manual. Фокусируется на взаимодействии систем. Подходит для взлома инфраструктуры

- OWASP - Open Web Application Security Project. Как видно из названия - тестирование защищенности веб приложений (XSS, CSRF, SQLi и прочее)

- NIST Cybersecurity Framework

- NCSC CAF - National Cyber Security Centre Cyber Assessment Framework

#security #pentest #framework

https://astrix.security/ghosttoken-exploiting-gcp-application-infrastructure-to-create-invisible-unremovable-trojan-app-on-google-accounts/

#GCP #security

#k8s #security

По мотивам недавнего поста про Kubernetes goat.

Для тренировки с уязвимыми пайплайнами есть подобный продукт - CI/CD Goat

В комплекте неправильно настроенные Jenkins, Gitea и Gitlab

#cicd #security

Как получить доступ на ноду kubernetes, если есть kubeconfig, но нет доступа по ключу ssh?

У kubectl есть режим debug, позволяющий дебажить кластер. Один из его параметров запускает под и монтирует файловую систему ноды внутрь этого пода.

Запускаем под

k  debug node/${NODENAME} -it --image=busybox

Вся ФС ноды есть в поде в директории /host

Добавляем свой ключ

echo "ssh-ed25519 KEY_DATA_HERE mikrotik-ninja@bubnovd.net" >> /host/home/mikrotik-ninja/.ssh/authorized_keys

Только не забудьте два раза написать > в последней команде, чтобы не затереть уже существующие ключи и не получить пизблагодарность от коллег

#k8s #security

kubesec Верификатор k8s манифестов

Может работать как бинарник на хосте, контейнер, плагин к kubectl или внешний http сервис. Есть даже AdmissionController, который позволяет проверять ресурсы на лету - при создании пода/деплоймента/демонсета/...

Проверяет манифесты на соответствие security best practices. Судя по гитхабу - можно дописать свои правила

#k8s #security

Немного тулзов, чтобы у твоего кубернетеса не было дыры в безопасности

- rbac-manager - оператор для удобной работы с RBAC. Позволяет биндить роли по лейблам на ресурсах, создавать биндинги в разных неймспейсах из одного манифеста и по-другому упрощает жизнь кластер админа

- rbac-lookup - CLI утилита для просмотра прав юзеров. Одной строкой выводит все биндинги

- audit2rbac - читает аудит логи к8с и генерирует RBAC исходя из того, что нужно юзерам

#k8s #security #rbac

TruffleHog - поиск credentials в
- git
- github
- gitlab
- docker
- S3
- filesystem (files and directories)
- syslog
- circleci
- GCS (Google Cloud Storage)

#security #credentials

В дополнение к предыдущему посту

Наверняка, все уже почитали о MiTM'e jabber.ru, когда облачные хостеры воткнули полицейскую железку между серверами клиентов и провайдером интернета и сгенерировали новый сертификат для жертвы, чтобы спокойно потом расшифровывать трафик. В этот пост хочу вынести выводы из оригинального поста Валдика и ссылок из него. Пусть методы борьбы с такого рода MiTM'ом будут тут в сжатом виде - так подписчикам и мне самому будет проще вернуться к материалу и вспомнить детали. А кто ещё не читал оригинальный пост - вперед к чтению - там очень интересное расследование!

- DNS CAA из предыдущего поста
- Мониторить выдачу сертификатов на ваш домен. Работает не всегда
- Периодически коннектиться к сервису и проверять и проверять публичный ключ
- Ограничить способы выдачи сертификатов и аккаунты, которым это позволено
- Мониторить сторонними сервисами изменения сертификатов
- Контролировать смену MAC адреса шлюза

Вообще, советую побродить по бложику - там много интересного, например о том, что Cloudflare зло и надежного E2E шифрования не существует

#mitm #security #TLS #certificates

Цикл лекций от ВШЭ и kaspersky Lab Основы анализа вредоносных объектов

#security #лекции #посмотреть

Получил CKS, а тяга к курсам и сертификатам все ещё не утихает. Что же делать?
Собрал ещё пачку сертификатов по безопасности кубернетеса и облаков.

- Certified Cloud Native Security Expert от какой-то неизвестной мне конторы. В описании курса перечислены темы из CKS, отдельные модули о Microservices Architecture и Container Security и такие инструменты: kube-hunter, KubiScan, krane, inspec, wazuh. Выглядит интересно, но бесполезно после CKS и непонятно кто вообще признает серты этой компании. Если вы что-то знаете об этой компании - напишите в комментах, пожалуйста


По облачной безопасности сертов больше:
- Вендорские от AWS, GCP, Azure

- CompTIA Cloud+ - уважаемая контора и сертфикация. Вендор фри. Темы:
- 1 Cloud Architecture and Design
- 1.1 Compare and contrast the different types of cloud models
- 1.2 Capacity planning
- 1.3 High availability and scaling in cloud environments
- 1.4 Solution design in support of the business requirements
- 2 Security
- 2.1 Identity and access management (LDAP, SSO, SAML, PKI, MFA)
- 2.2 Secure a network in a cloud environment (VLAN, VXLAN, GENEVE, DoH, DoT, DNSSEC, NTP, IPSEC, TLS, VPNs, WAF, IPS, IDS, IPC, DLP)
- 2.3 OS and application security controls
- 2.4 Data security and compliance controls in cloud environments
- 2.5 Tools to meet security requirements
- 2.6 Incident response
- 3 Deployment
- 3.1 Integrate components into a cloud solution (email, VoIP, messaging, VDI)
- 3.2 Storage in cloud environments (SAN, NAS, network filesystems)
- 3.3 Cloud networking solutions
- 3.4 Appropriate compute sizing
- 3.5 Cloud migrations (Physical to virtual (P2V), Virtual to virtual (V2V), Storage migration, Database migration)
- 4 Operations and Support
- 4.1 Logging, monitoring, and alerting
- 4.2 Efficient operation
- 4.3 Optimize cloud environments
- 4.4 Automation and orchestration techniques
- 4.5 Backup and restore operations
- 4.6 Disaster recovery
- 5 Troubleshooting
- 5.1 Troubleshooting methodology to resolve cloud-related issues
- 5.2 Troubleshoot security issues
- 5.3 Troubleshoot deployment issues
- 5.4 Troubleshoot connectivity issues
- 5.5 Troubleshoot common performance issues
- 5.6 Troubleshoot automation or orchestration issues
Полное описание экзамена
У CompTIA ещё много сертификаций на сайте. Насколько я понял, курсы они не читают, а только принимают экзамены. Курсы доступны на других платформах

- GIAC Cloud Security Automation. GIAC - отделение небезызвестной SANS. Очень уважаемая компания. Сертификатов у них много по разным направлениям, как и у CompTIA. Топики:
- Microservice Security
- Cloud Security Fundamentals
- Cloud Security Monitoring
- Compliance as Code
- Configuration Management as Code
- Container Security
- Continuous Security Monitoring
- Data Protection and Secrets Management
- Deployment Orchestration and Secure Content Delivery
- DevOps Fundamentals
- DevSecOps Security Controls
- Runtime Security Automation
- Secure Infrastructure as Code
- Securing Cloud Architecture
- Serverless Security

- Certified Cloud Security Professional от ISC2. Топики похожи на перечисленные выше от конкурентов. Детальней тут

#courses #security #cloud

Above - Network protocol sniffer, allows you to find network attack vectors

Абсолютно бесшумный снифер. Позволяет остаться незамеченным при исследовании сетевых протоколов

#network #security

Обнаружить нарушителя в инфраструктуре не так то просто. Большие компании нанимают целые отделы для анализа логов и поведения софта, чтобы вовремя найти злоумышленника и предовратить развитие атаки.

Если такого отдела нет (да и если есть), то можно поставить специально подготовленную уязвимую систему, не участвующую в бизнес процессах, а лишь притягивающую на себя внимание атакующего. И внимательно наблюдать за ней. Когда кто-то скачает файл или попытается залогиниться - это звоночек, указывающий, что кто-то пытается зайти туда, куда не должен и нужно усилить охрану. Такие системы называются Honey Pot и могут эмулировать самые разные продакшн системы: VPN серверы, веб серверы, mail серверы, ssh серверы, elasticsearch, jira, smb шары, ...

T-Pot - целый комбайн из Honey Pots, работающий в OnPrem или облаках. Он оркестрирует работу пачки разных Honey Pots и выдает результаты работы в удобном интерфейсе


Ну а если не хочется заморачиваться с установкой и настройкой, то можно попробовать canarytokens. Я уже писал об этом сервисе

#security #honeypot

ContainerCVE - онлайн платформа для поиска уязвимостей в публичных образах на hub.docker.com. Использует под капотом trivy

#security #docker

Как собрать контейнер и не вооружить хакера

Хакеру необязательно ставить внутрь системы или контейнера какой-то дополнительный софт. Часто для плохих дел достаточно всеми любимых утилит типа curl, vim, pip

В статье о том, как можно использовать эти с виду безопасные утилиты в деструктивных целях и как от этого защититься

#security #docker #lolbins

Кроссворд про #security и много других игр (неинтересных) по кнопке Play Other Games

https://securityawareness.usalearning.gov/cdse/multimedia/games/cybersecurity-crossword/index.html