Шесть тупейших идей в компьютерной безопасности
Боже, как же у меня подгорело от этой статьи.
Если коротко:
1. Открыть всё что не запрещено по-умолчанию — плохая идея, потому что сложно сразу понять что надо запретить.
2. Перечислять уязвимости. Потому что это создаёт иллюзию безопасности и не несёт какого-то практического смысла.
3. Тестировать и исправлять, как основной подход в безопасности. Потому что правильная архитектура изначально полечит и не допустит проблем.
4. Поощрять хакеров, потому что автор считает хакерство больше социальной проблемой. Хотя лично мне кажется что бороться с существующими особенностями человеческого сообщества достаточно тупо.
5. Обучать пользователей безопасности. Потому что вместо того чтобы учить распознавать фишинг лучше запретить аттачменты в почте.
6. Действие лучше бездействия. Просто потому что "если у вас нету тёти, то вам её не потерять"
В общем, тема для дисскусии в #security канале в slack
Боже, как же у меня подгорело от этой статьи.
Если коротко:
1. Открыть всё что не запрещено по-умолчанию — плохая идея, потому что сложно сразу понять что надо запретить.
2. Перечислять уязвимости. Потому что это создаёт иллюзию безопасности и не несёт какого-то практического смысла.
3. Тестировать и исправлять, как основной подход в безопасности. Потому что правильная архитектура изначально полечит и не допустит проблем.
4. Поощрять хакеров, потому что автор считает хакерство больше социальной проблемой. Хотя лично мне кажется что бороться с существующими особенностями человеческого сообщества достаточно тупо.
5. Обучать пользователей безопасности. Потому что вместо того чтобы учить распознавать фишинг лучше запретить аттачменты в почте.
6. Действие лучше бездействия. Просто потому что "если у вас нету тёти, то вам её не потерять"
В общем, тема для дисскусии в #security канале в slack
Вышла неплохая статья от разработчиков ScyllaDB о разных типах дискового IO в линуксе. В самой статье в сжатом виде достаточно неплохо описаны основные различия read\write, mmap и DIO/AIO.
Если коротко: используйте всегда read\write или mmap, потому что чаще всего это будет работать очень неплохо. Но если вы крутые перцы которые сами хотят инвалидировать кеш и готовы писать кучу кода ради производительности, то есть смысл посмотреть в сторону direct\async IO.
Ну и + небольшая табличка. В общем, смело рекомендую прочитать 🙂
Если коротко: используйте всегда read\write или mmap, потому что чаще всего это будет работать очень неплохо. Но если вы крутые перцы которые сами хотят инвалидировать кеш и готовы писать кучу кода ради производительности, то есть смысл посмотреть в сторону direct\async IO.
Ну и + небольшая табличка. В общем, смело рекомендую прочитать 🙂
Позавчера анонсировали systemd 235, в котором помимо прочего значительно улучшили обвязку для создания пользователя сразу под процесс. Типа чтобы у каждого процесса\группы процессов был свой уникальный UID.
Собственно, об динамическом создании пользователей и вышла эта статья: http://0pointer.net/blog/dynamic-users-with-systemd.html
Собственно, об динамическом создании пользователей и вышла эта статья: http://0pointer.net/blog/dynamic-users-with-systemd.html
0pointer.net
Dynamic Users with systemd
Posts and writings by Lennart Poettering
Попалась на глаза интересная утилитка, замена find - FD. Написанная на расте и очень быстрая (по крайней мере в моих локальных бенчмарках она была быстрее чем find, в бенчмарках разработчика тоже быстрее).
Я вот, кстати, не понял, смехехуечки это ок для телеграм канала или нет?
Вышла одна пятая (0.2) версия itsio - платформы которая позволяет менеджить, мониторить и безопасить микросервисы.
Ребята добавили возможность подключать сервисы извне кубернетиса, шифровать трафик при помощи встроенного CA storage, добавили достаточно интересную возможность расширять itsio и пофиксили несколько надоедливых проблем с кубером.
https://istio.io/blog/istio-0.2-announcement.html
Ребята добавили возможность подключать сервисы извне кубернетиса, шифровать трафик при помощи встроенного CA storage, добавили достаточно интересную возможность расширять itsio и пофиксили несколько надоедливых проблем с кубером.
https://istio.io/blog/istio-0.2-announcement.html
Зарелизился OpenBSD 6.2, но кому какое дело?
https://www.openbsd.org/62.html
https://www.openbsd.org/62.html
Рубрика «белки истерички на проводе»: в CircleCI на странице выполняется закрузка кода аж с 8 разных компаний. Соответственно модифицируя эти скрипты кто-угодно может сгенерировать API ключ для вашего CI. Вообще мне больше интересно с какой легкостью компании внедряют внешние скрипты и насколько это пофиг для пользователя...
https://kev.inburke.com/kevin/circleci-is-hopelessly-insecure/?lobsters
https://kev.inburke.com/kevin/circleci-is-hopelessly-insecure/?lobsters
Добрая весть, братия. "dream" сбросил в главную чудную новость о том, что AWS ELB будет поддерживать SNI. Что значит что теперь можно поставить несколько SSL сертификатов от разных доменов на один и тот же ALB.
https://aws.amazon.com/about-aws/whats-new/2017/10/elastic-load-balancing-application-load-balancers-now-support-multiple-ssl-certificates-and-smart-certificate-selection-using-server-name-indication-sni/
https://aws.amazon.com/about-aws/whats-new/2017/10/elastic-load-balancing-application-load-balancers-now-support-multiple-ssl-certificates-and-smart-certificate-selection-using-server-name-indication-sni/
Amazon
Elastic Load Balancing: Application Load Balancers now support multiple SSL certificates and Smart Certificate Selection using…
Новости от puppet:
Анонсировали Puppet Discovery - сервис для обнаружения и добавления нод в паппет в гибридном окружении.
Puppet Tasks - что-то вроде ansible (не плейбук) или rundeck, штука для запуска разных задач на одном или нескольких инстансах. В платной версии симпатичная мордочка.
Пайплайны и реджестри для контйнеров. Эдакий CI всё-в-одном.
Модули для kubernetes, helm и docker.
Вообще интересно смотреть как ребята цепляютсяя за жизнь и пытаются впрыгнуть в уходящий поезд контейнеров.
Ссылка на всю новость: https://puppet.com/blog/introducing-puppets-largest-set-product-innovations-ever
Анонсировали Puppet Discovery - сервис для обнаружения и добавления нод в паппет в гибридном окружении.
Puppet Tasks - что-то вроде ansible (не плейбук) или rundeck, штука для запуска разных задач на одном или нескольких инстансах. В платной версии симпатичная мордочка.
Пайплайны и реджестри для контйнеров. Эдакий CI всё-в-одном.
Модули для kubernetes, helm и docker.
Вообще интересно смотреть как ребята цепляютсяя за жизнь и пытаются впрыгнуть в уходящий поезд контейнеров.
Ссылка на всю новость: https://puppet.com/blog/introducing-puppets-largest-set-product-innovations-ever
Puppet
Blog | Puppet by Perforce
Find helpful articles on the latest in DevOps from our seasoned experts.
Вышла Grafana 4.6-beta1. В новой версии:
• Можно делать алерты для CloudWatch! (!!!!!!)
• Добавление аннотаций на графики прямо из графаны!
• Postgres datasource
• Всякие плюшки для работы с прометеусом
• Нативную загрузку картинок прямо в слак (раньше надо было загружать в s3)
Полный текст новости: https://community.grafana.com/t/release-notes-v4-6-x/3179
• Можно делать алерты для CloudWatch! (!!!!!!)
• Добавление аннотаций на графики прямо из графаны!
• Postgres datasource
• Всякие плюшки для работы с прометеусом
• Нативную загрузку картинок прямо в слак (раньше надо было загружать в s3)
Полный текст новости: https://community.grafana.com/t/release-notes-v4-6-x/3179
Grafana Labs Community Forums
Release Notes v4.6.x
Grafana v4.6 brings many enhancements to Annotations, Cloudwatch & Prometheus. It also adds support for Postgres as metric & table data source! Annotations You can now add annotation events and regions right from the graph panel! Just hold CTRL/CMD +…
А тут для новой IDE для голанга подбирают имя. Интересные варианты: GoDno, Gode, GoSpel, GoSling, Goofy, Gowno.
https://blog.jetbrains.com/go/2017/10/13/help-us-choose-a-name-for-our-go-ide/
https://blog.jetbrains.com/go/2017/10/13/help-us-choose-a-name-for-our-go-ide/
В рамках постинга всякой фигни — статья на википедии о SysRq клавише на клавиатуре, при помощи которой можно делать кучу крутых штук в линуксе. Например отправить sigterm всем процессам в текущей виртуальной консоли, сделать sync для всех примонтированных фс или сделать трейс.
https://en.wikipedia.org/wiki/Magic_SysRq_key
https://en.wikipedia.org/wiki/Magic_SysRq_key
Вышла 4-я часть замечательное серии о IO. Первые три уже проскакивали в этом дайждесте.
Собственно автор, как и обещал, рассказывает о B-tree c картинками и пояснениями. Написанно супер круто и вообще must read.
Собственно автор, как и обещал, рассказывает о B-tree c картинками и пояснениями. Написанно супер круто и вообще must read.
Medium
On Disk IO, Part 4: B-Trees and RUM Conjecture
If you like the series, check out my upcoming book on Database Internals!
Активно обсуждаем плюсы-минусы docker swarm с утра в понедельник. Ребята делятся опытом и багами. Если есть что сказать - присоеденяйтесь в треде в #general https://ukrops.slack.com/archives/C0VFW0Q6N/p1507977427000013
Forwarded from CatOps
Breaking⚡️
WPA2 поломали с помощью KRACK (Key Reinstallation Attack), то есть при помощи восстановления ключа, а не тупым брутфорсом.
Статья на тему со списком уязвимостей: https://arstechnica.com/information-technology/2017/10/severe-flaw-in-wpa2-protocol-leaves-wi-fi-traffic-open-to-eavesdropping/
Что делать и кто виноват?
В принципе, точно так же ломали годы назад WEP. Однако, как сейчас помню, что точки на WEP всё равно были вполне распространены. Да, кто-то теоретически сможет подключиться к вашей сети. С точки зрения использования трафика, в Украине это не актуально: Интернет очень (оооочень) дешевый, пакеты в основном безлимитные и много открытых точек доступа, которые и ломать то не нужно
С точки зрения прослушки данных ситуация выглядит более серьезно. НО! Никто не отменяет использование HTTPS, STARTTLS, SSH, если совсем заморочаться — VPN. Все уважающие себя компании давно используют VPN для корпоративного подключения. Иногда даже можно встретить инструкции, которые запрезают читать почту(!) без подключения VPN в открытых сетях.
Также никто не отменял старого доброго метода с частой сменой паролей.
Поэтому да, с одной стороны теоретически вас могут похачить, с другой — теоретически вас может убить молния
#security
WPA2 поломали с помощью KRACK (Key Reinstallation Attack), то есть при помощи восстановления ключа, а не тупым брутфорсом.
Статья на тему со списком уязвимостей: https://arstechnica.com/information-technology/2017/10/severe-flaw-in-wpa2-protocol-leaves-wi-fi-traffic-open-to-eavesdropping/
Что делать и кто виноват?
В принципе, точно так же ломали годы назад WEP. Однако, как сейчас помню, что точки на WEP всё равно были вполне распространены. Да, кто-то теоретически сможет подключиться к вашей сети. С точки зрения использования трафика, в Украине это не актуально: Интернет очень (оооочень) дешевый, пакеты в основном безлимитные и много открытых точек доступа, которые и ломать то не нужно
С точки зрения прослушки данных ситуация выглядит более серьезно. НО! Никто не отменяет использование HTTPS, STARTTLS, SSH, если совсем заморочаться — VPN. Все уважающие себя компании давно используют VPN для корпоративного подключения. Иногда даже можно встретить инструкции, которые запрезают читать почту(!) без подключения VPN в открытых сетях.
Также никто не отменял старого доброго метода с частой сменой паролей.
Поэтому да, с одной стороны теоретически вас могут похачить, с другой — теоретически вас может убить молния
#security
Сегодня в всех новостях выход consul 1.0.
Основные изменения:
• Переключились на RAFT 3 (поддерживается с версии 0.8)
• Появилась поддержка hcl формата для конфигов
• Переименовали глаголы в API
• Переименовали разные параметры в конфиге
• Интеграция с Sentinel
• Поддержка DNS TXT
• И, наконец-то, возможно биндить консул на несколько адресов
Основные изменения:
• Переключились на RAFT 3 (поддерживается с версии 0.8)
• Появилась поддержка hcl формата для конфигов
• Переименовали глаголы в API
• Переименовали разные параметры в конфиге
• Интеграция с Sentinel
• Поддержка DNS TXT
• И, наконец-то, возможно биндить консул на несколько адресов
