Forwarded from OFFZONE
OFFZONE 2022 уже завтра! ⚡️
Меньше суток осталось до старта нашей долгожданной конференции.
Если вы еще не купили билет — самое время это сделать.
Меньше суток осталось до старта нашей долгожданной конференции.
Если вы еще не купили билет — самое время это сделать.
cloudfare открыл свой форк pkbouncer
https://blog.cloudflare.com/open-sourcing-our-fork-of-pgbouncer/
https://blog.cloudflare.com/open-sourcing-our-fork-of-pgbouncer/
OWASP meetup
You must register through EventBrite here to participate in this training course. Zoom links will be sent to individuals after they register for the course
2-day (September 13 and 14) training course / 9:00am - 5:00pm BST
Trainer: Sebastien (Seba) Deleersnyder
In this edition we enhanced the section on privacy by design, compliance, and added a section on threat modeling medical devices. All participants get our Threat Modeling Playbook plus one-year access to our online threat modeling learning platform. As part of this training, you will be asked to create your own threat model, on which you will get individual feedback. One month after the training we organize an online review session with all the participants.
As highly skilled professionals with years of experience under our belts, we’re intimately familiar with the gap between academic knowledge of threat modeling and real-world practice. To minimize that gap, we have developed practical use cases, based on real-life projects. Each use case includes a description of the environment, together with questions and templates to build a threat model.
Using this methodology for the hands-on workshops we provide our students with a challenging training experience and the templates to incorporate threat modeling best practices in their daily work. Students will be challenged in groups of 3 to 4 people to perform the different stages of threat modeling on the following:
• Diagramming web and mobile applications, sharing the same REST backend
• Threat modeling an IoT gateway with a cloud-based update service
• Get into the defender's head - modeling points of attack against a nuclear facility
• Threat mitigations of OAuth scenarios for an HR application
• Privacy analysis of a new face recognition system in an airport
After each hands-on workshop, the results are discussed, and students receive a documented solution. Based on our successful trainings in the last years and the great and positive feedback, we release this updated advanced threat modeling training at AppSecEU Virtual 2022.
https://www.eventbrite.com/e/owasp-2022-end-of-summer-virtual-training-tickets-376362348917?utm_source=owasp-web&utm_medium=event-page&utm_campaign=none
You must register through EventBrite here to participate in this training course. Zoom links will be sent to individuals after they register for the course
2-day (September 13 and 14) training course / 9:00am - 5:00pm BST
Trainer: Sebastien (Seba) Deleersnyder
In this edition we enhanced the section on privacy by design, compliance, and added a section on threat modeling medical devices. All participants get our Threat Modeling Playbook plus one-year access to our online threat modeling learning platform. As part of this training, you will be asked to create your own threat model, on which you will get individual feedback. One month after the training we organize an online review session with all the participants.
As highly skilled professionals with years of experience under our belts, we’re intimately familiar with the gap between academic knowledge of threat modeling and real-world practice. To minimize that gap, we have developed practical use cases, based on real-life projects. Each use case includes a description of the environment, together with questions and templates to build a threat model.
Using this methodology for the hands-on workshops we provide our students with a challenging training experience and the templates to incorporate threat modeling best practices in their daily work. Students will be challenged in groups of 3 to 4 people to perform the different stages of threat modeling on the following:
• Diagramming web and mobile applications, sharing the same REST backend
• Threat modeling an IoT gateway with a cloud-based update service
• Get into the defender's head - modeling points of attack against a nuclear facility
• Threat mitigations of OAuth scenarios for an HR application
• Privacy analysis of a new face recognition system in an airport
After each hands-on workshop, the results are discussed, and students receive a documented solution. Based on our successful trainings in the last years and the great and positive feedback, we release this updated advanced threat modeling training at AppSecEU Virtual 2022.
https://www.eventbrite.com/e/owasp-2022-end-of-summer-virtual-training-tickets-376362348917?utm_source=owasp-web&utm_medium=event-page&utm_campaign=none
Eventbrite
OWASP 2022 End of Summer Virtual Training
OWASP Trainings are highly sought, industry-respected, educational, career-advancing, and fun.
Уже заметное время я не публикую посты с какой бы то ни было рекламой. Однако в таком ключе и какие-то события тоже проходят мимо. В связи с этим вопрос - вернуть ли публикации о конференциях и митапах?
Anonymous Poll
11%
Да, если это полностью бесплатно
50%
Да, если это адекватные конференции, платные или бесплатные (типа хайлоад)
18%
Нет, без этого стало хорошо
21%
Мне всё равно
Forwarded from Inside
📸Специальное сообщение:
Мной был зафиксирован абсолютно новый, но крайне занимательный вид фишинга - при помощи продуктов Atlassian.
До этого (в период пандемии) публиковались отчеты о рассылках фишинга с помощью продуктов Atlassian, но установленных на VDS.
В новом же случае - злоумышленник создает облачное пространство (домен вида: *.atlassian.com), высылает пользователям приглашения в workspace, а затем назначат пользователю задачу, текст которой содержит фишинговую ссылку.
Примечательно, что:
❗️Не смотря на то, что пользователь не принял приглашение в workspace, письмо с текстом "задачи" и фишинговой ссылкой отправляется пользователю.
❗️Так как письмо отправляется с домена atlassian.com - оно проходит спам-фильтры.
❗️Письмо представляет собой классическое письмо от Jira.
❗️ Способ прост до безобразия и не требует разворота специальных платформ. (Скрипткиддисы, закатайте губу, вы не умеете делать нагруз. Блечеры, Jira это не для вас. Редтим команды - пользуйтесь, к вам вопросов нет.)
Данная разновидность фишинга опасна для:
🔨 Компаний, использующих облачную версию продуктов Atlassian.
🔨 В меньшей степени - для компаний, использующих локальную копию Jira.
Мной был зафиксирован абсолютно новый, но крайне занимательный вид фишинга - при помощи продуктов Atlassian.
До этого (в период пандемии) публиковались отчеты о рассылках фишинга с помощью продуктов Atlassian, но установленных на VDS.
В новом же случае - злоумышленник создает облачное пространство (домен вида: *.atlassian.com), высылает пользователям приглашения в workspace, а затем назначат пользователю задачу, текст которой содержит фишинговую ссылку.
Примечательно, что:
❗️Не смотря на то, что пользователь не принял приглашение в workspace, письмо с текстом "задачи" и фишинговой ссылкой отправляется пользователю.
❗️Так как письмо отправляется с домена atlassian.com - оно проходит спам-фильтры.
❗️Письмо представляет собой классическое письмо от Jira.
❗️ Способ прост до безобразия и не требует разворота специальных платформ. (Скрипткиддисы, закатайте губу, вы не умеете делать нагруз. Блечеры, Jira это не для вас. Редтим команды - пользуйтесь, к вам вопросов нет.)
Данная разновидность фишинга опасна для:
🔨 Компаний, использующих облачную версию продуктов Atlassian.
🔨 В меньшей степени - для компаний, использующих локальную копию Jira.
Читаем документацию вместе с Буквой
Я довольно часто натыкаюсь при работе с коллегами разработчиками на то, что они используют или в шелл скриптах (ci/cd) или в юнит файлах конструкцию
#docker
Я довольно часто натыкаюсь при работе с коллегами разработчиками на то, что они используют или в шелл скриптах (ci/cd) или в юнит файлах конструкцию
ExecStartPre= docker pull ... которая при перезапуске всегда им подтягивает latest версию контейнера. В целом звучит логично, однако правильнее воспользоваться встроенным функционалом docker, а именно ключом --pull=always, который выполнит ту же самую задачу и будет более простым в использовании.#docker
чем дальше тем всё хуже и хуже.. Вот такие кадры приходят к нам на собеседование((((
З.Ы. Bi.zone ищет в команду devops. знание k8s хотя бы на уровне того как работает CNI обязательно! ))
З.Ы. Bi.zone ищет в команду devops. знание k8s хотя бы на уровне того как работает CNI обязательно! ))
Forwarded from Акселератор Возможностей
Друзья!
Мы рады наконец анонсировать наш новый хакатон IT_ONE DevOps CHAMPION!
На этот раз мы предложим решить один из двух кейсов. Если вы знаете, что такое DevOps и понимаете, какие процессы стоят за этим термином, то скорее регистрируйтесь на хакатон, отправляйте друзьям и знакомым ссылку на мероприятие и побеждайте в хакатоне!
Итак, задачи IT_ONE DevOps CHAMPION:
🔹Автоматизировать задачу клонирования координаторов из одной среды Cloudera HUE в другую;
🔹Раскатать helm чарт через qbec.
Вас ждет:
🔸Призовой фонд – 200.000 рублей
🔸Стильный мерч
🔸Новые знакомства
🔸Мастер-классы и обратная связь от топовых экспертов
📆 7–9 октября 2022 года
⏰ Подавайте заявку до 5 октября 23:59
📲 Регистрируйтесь по ссылке
Подробности здесь
#хакатон
Мы рады наконец анонсировать наш новый хакатон IT_ONE DevOps CHAMPION!
На этот раз мы предложим решить один из двух кейсов. Если вы знаете, что такое DevOps и понимаете, какие процессы стоят за этим термином, то скорее регистрируйтесь на хакатон, отправляйте друзьям и знакомым ссылку на мероприятие и побеждайте в хакатоне!
Итак, задачи IT_ONE DevOps CHAMPION:
🔹Автоматизировать задачу клонирования координаторов из одной среды Cloudera HUE в другую;
🔹Раскатать helm чарт через qbec.
Вас ждет:
🔸Призовой фонд – 200.000 рублей
🔸Стильный мерч
🔸Новые знакомства
🔸Мастер-классы и обратная связь от топовых экспертов
📆 7–9 октября 2022 года
⏰ Подавайте заявку до 5 октября 23:59
📲 Регистрируйтесь по ссылке
Подробности здесь
#хакатон
Привет! Я тут делаю пет проект под крипто ноды, с целью написания курса. Вопрос к знающим людям - какого цод-провайдера лучше выбрать под такую задачу - чтобы и не дорого и чтобы не банил цод за такую деятельность?
Хотим разворачивать разные ноды, по одной из тех кто популярен на рынке, поэтому нужен именно такой цод, который в целом лояльно вообще к такой деятельности относится.
з.ы. Есть инфа что хецер это может банить.
Хотим разворачивать разные ноды, по одной из тех кто популярен на рынке, поэтому нужен именно такой цод, который в целом лояльно вообще к такой деятельности относится.
з.ы. Есть инфа что хецер это может банить.
Forwarded from k8s (in)security (Дмитрий Евдокимов)
Статья "Exploiting Distroless Images" с прикольной техникой эксплотации в контейнерах на базе
А все это базируется на присутствующей внутри этого образа
Таким образом, атакующий, получивший доступ к
Помните в одном из прошлых постов писал, что не все
Так что
P.S. О данной проблеме/особенности было сообщено
gcr.io/distroless/base, которая позволяет читать, писать произвольные файлы и выполнять команды в этом distroless image!А все это базируется на присутствующей внутри этого образа
OpenSSL! Да, shell внутри такого образа нет, но зато можно использовать interactive command prompt от OpenSSL ;)Таким образом, атакующий, получивший доступ к
Kubernetes кластеру, может, через установленный OpenSSL в distroless base образе, прочитать service account tokens (SA), прокинутые secrets и даже получить интерактивное выполнение команд через загрузку custom shell.Помните в одном из прошлых постов писал, что не все
Distroless Images одинаковые (static/base/cc/interpreted)?! Так что
distroless images это не панацея, а лишь одна из техник усиления (hardening) - и никто behavior monitoring, AppArmor не отменял.P.S. О данной проблеме/особенности было сообщено
Google в августе 2021 и они решили не фиксить это.Король Артур на нас напали!
приходят ко мне ИБ с вопросом почему в аудит логах postgresql появляются регулярно сообщения
оказалось, что ни что иное, как побочка выполнения бекапа:
By default, pg_dump will set row_security to off, to ensure that all data is dumped from the table.
и возбуждаться тут не из-за чего.
приходят ко мне ИБ с вопросом почему в аудит логах postgresql появляются регулярно сообщения
SET row_security = off
оказалось, что ни что иное, как побочка выполнения бекапа:
By default, pg_dump will set row_security to off, to ensure that all data is dumped from the table.
и возбуждаться тут не из-за чего.
Prometheus alert manager telegram
тут оказывается в 24 версии алертменеджера (с 24 марта 2022) добавили нативную поддержку оповещений в телеграм. Больше никаких левых проектов)
https://github.com/prometheus/alertmanager/pull/2827
А я слоупок, да)
тут оказывается в 24 версии алертменеджера (с 24 марта 2022) добавили нативную поддержку оповещений в телеграм. Больше никаких левых проектов)
https://github.com/prometheus/alertmanager/pull/2827
А я слоупок, да)
GitHub
Adding telegram support by timmilesdw · Pull Request #2827 · prometheus/alertmanager
Added telegram integration
Features:
Custom API URL
Disable Notifications
Message templating
Features:
Custom API URL
Disable Notifications
Message templating
Курим с буквой
Коллеги! у меня довольно интересная новость. Примерно пол-года тому назад я стал владельцем кальянной NukaHooka (москва).
Отсюда вытекают несколько новостей:
1) я могу время от времени постить сюда информацию о том, как поживает кальянная и как это вообще "отойти от IT" - какие моменты интересные происходят в мире собственного бизнеса, который не IT=)
2) Самое главное и самое интересное для темы этого канала - мы планируем запустить hackerspace в заведении:
- лекции по devops, cybersecurity, python
- митапы с приглашёнными лекторами
Организационные вопросы, темы лекций и монетизация сейчас в разработке. Некоторые лекции будут свободными для входа, некоторые нет. Всё будет указано в анонсах. Ближайшая тема в разработке - "Введение в Linux". Посещение лекций строго по записи.
Расскажите в комментариях, что бы вам было бы интересно послушать.
Адрес заведения: Дмитровское шоссе 107к4
Чат кальянной (не IT, для этих вопросов будет отдельный): https://t.me/nuka_hooka
Коллеги! у меня довольно интересная новость. Примерно пол-года тому назад я стал владельцем кальянной NukaHooka (москва).
Отсюда вытекают несколько новостей:
1) я могу время от времени постить сюда информацию о том, как поживает кальянная и как это вообще "отойти от IT" - какие моменты интересные происходят в мире собственного бизнеса, который не IT=)
2) Самое главное и самое интересное для темы этого канала - мы планируем запустить hackerspace в заведении:
- лекции по devops, cybersecurity, python
- митапы с приглашёнными лекторами
Организационные вопросы, темы лекций и монетизация сейчас в разработке. Некоторые лекции будут свободными для входа, некоторые нет. Всё будет указано в анонсах. Ближайшая тема в разработке - "Введение в Linux". Посещение лекций строго по записи.
Расскажите в комментариях, что бы вам было бы интересно послушать.
Адрес заведения: Дмитровское шоссе 107к4
Чат кальянной (не IT, для этих вопросов будет отдельный): https://t.me/nuka_hooka
ansible prevent from templating
всю жизнь пользовался модулем copy, чтобы приносить конфиги на сервера. И всю жизнь при этом использовал синтаксис yaml - | - для многострочных конфигов:
var: |
line1
lineN
в том числе когда конфиг - json. Не могу вспомнить чтобы когда-нибудь это подводило. Но сегодня, передавая чистый json в переменной, оказалось что ансиблу он понравился и на выходе из pretty_json я получил однострочную запись в конфиге. Фига-се, подумал я. что-то идёт не так. ну и чтобы от этого "защититься" в ансибле есть несколько механизмов - {% raw %} text {% endraw %} - запрет интерпретировать в тексте любые сиволы, например, когда мы хотим туда всунуть gotemplate, который должен парсить сервис на сервере, а не ансибл.
А еще оказалось что можно сделать такую шткуку как !unsafe - https://docs.ansible.com/ansible/latest/user_guide/playbooks_advanced_syntax.html
таким образом получаем:
var: !unsafe |
{
valid json
}
и в такой конфигурации конфиг приедет на сервер as-is. Но вообще очень странно что я при опыте работы с ансиблом почти 5 лет впервые столкнулся что он пытается интерпретировать текст после | в модуле copy =) Не поверю что не клал чистый json ни разу в жизни =)
всю жизнь пользовался модулем copy, чтобы приносить конфиги на сервера. И всю жизнь при этом использовал синтаксис yaml - | - для многострочных конфигов:
var: |
line1
lineN
в том числе когда конфиг - json. Не могу вспомнить чтобы когда-нибудь это подводило. Но сегодня, передавая чистый json в переменной, оказалось что ансиблу он понравился и на выходе из pretty_json я получил однострочную запись в конфиге. Фига-се, подумал я. что-то идёт не так. ну и чтобы от этого "защититься" в ансибле есть несколько механизмов - {% raw %} text {% endraw %} - запрет интерпретировать в тексте любые сиволы, например, когда мы хотим туда всунуть gotemplate, который должен парсить сервис на сервере, а не ансибл.
А еще оказалось что можно сделать такую шткуку как !unsafe - https://docs.ansible.com/ansible/latest/user_guide/playbooks_advanced_syntax.html
таким образом получаем:
var: !unsafe |
{
valid json
}
и в такой конфигурации конфиг приедет на сервер as-is. Но вообще очень странно что я при опыте работы с ансиблом почти 5 лет впервые столкнулся что он пытается интерпретировать текст после | в модуле copy =) Не поверю что не клал чистый json ни разу в жизни =)
терраформ теперь пихают куда только не лень
https://registry.terraform.io/providers/MNThomson/dominos/latest/docs
https://www.youtube.com/watch?v=-7OvoD9ptUo
https://registry.terraform.io/providers/MNThomson/dominos/latest/docs
https://www.youtube.com/watch?v=-7OvoD9ptUo
YouTube
Заказать ПИЦЦУ используя Terraform Custom Provider Domino's Pizza - Голодный Девопс
#devops #dominospizza #terraformpizza
Если помог, поддержите парой баксов, хотябы Канадских :) https://www.paypal.me/DenisAstahov
Если помог, поддержите парой баксов, хотябы Канадских :) https://www.paypal.me/DenisAstahov