Матрица угроз для Kubernetes
Kubernetes -это самая популярная контейнерная оркестровка и один из самых быстрорастущих проектов в истории открытого программного обеспечения, которая занимает значительную часть вычислительного стека многих компаний. Гибкость и масштабируемость контейнеров побуждает многих разработчиков переносить свои рабочие нагрузки на Kubernetes. Несмотря на то, что Kubernetes имеет много преимуществ, он также ставит новые задачи в области безопасности, которые необходимо учитывать. Поэтому очень важно понимать различные риски безопасности, которые существуют в контейнерных средах, и особенно в Kubernetes.
Читать статью полностью: https://codeby.net/threads/matrica-ugroz-dlja-kubernetes.73585/
cyber attack kubernetes threat matrix threat modeling
Kubernetes -это самая популярная контейнерная оркестровка и один из самых быстрорастущих проектов в истории открытого программного обеспечения, которая занимает значительную часть вычислительного стека многих компаний. Гибкость и масштабируемость контейнеров побуждает многих разработчиков переносить свои рабочие нагрузки на Kubernetes. Несмотря на то, что Kubernetes имеет много преимуществ, он также ставит новые задачи в области безопасности, которые необходимо учитывать. Поэтому очень важно понимать различные риски безопасности, которые существуют в контейнерных средах, и особенно в Kubernetes.
Читать статью полностью: https://codeby.net/threads/matrica-ugroz-dlja-kubernetes.73585/
cyber attack kubernetes threat matrix threat modeling
Основы стеганографии в "capture the flag"
Недавно образовалась команда новичков по ctf нашего любимого форума, в связи с этим своей статьей хотел бы начать обмен опытом, так сказать, по решению тасков той или иной направленности. Ведь всегда есть некий алгоритм, которому вы следуете при решении тасков, который приводит, на легком и среднем уровне, к найденному флагу. Это тот уровень, который находится между «пфф, изипизи» и тем, когда вы начинаете видеть заговоры иллюминатов во всех хинтах и файлах.
И так, я попробую рассказать вам основы стеганографии. Точнее сказать, основы в моем представлении. Приятного чтения https://codeby.net/threads/osnovy-steganografii-v-capture-the-flag.63200/
#ctf #stego
Недавно образовалась команда новичков по ctf нашего любимого форума, в связи с этим своей статьей хотел бы начать обмен опытом, так сказать, по решению тасков той или иной направленности. Ведь всегда есть некий алгоритм, которому вы следуете при решении тасков, который приводит, на легком и среднем уровне, к найденному флагу. Это тот уровень, который находится между «пфф, изипизи» и тем, когда вы начинаете видеть заговоры иллюминатов во всех хинтах и файлах.
И так, я попробую рассказать вам основы стеганографии. Точнее сказать, основы в моем представлении. Приятного чтения https://codeby.net/threads/osnovy-steganografii-v-capture-the-flag.63200/
#ctf #stego
#реклама
🔝 Топовый Вечный! По смехотворной цене! 🔝
8 ГБ RAM / 4x4.5 ГГц CPU / 80 ГБ NVMe / 500 Мбит/сек / anti-DDoS
Размещение в лучшем московском дата-центре Datapro, подключение к каналу 500 Мбит/сек, выделенный IPv4 адрес, защита от DDoS.
🔥Спешите узнать подробней и заказать:
https://vdsina.ru/eternal-server?partner=webware250520
🔝 Топовый Вечный! По смехотворной цене! 🔝
8 ГБ RAM / 4x4.5 ГГц CPU / 80 ГБ NVMe / 500 Мбит/сек / anti-DDoS
Размещение в лучшем московском дата-центре Datapro, подключение к каналу 500 Мбит/сек, выделенный IPv4 адрес, защита от DDoS.
🔥Спешите узнать подробней и заказать:
https://vdsina.ru/eternal-server?partner=webware250520
Каталоги статей CODEBY "list of articles"
Для Вашего удобства в некоторых разделах есть закрепленные Статьи в которых перечислены ссылки на все статьи, софт, новости, данного раздела:
1 Этичный Хакинг (тестирование на проникновение): каталог статей.
2 Network vulnerabilities / Сетевые уязвимости: каталог статей "list of articles"
3 Pentest devices / Оборудование для пентеста: каталог статей "list of articles"
4 Devices Hack Market - ассортимент
5 CMS vulnerabilities / Уязвимости и исследования CMS: каталог статей "list of articles"
6 Этичный Хакинг (тестирование на проникновение): каталог статей - Новости (переводы для Codeby)
7 Компьютерная криминалистика (форензика): каталог статей "list of articles"
8 PHP, JS, HTML: каталог статей "list of articles"
9 Powershell/Python: каталог статей.
10 Cryptography / Криптография: каталог статей "list of articles"
11 CTF Zone: каталог статей "list of articles"
12 Kali Linux: каталог статей "list of articles"
13 Другие OS (OS и софт для pentest): каталог статей "list of articles"
14 Программное обеспечение (ПО): каталог статей "list of articles"
15 Свободное общение: КАТАЛОГ СТАТЕЙ, СОФТА, НОВОСТЕЙ, youtube "list of articles"
16 ВОПРОСЫ новичков и НЕ ТОЛЬКО: каталог "list of articles".
Для Вашего удобства в некоторых разделах есть закрепленные Статьи в которых перечислены ссылки на все статьи, софт, новости, данного раздела:
1 Этичный Хакинг (тестирование на проникновение): каталог статей.
2 Network vulnerabilities / Сетевые уязвимости: каталог статей "list of articles"
3 Pentest devices / Оборудование для пентеста: каталог статей "list of articles"
4 Devices Hack Market - ассортимент
5 CMS vulnerabilities / Уязвимости и исследования CMS: каталог статей "list of articles"
6 Этичный Хакинг (тестирование на проникновение): каталог статей - Новости (переводы для Codeby)
7 Компьютерная криминалистика (форензика): каталог статей "list of articles"
8 PHP, JS, HTML: каталог статей "list of articles"
9 Powershell/Python: каталог статей.
10 Cryptography / Криптография: каталог статей "list of articles"
11 CTF Zone: каталог статей "list of articles"
12 Kali Linux: каталог статей "list of articles"
13 Другие OS (OS и софт для pentest): каталог статей "list of articles"
14 Программное обеспечение (ПО): каталог статей "list of articles"
15 Свободное общение: КАТАЛОГ СТАТЕЙ, СОФТА, НОВОСТЕЙ, youtube "list of articles"
16 ВОПРОСЫ новичков и НЕ ТОЛЬКО: каталог "list of articles".
Многие пишут нам, что после переезда блога на форум, стало тяжелее ориентироваться в статьях. Странно это слышать, так как на форуме есть каталоги статей. Так же на главной странице Кодебай, в сайдбаре, находится рубрикатор.
Категории блога:
CTF
Kali Linux
Lotus
Metasploit Framework
Анонимность в сети
Аудит безопасности
Даркнет
Защита информации
Информац. безопасность
Кибератака
Конкурс
Криптография
Мобильный пентест
Настройка Линукс
Ни web’ом единым
Пентест
Программирование
Программирование Python
Сбор информации - OSINT
Уязвимости WiFi
Форензика - Forensics
Шифрование данных
Категории блога:
CTF
Kali Linux
Lotus
Metasploit Framework
Анонимность в сети
Аудит безопасности
Даркнет
Защита информации
Информац. безопасность
Кибератака
Конкурс
Криптография
Мобильный пентест
Настройка Линукс
Ни web’ом единым
Пентест
Программирование
Программирование Python
Сбор информации - OSINT
Уязвимости WiFi
Форензика - Forensics
Шифрование данных
Разыгрываем Raspberry Pi 4 и другие крутые призы для наших подписчиков
5 призовых мест:
1 место: Raspberry Pi 4 Model B 2 GB RAM
2 место: Key-Logger WIFI
3 место: Kali Linux от разработчиков. (Печатное издание)
4 и 5 место: Денежный приз в размере 500 рублей.
Нужно подписаться на 5 каналов:
1. Инкогнито
2. Инкогнито | Софт
3. Social Engineering
4. Библиотека хакера
5. Codeby.net
После чего нажать кнопку "Участвовать" под следующим постом ⬇️
Победитель будет выбран случайным образом 12-го Июня в 12:00 с помощью бота. Желаем удачи!
5 призовых мест:
1 место: Raspberry Pi 4 Model B 2 GB RAM
2 место: Key-Logger WIFI
3 место: Kali Linux от разработчиков. (Печатное издание)
4 и 5 место: Денежный приз в размере 500 рублей.
Нужно подписаться на 5 каналов:
1. Инкогнито
2. Инкогнито | Софт
3. Social Engineering
4. Библиотека хакера
5. Codeby.net
После чего нажать кнопку "Участвовать" под следующим постом ⬇️
Победитель будет выбран случайным образом 12-го Июня в 12:00 с помощью бота. Желаем удачи!
Codeby via @tgprize_bot
Конкурс завершен!
Raspberry
Победители: @ZHITARY, @KaliLinuxhacker, @Idons, @FieryVortex, @lllTaaa7
Количество участников: 2883
Raspberry
Победители: @ZHITARY, @KaliLinuxhacker, @Idons, @FieryVortex, @lllTaaa7
Количество участников: 2883
Новая методика моделирования угроз безопасности информации
Сегодня хотел бы рассмотреть новую методику моделирования угроз безопасности информации (далее – Методика), которую выпустил ФСТЭК 9 апреля 2020 года (сразу хочу отметить, что пока это только проект и скорее всего, будут вноситься изменения и доработки). Она станет обязательной для ГИС и МИС, для коммерческих организаций с ПДн она не обязательна, т.е. носит рекомендательный характер.
Итак, начнем с того, что применение новой методики не ограничивается только ИСПДн, теперь её можно использовать для определения угроз в объектах КИИ, ГИС, МИС, ИСПДн. Также появилась возможность проектирования и разработки отраслевых, ведомственных, корпоративных методик угроз безопасности, правда порядка разработки и согласования пока нет. Единственное требование у регулятора – это чтобы они не противоречили положениям Методики. При моделировании угроз безопасности нужно будет применять угрозы из БДУ ФСТЭК, а также пользоваться базовыми и типовыми моделями угроз безопасности информации (по поводу БДУ в Методике разъяснений никаких нет, как применять, с какой стороны соотнести не понятно).
Читать статью полностью: https://codeby.net/threads/novaja-metodika-modelirovanija-ugroz-bezopasnosti-informacii.73653/
#фстэк #законодательство
Сегодня хотел бы рассмотреть новую методику моделирования угроз безопасности информации (далее – Методика), которую выпустил ФСТЭК 9 апреля 2020 года (сразу хочу отметить, что пока это только проект и скорее всего, будут вноситься изменения и доработки). Она станет обязательной для ГИС и МИС, для коммерческих организаций с ПДн она не обязательна, т.е. носит рекомендательный характер.
Итак, начнем с того, что применение новой методики не ограничивается только ИСПДн, теперь её можно использовать для определения угроз в объектах КИИ, ГИС, МИС, ИСПДн. Также появилась возможность проектирования и разработки отраслевых, ведомственных, корпоративных методик угроз безопасности, правда порядка разработки и согласования пока нет. Единственное требование у регулятора – это чтобы они не противоречили положениям Методики. При моделировании угроз безопасности нужно будет применять угрозы из БДУ ФСТЭК, а также пользоваться базовыми и типовыми моделями угроз безопасности информации (по поводу БДУ в Методике разъяснений никаких нет, как применять, с какой стороны соотнести не понятно).
Читать статью полностью: https://codeby.net/threads/novaja-metodika-modelirovanija-ugroz-bezopasnosti-informacii.73653/
#фстэк #законодательство
Уважаемые участники, мы переносим категорию «Фриланс биржа» и ее разделы, на специализированную площадку FL Codeby. Разместить свои задания можно тут. Исполнителям доступно размещение в магазине готовых работ, а так же размещение в каталоге. Требуется регистрация - учетная запись форума не подойдет.
Я попробую описать весь путь создания фриланс сервиса, каждую деталь. От идеи до конечного продукта. Что из этого выйдет, мы можем только догадываться. Вы наблюдаете наш стартап в реальном времени ))
Писатель из меня тот еще, так что прошу проявить терпение. Дабы облегчить написание, буду вести повествование от первого лица.
Читать далее: https://codeby.net/threads/zapusk-frilans-ploschadki-kodebaj-startap-v-realnom-vremeni-den-pervyj.73684/
#FLCodeby #freelance #фриланс #работа
Я попробую описать весь путь создания фриланс сервиса, каждую деталь. От идеи до конечного продукта. Что из этого выйдет, мы можем только догадываться. Вы наблюдаете наш стартап в реальном времени ))
Писатель из меня тот еще, так что прошу проявить терпение. Дабы облегчить написание, буду вести повествование от первого лица.
Читать далее: https://codeby.net/threads/zapusk-frilans-ploschadki-kodebaj-startap-v-realnom-vremeni-den-pervyj.73684/
#FLCodeby #freelance #фриланс #работа
Offensive OSINT часть 3 - Ищем дезинформацию, связанную с выборами, на польском сервисе wykop_pl
В этой часте мы рассмотрим кампанию по дезинформации в польской социальной сети - wykop.pl. Она очень похожа на Reddit, хоть и без сабредитов, но с тегами и микроблогом. Я представлю методы сбора информации о пользователях, положительных / отрицательных голосов и контента. Кроме того, все будет представлено в понятной форме с диаграммой и графиком отношений для пользователей.
Если вы пропустили последнюю статью о деобфускации, анализе исходного кода и расскрытии кампании по расспространению нелегального контента, вы все еще можете прочитать ее здесь.
Читать статью полностью: https://codeby.net/threads/offensive-osint-chast-3-ischem-dezinformaciju-svjazannuju-s-vyborami-na-polskom-servise-wykop-pl.73674/
#disinformation #osint
В этой часте мы рассмотрим кампанию по дезинформации в польской социальной сети - wykop.pl. Она очень похожа на Reddit, хоть и без сабредитов, но с тегами и микроблогом. Я представлю методы сбора информации о пользователях, положительных / отрицательных голосов и контента. Кроме того, все будет представлено в понятной форме с диаграммой и графиком отношений для пользователей.
Если вы пропустили последнюю статью о деобфускации, анализе исходного кода и расскрытии кампании по расспространению нелегального контента, вы все еще можете прочитать ее здесь.
Читать статью полностью: https://codeby.net/threads/offensive-osint-chast-3-ischem-dezinformaciju-svjazannuju-s-vyborami-na-polskom-servise-wykop-pl.73674/
#disinformation #osint
✅ Фриланс Кодебай - сервис поиска удаленной работы и размещения заказов
✔️ Заказчикам - найдем любого исполнителя для вашего заказа в кратчайшие сроки
✔️ Фрилансерам - ведем масштабную рекламную компанию по привлечению заказчиков
Основная тематика нашей фриланс биржи - услуги в сфере IT и информационной безопасности. Разумеется, мы рады специалистам и других направлений.
Размещение заказов, готовых работ и резюме бесплатно
✔️ Заказчикам - найдем любого исполнителя для вашего заказа в кратчайшие сроки
✔️ Фрилансерам - ведем масштабную рекламную компанию по привлечению заказчиков
Основная тематика нашей фриланс биржи - услуги в сфере IT и информационной безопасности. Разумеется, мы рады специалистам и других направлений.
Размещение заказов, готовых работ и резюме бесплатно
Offensive OSINT часть 4 - сбор разведывательных данных по важнейшим объектам инфраструктуры в Юго-Восточной Азии
Это вторая часть моего расследования критической инфраструктуры по всему миру. Эта статья должна была стать презентацией на конференции ICS в Сингапуре, однако, благодаря коронавирусу это будет виртуальное мероприятие. Я не заинтересован в участии, и я остался с хорошим материалом, поэтому решил сделать об этом краткий пост в блоге.
Читать: codeby.net/threads/offensive-osint-chast-4-sbor-razvedyvatelnyx-dannyx-po-vazhnejshim-obektam-infrastruktury-v-jugo-vostochnoj-azii.73675/
#disinformation #osint
Это вторая часть моего расследования критической инфраструктуры по всему миру. Эта статья должна была стать презентацией на конференции ICS в Сингапуре, однако, благодаря коронавирусу это будет виртуальное мероприятие. Я не заинтересован в участии, и я остался с хорошим материалом, поэтому решил сделать об этом краткий пост в блоге.
Читать: codeby.net/threads/offensive-osint-chast-4-sbor-razvedyvatelnyx-dannyx-po-vazhnejshim-obektam-infrastruktury-v-jugo-vostochnoj-azii.73675/
#disinformation #osint
Offensive OSINT часть 5.1 – OSINT и Корпоративный шпионаж, Щупальца Mindgeek
В этой статье мы рассмотрим корпоративную структуру компании Mindgeek - лидера в области доставки контента, SEO, рекламы, хостинга и общих технологических инноваций. Они работают по всему миру, а принадлежащие им сайты создают сотни миллионов посещений в день и имеют большую пропускную способность, чем Twitter, Amazon или Facebook. Может быть, вы не знаете эту компанию, но я уверен, что они знают вас.
Читать на форуме: https://codeby.net/threads/offensive-osint-chast-5-1-osint-i-korporativnyj-shpionazh-schupalca-mindgeek.73688/
#disinformation #osint
В этой статье мы рассмотрим корпоративную структуру компании Mindgeek - лидера в области доставки контента, SEO, рекламы, хостинга и общих технологических инноваций. Они работают по всему миру, а принадлежащие им сайты создают сотни миллионов посещений в день и имеют большую пропускную способность, чем Twitter, Amazon или Facebook. Может быть, вы не знаете эту компанию, но я уверен, что они знают вас.
Читать на форуме: https://codeby.net/threads/offensive-osint-chast-5-1-osint-i-korporativnyj-shpionazh-schupalca-mindgeek.73688/
#disinformation #osint
Самые популярные темы Codeby за прошлый месяц
① Тендер на создание "имени" фриланс-сервиса от Кодебай
② Создание своего VPN с помощью Shadowsocks и обфускация трафика
③ Начало работы в Android приложениях по пентестингу (Часть 1)
④ Фриланс сервис на Кодебай - делаем?
⑤ Fake AP на Raspberry Pi (Часть 1)
⑥ Ворклог реверса одной мобильной игры
⑦ Автоматизация OWASP ZAP, Часть 2, Запуск в Docker, доступ к API
⑧ Моделирование векторов атак и создание IOC-защищённых ID
⑨ Создание своего VPN с помощью Shadowsocks и обфускация трафика - часть 2
⑩ Помогите с безопасностью
⑪ Splunk Attack Range в виртуальной гостевой Ubuntu VM: Руководство
⑫ Предотвращение межсайтового скриптинга (XSS)
① Тендер на создание "имени" фриланс-сервиса от Кодебай
② Создание своего VPN с помощью Shadowsocks и обфускация трафика
③ Начало работы в Android приложениях по пентестингу (Часть 1)
④ Фриланс сервис на Кодебай - делаем?
⑤ Fake AP на Raspberry Pi (Часть 1)
⑥ Ворклог реверса одной мобильной игры
⑦ Автоматизация OWASP ZAP, Часть 2, Запуск в Docker, доступ к API
⑧ Моделирование векторов атак и создание IOC-защищённых ID
⑨ Создание своего VPN с помощью Shadowsocks и обфускация трафика - часть 2
⑩ Помогите с безопасностью
⑪ Splunk Attack Range в виртуальной гостевой Ubuntu VM: Руководство
⑫ Предотвращение межсайтового скриптинга (XSS)
Системные таймеры. Часть[1] – PIT и RTC
В статье рассматриваются технические детали системных таймеров и способы их программирования. Роль таймеров в системе глобальна – по их прерываниям логика чипсета контролирует длительность шинных циклов (что влияет на общую производительность), переводит процессор и ACPI-девайсы в энергосберегающий режим, организует ход часов, пробуждает разнообразные события Event и многое другое.
Читать статью: https://codeby.net/threads/sistemnye-tajmery-chast-1-pit-i-rtc.73002/
#pit #rtc
В статье рассматриваются технические детали системных таймеров и способы их программирования. Роль таймеров в системе глобальна – по их прерываниям логика чипсета контролирует длительность шинных циклов (что влияет на общую производительность), переводит процессор и ACPI-девайсы в энергосберегающий режим, организует ход часов, пробуждает разнообразные события Event и многое другое.
Читать статью: https://codeby.net/threads/sistemnye-tajmery-chast-1-pit-i-rtc.73002/
#pit #rtc
Системные таймеры, Часть[2] – ACPI
ACPI пришёл на смену APM и представляет собой расширенный интерфейс для настройки и управления питанием аппаратных средств компьютера. Интерфейс имеет встроенный таймер, по старинке называемый РМ-таймером. Частота 3.5795 MHz, что в 4-раза меньше опорной 14,318. Имеет 24-битный счётчик, продолжающий считать даже в некоторых режимах энергосбережения – это выгодно отличает его от всех остальных таймеров в системе.
Продолжение: https://codeby.net/threads/sistemnye-tajmery-chast-2-acpi.73020/
#timer #acpi
ACPI пришёл на смену APM и представляет собой расширенный интерфейс для настройки и управления питанием аппаратных средств компьютера. Интерфейс имеет встроенный таймер, по старинке называемый РМ-таймером. Частота 3.5795 MHz, что в 4-раза меньше опорной 14,318. Имеет 24-битный счётчик, продолжающий считать даже в некоторых режимах энергосбережения – это выгодно отличает его от всех остальных таймеров в системе.
Продолжение: https://codeby.net/threads/sistemnye-tajmery-chast-2-acpi.73020/
#timer #acpi
Системные таймеры, Часть[3] – HPET и таблица ACPI
Высокоточный таймер событий HPET берёт на себя функции сразу двух устаревших таймеров PIT и RTC. Если у PIT'a было всего 3-канала, то у HPET их уже 32, добрая половина которых лежит в резерве и не используются. Работая на максимально возможной для таймеров частоте
Читать дальше: https://codeby.net/threads/sistemnye-tajmery-chast-3-hpet-i-tablica-acpi.73127/
#rsdt #timer #hpet
Высокоточный таймер событий HPET берёт на себя функции сразу двух устаревших таймеров PIT и RTC. Если у PIT'a было всего 3-канала, то у HPET их уже 32, добрая половина которых лежит в резерве и не используются. Работая на максимально возможной для таймеров частоте
14.31818 MHz он имеет разрешение равное 1/14318180 ~70 ns.Читать дальше: https://codeby.net/threads/sistemnye-tajmery-chast-3-hpet-i-tablica-acpi.73127/
#rsdt #timer #hpet
СМС регистрацию на freelance.codeby.net
Anonymous Poll
57%
Убрать - она бесполезна и только мешает
43%
Оставить как 1 из барьеров от мошенников
Системные таймеры, Часть[4] – Local APIC
Основным недостатком рассмотренных ранее таймеров является время доступа к ним, т.к. все эти устройства расположены за пределами центрального процессора CPU. Чтобы дотянуться до их контроллёров, процессор вынужден ждать освобождения шины FSB/DMI, посредством которой он тесно связан с чипсетом. Это тормозит процесс и несколько снижает ценность таймеров. Но есть и другая проблема..
Читать далее: https://codeby.net/threads/sistemnye-tajmery-chast-4-local-apic.73735/
#timer #lapic
Основным недостатком рассмотренных ранее таймеров является время доступа к ним, т.к. все эти устройства расположены за пределами центрального процессора CPU. Чтобы дотянуться до их контроллёров, процессор вынужден ждать освобождения шины FSB/DMI, посредством которой он тесно связан с чипсетом. Это тормозит процесс и несколько снижает ценность таймеров. Но есть и другая проблема..
Читать далее: https://codeby.net/threads/sistemnye-tajmery-chast-4-local-apic.73735/
#timer #lapic
