Как дела в контейнере? Собираем события безопасности в Docker

Практически все современные системы используют контейнеризацию. В большинстве случаев в качестве платформы контейнеризации служит Docker.

Для обеспечения информационной безопасности постепенно появляются решения класса Container Security, но у команд разработки (dev) или сопровождения (ops) не всегда есть возможность их ждать, тестировать и встраивать.
А командам информационной безопасности (sec) заниматься защитой нужно уже сейчас.
https://xakep.ru/2024/05/21/docker-monitoring/

Обнаружена новая версия вайпера BiBi

Новая версия мавлари BiBi стирает таблицу разделов диска, что дополнительно затрудняет восстановление данных и увеличивает время простоя атакованных компьютеров, предупреждают аналитики Check Point.
Впервые BiBi Wiper был обнаружен специалистами компании SecurityJoes в октябре 2023 года. Они писали, что вредонос, скорее всего, был развернут хакерами поддерживающими ХАМАС, с целью вызвать необратимые повреждения данных. Вскоре после этого израильский CERT предупредил, что атаки на израильские компьютеры с целью уничтожения данных становятся все более частыми, а BiBi используется в атаках против критически важных организаций в стране.

Подробнее:
https://xakep.ru/2024/05/21/new-bibi-wiper/

CISA: уязвимости в Chrome и роутерах D-Link используют хакеры

Агентство по кибербезопасности и защите инфраструктуры США (CISA) внесло в каталог эксплуатируемых уязвимостей сразу три новых бага, один из которых затрагивает браузер Google Chrome, а два других — роутеры компании D-Link

Читать полностью:
https://xakep.ru/2024/05/20/chrome-d-link-kev/
...

Вир­туаль­ная магия. Исполь­зуем эму­ляцию и вир­туали­зацию для пивотин­га*

Читать на сайте:
👉 https://xakep.ru/2024/05/08/virtualization-for-pivoting/

Виртуальная магия 2. Используем эмуляцию и виртуализацию при атаках*

Если во время пентеста атакующий оказался в системе, на которой отсутствует канал для эксфильтрации, отчаиваться рано.
На помощь придет магия эмуляции и виртуализации.

Эти технологии позволяют не только выполнять пивотинг, но и активно развивать атаки, даже если дело поначалу казалось безнадежным.

"...будем ста­рать­ся разум­но исполь­зовать дис­ковое прос­транс­тво и добивать­ся минималь­ного раз­мера финаль­ного обра­за.
Ведь сбор­ка минима­лис­тично­го обра­за, лишен­ного все­го ненуж­ного, раз­мером в пару‑трой­ку сотен мегабайт может ока­зать­ся очень кста­ти.

Как ра­нее с обра­зом GW, мы отталки­ваем­ся от началь­ной фай­ловой сис­темы объ­емом в 5 Мбайт.
На минуточ­ку, 10 Мбайт — это эму­лятор, 5 Мбайт — образ Linux, а в 15 Мбайт у нас помеща­ется готовая рабочая Linux-сис­тема, которую мы можем запус­кать где угод­но, без уста­нов­ки и без прав!
Неп­лохое начало...

Для луч­шей обратной сов­мести­мос­ти мы исполь­зуем 32-бит­ный образ, более перено­симый (он работа­ет в сис­темах x64, но не наобо­рот).
Этот образ менее популя­рен, и отто­го уста­нов­ка некото­рых пакетов с пред­компи­лиро­ван­ными фай­лами под x64 пот­ребу­ет уже переком­пилиро­вать их в x32.
Поэто­му нам при­дет­ся уста­новить некото­рые лиш­ние пакеты."

Подробнее:
👉 https://xakep.ru/2024/05/16/virtualization-for-attacks/

Добиваем мониторинг. Как работают продвинутые атаки* на Sysmon

Получив доступ к взломанной системе, атакующий первым делом реализует техники уклонения от обнаружения, которые позволяют ослабить мониторинг безопасности инфраструктуры и, как следствие, действовать максимально незаметно.

Читать далее:
👉 https://xakep.ru/2024/05/15/advanced-sysmon-attacks/

Detection-as-Сode. Строим пайплайн для конфига Sysmon

Конфигурационный файл встроенного в Windows средства мониторинга Sysmon может разрастаться до тысячи строк, которые описывают правила отбора регистрируемых в логах событий.
Стандартный набор функций Sysmon для проверки конфига неудобен и затрудняет работу аналитика.

В этой статье* я покажу, как составлять пайплайн CI/CD для валидации конфига Sysmon и сделать невозможной потерю событий.
👉 https://xakep.ru/2024/02/16/sysmon-configs/

--------------------------
* "Статья име­ет озна­коми­тель­ный харак­тер и пред­назна­чена для спе­циалис­тов по безопас­ности, про­водя­щих тес­тирова­ние в рам­ках кон­трак­та.
Автор и редак­ция не несут ответс­твен­ности за любой вред, при­чинен­ный с при­мене­нием изло­жен­ной информа­ции. Рас­простра­нение вре­донос­ных прог­рамм, наруше­ние работы сис­тем и наруше­ние тай­ны перепис­ки прес­леду­ются по закону."
...

​🕵 Offensive или Defensive Security: что лучше, защита или нападение?

Пример разных подходов к безопасности: красные и синие команды.

Разбираемся, чему надо учиться для участия в них, и как выбрать между Offensive или Defensive Security.
https://proglib.io/sh/DId6cv1pxU
...

​Линейное программирование. Практика решения задач оптимизации на Python

Рассмотрим на примере максимизации прибыли характерные особенности задач линейного программирования.
В качестве высокоуровневых инструментов – Python, библиотеки SciPy и PuLP.
https://proglib.io/sh/T90VYvCdJU
...

​❓ Можно ли заменить настольный компьютер на Raspberry Pi 4?

В этой статье познакомимся с Raspberry Pi 4 и ответим на вопрос, сможет ли «Малина» заменить десктоп. Спойлер: на 90% – нет.

https://proglib.io/sh/WEJoq7CyFV

​☕ 25 полезных сниппетов JavaScript для вашей коллекции

Подборка полезных фрагментов кода на JavaScript для решения распространенных задач программирования. Этот джентльменский набор сниппетов пригодится любому разработчику.

https://proglib.io/sh/OGAIj5izQu

#pentest #bugbounty #cheatsheet

Шпаргалки по веб-безопасности, охватывающие следующие темы: Angular, React, OAuth 2.0, JWT и безопасное хранение данных в браузере.

​💽 Git для Data Science: контроль версий моделей и датасетов с помощью DVC

Подробный туториал о том, как с помощью DVC и Git эффективно хранить датасеты и модели машинного обучения, чтобы перемещаться между разными их версиями посредством пары команд.
https://proglib.io/sh/k2ELx6Fwgu
...

s0i37
https://xakep.ru/author/s0i37/

Lead cybersecurity analyst at USSC
t.me/s0i37_channel

Знакомимся с основными возможностями Docker

Docker — это действительно must have инструмент для разработчика и администратора сколько-нибудь крупного проекта.

Docker обязательно нужно знать: уже в самом ближайшем будущем он будет везде, начиная от десктопного Linux-дистрибутива и заканчивая пулом серверов на AWS.
А самое приятное, что разобраться с Docker довольно легко, если, конечно, правильно понимать принцип его работы.
👉 https://xakep.ru/2015/06/01/docker-usage/

Четыре класса задач, для которых Docker подходит идеально

Благодаря своей архитектуре и особенностям, о которых мы уже поговорили в предыдущих статьях, Docker может быть использован для решения огромного количества задач, многие из которых простираются далеко за пределы виртуализации в классическом понимании этого слова.

Docker удобно использовать для реализации микросервисов, деплоя приложений, упрощения цикла разработки, изоляции приложений и многих других задач.
👉 https://xakep.ru/2015/06/01/docker-advanced-usecases/

Используем Docker для безопасного веб-серфинга

Есть несколько способов обезопасить себя и свою машину во время веб-серфинга и выполнения других сетевых задач.

Наиболее простой — завести в системе специального юзера, от имени которого заходить на безопасные/опасные сайты.

Другой способ — это поднять виртуальную машину, установив на нее, например, Hardened Gentoo.
Еще можно установить Qubes OS, но все это слишком избыточные конфигурации, которые можно заменить контейнерной виртуализацией.
👉 https://xakep.ru/2014/07/22/docker-for-safe-browsing/

Большой Docker FAQ: отвечаем на самые важные вопросы

На пути к полноценной работе с Docker у тебя может возникнуть ряд вопросов, и ты столкнешься с трудностями, которые сложно решить без знания архитектурных деталей Docker.

В этом FAQ мы попытались собрать ответы на наиболее частые вопросы и решения для самых серьезных проблем Docker.
👉 https://xakep.ru/2015/06/04/docker-faq/
...

Kubernetes: разбираемся с системой управления контейнерами

С появлением Docker интерес к контейнерам вырос взрывообразно: разворачивать приложения оказалось настолько удобно, что технологию начали использовать буквально везде.
Облачные сервисы уже дают быстрый доступ к большому количеству виртуальных машин, которыми нужно управлять. Поэтому без инструмента, позволяющего запускать контейнеры на множестве хостов, масштабировать и выполнять балансировку, уже не обойтись.

Разберемся с решением, предложенным Google.
👉 https://xakep.ru/2016/09/19/kubernetes/

Жонглируем контейнерами. Разные полезные плюшки для Docker

Появившись, Docker практически сразу стал интересен IT-шникам, которые получили в руки удобный инструмент для безопасного и быстрого развертывания приложений.
Но, немного поигравшись, понимаешь, что базового набора недостаточно.
Большая популярность проекта привела к тому, что он мгновенно оброс сопутствующими субпроектами и хаками, предлагающими улучшения и устранения известных недостатков.
👉 https://xakep.ru/2016/02/04/docker-utilites/

Обороняем порт. Как защитить инфраструктуру на Docker минимальными силами

Docker — прекрасная вещь, которая может экономить массу сил и времени.

В этой статье мы поговорим о том, как использовать Docker максимально безопасно и отлавливать потенциальные угрозы заранее.
Также ты найдешь здесь готовые рекомендации, команды и инструменты, которые легко использовать в своем проекте.
👉 https://xakep.ru/2019/07/05/docker-security/
...

Анализ 4 000 000 Docker-образов показал, что половина из них содержит критические уязвимости
https://xakep.ru/2020/12/03/docker-hub-analisys/

Обороняем порт. Как защитить инфраструктуру на Docker минимальными силами

Docker — прекрасная вещь, которая может экономить массу сил и времени.

В этой статье мы поговорим о том, как использовать Docker максимально безопасно и отлавливать потенциальные угрозы заранее.
Также ты найдешь здесь готовые рекомендации, команды и инструменты, которые легко использовать в своем проекте.
👉 https://xakep.ru/2019/07/05/docker-security/

Контейнерно-модульное тестирование. Пишем юнит-тесты для образов Docker

Не все компоненты ПО имеют очевидные, известные и понятные пути тестирования.
К примеру, образы Docker либо не тестируют вообще, либо тестируют только на пригодность к запуску.

В этой статье я расскажу, как протестировать образ Docker так, чтобы убедиться в том, что он на 100% выполняет свои задачи.
👉 https://xakep.ru/2021/03/25/docker-unit-tests/

❗️20 полезных команд Docker для разработчиков.
https://proglib.io/w/297f1cf0

​#tip #docker
...

Новая диета для Linux. Загружаем современный Linux, используя минимум памяти
https://xakep.ru/2024/03/27/linux-lowram/

Мастерская хакера. 13 утилит для Linux, которые пригодятся админу

Настоящие воины Linux общаются с командной строкой ежедневно, а некоторые в ней просто живут.
В очередной подборке я собрал утилиты, которые облегчат эту жизнь, сделают ее ловчее и веселее.
Наибольшую пользу эти тулзы принесут сисадмину и хакеру, но и простой юзер для себя кое-что найдет.

В общем, налетай!
Впереди у нас 13 интересных полезняшек:
👉 https://xakep.ru/2022/09/29/13-linux-tools/

Что прячет пингвин. Большой гид по сбору улик в Linux

Зна­ешь, что делать, чтобы найти следы инцидента на машине с Linux?

Если нет, сей­час рас­ска­жем.
А если зна­ешь, все рав­но пог­ляди!
Мы соб­рали рецеп­ты на все слу­чаи жиз­ни, а в кон­це статьи поделим­ся под­боркой полез­ных инс­тру­мен­тов.
👉 https://xakep.ru/2023/05/03/linux-incident-response/

Основы аудита. Настраиваем журналирование важных событий в Linux

Подсистема аудита Linux позволяет на основе предварительно настроенных правил отслеживать значимую информацию о безопасности операционной системы, создает записи журнала для дальнейшего расследования нарушений политики.

Сегодня мы посмотрим поближе на этот важный и для хакера, и для админа элемент системы безопасности.
👉 https://xakep.ru/2021/09/16/linux-audit/
...

USB forensic battle. Выбираем инструмент для анализа подключений носителей

Заразные флешки продолжают быть проблемой для безопасников.
Чтобы ты был подготовлен к борьбе с этой напастью, мы собрали и сравнили несколько популярных бесплатных утилит для форензики подключаемых USB-устройств.
👉 https://xakep.ru/2022/12/09/usb-forensic-battle/
...

Ходячие мертвецы. Как подружить устаревшие сетевые протоколы с современными

Многие исторические протоколы живут в программном обеспечении еще долго после своего пика популярности и остаются доступными, если вдруг нужны.
В то же время активно развивающиеся протоколы могут утрачивать совместимость.

Давай рассмотрим несколько примеров того, как связать старые системы с новыми сетями.
👉 https://xakep.ru/2021/05/19/pinging-dead/

Атаки на STP. Взламываем протокол STP с помощью Yersinia
https://xakep.ru/2021/08/25/stp-yersinia/

IP без ошибок. Изучаем принципы работы с IP-адресам

Любое приложение, которое хоть как-то работает с сетью, должно валидировать правильность IP-адресов.
Это сложнее, чем может показаться.

Здесь легко впасть в крайности: при излишне строгой валидации пользователь не сможет ввести верные данные, при недостаточной — окажется наедине с низкоуровневыми сообщениями об ошибках (если они вообще передаются).

В этой статье мы разберем ряд сложностей, возникающих при валидации адресов, а потом посмотрим на готовые библиотеки...
https://xakep.ru/2021/02/16/ip-validation/
...

Когда винда не видна. Переустанавливаем Windows через удаленный доступ

Уда­лен­ка — тренд это­го года. Ока­залось, что мно­гие вещи мож­но не прос­то делать по сети, но и делать луч­ше, чем в офи­се!
Думаю, пере­уста­нов­ка ОС — дос­таточ­но стан­дар­тная опе­рация, что­бы ее мож­но было перенес­ти на уда­лен­ку.

Сегод­ня на при­мере Windows я покажу, как это дела­ется.
https://xakep.ru/2020/08/10/remote-windows-setup/

Используй силу, Тукс! Применяем PowerShell в Linux

Под давлением обстоятельств некоторые компании переходят на Linux и свободное ПО.
Когда переходишь с Windows на Linux, хочется сохранить удобное окружение и привычное средство автоматизации, роль которого в Windows играет PowerShell.

Можно ли полноценно использовать его в Linux?
Конечно, и сейчас мы разберемся, как.
👉 https://xakep.ru/2022/06/08/linux-powershell/
...