По традиции 1 апреля мы анонсим книги по безопасности
По традиции в этот раз это тоже не шутка....
Мы учли весь ваш фидбек и на порядок серьезнее подошли к созданию книг, не забыв оставить тот самый вайб веселья и мемов.
Бетки в этот раз не будет, только сильная аура, только сразу в прод 💪
Предзаказы откроются летом, если не кончатся токены...
👀 @ever_secure | 📲 MAX | 💳 Поддержать
По традиции в этот раз это тоже не шутка....
Мы учли весь ваш фидбек и на порядок серьезнее подошли к созданию книг, не забыв оставить тот самый вайб веселья и мемов.
Бетки в этот раз не будет, только сильная аура, только сразу в прод 💪
Предзаказы откроются летом, если не кончатся токены...
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥37😁10🥰7
Но в ркн опять все перепутали и Лупа получил за Пупу, а Пупа...
Интересно, какая цифра сегоднящних потерь?
А вы закладываете в модель рисков, что ркн выстрелит себе и другим в колено?🤭
Интересно, какая цифра сегоднящних потерь?
А вы закладываете в модель рисков, что ркн выстрелит себе и другим в колено?🤭
Ever Secure
Созвон сообщества в Zoom 24.03 в 19:00 Тема: DevSecOps и с чем его едят Ведущие: Александр Савин (CISO CDEK) Алексей Федулаев (Head of Cloud Native Security MWS Cloud Platform) Гости выпуска: Александр Емельянов (Head of DevSecOps Wildberries & Russ) Андрей…
#созвон_сообщества
Запись созвона
Тема: DevSecOps и с чем его едят
Ведущие: Александр Савин (CISO CDEK)
Алексей Федулаев (Head of Cloud Native Security MWS Cloud Platform)
Гости выпуска: Александр Емельянов (Head of DevSecOps Wildberries & Russ)
Андрей Моисеев (DevSecOps MWS Cloud Platform)
На созвоне затронули следующие темы:
• Почему все вакухи на DevSecOps разные?
• Кто все-таки такой DevSecOps?
• Какие базовые навыки нужны?
• Чем прикольным и не очень предстоит заниматься на работе?
Приятного просмотра:
-📹 Youtube
-📺 VK
👀 @ever_secure | 💪 Мерч | 💳 Поддержать
Запись созвона
Тема: DevSecOps и с чем его едят
Ведущие: Александр Савин (CISO CDEK)
Алексей Федулаев (Head of Cloud Native Security MWS Cloud Platform)
Гости выпуска: Александр Емельянов (Head of DevSecOps Wildberries & Russ)
Андрей Моисеев (DevSecOps MWS Cloud Platform)
На созвоне затронули следующие темы:
• Почему все вакухи на DevSecOps разные?
• Кто все-таки такой DevSecOps?
• Какие базовые навыки нужны?
• Чем прикольным и не очень предстоит заниматься на работе?
Приятного просмотра:
-
-
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥11❤2
На фоне новостей о детектировании "сервиса, который нельзя называть" на устройствах, какие-то злоумышленники в интернете стали распространять адреса подсетей запещенного мессенджера телеграм, пример
Будьте осторожны и предупредите близких! не слушайте злоумышленников:
1) не ставьте сервисы, которые нельзя нзывать
2) ни в коем случае не включайте split tunneling и white lists для адресов
3) и ни в коем случае нельзя добавлять вышеуказанные адреса в white list для сплита
4) не нужно скрываться от других приложений, которые пытаются задетектить сервис, который нельзя называть
5) и тем более пользоваться запрещенными мессенджерами
Не дайте себя обмануть. Stay Safe
👀 @ever_secure | 💪 Мерч | 💳 Поддержать
149.154.164.0/22
149.154.160.0/20
91.108.8.0/22
91.108.56.0/22
91.108.4.0/22
95.161.64.0/20
149.154.167.0/24
91.108.16.0/22
91.108.12.0/22
91.105.192.0/23
91.108.20.0/22
185.76.151.0/24
149.154.167.0/20
5.28.128.0/17
Будьте осторожны и предупредите близких! не слушайте злоумышленников:
1) не ставьте сервисы, которые нельзя нзывать
2) ни в коем случае не включайте split tunneling и white lists для адресов
3) и ни в коем случае нельзя добавлять вышеуказанные адреса в white list для сплита
4) не нужно скрываться от других приложений, которые пытаются задетектить сервис, который нельзя называть
5) и тем более пользоваться запрещенными мессенджерами
Не дайте себя обмануть. Stay Safe
Please open Telegram to view this post
VIEW IN TELEGRAM
😁27🤝11😱5❤1🔥1
Недавно принял участие в подкасте для университета iSpring, признавайтесь, кто проплатил спросить когда книги в продажу опять поступят? 🤣
👀 @ever_secure | 💪 Мерч | 💳 Поддержать
Please open Telegram to view this post
VIEW IN TELEGRAM
🤣8
Здарова АппСеки 😃
Сегодня много говориил про AppSec с уважаемыми людьми 😉
Вместе с вами жду запись
👀 @ever_secure | 💪 Мерч | 💳 Поддержать
Сегодня много говориил про AppSec с уважаемыми людьми 😉
Вместе с вами жду запись
Please open Telegram to view this post
VIEW IN TELEGRAM
❤23
Ever Secure
Здарова АппСеки 😃 Сегодня много говориил про AppSec с уважаемыми людьми 😉 Вместе с вами жду запись 👀 @ever_secure | 💪 Мерч | 💳 Поддержать
Побывал в гостях у Димы Беляева (BELYAEV_SECURITY) и Егора Богомолова (YAH) на Belyaev_Podcast.
Этот выпуск про психологию разработчиков vs AppSec — живой, местами дерзкий и максимально практичный разговор о том, как перестать быть «полицией безопасности» и превратить секьюрити в ускоритель релизов, выручки и доверия бизнеса. Внутри — жирные кейсы: дедлайновое мышление сеньоров, компромиссы «сейчас выкатываем — потом чиним», майнинг на проде, атаки на CI/CD и контейнеры, а также практическое использование AI.
Приятного просмотра/прослушивания:
📺 [Смотреть]
📺 [Смотреть]
💙 [Смотреть]
🎵 [Слушать]
💬 [Слушать]
👀 @ever_secure | 💪 Мерч | 💳 Поддержать
Этот выпуск про психологию разработчиков vs AppSec — живой, местами дерзкий и максимально практичный разговор о том, как перестать быть «полицией безопасности» и превратить секьюрити в ускоритель релизов, выручки и доверия бизнеса. Внутри — жирные кейсы: дедлайновое мышление сеньоров, компромиссы «сейчас выкатываем — потом чиним», майнинг на проде, атаки на CI/CD и контейнеры, а также практическое использование AI.
Приятного просмотра/прослушивания:
Please open Telegram to view this post
VIEW IN TELEGRAM
🤣8
Новости из параллельной вселенной
— Дисклеймер —
Вся информация предоставлена в исследовательских и обучающих целях, автору все приснилось. Переходите в месенджер Max
Как планируется палить ваши VPN после 15 апреля на примере Месенджера с парковки:
• Обнаружение VPN-соединения. Выполняется проверка флага
• Дополнительный вектор проверки это сетевой стек Android, общий для всех приложений - при активном VPN-соединении в системе появляется интерфейс
• Доступность заблокированных хостов. Host Reachability - карманный "Ревизор”. Модуль проверяет доступность хостов (
двумя методами:
• Сбор IP и привязка к оператору IP. Запрашиваются данные у шести источников (yandex ipv4/ipv6, ifconfig.me, api.ipify.org, checkip.amazonaws.com, ip.mail.ru) - 50/50 российские/зарубежные, чтобы ловить раздельное туннелирование, когда RU-трафик идет напрямую. Параллельно собирается зона обслуживания мобильной сети (
• Уязвимость VLESS-клиентов. Все популярные клиенты (v2rayNG, Hiddify, NekoBox, V2BOX, Happ и др.) запускают локальный socks5 прокси без аутентификации. Схема:
•
👀 @ever_secure | 💪 Мерч | 💳 Поддержать
— Дисклеймер —
Вся информация предоставлена в исследовательских и обучающих целях, автору все приснилось. Переходите в месенджер Max
Как планируется палить ваши VPN после 15 апреля на примере Месенджера с парковки:
• Обнаружение VPN-соединения. Выполняется проверка флага
NetworkCapabilities.TRANSPORT_VPN через ConnectivityManager - стандартный Android API, не требует специальных разрешений. Возвращает логическое значение - VPN активен или нет. Поле VPN : 1 отправляется на api.oneme.ru внутри кастомного бинарного протокола (заголовок 10 байт + MessagePack payload, опционально - LZ4-сжатый)• Дополнительный вектор проверки это сетевой стек Android, общий для всех приложений - при активном VPN-соединении в системе появляется интерфейс
tun0, который виден любому процессу через запрос интерфейс /proc/net/if_inet6, /proc/net/fib_trie или используя метод NetworkInterface.getNetworkInterfaces(). Оба метода не требуют дополнительных разрешений от системы. Наличие tun0 является однозначным маркером активного VPN-туннеля для организации КВН• Доступность заблокированных хостов. Host Reachability - карманный "Ревизор”. Модуль проверяет доступность хостов (
main.telegram.org, mmg.whatsapp.net, gosuslugi.ru, gstatic.com, calls.okcdn.ru и др.)конечно же как opensource метрики и для улучшения качества предоставляемых услуг
двумя методами:
ICMP ping (`InetAddress.isReachable`) и TCP connect на :443 с таймаутом 3с. Результат кодируется следующим образом: 0 = оба fail, 1 = ping ok / tcp fail, 2 = ping fail / tcp ok, 3 = оба ok. Это прямая проверка работы ТСПУ - он не режет ICMP, но блокирует конкретные порты/протоколы• Сбор IP и привязка к оператору IP. Запрашиваются данные у шести источников (yandex ipv4/ipv6, ifconfig.me, api.ipify.org, checkip.amazonaws.com, ip.mail.ru) - 50/50 российские/зарубежные, чтобы ловить раздельное туннелирование, когда RU-трафик идет напрямую. Параллельно собирается зона обслуживания мобильной сети (
PLMN (MCC+MNC)) с помощью метода TelephonyManager.getNetworkOperator() - маркер нахождения в РФ без геолокации• Уязвимость VLESS-клиентов. Все популярные клиенты (v2rayNG, Hiddify, NekoBox, V2BOX, Happ и др.) запускают локальный socks5 прокси без аутентификации. Схема:
•
VpnService → tun2socks → xray socks5 → VPN server.
Spyware-модуль может напрямую подключиться к socks5 на localhost, минуя VpnService, и узнать выходной IP проксиПриватные пространства (Knox, Shelter, Island) не имеют возможности изолировать loopback. Сканирование портов localhost доступно между профилями
Please open Telegram to view this post
VIEW IN TELEGRAM
😐11🙉7❤2👍2
— Дисклеймер —
Вся информация предоставлена в исследовательских и обучающих целях, автору все приснилось. Переходите в месенджер Max
По следам методички КВН сделали чекер. Смотрите, как работают пользовательские профили на примере GrapheneOS 16 и альтернатива на китайской OriginOS 6
👀 @ever_secure | 💪 Мерч | 💳 Поддержать
Вся информация предоставлена в исследовательских и обучающих целях, автору все приснилось. Переходите в месенджер Max
По следам методички КВН сделали чекер. Смотрите, как работают пользовательские профили на примере GrapheneOS 16 и альтернатива на китайской OriginOS 6
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8🤣4❤2
Ever Secure
Новости из параллельной вселенной — Дисклеймер — Вся информация предоставлена в исследовательских и обучающих целях, автору все приснилось. Переходите в месенджер Max Как планируется палить ваши VPN после 15 апреля на примере Месенджера с парковки: • Обнаружение…
Для тех, кто не понял, нормальной защиты без потери удобства не будет, пока не выйдет Android 17. На GrapheneOS отрабатывает корректно при определенных условиях, а именно <запрещенный месенджер> и <запрещенный сервис> находятся в отдельном профиле, в котором выключена фоновая активность.
Как только врубается фоновая активность, интерфейс начинает детектится в других профилях, пруф ниже.
Никакой рут для этого не нужен!!!
👀 @ever_secure | 💪 Мерч | 💳 Поддержать
Как только врубается фоновая активность, интерфейс начинает детектится в других профилях, пруф ниже.
Никакой рут для этого не нужен!!!
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤9👍3
Forwarded from Cybersec.travel
Уже менее, чем через месяц вылетаем на PGL Astana, определены все участники турнира!
Дата проведения: 15-17 мая 2026 года
Место проведения: Астана, Барыс арена
Мы выкупили випку на 12 человек, есть 4 места!!!
Стоимость билета 56800
Ждем 4 счастливчиков, кто отправится с нашей ИБшной тусовкой!
По всем вопросам @aleksey0xffd
Дата проведения: 15-17 мая 2026 года
Место проведения: Астана, Барыс арена
Мы выкупили випку на 12 человек, есть 4 места!!!
Стоимость билета 56800
Ждем 4 счастливчиков, кто отправится с нашей ИБшной тусовкой!
По всем вопросам @aleksey0xffd
🌚3
Forwarded from Безумный кот
Всем привет, продолжаем анонсы наших наработок.
Сегодня хотим поделиться с вами - RBAC-Engine😱
Какую задачу мы решали.😈
Есть обычный Kubernetes-кластер, по мере роста появляются новые контроллеры, роли, биндинги и в какой-то момент становится сложно ответить на базовый вопрос —
как вообще выглядит матрица доступов и кто к чему имеет доступ.
Даже на простом примере:
Попробуйте сходу понять💬 :
• Какие роли это разрешают
• Какие service accounts / пользователи с ними связаны
• Через какие биндинги это всё выдается
Отдельная боль — политики уровня "*", которые размывают реальную картину доступа.
Чтобы это разобрать, мы пошли двумя путями:😎
1. Политики (аналог Trivy-подхода)
Сделали свой механизм правил который позволяет:
• Описывать интересующий скоуп
• Применять к кластеру или namespace
• Получать результат со скорингом
Это даёт быстрый ответ — где💩
2. Граф связей (Agregation Layer API)
AGL позволил реализовать in-memory GRAPH DB, в рамках кторой находятся все связи и граф всегда простраивается относительно прав пользователей, так что лишнего не увидят.
AGL предоставляет возможность:☹️
• Фильтровать по нужному скоупу
• Отображать, кто реально может использовать доступ
• Накладывать результаты политик поверх найденных связей
• Резолвить "*" в Rule на основе реальной схемы OpenAPI кластера
В итоге вы получаете инструмент с помощью которого:
• Быстро находите роли с нужным доступом
• Понимаете, кто пользуется найденными ролями
• Понимаете, через какой биндинг выдан этот доступ
Такой подход позволяет убрать десятки, а может сотни человекочасов работы и получить ту прозрачность которую мы заслужили)
Полезная информация:
• Исходники на GitHub
• Chart на GitHub
Лучшая ваша похвала — это:🤪
• Вопросы по теме
• Поиск неточностей
• Советы, как сделать лучше
• И, конечно, ⭐️ на GitHub
Сегодня хотим поделиться с вами - RBAC-Engine
Какую задачу мы решали.
Есть обычный Kubernetes-кластер, по мере роста появляются новые контроллеры, роли, биндинги и в какой-то момент становится сложно ответить на базовый вопрос —
как вообще выглядит матрица доступов и кто к чему имеет доступ.
Даже на простом примере:
• pods/exec | verb=get,create
• nodes/proxy | verb=get,create
Попробуйте сходу понять
• Какие роли это разрешают
• Какие service accounts / пользователи с ними связаны
• Через какие биндинги это всё выдается
Отдельная боль — политики уровня "*", которые размывают реальную картину доступа.
Чтобы это разобрать, мы пошли двумя путями:
1. Политики (аналог Trivy-подхода)
Сделали свой механизм правил который позволяет:
• Описывать интересующий скоуп
• Применять к кластеру или namespace
• Получать результат со скорингом
Это даёт быстрый ответ — где
2. Граф связей (Agregation Layer API)
AGL позволил реализовать in-memory GRAPH DB, в рамках кторой находятся все связи и граф всегда простраивается относительно прав пользователей, так что лишнего не увидят.
AGL предоставляет возможность:
• Фильтровать по нужному скоупу
• Отображать, кто реально может использовать доступ
• Накладывать результаты политик поверх найденных связей
• Резолвить "*" в Rule на основе реальной схемы OpenAPI кластера
В итоге вы получаете инструмент с помощью которого:
• Быстро находите роли с нужным доступом
• Понимаете, кто пользуется найденными ролями
• Понимаете, через какой биндинг выдан этот доступ
Такой подход позволяет убрать десятки, а может сотни человекочасов работы и получить ту прозрачность которую мы заслужили)
Полезная информация:
• Исходники на GitHub
• Chart на GitHub
Лучшая ваша похвала — это:
• Вопросы по теме
• Поиск неточностей
• Советы, как сделать лучше
• И, конечно, ⭐️ на GitHub
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Безумный кот
Что бы добавить немного контекста, то политика описывается вот таким простым способом
->😎
На выходе мы получаем вот такой репорт для каждой роли
->😎
А для получения скоупа через граф, достаточно сформировать вот такой манифест:
->🤪
->
apiVersion: rbacreports.in-cloud.io/v1alpha1
kind: RbacPolicy
metadata:
name: ksv053-exec-into-pods
spec:
severity: HIGH
category: Kubernetes Security Check
checkID: KSV053
title: Exec into Pods
description: >-
Access to the pods/exec subresource lets a caller run arbitrary commands
inside any container they can target. Combined with a privileged container,
a hostPath mount, or a high-permission ServiceAccount, this is a direct path
to host root or cluster-admin.
remediation: >-
Limit pods/exec to a small set of trusted operator identities (or remove
entirely in production). For routine debugging, prefer ephemeral containers
or read-only log access.
match:
apiGroups: [""]
resources: [pods/exec]
verbs:
- create
- get
- "*"
На выходе мы получаем вот такой репорт для каждой роли
->
apiVersion: rbacreports.in-cloud.io/v1alpha1
kind: ClusterRbacReport
metadata:
labels:
app.kubernetes.io/managed-by: rbac-reports-operator
rbac-reports.io/resource-kind: ClusterRole
name: admin
ownerReferences:
- apiVersion: rbac.authorization.k8s.io/v1
blockOwnerDeletion: false
controller: true
kind: ClusterRole
name: admin
uid: 09b10026-db84-4725-aa30-9d6d22623451
report:
checks:
- category: Kubernetes Security Check
checkID: KSV053
description: Access to the pods/exec subresource lets a caller run arbitrary commands
inside any container they can target. Combined with a privileged container,
a hostPath mount, or a high-permission ServiceAccount, this is a direct path
to host root or cluster-admin.
messages:
- ClusterRole 'admin' should not have access to resources [pods/attach, pods/exec,
pods/portforward, pods/proxy, secrets, services/proxy] for verbs [get, list,
watch]
- ClusterRole 'admin' should not have access to resources [pods, pods/attach,
pods/exec, pods/portforward, pods/proxy] for verbs [create, delete, deletecollection,
patch, update]
remediation: Limit pods/exec to a small set of trusted operator identities (or
remove entirely in production). For routine debugging, prefer ephemeral containers
or read-only log access.
severity: HIGH
success: false
title: Exec into Pods
summary:
criticalCount: 5
highCount: 2
lowCount: 0
mediumCount: 2
totalCount: 9
spec:
roleRef:
kind: ClusterRole
name: admin
uid: 09b10026-db84-4725-aa30-9d6d22623451
scanner:
name: rbac-reports-operator
vendor: PRO-Robotech
version: 0.3.0
А для получения скоупа через граф, достаточно сформировать вот такой манифест:
->
{
"apiVersion": "rbacgraph.in-cloud.io/v1alpha1",
"kind": "RoleGraphReview",
"metadata": {"name": "demo"},
"spec": {
"selector": {
"apiGroups": [""],
"resources": ["pods/exec"],
"verbs": ["get", "create"]
},
"matchMode": "any",
"includeRuleMetadata": true
}
}Please open Telegram to view this post
VIEW IN TELEGRAM