👩‍💻 Kubernetes The Hard Way.

• Автор этого гайда работал над ним около двух лет, осуществил тысячи перезапусков и пересобрал сотни кластеров — всё это вылилось в одну, но очень насыщенную статью. Kubernetes вручную, от и до, без kubeadm и прочих поблажек.

- Удобные alias’ы, функции и обёртки;
- Десятки скриптов, которые реально работают в бою;
- Важные моменты, о которых молчат в туториалах.

➡Введение;
➡Почему «The Hard Way»;
➡Архитектура развертывания;
➡Создание инфраструктуры;
➡Базовая настройка узлов;
➡Загрузка модулей ядра;
➡Настройка параметров sysctl;
➡Установка компонентов;
➡Настройка компонентов;
➡Проверка готовности компонентов;
➡Работа с сертификатами;
➡Создание корневых сертификатов;
➡Создание сертификатов приложений;
➡Создание ключа подписи ServiceAccount;
➡Создание всех сертификатов;
➡Создание конфигураций kubeconfig;
➡Создание всех kubeconfig;
➡Проверка блока сертификатов;
➡Создание static pod-ов управляющего контура;
➡Создание всех static pod-ов управляющего контура;
➡Создание static pod-ов ETCD кластера;
➡Запуск службы Kubelet;
➡Проверка состояния кластера;
➡Настройка ролевой модели;
➡Загрузка конфигурации в кластер;
➡Загрузка корневых сертификатов в кластер;
➡Маркировка и ограничение узлов.

#Kubernetes

• Доброе утро... 🫠

#Понедельник

• Опубликовано очередное исследование, в рамках которого были проанализированы различные браузеры на предмет сбора и отправки телеметрии. Стоит отметить, что учитывались только запросы, отправленные свежеустановленными экземплярами браузеров, до какой-либо активности пользователя. Проверялись самые свежие версии браузеров, доступные на момент тестирования. Отсутствие служебной сетевой активности сразу после запуска зафиксировано только у браузеров Kagi Orion, Tor Browser и Pale Moon. Остальные браузеры так или иначе устанавливали сетевые соединения с внешними серверами, которые как минимум получали сведения об IP-адресе пользователя.

• К слову, ни один из отправляющих запросы браузеров не предоставил пользователю возможность отказаться от начальной отправки данных - многие браузеры позволяют в настройках отключить передачу телеметрии, но изменить эти настройки можно уже после того данные переданы при первом запуске.

• Распределение браузеров по числу хостов, к которым отправлялись служебные запросы (в скобках показатель за 2021 год):

➡82 - Zen;
➡48 (21) - Edge;
➡42 - Floorp;
➡31 (21) - Opera;
➡29 (15) - Firefox;
➡25 (9) - Chrome;
➡24 (3) - Librewolf;
➡24 (15) - Yandex Browser;
➡21 - Waterfox;
➡17 (7) - Brave;
➡16 (44) - Arc;
➡15 (0) - Mulvad;
➡11 (13) - Vivaldi;
➡10 - Thorium;
➡6 (6) - Safari;
➡3 (0) - Ungoogled Chromium;
➡0 (0) Kagi Orion;
➡0 (0) - Tor Browser;
➡0 - Pale Moon.

➡️ Исследование;
➡️ Источник.

#Статистика #Исследование

• Очень ситуативное решение, но с полезным функционалом: ContainerSSH — инструмент, позволяющий поднимать отдельное окружение для пользователя налету, при подключении по SSH.

• Удобно, если используете для тестирования чего-либо, ну или для CTF и всего вот этого вот, где нам нужно получать заранее подготовленное, изолированное окружение при простой SSH авторизации.

➡️ Подробное описание: https://github.com/ContainerSSH

➡️ Документация: https://containerssh.io/v0.5/reference/

#SSH #Tools

📶 Usenet.

• Когда Тим Бернерс-Ли в ранних 90-х представил технологии, определившие будущую Всемирную паутину, в мире уже не одно десятилетие существовала по-настоящему децентрализованная компьютерная сеть с довольно богатым контентом и открытым доступом. Этот проект, который всё ещё живет, называется Usenet. О нем и поговорим.

• Эта история началась в Северной Каролине с двух друзей из Дьюкского университета, Джима Элиса и Тома Траскотта. Они работали над протоколом UUCP, Unix to Unix Copy Protocol. Их друг из университета Северной Каролины Стивен Белловин хотел создать софт, который позволил бы людям пользоваться этим протоколом, и тоже вошёл в основную команду.

• Проект оказался довольно успешен: с помощью UUCP стало возможно отправлять файлы и сообщения между компьютерами и мини-компьютерами, соединёнными по сети. И, поскольку речь идёт о 1970-х, под компьютерами подразумеваются мейнфреймы, занимающие целую комнату или этаж. Мини-компьютеры же варьировались по размерам примерно от письменного стола до пары холодильников. Для своего времени они обеспечивали приличную вычислительную мощность, но до мейнфреймов им было далеко.

• Чтобы соединять компьютеры между собой в рамках проекта Usenet, создатели использовали акустические модемы (на фото). В их основе лежит акустический преобразователь, превращающий электрические сигналы в звук и наоборот. Когда нужно было установить соединение между компьютерами, то на преобразователе одного компьютера набирался номер другого компьютера с подобным преобразователем. После установки связи последовательность бит передавалась через звуковые сигналы. Для надёжности передачи такие модемы оборудовались звукоизолирующими резиновыми прокладками.

• Выглядит как странная альтернатива обычному коммутируемому доступу. Почему бы не использовать для этого телефонные сети, которые были очень развиты в то время? Всё дело в AT&T, телефонном монополисте США того времени, который установил очень высокие цены на передачу данных через коммутируемый доступ по своим линиям. Акустические модемы соединялись, по сути, с помощью голосовых вызовов, что было гораздо дешевле. Впоследствии AT&T, кстати, узнала об этой лазейке, но в итоге не выиграла суд.

• Итак, на основе UUCP-протокола Стивен Белловин написал софт, нечто вроде браузера, но без графической оболочки. С его помощью стало возможным обмениваться данными между мини-компьютерами. Первые три компьютера, соединённые таким образом, располагались в Дьюкском университете, школе медицины университета Дьюка и в университете Северной Каролины. Так образовалась начальная версия Usenet.

• По своей сути Usenet очень напоминал современный Reddit и, в целом, уходящие в прошлое форумы. Сеть состояла из групп обсуждения. Каждая такая группа была посвящена какой-нибудь теме. Пользователи могли читать эти потоки и, обычно, писать в них.

• В 1986 году выпускники Калифорнийского университета в Сан-Диего опубликовали в Usenet спецификацию NNTP (Network News Transfer Protocol). Этот протокол адаптировал Usenet для персональных компьютеров — эпоха доступа по расписанию через «холодильные шкафы» уже уходила, да и сам проект давно вышел за пределы университетов.

• Usenet активно развивался долгие годы, даже когда распространение получили более продвинутые веб-технологии. Именно ему, кстати, мы обязаны существованием IMDB.com — этот проект начинался как обычная группа Usenet. Но прогресс всё-таки взял своё, и в течение 2000-х крупнейшие сетевые провайдеры США, со временем ставшие хостами многих основных серверов Usenet, объявили об их закрытии.

• Несмотря на моральное устаревание, проект кое-как продолжает жить, и некоторые провайдеры всё ещё предоставляют полноценный доступ в Usenet. В последние годы сеть снова обрела некоторую популярность в США благодаря тем, кто устал от всевидящего ока современного интернета, и тем, кто готов пожертвовать удобством, чтобы в какой-то степени вернуть себе «старый добрый» веб.

#Разное

• Полезный репозиторий, который содержит огромную коллекцию ссылок, связанных с безопасностью ядра Linux и эксплуатацией уязвимостей:

- Books.
- Techniques:
➡Exploitation;
➡Protection Bypasses.
- Vulnerabilities:
➡Info-leaks;
➡LPE;
➡RCE;
➡Other.
- Finding Bugs.
- Defensive.
- Exploits.
- Tools:
➡Fuzzers;
➡Assorted.
- Practice:
➡Workshops;
➡CTF Tasks;
➡Other Tasks;
➡Playgrounds;
➡Infrastructure.

➡️ https://github.com/xairy/linux-kernel-exploitation

• В качестве дополнения рекомендую обратить внимание на материал, который описывает ядро Linux и его внутреннее устройство:

➡Первые шаги после декомпрессии ядра — описывает первые шаги в ядре.
➡Начальная обработка прерываний и исключений — описывает инициализацию начальных прерываний и начального обработчика ошибки страницы.
➡Последние приготовления перед точкой входа в ядро — описывает последние приготовления перед вызовом start_kernel.
➡Точка входа в ядро — описывает первые шаги в общем коде ядра.
➡Продолжение архитектурно-зависимой инициализации — описывает архитектурно-зависимую инициализацию.
➡Архитектурно-зависимая инициализация, снова... — описывает продолжение процесса архитектурно-зависимой инициализации.
➡Конец архитектурно-зависимой инициализации, почти... — описывает конец setup_arch.
➡Инициализация RCU — описывает инициализацию RCU.
➡Конец инициализации — последняя часть об инициализации ядра Linux.

#Linux

• Сегодня SSL.com находится в центре внимания, так как одним из исследователей была выявлена уязвимость, которая позволяет выпустить поддельный TLS-сертификат для любого домена.

• Уязвимость была вызвана ошибкой в реализации системы проверки владения доменом через подтверждение по электронной почте. Для получения подтверждения по email необходимо добавить в DNS-зону домена, для которого запрашивается сертификат, DNS TXT запись "_validation-contactemail". Например, "_validation-contactemail.test.com DNS TXT name@example.com". После инициирования проверки домена на email name@example.com будет отправлен код подтверждения, ввод которого подтверждает владение доменом "test.com" и позволяет получить TLS-сертификат для "test.com".

• Соль уязвимости в том, что помимо домена "test.com", для которого был запрошен сертификат, признак подтверждения владения также выставлялся и для домена "example.com", используемого в email. Выявивший проблему исследователь продемонстрировал получение рабочего TLS-сертификата для домена aliyun.com, применяемого в webmail-сервисе китайской компании Alibaba. В ходе тестовой атаки исследователь зарегистрировал проверочный домен "d2b4eee07de5efcb8598f0586cbf2690.test.dcv-inspector.com" в сервисе "dcv-inspector.com" и запросил для него TLS-сертификат, добавив DNS-запись:

_validation-contactemail.d2b4eee07de5efcb8598f0586cbf2690.test.dcv-inspector.com DNS TXT myusername@aliyun.com

• После этого он запросил на сайте SSL.com TLS-сертификат для домена d2b4eee07de5efcb8598f0586cbf2690.test.dcv-inspector.com и выбрал подтверждение по email. Далее происходит отправка проверочного кода на myusername@aliyun.com и после ввода этого кода в список верифицированных доменов добавляется не только "d2b4eee07de5efcb8598f0586cbf2690.test.dcv-inspector.com", но и "aliyun.com". После этого исследователь успешно получил TLS-сертификат для домена "aliyun.com", владение которым было подтверждено.

• Ошибку уже признали в SSL.com и приступили к устранению. Более детальный отчет обещают опубликовать до 2 мая. Будет интересно почитать =)

➡️ Источник.
➡️ Первоисточник.

#Новости

• Автор книги "Сети глазами хакера" недавно представил свой новый инструмент - Nihilist, который предназначен для аудита безопасности Cisco IOS. Функционал тулзы позволяет оценить защищенность маршрутизаторов и коммутаторов Cisco. Nihilist работает путем подключения по SSH и анализа конфигурации с использованием регулярных выражений. Он проводит оценку защищенности IOS, канального и сетевого уровня инфраструктуры. В отличие от известного CCAT, Nihilist проводит более глубокий аудит конфигурации Cisco, анализируя не только факт включения механизмов защиты, но и их корректность и соответствие сетевой среде.

➡ Подробное описание и информация по установке есть тут: https://github.com/casterbyte/Nihilist

#Пентест #Tools

💻 Первые коммерческие дата-центры.

• Коммерческие дата-центры стали появляться еще в 60-х. Первопроходцами в этой сфере были IBM и American Airlines, а первый ЦОД появился благодаря случаю. Президент авиакомпании American Airlines и менеджер по продажам IBM оказались на соседних креслах самолета, летевшего из Лос-Анджелеса в Нью-Йорк. Перелет был небыстрым, они разговорились. Встреча произошла в 1953 году, а спустя семь лет на свет появился первый в мире коммерческий дата-центр (на фото) — для размещения первой в мире автоматизированной системы резервирования и продажи авиабилетов.

• Уже в то время компании размещали свои вычислительные мощности в отдельных зданиях — с фальшполом и особой системой кондиционирования. Но эти дата-центры всё равно были мало похожи на современные. Они были строго корпоративными и обслуживали интересы конкретной компании.

• К концу 80-х годов ЦОДы стали быстрее и меньше, однако свой современный вид они обрели лишь в 90-х — с развитием интернета и веб-сервисов. Именно в 90-е появились первые ЦОД, работающие по модели colocation. Любые компании могли за деньги хранить там свои данные и арендовать вычислительные мощности.

• Концепция модульных серверов, которые устанавливаются в стандартизированные 19-дюймовые стойки, тоже родом из 90-х. Считается, что они пришли в ЦОДы с железных дорог: такие стойки придумали больше века назад под оборудование, которое управляло железнодорожными стрелками. Как и кому пришло в голову использовать их в ЦОД, история уже не помнит.

• До этих пор все вычислительные машины имели разную конструкцию и размеры, и оборудование даже одного и того же производителя могло быть несовместимым. С приходом 19-дюймового стандарта компании унифицировали размер и улучшили связность оборудования. Новый стандарт позволил уплотнить серверы в ЦОД и упростить их обслуживание. В дальнейшем такой подход получил широкое распространение и стал основой для современных серверных стоек.

• Стандартизация была бы невозможна без развития микропроцессорных технологий, которые сделали серверы меньше и производительнее. Наглядный пример — Intel Pentium III, который вышел в 1999 году и мог выдавать до 1133 мегафлопс в секунду.

• Одним из самых мощных коммерческих дата-центров в конце 90-х был Lakeside Technology Center в Чикаго, США. Он занимал по меньшей мере 100 000 м² и вмещал тысячи серверов, которые работали на базе процессоров IBM RS/6000 SP. Объем оперативной памяти исчислялся в гигабайтах на сервер, а совокупная пиковая производительность достигала сотен гигафлопс. Основными производителями серверов были IBM, Hewlett-Packard и Sun Microsystems. Вот такие дела...

#Разное

• Нашел интересный сервис, который поможет получить практический опыт в поиске и устранения неисправностей на Linux-серверах. Сценарии неисправностей, по большей части, соответствуют реальным проблемам с настоящими серверами. Сам сервис будет крайне полезным для системных администраторов и DevOps. Ну или можете использовать данный ресурс для собеседований потенциальных кандидатов... тут уже как пожелаете.

• Если в двух словах, то вам предоставляется полный доступ к серверу Linux (виртуальной машине) через SSH. Нужно сделать все необходимое для устранения описанной проблемы, чтобы тест прошел в течение отведенного времени. По истечении этого времени виртуальная машина будет отключена. Задачек достаточно и есть разделение на уровни сложности (легкий, средний, тяжелый). Затетисть можно вот тут:

➡️ https://sadservers.com
➡️ https://github.com/sadservers/sadservers

#DevOps #Linux

• Разработчики Яндекс Браузера для организаций опубликовали текст о роли защищенного браузера в закрытом контуре.

➡В организациях с открытым контуром все понятно: ИТ-администраторы активируют политики, определяющие, кто и к каким частям систем имеет доступ, какие имеет права и т.д. У корпоративных браузеров для этих задач часто есть специальный интерфейс, через который все нужные операции можно делать централизованно.

➡Для компаний с закрытым контуром все сложнее: им уже необходимо использование on-premise формата. Развертывание браузера во внутренней сети позволяет обеспечить соблюдение строгих политик в отношении защиты конфиденциальной информации, чтобы корпоративные данные не покидали пределов периметра организации, а браузер не становился точкой уязвимости.

➡ Источник.

#Разное

😟 Бэкдор АНБ в карманном телексе 1984 года.

• В музее криптографии Нидерландов есть интересный экспонат: карманный телекс PX-1000 (на фото). Он разработан амстердамской фирмой Text Lite, с 1983 года продавался под брендами Philips и др.

• PX-1000 был рассчитан на журналистов, бизнесменов и использовался сотрудниками в правительстве Нидерландов. Его уникальная особенность — надёжное шифрование по алгоритму DES. Судя по всему, это первый в мире коммуникатор со встроенным шифрованием, выпущенный для массового рынка.

• Так вот, интересный факт. В 1984 году разработчики заменили DES на альтернативный алгоритм шифрования, разработанный в АНБ. Появились подозрения, что там есть бэкдор для расшифровки сообщений заинтересованными лицами. Иначе зачем было менять алгоритм?

• Долгое время никто не мог расшифровать сообщения по новому алгоритму. Только в феврале 2022 года венгерский криптограф Стефан Марсиске взломал этот шифр и выкатил код на Github. Для взлома Стефан применил SMT-устройство Z3 от Microsoft Research, который умеет решать математические теоремы. В частности, здесь использовался враппер claripy, обёртка для удобной работы с Z3.

• Возможно, что у АНБ в 1980-е годы было аналогичное SMT-усстройство типа Z3 или они использовали другие методы. Это пока остаётся неизвестным. Но для решения в Z3 использовалась система вычислений примерно в 20 МБ, что по меркам 80-х годов представляет немалый объём входных данных для компьютерной программы. То есть у криптографов АНБ наверняка было какое-то более оптимальное решение. В 1983 году АНБ тоже ставило цель рассекретить коммуникации конкретных шпионов. Для этого бэкдор установили на все коммуникаторы PX-1000.

• Итоговую работу по взлому шифра автор опубликовал в научно-популярном журнале Proof-of-Concept or Get The F*ck Out (PoC||GTFO) (стр. 59–70) с кратким пояснением в своём блоге.

➡️ https://news.ycombinator.com/item?id=30370637

#Разное

Вопрос «Что происходит, когда пользователь вводит URL в браузере?» мы на собеседованиях больше НЕ задаём.

Кандидат сегодня был очень напористый. Он поставил себе цель рассказать вообще всё!

За первые 20 минут он рассказал, как сигналы с клавиатуры передаются в операционную систему и как происходит парсинг url в браузерах. Я пытался его остановить, но он всё же прочитал небольшую лекцию по модели OSI. И даже для наглядности обжал витую пару прямо во время собеседования. Ещё час он рассказывал про устройство DNS и детали работы WiFi сетей...

Собеседование закончилось 3 часа назад. А он продолжает писать нам на почту: про SSL/TLS Handshake, DOM, рендеринг, кеш, CSSOM, алгоритмы сжатия.

• Ну а если серьезно, то вот вам очень крутой Cheat Sheet и отличная статья с хабра, которая описывает весь жизненный цикл обработки URL-запроса. Эти знания являются базовыми и важными для общего развития, независимо от уровня и опыта. Они помогают не только понять, сколько времени и ресурсов требуется для загрузки страницы, но и как это влияет на взаимодействие пользователя с сайтом, его производительность и оптимизацию!

➡️ https://habr.com/ru/post/861432/

#Сети #ИТ

👾 Самая "долгоиграющая" малварь.

• В 2008 году по миру распространился червь — Conficker. Он поражал компьютеры под управлением Windows XP, используя критическую уязвимость операционной системы.

• Вся соль заключалась в том, что еще до начала распространения червя Microsoft выпустила обновление безопасности MS08-067, которое закрывало уязвимость ОС и не позволяло заражать систему малварью. В итоге от атаки червя пострадали те пользователи, которые не установили данное обновление.

• Общее количество заражённых Conficker устройств сложно оценить. Только за январь 2009 года их насчитывалось по разным оценкам от 9 до 15 миллионов. Также червь использовал возможность автозагрузки и инфицировал очищенные системы повторно.

• Плюс ко всему этот червь был вездесущим, в прямом смысле слова. Малварь даже смогли обнаружить на атомной электростанции в Германии, червь был обнаружен по меньшей мере на 18 мобильных носителях данных, в основном на USB-флешках и офисных компьютерах, которые использовались отдельно от основных систем АЭС. А еще была новость, что камеры, которые носит полиция в США на своей форме, также заражены червем. Причем червь попадал туда с самого производства этих устройств, а потом распространялся по сети, если камеру подключали к ПК.

• Количество заражённых устройств уменьшалось по мере отказа от использования старой операционной системы. Однако в 2019 году (спустя 10 лет после первого эпизода!) в статье New York Times указывалось, что по-прежнему заражены около 500 000 устройств, а в 2021 году (12 лет после первого заражения) эксперты BitDefender обнаружили малварь на 150 тыс. устройств.

• ВМС Франции (Intrama) пришлось приостановить из-за червя полёты на нескольких своих авиабазах. Вызванный червём сбой сети стоил городскому совету Манчестера £1,5 млн. McAfee оценила общемировой ущерб от Conficker в $9,1 млрд.

• Если интересно почитать о методах распространения и работы червя, то на хабре есть отличная статья, которая все нюансы реализации Conficker.

#Разное

• Доброе утро... 🫠

#Понедельник