Всем, привет!
До БеКон 2025 осталось ровно 2 недели.
И мы до сих пор не рассказали еще об одном очень важном аспекте любой конференции это ее выставка. Партнерские стенды у нас появились в том году, а в этом году их стало в 3 раза больше! При этом к их подбору и подготовке мы подходим не слабее, чем к отбору докладов ;)
В этом году в рамках выставки вы можете познакомиться и пообщаться с:
- Разработчиками 4-х платформ контейнеризации - всё запустить
- Крутыми профессионалами в области
- Разработчиками 4-х платформ
Так что если вы строите современную инфраструктуры с ориентиром на безопасность, то за 1 день можно посмотреть абсолютно все: от IT-ландшафта, до безопасности оркестратора с обработкой уязвимостей.
Все это полезно
P.S. Если вы у нас раньше не были, то имейте ввиду. Последние 2 недели это самая жаркая пора по покупке билетов. Так что если вы не успеете их купить, то пеняйте на себя. У нас их ограниченное количество.
До БеКон 2025 осталось ровно 2 недели.
И мы до сих пор не рассказали еще об одном очень важном аспекте любой конференции это ее выставка. Партнерские стенды у нас появились в том году, а в этом году их стало в 3 раза больше! При этом к их подбору и подготовке мы подходим не слабее, чем к отбору докладов ;)
В этом году в рамках выставки вы можете познакомиться и пообщаться с:
- Разработчиками 4-х платформ контейнеризации - всё запустить
- Крутыми профессионалами в области
DevSecOps - всё просканировать, проанализировать, проконтролировать- Разработчиками 4-х платформ
ASOC/ASMP - всё затриажить, избавиться от дубликатов и проконтролировать исправление Так что если вы строите современную инфраструктуры с ориентиром на безопасность, то за 1 день можно посмотреть абсолютно все: от IT-ландшафта, до безопасности оркестратора с обработкой уязвимостей.
Все это полезно
ИТ и ИБ департаментам.P.S. Если вы у нас раньше не были, то имейте ввиду. Последние 2 недели это самая жаркая пора по покупке билетов. Так что если вы не успеете их купить, то пеняйте на себя. У нас их ограниченное количество.
👍8🔥3❤1😁1
У нас в блоге вышла новая замечательная статья "Случайный ханипот: как мы обнаружили криптомайнер в контейнере с помощью Luntry".
Из нее вы узнаете как Luntry может выполнять роль
И, конечно, мы расскажем что и как можно сделать чтобы не повторить судьбу такой приманки ;)
Из нее вы узнаете как Luntry может выполнять роль
sandbox, deception system, honeypot и помочь ловить даже неизвестные атаки и вредоносный код, не имея никаких заготовленных правил, сигнатур и т.д. И, конечно, мы расскажем что и как можно сделать чтобы не повторить судьбу такой приманки ;)
luntry.ru
Случайный ханипот: как мы обнаружили криптомайнер в контейнере с помощью Luntry
На одном из наших демо-стендов, расположенных в публичном облаке, мы заметили аномальную активность в одном из специально уязвимых приложений (для демонстраций). Расследуя этот инцидент, мы пришли к выводу, что столкнулись с криптомайнером Redtail.
🔥17❤3❤🔥3🐳1
На канале в предыдущих постах мы несколько раз затрагивали важность использования
Сегодня хотим поделиться еще одним ресурсом, на котором еще 6 (!) лет назад обсуждали проблемы и критиковали использование данного механизма.
Если вы еще не выставляете
для своих нагрузок, то вероятно пришла пора это сделать.
User Namespace в Kubernetes.Сегодня хотим поделиться еще одним ресурсом, на котором еще 6 (!) лет назад обсуждали проблемы и критиковали использование данного механизма.
Если вы еще не выставляете
spec:
hostUsers: false
для своих нагрузок, то вероятно пришла пора это сделать.
Information Security Stack Exchange
What does enabling kernel.unprivileged_userns_clone do?
This message was sent to my websocket:
echo kernel.unprivileged_userns_clone = 1 | sudo tee /etc/sysctl.d/00-local-userns.conf
Is it dangerous, and what would it do?
Thanks for your feedback every...
echo kernel.unprivileged_userns_clone = 1 | sudo tee /etc/sysctl.d/00-local-userns.conf
Is it dangerous, and what would it do?
Thanks for your feedback every...
🔥8👍7❤2
Всем, привет!
Очень внимательные люди в программе на сайте нашей конференции БеКон 2025 заметили упоминание Секретного доклада на закрытии конференции. И полетели вопросы, что это за доклад)
Раскрывать секрет мы сейчас не будем, но правда будет 11-й доклад и он будет без записи и без публикации материалов.
P.S. Билетов осталось совсем мало. И на наш взгляд если вы занимаетесь DevSecOps, безопасностью контейнеров, кластеров Kubernetes, то единственной уважительной причиной не быть на конференции может быть только невозможность быть в Москве в этот день.
Очень внимательные люди в программе на сайте нашей конференции БеКон 2025 заметили упоминание Секретного доклада на закрытии конференции. И полетели вопросы, что это за доклад)
Раскрывать секрет мы сейчас не будем, но правда будет 11-й доклад и он будет без записи и без публикации материалов.
P.S. Билетов осталось совсем мало. И на наш взгляд если вы занимаетесь DevSecOps, безопасностью контейнеров, кластеров Kubernetes, то единственной уважительной причиной не быть на конференции может быть только невозможность быть в Москве в этот день.
🔥7💩6👍3🎉1
Не так давно наш хороший товарищ и докладчик первого БеКон Дмитрий Путилин, хорошо известных в узких кругах Кубоводов, завел свой канал и выпустил невероятный материал Kubernetes The Hard Way на русском языке и с доскональным внимание к деталям.
Насколько детально там все рассматривается можно понять по прямому сравнению с Kubernetes The Hard Way от Kelsey Hightower.
В общем, это просто MUST HAVE материал для тех кто хочет реально понимать
Насколько детально там все рассматривается можно понять по прямому сравнению с Kubernetes The Hard Way от Kelsey Hightower.
В общем, это просто MUST HAVE материал для тех кто хочет реально понимать
Kubernetes и стать крутым DevOps специалистом, а не ClickOps ;)🔥37🏆5💘5
Почти месяц назад у
- два новых типа политики
- улучшения и оптимизации при использовании
-
- улучшения
Более подробно об этом релизе и не только можно узнать в блоге
Kyverno вышел новый релиз – 1.14.0. И это довольно значимый релиз, по скольку с него, можно сказать начинается новая веха в развитии этого Policy Engine. А именно – управление политиками стало более модульным, оптимизированным и мощным. Из крупных нововведений:- два новых типа политики
ValidatingPolicy и ImageValidatingPolicy- улучшения и оптимизации при использовании
CEL в политиках-
Policy exceptions теперь поддерживают CEL выражения- улучшения
kyverno CLI для валидации любых json-объектовБолее подробно об этом релизе и не только можно узнать в блоге
Kyverno и в их документации.👍18🔥6❤2
На нашем сайте в раздел Исследований стало доступно видео и слайды выступления "Стандарт безопасности контейнеров NIST 800 190 в 2025 году" с конференции Deckhouse Conf 2025.
P.S. Получив обратную связь по данной работе, мы продолжили работать над картой и в последствии выложим ее в открытый доступ.
P.S. Получив обратную связь по данной работе, мы продолжили работать над картой и в последствии выложим ее в открытый доступ.
👍15🔥7
Совсем недавно, проходил очередной контест
Да, в списке есть тот самый
Исследователи из
Как обычно, после раскрытия
Отдельно стоит отметить, что категория
Pwn2Own. Примечательно, что организаторы ввели новую категорию AI с такими таргетами как:- Chroma
- Postgres pgvector
- Redis
- Ollama
- NVIDIA Triton Inference Server
- NVIDIA Container ToolkitДа, в списке есть тот самый
NVIDIA Container Toolkit для которого мы готовили эксплойт и выпускали статью на этот счет!Исследователи из
WIZ в рамках Pwn2Own нашли еще один баг в этом тулките. Официально ни присвоения CVE, ни патча еще не последовало.Как обычно, после раскрытия
0-day в ходе соревнования Pwn2Own у вендоров есть 90 дней на подготовку и выпуск патча для своих продуктов, прежде чем Trend Micro Zero Day Initiative опубликует технические подробности.Отдельно стоит отметить, что категория
Cloud-Native/Container осталась без находок.👍13❤4🔥4🕊1
Всем, привет!
До конференции БеКон 2025 остается совсем немного времени и мы хотим сообщить что на площадке впервые будет представлен МЕРЧ store!
Часть нашего лимитированного мерча вы можете уже увидеть на этих фотках ;)
До конференции БеКон 2025 остается совсем немного времени и мы хотим сообщить что на площадке впервые будет представлен МЕРЧ store!
Часть нашего лимитированного мерча вы можете уже увидеть на этих фотках ;)
🔥22👍6❤2🤩1🥴1
Недавно наши друзья из исследовательской команды 4rays у себя на канале опубликовали пост про "Безопасность локальных docker-реестров через механизм нотификаций" про отслеживание подозрительной активности в локальных
Честно мы (да думаю и многие) в данном направлении ранее даже не думали. В основном тут все сосредоточенны на:
- Вопросах аутентификации и авторизации
- Безопасной контролируемой сборке
-
- Защищенном
- Подписи образов
- Запуску только из разрешенного
- Запрет на
- и т.д.
И действительно дополнительным уровнем можно еще добавить мониторинг за операциями работы с образами и их слоями. На пример, когда:
- используется не типичный
- работа проходит со странных адресов
- работа идет в нерабочее или не типичное время для данной операции
- имя образа не соответствует шаблону именования вашей компании
Кто-нибудь уже так делает или смотрел в эту сторону?
docker-реестрах.Честно мы (да думаю и многие) в данном направлении ранее даже не думали. В основном тут все сосредоточенны на:
- Вопросах аутентификации и авторизации
- Безопасной контролируемой сборке
-
Registry Staging- Защищенном
registry- Подписи образов
- Запуску только из разрешенного
registry- Запрет на
push из prod кластера- и т.д.
И действительно дополнительным уровнем можно еще добавить мониторинг за операциями работы с образами и их слоями. На пример, когда:
- используется не типичный
user-agent- работа проходит со странных адресов
- работа идет в нерабочее или не типичное время для данной операции
- имя образа не соответствует шаблону именования вашей компании
Кто-нибудь уже так делает или смотрел в эту сторону?
👍16❤6🔥6😐4
Наверняка, если вы проводите пентесты, то попав в изолированное и/или
Однако, ребята из
Так что, если проводите пентесты в облаках,
non-root окружение, в первую очередь вы попытаетесь поднять себе привилегии. Скорее всего для этого вы будете использовать известный всем LinPEAS (он кстати тоже частично может помочь, если вы оказались в докер контейнере или Kubernetes Pod).Однако, ребята из
Hacktrics пошли дальше и сделали набор скриптов – CloudPEASS. Эта штука представляет из себя набор python скриптов для поднятия привилегий в облачных окружениях GCP, AWS и Azure.Так что, если проводите пентесты в облаках,
CloudPEASS – must have!👍29🔥3🍌1
BLAFS - инструмент для исключения из образов всего лишнего, не нужного, постороннего для оптимизации размера, уменьшения поверхности атаки и уменьшения количества
Подробнее об инструменте можно узнать из его пейпера "The Cure is in the Cause: A Filesystem for Container Debloating".
В документе инструмент называется BAFFS (Bloat Aware File-System), но авторы потом переименовали и выложили по другому адресу. Для своей работы инструмент конвертирует образ контейнера в новый вид с новой ФС и уже с помощью нее понимает, что в образе не используется и можно выкинуть. Естественно для профилирования вам нужно запустить хорошие, полноценные
Идейно напоминает инструмент
CVE в образе.Подробнее об инструменте можно узнать из его пейпера "The Cure is in the Cause: A Filesystem for Container Debloating".
В документе инструмент называется BAFFS (Bloat Aware File-System), но авторы потом переименовали и выложили по другому адресу. Для своей работы инструмент конвертирует образ контейнера в новый вид с новой ФС и уже с помощью нее понимает, что в образе не используется и можно выкинуть. Естественно для профилирования вам нужно запустить хорошие, полноценные
unit tests/integration tests. Иначе профилирование будет не точное.Идейно напоминает инструмент
Slim/SlimToolKit/Mint (о нем писали тут), и о с ним также проводится сравнение. Классно что новая предложенная техника также может быть использована вместе с lazy load.GitHub
GitHub - negativa-ai/BLAFS: A tool for Container Debloating that removes bloat and improves performance.
A tool for Container Debloating that removes bloat and improves performance. - negativa-ai/BLAFS
❤12🔥10👍5
Казалось – через
Однако, при взаимодействии с
Всё дело в том, что
В этом KEP есть подробная информация о том какие возможности дает тот или иной профиль. Более подробно эту тему поднял
P.S – также для
kubectl debug можно довольно легко сбежать на Node (если на это есть соответствующие права):
kubectl debug node/desktop-control-plane -it --image=busybox
chroot /host
Однако, при взаимодействии с
container runtime сокетом, можно получить такие ошибки:
ctr: failed to unmount /tmp/containerd-mount2094132404: operation not permitted: failed to mount /tmp/containerd-mount2094132404: operation not permitted
Всё дело в том, что
ephemeral container запускается с недостаточными привилегиями. И это можно исправить просто указав флаг --profile:
kubectl debug node/desktop-control-plane -it --image=busybox --profile=sysadmin
В этом KEP есть подробная информация о том какие возможности дает тот или иной профиль. Более подробно эту тему поднял
Rory McCune у себя в статье – Kubernetes Debug Profiles.P.S – также для
kubectl debug можно передать параметр -n и тогда debug контейнер запустится в указанном неймспейсе. Особенно удобно поднимать его в kube-system, поскольку имя Pod будет что-то вроде node-debugger-desktop-control-plane-9gd7q и не привлечет много внимания, чего порой нужно добиться на пентесте.👍18🔥17❤5
Всем, привет!
Уже завтра состоится конференция БеКон 2025!
Несколько небольших новостей:
1) Мы сделали черновой вариант настольной игры про контейнерную безопасность (130 карточек) и ее можно будет опробовать на стенде Luntry. Игра имеет и развлекательный, и обучающий характер. После правки баланса, опечаток и т.д. будет финальная версия - очень нужна обратная связь. В дальнейшем есть идеи и по дополнениям для новых карточек.
2) В рамках спикерпати будет огненный квиз от широко известных @IT_Friday и @tech_b0lt_Genona ;)
3) С утра будут доступны стикеры от нашего товарища
4) Появился каталог мерча - можете заказать у друзей кто будет на конфе, если вы не сможете присутствовать
5) Все новости, анонсы, слайды (они по прежнему будут публиковаться сразу как докладчик выходит на сцену) будут доступны тут @bekon_conf ! В комментариях к слайдам можно спрашивать свои вопросы и докладчики после выступления ответят на них. Таким образом, это возможность задать свои вопросы для тех кто на конференции присутствовать не может.
Уже завтра состоится конференция БеКон 2025!
Несколько небольших новостей:
1) Мы сделали черновой вариант настольной игры про контейнерную безопасность (130 карточек) и ее можно будет опробовать на стенде Luntry. Игра имеет и развлекательный, и обучающий характер. После правки баланса, опечаток и т.д. будет финальная версия - очень нужна обратная связь. В дальнейшем есть идеи и по дополнениям для новых карточек.
2) В рамках спикерпати будет огненный квиз от широко известных @IT_Friday и @tech_b0lt_Genona ;)
3) С утра будут доступны стикеры от нашего товарища
cyberfolk, который выступал у нас в прошлом году. Успейте взять себе их с утра - их совсем немного.4) Появился каталог мерча - можете заказать у друзей кто будет на конфе, если вы не сможете присутствовать
5) Все новости, анонсы, слайды (они по прежнему будут публиковаться сразу как докладчик выходит на сцену) будут доступны тут @bekon_conf ! В комментариях к слайдам можно спрашивать свои вопросы и докладчики после выступления ответят на них. Таким образом, это возможность задать свои вопросы для тех кто на конференции присутствовать не может.
🔥25❤7👍4😢1
Всем, привет!
Сегодня проходит наша конференци БеКон 2025. Старт уже совсем скоро.
Слайды докладов и возможность спросить вопросы будет тут @bekon_conf
Сегодня проходит наша конференци БеКон 2025. Старт уже совсем скоро.
Слайды докладов и возможность спросить вопросы будет тут @bekon_conf
🔥42❤5👍3
Статья OPA memory usage considerations and lessons from our transition to Kyverno описывает реальный опыт при использовании
В поисках более эффективного решения команда перешла на
OPA Gatekeeper для управления политиками в Kubernetes-кластерах и их переход на Kyverno. Основной проблемой при масштабировании кластеров стало высокое потребление памяти OPA, особенно при синхронизации большого количества объектов, таких как Pod’ы или CronJob’ы. Эти ограничения привели к увеличению нагрузку и ухудшению производительности, особенно в многопользовательских средах с высокой динамикой.В поисках более эффективного решения команда перешла на
Kyverno — нативный для Kubernetes механизм политик, который работает без необходимости синхронизировать данные и использует Kubernetes API в реальном времени. Этот подход позволил значительно снизить потребление памяти (в одном случае — с 8 ГБ до 2.7 ГБ) и упростить поддержку политик.🔥29
Карта по ИС ФСТЭК России 240-24-38.svg
803.1 KB
На этом БеКон 2025 была парочка замечательных релизов и одним из них является визуализация информационного сообщения ФСТЭК России 240/24/38 от Андрея Слепых. Можно изучить как саму карту, так и презентацию "Как соответствовать требованиям ФСТЭК, если у вас контейнеры и кластеры". И это будет полезно как тем кто идет на сертификацию, так и тем кто просто хочет повысить уровень безопасности своих микросервисных приложений.
👍22🤮14🔥10❤5🥴3💩1
У инструмента ctrsploit, который будет полезен при проведении пентеста
Уязвимость позволяет модифицировать файловую систему хоста при скачивании специально скрафченного образа. С помощью
Что примечательно, ранее в публичном доступе не было эксплойта под
Kubernetes кластеров и о котором мы рассказывали на канале вышло очередное обновление! Автор расширил эксплоит пак и добавил туда сплойт для свежей CVE-2025-47290 под containerd. Уязвимость позволяет модифицировать файловую систему хоста при скачивании специально скрафченного образа. С помощью
ctrsploit можно собрать такой образ и модифицировать payload по необходимости.Что примечательно, ранее в публичном доступе не было эксплойта под
CVE-2025-47290. Уязвимость затрагивает только версию containerd 2.1.0.🔥17❤2