Исследователи из компании Oxeye обнаружили критическую уязвимость в популярной JavaScript-библиотеке vm2. Брешь получила имя “SandBreak“ и 10 баллов по шкале CVSS. Специалистам по кибербезопасности, использующим vm2, стоит незамедлительно пропатчить библиотеку. Библиотека vm2 является наиболее популярной JavaScript-песочницей, которую за один месяц скачивают 16,5 млн раз. Она предоставляет фреймворк для тестов, с помощью которого можно запускать подозрительный код в одном процессе.

Источник: https://www.anti-malware.ru/news/2022-10-10-111332/39698

Сама CVE

#cve #security

Open SysConf'22 - Анонс всех докладов на завтра (14 Октября)
 
До дня Х осталось меньше суток, завтра по плану будет:

— 11:00 - Вступительное слово
— 11:15 - Сабыржан "novitoll" Тасболатов: Практический опыт с 4G, 5G
— 12:15 - Нурбиби "R0b0Cat": Шаблонизация Linux систем в организациях
— 13:00 - Обед
— 14:00 - Дмитрий "ватман": CDC
— 14:50 - Kutlymurat "manfromkz" Mambetniyazov: История одного CVE
— 15:20 - Roman "sysroman": Ansible AWX by Oracle
— 15:45 - кофе-брейк
— 16:00 - Shelldon "Sh3lldon": DEP vs ROP
— 16:50 - Ilyas B Arinov "t2micro": Старый... Но не бесполезный IRC
— 17:20 - Айдар Оспанбеков: Сети (хуети) в современном датацентре
— 18:05 - Yevgeniy "sysadminkz": Неявный превентинг констракшн

План может меняться, уж не обессудьте. Заряжаем себя и друзей, находим силы и возможности и проводим нашу встречу в добром здравии и отношении.

☀️ Завтра встречаем Вас на первом этаже - ул. Байзакова 280 в SmartPoint, г.Алматы
⚡️ Кто не зарегистрировался, зарегистрируйтесь пожалуйста иначе мест Вам может не хватить, детали здесь: https://sysconf.io

Всем Peace ✌️

Дефолтные пароли ко всему на свете

https://github.com/ihebski/DefaultCreds-cheat-sheet

#password #cheatsheet #default

Обнаружил, что можно запустить self-hosted canarytoken


https://github.com/thinkst/canarytokens-docker

Поисковики по Telegram

https://medium.com/@ibederov_en/telegram-search-engines-fc8d9c1cc1a6

Nebula - overlay сеть от Slack
Разрабатывалась для соединения в плоскую сеть огромного количества хостов. Но можно применить её и в качестве традиционного VPN решения, о чем я и написал в новом посте

Плюсы:
- очень простая настройка - всего один конфиг файл
- работает на Linux, Android, iPhone, Windows, FreeBSD, OSX
- аутентификация по сертификатам

https://bubnovd.net/post/nebula/

#nebula #vpn #overlay

Open SysConf'22 - Видео докладов конференции
 
Привет, 14 октября в Алматы прошла открытая ИТ конференция Open SysConf'22, сегодня мы рады представить Вам первые видео докладов навшей встречи:

— Open SysConf 2022 - Конференция для общения. Начало/Вступление. Рассказ о нашей конференции в "трех словах".
— Практический опыт с 4G. Сабыржан "novitoll" Тасболатов

Пока остальное видео редактируется/готовится, запасемся немного терпением и конечно же хорошим настроением ✌️

Пару-тройку недель назад гугл анонсировал свой новый CTF

Если хотите почувстовать себя хакером - добро пожаловать! Я не продвинулся дальше первого уровня ))

Но пост о другом. В рамках этого проекта гуглеры сняли серию видосов про ИБ. И это что-то абсолютно великолепное. Каждая двадцатиминутная серия захватывает как хороший детектив.

Крайне рекомендую посмотреть. Если у вас плохо с английским, то говорят, что Яндекс бразуер умеет переводить видео на лету, сам не проверял

https://www.youtube.com/playlist?list=PL590L5WQmH8dsxxz7ooJAgmijwOz0lh2H

Раз уж тренинги по микроту проводить нельзя (ну да, ну да, проводить можно, но корочку не получить. Молодец, зануда, садись, пять), главный микротиковод всея Руси и прилегающих территорий, в миру известный как Рома Козлов, решил, что не доставайся ты никому, и начал выкладывать свои знания в виде набора KB по самым разным вопросам.
Цель амбициозная: минимум одна публикация в день. Каждая публикация – это видео и текстовая расшифровка.
Сейчас более-менее закончен раздел firewall. По остальным накидана структура, чтобы понимать итоговый ожидаемый результат.
P.S. Скажу по секрету, что план публикаций на ближайшие два месяца уже расписан + куча всего в процессе монтажа.

https://mikrotik-training.ru/kb/

Делимся выступлением CTO CORE 24/7 Ивана Кондратьева в рамках KazHackStan 2022. Иван рассказал о информационной безопасности и о том, какую роль в этом направлении играет DevOps команда.

https://www.youtube.com/watch?v=jdSyadPFycE

Презентация доступна по адресу - https://docs.google.com/presentation/d/10XhjjgvdrLq8mlMFgEHj0hk847xcrTMnHJ20YZGocms/edit?usp=sharing

@DevOpsKaz

#bash #cheatsheet #shell

Получить админский доступ на Unifi? Проще простого, если версия ПО <=6.5.54
Для доступа используется нашумевшая уязвимость Log4j
https://www.sprocketsecurity.com/resources/another-log4j-on-the-fire-unifi

Про недавнее отключение Meraki в РФ, которое толи было, толи не было, ничего не понятно, но очень интересно.

Вообще, вендоры с февраля начали отключать учётки ЛК, облачные лицензии, телеметрию и прочие сервисы. Все нормальные админы в энтерпрайзах, в свою очередь, поотключали доступ к своим железкам извне, и доступ самих железок к серверам вендора за обновлениями и прочими радостями. Ибо нефиг. Если же что-то до сих пор работает через облако из "недружественной страны" - то это, скорее, чья-то недоработка, а не ваша заслуга.

Ещё буквально год назад, когда уже отшумел кейс Parler (кто-нибудь вообще помнит, что это?), представитель AWS меня уверял, что те, мол, сами виноваты, никакой политики, а только неоднократное нарушение ToS и долгие уговоры "так больше не делать". Что размещаться в облаке совершенно безопасно, потому что облачный сервис отвечает своей репутацией и т.д. и т.п.
Примерно тогда же, за пивом сотрудники одного вендора сетевого железа сокрушались, что в РФ плохо продаются облачные сервисы типа SD-WAN/SD-LAN - мол, отечественный потребитель консервативен и не хочет приобщаться к мировым трендам, но это же так круто: ррраз - и у тебя ИИ всё настроил, вай-фай бегает, QoS там всякий, политики безопасности и проч. Удобно же! И опять же, "да ничего такого не случится, на западе все нормальные пацаны уже давно пользуются, крупный бизнес отвечает своей репутацией".

Пессимисты напоминают, что "There are no clouds, just someone else's computers". А все данные, которые лежат не на твоих серверах - это не твои данные, это тебе ими пользоваться дают за деньги.

И до недавнего времени, всё работало - параноики параноили, сидели на baremetal или строили свои приватные облака. Энтузиасты изучали Managed K8s и serverless. Мир победившего чистогана, и всё такое.

В этом году всё поменялось, и как бы нас не уверяли, что "это только с Россией так, потому что она плохая" и "ну мы всего лишь соблюдаем санкции", поменялось всё в глобальном масштабе. Slack блокирует аккаунты "потому что в вашем спейсе есть пользователи из РФ", Atlassian прекращает работать с российскими компаниями даже через посредников (т.е. это не вопрос движения денег), а Cisco отключает продукт, который даже не был официально запущен в РФ, и сбрасывает устройства "в дефолт" - а дальше уже как повезёт, возможно и кто-нибудь из TAC захочет поглумиться напоследок. Т.е. вся эта наша глобальная айтишечка, мир ТНК без границ и т.д. столкнулась с сермяжной правдой - границы вполне себе существуют, законы соблюдаются там, гле платятся налоги, а тебя могут забанить даже just because fuck you (см. Parler).

Мантры про "ну для Cisco РФ - это меньше 5% рыкна" сродни мантрам про "всего 2% мировой экономики". Что случается при попытке "отключения" двух процентов мировой экономики - можно почитать в новостях. Думаю, с IT будет примерно тоже самое - торговые войны, регионализация провайдеров и тотальное недоверие всех ко всем. И "цифровой суверенитет", который раньше воспринимался исключительно как блажь и "да нафига вам это, надо просто участвовать в мировой кооперации" внезапно играет новыми красками...

Амазон выложил в бесплатный доступ курсы по AWS https://www.amazon.com/s?i=courses&rh=p_27%3AAWS+Training+%26+Certification

Про бесплатный доступ к курсам по AWS Амазон — короч доступно только для US.
Поэтому, врубайте ВПН на USA, заводите новый аккаунт, укажите в настройках в адресе аккаунта любой рандомный адрес в США и телефон в США.

«Купите» за $0 любой курс, нажмите Start, и потом смело вырубайте ВПН, и с обычного ip «покупайте» остальные нужные курсы за $0.

[апдейт] в комментах подсказали — «Если что новый акк не надо заводить, впн и смены адреса доставки достаточно»

В продолжении "There are no clouds, just someone else's computers" не могу не вспомнить четыре репы, которые уже тут были.

awesome-selfhosted - большой список разного selfhosted, большей частью рассчитан на замену пользовательских сервисов.

awesome-sysadmin - список разного selfhosted для сис. админов/девопсов.

deploy-your-own-saas - ещё одна репа со списком оpensorce софта, который может заменить ряд сервисов.

awesome-security - список security-related инструментов и сервисов.
Поскромней в размерах, но довольно полезный (и есть список со списком).

Что-то из этого уже давно используется бизнесом, что-то и в домашних условиях. И если в плане разворачивания сервисов для бизнеса и\или админам проблем больших нет, то обычным пользователям уже сложней.

Времена ограничений создают условия для взаимодействия и коллаборации. И расширения набора навыков.

Если не сейчас, то когда?

Как обезопасить себя в Интернете
https://medium.com/@sergeybelove/the-checklist-to-secure-your-digital-life-19024396db16

#security #privacy

Инфу не проверял. Посмотрите пожалуйста, у кого есть одинэс

В 1С 8.3.22.1704 в файлы cacert.pem и cacertnx.pem добавили печально известный сертификат Минцифры (он же "от госуслуг", он же Russian Trusted Sub CA)

Привет! 👋🏻
Презентации и записи выступлений спикеров DevOpsDays Almaty 2022 уже ждут тебя на канале
А освежить в памяти классную атмосферу которую мы с вами создали поможет фотоотчет

DevOpsDays Almaty бы не случился без поддержки наших партнеров
Генеральный Партнер – PS Cloud Services
Оффициальные спонсоры – Yandex Cloud, Aitu Cloud
Спонсор VK Cloud
Не забудь воспользоваться подарочными купонами от наших спонсоров 😊

Подписывайтесь на наш канал на YouTube и Telegram, чтобы не пропустить новости.
До новых встреч, Друзья!

Проверить почтовый сервер на работу со спам фильтрами https://www.mail-tester.com/

#email

Конференция для общения Open SysConf'22 - Видео и Благодарности
 
Рад презентовать вам полный набор обработанного и нарезанного видео докладов нашей четвертой открытой конференции Open SysConf'22

Благодаря всеобщим действиям, тех кто принимал участие в докладах, техническом сопровождении, организации, помощи и волонтерстве, а так же участников и друзей конференции - мы это сделали в этом году еще раз 🎉

— 01. Open SysConf 2022 - Конференция для общения. Начало
— 02. Open SysConf 2022 - Практический опыт с 4G. Сабыржан "novitoll" Тасболатов
— 03. Open SysConf 2022 - Шаблонизация Linux систем в организациях. Нурбиби "R0b0Cat"
— 04. Open SysConf 2022 - CDC. Дмитрий "ватман"
— 05. Open SysConf 2022 - История одного CVE. Kutlymurat "manfromkz" Mambetniyazov
— 06. Open SysConf 2022 - DEP vs ROP. Shelldon "Sh3lldon"
— 07. Open SysConf 2022 - Сети хуети в современном датацентре. Айдар Оспанбеков
— 08. Open SysConf 2022 - Неявный превентинг констракшн. Yevgeniy "sysadminkz"

В этом году нам так же помогли компании и команды Nitro Team, Core 24/7, PS.kz ✊

Всем спасибо, мира и успехов в Наступающем. Peace ✌️