最近在忙着搞蓝队运营的活各处调研,看到GCP的Security Posture管理直接nm破防了,人家一整套CSPM已经做到去跟合规标准对齐而且还跟进到最新最热大模型产品了,policy, constraint和detector按层次一条条id列好实现,乃至于直接给IaC做校验。
反观国内的CSPM/ASPM,项目经理是要求会喝酒的,安全开发是写漏洞的,接口是封闭的,告警是洪泛的,BAS是不分青红皂白的,交付上来就是堆人,然而高级的蓝队帕鲁要去跟开发网络运维和领导开会扯皮,低级的蓝队帕鲁没日没夜盯屏盯成dumb,有电脑中级高手打进来了要严肃问责,全天无事发生领导又觉得你没有工作量,钱用多了审计部门还要你“老实交代”,本质上还是做人的system,领导觉得安全你就不用搞了,领导觉得慌了又要你尽可能节约地排个一堆设备一堆拓扑一堆框框的PPT给他安全感,而没有个理性的量化的指标。
反观国内的CSPM/ASPM,项目经理是要求会喝酒的,安全开发是写漏洞的,接口是封闭的,告警是洪泛的,BAS是不分青红皂白的,交付上来就是堆人,然而高级的蓝队帕鲁要去跟开发网络运维和领导开会扯皮,低级的蓝队帕鲁没日没夜盯屏盯成dumb,有电脑中级高手打进来了要严肃问责,全天无事发生领导又觉得你没有工作量,钱用多了审计部门还要你“老实交代”,本质上还是做人的system,领导觉得安全你就不用搞了,领导觉得慌了又要你尽可能节约地排个一堆设备一堆拓扑一堆框框的PPT给他安全感,而没有个理性的量化的指标。
💊11
There are people tied to the tracks. You’re driving the metaphorical trolley. Maybe nobody told you you’re driving the trolley. Maybe they lied to you and said someone else is driving. Maybe you have no idea there are people on the tracks. Maybe you do know, but you’ll get promoted to L6 if you pull the right lever. Maybe you’re blind. Maybe you’re asleep. Maybe there are no people on the tracks after all and you’re just destined to go around and around in circles, forever.
But whatever happens next: you chose it.
We chose it.
https://apenwarr.ca/log/20250711
apenwarr.ca
Billionaire math
I have a friend who exited his startup a few years ago and is now rich. How
rich is unclear. One day, we were discussing ways to expedite th...
rich is unclear. One day, we were discussing ways to expedite th...
💊1
最近几个月在电报上不下5次看见被同一种骗术骗到的人,(甭管有没有造成实际的经济损失),但之前的受害者一直不愿意告诉我们到底是哪些账号在发布诈骗信息,最近终于遇到愿意说的bro。
大概原理是,骗子会在一些野鸡黑客技术群里讲自己利用黑客技术反吃诈骗网站惩恶扬善顺便摸走他们的U获得利益的故事,以吸引人上钩,然后真有人来聊了,骗子会让受害者自己去寻找“blackarch堡垒机镜像”“kali三层镜像”之类,就可以“移植攻击脚本,成功攻击”。另一方面骗子会拿这两个关键词在电报上架设频道,基于电报的搜索类bot做SEO,这样受害者看似是自己去搜了个服务商,实际上还是掉进了陷阱。然后骗子就可以把一个最普通的VPS开出几千块一个月的高价,诱导用户购买,然后登上去执行不知所谓的脚本,最后以目标加强了防护为理由跑路。
这类骗术精明的点在哪呢,一是他话术上选用“kali” “blackarch” “跳板” “堡垒机” “三层网络”这类词汇,能够有效过滤出对黑客技术赚大钱有幻想的人,另一方面这些词但凡稍微懂点安全的人都会觉得他在扯,所以聪明的人也被过滤掉。二就是上面说的,他有个对人类行为的bait水坑。三则是Google的搜索引擎上什么都搜不到,他精心挑选了电报群组+黑灰产搜索引擎构成的信息茧房,实现隐蔽的效果。四则是毕竟涉及黑灰,受害者往往也不敢报警。可见骗子的钱也不是那么好赚,太聪明了。
这类受害者的特点是明明有好几个货真价实的进攻性高手告诉他是假的,他还是会去问这个怎么操作,说明他们的贪欲已经远超他们的知识和能力,那么被骗也是必然的。
要是有更纯粹作恶做绝的人,心狠一点直接诱导人开点国内服务器做电诈钓鱼页,年轻人不懂事稀里糊涂就帮信了,想想更加刺激。
大概原理是,骗子会在一些野鸡黑客技术群里讲自己利用黑客技术反吃诈骗网站惩恶扬善顺便摸走他们的U获得利益的故事,以吸引人上钩,然后真有人来聊了,骗子会让受害者自己去寻找“blackarch堡垒机镜像”“kali三层镜像”之类,就可以“移植攻击脚本,成功攻击”。另一方面骗子会拿这两个关键词在电报上架设频道,基于电报的搜索类bot做SEO,这样受害者看似是自己去搜了个服务商,实际上还是掉进了陷阱。然后骗子就可以把一个最普通的VPS开出几千块一个月的高价,诱导用户购买,然后登上去执行不知所谓的脚本,最后以目标加强了防护为理由跑路。
这类骗术精明的点在哪呢,一是他话术上选用“kali” “blackarch” “跳板” “堡垒机” “三层网络”这类词汇,能够有效过滤出对黑客技术赚大钱有幻想的人,另一方面这些词但凡稍微懂点安全的人都会觉得他在扯,所以聪明的人也被过滤掉。二就是上面说的,他有个对人类行为的bait水坑。三则是Google的搜索引擎上什么都搜不到,他精心挑选了电报群组+黑灰产搜索引擎构成的信息茧房,实现隐蔽的效果。四则是毕竟涉及黑灰,受害者往往也不敢报警。可见骗子的钱也不是那么好赚,太聪明了。
这类受害者的特点是明明有好几个货真价实的进攻性高手告诉他是假的,他还是会去问这个怎么操作,说明他们的贪欲已经远超他们的知识和能力,那么被骗也是必然的。
要是有更纯粹作恶做绝的人,心狠一点直接诱导人开点国内服务器做电诈钓鱼页,年轻人不懂事稀里糊涂就帮信了,想想更加刺激。
💊4🎉3
落地武汉初印象:讲真让现阶段的萝卜快跑和高德来开都比司机和运管更拟人,武汉站出来就是个,有大量神人司机需要神人运管来管,而神人运管管出更多神人司机,的死亡循环
Forwarded from 今天abc看了啥🤔 (asfr | abc1763613206🤔)
赞美一下 USTCLUG 出的 Linux 201 项目,内容已经扩充到了相当详实的地步:https://201.ustclug.org/
与主打基础扫盲的 Linux 101 不同,我觉得 201 是一份更进阶的 Linux 服务器运维指南,非常适合需要深入理解底层原理、处理复杂问题的 Power User。无论是系统学习一些表层事物的底层原理,还是作为疑难杂症的速查手册,都极具实践上的价值。
taoky 老师说还有很多页面是空白的,尚未最终完稿。感觉内容完善后,完全可以作为实验室新人上手公共服务器的指定教材用,培训方面省很大的力(
与主打基础扫盲的 Linux 101 不同,我觉得 201 是一份更进阶的 Linux 服务器运维指南,非常适合需要深入理解底层原理、处理复杂问题的 Power User。无论是系统学习一些表层事物的底层原理,还是作为疑难杂症的速查手册,都极具实践上的价值。
taoky 老师说还有很多页面是空白的,尚未最终完稿。感觉内容完善后,完全可以作为实验室新人上手公共服务器的指定教材用,培训方面省很大的力(
201.ustclug.org
Linux 201
Linux 201 进阶教程
Forwarded from Lobste.rs
Lobsters
Sometimes CPU cores are odd
45 comments
Forwarded from 🐱 Ch. | 挪瓦咖啡配苕皮套餐 TV (webRTCCat | Present Day, Present Time)
百度笑传之虫虫bug
省流:百度云本地监听10000端口提供网页拉起客户端服务,OpenSafeBox接口直接把传入内容作为参数传给netdisk.exe,直接参数注入拿到远程任意代码执行
sounds familiar(百度android sdk 15年worm hole)
scenes like this are happening all over the galaxy right now(WPS命令注入)
省流:百度云本地监听10000端口提供网页拉起客户端服务,OpenSafeBox接口直接把传入内容作为参数传给netdisk.exe,直接参数注入拿到远程任意代码执行
sounds familiar(百度android sdk 15年worm hole)
scenes like this are happening all over the galaxy right now(WPS命令注入)
Welivesecurity
Analysis of two arbitrary code execution vulnerabilities affecting WPS Office
ESET research uncovers a vulnerability in WPS Office for Windows (CVE-2024-7262), as it was being exploited by South Korea-aligned cyberespionage group APT-C-60 to target East Asian countries. Analysis of the vendor’s silently released patch led to the discovery…
给我气笑了,某国内top1云厂商的起夜级云服务,某机房某核心服务链路层断了4个小时,结果正式事故报告的大意就这几句话:看到网断了,发现设备坏了,换了台设备,换好后服务正常了
是没有SRE团队吗,还是说SRE团队也当传话太监了,拿枪指着机房牛马写事故报告?
作为SRE工程师,面对事故复盘,思考思路至少应该包括:
1、第一时间监控到了,为什么没有及时通知受影响的相关方?
2、主备/双活等可用性措施有没有配?配了为什么没生效?没生效为什么一点告警都没有?
3、是不是单点问题排查流程凌驾于服务恢复流程,没有任何的紧急逃生方案?
复习一下:https://sre.google/workbook/postmortem-culture/
是没有SRE团队吗,还是说SRE团队也当传话太监了,拿枪指着机房牛马写事故报告?
作为SRE工程师,面对事故复盘,思考思路至少应该包括:
1、第一时间监控到了,为什么没有及时通知受影响的相关方?
2、主备/双活等可用性措施有没有配?配了为什么没生效?没生效为什么一点告警都没有?
3、是不是单点问题排查流程凌驾于服务恢复流程,没有任何的紧急逃生方案?
复习一下:https://sre.google/workbook/postmortem-culture/
sre.google
Google SRE - Postmortem Practices for Incident Management
SRE postmortem practices for documenting incidents, understanding root causes, and preventing recurrence. Explore blameless postmortemculture and best practices.
🎉3
而今天,随便谁都可以通过品牌机的超清镜头看到,阵亡,其实就是年轻人像野狗一样死在野地里,而杀死他的则是操控着这些“儿童玩具”的素不相识的另一个年轻人。欢呼击掌。周而复始。
https://m.weibo.cn/status/5210098655563686
m.weibo.cn
微博
随时随地发现新鲜事!微博带你欣赏世界上每一个精彩瞬间,了解每一个幕后故事。分享你想表达的,让全世界都能听到你的心声!