Ansible is used in Quarkslab to manage our infrastructure and in our product Irma. In order to have an idea of the security of Ansible, we conducted a security assessment. This blogpost presents our findings.

Ansible Security Assessment
https://blog.quarkslab.com/ansible-security-assessment.html

How to setup Vault with Kubernetes

Управление секретами в кластере Kubernetes с помощью HashiCorp Vault и Consul.

https://deepsource.io/blog/setup-vault-kubernetes/

#k8s #vault #ops

Сравнение Prisma Cloud Compute и Aqua CSP

Совместно с нашей командой опубликовали в открытом доступе сравнение двух ключевых "коробочных" entreprise решений на российском рынке по защите контейнеров - Aqua CSP от Aqua Security и Prisma Cloud Compute от Palo Alto Networks.

Сравниваем архитектуру, компоненты, возможность написания правил, функционал по контролю run-time, интеграции и много другое.

В статье также можно почитать про риски и архитектуру решений.

https://www.anti-malware.ru/reviews/Application-containers-security-risks-and-key-security-solutions

#tools #k8s #dev #ops

A toolkit for validating, forging and cracking JWTs

jwt tool - инструмент для проверки JWT-токенов. Инструмент позволяет проверить токен на действительность, наличие известных эксплоитов, правильность секретного / открытого ключа JWKS, выявить слабые ключи и другое.

Инструмент также включает в себе JWT Attack Playbook с подробностями об известных типах уязвимостей, неправильной конфигурации JWT и методологией для атаки.

#tools #dev

Starboard - Kubernetes-native security tool kit

Starboard - бесплатный инструмент от Aqua Security, позволяющий нативно интегрировать инструменты безопасности в среду Kubernetes благодаря CustomResourceDefinitions (CRDs) и модулю Go для работы с такими инструментами как trivy, kubebench, kubehunter. Starboard предоставляет также kubectl-совместимый инструмент командной строки и плагин Octant, который делает отчеты о безопасности доступными через знакомые инструменты Kubernetes.

#tools #k8s #ops

Репозиторий с примерами OWASP практик для Golang https://github.com/OWASP/Go-SCP/tree/master/src #golang #security

Docker-Slim

Docker-slim - бесплатный инструмент, позволяющий оптимизировать размер образов Docker, используя различные методики анализа. В некоторых случаях размер образов может быть уменьшен в 30 раз. Говоря про безопасность, Docker-slim также может автоматически сгенерировать AppArmor и Seccomp профили для выбранных образов.

Пример работы

DockerSlim Demo ( Docker Global Hack Day )

#docker #tools #ops

GitLab Acquires Peach Tech and Fuzzit to Expand its DevSecOps Offering

Новости уже неделя, но лучше поздно, чем никогда. GitLab заявила о покупке Peach Tech и Fuzzit. Это означает, что в недалеком будущем в GitLab Secure появится возможность осуществления фаззинга и поведенческого тестирования API в CI/CD-конвейере. Кроме того, интеграция новых решений позволит GitLab ускорить разработку своей дорожной карты для интерактивного тестирования безопасности приложений (IAST).

На текущий момент GitLab позиционируется как нишевой игрок в отчете Gartner Magic Quadrant 2020 года по тестированию безопасности приложений (AST).

О других инструментах, входящих в Gitlab Secure.

#news #fuzzing #dast #dev

​​Всегда задавался вопросом, можно ли считать двухфакторной аутентификацией SMS-сообщение, которое приходит на то же устройство, с которого осуществляется вход в приложение? Как по мне, это скорее 1,5 фактора максимум 😄

Сколько работал, всегда были споры, что лучше, push или SMS? Как по мне - push намного удобнее, хотя бы потому, что начиная с Android 5.0 можно создать несколько типов уведомлений, которые будут показывать разный текст в зависимости от блокировки устройства:

Общедоступное - Уведомления отображаются на заблокированных устройствах

Приватное - Уведомления отображаются на заблокированных устройствах, но если установлена защита (например, с помощью пароля или отпечатков пальцев), то отображается лишь общедоступная информация без заголовка и текста сообщения.

Секретное - Уведомления отображаются на заблокированных устройствах, но если установлена защита, то уведомления не отображаются.

используя эти особенности уведомлений, можно очень гибко настроить, когда и как будет отображаться информация. Плюс в Android с недавнего времени появился «защищенный» диалог подтверждения, который может гарантировать, что пользователь прочел и "подписал" сообщение.

Так же и в ElcomSoft есть целый ряд статей про сравнение различных реализаций двухфакторки у Apple и как её в целом можно обойти. Вывод, на мой взгляд, один - SMS один из самых ненадежных способов доставить OTP, но его по прежнему использует очень многие..

Надеюсь, что когда-то мы все-таки откажемся от SMS для одноразовых паролей или оставим их как запасной вариант 🧐

#Android #iOS #TwoFactor #OTP

Кстати автор @mobile_appsec_world является также создателем проекта Stingray, который занял 4 место в Cybersecurity Challenge 2020.

Stingray является инструментом для поиска дефектов безопасности мобильного приложения, а также несоответствия стандартам (например MASVS, PCI DSS)

А еще есть возможность познакомиться с демо решения:
https://demo.stingray.appsec.global/

#tools #mobile #dev

OWASP - Component Analysis

Страница на OWASP, опубликованная пару месяцев назад и посвященная безопасности сторонних компонентов - Component Analysis. На странице можно прочитать про факторы риска использования стороних компонентов, рекомендации, C-SCRM, полезные пункты для добавления в политику безопасности, а также перечень инструментов, как open-source, так и commercial.

https://owasp.org/www-community/Component_Analysis

#tools #sca #dev

Cloud Pentest Cheatsheets

Полезное репо для тестирования публичных облаков (AWS, Amazon, GCP) на проникновение. Помимо команд, приведенных для проверки безопасности облака, в репо можно найти перечень инструментов (pacu, weirdaal для AWS, MicroBurst, PowerZure для Azure и другие), а также парочку стендов для практики (Cloudgoat, SadCloud,...)

Полезно будет не только для red team. Прикладываю в формате pdf.

#aws #azure #gcp #tools #ops #attack

AWS Security Tooling

Source: https://cloudseclist.com/issues/issue-42/

#tools #aws #ops

Securing Automation with Ansible 2

Книга включает:
- Введение в Ansible плейбуки и роли
- Развертывание hardened WordPress с зашифрованными бекапами
- Мониторинг логов и работа с ELK AWS
- Автоматизация тестирования через OWASP ZAP
- Работа с Nessus
- Харденинг для приложений
- Непрерывное сканирование Docker-контейнеров
- Развертывание лаб для анализа малвари и форензики
- Написание Ansible модуля для тестирования безопасности
- Лучшие практики Ansible

Сопутствующие к книге плейбуки

#literature #ops

Introduction to GKE Kubelet TLS Bootstrap Privilege Escalation

До этого мы говорили про фреймворк MITRE ATT & CK для описания поведения злоумышленника на разных стадиях атаки на облачные среды и k8s. Сегодня мы посмотрим, как на эту матрицу ложится атака по повышению привилегий в GCP через GKE Kubelet и TLS Bootstrap.

Вывод статьи - соблюдайте принцип наименьших привилегий.

https://rhinosecuritylabs.com/cloud-security/kubelet-tls-bootstrap-privilege-escalation/

#gcp #k8s #ops #attack

Backend United #6: Табаско — разработчики о безопасности

Идет с 18:00. Круто видеть такое в русскоговорящем комьюнити, подключаемся :)

[18:00–18:40] — Как мы (и нас) сами себя взламываем: безопасность глазами разработчика, Денис Юрьев, Skyeng
[18:45–19:10] — Single quote injection to find them all, Александр Трифанов, Авито
[19:15–19:50] — Security Training & Awareness в Тинькофф, Елена Клочкова, Тинькофф
[19:55–20:30] — DevSecOps для облачного провайдера: опыт Яндекс.Облака, Антон Жаболенко, Яндекс.Облако

https://youtu.be/dsJN9J1rV6o

#talks #dev #ops

Introducing Piranha: An Open Source Tool to Automatically Delete Stale Code

Piranha - open-source инструмент от Uber для автоматического рефакторинга кода. Рефакторинг происходит за счет меток, проставляемых разработчиками в коде. Удаление кода, окруженного специальной меткой, позволяет избавиться от устаревшего, неиспользуемого и временного участка кода. Кроме повышения эффективности разработчиков, сокращения времени сборки и размера бинаря, инструмент позволяет увеличить безопасность кода приложения. На текущий момент поддерживается Java, Objective C, Swift.

О том, как Uber применил Piranha для своих мобильных приложений

Исследования и академические выводы об инструменте

6-и минутный ролик

#tools #mobile #dev

Kubernetes опубликовал "Pod Security Standards", где подробно объясняет какие настройки, когда, где и как использовать в Pod Security Policy. Для этого они все политики разделили на 3 типа:
- Privileged - неограниченная политика, предоставляющая большую свободу, позволяет проводить хорошо известные поднятия привилегий.
- Baseline/Default - минимально закручиваем гайки чтобы предотвратить хорошо известные поднятия привилегий.
- Restricted - максимально закручиваем гайки.

Understanding API Security, Justin Richer and Antonio Sanso

Неплохая книга по защите API в открытом доступе:

https://www.manning.com/books/understanding-api-security

#literature #web #ops #dev

OPA Image Scanner admission controller

OPA Image Scanner совмещает Sysdig Secure image scanner c языком Open Policy Agent, что позволяет задавать более сложные политики для приема образов в кластер, чем просто использование сканирования образов на базе информации о реестре, имени образа и тега. Например, всегда допускать развертывание образов в определенных пространствах имен ("Dev").

Про Sysdig OPA Image Scanner в блоге Sysdig

#tools #k8s #docker #ops #opa