Поддержка мета запросов в Grafana (типа Moving Average) - может быть интересным https://github.com/GoshPosh/grafana-meta-queries

CVE-2019-11043: вы, скорее всего, подвержены

Никогда такого не делал, и вот опять. Советую обратить внимание на уязвимость, которая скорее всего где-то у вас будет воспроизводиться. Это очень жесткий и простой эксплойт.

Итого, что нужно:
1) nginx
2) php-fmp
3) php файлик, который будет отдавать 200 OK
4) php -v <7.2.24 & <7.3.11

Итого, если у вас есть стандартная связка nginx + php-fpm и что-то на PHP7 с версиями, которые я указал, и еще есть /ping.php (или любой другой эндпоинт, который возвращает 200 OK) - нужно чинить ASAP. Таким образом можно экзекнуть любую команду в этом окружении.

Этой тулзой можно проверить:
https://github.com/neex/phuip-fpizdam

Более детально:
https://www.trendmicro.com/vinfo/hk-en/security/news/vulnerabilities-and-exploits/php-fpm-vulnerability-cve-2019-11043-can-lead-to-remote-code-execution-in-nginx-web-servers

Преимущественно аффектит старые приложения с не самой старой PHP (где есть куча непонятных php файлов), таким образом можно пропатчить какой-то файлик, посмотреть переменные окружения, слить креденшлы - что угодно. Расскажите знакомым, и проверьте у себя.

Всем безопасности!

Пока общественно-политические СМИ захватила истерия по поводу китайского вируса в технических медиа взахлёб пишут про вышедший 7 февраля новый CPU от AMD - Threadripper 3990X. Это процессор для сегмента HEDT (High End Desktop) на базе микроархитектуры Zen 2 с впечатляющими характеристиками - 64 ядра (128 потоков), базовая частота 2.9Ghz, буст до 4.2Ghz.

В синтетических тестах он рвёт серверные платформы с двумя Xeon Platinum 8280 в среднем на 25% (сборка ядра Linux за 22 секунды - is it legal?). И это при стоимости в 3,990$ (цена совпадает с индексом модели 🥇) против ~20,000$ за два Xeon.

Как так вышло? Вот несколько мыслей на эту тему:
🏭 Intel производит CPU на собственных мощностях, которые уже несколько лет как застряли на техпроцессе 14nm (в прошлом году только что-то появилось на 10nm). AMD работает в модели "fabless", меняя поставщика на того, у которого в данный момент наиболее продвинутая технология (сейчас 7nm в TSMC).
🚀 Процессоры от AMD это на самом пачка мини-CPU "склеенных" внутренней шиной (NUMA уже внутри чипа), что позволяет достигать очень большого кол-ва ядер на один сокет. Есть правда и обратная сторона медали - больше чем на пару сокетов такие конструкции скорее всего не масштабируются из за высоких накладных расходов на обеспечение когерентности кэшей.
🔩 В Intel задрали цены, пользуясь отсутствием конкуренции, и были заняты развитием побочных направлений.

С такими новостями остаётся только ждать в этом году выхода новой серверной линейки на Zen 3 - похоже эпоха монополии Intel подходит к концу 📉.

​​Вышел ежегодный рейтинг надёжности HDD от Backblaze - провайдера услуг "облачного" хранения данных.

Diagram as Code for prototyping cloud system architectures
https://github.com/mingrammer/diagrams

Люблю такое

​​Материалы от подписчиков:

Анализ постмортемов с разбивкой по наиболее популярным причинам

etcd 3.4.3: исследование надёжности и безопасности хранилища

https://habr.com/ru/company/flant/blog/487534/

Cloud Native
Using Containers, Functions, and Data to Build Next-Generation Applications

Boris Scholl, Trent Swanson, and Peter Jausovec

2019

Список ресурсов для тех кто хочет знать SDS Vmware VSAN

https://github.com/valdecircarvalho/awesome-vsan#vsan-books

#vsan #awesome

📚 BPF Performance Tools. Linux System and Application Observability. Brendan Gregg. #книга

​​Курсы для начинающих работать с Linux на английском:

1. Pluralsight - Linux - System Security (LPIC-2) by Andrew Mallett - 3h 7m [2018, ENG] [445.6 MB]

Security is an ever growing concern no matter which operating system you employ. This course will not only get you ready for your LPIC-2 202 exam but prepare you in securing your Linux Server.

01.Course Overview
02.Introduction to Linux Security
03.The Lab Environment
04.Configuring Routing Between Networks
05.Configuring Firewalls
06.Dynamic Firewalls with Fail2ban
07.Securing OpenSSH
08.Securing FTP Services
09.Monitoring Systems
10.Virtual Private Networks

Ссылка

2. Pluralsight - Linux - Email Services (LPIC-2) by Andrew Mallett - 2h 21 m [2018, ENG] [348.3 MB]

Postfix is a common SMTP server in Linux with Dovecot providing client POP3 and IMAP access. This course will teach you how to install and manage email services on Ubuntu 16.04 Linux.

1.Course Overview
2.Introduction to Linux Email Services
3.The Lab Environment
4.Installing the Postfix SMTP Server
5.Configuring a Postfix Server
6.Configuring TLS on Postfix
7.Managing Mail Delivery with Dovecot

Ссылка

#Linux #Study #Course

​​Сегодня (12.02.20) прошел вебинар по теме вышедших обновлений в феврале для решений на базе Microsoft.

Запись вебинара доступна по ссылке:
https://aka.ms/CEEwebcast

Если очень кратко по самому "горячему"

I. Получить список последних актуальных обновлений за февраль можно по официальной ссылке:
https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/2020-Feb

Короткие ссылки:
- https://aka.ms/SecurityUpdates
- https://aka.ms/SUG

II. Для IE 9,10,11 уязвимость (https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0674) уже эксплуатируется! Поэтому рекомендуется как можно быстрее установить обновление.

III. Microsoft Edge на Chromium (не путать с Microsoft Edge (EdgeHTML-based)) обновляется отдельно, вне общей политики Microsoft.

Доп.информация по Microsoft Edge (Chromium-based):
- ADV200002 | Chromium Security Updates for Microsoft Edge based on Chromium
- Microsoft выпустила предварительную версию групповых политик для Microsoft Edge на Chromium
- Как запустить две версии Microsoft Edge одновременно в Windows 10

IV. Microsoft прекратило поддерживать Windows 7.

Windows 7 EOS (End Of Service)
14 января 2020 года Microsoft завершает поддержку операционной системы Windows 7 и пакета офисных программ Office 2010.

Чтобы было более понятно, система продолжит работать, но ваши данные будут подвержены новейшим вирусам и другим угрозам безопасности. Можно даже предположить, что число новых вирусов, предназначенных для Windows 7 может увеличится.

Трудно оценить, сколько людей обдумывает свой следующий шаг, но, согласно недавнему отчету Netmarketshare, Windows 7 по-прежнему используется на 26.64% всех компьютеров.

Какие варианты продления поддержки с возможностью получения обновлений для Windows 7 и Windows Server 2008 R2:

Рекомендации Microsoft:
- Мигрировать на Windows 10
- Мигрировать в Azure
Azure Virtual Machine
Windows 7 to Windows Virtual Desktop

- Купить ESU (Extended Security Updates)

Рекомендации Canonical:
- Canonical предлагает Ubuntu на замену Windows 7

В любом случае всегда следует использовать принцип наименьших привилегий (Principle of least privilege), который подразумевает работу только из-под пользователя.

P.S. Немного о будущем... LDAP обновления в марте НЕ будут вносить изменения в систему безопасности контроллеров домена, будет включен только АУДИТ!
Подробнее по ссылкам:
ADV190023 | Microsoft Guidance for Enabling LDAP Channel Binding and LDAP Signing

https://support.microsoft.com/en-us/help/4520412/2020-ldap-channel-binding-and-ldap-signing-requirement-for-windows

И помните, что по статистике атаки начинаются через 2-3 недели после официальной публикации информации об угрозах. Поэтому тестируйте и применяйте новые обновления Microsoft.

По всем вопросам можно писать Артему Синицыну:

Email: artsin@microsoft.com

Twitter: @ArtyomSinitsyn / aka.ms/artsin


🍀БОНУСОМ идет новость для пользователей Windows 10, которая не относится к обновлениям.

На официальном сайте Microsoft только сегодня (12.02.2020) можно бесплатно скачать Ultra Office Suite на Windows 10.

Ultra Office Suite включает в себя текстовый и табличный процессоры, инструмент для создания презентаций, векторный графический редактор, поддерживающий создание диаграмм, приложения для ведения баз данных и работы с математическими формулами. Разработчиками заявлена поддержка файлов в форматах Microsoft Office (doc, docx, xls, xlsx, ppt, pptx, PDF), OpenOffice и некоторых других популярных пакетов.

Требования к системе:
Windows 10 версии 14393.0 или более поздней

Бесплатно добавить приложение в свою учетную запись можно только сегодня (12.02.2020), потом стоимость вернется к изначальной отметке в 49,99 доллара (более 3 тысяч рублей).

Ссылка:
https://www.microsoft.com/ru-ru/p/ultra-office-for-free-word-spreadsheet-slide-pdf-compatible/9n161bjrlc1d


#Microsoft #Edge #Chromium #GPO #PatchTuesday #Updates #Office

Шпаргалка по новой линейке IBM Flash System. RIP Storwize.

​​IBM обновила линейку систем хранения данных FlashSystem. Теперь она объединена с моделями Storwize. Плюс вышли новые all-flash системы с софтом от того-же Storwize (ныне называется "Spectrum Virtualize"), в топовых конфигурациях обещают минимальный отклик 70 μs, data reduction до 5:1, до 18M IOPS, до 32PB емкости, итп итд.

Также обновились "головы" IBM SAN Volume Controller. Там теперь новые CPU, 25Gbe и 32G FC.

Сейчас по данным IDC IBM делит 4 место на рынке СХД с Hitachi и Huawei, думаю фейс-лифтинг линейки никак не изменит положение вещей.

WHY KUBERNETES?

Ответ на вопрос, почему стоит использовать Kubernetes, вместо других похожих решений.

https://srcco.de/posts/why-kubernetes.html

GitHub CLI

GitHub запускают официальный CLI. Выглядит адекватно, написан на Go.

https://github.blog/2020-02-12-supercharge-your-command-line-experience-github-cli-is-now-in-beta

Код: https://github.com/cli/cli

Stop using SMB1. Stop using SMB1 . STOP USING SMB1! Даже люди из Microsoft начинают кричать об этом :)

Как удалять SMB и собственно те самые крики:

https://techcommunity.microsoft.com/t5/storage-at-microsoft/stop-using-smb1/ba-p/425858

Записи докладов с CNCF Minsk #5

First part: Cloud Security Posture Management - Aleksandr Slobodanyuk, Senior Security Systems Engineer.
• CSPM - general overview
• Overview of commercial and opensource tools
• How does it work?

Second part: Infrastructure as Code Security - Michael Yudin, Senior Security Systems Engineer & German Babenko, Senior Security Systems Engineer.
• Infrastructure as Code intro
• Security in IaC
• IaC security tools: AWS demo, GCP demo
• Verifying of Terraform code for AWS Cloud with integration of security code scanning tools in IaC pipeline.

https://www.youtube.com/playlist?list=PLwjWMHa5_FX88yf3fapksH9M1OIGM1aNi

Защита информации. Устройства несанкционированного съема информации и борьба с ними
Козлов Сергей Николаевич


Настоящее учебно-практическое пособие подготовлено на основе многолетнего практического опыта ветеранов отечественных спецслужб, специализирующихся на обеспечении безопасности высшего руководства страны и борьбе с терроризмом.

Благодаря представленным в пособии материалам читатель не только сможет ознакомиться с каналами утечки информации, устройствами ее несанкционированного съема (УНСИ) и тактикой преступных элементов при установке и контроле этих устройств, но и получит наглядный и эффективный практикум по организации поиска и локализации УНСИ.

Книга написана простым и доступным для понимания языком, содержит большое количество иллюстраций, что делает ее полезной не только для специалистов в области обеспечения безопасности и работников профильных учебных заведений, но и для широкого круга читателей, чей бизнес предполагает острую конкурентную борьбу.

#dns 🔥🔥🔥 Есть такая технология — DNSSEC. Она позволяет подписывать ответы DNS (это то, что отвечает например за связь домена и IP-адреса), чтобы ответ нельзя было подделать. Внедрение слабое, но есть (требуйте у вашего регистратора или хостера). Но множество клиентов настроены на проверку DNSSEC, если она есть. Корневая зона подписана. Все основные зоны первого уровня — подписаны (включая RU и РФ). Буквально вчера на Дне Кибербезопасности я рассказывал про DNSSEC

Сегодня должна была состояться церемония переподписи корневой зоны. Это выглядит так — избранные «офицеры» имею свои части секретных ключей. Работает это только если сложить всё вместе. Но что-то пошло не так:
https://twitter.com/theiana/status/1227600447289974786

Ключи хранятся в специальном хранилище (HSM), ключи доступа к хранилищу (токены активации) хранятся в специальной сейфе (простите за терминологию, но мне по другому не объяснить, там ларец, заяц, утка и яйцо). СЕЙФ СЛОМАЛСЯ. Криптоофицеры обсуждают, как взломать сейф. Если корневую зону не подписать до 11 апреля, мировой DNSSEC превратится в тыкву. А с ним прекратит нормальное функционирование значительная часть всей системы доменных имен

Кстати. Посмотрел, что пишет об этом российский НЦКЦКЦКЦКЦ и ГосСОПКА:
http://www.gov-cert.ru/
Примерно такая же информация размещена на сайтах Минцифры, Роскомнадзора и Спортлото. Собственно и не то чтобы должны, но при риторике «мимо нас муха не проскочит» я бы назвал это групповым пафосным словоблудием

#dns И раз уж я начал про DNS, сделаю пост для интересующихся (ВНИМАНИЕ — по ссылкам много узкоспециализированной технической информации)

✅ DNSSEC. Руководство регистратора доменов. Декабрь 2016:
Слайды: https://www.slideshare.net/schors/dnssec-71055077
(доклада не существует)

✅ DNSSEC. Руководство оператора. Октябрь 2017:
Слайды: https://www.slideshare.net/schors/enog14-dnssec
Видео Часть 1: https://youtu.be/rrDL7ymvm0A
Видео Часть 2: https://youtu.be/I2UEGPM0_ic
Видео Часть 3: https://youtu.be/RsPEoPWuxoY
Видео Часть 4: https://youtu.be/7e1Wj1wNRaA
Видео Часть 5: https://youtu.be/1b6G4VZJOt0

✅ Безопасность DNS. Популярный обзор современных практик. Сентябрь 2018:
Слайды: https://www.slideshare.net/schors/a-popular-dns-security-overview-modern-theory-and-practice-116166410
Видео: https://youtu.be/wkN1Yqcpj2c

👍 Возможно, под шумок, кто-нибудь решит внедрить DoH, или даже DNSSEC :)