Отечественные платформы виртуализации и их безопасность.

Виртуализация стала главным трендом информационных технологий. Сейчас уже сложно найти сервер, который используется в промышленной эксплуатации без виртуализации, и даже малые предприятия осознали выгоду подобных решений для бизнеса. В этой статье мы рассмотрим, какие решения виртуализации сегодня существуют на отечественном рынке, расскажем, на что стоит обращать внимание при выборе оптимальной платформы и какие требования предъявляются к безопасности таких систем. 

Читать далее https://habr.com/ru/companies/lanit/articles/752494

Если вы думали, что стать жертвой программы-вымогателя или хакера, захватившего вашу рабочую станцию, было кошмаром, подумайте о потенциальной катастрофе, связанной с захватом вашего кластера Kubernetes (k8s). Это может быть катастрофа, увеличенная в миллион раз.

В последние годы Kubernetes приобрел огромную популярность среди предприятий благодаря своему бесспорному мастерству в организации и управлении контейнерными приложениями. Он объединяет ваш исходный код, облачные учетные записи и секреты в единый центр. Однако в чужих руках доступ к кластеру k8s компании может быть не только вредным, но и потенциально катастрофическим.

В ходе нашего расследования мы обнаружили кластеры Kubernetes, принадлежащие более чем 350 организациям, проектам с открытым исходным кодом и частным лицам, которые находятся в открытом доступе и в значительной степени незащищены.

https://blog.aquasec.com/kubernetes-exposed-one-yaml-away-from-disaster

Как мы учились обходить блокировки VPN в Китае, чтобы быть готовыми к РКН

В понедельник 7 августа пользователи VPN-сервисов из России заметили проблемы с подключением к серверам. По собранной в соцсетях и Телеграме информации, ограничения затронули наиболее распространенные VPN-протоколы OpenVPN, L2TP, PPTP и WireGuard. На сбои в работе VPN-сервисов жаловались клиенты мобильных операторов — Мегафон, МТС, Билайн, Tele2, Yota, Тинькофф Мобайл.

В этот же день на Xeovo обвалилось огромное количество тикетов, но к вечеру, когда инеформация о новой волне блокировок VPN ещё продолжала расходиться по рунету, и СМИ ещё собирали статистику, которую мы здесь приводим, мы уже закрыли большую часть из них и соединение наших клиентов было восстановлено. Как нам это удалось? Дело в том, что весь последний год мы посвятили борьбе с Великим Китайским файерволлом, а именно — с блокировками VPN в Китае. https://habr.com/ru/companies/xeovo/articles/753834/

4 основных вида механизмов аутентификации

1. Ключи SSH - криптографические ключи используются для безопасного доступа к удаленным системам и серверам

2. Токены OAuth - токены, обеспечивающие ограниченный доступ к пользовательским данным в сторонних приложениях

3. SSL-сертификаты - цифровые сертификаты обеспечивают безопасное и зашифрованное взаимодействие между серверами и клиентами

4. Учетные данные - информация об аутентификации пользователя используется для проверки и предоставления доступа к различным системам и сервисам

Взлом доступа к ядру Windows при помощи драйвера принтера

В этой статье приводятся подробности CVE-2023-21822 — уязвимости Use-After-Free (UAF) в win32kfull, которая может привести к повышению привилегий. Отчёт о баге отправлен в рамках программы ZDI, а позже она была пропатчена компанией Microsoft. https://habr.com/ru/companies/ruvds/articles/754984/

Шифрование данных: защита данных при хранении и передаче с помощью технологий шифрования

В нынешнюю цифровую эпоху крайне важно обеспечить безопасность конфиденциальной информации, поскольку она постоянно передается и хранится. Одним из самых эффективных инструментов для достижения этой цели является шифрование. Но что именно это означает, когда данные зашифрованы? В этой статье мы погрузимся в мир шифрования, изучая его значение, принцип работы и важность внедрения технологий шифрования для защиты ваших данных. https://dev.to/documatic/data-encryption-securing-data-at-rest-and-in-transit-with-encryption-technologies-1lc2

mTLS: когда аутентификация сертификата выполняется неправильно

В этом посте мы подробно рассмотрим некоторые интересные атаки на аутентификацию mTLS. https://github.blog/2023-08-17-mtls-when-certificate-authentication-is-done-wrong/

✍️Знания криптозащиты играют критическую роль в карьере специалиста по ИБ: в каждой второй вакансии на HH требуются знания в области криптографии.

🔥Углубитесь в криптографию на бесплатных вебинарах онлайн-курсов «Криптографическая защита информации» и «Инфраструктура открытых ключей PKI»:

— «Криптография вокруг нас»: регистрация

Рассмотрим популярные алгоритмы шифрования и хэширования, обеспечивающие защиту конфиденциальности данных.

— «Кибербезопасность цифровой организации»: регистрация

Рассмотрим типовые риски современной организации. Разберём атаки и методы противодействия им. Изучим модель «Kill Chain».

Нативная интеграция. Информация о продукте на сайте www.otus.ru

Создайте свой собственный VPN бесплатно

Компании, занимающиеся VPN, размещают рекламу повсюду, и есть причина, по которой они спонсируют большинство технических YouTube-блогеров, но вам не нужно покупать дорогой тарифный план, чтобы использовать VPN.

Вот как вы можете создать свой собственный : https://dev.to/baptistsec/building-your-own-vpn-for-free-3o9h

Один YAML до катастрофы: «детские» ошибки администраторов Kubernetes

Когда речь заходит о безопасности кластеров Kubernetes, вспоминаются сложные методики, выверенные практики, высокий уровень сопровождения. Но так бывает не всегда. Нам встретилась статья, авторы которой изучили множество кластеров и выяснили, что значительная их часть уязвима из-за глупостей, допущенных администраторами. Статистика впечатляет! Предлагаем вашему вниманию перевод. https://habr.com/ru/companies/flant/articles/756044/

Хотите знать, почему некоторые кибератаки так сложно обнаружить? Они могут использовать LOLBAS — двоичные файлы и скрипты, уже имеющиеся в вашей системе.

https://pentera.io/blog/the-lol-isnt-so-funny-when-it-bites-you-in-the-bas/

Использование Вашего почтового сервера для чужих рассылок

Данная статья носит больше ознакомительный характер, нежели глубоко технический, и имеет целью осветить общественности вектор атаки, о котором, может быть, кто-то не знает или забыл. Конечно, описанное может быть выполнено только при возникновении ряда условий...

Итак, если Вас интересует, каким образом злоумышленник может использовать Ваш почтовый сервер в собственных целях или какие есть угрозы помимо фишинга и спама— прошу под кат.

https://habr.com/ru/articles/756224/

Исследователь безопасности обнаружил, что можно раскрыть IP-адрес пользователя приложения Skype, даже не нажимая на ссылку. Microsoft заявила, что уязвимость не требует немедленного внимания.

https://www.404media.co/hackers-find-your-skype-ip-address-microsoft-wont-fix/

В этой статье мы рассмотрим некоторые методы, которые злоумышленник может использовать для создания бэкдоров в вашей учетной записи AWS, поэтому, даже если он потеряет первоначальный доступ, у него будет легкий путь обратно. https://mystic0x1.github.io/posts/methods-to-backdoor-an-aws-account/

Защита Интерфейсных Приложений С Помощью CORS И CSP

В этой статье показано, как использовать CORS и CSP для повышения безопасности ваших веб-страниц. https://blog.openreplay.com/securing-front-end-apps-with-cors-and-csp/

Keycloak. Админский фактор и запрет аутентификации

Привет, Хабр и его жители! Я, Максим Санджиев, представляю отдел, занимающийся развитием, поддержкой и безопасностью инфраструктуры в департаменте Security Services компании «Лаборатории Касперского». У нас в отделе накопилась «нестандартная» экспертиза по работе с vault, IAM (keycloak), rook-ceph, minio s3, prometheus, k8s и многими другими инструментами OPS/SecOps/SRE. Хотели бы с вами поделиться нашими ресерчами, идеями, самописными разработками и получить фидбэк на наши реализации. Начнем с кейсов по работе с IAM. https://habr.com/ru/companies/kaspersky/articles/756812/

Как разработать безопасный доступ к веб-интерфейсу API для вашего сайта?

Когда мы открываем доступ к веб-интерфейсу API для пользователей, нам необходимо убедиться в том, что каждый вызов API аутентифицирован. Это означает, что пользователь должен быть тем, за кого он себя выдает.

В этой статье мы рассмотрим два распространенных способа:

1. Аутентификация на основе токенов

2. Аутентификация на основе HMAC (Hash-based Message Authentication Code).

На приведенной ниже схеме показано, как они работают.

Аутентификация на основе токенов
Шаг 1 - пользователь вводит свой пароль на клиенте, а тот отправляет его на сервер аутентификации.

Шаг 2 - сервер аутентификации проверяет подлинность учетных данных и генерирует маркер со сроком действия.

Шаги 3 и 4 - теперь клиент может отправлять запросы на доступ к ресурсам сервера с маркером в HTTP-заголовке. Такой доступ будет действителен до истечения срока действия маркера.

На основе HMAC
Этот механизм генерирует код аутентификации сообщения (подпись) с помощью хэш-функции (SHA256 или MD5).

Шаги 1 и 2 - сервер генерирует два ключа, один из которых - Public APP ID (открытый ключ), а другой - API Key (закрытый ключ).

Шаг 3 - теперь мы генерируем HMAC-подпись на стороне клиента (hmac A). Эта подпись формируется с помощью набора атрибутов, перечисленных на схеме.

Шаг 4 - клиент отправляет запросы на доступ к ресурсам сервера с hmac A в HTTP-заголовке.

Шаг 5. Сервер получает запрос, содержащий данные запроса и заголовок аутентификации. Он извлекает из запроса необходимые атрибуты и использует ключ API, хранящийся на стороне сервера, для генерации подписи (hmac B).

Шаги 6 и 7 - сервер сравнивает hmac A (сгенерированный на стороне клиента) и hmac B (сгенерированный на стороне сервера). Если они совпадают, то запрашиваемый ресурс возвращается клиенту.

Проксируем OpenVPN с помощью Cloak.

Cloak — это подключаемый транспорт, который расширяет возможности традиционных прокси-инструментов, таких как OpenVPN, Shadowsocks и Tor для обхода сложной цензуры и дискриминации данных.

Руководство будет включать:

1. Предисловие

2. Описание работы Cloak

3. Настройку сервера Cloak

4. Настройку клиента Cloak на OpenWRT

5. Настройку клиента OpenVPN

Читать далее https://habr.com/ru/articles/758570/

Shadowsocks-туннелирование корпоративного VPN

Если у вашей компании имеются серверы, работающие за границей, и доступ для внутренних пользователей вы предоставляете посредством VPN-протоколов (достаточно типовая схема, особенно после Covid — 2019, когда удалённая работа стала особенно популярной), то настало время действовать на опережение. Конечно, применение административного ресурса, возможно, защитит ваши интересы от тотальных проблем в будущем, но лучше подстраховаться, чем в один прекрасный день получить 100500 сообщений от систем мониторинга о недоступности опекаемых клиентов. Статья демонстрирует, как скрыть от противодействия со стороны систем глубокого анализа трафика сервисы компании, доступ к бизнес-процессам которых обеспечивается посредством VPN, используя для этого туннели shadowsocks. https://habr.com/ru/articles/757848/

Запрет писать про VPN: реакция VPN-провайдера.

1 сентября 2023 года Минцифры опубликовало для общественных обсуждений текст предложения, по которому Роскомнадзор получит право вносить в реестр запрещённых ресурсов интернет-сайты, на которых размещается информация ‎о способах доступа к заблокированным на территории РФ ресурсам, иными словами — банить сайты со списками VPN, и с инструкциями по использованию Tor, созданию собственных VPN и прокси-серверов. Процесс общественного обсуждения инициативы Роскомнадзора продлится до 15 сентября.

Реакция Xeovo VPN, первые комментарии юристов и к чему Роскомнадзор ведёт Рунет на примере «подпольного» ВПН в Китае — в этой статье.

Читать далееhttps://habr.com/ru/companies/xeovo/articles/759048/