Шпаргалка по безопасной сборке Docker-образов

Каждый контейнер Docker основан на образе, который обеспечивает базу для всего, что вы когда-либо будете развертывать и запускать. Если злоумышленник как-то повлияет на сборку образа и изменит Dockerfile, то сможет совершить навредить вашим системам. Например, добавить вредоносный код, получить доступ к секретным данным сборки или атаковать хост-компьютер. Поэтому защита начинается уже во время подготовки образа, с первой инструкции.

Привет, Хабр! Меня зовут Эллада, я специалист по информационной безопасности в Selectel. Продолжаю рассказывать о безопасности в Docker. Под катом расскажу, как настроить сборку образов, обеспечить безопасность и добавить сканирование в пайплайн. https://habr.com/ru/companies/selectel/articles/813047/

Kube No Trouble (репозиторий GitHub)
Kubent — это инструмент для проверки того, использует ли кластер Kubernetes устаревшие API. Его можно запускать в конвейерах CI/CD или вручную.
https://github.com/doitintl/kube-no-trouble

BurpScript (репозиторий GitHub)
BurpScript добавляет в Burp Suite возможности динамического написания сценариев, позволяя вам писать сценарии на Python или Javascript для управления HTTP-запросами и ответами.
https://github.com/ivision-research/burpscript

Руководство по защите удаленного доступа с помощью ключей SSH

Пошаговое руководство по защите ваших SSH-соединений с помощью аутентификации на основе ключей SSH https://infosecwriteups.com/a-guide-to-securing-your-remote-access-using-ssh-keys-84b48097f3bf

3 самые простые ошибки, которые вы можете найти прямо сейчас [гарантировано]

https://systemweakness.com/3-easiest-bugs-that-you-can-find-right-now-guarantied-71ef89efd1a7

Файл LNK, замаскированный под сертификат, распространяющий вредоносное ПО RokRAT (5 минут чтения)
Аналитический центр безопасности AhnLab выявил северокорейскую кампанию, нацеленную на южнокорейцев, с помощью вредоносного файла LNK. Файл распространяет загрузчик вредоносной программы RokRAT C2. В этой статье подробно рассматривается загрузчик и IoC для кампании.

Разоблачение Tycoon 2FA: скрытый набор для фишинга, используемый для обхода Microsoft 365 и Google MFA (7 минут чтения)
Tycoon 2FA — это платформа «фишинг как услуга», которая недавно была обновлена ​​для повышения эффективности предотвращения обнаружения. Инструментарий опирается на то, что жертвы вводят свою информацию в инфраструктуру, контролируемую злоумышленниками. После запроса MFA файлы cookie сеанса передаются злоумышленнику. В этой статье представлены некоторые реальные примеры и способы защиты.

Использование туннелирования DNS для отслеживания и сканирования (13 минут чтения)
В этом сообщении блога описывается техника атаки DNS-туннелирования, которая позволяет злоумышленникам скрывать и передавать данные через DNS-трафик. Злоумышленники могут использовать DNS-туннелирование для отслеживания действий пользователей и связи со скомпрометированными хостами. Организации могут эффективно обнаруживать и смягчать кампании по туннелированию DNS, анализируя такие показатели, как домены и IP-адреса.

🔒Внимание специалистов по кибербезопасности. Вышла общая система оценки уязвимостей (CVSS) v4.0, которая заменила 8-летнюю версию CVSS v3.0. Узнайте, как это обновление улучшает оценку уязвимостей и помогает повысить вашу киберустойчивость. https://www.first.org/cvss/v4-0/

Arcjet помогает разработчикам защитить свои приложения всего за несколько строк кода. Внедрите ограничение скорости, защиту от ботов, проверку электронной почты и защиту от распространенных атак.

https://github.com/arcjet/arcjet-js

SignSaboteur — это расширение Burp Suite для редактирования, подписи и проверки различных подписанных веб-токенов.

https://github.com/d0ge/sign-saboteur

Освоение безопасного CI/CD для ECS с помощью действий GitHub

https://dev.to/suzuki0430/building-a-secure-cicd-workflow-for-ecs-with-github-actions-gde

Безопасность JavaScript: простые методы защиты вашего интерфейса

https://dev.to/buildwebcrumbs/javascript-security-simple-practices-to-secure-your-frontend-18ii

Критическая ошибка, приводящая к DoS, RCE и утечкам данных на всех основных облачных платформах (3 минуты чтения)
Исследователи обнаружили серьезную уязвимость, связанную с повреждением памяти, получившую название «Linguistic Lumberjack» в Fluent Bit, утилите облачного ведения журналов с открытым исходным кодом, которую скачали более 3 миллиардов раз и широко используют крупные организации и поставщики облачных услуг, такие как AWS, Microsoft и Google Cloud. Эта уязвимость потенциально делает возможным отказ в обслуживании, утечку данных и удаленное выполнение кода в облачных средах.

https://www.darkreading.com/cloud-security/critical-bug-dos-rce-data-leaks-in-all-major-cloud-platforms

Слежка через пуш-уведомления на смартфонах

Недавно стало известно о новом виде слежки за пользователями смартфонов: через пуш-уведомления в iOS и Android. Газета Washington Post написала, в частности, что эту тактику начало использовать ФБР (кэш статьи).

Довольно интересно, как работает такой метод выслеживания.

Согласно расследованию, для идентификации пользователей ФБР запрашивает у компаний Apple и Google данные пуш-уведомлений, так называемые «пуш-токены» (push token). Эти данные можно запрашивать без предъявления ордера. С помощью пуш-токенов можно идентифицировать конкретный смартфон, а потом запросить у компании данные о его владельце.

https://habr.com/ru/companies/globalsign/articles/815425/

Как защитить ваше приложение Django — лучшие практики и примеры кода

В этом руководстве мы обсудим некоторые лучшие меры безопасности для безопасного проекта Django перед следующим развертыванием.

https://www.freecodecamp.org/news/how-to-secure-your-django-app

Тонкая настройка Semgrep для Ruby Security: Pundit и SQL-инъекция

https://blog.siddarthadukia.com/2024/03/30/securing-rails-pundit.html

SSL для локального хоста теперь занимает 5 секунд.

https://dev.to/cheeselemon/ssl-in-localhost-takes-5-seconds-now-460i

Сборник ресурсов по проектированию, внедрению и эксплуатации средств обнаружения с целью упреждающего выявления вредоносной или несанкционированной деятельности.

https://github.com/infosecB/awesome-detection-engineering

Утечка учетных данных при захвате поддомена (6 минут чтения)
Команда Truffle Security подробно рассказывает о том, как можно злоупотребить localStorage при захвате поддомена. Они обнаружили уязвимость захвата субдомена на Readme.io, которая может позволить злоумышленнику скомпрометировать любые учетные данные, введенные на исходной или скомпрометированной странице.

https://trufflesecurity.com/blog/credentials-leaking-with-subdomain-takeover

Prowler — это инструмент безопасности с открытым исходным кодом для AWS, Azure, GCP и Kubernetes, предназначенный для проведения оценок безопасности, аудита, реагирования на инциденты, соблюдения требований, непрерывного мониторинга, усиления защиты и готовности к криминалистической экспертизе. В него входят CIS, NIST 800, NIST CSF, CISA, FedRAMP, PCI-DSS, GDPR, HIPAA, FFIEC, SOC2, GXP, Well-Architected Security, ENS и другие. https://github.com/prowler-cloud/prowler

Тщательно подобранный список методов и инструментов для атаки и защиты конвейеров CI/CD.

https://github.com/TupleType/awesome-cicd-attacks