Csper Builder - Автоматическая генерация Content Security Policy

Csper Builder - расширение для Firefox, которое позволит автоматически сформировать CSP для вашего веб-ресурса, работая в фоновом режиме на базе ваших посещений различных страниц.

#web #tools #dev

Bug Bounty - how to

Интересное чтиво на выходные для менеджеров ИБ и ресерчеров, чей заработок напрямую зависит от щедрости компаний, на чьих ресурсах они находят уязвимости.

Six years of the GitHub Security Bug Bounty program
Про Bug Bounty от GitHub. Из интересного:
- Их программа недавно превысила 1 млн. долларов, более половина средств выплачена только за последний год,
- На H1-702 в Вегасе в августе прошлого года они выплатили исследователям более 155 000 долларов за одну ночь,
- Про обход OAuth с использованием HEAD-запросов

How we run our bug bounty program at Segment
Показательным является то, что Clint Gibler, директор по исследованиям в NCC Group и один из самых мощных людей, которые несли вклад в DevSecOps, назвал статью одной из лучших по части How to в Bug Bounty.

#bestpractice #dev #ops #attack

Top 10 security items to improve in your AWS account

Про каждый пункт можно найти в блоге AWS:
https://aws.amazon.com/ru/blogs/security/top-10-security-items-to-improve-in-your-aws-account/

#aws #bestpractice #ops

Inspektor Gadget’s Network Policy Advisor

Inspektor Gadget - это набор инструментов (или гаджетов) для разработчиков приложений Kubernetes. Не так давно вышла фича, позволяющая отслеживать и анализировать сетевой трафик на хостах, после чего автоматически генерировать политику. Все это с помощью BPF.

Подробнее:
https://kinvolk.io/blog/2020/03/writing-kubernetes-network-policies-with-inspektor-gadgets-network-policy-advisor/

#k8s #tools #ops

DevSecOps - Онлайн-мероприятия на апрель (не реклама)

С переходом на удаленную работу свободного времени больше не стало, но вдруг из вас есть машины, которые смогут успеть все посмотреть и поделиться интересным материалом...

Вечерняя школа Слёрм - вебинары по Kubernetes, начиная с 7 апреля по понедельникам и вторникам в 20:00. Курс дает основы Kubernetes с нуля, включая блок по Docker.

Cloud Security Online Meetup - 9 апреля 18:00 - Специалисты Яндекс.Облака будут говорить о том, как у них устроена разработка, какие проблемы возникают, как обеспечивается безопасный доступ к продуктивной среде

All The Talks – 15 апреля, бесплатная онлайн-конференция по DevOps с отдельным блоком Security при поддержке небезызвестных вендоров.

All Day DevOps– 17 апреля. Большая бесплатная конференция по DevOps будет проходить онлайн и включает в том числе блок DevSecOps.

DevOps 2020 - 21, 22 апреля, а в 14:05 - 21 числа в частности будут вещать парни из Unity - "Talk: Scaling DevSecOps to integrate security tooling for 100+ deployments per day", за ссылку спасибо @maximus169

Продуктовая безопасность: тренды 2020
21 апреля c 18:00 - про автоматизацию безопасной разработки и не только от Wrike, mail.ru, ЦИАН, Одноклассники

Если что пропустил, жду в лс.

#events

Service Control Policies Best Practices

Подробный пост с практическими рекомендациями Скотта Пайпера, посвященный тому, что такое Service Control Policies (SCP), распространенные ошибки, а также ряд примеров политик. Среди примеров - разрешение только утвержденных служб или регионов, запрет доступа root'а, отказ от возможности сделать VPC доступным из Интернета, защита security baseline.

https://summitroute.com/blog/2020/03/25/aws_scp_best_practices/

#aws #ops

Kissing Malware Attack

"Специалисты Aqua Security сообщают об атаках, начавшихся в последние несколько месяцев. Неизвестные злоумышленники сканируют сеть в поисках серверов Docker, использующих порты API, которые открыты для всех желающих, без паролей. Такие незащищенные хосты в итоге подвергаются компрометации: на них устанавливают майнинговую малварь под названием Kinsing."

Пост с Хакера.
Оригинальный пост с подробностями атаки

#docker #ops #attack

Безопасная разработка - подборка книг

Подписчиков за 3 месяца на канале стало заметно больше и уверен, что далеко не все успели отобрать для себя полезные книги отмеченные здесь как #literature. Самое время, чтобы вспомнить.

Безопасный DevOps. Эффективная эксплуатация систем - маст хэв для погружения в тему. Требует базовых знаний по DevOps и охватывает лишь небольшой стенд, но этого достаточно, чтобы повторить стенд у себя и разобраться, что к чему.

Agile Application Security. Enabling Security in a CD pipeline - отличная книга для погружения в организационные процессы. Можно заказать версию на русском языке.

DevOpsSec. Securing Software through Continuous Delivery - отличная вводная книга, где вы сможете прямо в PDF найти ссылки на различные инструменты и описание лучших практик

CSSLP - Certified Secure Software Lifecycle Profession - большой гайд для подготовки к экзамену от ISC2 по обеспечению безопасности SDLC.

Docker Security. Using Containers Safely in Production - обзор того, как защитить Docker

Kubernetes Security - обзор того, как защитить кластер

Epic Failures in DevSecOps. Volume 1 and 2 - если вы прочитали уже все книги, но у вас все равно куча вопросов, например, кто "вообще должен за все это отвечать", то книга может помочь ответить на некоторые вопросы

Building Web Apps that Respect a User’s Privacy and Security - про безопасность веба. Описание по ссылке.

#literature #dev #ops

"Building Secure & Reliable Systems. SRE and Security Best Practices"
Book Early Release
https://landing.google.com/sre/resources/foundationsandprinciples/srs-book/

HashiCorp Vault: Delivering Secrets with Kubernetes

Пример передачи учетных данных к базе данных из Vault в Kubernetes pod с помощью Vault Agent Side-car Injector. Демо-код.

https://medium.com/hashicorp-engineering/hashicorp-vault-delivering-secrets-with-kubernetes-1b358c03b2a3

#vault #k8s #ops

DoD Enterprise DevSecOps

Питер Рэнкс, заместитель ИТ-директора Министерства обороны по ИТ-предприятиям, сообщил, что DOD планирует представить сопроводительный документ к своему документу "DoD Enterprise DevSecOps
Reference Design," в котором будет изложено все - от концепций до инструментов, необходимых для выполнения современных практик разработки программного обеспечения.

С первой версией документа можете познакомиться во вложении.

#compliance #bestpractice #dev #ops

Stanford - Web Security

Курс Stanford по защите веб-приложений. Включает в себе видео, слайды курса, материалы для чтения и задания. Для практических упражнений курс предлагает проекты по написанию эксплойтов безопасности, защите небезопасных веб-приложений и внедрению новых веб-стандартов.

https://web.stanford.edu/class/cs253/

#web #dev #ops

Подкаст AppSec

Крутые ребята из Яндекса, Digital Security и Mail.ru создали подкаст, где обсуждают вопросы ИБ. В своем пилотном выпуске они решили начать с Bug Bounty. Всем рекомендую.

https://yangx.top/m1mo_croc

AWS IAM Access Analyzer in AWS Organizations

IAM Access Analyzer помогает понять, кто может обращаться к ресурсам, анализируя разрешения, предоставляемые с помощью политик для сегментов S3, ролей IAM, ключей KMS, функций Lambda и очередей SQS.

Для каждого анализатора вы можете создать зону доверия (учетную запись или всю организацию), которая поможет вам быстро определить, когда к ресурсам в вашей организации можно получить доступ из-за пределов вашей организации

Dive Deep into IAM Access Analyzer

#aws #ops

What I Learned Watching All 44 AppSec Cali 2019 Talks

Clint Gibler, директор по исследованиям NCC Group, посмотрел абсолютно все видео с AppSec Cali 2019 и написал большой пост по самым интересным для него темам. Все это подкреплено ссылками на видео и слайды источников. Очень много материала по выстраиванию процессов, а также упоминание различных фреймворков, что заслуживает внимания.

https://tldrsec.com/blog/appsec-cali-2019/

#bestpractice #talks #dev #ops

"Threat Modeling: Designing for Security." by Adam Shostack

Адам Шостак отвечает за моделирование угроз SDLC в Microsoft и является одним из немногих экспертов по моделированию угроз в мире. Он подробно описывает, как с самого начала встроить безопасность в проектирование систем и ПО, объясняет различные подходы к моделированию угроз, предоставляет методы, которые были проверены в Microsoft и предлагает практические советы, не связанные с каким-либо конкретным программным обеспечением, операционной системой или языком программирования.

#literature #threatmodeling #dev #ops

Интересная история о битве с Docker Registry от господина @sab0tag3d:

Я часто использую словарь уважаемого Бума (https://github.com/Bo0oM/fuzz.txt) для брута веб-директорий и поиска низковисящих багов.

В этот раз во время внешнего пентеста, я нашел директорию https://example.com:5000/v2/_catalog в которой был примерно следующий список:


{"repositories":["centos.6.10","centos_temp","example.com/jenkins","example.com/ubuntu16.04"]}

Выяснив, что это Docker API, я решил копнуть дальше и просмотреть, что этот может быть, и наткнулся на отличную статью https://www.notsosecure.com/anatomy-of-a-hack-docker-registry/
С помощью утилиты, упомянутой в статье, я скачал образ контейнера jenkins.

Внутри разработчики заботливо приложили sh-скрипт, наверное, для удобства:

$ cat start_point.sh
#! /bin/bash -e
mkdir -p /var/jenkins_home/.ssh
mv /usr/share/jenkins/ref/.ssh/id_rsa /var/jenkins_home/.ssh
chmod 600 /var/jenkins_home/.ssh/id_rsa


Я сразу обрадовался, что возможно нашел приватный ключ, и начал пробовать его использовать на всех хостах в сети, но безуспешно.
Но потом до меня дошло, что нужно заглянуть в директорию /usr/share/jenkins/ref/.ssh, (ну кому прийдет в голову класть в эту папку что-то кроме ключей).
Вот примерный список что там нашлось: Дополнительный набор приватных ssh-ключей, а также пароли от ssh к хостам, если вдруг что-то пойдет не так, тестовые пароли: от JIRA, BUGZILLA и кучи сервисов о назначении который я могу только догадываться.

Резюме от автора канала: Мораль этой истории должна быть понятна каждому,  registry и печень надо беречь с молодости.

Appsecco training course

На просторах твиттера начали появляться в большом количестве материалы от Appsecco. Это компания, которая занимается консалтингом по безопасности приложений и проведением тренингов (не в России). На фоне пандемии они собрали свои обучающие материалы в общедоступных репах. В частности вы найдете описание и сценарии атак на Kubernetes, Docker и способы защиты AWS и Azure с полезными ссылками.

Attacking and Auditing Dockers Containers and Kubernetes Clusters

Breaking and Pwning Apps and Servers on AWS and Azure

#practise #ops #attack