Cybershit

Пятничный подгон — как быстро и безопасно управлять переменными окружения на macOS с помощью keychain.
По сути там уже все есть, нужно только добавить обертку.

Делаем раз:

tee ~/keychain-env.sh <<'EOF'
function keychain-env-read () {
    security find-generic-password -w -a ${USER} -D "environment variable" -s "${1}"
}
function keychain-env-add () {
    [ -n "$1" ] || print "Missing environment variable name"
    read -s "?Enter Value for ${1}: " secret
    ( [ -n "$1" ] && [ -n "$secret" ] ) || return 1
    security add-generic-password -U -a ${USER} -D "environment variable" -s "${1}" -w "${secret}"
}
EOF

Два:
echo -n 'source ~/keychain-env.sh' >> ~/.zshrc

Три:
source ~/.zshrc

Теперь взмахом руки можно добавлять переменные окружения в ваш keychain и вычитывать их оттуда.

keychain-env-add AWS_ACCESS_KEY_ID

export AWS_ACCESS_KEY_ID=$(keychain-env-get AWS_ACCESS_KEY_ID);

полный сниппет тут

Все уже успели перевели свои Google-аккаунты на Passkey?

С сегодняшнего дня это официальный способ аутентификации для Google и огромный шаг к будущему без паролей 🔐

включать тут > https://myaccount.google.com/signinoptions/passkeys

Blog > https://blog.google/technology/safety-security/the-beginning-of-the-end-of-the-password/

🐐 Kubernetes Goat — наверное самый популярный проект для изучения безопасности Kubernetes.

Круто, что благодаря сообществу они продолжают развивать и добавлять новые сценарии. Например недавно добавили лабы для изучения Cilium Tetragon и Kyverno.

Большинство сценариев простые, зато их уже более 20 штук, поэтому для общего понимания очень даже.

> https://madhuakula.com/kubernetes-goat/
> https://github.com/madhuakula/kubernetes-goat

Неплохие площадки для экспериментов с docker и kubernetes, если лень разворачивать лабы и разбираться с админской частью.

https://labs.play-with-docker.com/
https://labs.play-with-k8s.com/

Есть и песочницы и отдельные таски, где можно подтянуть темы, которые вы давно откладывали, например как работают linux capabilities или seccomp профили

Говорят, чтобы пойти работать джун аппсеком достаточно научиться разворачивать какую-нибудь oauth proxy перед своими критическими сервисами.

Согласны? Узнали? Какая ваша любимая? 🫠

Советую как будет время глянуть вчерашний ИБ-митап Яндекса, достаточно интересные и разные темы. Cразу спойлер — про слив упомянули, но ничего не рассказали, обещали потом.

А вообще парням большой респект за то, что несмотря на то, что происходит в мире российского ИБ, они просто рассказывают важные и интересные вещи о том, как можно и нужно делать ИБ, без какого-либо продающего контекста (ну если только чуть-чуть). Ну и в опенсорс коммитят конечно же 🙂

Все доклады классные, просто бери обводи и обновляй свои ИБ планы на 2023-2024 года.

00:04:13 Про DevSecOps в Яндекс.Облаке, немного продающий облако, но затрагивающий лучшие практики о том, как построить процессы ИБ в финтехе и не только.

01:10:15 Про выстраивание и автоматизацию процессов безопасности, экономию времени на ревью доступов, взаимодействия между командами и пр. Оч крутые кейсы для внедрения в любой организации.

01:38:32 Про организацию безопасного удаленного доступа до инфраструктуры, тут больше понравилась вторая часть, которая реально затрагивает большинство проблем при внедрении решений типа Teleport или Boundary.

А вы знали, что OpenSSH на macOS позволяет пасс-фразы от ваших ssh-ключей добавить в keychain, чтобы автоматом подтягивать их при подключении?

Делаем:

ssh-add --apple-use-keychain ~/.ssh/[priv-key]

И подключаем в конфиге агента ~/.ssh/config:

Host *
  UseKeychain yes
  AddKeysToAgent yes
  IdentityFile ~/.ssh/id_rsa

Готово, вы сэкономили немного своего времени на ввод passphrase.

Если ключей несколько, то агент по имени ключа будет доставать нужную фразу.

P.S На старых версиях MacOS команда чуть отличается, вот тут подглядите.

Ну а теперь похоливарим за безопасность такого метода, особенно если у вас включен iCloud sync? 🤪

Понял тут, что не рассказывал о trufflehog, наверное лучшем на сегодншний день решении для поиска секретов. SSH и API ключи, пароли к бд, токены, облачные учетные данные и многое другое. Там уже 700 детекторов/регулярок, причем для некоторых есть сразу автоматическая проверка. Нашли например креды к AWS или GCP, нажали кнопочку и trufflehog любезно постучал в нужную апишку для валидации.

Еще помимо привычных множественных сканов репозиториев, есть возможность поиска по файловой системе и даже s3 бакетам. Бонусом можно скачать плагин для браузера чтобы и по JS пройтись.

Короче, мастхев для безопасности ваших пайплайнов и обнаружения секретов, которые кто-то случайно забыл положить куда следует или удалить. Ну или не случайно 😏

> https://github.com/trufflesecurity/trufflehog

Пссс, завезем немного движа в ИБ?

Давно вынашивал идею закрытого сообщества для безопасников, где можно было бы черпать экспертизу, обмениваться опытом, получать актуальную информацию и просто общаться с крутыми и интересными людьми.

Почему закрытого? Потому что сами знаете специфику нашего направления, когда далеко не все готовы обсуждать многие вещи публично. Но согласитесь, у многих есть опыт, которым можно поделиться и который может быть очень полезен. Мне кажется закрытый формат может хотя бы частично эту проблему решить.

В общем, не буду ходить вокруг да около, сейчас я на этапе проверки гипотезы поэтому очень хочется получить от вас обратную связь.

Основную идею постарался изложить тут > https://cyfeed.co

Если вам было бы интересно поучаствовать в таком, можете оставить там свой email, это поможет мне понять на сколько такой формат откликается в ИБ.

А тут будут анонсы и внутрянка, чтобы понять на каком этапе сейчас проект > @cyfeed

P.s говорят с понедельника можно начать новую жизнь, проверим на примере сообщества 👨‍💻

Я снова пропал, но тут такая новость сегодня, что нельзя было не поделиться — поддержка Passkeys теперь официально доехала до Google Chrome (Chrome Stable M108 если быть точным).

На всякий случай Passkeys — это инициатива альянсов FIDO и W3C по разработке стандарта аутентификации без использования паролей, которые являются занозой в заднице в современном мире: утечки, брутфорс, сменяемость, желание написать его на листочке и приклеить к монитору и пр.

Короче крутые чуваки собрались как-то, подумали и изобрели WebAuthn. Потом инициативу поддержали Apple, Google и Microsoft, обернули это в Passkeys и вот он, продукт который можно внедрять и нести людям (многие уже давно принесли даже, только Google опаздывает).

Короче, со стороны поддержки клиентов кажется все готово, осталось, чтобы технологию начали чаще внедрять уже на стороне приложений и, кажется, сегодня эра passwordless стала намного ближе.

P.s проблема паролей постепенно уходит, приходит проблема социальной инженерии через openai.

Аминь.

- - -

Новость про passkey в Chrome > https://blog.chromium.org/2022/12/introducing-passkeys-in-chrome.html
Почитать подробнее > https://www.passkeys.io
Потестить как это работает > https://webauthn.io/

Вопрос который меня в последнее время сильно волнует. Будет очень круто если поучаствуете анонимно.

Если вы еще не касались истории с импортозамещением — игнорируйте (хотя предположу, что коснулось многих).

Собственно вопрос ↓

Наверное лучший роадмап по сертификациям в ИБ, отсортированный по направлениям и уровню сложности.

В очередной раз в этом убедился.

> https://pauljerimy.com/security-certification-roadmap/ <

p.s выглядит это конечно страшно, но что не сделать ради многострочного статуса в Linkedin, да? 😁

Там в либе Apache Commons Text нашли уязвимость, позволяющую выполнять удаленное выполнение кода — CVE-2022-42889.

Но несмотря на CVSS 9.8, уязвимость затрагивает только несколько методов, связанных с интерполяцией данных, что в целом выглядит не так критично.

Поискать в коде можно по:
StringLookupFactory.INSTANCE.interpolatorStringLookup().lookup()
или
StringSubstitutor.createInterpolator().replace()

В любом случае возьмите на вооружение и если лень читать код просто пропатчите либы до новой версии 1.10, благо она уже вышла.

Уязвимость затрагивает версии Apache Commons Text 1.5–1.9.

Reports:
https://www.rapid7.com/blog/post/2022/10/17/cve-2022-42889-keep-calm-and-stop-saying-4shell/
https://securitylab.github.com/advisories/GHSL-2022-018_Apache_Commons_Text/
https://vulners.com/rapid7blog/RAPID7BLOG:F7BA3352D40FAE34A5EC64E58595ED85
https://blog.aquasec.com/cve-2022-42889-text2shell-apache-commons-vulnerability

Если моделирование угроз (threat modeling) у вас тоже вызывает боль, либо это увлекательное занятие вам только предстоит, попробую сэкономить вам несколько десятков часов вашего времени и просто порекомендую начать с > https://shellsharks.com/threat-modeling

И неважно делаете вы модель угроз для приложения или инфраструктурного компонента. А еще пришла в голову мысль, что доступ к таким материалам при пентесте может сильно ускорить процесс получения результата :) Удачи!

Никогда не забуду свою первую... ⛔️

Google опубликовала очень стильный проект H4CK1NG.GOOGLE (фактически GoogleCTF 22) с набором своих новых челленджей по разным направлениям, каждое из которых сопровождается крутейшими видео-историями.

Если вдруг заскучали после рабочего понедельника, можно провести вечер с пользой. В случае ступора можно сходить в дискорд проекта за подсказками или writeups — это уже для совсем ленивых :)

Are you ready? [Y/N]

https://h4ck1ng.google

Playlist > https://www.youtube.com/playlist?list=PL590L5WQmH8dsxxz7ooJAgmijwOz0lh2H

В новой iOS 16 появился бекдор фича Rapid Security Responses, позволяющая патчить iPhone и аксессуары не дожидаясь обновления ОС. Должна включаться автоматом при обновлении на новую ОС.

Идея с точки зрения ИБ конечно прикольная, но усложнит жизни любителям джейблрейка.

Channel name was changed to «Cybershit»

Если вы находитесь в поиске бюджетного инструмента для решения проблемы с паразитивным бот-трафиком, и у вас нет свободных финансов для приобретения какого-нибудь Cloudflare, можно посмотреть в сторону вот этих ультимативных репок для прокачки ваших Nginx или Apache.

Настроенный веб-сервер под ключ одной кнопкой (почти). Ну либо если вам нужен какой-то докрученный кастом, то придется курить доки и конфиги из репы.

https://github.com/mitchellkrogza/nginx-ultimate-bad-bot-blocker
https://github.com/mitchellkrogza/apache-ultimate-bad-bot-blocker