Taint Tracking, перевод статьи про Pysa и экспериментальный функционал Semgrep.

Только сейчас нашел перевод на Habr статьи про Pysa, которую я публиковал недавно. Напомню, что Pysa - статический анализатор от Facebook для Python проектов. Pysa представляет из себя модуль для open source проекта Pyre, который также, как и в CodeQL, позволяет описывать свой data flow с помощью taint tracking.

Taint tracking - это механизм отслеживания taint data - так называемых "испорченных" данных. Это данные, которые поступили на вход (как правило от клиента), прошли через написанный разработчиками код и попали в небезопасную функцию, что в свою очередь породило уязвимость. Описывается taint tracking везде через Source и Sink. Пример того, как это работает в CodeQL, можно увидеть на скриншоте. Здесь ищется код, в котором данные, передаваемые пользователем, через proces.argv попадают в fs.readFile(). Конструкция Taint Tracking является одной из самых популярных в CodeQL. На этом же механизме построен анализ данных в Pysa.

В документации Semgrep также недавно появилась страница с описанием taint tracking в качестве экспериментальной фичи в Python. Это должно значительно сократить объем необходимых правил для поиска багов и увеличить процент покрытия.

#sast #dev

Automating Kubernetes Security Reporting with Starboard Operator

В июне я писал об инструменте Starboard, который предоставляет возможность интегрировать такие инструменты, как trivy, kubebench, kubehunter через CustomResourceDefinitions (CRDs). Недавно Aqua внедрила фичу, позволяющую запускать сканирование trivy (либо Aqua CSP для владельцев энтерпрайз решения) по мере появления новых подов и автоматически формировать отчеты об уязвимостях через их собственные операторы PodController и JobController.

Статья + видео:
Automating Kubernetes Security Reporting with Starboard Operator by Aqua

Статья про Starboard и его сценарии использования:
Starboard: The Kubernetes-Native Toolkit for Unifying Security

#k8s #ops

Презентация Container Security: эволюция атак в 2020 году.

Тем временем на сайте DevOpsFest 2020 выложили презентацию с моего доклада по атакам на контейнеры (+ некоторые мысли по защите).

#k8s #docker #attack #ops

Deep Dive into Real-World Kubernetes Threats

В продолжении хочу порекомендовать доклад "Command and KubeCTL: Real-World Kubernetes Security for Pentesters", а также крутую статью от этого же автора "Deep Dive into Real-World Kubernetes Threats". Этот материал поможет как пентестерам, кто осваивается в безопасности k8s, так и тем, кто эту безопасность выстраивает.

Ссылка на демо.

Ссылка на слайды доклада.

+ Для тех, кто погружается в тему атак, я проставил ко всем релевантным постам хештэг #attack

#k8s #docker #ops

A Methodology for Penetration
Testing Docker Systems

Нашел неплохой документ от января этого года, собирающий все основные моменты по тестированию безопасности приложения в Docker.

#docker #literature #attack #ops #dev

Security Scorecard for Open Source Projects

Open Source Security Foundation выпустила инструмент под названием Security Scorecard. Основная цель инструмента - автоматизировать анализ и процесс принятия решений об использовании open-source проектов на GitHub. Запускается инструмент довольно просто:
./scorecard --repo=github.com/kubernetes/kubernetes

После этого Scorecard выполняет набор проверок, например:

- Есть ли в проекте политика безопасности?
- Использует ли проект статические анализаторы кода (например, CodeQL)?
- Использует ли проект OSS-Fuzz?
- Был ли новый релиз и коммит за последние 90 дней?
- Подписываются ли релизы?
- Являются ли контрибьютеры членами разных организаций?
- и другие проверки.

Каждая проверка оценивается по 10-бальной шкале уверенности. 0 - невозможно получить сигнал, 10 - инструмент уверен в результате.

#dev

Обнаружилась несостыковка в прикрепляемом файле. Файл заменил на релевантный.

#dev #ops #docker #attack

Announcing Curiefense: An Open-Source Security Platform

На этой неделе произошло сразу несколько интересных анонсов. Сегодня начнем с первого из них.

Curiefense - open-source инструмент, дополняющий функционал Envoy-прокси WAF, Bot Management, rate-limit, anti-DDoS и другими фичами. Инструмент создан компанией Reblaze, которая разрабатывает коммерческие решения для защиты веб-трафика в Cloud Native среде.

Есть вариант деплоя через docker compose и helm, в случае если вы используете Istio. Настройки системы, сигнатур и логов доступны через веб-морду решения. Также используются метрики Prometheus и дашборд Grafana.

- Документация.
- Репо на GitHub.

#ops #waf #k8s

Announcing OpenCSPM - An Open-Source Cloud Security Posture Management and Workflow Platform

Следующий анонс. OpenCSPM - open source платформа от компании Darkbit, представляющая из себя, как уже понятно по названию, cloud security posture management. Решение анализирует AWS и GCP на предмет несоответствия заданным политикам безопасности. Обещают,что скоро появится поддержка k8s. Из аналогов сейчас CloudSploit, ScoutSuite, Security Monkey.

Авторы OpenCSPM также являются разработчиками open source инструментов mkit (поиск мисконфигурации k8s), и aws-recon (сбор и анализ ресурсов AWS для аудита безопасности). Darkbit, в свою очередь, предоставляет консалтинг по безопасности облаков и ведет неплохой блог. Им же принадлежит статья про Falco bypass.

#aws #gcp #ops

Pentest in Docker, Secure Gitlab pipeline and Archdays 2020

Пришло время следующего анонса. 20 ноября мы с Пашей Канн (@shad0wrunner) выступаем на Archdays 2020, где покажем сценарий атаки на приложение в Docker. Специально для конференции мы подготовили репо Pentest-In-Docker, где вы можете самостоятельно шаг за шагом (которые детально описаны в readme) повторить эксплуатацию уязвимости. Есть вариант на русском.

Сценарий предполагает следующие шаги:
- Эксплуатация RCE в Bash (Shellshock)
- Повышение привилегий до root в контейнере через pip
- Создание своей ubuntu с ssh через docker.sock
- Смена контейнера и создание рута на хосте
- Побег из контейнера
- Развертывание Weave Scope для захвата инфры

Для реализации достаточно иметь виртуалку с docker на базе linux.

Образ также может быть использован для пилотирования коммерческих и не очень решений по Container Security, чтобы посмотреть, как они обнаруживают вредоносные действия. Паша, в свою очередь, покажет на воркшопе, как развернуть Gitlab с встроенными проверками Hadolint, Trivy и Dockle. Репо с пайплайном также есть уже на Github.

Вот, кстати, промо-код на скидку -50% для регистрации: DevSecOpsWine

https://archdays.ru/speakers/#track-bezopasnost-v-raspredelennyh-sistemah

#ops #docker #talks #attack

10 React security best practices

Небольшой даташит для разработчиков и appsec.

https://snyk.io/blog/10-react-security-best-practices/

UPD: Вот туда же в копилку: Три типовых ошибки в сфере безопасности, о которых должен знать каждый React-разработчик

#dev

Securing microservice APIs

Не так давно начал читать книгу Microservices Security in Action. Очень понравилась структура и подход к описанию. Есть и архитектура и сэмплы. Пока гуглил отдельные моменты, наткнулся на книгу Securing microservices API.

Содержание:
Microservice Architecture
- The Microservice API Landscape
- API Access Control for Microservices
- Microservice Architecture Qualities
Access Control for Microservices
- Establishing Trust
- Network-Level Controls
- Application-Level Controls
- Infrastructure
- Emerging Approaches
A General Approach to Microservice API Security
- Common Patterns in Microservice API Security Solutions
- Domain Hierarchy Access Regulation for Microservice
- Architecture (DHARMA)
- DHARMA Design Methodology
- A Platform-Independent DHARMA Implementation
- Developer Experience in DHARMA
Conclusion: The Microservice API Security Frontier

#ops #literature

Announcing the Cloud Native Security White Paper

CNCF Security Special Interest Group (SIG) недавно выпустила Cloud Native Security Whitepaper, представляющую из себя сборник лучших практик по части безопасности cloud native. Основная аудитория - CTO и CISO, поэтому с одной стороны, если посмотреть на оглавление, очень много затронутых тем (SSDL вместе с разными способами тестирования, защита артефактов, run-time безопасность, контроль доступа, моделирование угроз), c другой стороны очень мало конкретики. Около 40 страниц текста, на каждый пункт в среднем абзац. Поэтому, документ может стать хорошей отправной точкой для погружения в тему за короткий промежуток времени.

#dev #ops

AppSec & DevSecOps Jobs

Спрос на AppSec специалистов растет, а следом растет и спрос на тех, кто понимает и умеет в DevSecOps. По этой причине экспериментально запустил канал @appsec_job, где будут публиковаться вакансии по AppSec и DevSecOps. Главное условие - наличие зарплатной вилки. Есть также не RU сегмент. По всем размещениям писать ГлавРеду этого канала @nsemkina.

#talks #dev #ops

illuminatio - The kubernetes network policy validator

illuminatio - утилита для проверки и тестирования Network Policies. Как только вы запускаете illuminatio clean run, инструмент выполняет проверки сетевой доступности согласно написанным сетевым политикам. Для этого генерируется ряд дополнительных ресурсов, включая DaemonSet illuminatio. Ресурсы удаляются сразу после выполнения тестов. Инструменту требуется root, SYS_ADMIN, allowPrivilegeEscalation: true. Судя по issues на текущий момент поддерживается только TCP.

#ops #k8s

DevSecOps Courses

В преддверии черной пятницы прилетает куча разных предложений с курсами от индусов. Кроме того, люди нередко пишут в лс с вопросами, с чего начать. Я курсов не проходил, но есть несколько, которые на мой взгляд выделяются на фоне остальных.

Kubernetes CKS 2020 Complete Course + Simulator - курс по безопасности Kubernetes. Стоит 100 евро, но вместе с ним идет симулятор для подготовки к абсолютно новой сертификации Certified Kubernetes Security Specialist. Попробовать симулятор и порешать кое-какие задания можно бесплатно.

Practical DevSecOps Training and Certification - достаточно популярная платформа для погружения DevSecOps с более или менее адекватной программой. У них также есть несколько открытых уроков по безопасности Docker. Также они ведут Awesome Threat Modeling. Сейчас есть некоторые скидки.

#dev #ops