Я хочу рассказать о проекте по обучению безопасности, к созданию которого сам приложил руку (даже две) - https://hacktory.ai/

Сейчас там доступно два курса, которые можно попробовать бесплатно.

Первый, "Безопасность WEB", научит искать уязвимости и устранять их в различных аспектах и компонентах Web.

Второй, "Java Secure Programming", тоже основан на опыте пентестеров и призван научить делать ваши Java-приложения безопасными и надёжными. Этот курс продолжает развиваться и дополняться.

Первым 20 пользователям, кто пройдёт любую лабораторную работу и скинет в личку md5 от самого последнего флага в формате Имя лабы - md5(last_flag), я отправлю в ответ код, который позволит активировать доступ на месяц.

Если флаг кем-то уже был сдан, то следующему придётся добывать новый, а код активации выдаётся только один на человека.

Также есть канал @hacktory, где выкладываются анонсы и обучающие материалы.

Ну и буду рад любому фидбеку в личных сообщениях - @rusdacent.

Всем приятного обучающего времяпрепровождения! :)

Статья от этого же автора

Immutable Infrastructure
Reliability, consistency and confidence through immutability
https://medium.com/@adhorn/immutable-infrastructure-21f6613e7a23

📊 Немного бенчмарков Caddy v2 vs Nginx от Centmin Mod. Что тестировали, как и и чем - по ссылке на форуме. #caddy #nginx #напочитать

​​Разбираемся с Raft дальше

В этой статье описаны базовые вещи, а также даны ссылки на сопутствующие материалы.

Ну и ещё одна ссылочка на документацию вдогонку 😉

#raft

🔩 И немного о systemd-analyze security команде, и безопасности сервисов, запускаемых с помощью systemd - Using systemd features to secure services. #systemd #security #напочитать

Всем привет, мы на этой неделе не записывались, но приготовили вам сюрприз из нашего архива: офигенный выпуск с Yuriy Nasretdinov.

Тем временем приходите к нам в https://bit.ly/3bpP7QL тут можно обсудить выпуски, задать вопросы ведущим и предложить темы для следующих выпусков.
Если хотите прийти в гости пишите или оставить анонимный отзыв пишите сюда: @generictalks_bot

🎙Наш канал в YouTube - https://bit.ly/3cwXsmI
📹 Шоу с код ревью и кучей интересных советов - https://bit.ly/2zc2w1j (и Телеграм @good_bad_reviewer)
💵 Patreon - www.patreon.com/generictalks

https://soundcloud.com/generictalks/0024-arkhivnyi-vypusk-s-yuranom-yuriy-nasretdinov

Видеозаписи выступлений с таймкодами и презентации выступающих на митапе GOnline: https://proglib.io/w/4aaf3107

Офигенный материал, советую читать, даже если вы не знаете С. Это про io_uring интерфейс в Linux ядре для I/O операций.

https://unixism.net/loti

Чтобы обеспечить информационную безопасность, нужно множество рутинных действий: инвентаризация, мониторинг, проверка доступов, тесты, инвентаризация, контроль, мониторинг, логирование, инвентаризация и инвентаризация. В безопасности много инвентаризации. Почему так, что такое безопасность и с чего она начинается, на DevOpsConf рассказала Мона Архипова, а мы опубликовали текстовую версию этого доклада на Хабре.

💥P.S.: Мы приготовили огненную программу РИТ++ для расширения кругозора. Подойдет айтишникам самых разных направлений и уровней: и тем, кому важно всегда быть на технологической передовой, и тем, кто начинает путь от мидла до сеньора.

Security Chaos Engineering

В связи с увеличением числа упоминаний темы Chaos Engineering на просторах Интернета в последнее время, грех не поговорить о Security Chaos Engineering.

Сама по себе концепция хаос-инжиниринга основана на нескольких гипотезах - определение "стабильного" состояния, создания гипотезы о последующем состоянии, введение переменных, осуществление попыток "сломать" гипотезу. После серии тестов инфраструктура оценивается на предмет доступности, безопасности и производительности. Как итог цель всего этого - получить систему, способную выдерживать экстремальные условия.

Security Chaos Engineering выделяется лишь гипотезами, касающимися безопасности. Тесты могут состоять, например, из отключения правил Security Groups,  изменение файлов случайным образом, прослушивание портов, внедрение вредоносного трафика в VPC, случайное убийство процессов. При этом все это должно быть автоматизированно, а состояния системы должны непрерывно отслеживаться.

А теперь, где можно познакомиться подробнее:
Security Chaos Engineering for Cloud Services - про эксперименты, результаты и опыт взаимодействия с CloudStrike для реализации экспериментов

Building Secure Systems using Security Chaos Engineering and Immunity - Yury Niño Roa - за ссылку спасибо @tech_b0lt_Genona, у него же можете почитать в целом про chaos engineering

Security Precognition: Chaos Engineering in Incident Response - неплохой вводный доклад с RSA Conference

Инструменты для тестирования и контроля состояний среды в процессе тестирования:
ChaoSlingr, Security Monkey

​​This extension integrates Draw.io into #vscode

Features
- Edit .drawio or .dio files in the Draw.io editor, as xml or both.
- Edit .drawio.svg files with embedded Draw.io diagrams (might be slow for diagrams with > 400 nodes).
- To create a new diagram, simply create an empty .drawio or .drawio.svg file and open it!
.drawio.svg are valid .svg files.
- Uses an offline version of Draw.io by default.
- An online Draw.io url can be configured.
- A Draw.io theme can be selected.

https://github.com/hediet/vscode-drawio

#ts #docops

#python #кишки
Ну и раз уж астрологи объявили день потрохов, то вот еще классная статья(точнее перевод статьи) про интерпретацию Python'а(но ваще многое справедливо и для других интерпретируемых ЯП)

Certmagic — библиотека, позволяющая реализовать автоматический HTTPS для любой программы на Go: полностью управляемая выдача и обновление TLS-сертификатов.

https://proglib.io/w/fa361ed5

Флант опубликовал историю одной не очень обычной задачи, реализованной с помощью Helm-хуков: https://habr.com/ru/company/flant/blog/501424/

Спасибо читателям - принесли в личку вот такой вот бекдоор для Hyper-V
https://github.com/Cr4sh/s6_pcie_microblaze/tree/master/python/payloads/DmaBackdoorHv#hyper-v-backdoor

Безопасность облачных решений
26 мая 17:00 МСК

Программа и спикеры:

1. Антон Жаболенко, Яндекс.Облако – Использование seccomp для защиты облачной инфраструктуры
В докладе мы поговорим про seccomp — механизм ядра Linux, который позволяет ограничивать доступные приложению системные вызовы. Мы наглядно покажем, как данный механизм позволяет сокращать поверхность атаки на систему, а также расскажем, как его можно использовать для защиты внутрненней инфраструктуры облака.

2. Вадим Шелест, Digital Security –  Облачный пентест: Методики тестирования Amazon AWS
В настоящее время все больше компаний задумывается о переходе на использование облачной инфраструктуры. Некоторые хотят таким образом оптимизировать затраты на техническое обслуживание и персонал, другие считают, что облако более защищено от атак злоумышленников и безопасно по умолчанию.

3. Спикер из Wrike – TBA

4. Алмас Журтанов, Luxoft – BYOE на минималках
Проблема защиты персональных данных при использовании SaaS-решений уже долгое время беспокоит ИБ-специалистов по всему миру. Даже при максимальной защите от внешних нарушителей, возникает вопрос о степени контроля провоайдера SaaS-платформы над обрабатываемыми платформой данными. В этом докладе я хотчу рассказать о простом способе минимизировать доступ провайдера SaaS к данным клиентов путём внедрения прозрачного шифрования данных на стороне клиента и рассмотрим плюсы и минусы такого решения.

5. TBA 

Регистрация
https://wriketeam.timepad.ru/event/1303270/

Готовые примеры кода для быстрого решения повседневных задач на Go: https://proglib.io/w/6d6ee310