S.E.Book

🪨 Все по песочницам! • Представьте, что вам нужно запустить некоторый процесс Linux в изолированной среде. Так, чтобы он не смог нанести вред системе, на которой запускается. Какие инструменты мы используем в таких случаях? Первое, что приходит в голову, это технологии виртуализации или контейнеризации. Но что, если нам нужно что-то более легковесное и простое в использовании? Bubblewrap — это утилита командной строки, которая является одним из проектов сообщества Containers (знаменито авторством таких инструментов, как Podman, Buildah, Skopeo и др.). • Когда может быть полезен: ➡Невысокие требования к изоляции процесса и системы; ➡Недопустимы накладные расходы как у более сложных средств изоляции; ➡Тестирование (поведения) программы в разных условиях эксплуатации; ➡Запуск программ/скриптов/кода, полученных из ненадежных источников; ➡Лимитирование расхода ресурсов для отдельно взятого процесса; ➡Изменение структуры файловой системы для запускаемого процесса. • Стоит сказать, что bubblewrap — это не то ПО, которое предоставляет готовую "песочницу" с определенной политикой безопасности. В некоторых вариантах использования bubblewrap требуется граница безопасности между изолированной средой и реальной системой; в других вариантах использования требуется возможность изменять расположение файловой системы для процессов внутри изолированной среды, но не ставится цель создания границы безопасности. В результате уровень защиты между изолированными процессами и хост-системой определяется аргументами, передаваемыми bubblewrap. • Таким образом, используя аргументы командной строки, вы сами определяете уровень изоляции запускаемого процесса. При этом под капотом Bubblewrap использует стандартные средства Linux, которые не требуют повышения привилегий пользователя: chroot, clone, seccomp, cgroups, landlock. • Основные плюсы: ➡Не требуются root-привилегии; ➡Изолирует работу только одного процесса; ➡Может использоваться для изоляции приложений с графическим UI; ➡Предоставляет большой спектр настроек лимитирования; ➡Простая установка и использование; ➡Низкие накладные расходы на изоляцию. • Основной минус — это то, что ограничение на ресурсы системы устанавливаются только с использованием cgroup. Это значит, что для полноценной работы bwrap в Docker/Kubernetes-контейнере последний придется запустить в privileged-режиме! ➡️ https://github.com/containers/bubblewrap • Дополнительно: • Firejail — гибкий и мощный инструмент изоляции, который не просто контролирует доступ к файловой системе, а полностью отрезает приложение от основной системы с помощью механизма Linux Namespaces. Подробнее тут: https://t.me/it_secur/1053 #Linux #Песочница

• Немного оффтопа: Вы что-нибудь слышали про Apple Pippin? Нет? Дело в том, что в 1996 году компания из Купертино предприняла попытку экспансии на рынок игровых приставок с этим проектом, — как вы уже догадались, провальную. • Исходная идея казалась вроде бы здравой: настольную персоналку путем несложного инженерного колдунства вполне можно превратить в игровую платформу, рынок которых выглядел весьма перспективным. За основу взяли железо от Macintosh Classic II, а технологическим партнером Apple, взявшимся превратить «мак» в консоль, стала японская фирма Bandai. Так на свет появился Apple Pippin. • Однако померяться пиппинами с корпорацией Sony и ее PlayStation, с помощью которой японцы буквально гребли деньги экскаваторами, не получилось. Несмотря на то, что приставка работала под управлением Mac System 7, игры для нее выпускала только сама Bandai, и их ассортимент был весьма скуден. Консоль стоила 599 баксов, против $300, которые просила Sony за «плойку». В результате столь мудрой ценовой и маркетинговой политики Apple удалось продать всего лишь 12 000 приставок в США и 42 000 — по всему миру, в то время как PlayStation разошлась 102-миллионным тиражом. Осознав всю бесперспективность дальнейших попыток завоевать рынок игровых консолей, в 1997 году Apple свернула проект. ➡️ https://lenta.ru/articles/2017/06/23/pippin/ #Разное #Оффтоп

• Нашел бесплатный и объемный курс для изучения Linux, который рассчитан на изучение в течении месяца. Включает в себя практические задания, теоретический материал и множество дополнительный ссылок на различные ресурсы в качестве дополнения. • Начинающим будет хорошей тренировкой, а опытные специалисты могут проверить - хорошо ли они помнят аспекты работы с Linux. Единственный минус - курс написан на английском языке. Если у вас с этим трудности, то воспользуйтесь chatgpt и deepl. ➡️ https://linuxupskillchallenge.org ➡️ https://github.com/livialima/linuxupskillchallenge ➡️ https://theleo.zone/posts/linux-upskill/ #Курс #Linux

Вебинар «SAST-анализатор нового поколения AppSec.Wave» Классические SAST-сканеры отличаются сложностью в использовании - дают множество неточных результатов и работают медленно. Это усложняет работу команд разработчиков, снижая общую продуктивность AppSec-инженеров из-за массы ложных сработок. В результате технический долг только растет, а риски увеличиваются. AppSec.Wave быстро и качественно детектирует угрозы безопасности в исходном коде приложения и предоставляет отчеты в форматах sarif, JSON, HTML или pdf. Легко встраивается в процессы непрерывной интеграции и развертывания (CI/CD). Разберем на вебинаре: ▶️ Чем полезен AppSec.Wave ▶️ Схему работы инструмента ▶️ Как максимально эффективно интегрировать сканер в процесс разработки безопасного ПО ▶️ Практические примеры применения AppSec.Wave Кому будет полезно? — CISO — AppSec-инженеры — CTO/CDO — Специалисты по информационной безопасности Спикеры: — Антон Прусак, руководитель продукта AppSec.Wave, AppSec Solutions — Владислав Фефелов, директор по работе с партнерами AppSec Solutions ➡️ Регистрируйтесь и готовьте свои вопросы. #реклама О рекламодателе

• Возможно, вы не знали, но в Великобритания требует от каждой семьи, которая пользуется телевизором, приобретать лицензию (фото 1) на эту привилегию. Появившаяся в 1923 году после принятия Закона о беспроводной телеграфии лицензия требовалась всем, кто пользовался радиоприёмниками. В 1946 году под лицензирование попало и телевидение. Средства, собираемые с граждан, используются в качестве основного источника финансирования Британской общенациональной общественной телерадиовещательной организации. Если коротко, то BBC. • Да, вы всё правильно поняли. Каждая семья, слушающая радио или смотрящая телевидение, должна пойти на почту, заплатить деньги и приобрести эту лицензию. Почтовая служба автоматически переводит полученные деньги непосредственно Би-би-си. • Чтобы ни один пенни за просмотр ТВ или прослушивание радио не прошёл мимо бюджета компании, BBC создала и выпустила на улицы специальные фургоны (фото 3,4), чьей задачей был поиск незаконно работающих телевизоров. • Чтобы обеспечить стабильный доход, BBC внедрила срок действия лицензий, а также создала реестр семей, которые пользуются телекоммуникационными устройствами. Одна выданная лицензия на ТВ действительна не более 12 месяцев. В системе телерадиовещателя регистрируют номер лицензии и дату истечения её срока действия. В отношении семей, подозреваемых во владении телевизором, но не внёсших требуемую сумму в нужный срок, проводятся расследования. • Чтобы гарантировать себе полный и своевременный сбор средств за лицензии, специальная служба TV Licensing регулярно шлёт грозные письма тем, у кого истекает срок действия лицензии или кто не купил её. Если реакции нет, сотрудники службы могут организовать визит сотрудников правоохранительных органов. Эти сотрудники не имеют права насильственно входить в дома, но если семья категорически отказывается сотрудничать с полицией, TV Licensing подаёт заявку на выдачу ордера на обыск. Поводом для такой заявки может стать спутниковая тарелка или антенна, обнаруженная на крыше жилого дома. Ну, или визуальное наблюдение за окнами квартиры, в которой предположительно находится «нелегальный» телевизор. • Ещё одним способом выявления неплательщиком долгое время являлся автофургон, оборудованный современной (на тот момент времени) техникой, которая способна обнаружить работу телевизионных устройств. Такие фургоны часто отправляются по адресам с просроченными или отсутствующими телевизионными лицензиями. Если удаётся зафиксировать, что в семье есть устройство, которое может работать и принимать сигналы вещания, TV Licensing подаёт заявку на выдачу ордера для продолжения расследования. • Фургоны-детекторы ТВ используются в основном для сбора «улик», необходимых для одобрения заявки на обыск. Доказательства, собранные фургоном, редко используются в суде для преследования лиц, уклоняющихся от лицензии. Ведь имея на руках ордер, полицейские смогут использовать прямые улики (вроде телевизора, подключённого к антенне), чтобы привлечь нарушителя к ответственности. • О том, как сейчас ищут уклонистов, у которых нет желания платить за лицензию, мало что известно. Современные плоские телевизоры, принимающие цифровой сигнал, не излучают столько радиопомех, как более старые устройства. Кроме того, любые такие обнаруженные сигналы труднее сопоставить с вещательным телевидением. Ведь на экране вполне может быть игра, если владелец ТВ также является и владельцем игровой приставки. А ещё есть стриминговые сервисы, которые тоже можно смотреть, не оплачивая лицензионный сбор. • Если изучить поданные BBC заявления о выдаче ордера на обыск, то можно заметить, что чаще всего там фигурируют оптические методы наблюдения, когда отраженный свет от телевизора в доме зрителя сравнивается с сигналом прямой трансляции. Компания вообще неохотно делится информацией о своих фургонах-детекторах ТВ. Пусть они ещё и ездят по улицам, но с учётом разнообразия доступных вещательных, кабельных и спутниковых каналов есть основание подозревать, что их дни практически сочтены... #Разное

Группа ученых-исследователей раскрыла подробности нового метода атаки по побочным каналам, которая позволяет извлекать секреты из доверенной среды выполнения (TEE) в ЦП, высокозащищенной области системы SGX и TDX от Intel и SEV-SNP от AMD. Метод атаки TEE.fail нацелен на шину памяти в системах DDR5 и был обнаружен исследователями из Университета Пердью и Технологического института Джорджии. Для атаки требуется физический доступ к целевой системе, и она включает в себя размещение промежуточного устройства (импозера) между центральным процессором и памятью компьютера с целью анализа трафика шины DRAM. Затем злоумышленник может использовать полученные данные для извлечения криптографических ключей из реализаций доверенной среды выполнения Intel TDX и AMD SEV-SNP. Кроме того, хакер может извлечь ключи подтверждения, которые можно использовать для компрометации системы конфиденциальных вычислений на графических процессорах Nvidia, позволяющей запускать рабочие нагрузки ИИ без какой-либо защиты TEE.  Эти конфиденциальные вычислительные технологии, используемые в ЦОДах и облачных вычислениях, предназначены для защиты кода и данных от злоумышленников, взломавших хост-систему, и даже от злоумышленников, работающих внутри компании.  Атака TEE.fail предполагает присоединение интерпозера к модулю DIMM. При этом устройство, созданное исследователями, по стоимости выходит менее 1000 долл. при использовании готовых электронных компонентов.  TEE.fail имеет сходство с недавно раскрытыми атаками WireTap и Battering RAM, которые также включали использование интерпозера для захвата ценных данных из памяти. Однако есть и существенные различия. WireTap и Battering RAM работали только с памятью DDR4, тогда как новая нацелена на DDR5. Разница критически важна, поскольку TEE.fail может быть использован для атаки на новейшие решения TEE от Intel и AMD, а именно Intel TDX и AMD SEV-SNP с сокрытием шифротекста, которые предлагают конфиденциальные виртуальные машины (CVM). Поскольку CVM используются в качестве якоря доверия в конфиденциальных вычислениях на графических процессорах Nvidia, исследователи показали, как новая атака также способна подделывать аттестацию графических процессоров. Intel и AMD опубликовали информационные бюллетени в ответ на исследование TEE.fail (1 и 2 соответственно). Однако, как и в случае с WireTap и Battering RAM, производители микросхем заявили, что атаки, требующие физического доступа к целевой системе, не входят в модель угроз их продуктов. По итогу исследователи отмечают, что современные реализации Intel SGX, Intel TDX и AMD SEV-SNP оказались не так безопасны, как рекламируется, из-за архитектурных компромиссов в последних поколениях.

🕸 Как зарождался Google. • Мало кто знает, что до появления поисковиков пользователь был вынужден заходить на FTP-серверы и вручную просматривать каждый документ, ориентируясь только на краткое описание. Вы не могли ввести куда-то запрос из серии: «Сколько весит слон?» и получить мгновенную пачку ответов. Проблему вызвался решить Алан Эмтейдж, который в 1990 году разработал первый в мире поисковик Archie на Unix. • Если кратко, Archie представлял собой набор скриптов, которые выполняли поиск по списку общедоступных FTP-серверов с использованием протокола Telnet и создавали индексные файлы. Пользователь вводил тему и получал в ответ список адресов в виде доступного каталога документов. • Вот некоторые примеры тех поисковых систем, которые появились в период с 1990 по 1998 год: Wandex (1993 год), Excite (1994 год), WebCrawler (1994 год), AltaVista (1995 год) и Yahoo (1995 год). Собственно, в то время, один из создателей Google Ларри Пейдж учился в университете, где пытался понять, почему тот или иной материал или сайт может быть полезен пользователю. Так как поисковики того времени не умели выдавать релевантные запросу результаты. • Пейдж представлял всю интернет-сеть в виде огромного разветвленного графа, в котором одни сайты ссылались на другие. А что, если присвоить вершинам графа (страницам на сайте) весовой коэффициент, в зависимости от количества входящих в него ребер (гиперссылок)? По идее, чем больше материал упоминается на других ресурсах, тем он полезнее для большинства. А следовательно, с большей вероятностью понравится и одному конкретному пользователю под похожий запрос. • В 1996 году Пейдж знакомится с Сергеем Брином — математиком, который достиг значительных успехов как раз в анализе огромных массивов данных. Их сотрудничество приводит к появлению алгоритма PageRank. Краеугольного камня современного веб-поиска, который учитывал не только количество раз, когда ключевое слово появлялось на веб-странице, но также качество и релевантность входящих ссылок. • В 1996 году Брин и Пейдж получают гранты по программе стипендии Национального научного фонда и запускают в работу проект BackRub. По сути, это был мощный веб-сканер, который должен был проиндексировать миллионы страниц, выявить все взаимосвязанные обратные ссылки и проверить алгоритм ранжирования. • Брин и Пейдж при посредничестве других выпускников Стэнфорда собрали на базе университетских серверов систему и запустили ее в работу летом 1996 года. При этом BackRub занимал примерно половину вычислительных ресурсов сети кампуса. К 29 августа 1996 система проиндексировала порядка 75 миллионов URL-адресов, загрузила 30 миллионов страниц и суммарно выкачала 207 Гб информации. Неудивительно, что университетская сеть несколько раз чуть не легла, а руководство Стэнфорда регулярно получало жалобы от пользователей. • Чтобы продемонстрировать результат работы поисковика, Пейдж и Брин разместили страницу по адресу google.stanford.edu и z.stanford.edu. Первыми пользователями были, разумеется, студенты Стэнфорда. И они были поражены, насколько быстро происходил поиск и ранжирование материалов в поисковой выдаче. Ну а дальше эффект сарафанного радио привел к тому, что к началу 1998 года на демонстрационную страницу приходило уже больше 10 000 запросов в день. • Пейдж и Брин решили, что из этого эксперимента может что-то получиться. 29 января 1998 года они публикуют статью The PageRank Citation Ranking: Bringing Order to the Web, которая перевернула представление о поиске в интернете. • После этого появляется еще одна их статья, которая станет одной из самых цитируемых в истории: The Anatomy of a Large-Scale Hypertextual Web Search Engine. В ней Сергей и Ларри подробно описали архитектуру и принципы работы поисковой системы Google. В ней рассматриваются ключевые аспекты: серверная инфраструктура, алгоритм PageRank для оценки релевантности веб-страниц, методы краулинга и индексации, а также подходы к обеспечению высокой производительности и масштабируемости системы. Эта работа заложила основу для создания современных поисковых систем. #Разное