Ever Secure

Пробуем >> zalupa.sh

В последний месяц разработчики, использующие Trivy для сканирования контейнеров, столкнулись с серьёзной проблемой: при попытке загрузить базу данных уязвимостей из GitHub Container Registry (ghcr.io) возникает ошибка TOOMANYREQUESTS. Это связано с тем, что GitHub начал ограничивать количество подключений к своему реестру, что негативно сказывается на работе Trivy и создаёт дополнительные трудности для разработчиков.

https://habr.com/ru/companies/flant/news/854318/ В посте зря трагедию рисуют На самом деле Trivy выкладывает ещё базы в - https://hub.docker.com/r/aquasec/trivy-db/tags - https://gallery.ecr.aws/aquasecurity/trivy-db Это можно увидеть в их Actions

          declare -A registries=(
            ["ghcr.io"]="${lowercase_repo}"
            ["public.ecr.aws"]="${lowercase_repo}"
            ["docker.io"]="${lowercase_repo}"
          )

https://github.com/aquasecurity/trivy-db/blob/main/.github/workflows/cron.yml#L87C1-L92C1 Для того, что бы указать БД не по умолчанию используйте ключ --db-repository. А ещё вот вам кусочек GitLab pipeline (написанный своими руками 🌝), которым можно перекладывать к себе в registry базу Trivy

variables:
  TRIVY_DB_ARCHIVE_NAME: "db.tar.gz"
  TRIVY_DB_EXTERNAL_TAG: "2"
  TRIVY_DB_EXTERNAL_IMAGE: "ghcr.io/aquasecurity/trivy-db:${TRIVY_DB_EXTERNAL_TAG}"
  TRIVY_DB_ARTIFACT_TYPE: "application/vnd.aquasec.trivy.config.v1+json"
  TRIVY_DB_ARTIFACT_META: "application/vnd.aquasec.trivy.db.layer.v1.tar+gzip"
  TRIVY_DB_INTERNAL_IMAGE: "${CI_REGISTRY}/path/trivy-db:latest"


pull-push-trivy-db:
  image: ${CI_REGISTRY}/tools/oras:latest
  stage: build
  script:
    - docker login --username "${CI_REGISTRY_USER}" --password "${CI_REGISTRY_PASSWORD}" "${CI_REGISTRY}"
    - /oras pull "${TRIVY_DB_EXTERNAL_IMAGE}"
    - /oras push --artifact-type "${TRIVY_DB_ARTIFACT_TYPE}" "${TRIVY_DB_INTERNAL_IMAGE}" "${TRIVY_DB_ARCHIVE_NAME}:${TRIVY_DB_ARTIFACT_META}"

в дальнейшем тоже используйте ключик --db-repository, который будет указывать на ваш реджистри. Если что, то посмотреть как с публикацией и управлением базами работает Trivy можно тут https://github.com/aquasecurity/trivy-db/blob/main/.github/workflows/cron.yml#L81 А вообще, собирайте базы сами и держите их при себе 🌝

Созвон сообщества в Zoom 20.11 в 19:00 Гость выпуска: Геннадий Сазонов (Солар) Тема: DFIR и его друзья Гена расскажет что же такое DFIR (Digital Forensics and Incident Responce - цифровая криминалистика и реагирование на инциденты, что включает в себя это понятия и как вообще этот процесс происходит на практике. Помимо этого, затронет тему направлений, с которыми DFIR идёт бок о бок и без которых качественный Responce практически невозможен. Погрузиться в мир расследования инцидентов можно предварительно, посмотрев доклад Гены про расследование атак АPT Shedding Zmiy Подключаться по ссылке Событие добавлено в календарь мероприятий ссыль, добавляй к себе, что бы не пропустить 😉 📹YT | 📺RT | 📺VK | 💰Bty 👀@ever_secure

XSS в названии подкаста начал отстреливать 🌚 пофиксили быстро 😁 Всем stay safe👀

#подкаст Новый выпуск [SafeCode Live] — рассказываем всё о Bug Bounty и работе «официальных хакеров» Достигнув больших масштабов, систему сложно покрыть одними пентестами. И тогда компании объявляют Bug Bounty. В этом выпуске мы разбираемся во всех тонкостях процесса. Мы пригласили руководителя направления VK Bug Bounty  и профессионального пентестера. Они расскажут, когда компаниям пора объявлять конкурс по поиску уязвимостей, и сколько платят багхантерам. А также поделятся забавными случаями из опыта. Гости выпуска: — Петр Уваров — руководитель направления VK Bug Bounty из команды информационной безопасности VK. — Сергей Зыбнев — пентестер в компании Бастион. Спикер на профильных конференциях, автор  канала Похек — о том как похекать всё, что движется и не движется.  Ведущий — Алексей Федулаев. Руководитель направления Cloud Native Security, MTC Web Services, Автор канала Ever Secure на YouTube и в Telegram. Выпуск уже на YouTube. Слушайте подкаст на других платформах: — Apple Podcasts   — Яндекс Музыка  — ВКонтакте

А вот и видос про пентесты контейнеров👩‍💻 Познакомимся с атаками на контейнеры, находясь непосредственно в них,  и с атаками на Docker👩‍💻daemon, находясь на хостовой машине👩‍💻. Еще попробуем инструменты автоматизации пентестов контейнеров 📦 📹Смотреть 💳Смотреть 👀@ever_secure

07.11 в 19:00 состоится созвон сообщества в Zoom Гость выпуска: Катя Тюринг @katyaturing, специалист по борьбе с кибермошенничеством👮 Катя 5 лет работала в коммерческом антифроде: отвечала за системы прогнозирования и реагирования на мошенничество. Когда в корпорации стало слишком душно, ушла в расследование инцидентов. Про текущую работу она мало что рассказывает, а вот про то, как устроен антифрод - с удовольствием 🤝 У нас накопилось очень много вопросов. Как говорится, не разойдемся пока не разберемся: 1. Почему всем вдруг понадобился антифрод 2. Антифрод VS полиция: кто за что отвечает 4. Существует более 10 видов антифрода 😱. В чем разница? 5. Какие скилы нужны, чтобы попасть в антифрод? Берут ли туда из ИБ/СБ? 6. Правда ли, что вакансии в антифрод редко публикуют открыто? Как тогда их искать? 7. Антифрод-комьюнити: оно вообще существует? Подключаться по ссылке Событие добавлено в календарь мероприятий ссыль, добавляй к себе, что бы не пропустить 😉 Есть что рассказать? пиши @aleksey0xffd, организуем выступление на наше комьюнити 📹YT | 📺RT | 📺VK | 💰Bty 👀@ever_secure

Уже на Boosty💳 Подписывайся! https://boosty.to/ever_secure/posts/a9595774-0b72-421d-8c00-69d1552aaab2 👀@ever_secure

И снова розыгрыш! на этот раз на конференцию DevOops Помимо ПК SafeCode, я состою в ПК конференции DevOops, и хотел бы разыграть свою проходку на нее. Вместе с Костей Дипежем (@deusops) и @SergeySabbath (@IT_Friday) я буду ведущим конференции! Также выступлю на ее онлайн части с Георгом Гаалом. Итоги в след пятницу! @ever_secure

Когда проводишь аварнес ИТ-подразделениям

Сегодня в студии провел лекцию для "Школы преподавателей киберграмотности". Это большой социальный проект для преподавателей вузов/колледжей/школ: https://school.edu.ptsecurity.com/ при поддержке Минцифры России. Здорово, что обучение кибербезопасности в нашей стране выходит на совсем иной уровень💪 👀@ever_secure

Weakpass Ресурс с огромной коллекцией словарей для брутфорса от моего бывшего коллеги Ивана Юшкевича, который используют в своей повседневной работе многие пентестеры по всему миру😎 теперь позволяет удобно искать значения по хешам (NTLM,MD5,SHA1,SHA256) в удобном и приятном веб-интерфейсе🔥 Все это доступно любому желающему абсолютно бесплатно, без ограничений на количество и надоедливых капчей. К тому же стоит отметить что поиск осуществляется исключительно client-side, ничего не отправляется на backend приложения. У сервиса есть API для автоматизации и интеграции в собственные инструменты. А также ничего не мешает выгрузить все словари для создания внутренних инструментов для регулярных проверок на соответствие парольной политике вашей компании, чтобы больше никаких Companyname2024! или Winter2024! не использовались в качестве значений пароля для доменных учетных записей пользователей.

🎉 Результаты розыгрыша: Победитель: 1. Gurban (@Gurban_V) Проверить результаты

всех ждем, подключайтесь!

Друзья, выложены все записи с прошедшей этой весной конференции SafeCode! плейслист с записями прикладываю 😉 На конференции я принял участие в следующих активностях: 😀 Открытие конференции вместе с Светой Газизовой и Андреем Дмитриевым 😀 Как устроена безопасность в технологически зрелой компании? (гости: Павел Никитин, руководитель Red & Purple Team VK, Антон Жаболенко, Директор по безопасности Wildberries, Андрей Иванов, CISO Wildberries) 😀 Интервью "КиберДед знает: взгляд из прошлого" (думаю гостя не нужно представлять) 😀 СекЧемпы: показатель зрелости или бедности (в гостях Антон Жаболенко Директор по безопасности Wildberries, Александр Лунев Awarness Security Team Lead Yandex, Валерий Сащенко Руководитель направления безопасной разработки ПО Мегафон, Дмитрий Шмойлов Head of Software Security Kaspersky) 📹YT | 📺RT | 📺VK | 💰Bty 👀@ever_secure

А вот и еще поступление мерча🤩 На данный момент заказать их нельзя, но мы отправим их в подарок вместе с первой партией мерча. ➕подписчики приватки получат ленты в подарок 😉 У остальных также будет возможность получить брендированные ленты в предстоящих активностях, следите за новостями 👀 Еще сделали для вас таблицу размеров мерча, приложу ниже👇 📹YT | 📺RT | 📺VK | 💰Bty 👀@ever_secure

Обход замедления (нормальный) 📹Youtube на PC (👩‍💻Windows, 👩‍💻Mac OS, 👩‍💻Linux) Youtube Boosty 👀@ever_secure