Ever Secure

Созвон сообщества в Zoom 21.04 в 19:00 Ведущие: Александр Савин (CISO CDEK) Алексей Федулаев (Head of Cloud Native Security MWS Cloud Platform) Гости выпуска:  Александра Сватикова (Архитектор ИБ Т-Банк) Тема: Data Security На созвоне узнаем: • Что такое Data Security и Data Platform? • Какие задачи стоят перед инженерами подразделения? • Почему нужно отдельное подразделение, если в целом все безопасники защищают данные? • Как помочь обеспечивать безопасность данных? Подключаться по ссылке Событие добавлено в календарь мероприятий ссыль, добавляй к себе, что бы не пропустить 😉 👀@ever_secure | 💪 Мерч | 💳Поддержать

22 апреля буду на встрече "КИБЕРБЕЗОПАСНОСТЬ В ЭПОХУ AI-АГЕНТОВ", которую организуют South HUB совместно с PT. Приглашаю и вас принять участие, мероприятие рассчитано на C-lvl. Будем много говорить как проводить атаки и строить безопасность с помощью ИИ 🤖 Эксперты: — Андрей Кузнецов, Head of ML at Positive Technologies — Алексей Лукацкий, Бизнес-консультант по безопасности Positive Technologies — Алексей Леднев, руководитель направления продуктовой экспертизы, Positive Technologies Модератор: — Артём Гутник, CISO НСПK Участие бесплатное, кол-во мест ограничено Сбор 22 апреля в 18:30 в офисе Positive Technologies Регистрация по ссылке

Что бы добавить немного контекста, то политика описывается вот таким простым способом -> 😎

apiVersion: rbacreports.in-cloud.io/v1alpha1
kind: RbacPolicy
metadata:
  name: ksv053-exec-into-pods
spec:
  severity: HIGH
  category: Kubernetes Security Check
  checkID: KSV053
  title: Exec into Pods
  description: >-
    Access to the pods/exec subresource lets a caller run arbitrary commands
    inside any container they can target. Combined with a privileged container,
    a hostPath mount, or a high-permission ServiceAccount, this is a direct path
    to host root or cluster-admin.
  remediation: >-
    Limit pods/exec to a small set of trusted operator identities (or remove
    entirely in production). For routine debugging, prefer ephemeral containers
    or read-only log access.
  match:
    apiGroups: [""]
    resources: [pods/exec]
    verbs:
      - create
      - get
      - "*"

На выходе мы получаем вот такой репорт для каждой роли -> 😎

apiVersion: rbacreports.in-cloud.io/v1alpha1
kind: ClusterRbacReport
metadata:
  labels:
    app.kubernetes.io/managed-by: rbac-reports-operator
    rbac-reports.io/resource-kind: ClusterRole
  name: admin
  ownerReferences:
  - apiVersion: rbac.authorization.k8s.io/v1
    blockOwnerDeletion: false
    controller: true
    kind: ClusterRole
    name: admin
    uid: 09b10026-db84-4725-aa30-9d6d22623451
report:
  checks:
  - category: Kubernetes Security Check
    checkID: KSV053
    description: Access to the pods/exec subresource lets a caller run arbitrary commands
      inside any container they can target. Combined with a privileged container,
      a hostPath mount, or a high-permission ServiceAccount, this is a direct path
      to host root or cluster-admin.
    messages:
    - ClusterRole 'admin' should not have access to resources [pods/attach, pods/exec,
      pods/portforward, pods/proxy, secrets, services/proxy] for verbs [get, list,
      watch]
    - ClusterRole 'admin' should not have access to resources [pods, pods/attach,
      pods/exec, pods/portforward, pods/proxy] for verbs [create, delete, deletecollection,
      patch, update]
    remediation: Limit pods/exec to a small set of trusted operator identities (or
      remove entirely in production). For routine debugging, prefer ephemeral containers
      or read-only log access.
    severity: HIGH
    success: false
    title: Exec into Pods
  summary:
    criticalCount: 5
    highCount: 2
    lowCount: 0
    mediumCount: 2
    totalCount: 9
spec:
  roleRef:
    kind: ClusterRole
    name: admin
    uid: 09b10026-db84-4725-aa30-9d6d22623451
  scanner:
    name: rbac-reports-operator
    vendor: PRO-Robotech
    version: 0.3.0

А для получения скоупа через граф, достаточно сформировать вот такой манифест: -> 🤪

{
  "apiVersion": "rbacgraph.in-cloud.io/v1alpha1",
  "kind": "RoleGraphReview",
  "metadata": {"name": "demo"},
  "spec": {
    "selector": {
      "apiGroups": [""],
      "resources": ["pods/exec"],
      "verbs": ["get", "create"]
    },
    "matchMode": "any",
    "includeRuleMetadata": true
  }
}

Всем привет, продолжаем анонсы наших наработок. Сегодня хотим поделиться с вами - RBAC-Engine 😱 Какую задачу мы решали. 😈 Есть обычный Kubernetes-кластер, по мере роста появляются новые контроллеры, роли, биндинги и в какой-то момент становится сложно ответить на базовый вопрос — как вообще выглядит матрица доступов и кто к чему имеет доступ. Даже на простом примере:

  •  pods/exec   | verb=get,create
  •  nodes/proxy | verb=get,create

Попробуйте сходу понять 💬: • Какие роли это разрешают • Какие service accounts / пользователи с ними связаны • Через какие биндинги это всё выдается Отдельная боль — политики уровня "*", которые размывают реальную картину доступа. Чтобы это разобрать, мы пошли двумя путями: 😎 1. Политики (аналог Trivy-подхода) Сделали свой механизм правил который позволяет: • Описывать интересующий скоуп • Применять к кластеру или namespace • Получать результат со скорингом Это даёт быстрый ответ — где 💩 2. Граф связей (Agregation Layer API) AGL позволил реализовать in-memory GRAPH DB, в рамках кторой находятся все связи и граф всегда простраивается относительно прав пользователей, так что лишнего не увидят. AGL предоставляет возможность: ☹️ • Фильтровать по нужному скоупу • Отображать, кто реально может использовать доступ • Накладывать результаты политик поверх найденных связей • Резолвить "*" в Rule на основе реальной схемы OpenAPI кластера В итоге вы получаете инструмент с помощью которого: • Быстро находите роли с нужным доступом • Понимаете, кто пользуется найденными ролями • Понимаете, через какой биндинг выдан этот доступ Такой подход позволяет убрать десятки, а может сотни человекочасов работы и получить ту прозрачность которую мы заслужили) Полезная информация: • Исходники на GitHub • Chart на GitHub Лучшая ваша похвала — это: 🤪 • Вопросы по теме • Поиск неточностей • Советы, как сделать лучше • И, конечно, ⭐️ на GitHub

Уже менее, чем через месяц вылетаем на PGL Astana, определены все участники турнира! Дата проведения: 15-17 мая 2026 года Место проведения: Астана, Барыс арена Мы выкупили випку на 12 человек, есть 4 места!!! Стоимость билета 56800 Ждем 4 счастливчиков, кто отправится с нашей ИБшной тусовкой! По всем вопросам @aleksey0xffd

Уже менее, чем через месяц вылетаем на PGL Astana, определены все участники турнира! Дата проведения: 15-17 мая 2026 года Место проведения: Астана, Барыс арена Мы выкупили випку на 12 человек, есть 4 места!!! Стоимость билета 56800 Ждем 4 счастливчиков, кто отправится с нашей ИБшной тусовкой! По всем вопросам @aleksey0xffd

Для тех, кто не понял, нормальной защиты без потери удобства не будет, пока не выйдет Android 17. На GrapheneOS отрабатывает корректно при определенных условиях, а именно <запрещенный месенджер> и <запрещенный сервис> находятся в отдельном профиле, в котором выключена фоновая активность. Как только врубается фоновая активность, интерфейс начинает детектится в других профилях, пруф ниже. Никакой рут для этого не нужен!!!

По следам методички КВН сделали чекер. Смотрите, как это работает на примере GrapheneOS 16 и альтернативу на китайской OriginOS 6

Новости из параллельной вселенной Как планируется палить ваши VPN после 15 апреля на примере Месенджера с парковки: • Обнаружение VPN-соединения. Выполняется проверка флага NetworkCapabilities.TRANSPORT_VPN через ConnectivityManager - стандартный Android API, не требует специальных разрешений. Возвращает логическое значение - VPN активен или нет. Поле VPN : 1 отправляется на api.oneme.ru внутри кастомного бинарного протокола (заголовок 10 байт + MessagePack payload, опционально - LZ4-сжатый) • Дополнительный вектор проверки это сетевой стек Android, общий для всех приложений - при активном VPN-соединении в системе появляется интерфейс tun0, который виден любому процессу через запрос интерфейс /proc/net/if_inet6, /proc/net/fib_trie или используя метод NetworkInterface.getNetworkInterfaces(). Оба метода не требуют дополнительных разрешений от системы. Наличие tun0 является однозначным маркером активного VPN-туннеля для организации КВН • Доступность заблокированных хостов. Host Reachability - карманный "Ревизор”. Модуль проверяет доступность хостов (main.telegram.org, mmg.whatsapp.net, gosuslugi.ru, gstatic.com, calls.okcdn.ru и др.)

конечно же как opensource метрики и для улучшения качества предоставляемых услуг

двумя методами: ICMP ping (`InetAddress.isReachable`) и TCP connect на :443 с таймаутом 3с. Результат кодируется следующим образом: 0 = оба fail, 1 = ping ok / tcp fail, 2 = ping fail / tcp ok, 3 = оба ok. Это прямая проверка работы ТСПУ - он не режет ICMP, но блокирует конкретные порты/протоколы • Сбор IP и привязка к оператору IP. Запрашиваются данные у шести источников (yandex ipv4/ipv6, ifconfig.me, api.ipify.org, checkip.amazonaws.com, ip.mail.ru) - 50/50 российские/зарубежные, чтобы ловить раздельное туннелирование, когда RU-трафик идет напрямую. Параллельно собирается зона обслуживания мобильной сети (PLMN (MCC+MNC)) с помощью метода TelephonyManager.getNetworkOperator() - маркер нахождения в РФ без геолокации • Уязвимость VLESS-клиентов. Все популярные клиенты (v2rayNG, Hiddify, NekoBox, V2BOX, Happ и др.) запускают локальный socks5 прокси без аутентификации. Схема: • VpnService → tun2socks → xray socks5 → VPN server. Spyware-модуль может напрямую подключиться к socks5 на localhost, минуя VpnService, и узнать выходной IP прокси

Приватные пространства (Knox, Shelter, Island) не имеют возможности изолировать loopback. Сканирование портов localhost доступно между профилями

Побывал в гостях у Димы Беляева (BELYAEV_SECURITY) и Егора Богомолова (YAH) на Belyaev_Podcast. Этот выпуск про психологию разработчиков vs AppSec — живой, местами дерзкий и максимально практичный разговор о том, как перестать быть «полицией безопасности» и превратить секьюрити в ускоритель релизов, выручки и доверия бизнеса. Внутри — жирные кейсы: дедлайновое мышление сеньоров, компромиссы «сейчас выкатываем — потом чиним», майнинг на проде, атаки на CI/CD и контейнеры, а также практическое использование AI. Приятного просмотра/прослушивания: 📺 [Смотреть] 📺 [Смотреть] 💙 [Смотреть] 🎵 [Слушать] 💬 [Слушать] 👀@ever_secure | 💪 Мерч | 💳Поддержать

Ждете новый выпуск CISO Podcast?💪

Здарова АппСеки 🤣 Сегодня много говориил про AppSec с уважаемыми людьми 😉 Вместе с вами жду запись 👀@ever_secure | 💪 Мерч | 💳Поддержать

недавно принял участие в подкасте для университета iSpring, признавайтесь, кто проплатил спросить когда книги в продажу опять поступят? 🤣 👀@ever_secure | 💪 Мерч | 💳Поддержать

На фоне новостей о детектировании "сервиса, который нельзя называть" на устройствах, какие-то злоумышленники в интернете стали распространять адреса подсетей запещенного мессенджера телеграм, пример 149.154.164.0/22 149.154.160.0/20 91.108.8.0/22 91.108.56.0/22 91.108.4.0/22 95.161.64.0/20 149.154.167.0/24 91.108.16.0/22 91.108.12.0/22 91.105.192.0/23 91.108.20.0/22 185.76.151.0/24 149.154.167.0/20 5.28.128.0/17 Будьте осторожны и предупредите близких! не слушайте злоумышленников: 1) не ставьте сервисы, которые нельзя нзывать 2) ни в коем случае не включайте split tunneling и white lists для адресов 3) и ни в коем случае нельзя добавлять вышеуказанные адреса в white list для сплита 4) не нужно скрываться от других приложений, которые пытаются задетектить сервис, который нельзя называть 5) и тем более пользоваться запрещенными мессенджерами Не дайте себя обмануть. Stay Safe 👀@ever_secure | 💪 Мерч | 💳Поддержать

#созвон_сообщества Запись созвона Тема: DevSecOps и с чем его едят Ведущие: Александр Савин (CISO CDEK) Алексей Федулаев (Head of Cloud Native Security MWS Cloud Platform) Гости выпуска:  Александр Емельянов (Head of DevSecOps Wildberries & Russ) Андрей Моисеев (DevSecOps MWS Cloud Platform) На созвоне затронули следующие темы: • Почему все вакухи на DevSecOps разные? • Кто все-таки такой DevSecOps? • Какие базовые навыки нужны? • Чем прикольным и не очень предстоит заниматься на работе? Приятного просмотра: - 📹 Youtube - 📺 VK 👀@ever_secure | 💪 Мерч | 💳Поддержать

Но в ркн опять все перепутали и лупа получил за пупу, а пупа Интересно, какая цифра сегоднящних потерь? А вы закладываете в модель рисков, что ркн выстрелит в колено?🤭

не мог не запостить это)

По традиции 1 апреля мы анонсим книги по безопасности По традиции в этот раз это тоже не шутка.... Мы учли весь ваш фидбек и на порядок серьезнее подошли к созданию книг, не забыв оставить тот самый вайб веселья и мемов. Бетки в этот раз не будет, только сильная аура, только сразу в прод 💪 Предзаказы откроются летом, если не кончатся токены... 👀@ever_secure | 📲MAX | 💳Поддержать

Дорогие друзья, так как тематика нашего канала направлена на безопасность, мы приняли решение перейти в защищенный мессенджер Макс. Больше не придется использовать опасный и контроллируемый органами телеграм и непонятные впны, станем безопаснее вместе 🫶 Мы в MAX

в продолжение сегодняшней темы про собесы, недавно принял участие в интервью на канале CyberYozh Приятного просмотра https://youtu.be/0LCf4TzeDok?si=1R19n40s9K9lSWNs 👀@ever_secure | 💪 Мерч | 💳Поддержать