Насколько глубока кроличья нора?
Вчерашний hole с процессорма обростает новыми подробностями. Во-первых, это серьезный аппаратный косяк, это значит, что затронуты вообще все вычислительные устройства (https://techcrunch.com/2018/01/03/kernel-panic-what-are-meltdown-and-spectre-the-bugs-affecting-nearly-every-computer-and-device/): будь то сервера или смартфоны. Да, ARM тоже, но тут начинаются нюансы:
На самом деле существует 2 проблемы с кодовыми именами Meltdown (Intel) и Spectre (Intel, AMD, ARM), которые, не вдаваясь в подробности, позволяют сделать одно и то же: пользовательскому процессу попасть в системную память. Возможные варианты атаки рассмотрели в этой статье от Google:
https://googleprojectzero.blogspot.com.tr/2018/01/reading-privileged-memory-with-side.html?m=1
Если нет времени читать большую статью от Google или whitepapers по каждой из уязвимостей, вот очень краткая выжимка по каждой из них:
https://danielmiessler.com/blog/simple-explanation-difference-meltdown-spectre/
Кроме того, тезисно проблема описана в этом Твиттер треде:
https://twitter.com/nicoleperlroth/status/948684376249962496
Теперь о близком нам: AWS и Azure уже приняли меры, что для пользователей вылилось в forced reboots. Amazon говорит что почти весь их парк уже пропатчен. В Google Cloud заявляют что со своей стороны они пропатчились и ребуты не нужны.
Однако, пользователям всё равно придётся патчить гостевые ОС самостоятельно вне зависимости от провайдера.
- AWS: https://aws.amazon.com/security/security-bulletins/AWS-2018-013/
- GCloud: https://security.googleblog.com/2018/01/todays-cpu-vulnerability-what-you-need.html
- Azure: https://azure.microsoft.com/en-us/blog/securing-azure-customers-from-cpu-vulnerability/
Фикс: фикс уже готов, пользовательские обновления, как и говорилось, стоит ждать к середине Января. Плохая новость тут в том, что фикс ухудшит производительность CPU. Конкретные цифры очень зависят от задач, но цифры существенные: от 5% до 30% (возможно и больше)
И если вы уже собирались выдохнуть, то ещё рано. Mozilla подтвердили, что атака с использованием вышеупомянутых уязвимостей возможна через вэб контент:
https://blog.mozilla.org/security/2018/01/03/mitigations-landing-new-class-timing-attack/
Счастливого Рождества!
UPD: забыл, собственно, whitepapers добавить: https://spectreattack.com/
P.S.: думаю, для упрощения подведения итогов в конце года, надо ввести какой-то хэштег. И эти новости definitely #2018
#security #2k18
Вчерашний hole с процессорма обростает новыми подробностями. Во-первых, это серьезный аппаратный косяк, это значит, что затронуты вообще все вычислительные устройства (https://techcrunch.com/2018/01/03/kernel-panic-what-are-meltdown-and-spectre-the-bugs-affecting-nearly-every-computer-and-device/): будь то сервера или смартфоны. Да, ARM тоже, но тут начинаются нюансы:
На самом деле существует 2 проблемы с кодовыми именами Meltdown (Intel) и Spectre (Intel, AMD, ARM), которые, не вдаваясь в подробности, позволяют сделать одно и то же: пользовательскому процессу попасть в системную память. Возможные варианты атаки рассмотрели в этой статье от Google:
https://googleprojectzero.blogspot.com.tr/2018/01/reading-privileged-memory-with-side.html?m=1
Если нет времени читать большую статью от Google или whitepapers по каждой из уязвимостей, вот очень краткая выжимка по каждой из них:
https://danielmiessler.com/blog/simple-explanation-difference-meltdown-spectre/
Кроме того, тезисно проблема описана в этом Твиттер треде:
https://twitter.com/nicoleperlroth/status/948684376249962496
Теперь о близком нам: AWS и Azure уже приняли меры, что для пользователей вылилось в forced reboots. Amazon говорит что почти весь их парк уже пропатчен. В Google Cloud заявляют что со своей стороны они пропатчились и ребуты не нужны.
Однако, пользователям всё равно придётся патчить гостевые ОС самостоятельно вне зависимости от провайдера.
- AWS: https://aws.amazon.com/security/security-bulletins/AWS-2018-013/
- GCloud: https://security.googleblog.com/2018/01/todays-cpu-vulnerability-what-you-need.html
- Azure: https://azure.microsoft.com/en-us/blog/securing-azure-customers-from-cpu-vulnerability/
Фикс: фикс уже готов, пользовательские обновления, как и говорилось, стоит ждать к середине Января. Плохая новость тут в том, что фикс ухудшит производительность CPU. Конкретные цифры очень зависят от задач, но цифры существенные: от 5% до 30% (возможно и больше)
И если вы уже собирались выдохнуть, то ещё рано. Mozilla подтвердили, что атака с использованием вышеупомянутых уязвимостей возможна через вэб контент:
https://blog.mozilla.org/security/2018/01/03/mitigations-landing-new-class-timing-attack/
Счастливого Рождества!
UPD: забыл, собственно, whitepapers добавить: https://spectreattack.com/
P.S.: думаю, для упрощения подведения итогов в конце года, надо ввести какой-то хэштег. И эти новости definitely #2018
#security #2k18
*UPD*
Статья от Microsoft о том, что в Azure уже всё пропатчили (но люди жаловались, что сервера без суда и следствия бутнули вчера): https://azure.microsoft.com/en-us/blog/securing-azure-customers-from-cpu-vulnerability/ (via https://t.iss.one/azure_ua)
Бенчмарки от Phoronix по поводу ожидаемой просадки производительности (via @yaroslavpats):
1: https://www.phoronix.com/scan.php?page=article&item=linux-415-x86pti&num=1
2: https://www.phoronix.com/scan.php?page=news_item&px=x86-PTI-Initial-Gaming-Tests
3: https://www.phoronix.com/scan.php?page=article&item=linux-more-x86pti&num=1
Если вам есть, что добавить по теме, стучитесь мне в @grem1in
Статья от Microsoft о том, что в Azure уже всё пропатчили (но люди жаловались, что сервера без суда и следствия бутнули вчера): https://azure.microsoft.com/en-us/blog/securing-azure-customers-from-cpu-vulnerability/ (via https://t.iss.one/azure_ua)
Бенчмарки от Phoronix по поводу ожидаемой просадки производительности (via @yaroslavpats):
1: https://www.phoronix.com/scan.php?page=article&item=linux-415-x86pti&num=1
2: https://www.phoronix.com/scan.php?page=news_item&px=x86-PTI-Initial-Gaming-Tests
3: https://www.phoronix.com/scan.php?page=article&item=linux-more-x86pti&num=1
Если вам есть, что добавить по теме, стучитесь мне в @grem1in
Microsoft
Securing Azure customers from CPU vulnerability
An industry-wide, hardware-based security vulnerability was disclosed today. Keeping customers secure is always our top priority and we are taking active steps to ensure that no Azure customer is…
Я наконец-то выспался с начала года! Негативная сторона в том, что сейчас очень лениво разбирать какие-то крупные статьи, потому ловите shell скриптик, который позволяет загнать в Terraform GitHub организацию, включая:
- публичные репы
- приватные репы
- репы команд
- сами команды
- членство в командах
- собсно юзеров
Если вы используете GitHub в работе, может быть очень даже интересно:
https://github.com/chrisanthropic/terraform-import-github-organization
- публичные репы
- приватные репы
- репы команд
- сами команды
- членство в командах
- собсно юзеров
Если вы используете GitHub в работе, может быть очень даже интересно:
https://github.com/chrisanthropic/terraform-import-github-organization
GitHub
GitHub - chrisanthropic/terraform-import-github-organization: Script to fully automate Terraform import of Github Org (teams, users…
Script to fully automate Terraform import of Github Org (teams, users, and repos) - chrisanthropic/terraform-import-github-organization
Возвращаясь к нашим баранам: две статьи на русском языке, где на пальцах объясняют Meltdown и Spectre
Meltdown: https://geektimes.ru/post/297029/
Spectre: https://geektimes.ru/post/297031/
"Зоркий Глаз лишь спустя 20 лет заметил, что в крепости не хватает четвёртой стены " (с)
#security
Meltdown: https://geektimes.ru/post/297029/
Spectre: https://geektimes.ru/post/297031/
"Зоркий Глаз лишь спустя 20 лет заметил, что в крепости не хватает четвёртой стены " (с)
#security
Хабр
Новогодние подарки, часть первая: Meltdown
Да, я знаю, что это уже третий материал на GT/HH по данной проблеме. Однако, к сожалению, до сих пор я не встречал хорошего русскоязычного материала — да в общем и с англоязычными, чего уж тут греха...
Docker для Mac с поддержкой Kubernetes из коробки стал общедоступным!
Хотя, пока что в ветке Edge:
https://docs.docker.com/docker-for-mac/#kubernetes
Хотя, пока что в ветке Edge:
https://docs.docker.com/docker-for-mac/#kubernetes
В свете последних событий все углубятся в сферу безопасности, что, конечно, хорошо.
Вот, что примечательно в проблемах aka Meltdown & Spectre: это такая эталонная дыра. Во-первых, процессор всегда считался чем-то 100% надёжным, а все баги, мол, на уровне кода. Оказалось — нет. Во-вторых, атака зависти от навыков атакуемого, а не человеческой глупости. Это уже что-то кардинально отличающиеся от того же WannaCry. Это интересней с чисто исследовательской точки зрения: исследователь не будет гордиться тем, что отправил бабушке похаченный doc-файл. Всё прямо как в шпионских фильмах
Однако, не надо забывать, что большинство прикладных атак не витает так высоко. Если вы прёте чужие кредитки, ваш критерий успеха - колличество угнанных кредиток и, наверное, вероятность обнаружения. Но совсем не "угнать кредитку самым красивым способом".
И я вам сейчас форвардну пост, где как раз описано, почему это страшно и как мы сами открываем двери для не самых приятных людей
#security
Вот, что примечательно в проблемах aka Meltdown & Spectre: это такая эталонная дыра. Во-первых, процессор всегда считался чем-то 100% надёжным, а все баги, мол, на уровне кода. Оказалось — нет. Во-вторых, атака зависти от навыков атакуемого, а не человеческой глупости. Это уже что-то кардинально отличающиеся от того же WannaCry. Это интересней с чисто исследовательской точки зрения: исследователь не будет гордиться тем, что отправил бабушке похаченный doc-файл. Всё прямо как в шпионских фильмах
Однако, не надо забывать, что большинство прикладных атак не витает так высоко. Если вы прёте чужие кредитки, ваш критерий успеха - колличество угнанных кредиток и, наверное, вероятность обнаружения. Но совсем не "угнать кредитку самым красивым способом".
И я вам сейчас форвардну пост, где как раз описано, почему это страшно и как мы сами открываем двери для не самых приятных людей
#security
Forwarded from IT KPI (Denys Morgun)
Не маєте CSP на своєму веб ресурсі? (як і Амазон, до речі) Не контролюєте що можна відправляти користувачу? Чи хочете отримати кольорове логування у терміналі через один з 400,000 неперевірених npm пакетів? Тоді, на хвилі нещодавних інтригуючих подій, радимо почитати цю статтю :)
Надіслав @vladimir4152 через @itkpi_suggest_bot
https://hackernoon.com/im-harvesting-credit-card-numbers-and-passwords-from-your-site-here-s-how-9a8cb347c5b5
Надіслав @vladimir4152 через @itkpi_suggest_bot
https://hackernoon.com/im-harvesting-credit-card-numbers-and-passwords-from-your-site-here-s-how-9a8cb347c5b5
Hackernoon
HackerNoon - read, write and learn about any technology
How hackers start their afternoon. HackerNoon is a free platform with 25k+ contributing writers. 100M+ humans have visited HackerNoon to learn about technology
Оч прикольная статья от DataDog о том, как мониторить PostgreSQL:
https://www.datadoghq.com/blog/postgresql-monitoring/
Кратко описано, как PostgreSQL вообще записывает данные, на какие метрики стоит обращать внимание, и что они вообще значат. Тажке рассказали, какие выводы можно сделать по каждой из метрик и что предпринять в тех или иных ситуациях
#postgresql #database
https://www.datadoghq.com/blog/postgresql-monitoring/
Кратко описано, как PostgreSQL вообще записывает данные, на какие метрики стоит обращать внимание, и что они вообще значат. Тажке рассказали, какие выводы можно сделать по каждой из метрик и что предпринять в тех или иных ситуациях
#postgresql #database
Datadog
Key metrics for PostgreSQL monitoring | Datadog
Learn how to identify and track key PostgreSQL performance metrics in this monitoring guide.
Во вчерашней статье про PostgreSQL проскакивали такие штуки, как MVCC — multi-version concurrency control и VACUUM. Если в двух словах: вместо того, чтобы лочить строку, на которой применяется UPDATE или DELETE, мы сделаем её копию, которая будет видна только транзакции, которая её обновляет. Все текущие же транзакции (non update) будут видеть изначальный вариант строки. А вот когда UPDATE/ DELETE закончится, мы делаем новый вариант видымым для всех, а старый — наоборот. Для этого будем использовать MVCC. Старые dead_rows тоже надо как-то чистить и тут поможет VACUUM
Подробнее про эти два механизма изложено тут:
https://rhaas.blogspot.com/2017/12/mvcc-and-vacuum.html
И отдельно про VACUUM:
https://rhaas.blogspot.com/2018/01/the-state-of-vacuum.html
#postgresql #database
Подробнее про эти два механизма изложено тут:
https://rhaas.blogspot.com/2017/12/mvcc-and-vacuum.html
И отдельно про VACUUM:
https://rhaas.blogspot.com/2018/01/the-state-of-vacuum.html
#postgresql #database
Blogspot
MVCC and VACUUM
Experienced PostgreSQL users and developers rattle off the terms “MVCC” and “VACUUM” as if everyone should know what they are and how they w...
RaspberryPI рассказывают про устройство процессоров и объясняют, почему их устройства не подвержены уязвимостям Meltdown и Spectre:
https://www.raspberrypi.org/blog/why-raspberry-pi-isnt-vulnerable-to-spectre-or-meltdown/
Бонусом обзор того, что сделано по поводу уязвимостей в мире Linux:
https://kroah.com/log/blog/2018/01/06/meltdown-status/
#security
https://www.raspberrypi.org/blog/why-raspberry-pi-isnt-vulnerable-to-spectre-or-meltdown/
Бонусом обзор того, что сделано по поводу уязвимостей в мире Linux:
https://kroah.com/log/blog/2018/01/06/meltdown-status/
#security
Raspberry Pi
Why Raspberry Pi isn’t vulnerable to Spectre or Meltdown
Eben gives you a crash course in how modern processors work to explain why Raspberry Pi is unaffected by the Spectre and Meltdown security vulnerabilities.
У меня сегодня будет JavaDay!
Первая статья, которой я хочу поделиться — записки SRE из Google Andrew Brampton о том, как жить с Java в продакшене. Главное, когда читаешь материалы от Google, помнить, что ты не Google :)
https://www.javaadvent.com/2017/12/running-java-in-production.html/amp
Дальше Daniel Bryant рассказывает, как запускать Java приложения в Docker и оркестрировать это счастье с помощью Kubernetes. При чём, рассказано на примере minicube, что прикольно, потому что убирает зависимости в виде тех или иных облачных сервисов:
https://www.oreilly.com/ideas/how-to-manage-docker-containers-in-kubernetes-with-java
И более низкоуровневая движуха — серия статей на 5-10 минут, в которых описана "анатомия" JVM. Там ещё прикольная табличка, которая отражает, какие темы покрывает та или иная статья:
https://shipilev.net/jvm-anatomy-park/
Enjoy!
#java
Первая статья, которой я хочу поделиться — записки SRE из Google Andrew Brampton о том, как жить с Java в продакшене. Главное, когда читаешь материалы от Google, помнить, что ты не Google :)
https://www.javaadvent.com/2017/12/running-java-in-production.html/amp
Дальше Daniel Bryant рассказывает, как запускать Java приложения в Docker и оркестрировать это счастье с помощью Kubernetes. При чём, рассказано на примере minicube, что прикольно, потому что убирает зависимости в виде тех или иных облачных сервисов:
https://www.oreilly.com/ideas/how-to-manage-docker-containers-in-kubernetes-with-java
И более низкоуровневая движуха — серия статей на 5-10 минут, в которых описана "анатомия" JVM. Там ещё прикольная табличка, которая отражает, какие темы покрывает та или иная статья:
https://shipilev.net/jvm-anatomy-park/
Enjoy!
#java
Я понимаю, что хороша ложка к обеду, но лучше позже, чем никогда!
Люблю, что в русском языке есть пословицы на все случаи жизни с прямо противоположным смыслом :)
В общем, я наконец-то донёс статью Cindy Sridharan про тестирование микросервисов! Конечно, её уже постили, наверное, все. Но во-первых, я хочу чтобы тут она тоже была, так как я иногда сам обращаюсь к материалам, собранным сдесь. Во-вторых, врдуг кто-то пропустил её в новогоднем угаре
https://medium.com/@copyconstruct/testing-microservices-the-sane-way-9bb31d158c16
Статья большая с кучей ссылок. Так что лучше вечерок на неё отвести
#microservices
Люблю, что в русском языке есть пословицы на все случаи жизни с прямо противоположным смыслом :)
В общем, я наконец-то донёс статью Cindy Sridharan про тестирование микросервисов! Конечно, её уже постили, наверное, все. Но во-первых, я хочу чтобы тут она тоже была, так как я иногда сам обращаюсь к материалам, собранным сдесь. Во-вторых, врдуг кто-то пропустил её в новогоднем угаре
https://medium.com/@copyconstruct/testing-microservices-the-sane-way-9bb31d158c16
Статья большая с кучей ссылок. Так что лучше вечерок на неё отвести
#microservices
Medium
Testing Microservices, the sane way
Author’s Note: Thanks, as ever, to Fred Hebert, for reading a draft of this post and making some sterling suggestions. This is the first…
B Kubernetes v1.9 поддержка Windows контейнеров перешла в разряд beta:
https://blog.kubernetes.io/2018/01/kubernetes-v19-beta-windows-support.html?m=1
Кроме того, сделали разные улучшения для Windows, о которых можно почитать в той же статье
Документация, как это конфигурить:
https://kubernetes.io/docs/getting-started-guides/windows/
#kubernetes #windows
https://blog.kubernetes.io/2018/01/kubernetes-v19-beta-windows-support.html?m=1
Кроме того, сделали разные улучшения для Windows, о которых можно почитать в той же статье
Документация, как это конфигурить:
https://kubernetes.io/docs/getting-started-guides/windows/
#kubernetes #windows
blog.kubernetes.io
Kubernetes v1.9 releases beta support for Windows Server Containers
The official Kubernetes blog.
End-to-end шифрование, говорили они. Теперь все ваши фотки котиков в безопасности, говрили они!
Интересная статья про вектор атаки на групповые чаты Signal и WhatsApp, где как-раз используется e2e шифрование:
https://blog.cryptographyengineering.com/2018/01/10/attack-of-the-week-group-messaging-in-whatsapp-and-signal/
В кратце, e2e прекрасно работает в личных чатах: у нас два легитимных субъекта, туда-сюда: всё, как по учебнику. Проблема возникает с групповыми чатами: в спецификациях такой вариант не особо описан и поэтому каждый пляшет, как он хочет.
В принципе, для, собственно, WhatsApp и Signal эта проблема не супер-критична, но она есть и о ней надо помнить. А ещё там два прикольных вывода в конце статьи — ну вы уже сами почитаете 😉
#security
Интересная статья про вектор атаки на групповые чаты Signal и WhatsApp, где как-раз используется e2e шифрование:
https://blog.cryptographyengineering.com/2018/01/10/attack-of-the-week-group-messaging-in-whatsapp-and-signal/
В кратце, e2e прекрасно работает в личных чатах: у нас два легитимных субъекта, туда-сюда: всё, как по учебнику. Проблема возникает с групповыми чатами: в спецификациях такой вариант не особо описан и поэтому каждый пляшет, как он хочет.
В принципе, для, собственно, WhatsApp и Signal эта проблема не супер-критична, но она есть и о ней надо помнить. А ещё там два прикольных вывода в конце статьи — ну вы уже сами почитаете 😉
#security
A Few Thoughts on Cryptographic Engineering
Attack of the Week: Group Messaging in WhatsApp and Signal
If you’ve read this blog before, you know that secure messaging is one of my favorite topics. However, recently I’ve been a bit disappointed. My sadness comes from the fact that lately …
В Google вот заявляют, что их патч для Meltdown & Spectre в GCP не влияет на производительность. И объясняют почему:
https://www.blog.google/topics/google-cloud/protecting-our-google-cloud-customers-new-vulnerabilities-without-impacting-performance/
Я поскольку Google Cloud в продакшн не пользуюсь, не могу авторитетно заявлять, так это или нет. Но, конечно, было интересно "услышать вести с полей". Вести с полей можно слать в ЛС (@grem1in) вместе с любой другой обратной связью!
#gcp
https://www.blog.google/topics/google-cloud/protecting-our-google-cloud-customers-new-vulnerabilities-without-impacting-performance/
Я поскольку Google Cloud в продакшн не пользуюсь, не могу авторитетно заявлять, так это или нет. Но, конечно, было интересно "услышать вести с полей". Вести с полей можно слать в ЛС (@grem1in) вместе с любой другой обратной связью!
#gcp
Google
Protecting our Google Cloud customers from new vulnerabilities without impacting performance
If you’ve been keeping up on the latest tech news, you’ve undoubtedly heard about the CPU security flaw that Google’s Project Zero disclosed last Wednesday. On Friday, we answered some of your questions and detailed how we are protecting Cloud customers.…
Вот и третья часть про систему распределенных логов. В этой статье рассматривается скейл консьюмеров на примере Apache Kafka и NATS Streaming, а также показана разница между push и pull моделями
#log
#log
Brave New Geek
Building a Distributed Log from Scratch, Part 3: Scaling Message Delivery
In part two of this series we discussed data replication within the context of a distributed log and how it relates to high availability. Next, we’ll look at what it takes to scale the log su…
Вот и появился конкурент LetsEncryt: свободных SSL вендоров становится больше!
https://ayesh.me/alwaysonssl-review
#ssl #security
https://ayesh.me/alwaysonssl-review
#ssl #security