Search Results

Apple łata swoje systemy. Warto więc zajrzeć w te łatki: MacOS - https://support.apple.com/en-us/HT213633 iOS - https://support.apple.com/en-us/HT213635 Impact: Processing maliciously crafted web content may lead to arbitrary code execution. Apple is aware of a report that this issue may have been actively exploited. Impact: An app may be able to execute arbitrary code with kernel privileges. Przechodząc na spreparowana strone można wykonac dowlny kod na naszym telefonie bez aktualizacji. Druga podatność umożliwia podniesienie uprawnień do poziomu jądra systemu. odstępne aż od iPhone 8. Reklama: Kurs terraform podstawy - jeden z najpopularniejszych narzędzi IaC. Zobacz jak się nim posługiwać: Nauczysz się tworzyć kod HCL Manipulować obiektami Terraform Poznasz workflow Dowiesz się czym są workspace Poznasz terraform state Polecenia apply destroy i plan

Jak możemy przeczytac na tweeter https://twitter.com/Laughing_Mantis/status/1624900060193624064?t=D41TOFsPqFNuLIIg1PMgiw&s=19 wpis uzytkownika Greg Linares (Mantis) pisze o problemach z dyskami samsung z serii 9XX Samsung bada zgłaszane problemy z dyskami SSD 990 Pro, których właściciele twierdzą, że stan zdrowia dysków pokazuje alarmująco szybkie spadki zgłaszanej pojemności, mimo że na dysku zapisano tylko niewielkie ilości danych. Rzecznik powiedział nam: „Samsung Electronics stoi za jakością naszych wiodących w branży dysków SSD, w tym najnowszego 990 Pro. Jesteśmy świadomi ograniczonej liczby raportów dotyczących tej sprawy i obecnie badamy te doświadczenia, ponieważ konfiguracje użytkowników są różne”. 990 Pro to dysk PCIe 4 w formacie M.2 zbudowany ze 112-warstwową pamięcią 3D NAND w formacie TLC (3 bity/komórkę) o pojemności 1, 2 i 4 TB. Wyjątkowa wydajność to do 800 000/1 000 000 IOPS losowego odczytu/zapisu, zapis sekwencyjny 6,9 GB/s i odczyt sekwencyjny 5 GB/s. Warto zaktualizowac aplikacje do dysków jaki i firware - do pobrania tu https://semiconductor.samsung.com/consumer-storage/support/tools/ Źródło: https://blocksandfiles.com/2023/02/02/samsung-990-pro-ssd-health-issues/ https://twitter.com/Laughing_Mantis/status/1624900060193624064?t=D41TOFsPqFNuLIIg1PMgiw&s=19

Witaj w tym Kursie Terraform Podstawy. Wytłumaczę Ci jak działa i czym jest narzędzie do automatyzacji i opisywania konfiguracji infrastruktury w kodzie (IaC – Infastructure as Code). W kursie tym pokażę Ci jak pracować z terraform na podstawie chmury DigitalOcean i OVH. Zaciekawiony to zapraszam W kilku krótkich lekcjach pokazuję jak na podstawie terraform można zautomatyzować konfiguracje środowiska w chmurze DigitalOcean wykorzystując takie usługi jak: Maszyny wirtualne (droplet). Zabezpieczenia (firewall). Targowanie zasobów. Konfiguracja zony DNS Tworzenie projektu Uruchamianie aplikacji Tworzenie sieci Start szkolenia: 06.02.2023 Długość: ponad 2h nigdzie nie publikowanych materiałów Poziom: Podstawowy, dla początkujących Cena: 20,99 do konca 12.02.2023 O Autorze Autorem kursu jest ja Piotr Kośka posiadam 15 letnie doświadczenie w administracji systemami Linux / Windows / MacOS. Jestem Autor wielu kursów na platformach komercyjnych takich jak sterfakursów i videopoint, autor publikacji na YouTube Miłośnik automatyzacji z wykorzystaniem Ansible, Terraform i bash Uwielbiam tematy związane z cloud, wirtualizacja i konteneryzacją. W wolnych chwilach uwielbiam poczytać fajną książkę lub zagrać na konsoli. Dzięki ^ temu linkowi otrzymasz 100$ na 60 dni testów chmury DigitalOcean absolutnie za darmo, to wystarczy na całe szkolenie nawet jak będziesz realizował jedną lekcje dziennie. Część materiał jest dostępny na moim kanale na YouTube. Kurs ten został wzbogacony o dodatkowe nie publikowane nigdzie materiały, takie jak: Wprowadzenie do DigitalOcean – Moduł pierwszy. Szybki wstęp do Terraform – Moduł drugi Moduł trzeci – Materiały z kanału YouTube. W tym kursie są też dodatkowe Quizy, testy, które pomogą zweryfikować Twoją wiedzę. Dostep do grupy Discord gdzie otrzymasz dodatkowe wsparcie Kod zniżkowy (30%) na inne przyszłe szkolenia dostępne na tej platformie. Co dokładnie zawiera ten kurs Moduł 1 W tym module skupimy się na poznaniu chmury DigitalOcean. To na niej bedziemy uruchamiać w pózniejszych lekcjach i w drugim module naszą konfigurację terraform. Zatem dobrze znać co i jak chcemy uruchomić. Dlaczego ten wybór? Uważam że jest to fajna platforma na start do poznania środowiska cloud. Plus, łatwiej o kontrolę kosztów dla poczatkującej osoby. Platforma jest prosta i intuicyjna po 15 minutach nabierzesz wprawy i będziesz czuł się jak ryba w wodzie :). Jakie tematy porusza ten moduł: DigitalOcean – Pierwsze uruchomienie i nasz projekt DigitalOcean – Billing Alert DigitalOcean – przegląd dostępnych zasobów do uruchomienia DigitalOcean – omówienie pojęcia droplet DigitalOcean – koncepcja klucza SSH Generacja klucza publicznego i prywatnego pod windows DigitalOcean – Dodawanie klucza publicznego DigitalOcean – Tworzymy kropelkę (droplet) DigitalOcean – Konfiguracja Firewall Podsumowanie Modułu DigitalOcean – omówienie VPC DigitalOcean – tworzenie i usuwanie sieci oraz kropelki DigitalOcean – tworzenie klucza API Moduł 2 Wprowadzenie do terraform jako narzędzia – podstawy, zobaczysz jak to narzędzie działa lokalnie z wykorzystaniem providera docker. Poćwiczysz składnie i polecenia by potem uruchomić i skonfigurować infrastrukturę z cloud. Co zawiera ten moduł. Terraform – instalacja na windows Terraform – instalacja na Linux (dodatek) Terraform – instalacja na MacOS (dodatek) Terraform – czym jest terraform Terraform – cli wstęp i podstawy konstrukcji obiektów w HCL Terraform – Nasz pierwszy provider Terraform – State, czym jest Terraform – Terraform init (przykład lokalna infrstruktura, docker) Terraform – pierwszy plan i apply (przykład lokalna infrstruktura, docker) Terraform – przykład terraform plan, apply, validate (przykład lokalna infrstruktura, docker) Terraform – komenda terraform apply i add, change, destroy (przykład lokalna infrstruktura, docker) Terraform – komenda terraform destroy (przykład lokalna infrstruktura, docker) Terraform – terraform import (przykład lokalna infrstruktura, docker) Terraform – Provider digitalocean, pierwsze podłączenie Terraform – Tworzenie droplet z terraform i spojrzenie na plik stanu Terraform – Workspace Terraform – Resources meta-argument lifecycle Terraform – Resources meta-argument count Terraform – Zmienne Terraform – Usuwanie zasobu ze state Terraform – Backend lokalny vs Remote, pg Terrarorm – Konfiguracja backend pg Terraform Cloud Terraform – wykorzystanie Data Sources Terraform – provisionier local i exec rożnice Terraform – czym są moduły Moduł 3 Ten cały moduł jest do obejrzenia na moim kanale YouTube. Co zawiera ten moduł, to praktyczna lekcję jak zbudować naszą konfiguracje z Terraform w DigitalOcean. W ostatniej lekcji uruchamiamy naszą aplikacje z użyciem terraform. Terreform – początki (czysto teoretyczne) Infrastruktura jako kod (IaaC) – cześć 1 Zmieńmy naszą konfigurację na moduł. Infrastruktura jako kod (IaaC) – cześć 2 Infrastruktura w Kodzie (IaaC) – Digital Ocean, prosty cloud na start – część trzecia. Infrastruktura jako Kod (IaaC) – VPC, Domain, konfiguracja w terraformie naszego środowiska cześć 4 Infrastruktura w Kodzie (IaaC) – Trochę o zmiennych i elastyczność naszego modułu – część 5 Infrastruktura w Kodzie (IaaC) – Droplet, Firewall i nasza aplikacja – część 6. Start szkolenia: 06.02.2023 Długość: ponad 2h nigdzie nie publikowanych materiałów Poziom: Podstawowy, dla początkujących Cena: 20,99 do konca 12.02.2023

Listę 10 najpopularniejszych podatności 1. Broken Access Control Nieprawidłowa kontrola dostępu to słabość, dzięki której atakujący uzyskują dostęp do kont użytkowników. Haker podszywa się tutaj pod użytkownika lub administratora w systemie i uzyskuje dostęp do danych oraz wrażliwych plików. Źle skonfigurowana kontrola dostępu może umożliwić atakującemu zmiany na przykład w panelu administracyjnym, panelu sterowania strony internetowej, dostępie przez FTP / SFTP / SSH. Tej luce można zaradzić na następujące sposoby: Wdrożyć interaktywne rozwiązanie do testowania bezpieczeństwa aplikacji w celu wykrywania fałszerstw między witrynami lub niezabezpieczonego przechowywania poufnych danych Przeprowadzić testy penetracyjne w celu uzupełnienia działań IAST Usunąć konta, które nie są już aktywne Przeprowadzać regularne audyty i kontrole dostępu Używać właściwej metody zarządzania sesją i zarządzania dostępem 2. Cryptographic Failures Błędy kryptograficzne występują, gdy przechowywane lub przesyłane dane są w jakiś sposób zagrożone i możliwe do odczytania. Oszustwa związane z kartami kredytowymi lub kradzież tożsamości są często wynikiem błędów kryptograficznych. Takie problemy występują, gdy dane są przesyłane w postaci jawnego tekstu lub używane są przestarzałe algorytmy szyfrujące. Niepoprawne zarządzanie kluczami i techniki rotacji również bywają odpowiedzialne za tego typu luki. Rozwiązania mające na celu usunięcie tej podatności są następujące: Wyłączyć autouzupełnianie w formularzach, które zbierają dane Zmniejszyć rozmiar obszaru powierzchni danych Korzystać z szyfrowania danych podczas przesyłania i przechowywania Korzystać z najbardziej zaawansowanych metod szyfrowania Dezaktywować buforowanie w formularzach zbierających dane 3. Injection Luki w zabezpieczeniach polegające na wstrzykiwaniu odnoszą się do wstrzykiwania wrogich danych do interpretera za pośrednictwem SQL, OS, NoSQL lub LDAP. Ataki wstrzykujące oszukują silnik przetwarzania kodu, aby skłonił aplikację do wygenerowania niezamierzonych poleceń lub wykazał zachowania, dla których aplikacja nie została pierwotnie zaprojektowana. Aplikacje przyjmujące parametry jako dane wejściowe są podatne na ataki iniekcyjne. Aby zapobiec takim atakom, można zastosować następujące podejścia: Dołączyć narzędzia SAST i IAST do strumienia CI/CD Oddzielić polecenia od danych, aby uniknąć niepotrzebnego wykonywania poleceń wynikającego z narażenia na ataki Używać zapytań sparametryzowanych Używać bezpiecznego API zamiast eliminatora Zastosować sprawdzanie poprawności po stronie serwera i system do wykrywania włamań, aby identyfikować podejrzane zachowania po stronie klienta 4. Insecure Design Odnosi się to do wszystkich wad związanych ze złym projektem technicznym aplikacji. Ta kategoria obejmuje modelowanie zagrożeń, bezpieczne wzorce projektowe i architektury referencyjne. Rozwiązania dotyczące zwiększenia bezpieczeństwa w tym zakresie: Zastosować bezpieczny, kontrolowany cykl rozwoju produktu Stworzyć bibliotekę gotowych do użycia bezpiecznych wzorców projektowych Zintegrować kontrole wiarygodności na każdym poziomie aplikacji Wdrożyć modelowanie zagrożeń na potrzeby kluczowego uwierzytelniania, kontroli dostępu, logiki biznesowej i przepływów kluczy Ograniczyć zużycie zasobów użytkowników i usług 5. Security Misconfiguration Błędna konfiguracja zabezpieczeń wśród 10 największych luk w zabezpieczeniach jest luką najczęstszą. Akceptowanie niezabezpieczonych ustawień domyślnych, niekompletnych konfiguracji, rozwlekłych komunikatów o błędach zawierających poufne informacje oraz źle skonfigurowanych odbiorców HTTP są odpowiedzialne za błędną konfigurację zabezpieczeń. Rozwiązania dotyczące błędnej konfiguracji zabezpieczeń: Korzystać z szablonów zgodnych z zasadami bezpieczeństwa organizacji Używać architektury aplikacji podzielonej na segmenty, aby zmniejszyć ryzyko Wyeliminować nieużywane funkcje i usługi Przeprowadzać ciągłe monitorowanie zasobów chmury, serwerów i aplikacji w celu wykrycia błędnych konfiguracji zabezpieczeń 6. Vulnerable and Outdated Components Komponenty open source mogą zawierać luki stanowiące poważne zagrożenie dla bezpieczeństwa aplikacji. Wrażliwe komponenty są często główną przyczyną naruszenia bezpieczeństwa danych. Rozwiązania minimalizujące ryzyko związane z wrażliwymi i przestarzałymi komponentami: Komponenty będące częścią firmowych frameworków powinny podlegać zarządzaniu konfiguracją Skaner aplikacji powinien być w stanie zidentyfikować wszystkie komponenty, które należy monitorować Automatyzacja przepływu pracy związanej z zarządzaniem poprawkami Cykliczne skanowania w oparciu o bazę danych luk w zabezpieczeniach wzbogaconą o dane analizy zagrożeń 7. Identification and Authentication Failures Atakujący przechwytują hasła, tokeny sesji lub klucze bezpieczeństwa, gdy aplikacje nieprawidłowo wykonują funkcje związane z zarządzaniem sesją lub uwierzytelnianiem użytkownika. Prowadzi to do kradzieży tożsamości. Błędy identyfikacji i uwierzytelniania mogą również zagrażać bezpieczeństwu innych zasobów w tej samej sieci. Rozwiązania problemów z kradzieżą tożsamości: Zastosować uwierzytelnianie wieloskładnikowe Użytkownicy z uprawnieniami administratora nie powinni używać poświadczeń domyślnych Monitorować i korelować wszystkie nieudane próby logowania Wdrożyć bezpieczny menedżer sesji i nie umieszczać identyfikatorów sesji w adresach URL 8. Software and Data Integrity Failures Błędy w integralności oprogramowania i danych mają miejsce, gdy kod i infrastruktura nie są w stanie chronić przed naruszeniami integralności. Złośliwy kod i nieautoryzowany dostęp do kodu to zagrożenia związane z tą luką. Programy zawierające wtyczki, biblioteki lub moduły z niezaufanych źródeł są podatne na zmiany w integralności. Możliwości automatycznej aktualizacji powodują, że aktualizacje są wdrażane bez niezbędnych kontroli integralności. Rozwiązania dotyczące problemów z oprogramowaniem i integralnością danych: Implementacja podpisów cyfrowych, aby upewnić się, że program nie został zmanipulowany Wdrożenie procedury przeglądu modyfikacji kodu i konfiguracji Weryfikacja, czy biblioteki i zależności korzystają z zaufanych repozytoriów Weryfikacja, czy strumień CI/CD obejmuje odpowiednią segregację, konfigurację i kontrolę dostępu 9. Security Logging and Monitoring Failures Niepowodzenia w rejestrowaniu i monitorowaniu narażają aplikację na ataki. Sesje i nieudane logowania, jeśli nie są monitorowane, czynią aplikację podatną. Rozwiązania zapobiegające błędom rejestrowania i monitorowania pod kątem bezpieczeństwa: Przeprowadzenie testów penetracyjnych, aby przestudiować raporty i wykryć ewentualne niedociągnięcia Tworzenie logów w formacie, który mogą z łatwością wykorzystywać rozwiązania do zarządzania i wykrywania zdarzeń Implementacja mechanizmu ostrzegania i monitorowania w celu wykrywania podejrzanych działań 10. Server-Side Request Forgery Jest to często wynikiem pobierania przez aplikację zdalnego zasobu bez sprawdzania poprawności adresu URL podanego przez użytkownika. Złożone architektury i coraz częstsze korzystanie z usług w chmurze doprowadziły w ostatnich latach do fałszowania żądań po stronie serwera. Rozwiązania dotyczące fałszowania żądań po stronie serwera: Egzekwować zasadę firewall „deny by default”. Ustalić własność i cykl życia reguł zapory w oparciu o aplikacje Rejestrować wszystkie zaakceptowane i zablokowane przepływy sieciowe na zaporach Oczyścić dane wejściowe dostarczone przez klienta Zapewnić spójność adresów URL A jakie są Twoje topowe podatności w roku 2022 - daj znać w komentarzach. Źródło: https://www.zscaler.com/blogs/product-insights/what-owasp-top-10?_bt=&_bk=&_bm=&_bn=x&_bg=&utm_source=google&utm_medium=cpc&utm_campaign=google-ads-na&gclid=Cj0KCQiA8t2eBhDeARIsAAVEga290ONLTUHI3pvTAJL2q8eVtPvyxQfr7V4qkUXL_dr53ASzDMjYhDQaAl3mEALw_wcB https://owasp.org/www-project-top-ten/

Pamiętacie tą kultową scenę z Terminatora 2: Judgment Day w reżyserii James Cameron gdzie grany przez Roberta Patricka T-1000 przenika kraty w szpitalnym zakładzie zamkniętym Jak was pamięć zawodzi tu przypomnienie :) W filmie Jamesa Camerona z 1991 roku T-1000 stworzony był z płynnego metalu i potrafił kontrolować swój stan skupienia, by zależnie od sytuacji przybierać formę cieczy lub tworzyć ostre ostrza. Jednocześnie wysłany z przyszłości cybernetyczny morderca mógł przyjmować różne kształty i wracać do pierwotnej formy na zawołanie. Wygląda na to, że rzeczywistość powoli dogania science fiction. Na pokazanym wyżej materiale widzimy jak mały robot w kształcie ludzika lego przenika przez kratkę zmieniając się w ciecz :D. Twórcy nawet zamknęli go w klatce, by nawiązać do słynnej sceny z „Terminatora 2”. I rzeczywiście - bot zmienia się w ciecz, by przejść na drugą stronę krat, po czym wraca do pierwotnego kształtu. Robot został zbudowany z galu + czastki magntyczne. Metal przewodzi prąd i reaguje na zmiany pola magnetyczne, a nagrzewa się dzięki indukcji (temperatura topienia galu wynosi zaledwie 29,8°C). Ponadto magnesy pozwalają botowi poruszać się bez zewnętrznego zasilania, a wszystko odbywa się bezprzewodowo. a stworzenie małego prototypu T-1000 odpowiada zespół naukowców pod kierownictwem Chengfeng Pana, inżyniera z Chińskiego Uniwersytetu w Hongkongu. Jak dla mnie czad :)

Hej zapraszam do mojego kursu start już 6 lutego 2023 - będzie to kurs o terraform na przykładzie z digitalocean. Przykładowe lekcje możesz obejrzeć już na moim kanale youtube: Kurs będzie zawierał dodatkowe 1,5 godziny nie publikowanego materiału na temat terraform i digitalocean. Zapraszam do zakupu przedpremierowego i zgarnięcia dodatkowych bonusów.

Taka wiadomośc wpadła na moią skrzynkę pocztową Został stworzony jakiś ticket i by to zweryfikować potrzebują jednanie, nazwy mojego profilu (user name), nazwiska, daty połączenia i hasła :) A przyszło to z adresu: instagramhelpservices@outlook.com Powodzenia :)

Pech chciał że wczoraj musiałem zainstalować oprogramowanie OBS na nowym kompie - i miałem przyjemność spotkać się z tą kampanią. Właściwy wynik dopiero jako trzeci link - sic. Był to świeży komputer bez dodatkowych zabezpieczeń w postaci adblocka do przeglądarki. Choć ja nie dałem się złapać, skam jest paskudny. Jak widać VirusTotal pokazuje że, instalator jest szkodliwy - a strona dla posiadacz systemu z nadgryzionym jabłkiem oferowała tylko i wyłącznie instalator Windows. O takich akcjach pisze też sekurak na swojej stronie Uważajcie na siebie i nie zawsze co podpowiada Google to jest właściwa strona na którą chcecie trafić.

Cisco ogłosiło, że nie zostaną wydane żadne łaty usuwające lukę w zabezpieczeniach, podkreślmy, o krytycznym znaczeniu, która ma wpływ na routery RV016, RV042, RV042G i RV082 dla małych firm. Oczywiście dotyczy to urządzeń, które osiągnęły koniec okresu eksploatacji (EOL). Wada bezpieczeństwa, śledzona jako CVE-2023-20025 (wynik CVSS 9,0), wpływa na internetowy interfejs zarządzania routerów i może zostać wykorzystana do obejścia uwierzytelniania. Problem istnieje, ponieważ dane wprowadzane przez użytkownika w przychodzących pakietach HTTP nie są odpowiednio sprawdzane, co pozwala atakującemu na wysyłanie spreparowanych żądań HTTP do routera, ominięcie uwierzytelniania i uzyskanie uprawnień administratora do systemu operacyjnego. „Cisco nie wydało i nie wyda aktualizacji oprogramowania usuwających tę lukę. Nie ma obejść, które eliminowałyby tę lukę” — zauważa beztrosko firma w swoim poradniku. Gigant technologiczny ostrzegł również przed poważnym błędem w internetowym interfejsie zarządzania tych samych routerów, mogącym prowadzić do zdalnego wykonania poleceń. Luka śledzona jako CVE-2023-20026 wymaga uwierzytelnienia osoby atakującej. Aby złagodzić te luki, administratorzy mogą wyłączyć zdalne zarządzanie na zagrożonych urządzeniach i zablokować dostęp do portów 443 i 60443. Producent ostrzega, że kod exploita dla tej podatności jest publicznie dostępny, ale twierdzi, że nie ma informacji o złośliwych atakach wykorzystujących tę lukę. Zagrożenie jest jednak spore, bo cyberprzestępcy często atakują routery RV Cisco przeznaczone dla małych i średnich firm. Źródło: https://sec.cloudapps.cisco.com/security/center/publicationListing.x

Fortinet ujawnia szczegóły trwającej ekspoitacji. Zainfekowane urządzenie posiada taki plik Okazuje się, że jest to prawdziwy plik modułu IPS, ale z wstrzykniętym dodatkowym kodem. Dodatkowy kod odpala backdoorka (widać tutaj zresztą adres IP używany przez atakujących) Co umożliwia? Interaktywne uruchamianie poleceń w OS na zainfekowanym sprzęcie. W szczególności, na zrzucie powyżej mamy plik o nazwie "w". To finalny malware, który jest pobierany na urządzenie, a który realizuje kilka ciekawych funkcji: Łata pliki /bin/miglogd oraz /bin/syslogd – tak aby zmodyfikować logowanie zdarzeń na urządzeniu Ma swoje warianty aż dla 27 różnych modelu urządzeń Fortinet Usuwa stosowne wpisy w logach Jak wygląda rozpoczęcie ataku? Komunikacja do urządzenia niewymagająca posiadania konta na urządzeniu, wysyła w żądaniu Client Hello (chodzi o nawiązanie połączenia TLS do urządzenia). Taki fragment, zlokalizowany w powyższym żądaniu, świadczy właśnie o (próbie) infekcji: \x00\x0C\x08http/1.1\x02h2\x00\x00\x00\x14\x00\x12\x00\x00\x0Fwww.example.com” (unescaped) should appear inside the “Client Hello Źródło: https://www.fortinet.com/blog/psirt-blogs/analysis-of-fg-ir-22-398-fortios-heap-based-buffer-overflow-in-sslvpnd https://sekurak.pl/alert-nowa-krytyczna-podatnosc-w-fortigate-umozliwia-przejecie-urzadzenia-trwa-aktywna-exploitacja-cve-2022-42475/ https://sekurak.pl/trwa-aktywna-eksploitacja-urzadzen-fortinetu-exploit-podszywa-sie-pod-modul-ips/ https://www.fortinet.com/blog/psirt-blogs/analysis-of-fg-ir-22-398-fortios-heap-based-buffer-overflow-in-sslvpnd

Witaj, w tej już szóstej części omówimy sobie jak za pomocą terraforma wdrożyć naszą aplikację i ją uruchomić na zasobach w digitalocean wykorzystując jedynie terraform do tego. Zapraszam zatem i życzę miłej lektury lub oglądania - materiała jak zawsze dostepny do poczytania i obejrzenia. Poprzednie części odnajdziesz tutaj: Materiał na wstęp i część pierwsza a tu wideo. Część druga a tu wideo Część trzecia a tu wideo Część czwarta a tu wideo Część piąta a tu wideo Cześć Szósta a tu wideo By zaoszczędzić - terraform destroy W komentarzach pod moimi publikacjami czytam pytania o tym dlaczego nie używam przykładowo AWS gdzie jego zasoby są trochę tańsze i jest on bardziej popularny. Szybko odpowiem na to pytania. Tak wiem że AWS jest popularny i w przypadku digitalocean za te same zasoby jest tańszy. Lubie jednak poznawać nowe obszary, a z AWS pracuję zawodowo w pracy po 8h, więc to traktuję jako swoisty reset od zawodowych problemów ;). Plus lubie DigitalOcean, ah ten błękit :). Dobra wracamy do tematu odcinka / wpisu. Na początek zanim zaczniemy deploy naszej aplikacji muszę zaznaczyć że, na tym etapie, nasze konfiguracje w digitalocean będą obarczone kosztami. Dlatego musimy nauczyć się wydawać polecenie terraform destroy. Tak by niepotrzebne elementy układanki wyłączyć by nie generowały zbędnych kosztów. Tu posłuży nam komenda terraform destroy. Terrafrom destroy - z parametrami Polecenie terraform destroy usunie nam wszystko co stworzyliśmy z terraform i znajduje się w naszych plikach konfiguracyjnych oraz w stanie, trzymanym w naszym backend. W tym przypadku jednak nie zależy nam na usunięciu naszego OVH a jedynie zasobów z digitalocean. Zatem wydanie samego terraform destroy byłoby błędem i musimy doprecyzować nasz target. terraform destroy -target module.digitalocean-youtube Poprzez tak wprowadzona komendę ukierunkowujemy nasze polecenie terraform destroy na usunięcie zasobów stworzonych przez moduł digitalocean-youtube zdefiniowany w naszym pliku main.tf module "myovh" { source = "./modules/myovh" } module "digitalocean-youtube" { source = "./modules/digitalocean/youtube-do" providers = { digitalocean = digitalocean.youtube-do } digitalocean_project = { name = "YoutubeProject" description = "Project for YouTube Channel" purpose = "Learning" environment = "development" } secound_octet_number = "2" name_env = "youtube" app_env = "dev" } Zatem nasza konfiguracja ovh będzie bezpieczna. Polecenie przedstawi plan usunięcia naszych zasobów z digitalocean. Liczba 17 będzie tą, która będzie poprawna liczbą związaną z usunięciem moich zasobów z digitalocean. Oczywiście mamy wyżej też podsumowanie w naszej konsoli i możemy je prześledzić i zobaczymy co dokładnie będzie usuwane. Otrzymujemy też komunikat że -target tak naprawdę nie usunie całego naszego stanu i jest sytuacja wyjatkową oraz zamierzona i oczekujemy konkretnego rezultatu. W moim przypadku będzie to usunięcie 17 zasobów z digitalocean. UWAGA!!! - Tu musimy uważać, ponieważ jeżeli nasze sieci utworzone przez terraform w naszym koncie były jedynymi sieciami to z automatu stają się one domyślnymi. Sieci domyślnych w DigitalOcean nie można usunąć. Nasz terraform bedzie miał z nimi problem by je usunąć. Rozwiązanie to utworzyć nowe sieci w każdym regionie i ustawić je jako domyślne. Tu pokazuje nam się siła jaka tkwi w terraform - jest to uniwersalne narzędzie, ale obnażyła się również słabość - jest tak skuteczne jak dobrze jest znana nasza "chmura" na której, uruchamiamy nasz terraform. Zawsze możemy sprawdzić jakie nasze sieci cloud operator uznał za domyślne (Default). Ważne też, że jeżeli w digitalocean pracujesz jako zespół w kilka osób to ważne też by dane VPC które, chcemy usunąć nie zawierało żadnego zasobu - tu uwaga na operacje ręczne. Przykładowo można podzielić nasza konfiguracje inaczej rozdzielając VPC na osobny moduł tak by przy naszym terraform destroy nie były usuwane sieci. Jednak to inny nie nasz scenariusz :). Okej, skoro mamy to wyjaśnione teraz trzeba przed konfiguracja naszych kropelek (droplets) i firewalls postawić z powrotem naszą infrastrukturę. Wydajmy polecenie terraform apply tak by dodać to co skasował nam terraform destroy. Nim płynnie przyjedziemy do naszej aplikacji i jej uruchomienia po debatujmy jeszcze na temat bugów terraforma w naszej konfiguracji. Brak informacji w data naszego źródła danych spowodowane jest tym że, jeszcze nie mamy informacji o naszym projekcie oraz dlatego też jego pobranie musimy uzależnić od jego powstania - depond_on. Idziemy do naszego pliku domain.tf i musimy ta informacje uzupełnić. data "digitalocean_project" "domain" { depends_on = [digitalocean_project.youtube-project] name = var.digitalocean_project.name } resource "digitalocean_project_resources" "domain" { project = data.digitalocean_project.domain.id resources = [ digitalocean_domain.dev-technicznie-nietechnicznie-cloud.urn ] } resource "digitalocean_domain" "dev-technicznie-nietechnicznie-cloud" { name = "${var.app_env}.technicznie-nietechnicznie.cloud" } Uzupełniamy wartoscia depends_on = [digitalocean_project.youtube-project], teraz nasz terraform nie powinien zgłaszać błędu. Uruchamiamy terraform plan i nasze poprzednio 17 uśnięte zasoby teraz chcą się dodać na nowo. Droplet i firewall Przystąpmy do konfiguracji naszej kropelki (Droplet) tak nazywają się maszyny wirtualne w DigitalOcean. Tworzymy plik np o nazwie droplet.tf resource "digitalocean_droplet" "web" { image = "ubuntu-20-04-x64" name = "web-1" region = "fra1" size = "s-1vcpu-1gb" tags = [data.digitalocean_tag.web_tag.name,data.digitalocean_tag.environment_tag.name] vpc_uuid = data.digitalocean_vpc.fra1.id ssh_keys = ["33258272"] user_data = file("./files/user_data/web_server.yml") } data "digitalocean_project" "droplet" { name = var.digitalocean_project.name depends_on = [digitalocean_project.youtube-project] } resource "digitalocean_project_resources" "droplet" { project = data.digitalocean_project.droplet.id depends_on = [digitalocean_project.youtube-project] resources = [ digitalocean_droplet.web.urn ] } resource "digitalocean_record" "web_1" { domain = digitalocean_domain.dev-technicznie-nietechnicznie-cloud.id type = "A" name = "webs-1" value = digitalocean_droplet.web.ipv4_address ttl = 60 } Omówmy zawartość naszego pliku konfiguracyjnego dla zasobu resource "digitalocean_droplet" "web" image - tu umieszczamy informacje o naszym obrazie jakiego wykorzystamy do uruchomienia naszej maszyny wirtualnej. Listę dostępnych obrazów możemy pobrać poprzez polecenie docli (prywatne i publiczne) doctl compute image list zwraca listę naszych prywatnych obrazów doctl compute image list --public --format ID,NameSlug | less zwraca listę publicznych obrazów dostarczanych przez digitalocean name - nazwa dla naszej maszyny wirtualnej region - region w jakim zostanie uruchomiona nasza maszyna wirtualna size - jest to rozmiar naszej maszyny wirtualnej określający rodzaj architektury, typ (intel, amd) wielkość dysku czy wielkość ram. Listę tez doctl compute size list tags - lista tagów przypiętych do tej maszyny wirtualnej vpc_uuid - uuid vpc do którego przypniemy nasza maszynę wirtualną, gdy nie podamy zostanie wybrana domyślna dla naszego regionu, vpc powinien się zgadzać z naszym regionem ssh_keys - lista kluczy publicznych naszych ssh user_data - dodatkowy plik konfiguracyjny, który wykona się tylko raz na naszym hoscie. user_data.yml ma bardzo prostą konstrukcję i nie trzeba go tłumaczyć. #cloud-config apt_update: true packages: - apache2 Kolejne data "digitalocean_project" "droplet" i resource "digitalocean_project_resources" "droplet" to data i resources znane nam z domain.tf. Nowością jest resource "digitalocean_record" "web_1" - który po prostu dodaj nam nowy rekord do naszego domain. Tym rekordem jest rekord A z adresem IP naszej maszyny wirtualnej (kropelki - droplet). Konfiguracja naszego firewall będzie znajdować się w pliku firewall.tf resource "digitalocean_firewall" "managment_firewall" { name = "tf-${var.digitalocean_project.environment}-${var.name_env}-managment-firewall" tags = [data.digitalocean_tag.environment_tag.name] inbound_rule { protocol = "tcp" port_range = "22" source_addresses = var.managment_allows_ips } outbound_rule { protocol = "tcp" port_range = "1-65535" destination_addresses = ["0.0.0.0/0", "::/0"] } outbound_rule { protocol = "udp" port_range = "1-65535" destination_addresses = ["0.0.0.0/0", "::/0"] } outbound_rule { protocol = "icmp" destination_addresses = ["0.0.0.0/0", "::/0"] } } resource "digitalocean_firewall" "web_firewall" { name = "terraform-${var.digitalocean_project.environment}-${var.name_env}-web-firewall" tags = [data.digitalocean_tag.web_tag.name] inbound_rule { protocol = "tcp" port_range = "80" source_addresses = var.managment_allows_ips } inbound_rule { protocol = "tcp" port_range = "443" source_addresses = var.managment_allows_ips } } Odpowiednio resource "digitalocean_firewall" "managment_firewall" i resource "digitalocean_firewall" "web_firewall" pola w tym zasobie odpowiadają za: name - nazwa dla naszego firewall, musi być unikatowa. tags - tagi maszyn wirtualnych dla których będzie działał ten firewall inbound_rule - obiekt określający reguły przychodzące protocol - typ tcp, udp, icmp port_range - port komunikacyjny source_addresses lista adresów dla których będzie ta reguła zezwalać na dostęp outbound_rule obiekt określający reguły wychodzące Jak możemy zobaczyć nie ma reguł blokujących a zatem tego czego nie dodamy w naszym firewall jest automatycznie blokowane blokowane. Oczywiście jak nie podepniemy firewall do naszej maszyny wirtualnej to komunikacja będzie dozwolona na wszystkich portach i protokołach. Pozostaje nam tylko uzupełnić nasz plik z tagami które będą generowane na podstawie naszych zmiennych. data "digitalocean_tag" "environment_tag" { depends_on = [digitalocean_tag.environment_tag] name = "web-${var.digitalocean_project.environment}" } data "digitalocean_tag" "web_tag" { depends_on = [digitalocean_tag.web_tag] name = "web-${var.app_name}" } resource "digitalocean_tag" "environment_tag" { name = "web-${var.digitalocean_project.environment}" } resource "digitalocean_tag" "web_tag" { name = "web-${var.app_name}" } Mozemy przystapić do terraform plan i terraform apply Masza konfiguracja zaczyna się tworzyć i zaraz bedzie dostepna nasza maszyna wirtualna. Możemy przetestować naszą konfiguracje przechodząc na adres FQDN zdefiniowany w naszym domin. I jak widać wszystko działa: Uruchamiamy naszą aplikację. Zróbmy drobna rekonfigurację naszej maszyny wirtualnej by uruchomić teraz naszą aplikację: resource "digitalocean_droplet" "web" { image = "docker-20-04" name = "web-1" region = "fra1" size = "s-1vcpu-1gb" tags = [data.digitalocean_tag.web_tag.name,data.digitalocean_tag.environment_tag.name] vpc_uuid = data.digitalocean_vpc.fra1.id ssh_keys = ["33258272"] #user_data = file("./files/user_data/web_server.yml") connection { type = "ssh" user = "root" private_key = file("/home/windows/.ssh/id_ed25519_DM") host = self.ipv4_address } provisioner "remote-exec" { inline = [ "docker run -itd --name web-1 -p 80:80 piotrskoska/web-example" ] } } Dokładnie dodamy dwa nowe obiekty w naszym resources - będą to connection i provisioner które, pomogą nam odpowiednio podłączyć się do maszyny wirtualnej i wykonać na niej zdalna komendę. docker run -itd --name web-1 -p 80:80 piotrskoska/web-example czyli uruchomi nam to naszą aplikację w kontenerze z nasłuchującym portem otwrtym na porcie 80. Teraffrom plan i potem terraform apply i po przekonfigurowaniu naszego środwiska zobaczymy naszą aplikację:

Nadszedł czas, aby pożegnać się z serią jądra Linuksa 6.0, ponieważ jest on teraz oznaczony jako EOL (End of Life) na stronie kernel.org, co oznacza, że ​​nie będzie już aktualizowany. Jądro Linuksa 6.0 zostało wydane około trzy miesiące temu, 2 października 2022 r., z nowymi funkcjami, takimi jak obsługa uwierzytelniania wewnątrzpasmowego NVMe, asynchroniczny buforowany zapis przy użyciu zarówno XFS, jak i io_uring, obsługa transmisji sieciowej typu zero-copy io_uring lub obsługa magistral PCI w architekturach OpenRISC i LoongArch. Wprowadzono również ulepszenia architektur sprzętowych RISC-V i AArch64 (ARM64), nowe i ulepszone funkcje systemów plików Btrfs i OverlayFS, a także nowe i zaktualizowane sterowniki zapewniające najwyższej klasy obsługę sprzętu. Niestety, jądro Linuksa 6.0 jest gałęzią krótkotrwałą, a nie LTS (Long-Term Support), co oznacza, że ​​jest wspierane tylko aktualizacjami konserwacyjnymi przez kilka miesięcy. Dzisiaj jądro Linuksa 6.0 dobiegło końca wraz z aktualizacją 6.0.19, która jest ostatnią stabilną wersją z tej serii. Opiekunowie dystrybucji GNU/Linux i użytkownicy korzystający z serii jądra Linuksa 6.0 są teraz zachęcani przez opiekunów jądra do aktualizacji do nowszej wersji, takiej jak jądro Linuksa 6.1 , które również zostało dzisiaj zaktualizowane do wersji 6.1.5 dla osób zainteresowanych aktualizacją swoich jąder . „Ogłaszam wydanie jądra 6.0.19. Uwaga, jest to OSTATNIA wersja jądra 6.0.y. Wszyscy użytkownicy muszą w tym momencie przejść do gałęzi 6.1.y, ponieważ ta gałąź jest już wycofana z eksploatacji” — powiedział znany opiekun jądra, Greg Kroah-Hartman. Bez zbędnych ceregieli rozważ jak najszybszą aktualizację jądra Linuksa do wersji 6.1. Większość dystrybucji kroczących, takich jak Arch Linux lub openSUSE Tumbleweed (i ich pochodne), już go używa, więc nie powinno to stanowić problemu. Jądro Linuksa 6.1 powinno wkrótce pojawić się w stabilnych repozytoriach oprogramowania Fedory Linux, podczas gdy użytkownicy Ubuntu będą musieli je zainstalować, korzystając z tego samouczka lub jądra XanMod .

W 2019 roku firma Canonical była optymistycznie nastawiona do wspierania kontrowersyjnego systemu plików , wywołując falę wraz z wydaniem Ubuntu 19.10 , które zawierało eksperymentalną opcję instalacji Ubuntu (jądro, pliki systemowe i dane użytkownika) na woluminie ZFS. Ubuntu było pierwszą dużą dystrybucją Linuksa, która przyjęła ZFS, pomimo plątaniny problemów związanych z licencjonowaniem . Ale od tego czasu entuzjazm opadł. W zeszłym roku programiści Ubuntu naciskali na usunięcie Zsys z instalatora Ubiquity Ubuntu. Jest to integralne narzędzie Ubuntu stworzone, aby ułatwić zarządzanie i konserwację instalacji opartych na ZFS. W raporcie o błędzie bez ogródek zauważyli, że „zmiany priorytetów” w zespole komputerowym oznaczają, że Zsys nie jest już czymś, co chcą „reklamować za pomocą”. Zsys miał zostać zdegradowany z nadchodzącego wówczas LTS, ale z nieujawnionych powodów tak się nie stało . W chwili pisania Zsys pozostaje dostępny w archiwach Ubuntu, ale jego rozwój nie wygląda zdrowo. Wkład Canonical skutecznie spadł około kwietnia 2021 r. w oparciu o zobowiązania GitHub, z tylko trywialną poprawką wprowadzoną w kwietniu ubiegłego roku. Codzienne kompilacje nadchodzącej wersji Ubuntu 23.04 są dostarczane z zupełnie nowym instalatorem, który został zbudowany przy użyciu Flutter dokładnie na potrzeby firmy Canonical. Czego ten nowy instalator Ubuntu nie zawiera? Opcja instalacji Ubuntu w systemie plików ZFS. Bez wyraźnego publicznego znaku jakichkolwiek wysiłków na rzecz rozwoju lub ulepszenia Ubuntu ZFS, członkowie Ubuntu całkiem słusznie zastanawiają się: jaki jest obecnie status obsługi ZFS przez Ubuntu? Twoje przypuszczenia są tak samo dobre jak moje — ale sprawy nie wyglądają dobrze: Zsys jest zablokowany i nie ma możliwości zainstalowania najnowszej wersji Ubuntu na ZFS. W związku z tym wygląda na to, że przelotne zauroczenie Ubuntu tym niesławnym systemem plików dobiegło końca, wysiłek wygasł. Dołącz do Ubuntu TV, Ubuntu Phone, Unity 8 i innych zwłok na cmentarzu rozczarowań firmy Canonical. Źródło: https://discourse.ubuntu.com/t/future-of-zfs-on-ubuntu-desktop/33001?u=d0od https://bugs.launchpad.net/ubuntu/+source/ubiquity/+bug/1966773/comments/1 https://github.com/ubuntu/zsys https://ubuntu.com/blog/zfs-licensing-and-linux https://en.wikipedia.org/wiki/ZFS

We wtorek Microsoft wydał łatki dla 98 luk oznaczonych numerami CVE, w tym jednej wykorzystywanej w środowisku naturalnym (CVE-2023-21674) i jednej (CVE-2023-21549), która została ujawniona publicznie. Obie pozwalają atakującym na podniesienie uprawnień na podatnej maszynie. To pierwszy Patch Tuesday w 2023 roku. Warto dodać, że spośród 98 luk jedenaście zostało sklasyfikowanych jako krytyczne. Liczba błędów w każdej kategorii została wymieniona poniżej: 39 luk w zabezpieczeniach podniesienia uprawnień, 4 luki w zabezpieczeniach dotyczące obejścia zabezpieczeń, 33 luki w zabezpieczeniach umożliwiające zdalne wykonanie kodu, 10 luk w zabezpieczeniach związanych z ujawnianiem informacji, 10 luk w zabezpieczeniach związanych z odmową usługi, 2 luki w zabezpieczeniach związane z fałszowaniem (spoofingiem). Uwaga na te luki w bezpieczeństwie CVE-2023-21674 CVE-2023-21674 to luka w zabezpieczeniach systemu Windows Advanced Local Procedure Call (ALPC), która może prowadzić do ucieczki z piaskownicy przeglądarki i umożliwić atakującym uzyskanie uprawnień SYSTEM w wielu różnych instalacjach systemów Windows i Windows Server. „Błędy tego typu są często łączone z jakąś formą wymuszania kodu w celu dostarczenia złośliwego oprogramowania lub oprogramowania ransomware. Biorąc pod uwagę, że zostało to zgłoszone Microsoft przez badaczy z firmy Avast, taki scenariusz wydaje się tutaj prawdopodobny” — zauważył Dustin Childs z firmy Trend Micro. Należy pamiętać, że łatanie tego typu błędów powinno być priorytetem. Na ogół luki w zabezpieczeniach takie jak CVE-2023-21674 są dziełem grup APT w ramach ataków ukierunkowanych. Wykorzystują oni tego typu exploity do atakowania środowisk informatycznych. CVE-2023-21549 Druga publicznie ujawniona luka w zabezpieczeniach, CVE-2023-21549, dotyczy Windows SMB Witness. Jej użycie jest mniej prawdopodobne w najnowszych wersjach systemów Windows i Windows Server, mimo że złożoność ataku i niezbędne uprawnienia są niskie, a interakcja użytkownika nie jest wymagana. „Aby wykorzystać lukę, osoba atakująca może wykonać specjalnie spreparowany złośliwy skrypt, który wykonuje wywołanie RPC do hosta RPC. Może to spowodować podniesienie uprawnień na serwerze. Osoba atakująca, której uda się wykorzystać tę lukę, może wykonać funkcje RPC, które są ograniczone tylko do kont uprzywilejowanych” — wyjaśnia Microsoft. Inne luki Administratorzy odpowiedzialni za łatanie lokalnych serwerów Microsoft Exchange powinni szybko przystąpić do załatania dwóch luk EoP (CVE-2023-21763/CVE-2023-21764), wynikających z nieudanej poprawki wydanej w listopadzie 2022 roku. Pozostałe łaty mają na celu naprawienie luk w Windows Print Spooler (jedna z nich została zgłoszona przez NSA), jądrze Windowsa i innych rozwiązaniach. Istnieją również dwie interesujące luki (CVE-2023-21560, CVE-2023-21563) umożliwiające atakującym ominięcie funkcji BitLocker Device Encryption na systemowym urządzeniu pamięci masowej w celu uzyskania dostępu do zaszyfrowanych danych, ale tylko wtedy, gdy są one fizycznie obecne. Windows 7 i Server 2008/2008 R2 bez wsparcia producenta Przy okazji publikacji informacji o Patch Tuesday warto wspomnieć o ogłoszonym przez Microsoft 10 stycznia końcu wsparcia dla Windows 7 i Server 2008/2008R2. Od teraz korzystanie z tych systemów będzie niosło duże ryzyko, zwłaszcza w kwestii bezpieczeństwa. Źródła: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21674 https://www.zerodayinitiative.com/blog/2023/1/10/the-january-2023-security-update-review https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21549

Podatność: Windows Advanced Local Procedure Call (ALPC) Elevation of Privilege Vulnerability umożliwia zdobycie uprawnień SYSTEM z poziomu zwykłego użytkownika. Microsoft dodaje, że luka może być użyta do wyskoczenia z sandboxa przeglądarkowego. Więc prawdopodobnie jest ona składnikiem łańcucha: wchodzisz na zainfekowaną stronę -> serwowany jest exploit na przeglądarkę -> użyty jest CVE-2023-21674 do otrzymania uprawnień SYSTEM na Twoim komputerze. Podatność była/jest exploitowana w Internecie, więc warto sprawdzić czy macie już wgrane ostatnie łatki.

Mamy kiepskie wiadomości dla właścicieli inteligentnych pojazdów różnych firm. Są to także niechlubne informacje dla branży automotive. Zespół naukowców kierowany przez Sama Curry’ego wziął na tapetę zabezpieczenia aplikacji największych producentów z branży samochodowej i postanowił je przetestować. Podczas przeprowadzonych testów penetracyjnych odkrył wiele błędów w zabezpieczeniach API marek takich jak Ferrari, BMW, Rolls Royce, Porsche i innych. Chciałoby się powiedzieć – technologia do zdalnego zarządzania pojazdem jest czasem jak zbawienie i super „ficzer”, ale może też być niebezpieczna. Jak bardzo – opisujemy poniżej. Znane marki pod lupą badaczy bezpieczeństwa Badacze sprawdzili systemy telemetryczne, interfejsy API używane w motoryzacji oraz infrastrukturę obsługującą samochody. Wyniki testów są porażające i gdyby nie szybka reakcja producentów i naprawa błędów, zalecalibyśmy Ci, Drogi Czytelniku, jak najszybsze odinstalowanie z Twojego smartfona aplikacji i wyłączenie funkcji zdalnego zarządzania Twoim pojazdem. Poniżej prezentujemy jedynie wybrane zrzuty z aplikacji (Mercedes, Ferrari i BMW), do których udało się uzyskać dostęp. Jakie możliwości stwarzają odkryte luki? Na początku tego roku Curry ujawnił, w jaki sposób przestępcy wykorzystali błędy, aby odblokować i uruchomić samochody z omawianymi wadami. Hakerzy mogli wykonywać złośliwe działania za pośrednictwem luk w zabezpieczeniach API u prawie dwudziestu producentów samochodów oraz w usługach, jakie posiadali zaimplementowane w środowisku IT. Możliwości, jakie dają im te błędy, są ogromne. Najważniejsze to: odblokowywanie samochodów, uruchamianie samochodów, śledzenie samochodów, ujawnianie danych osobowych klientów. Wszystkie dwadzieścia marek, u których zaobserwowano podatności, to marki dobrze znane, a błędy znaleziono dodatkowo w usługach przesyłania strumieniowego u producentów bezpośrednio związanych z przemysłem motoryzacyjnym oraz wspomnianymi firmami samochodowymi. Są to firmy takie jak: Spireon, Reviver, SiriusXM. W tej chwili nie są dostępne żadne exploity, ponieważ wszystkie problemy przedstawione w raporcie zostały naprawione przez dostawców. Stwierdzono, że najpoważniejsze wady w API mają BMW i Mercedes-Benz. Marki samochodowe z wykrytymi lukami w zabezpieczeniach U wymienionych poniżej firm z branży motoryzacyjnej zidentyfikowano kilka luk w zabezpieczeniach, które podsumowujemy: Kia, Honda, Infiniti, Nissan, Acura W pełni zdalne blokowanie, odblokowywanie, uruchamianie silnika, zatrzymywanie silnika, precyzyjna lokalizacja, miganie reflektorami i trąbienie pojazdami przy użyciu tylko numeru VIN W pełni zdalne przejęcie konta i ujawnienie PII za pomocą numeru VIN (imię i nazwisko, numer telefonu, adres e-mail, adres zamieszkania właściciela) Możliwość zablokowania użytkownikom opcji zdalnego zarządzania pojazdem, możliwość zmiany właściciela Dodatek od Kii – możliwość uzyskania zdalnego dostępu do kamery 360 stopni i obraz na żywo z samochodu Mercedes-Benz Dostęp do setek aplikacji wewnętrznych o znaczeniu krytycznym za pośrednictwem nieprawidłowo skonfigurowanego logowania jednokrotnego Dostęp do wielu instancji Github za aplikacją SSO Dostęp do wewnętrznego czatu w całej firmie, możliwość dołączenia do niemal każdego kanału Dostęp do SonarQube, Jenkins, różnych wersji serwerów Dostęp do wewnętrznych usług wdrożeniowych w chmurze do zarządzania instancjami AWS Dostęp do interfejsów API związanych z pojazdami wewnętrznymi Zdalne wykonanie kodu na wielu systemach Wycieki pamięci prowadzące do ujawnienia danych osobowych pracownika/klienta oraz dostępu do konta Hyundai, Genesis W pełni zdalne blokowanie, odblokowywanie, uruchamianie i zatrzymywanie silnika, precyzyjne lokalizowanie, miganie reflektorami i trąbienie – wszystko to przy użyciu wyłącznie adresu e-mail ofiary W pełni zdalne przejęcie konta i ujawnienie PII za pośrednictwem adresu e-mail ofiary (imię i nazwisko, numer telefonu, adres e-mail, adres właściciela) Możliwość zablokowania użytkownikom funkcji zdalnego zarządzania pojazdem, możliwość zmiany właściciela. BMW, Rolls-Royce Podstawowe luki w zabezpieczeniach SSO w całej firmie, które umożliwiły nam dostęp do dowolnej aplikacji pracowniczej jako dowolny pracownik Dostęp do wewnętrznych portali dealerskich, gdzie możesz zapytać o dowolny numer VIN, aby pobrać dokumenty sprzedaży BMW Możliwość uzyskania dostępu do dowolnej aplikacji zablokowanej za pomocą logowania jednokrotnego w imieniu dowolnego pracownika, w tym aplikacji używanych przez pracowników zdalnych i dealerów Ferrari Pełne przejęcie konta bez interakcji dla dowolnego konta klienta Ferrari IDOR, aby uzyskać dostęp do wszystkich danych klientów Ferrari Brak kontroli dostępu umożliwiający atakującemu tworzenie, modyfikowanie, usuwanie kont użytkowników, administratorów, „zaplecza” pracowników oraz wszystkich kont użytkowników z możliwością modyfikowania stron internetowych należących do Ferrari za pośrednictwem systemu CMS Możliwość dodawania tras HTTP na api.ferrari.com (łączniki rest) i przeglądania wszystkich istniejących złączy rest i związanych z nimi poufnych danych (nagłówki autoryzacji) Spireon Pełny dostęp administratora do ogólnofirmowego panelu administracyjnego z możliwością wysyłania dowolnych poleceń do około 15,5 miliona pojazdów (odblokowywanie, uruchamianie silnika, wyłączanie rozrusznika itp.), odczytywanie lokalizacji dowolnego urządzenia oraz flashowanie/aktualizacja oprogramowania układowego urządzenia Zdalne wykonywanie kodu w podstawowych systemach do zarządzania kontami użytkowników, urządzeniami i flotami. Możliwość dostępu i zarządzania wszystkimi danymi w całym Spireon Możliwość pełnego przejęcia dowolnej floty (pozwoliłoby nam to śledzić i wyłączać rozruszniki pojazdów policyjnych, karetek pogotowia i organów ścigania w wielu dużych miastach i wysyłać polecenia do tych pojazdów, np. „nawiguj do tej lokalizacji”) Pełny dostęp administracyjny do wszystkich produktów Spireon Dostęp do 15,5 mln urządzeń (głównie pojazdów) Dostęp do 1,2 miliona kont użytkowników (konta użytkowników końcowych, menedżerowie floty itp.) Ford Pełne ujawnienie pamięci w interfejsie API telematyki pojazdu produkcyjnego Ujawnienie danych osobowych klienta i tokenów dostępu do śledzenia i wykonywania poleceń w pojazdach Ujawnienie poświadczeń konfiguracji używanych do usług wewnętrznych związanych z telematyką Możliwość uwierzytelnienia na koncie klienta i uzyskania dostępu do wszystkich danych osobowych oraz wykonywania działań przeciwko pojazdom Przejęcie konta klienta poprzez niewłaściwe parsowanie adresów URL umożliwia atakującemu pełny dostęp do konta ofiary, w tym portalu pojazdu Reviver Pełny superdostęp administracyjny do zarządzania wszystkimi kontami użytkowników i pojazdami dla wszystkich pojazdów podłączonych do Reviver Śledzenie fizycznej lokalizacji GPS i zarządzanie tablicami rejestracyjnymi wszystkich klientów Reviver (np. zmieniając hasło na dole tablicy rejestracyjnej na dowolny tekst) Aktualizowanie dowolnego statusu pojazdu na „SKRADZIONY” – umożliwia aktualizację tablicy rejestracyjnej i informuje władze Uzyskanie dostępu do wszystkich danych użytkowników, w tym posiadanych pojazdów, ich adresu, numeru telefonu i adresu e-mail Możliwość uzyskania dostępu do funkcji zarządzania flotą dla dowolnej firmy, lokalizowanie wszystkich pojazdów we flocie i zarządzanie nimi Porsche Możliwość pobierania lokalizacji pojazdu, wysyłania poleceń dotyczących pojazdu i pobierania informacji o kliencie za pośrednictwem luk w zabezpieczeniach mających wpływ na usługę telematyki pojazdu Toyota IDOR w Toyota Financial, który ujawnia imię i nazwisko, numer telefonu, adres e-mail oraz status pożyczki wszystkich klientów finansowych Toyota Jaguar, Land Rover Identyfikator konta użytkownika ujawniający skrót hasła, imię i nazwisko, numer telefonu, adres właściciela i informacje o pojeździe SiriusXM Wyciekły klucze AWS z pełnym organizacyjnym dostępem do odczytu/zapisu S3, możliwością odzyskania wszystkich plików, w tym baz danych użytkowników, kodu źródłowego i plików konfiguracyjnych dla Syriusza. Używanie GPS-u do śledzenia lokalizacji pojazdu Co więcej, odkryte luki mogły umożliwiać hakerom śledzenie samochodów w czasie rzeczywistym, narażając miliony właścicieli na potencjalne zagrożenia i mogąc naruszyć ich prywatność bez ich wiedzy. „Jedna z luk w systemie telematycznym Porsche umożliwiła atakującym uzyskanie lokalizacji pojazdów, a także wysyłanie poleceń, co czyni tę markę jedną z najbardziej dotkniętych tym problemem!” Wystąpiły również luki w Spireon, oprogramowaniu do śledzenia GPS. Zapewnienie atakującym pełnego dostępu do panelu zdalnego zarządzania firmą sprawia, że mogą oni: odblokowywać samochód, uruchamiać silnik, wyłączać rozrusznik. Ponadto producent cyfrowych tablic rejestracyjnych, Reviver, również okazał się narażony na ataki, a jego panel administracyjny wyjątkowo podatny na nieuwierzytelniony dostęp zdalny. Co powinni zrobić właściciele samochodów? Właściciele mogą zminimalizować ryzyko, upewniając się, że ich pojazdy lub towarzyszące im aplikacje mobilne zawierają tylko ograniczone dane osobowe. Źródło: https://sekurak.pl/pokazali-podatnosciami-w-api-mozna-bylo-przejmowac-konta-pracownikow-dealerow-bmw-rolls-royce-efekt-mieli-mozliwosc-wgladu-w-szczegoly-dokumentacje-serwisowe-samochodow/ https://samcurry.net/web-hackers-vs-the-auto-industry/ https://sekurak.pl/zhackowali-system-kia-pokazali-jak-mozna-przejmowac-samochody-zdalne-otwieranie-uruchamianie-samochodow-dostep-do-kamer/ https://sekurak.pl/prostymi-podatnosciami-wjechal-w-infrastrukture-it-mercedesa-przejecie-wielu-serwerow-rce-bez-uwierzytelnienia-dostep-do-wewnetrznego-chatu/

Zoom, znana aplikacja do przesyłania wiadomości wideo, wydała łatki usuwające wiele luk w zabezpieczeniach. Poprawki są obowiązkowe zarówno dla użytkowników systemów Windows, jak i macOS. Luki w zabezpieczeniach dotyczą produktu Zoom Rooms, przeznaczonego dla przedsiębiorstw. Mogą zostać wykorzystane w atakach polegających na eskalacji uprawnień na wszystkich popularnych platformach. Jest to pierwsza partia łatek na 2023 rok. Obejmuje poprawki trzech luk „o dużej wadze” w Zoom Rooms dla instalatorów Windows, Zoom Rooms dla klientów Windows i Zoom Rooms dla klientów macOS. Oto jak Zoom dokumentuje problemy wysokiego ryzyka: CVE-2022-36930 — lokalna eskalacja uprawnień w Zoom Rooms dla instalatorów systemu Windows (CVSS 8.2/10) — Zoom Rooms dla instalatorów systemu Windows przed wersją 5.13.0 zawiera lukę umożliwiającą lokalne zwiększenie uprawnień. Lokalny użytkownik o niskich uprawnieniach może wykorzystać tę lukę w łańcuchu ataków, aby przekazać swoje uprawnienia użytkownikowi SYSTEM. CVE-2022-36929 — lokalna eskalacja uprawnień w Zoom Rooms dla klientów Windows (CVSS 7.8/10) — Zoom Rooms dla klientów Windows przed wersją 5.12.7 zawiera lukę umożliwiającą lokalne zwiększenie uprawnień. Lokalny użytkownik o niskich uprawnieniach może wykorzystać tę lukę w łańcuchu ataków, aby przekazać swoje uprawnienia użytkownikowi SYSTEM. CVE-2022-36927 — lokalna eskalacja uprawnień w Zoom Rooms dla klientów macOS (CVSS 8.8/10) — Zoom Rooms dla klientów macOS przed wersją 5.11.3 zawierają lukę w zabezpieczeniach umożliwiającą lokalne zwiększenie uprawnień. Lokalny użytkownik o niskich uprawnieniach może wykorzystać tę lukę, aby zwiększyć swoje uprawnienia do uprawnień roota. Zoom wydał również poprawki dla pary błędów średniej wagi w Zoom Rooms dla klientów macOS przed wersją 5.11.4, ostrzegając, że ta wersja oprogramowania zawiera niezabezpieczony mechanizm generowania kluczy. „Klucz szyfrowania używany do IPC między usługą demona Zoom Rooms a klientem Zoom Rooms został wygenerowany przy użyciu parametrów, które można uzyskać za pomocą lokalnej aplikacji o niskich uprawnieniach. Klucz ten może być następnie użyty do interakcji z usługą demona w celu wykonania uprzywilejowanych funkcji i spowodowania lokalnej odmowy usługi”. Zoom naprawił również lukę w zabezpieczeniach związaną z przechodzeniem ścieżki w programie dla klientów Androida, ostrzegając, że aplikacja innej firmy może wykorzystać tę lukę do odczytu i zapisu w katalogu danych aplikacji Zoom.

Udostępnili ~200 milionów rekordów do pobrania. Wyciek brzmi groźnie, ale zawsze warto sprawdzać co dokładnie wyciekło i kiedy. W każdym razie na jednym z forów pojawiły się linki do bazy, a także demo tego co wyciekło: Gdzie sprawdzić czy Twój e-mail wyciekł w tej akcji? Tutaj: https://haveibeenpwned.com/ (Troy Hunt właśnie zaimportował bazę).

Uważajcie na scam na FB promujący oprogramowanie do mierzenia "pedkości" łącza internetowego. Jedynie co ono zmierzy to szybkość w jakim zareagujecie na skradzione dane... a tak na serio to scam. Zdjęcie zapożyczone z portalu sekurak - gdzie został on poddany analizie i link z FaceBook prowadzi do: hxxps://mega(kropka)nz/file/iFlyWAxD#EpqvqJd6ZtgtDrjN1LquBZ3vQWX8hd7rC1N2dztXGcc Virustotal - zgłaszan że jest rozpoznawany tylko przez 11 vendorówna 57. Jak widać coraz wiecej kampani w stylu "wykupimy reklamę by się do Ciebie dobrać". Popularność serwisów FB czy google powoduje że czasami wyłączamy myślenie, a powinno być wręcz przeciwnie. Dajcie znać mniej technicznym kolegą, rodzicom, znajomym. A i też uważajcie na siebie. Oczywiście możemy zgłosić taką reklamę:

Firma NVIDIA udostępniła dzisiaj sterownik graficzny NVIDIA 525.78.01 dla systemów GNU/Linux, FreeBSD i Solaris, aby naprawić kilka błędów w poprzednich wersjach gotowej do produkcji gałęzi zastrzeżonego sterownika wideo. NVIDIA 525.78.01 ma poprawić obsługę aplikacji Vulkan X11, usuwając regresję, która uniemożliwiała wyświetlanie wskaźnika wizualnego zgodnego z G-SYNC/G-SYNC, oraz naprawiając błąd, który mógł powodować awarie aplikacji z błędami Xid 32 podczas korzystania z VK_KHR_present_id rozszerzenie Vulkan. Naprawia również awarię panelu sterowania nvidia-settings, która występowała podczas korzystania z nowszego panelu sterowania ze starszą wersją sterownika graficznego NVIDIA , a także błąd powodujący nadmierne użycie procesora w hybrydowych konfiguracjach graficznych, w których podłączony jest zewnętrzny monitor do oddzielnej karty graficznej NVIDIA i skonfigurowany jako pochłaniacz PRIME Display Offload. Sterownik graficzny NVIDIA 525.78.01 jest już dostępny do pobrania z oficjalnej strony internetowej . Jest oznaczony jako „Najnowsza wersja gałęzi produkcyjnej”, co oznacza, że ​​jest zalecany do instalacji na maszynach produkcyjnych, na których używasz sterownika NVIDIA 525.60.11 lub wcześniejszej wersji. Pliki do pobrania są dostępne dla platform Linux 64-bitowych i ARM64 (AArch64), a także dla 64-bitowych systemów FreeBSD i x64/x86 Solaris. Instrukcje instalacji znajdują się na stronie pobierania dla każdej wersji, jeśli ręcznie instalujesz sterownik karty graficznej NVIDIA. Ci z was, którzy chcą zainstalować moduł jądra GPU typu open source, będą musieli sprawdzić stronę GitHub , aby zapoznać się z otwartymi modułami jądra GPU NVIDIA Linux. Jeśli nie lubisz ręcznej instalacji, będziesz musiał poczekać, aż nowa wersja sterownika pojawi się w stabilnych repozytoriach oprogramowania Twojej ulubionej dystrybucji GNU/Linux, aby ją zaktualizować.