allesnurgecloud #33 – verwundbare Azure DBs, DDoS Attacke bei Cloudflare, E-Mail Reputation und mehr

allesnurgecloud.com ist ein kuratierter Newsletter mit Inhalten aus der OpenSource, Cloud und IT Welt.
Möchtest du den Newsletter wöchentlich per E-Mail erhalten?
Einfach hier abonnieren:

Please enter a valid email address
Diese E-Mail ist bereits registriert.
The security code entered was incorrect
Vielen Dank für Deine Anmeldung - bitte den Opt-In bestätigen.

ChaosDB: Tausende von Azure Datenbanken verwundbar

Die Security Forscher der Security Plattform WIZ veröffentlichten am 26.08.2021 einen Report über einen Angriffsvektor zu tausenden Azure Cosmos DB Datenbanken. Über eine Lücke in einem Reporting Tool namens Jupyter Notebook konnten die Forscher von WIZ auf die Primary Keys von Cosmos DB Kunden zugreifen und deren Daten manipulieren.
Das Microsoft Security Team hat sehr schnell reagiert, das entsprechende Feature deaktiviert und Microsoft hat seine Kunden entsprechend informiert. 30% der Cosmos DB Kunden wurden demnach darüber informiert, dass Sie ihre Access Keys rotieren sollten, um sicherzustellen, dass Fremde keinen Zugriff mehr erhalten können.
Das Notebook Feature gibt es seit Januar 2021, die Kunden waren also länger verwundbar als ursprünglich angenommen. Laut Reddit Kommentaren ist das Feature per Default aktiviert, wird aber nach 3 Tagen automatisch deaktiviert, wenn die Kunden es nutzen.
Die Lücke findet ihr unter dem Suchbegriff „ChaosDB“ – eine Zusammenfassung des Vorfalls hat auch „The Register“.

ChaosDB: How we hacked thousands of Azure customers’ databases

Cloudflare verteidigt bisher größte DDoS Attacke

Cloudflare hat im Juli 2021 die nach eigenen Angaben bisher größte DDoS Attacke mitigiert, die jemals veröffentlicht wurde. Wir haben davon nichts mitbekommen, da es einfach normal funktioniert hat. Die Attacke wurde mit 17,2 Millionen Requests pro Sekunde (rps) gefahren – der saubere Traffic, der über Cloudflares Netze pro Sekunde geht, betrug im Q2/2021 mit 25 Millionen rps.
Die Attacke hat also mehr als 2/3 des normalen Cloudflare Traffics betragen und wir haben davon nichts gemerkt – beeindruckend.
Die Urheber der Attacke kamen zum Großteil aus Botnetzen aus über 125 Ländern – mit Fokus auf Indonesien, Indien und Brazilien.

Cloudflare thwarts 17.2M rps DDoS attack — the largest ever reported

Sponsored

Hier könnte Deine Werbung stehen

Du möchtest deine Firma, angebotene Dienstleistungen & Services, dein SaaS Produkt gerne hier im Newsletter vorstellen?
Oder eine Job Anzeige schalten?

Antworte mir einfach auf diesen Newsletter – danke.

Datenschutz der Stadt Hamburg warnt vor Nutzung von Zoom

Schon etwas älter die News, aber wollte ich euch urlaubsbedingt nicht vorenthalten. Der Beauftragte für Datenschutz und Informationsfreiheit der Stadt Hamburg (Kurz: HmbBfDI) hat die Senatskanzlei vor dem Einsatz von Zoom gewarnt, da der Einsatz von Zoom OnDemand nicht mit der DSGVO vereinbar sei. Zudem stehe in Hamburg ein alternatives Tool für Videokonferenzen zur Verfügung – das ist dann häufig der Knackpunkt bei solchen DSGVO Themen.
Gibt es Alternativen? Hat man sich diese angeschaut? Sind sie 10 mal so teuer? Dann ist das eher OK das zu nutzen als trotz einer alternative ein nicht konformes Tool einzusetzen.
Im verlinkten Techcrunch Artikel findet ihr mittlerweile weitere Stellungnahmen der Stadt Hamburg und von Zoom selbst.

techcrunch.com: Stop using Zoom, Hamburg’s DPA warns state government

10 Vorteile der Test Automatisierung bei Web Applikationen

Tests zu schreiben ist ungefähr so beliebt wie das Aufräumen von technischen Schulden. Dabei ist der Punkt „Fehlende oder unvollständige Testautomatisierung“ ein toller Punkt auf einer transparenten Schulden-Liste.
Jedenfalls zeigt euch der verlinkte Artikel 10 Vorteile von Test Automatisierung bei Web Projekten, kurz zusammengefasst:

  1. Automatisierte Regressions Tests helfen früh im Testing Prozess und sparen so enorm Zeit im Development Lifecycle
  2. Höherer RoI aufgrund Wegfall von diversen manuellen Tests – also falls nicht der Kunde testet
  3. Man kann Tests wiederverwenden und ähnliche Testfälle aufeinander aufbauen
  4. Tests können automatisiert 24×7 laufen und somit permanent einen Mehrwert liefern
  5. Das QA Team kann sich auf die komplexeren Fälle konzentrieren – sollte sich aber auch nicht zu 100% auf die Automatisierung verlassen

Weitere Tipps und mehr Details findet ihr im nachfolgend verlinkten Artikel.

merixstudio.com: 10 benefits of automated testing in web development

Naomi Wu kämpft in China vor Ort für die Einhaltung der GPL

Naomi Wu ist dem ein oder anderen vielleicht ein Begriff, falls nicht, schaut euch mal dieses Intro hier an (nicht erschrecken). Naomi hat neben dem populären YouTube Account auch einen interessanten Twitter Feed.
Jedenfalls lebt und arbeitet sie in Shenzhen, China, und wurde nun von der Community darauf aufmerksam gemacht, dass die Firma UMIDIGI, ein Smartphone Hersteller aus Shenzhen, gegen die GPL verstößt. Eine Entwicklerin aus den Niederlanden wollte den Source Code der Android basierten Budget Phones vom Hersteller bekommen (Android basiert ist das rechtlich nötig), ein UMIDIGI Mitarbeiter wies dann per Support Chat darauf hin, dass man den Source Code ja vor Ort in Shenzhen abholen könne.
Tja, da hat er wohl nicht mit Naomi Wu gerechnet, denn gewohnt selbstbewusst stolziert sie in diesem YouTube Video in das Großraumbüro von UMIDIGI und klärt den Sachverhalt auf.

Getting GPLv2 Compliance From A Chinese Company- In Person!

DKIM, DMARC & SPF und E-Mail Reputation

Schon länger wollte ich mal einen extra Artikel zum Thema E-Mail Reputation schreiben. Der kommt sicherlich auch bald, bis dahin hilft euch dieses HowTo vielleicht weiter. Alex Blackie erklärt in seinem Blog Eintrag die Themen SPF, DMARC und DKIM und warum es immer sinnvoll ist, diese DNS Einträge korrekt zu setzen. Domains ohne E-Mail Versand sollten per SPF gesperrt werden, um Missbrauch vorzubeugen.

Email Authenticity 101: DKIM, DMARC, and SPF

5 erwähnenswerte Ansible Techniken

Ian Miell zeigt in seinem Blog Beitrag 5 Ansible Techniken, die ihr vielleicht noch nicht kennt.

  1. --step ermöglicht eine interaktive Task Auswahl im prompt (Step überspringen, ausführen oder alle restlichen ausführen)
  2. Code Schnipsel für besseres Inline Logging
  3. ansible-lint für die Prüfung eures Ansible Codes (und die Konfiguration der Prüfung mittels .ansible-lint Files)
  4. ansible-console für die interaktive Ausführung eures Ansible Codes
  5. Konfigurationsmöglichkeiten für den Ansible Debugger

Man sieht, auch bei Ansible kann man immer noch etwas dazu lernen.

zwischenzugs.com: Five Ansible Techniques I Wish I’d Known Earlier

Einstiger Kubernetes Rivale DC/OS nun EOL

Der einstige Kubernetes Rivale DC/OS basiert auf Apache Mesos und wurde in der Vergangenheit von 2 Deutschen Gründern in der USA mit ihrem VC finanzierten Unternehmen Mesosphere entwickelt.
Seit längerem hat man im Hause Mesosphere erkannt, dass Kubernetes den Kampf gewonnen hat. Man werkelt nun unter der neuen Brand D2iQ an einer eigenen Enterprise Kubernetes Plattform – ähnlich zu Rancher und RedHat Openshift.
DC/OS hat nun eine EOL Message in das GitHub repo commited – zum 31.10.2021 endet der Support und die Pflege für das OpenSource Produkt.

DC/OS Github: Add DC/OS End of Life message

Tipps und Tricks für den Windows Paket Manager

In der Windows Welt wird die OpenSource Community auch immer größer und kreativer. Der Windows Package Manager ist ein Kommandozeilen Tool zum Managen der Software eures PCs.
Im Windows Tech Community Blog gibt es nun ein paar Tipps und Tricks für den Package Manager, und den Hinweis auf einige experimentelle Features, welches auch Aktualisierungen und deren Automatisierung in Zukunft vereinfachen sollen.

Tips and Tricks when using Windows Package Manager

Schmunzelecke

how-i-experience-web-today.com zeigt auf nervige Art und Weise, was im Web aktuell alles schiefläuft.

Für die Stiftung Warentest gehört Lachsfilet zur Home-Office Grundausstattung – https://twitter.com/schneyra/status/1431324383532961794

💡 Link Tipps aus der Open Source Welt

Arkade – OpenSource Kubernetes Marketplace

Mit Arkade hat Alex Ellis ein Tool geschaffen, mit dem ihr eure lokalen Kubernetes Tools leicht und schnell verwalten und installieren könnt. Arkade hilft euch somit beim Setup eurer lokalen Entwicklungsumgebung, ihr könnt aus über 40 Apps und Helm Charts wählen und seit in Nullkommanix startklar. Neben Argo, Docker-Compose, Faas-Cli, Helm, vagrant und Terraform sind sämtliche Kubernetes Tools im Marktplatz vertreten, die ihr kennt.
Wie ihr Arkade installiert, seht ihr hier – die ursprüngliche Motivation zum Projekt erklärt Alex in diesem Blog Eintrag.

https://github.com/alexellis/arkade

Harbormaster – Docker-Compose Verwaltung

Der Harbormaster hilft euch bei der Verwaltung von multiplen Docker-Compose Apps auf einem Host, beispielsweise auf eurem Home-Server/Raspberry PI Cluster. Er lauscht auf N+1 repositories und aktualisiert eure Apps und startet diese dann auch neu.
Daten schreibt der harbormaster in ein Zentrales /data Verzeichnis, gestartet werden kann er per Cron oder systemd.

https://gitlab.com/stavros/harbormaster

OpenSource DevOps Q&A Ressources

Im GitHub Repo von Arie Bregman findet ihr über 1600 Fragen und Antworten zu sämtlichen DevOps und Cloud Tools dieser Welt. Außerdem findet sich ein umfangreiches Nachschlagewerk zu Regex, Virtualisierung, Netzwerk und sonstigen IT Themen.
Ob ihr die Frage nun im Vorstellungsgespräch verwenden wollt oder selber was nachschlagen wollt, bleibt euch überlassen.

https://github.com/bregman-arie/devops-exercises

  • Neueste Beiträge

  • Neueste Kommentare

  • 0

    Share

    By About
    One Comment

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

    allesnurgecloud.com

    © 2021 allesnurgecloud.com