allesnurgecloud #43 – Security Albtraum Woche, Kubermatic, Atlassian, Gaia-X und 2TB DDoS bei Cloudflare

allesnurgecloud.com ist ein kuratierter Newsletter mit Inhalten aus der OpenSource, Cloud und IT Welt.
Möchtest du den Newsletter wöchentlich per E-Mail erhalten?
Einfach hier abonnieren:

Please enter a valid email address
Diese E-Mail ist bereits registriert.
The security code entered was incorrect
Vielen Dank für Deine Anmeldung - bitte den Opt-In bestätigen.

Nightmare on Elm Street – Security Albtraum Wochen

Na, wer hat in diese Woche nach Halloween auch gedacht, das sei alles nur ein (schlechter) Albtraum?
Die Woche hatte es wirklich in Sich, aber der Reihe nach:

  • Hacker der Ransomware Gruppe sollen unzählige Server von MediaMarkt/Saturn verschlüsselt haben und fordern nun ein Lösegeld – teilweise ist von $50 Millionen, andererseits von $240 Millionen Lösegeld die Rede. Unter anderem waren die Kassen- und Warenwirtschaftssysteme betroffen. Die OnlineShops waren hiervon nicht betroffen.
  • Der Automobilzulieferer Eberspächer war schon Ende Oktober Opfer eines Hackerangriffs. Die meisten Systeme sollen wieder laufen und Kunden wieder beliefert werden, die Website eberspaecher.com selbst listet noch den selben Fehler und liefert nach wie vor keine Inhalte aus.
  • Robinhood, eine besonders in den USA populäre Trading App für Aktien und Cryptowährung, wurde ebenfalls Opfer eines Hacker Angriffs. Laut eigenem Angaben sollen Daten von bis zu 5 Millionen Kunden (Quelle: t3n.de) entwendet worden sein. Sensible Daten sollen nicht betroffen sein. Bei Vice.com hört sich das aber irgendwie anders an.
  • Booking.com soll in 2016 von einem US Spion gehackt worden sein – Wollte er Genius Level 5 haben? Nein, er oder sie wollte scheinbar persönliche Daten zu Hotelreservierungen im nahen Osten zugreifen.
  • Die Sicherheitsforscher von Zerforschung hatten in der Woche auch 2 unschöne Themen:
    Ein Anbieter für Corona Testcenter Software hat seine Schnittstellen „nicht abgesichert“ und leakte so 400.000 Corona Testdaten (Name, Geburtsdatum, Adresse, Telefonnummer…). Zudem konnten Sie ein negatives PCR Testergebnis für einen 177 jährigen „Robert Koch“ erstellen. Der RBB hat einige der Hintergründe hier veröffentlicht.
    Bei der zweiten Analyse fand Zerforschung diverse Lücken in der Lern-App „Learnu“. Leider waren auch hier bis zu 500.000 Accounts und deren Daten öffentlich zugänglich. Zudem liefen Teile der Website im DEBUG mode und zeigten darüber sämtliche Credentials der Applikation an (Datenbank, SaaS Dienste, etc.)
  • Die E-Mail Infrastruktur des FBI war gestern teilweise kompromittiert. Wie Spamhaus berichtet, seinen die E-Mails selbst zwar fake, der Absender der Fake „Threat Actor in your System“ E-Mails ist aber die offizielle FBI E-Mail Serverfarm gewesen.

Zusammenfassend kann man sich diesen Artikel zum Twitch Breach vom Oktober zu Gemüte führen. Hier werden Gründe und Fahrlässigkeiten aufgeführt, die zu solchen Leaks führen können.

Kubermatic mit $6 Millionen Finanzierungsrate

Kubermatic aus Hamburg, die Firma hinter der „Kubermatic Kubernetes Platform“ und Ausrichter der Container Days, hat in einer Seed-Finanzierungsrunde $6 Millionen eingesammelt.
Kubermatic (ehemals Loodse) wurde 2016 gegründet und war vor allem in der Beratung zu Containerm & Kubernetes aktiv. Mit seinen ca.90 Mitarbeitern hilft Kubermatic nun Kunden wie Siemens, Allianz, Volkswagen und SysEleven.
Die Kubernetes Platform gibt es auch als freie Community Edition (CE), Geld verdient wird mit der Enterprise Edition, welche für Kunden mit einen größeren Anzahl an Kubernetes Clustern gedacht ist.
Venturebeat hat noch weitere Hintergrundinformationen zum Investment Deal.
In diesem Sinne Glückwunsch nach Hamburg und an Julian, Sebastian und das Kubermatic Team.

Weshalb das Software-Startup Kubermatic erst fünf Jahre nach Start Millionen einsammelt

Sponsored

Nachhaltiger Betrieb und Weiterentwicklung Deiner Webprojekte

Wir helfen Dir beim 24×7 Betrieb, bei Performance Problemen, bei Kostenoptimierung oder einfach beim Betrieb deiner Web-Applikationen.
Betreibst du Services wie GitLab, Zammad und Matomo selbst – hierbei unterstützten wir ebenfalls gerne – schau Dir einfach mal unsere Leistungen an.
Unsere Kunden kommen in unseren Case Studies zu Wort – wie beispielsweise KRUU.com – eine Plattform für die Vermittlung von Dienstleistungen rund ums Thema „Hochzeit“.

Interessiert? Lerne uns einfach in einem 15 Minuten Video-Call kennen.

Atlassian baut 40-stockiges Holz Hochhaus in Sydney

Atlassian baut in Sydney ein 40 Stockwerke hohes Holz-Hochhaus – und damit das höchste, kommerzielle Holzgebäude der Welt.
Der 180 Meter hohe Turm soll in 2026 fertig gestellt werden und Platz für ungefähr 4000 Mitarbeiter bieten.
Das Gebäude soll vollständig mit erneuerbaren Energien betrieben werden und Solarzellen an den Fassaden für die Energieerzeugung nutzen.
Mit seiner Mischung aus Indoor und Outdoor-Fläche mit viel „Grün“ sieht das Gebäude sehr imposant und sehr nach der Zukunft aus. Einige weitere Bilder findet ihr hier auf twitter und im unten verlinkten Beitrag.

Atlassian’s new 40-storey HQ has been approved a part of Sydney’s Tech Central

Droht Gaia-X zu scheitern?

Gaia-X, das europäische Prestige Projekt und Alternative zu den Hyperscalern droht zu scheitern. In einem Gespräch mit Politico haben sich diverse beteiligte Industrie- und Regierungsmitarbeiter mit Bedenken geäußert. Es gäbe zu viele Unstimmigkeiten zwischen Industrievertretern, die aktuelle Bürokratie verhindere nötige und schnelle Entscheidungen, die Ziele seinen unklar und in Summe sei das Ziel des Projekts kaum noch erreichbar.
Frank Karlitschek, Gründer von NextCloud, wird folgendermaßen zitiert:

“There’s too many cooks in the kitchen,…”
„It’s already become clear that it’s difficult to find a consensus between everybody.“

Das hört sich nach den üblichen Problemen bei öffentlichen Projekten an. Für viel Verwirrung Kritik sorgte im April auch die Entscheidung, Firmen wie Google, Huawei, Alibaba, Palantir, Amazon und Microsoft mit ins Boot zu holen.
Yan Lechelle, der CEO des französischen Cloud Anbieters Scaleway hierzu:

“The big players, they do what they do. First, they knock on the door, then they take a step in the door … Very quickly it became clear that these guys were dominant in the technical groups.”

Jeder der US-Anbieter hätte auf anderer Ebene Geschäftsbeziehungen zu den teilnehmenden Firmen aus der Industrie, und daher seinen Verhandlungen und Zusammenarbeit teilweise verschieden fokussiert.
In Summe leidet das Projekt auch unter öffentlichem Druck und verschiedenen Erwartungshaltungen. Alban Schmutz, Vide President bei OVHCloud:

„…depends on the level of expectations you had when it launched,“
‚“You dream your baby will fly into space and in the end the kid prefers to go fishing instead.“

Ja gut, etwas mehr als eine Angel-App haben wir da jetzt schon alle erwartet, oder?

Inside Gaia-X: How chaos and infighting are killing Europe’s grand cloud project

Cloudflare blockt 2 Tbps DDoS Attacke

Cloudflare hat gestern Informationen zu einer kurzen, aber sehr heftigen 2Tbps DDoS Attacke veröffentlicht.
Mit 2Tbps war dies die größte von Cloudflare jemals mitigierte Attacke gewesen. Der Angriff ging von ca. 15.000 Bots von IoT Geräten und nicht aktualisierten GitLab Servern aus (siehe Ausgabe #41).
Cloudflare erklärt im verlinkten Blog Beitrag, wie seine Systeme den Traffic automatisch erkannt und am Edge gedropped hat – es kam zu keinem kundenseitigen Impact.

Cloudflare blocks an almost 2 Tbps multi-vector DDoS attack

$5000 Ausgeben um DB Indexe zu verstehen?

PlanetScale, eine „serverless database platform“ auf Basis von MySQL und Vitess, ist die Datenbank der Wahl beim Team von Superwall, einem SDK für App Entwickler mit Fokus auf einer Paywall App.
PlanetScale rechnet auf Basis der „rows read“ ab – das ist blöd, wenn man keine Indexe hat und die DB so schnell ist, dass man die langsamen „Full Table Scans“ nicht merkt. Zudem ging man davon aus, dass PlanetScale die „rows returned“ berechnet, es sind aber die „Inspected und Retrieved Rows“ – also alle Zeilen, die zur Bearbeitung der Query nötig waren.
In dem Fall hat der Spaß nur $5000 gekostet, PlanetScale hat sich kulant gezeigt und die Kosten erstattet. Nun ist Superwall wieder auf dem üblichen $150/Monat Niveau.
Danke an Michi für den Link.

Spending $5k to learn how database indexes work

Azure ChaosDB Walkthrough

Im August hatte ich in Ausgabe 33 über ChaosDB berichtet, einer Lücke in tausenden Azure Cosmos Datenbanken.
Die Sicherheitsforscher von WIZ berichten nun in einem ausführlichen „Walkthrough“, wie sie genau vorgingen, und welche anderen Lücken sie in der Azure Cloud aufdeckten.
Der Ablauf im Groben:

  1. Ausnutzen einer Lücke in Jupyter Notebook, einem Addon Sevice Container auf Azure Cosmos DB
  2. Ausbruch über C# Code => Root Access
  3. Analysieren der Iptables Regeln => Wireserver gefunden – einer zentralen Komponente in der Azure VM Infrastruktur
  4. Zugriff auf Service Fabric mittels Wireserver Zertifikaten
  5. Zugriff auf andere CosmosDB Instanzen und deren Daten

Im Fazit schreiben die Forscher von WIZ, dass vermutlich nichts näher an einen „Service Takeover“ herankommt.
Die Disclosure Timeline ist ebenfalls integriert, Microsoft hat schnell reagiert und am Ende $40,000 bounty bezahlt.

Da die Cloud Anbieter alle sehr unterschiedlich auf solche Lücken reagieren, und diese auch nach eigenen Standards veröffentlichen, fordert WIZ die Security Industrie nun auf, die Idee einer gemeinsamen Cloud Vulnerability Database zu unterstützten. Lücken sollen hier in Zukunft in einem einheitlichen Standard veröffentlich werden, der auch gleich Handlungsempfehlungen für Kunden enthält.

ChaosDB Explained: Azure’s Cosmos DB Vulnerability Walkthrough

Atlassian zieht 50 Millionen Repositories ohne Downtime zu AWS um

Atlassian hat in den letzten Jahren die meisten seiner SaaS Produkte aus dem OnPremise Datacenter in die Cloud umgezogen.
Die letzte Bastion, das Git Repository Tool Bitbucket, lief bis vor kurzem noch OnPremise.
In einer 18 Monate dauernden Migration und ohne großen Kundenimpact hat man nun über 50 Millionen repositories in die Cloud gesynced und zu Tag X umgezogen. Zum Management seiner Cloud Systeme nutzt Atlassian ein eigens entwickeltes Paas Tool namens Micros zur Verwaltung seiner AWS Ressourcen (Corey Quinn mit einer Kritik von 2019 zu Micros).
Was passiert mit den bestehenden OnPremise Datacentern?

„We’ve had parties where we’ve sent people and said, oh, go and cut the cables..“

Tja, feiert ihr auch bald eure Decommissioning Party?

You need to shift millions of repos to AWS without any downtime. How? Bitbucket engineering chief tells all

Netcraft: October 2021 Web Server Survey

Netcraft hat im Oktober wieder seinen berühmten „Web Server Survey“ durchgeführt. Hier werden aktuell über 11 Millionen Server analysiert, welche in Summe über 265 Millionen verschiedene Domains ausliefern.
Die Top 4 Server-Typen sind im Oktober 2021 nach Market Share:

  1. nginx – 34,95%
  2. Apache – 24,63%
  3. OpenResty – 6,45%
  4. Cloudflare – 4.87%

OpenResty ist ein um Lua und diverse Module erweiterter nginx Server, welcher vor allem bei tumblr.com zum Einsatz kommt.

Schaut man sich die „Top Million Sites“ an, so sieht das Bild ein wenig anders aus:

  1. Apache – 24,04%
  2. nginx – 22,05%
  3. Cloudflare – 18,24%
  4. Microsoft – 6,32%

In der Grafik sieht man schön, dass Apache im März 2020 noch 67% Marktanteil hatte, und sich dieser Marktanteil nun auf nginx, Cloudflare, Microsoft und „Andere“ verteilt:

Auf der verlinkten Landingpage könnt ihr die Statistiken bei Interesse etwas interaktiver analysieren.

October 2021 Web Server Survey

Schmunzelecke

Island trollt Metaverse mit „Icelandverse“ – https://www.youtube.com/watch?v=enMwwQy_noI

„Schatz haben wir noch Patchkabel?“ – Patchkabel Automat hier bei twitter

Frontend vs. Backend als Bild – bei Kris im Twitter Feed.

💡 Link Tipps aus der Open Source Welt

Statping-ng – Fork von statping

In Ausgabe 40 hatte ich schon Vigil als StatusPage vorgestellt, da viele der bisherigen Open-Source Systeme, wie Cachet und statping aktuell nicht weiterentwickelt werden.
Mit Statping-ng gibt es nun ein drop-in replacement für statping, welches mit GO und Vue gebaut wurde. Statping-ng nutzt als Backend MySQL, PostgreSQL oder eine SQLite und kann dank kompiliertem binary auf jedem Betriebssystem laufen.
Es ist zudem kompatibel mit der bestehenden Statping Android und IOS App. Notifications sind über Slack, Email, Twilio, Webhools und Co. möglich.

https://github.com/statping-ng/statping-ng

Outline – OpenSource Notion Alternative

Outline ist eine Alternative zu Notion, welche ihr auch self-hosted auf der eigenen Infrastruktur nutzen könnt. Die Open-Source Variante hat die üblichen Einschränkungen: fehlende Enterprise Features wie SAML und Audit.
Ansonsten gibt es eine Vielzahl an Integrationen, wie Slack, Figma, Airtable, Google Docs, Mindmeister, Zapier und mehr.
Outline ist mit React und Node.JS gebaut und kann einfach via Docker oder docker-compose installiert werden.

https://github.com/outline/outline

FPM – Effing package Management

FPM von Jordan Sissel ist schon etwas älter, baut euch aber auch heute noch zuverlässig Pakete für DEB, RPM, freebsd und mehr.
Mit Version v1.14.0 gibt es nun eine komplett neue Doku und aktualisierte Version des Projekts.
Als Quellen können tar.gz archive, rpm/deb/pacman Pakete, Verzeichnisse, Pythen Module oder Ruby gems dienen. Ziele sind dann beispielsweise rpm/deb/solaris/freebsd/pacman oder auch MacOS .pkg files.

https://github.com/jordansissel/fpm

❓ Feedback & Newsletter Abo

Vielen Dank, dass du es bis hierhin geschafft hast!
Kommentiere gerne oder schicke mir Inhalte, die du passend findest.

Falls dir die Inhalte gefallen haben, kannst du mir gerne auf Twitter folgen.
Gerne kannst du mir ein Bier ausgeben oder mal auf meiner Wunschliste vorbeischauen – Danke!


Möchtest du den Newsletter wöchentlich per E-Mail erhalten?
Einfach hier abonnieren:

Please enter a valid email address
Diese E-Mail ist bereits registriert.
The security code entered was incorrect
Vielen Dank für Deine Anmeldung - bitte den Opt-In bestätigen.


  • Neueste Beiträge

  • Neueste Kommentare

  • 0

    Share

    By About

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

    allesnurgecloud.com

    © 2021 allesnurgecloud.com