allesnurgecloud #53 – CCC meldet 50 Leaks, Incident Response, große Datenbanken, Fastly CA und mehr.

allesnurgecloud.com ist ein kuratierter Newsletter mit Inhalten aus der OpenSource, Cloud und IT Welt.
Möchtest du den Newsletter wöchentlich per E-Mail erhalten?
Einfach hier abonnieren:

Please enter a valid email address
Diese E-Mail ist bereits registriert.
The security code entered was incorrect
Vielen Dank für Deine Anmeldung - bitte den Opt-In bestätigen.

Chaos Computer Clubs meldet über 50 Leaks

Der Chaos Computer Club (CCC) hat in den vergangenen Wochen über 50 Leaks an betroffene Firmen und öffentliche Institutionen gemeldet. Insgesamt haben die Sicherheitsforscher des CCC Zugriff auf über 6,4 Millionen Datensätze gehabt.
Mit dabei die Klassiker:

  • öffentliche Git Repositories (und damit geleakte Zugangsdaten)
  • öffentliche/ungesicherte Elasticsearch Instanzen
  • Interfaces von Symfony Profilern (PHP Framework Debugging, leaked auch DB Credentials)

In diesem Fall haben die betroffenen Unternehmen recht freundlich reagiert und in den meisten Fällen die Schwachstellen behoben oder sich gar mit Spenden bedankt – Straf-Anzeigen gab es bisher scheinbar keine.
Einige Unternehmen haben sich bisher noch gar nicht gemeldet und die Sicherheitslücken auch nicht behoben.
Der CCC hat die einfachsten Möglichkeiten, die Schwachstellen zu beheben, im Artikel erwähnt und verlinkt eigentlich gängige best practices – die leider noch immer viel zu häufig ignoriert oder versäumt werden.

Im Beitrag werden diverse Firmen erwähnt schaut einfach mal rein.

Chaos Computer Club meldet 6,4 Millionen Datensätze in über 50 Leaks

Incident Response: Wie reagiert man korrekt auf Ausfälle?

Incident.io ist eine Incident Management SaaS Platform. Im Incident.io Blog gibt es häufig sehr gute Artikel, die zu diesem Thema passen. Beispielsweise im unten verlinkten Artikel zum Thema „Incident Response“ und was man hierbei beachten sollte.

  • Clarity: Ein auf einen incident reagierendes Team muss zuerst einmal verstehen, was das Problem eigentlich ist – „clear and shared understanding)
  • Transparency: Man sollte per Default Transparent mit seinen Incidents sein und hierbei eine „blameless“ Kultur forcieren – alle machen Fehler („mistakes are learning opportunities, not fireable offences“)
  • Calm: Die Ruhe bewahren und Vertrauen verbreiten

In einem weiteren Artikel „The startup guide to sensible incident management“ zeigen die Macher, wie man diese Themen in der Praxis anwenden kann und wie man einen Incident Tool und Prozessbasiert optimal begleiten kann.
Natürlich ist das alles Content Marketing für das eigene Produkt, trotzdem beschreiben die Kollegen von Incident.io, wie man das auch mit anderen Tools erreichen kann.

The three pillars of great incident response

Wann sind Datenbanken zu groß?

Kris arbeitet bei einem kleinen Online Reisebüro und erklärt in einem aktuellen Blog Beitrag aktuelle Limitierungen bei der Skalierung von großen (MySQL) Datenbanken.
Aus der Limitierung von Physik und Geld (Netzwerk HW) leitet er folgende Empfehlungen ab:

  • 200-250GB sind eine gute Größe für Datenbanken, gerade wenn diese in Cloud Environments mehrfach repliziert werden
  • 2-4TB DB Größe machen die Thematik aufgrund Maintenance schon deutlich komplexer, erlauben aber noch “several attempts at maintenance per day”
  • ab 10TB wird es dann blöd, man sei in der „Du hat nur einen Versuch pro Tag“ Klasse und dies erfordert diverse Kompromisse oder Neubetrachtungen bei der Architektur

Auch interessant in dem Zusammenhang:

It also means that reactive autoscaling of database instances does not work at all: By the time you have scaled up, the demand is already handled by existing capacity or you have died.

Bei größeren Datenbanken funktioniert autoscaling nicht – entweder ist der Workload schon abgearbeitet oder der Kunde ist halt woanders.

Databases: How large is too large?

Fastly möchte eigene CA starten

Der CDN/Edge Anbieter möchte eine eigene CA namens „Certainly“ im Stile von Let’s Encrypt starten. Der Sicherheitsforscher Scott Helme erklärt den Vorgang im unten verlinken Twitter Thread.
Bis die CA in den Browsern getrusted wird, wird ein wenig Zeit vergehen – daher möchte man den Weg ein wenig abkürzen und erstmal mit einen Intermediate Trust über den Provider GoDaddy arbeiten.
Scott hat ebenfalls nachgefragt, ob die CA ähnlich „Let’s Encrypt“ allen Usern zur Verfügung stehen wird. Laut aktuellen Update sollen erstmal Zertifikate für Fastly Kunden darüber provisioniert werden – und zu späterem Zeitpunkt eventuell auch andere Internet Nutzer.
Dem Prozess der kann man in der „dev-security-policy“ Google Gruppe von Mozilla öffentlich folgen.

Twitter Thread bei Scott Helme

PHP 7.2 – 8.1 Benchmarks von Kinsta

Der WordPress Hoster Kinsta hat in seinem Blog ausführliche Benchmarks zu den PHP Versionen 7.2 – 8.1 im Test mit diversen Frameworks veröffentlicht. PHP 8.1 ist im Benchmark mit WordPress beispielsweise nochmal 47,1% schneller als im gleichen Test mit PHP 8.0.
Einige Tests direkt verlinkt:

Ach und wer jetzt kommt mit „PHP ist tot“ – nein, PHP wird auf 4 von 5 Webseiten genutzt, laut W3Tech Survey aktuell auf 77,9% der Websites.
Schade ist, dass viele ihre Versionen nicht regelmäßig aktualisieren, selbst beim „modernen“ Kinsta sind noch 94% der Sites auf PHP 7.4. welches nur noch Security Updates bekommt (bis Ende September 22)

The Definitive PHP 7.2, 7.3, 7.4, 8.0, and 8.1 Benchmarks (2022)

Open-Source Social Network für Unternehmen: Beam

PlanetScale, die Firma hinter der gleichnamigen Cloud MySQL Database PlanetScale, hat ein Open-Source basiertes Intranet-System namens „Beam“ veröffentlicht. Beam ist eine Markdown basierte Blogging Software, mit Suchfunktion, Kommentaren, einer Suche und mehr. Die Software selbst ist in NodeJS geschrieben und dockt sich über den Node DB Wrapper Prisma an PlanetScale oder anderen MySQL kompatiblen Datenbanken an.
Die Mitarbeiter von PlanetScale – teils ehemalige GitHub Mitarbeiter – hatten das Tool in eigener Regie entwickelt, um der über die Welt verteilten Remote Organisation ein Toolset zur Kommunikation von Features, Neuigkeiten oder Vorstellung von neuen Kollegen zu geben.

For over a decade, this simple tool has helped the highly distributed GitHub workforce stay connected. Anyone in the company could post an update to Team to announce something they’ve shipped, to share a new company initiative, or just to say hello when first joining the company.

Das vollständige Announcement habe ich euch unten verlinkt, hier ist der passende heise Artikel dazu.

Introducing Beam

GitLab 14.8 Released

Auch im Februar gibt es wieder ein GitLab Release – Version 14.8.
Folgende Highlights finden sich darin:

  • Unterstützung der modernen SSH Key Verfahren ecdsa-sk and ed25519-sk
  • bessere Keyword Auto-completion im CI/CD pipeline Editor
  • Default Issue und MR templates über Default.md File im .gitlab Directory – das finde ich super.
  • GitLab Gruppen nun inklusive Sub-gruppen gelöscht werden (das musste man bisher manuell machen)
  • CI/CD Pipeline wurde leicht überarbeitet
  • SAST Scanner Ergebnisse gibt es nun auch für .NET
  • Das Omnibus Package (GitLab self-managed) kommt nun mit Mattermost 6.3 & Mattermost Boards

Insgesamt gibt es mehr als 25 Verbesserungen und diverse Bug-Fixe. In der üblich transparenten GitLab Manier kann man jetzt schon schauen, welche Features es in Version 14.9 geben wird.

GitLab 14.8 released with new SSH key types and security approval policies

500 Google Cloud Labs bis Ende April kostenlos

Die Aktion aus dem Januar bei „Fast Lane“ wurde bis zum 30.04.2022 verlängert.
Mit dem Gutscheincode „GCP-LABS“ könnt ihr aus über 500 Labs bis zu 10 Stück auswählen und kostenlos bekommen.
Bei den Labs sind kostenlose Umgebungen in der Google Cloud inklusive, ihr könnt also damit auch mal rumspielen und Dinge ausprobieren. Mit dabei unter anderem:

Nicht nur buchen – sondern auch machen. Viel Erfolg!

500 Google Cloud Labs – kostenlos mit Code!

10 kostenlose Terraform Kurse

Im Blog bei Techbeatly sind 10 kostenlose Terraform Kurse verlinkt, teilweise YouTube Videos, teilweise cloud spezifische Videos auf Udemy für AWS, GCP und Azure.
Schaut bei Interesse mal dort vorbei.

10 Free Courses to Learn Terraform

Schmunzelecke

„How I got Kubernetes to run on a PS4“ – https://zhekunhu.xyz/ps4-kubernetes.html

Dad takes down town’s internet by mistake to get his kids offline – in Frankreich, mit einem Jammer Device.

💡 Link Tipps aus der Open Source Welt

dug – Open-Source DNS propagation checker

Mit dug könnt ihr die Verteilung euerer DNS Records schnell und einfach auf der Kommandozeile prüfen. Über den JSON output kann man dug auch für einen CI/CD Prozess für seine DNS Records verwenden.
Wie dug funktioniert seht ihr in diesem Video.

https://github.com/unfrl/dug

act – GitHub Actions lokal ausführen

Mit Hilfe des Open-Source Tools act könnt ihr GitHub Actions lokal ausführen. Damit könnt ihr diese viel schneller und vor allem in eurer lokalen Umgebung vor einem Commit testen und ausprobieren. In diesem kurzen Demo GIF Video wird gezeigt, wie das Ganze funktioniert. act verwendet Docker zum Testen der Actions, ihr benötigt also eine installierte Docker Engine um das Ganze auszuprobieren.

https://github.com/nektos/act

Windows 10 Hardening mit HardeningKitty

Für die Windows Kollegen gibt es diesmal ein Hardening Kit für Windows 10. Das Script prüft euer System und gibt erstmal Verbesserungsvorschläge auf Basis von Microsoft, CIS Benchmark, dem DoD und BSI aus.
Ihr könnt das HardeningKitty Script erstmal auch nur zur Auditierung eurer Konfiguration verwenden, ein Backup der entsprechenden Settings machen oder gleich mit der Keule die Empfehlungen in die Registry einspielen.
Natürlich gibt es auch Emoji Support 😹 – in den Reports.

https://github.com/0x6d69636b/windows_hardening

❓ Feedback & Newsletter Abo

Vielen Dank, dass du es bis hierhin geschafft hast!
Kommentiere gerne oder schicke mir Inhalte, die du passend findest.

Falls dir die Inhalte gefallen haben, kannst du mir gerne auf Twitter folgen.
Gerne kannst du mir ein Bier ausgeben oder mal auf meiner Wunschliste vorbeischauen – Danke!


Möchtest du den Newsletter wöchentlich per E-Mail erhalten?
Einfach hier abonnieren:

Please enter a valid email address
Diese E-Mail ist bereits registriert.
The security code entered was incorrect
Vielen Dank für Deine Anmeldung - bitte den Opt-In bestätigen.


0

Share

By About
Abonnieren
Benachrichtige mich bei
guest
0 Comments
Inline Feedbacks
View all comments

allesnurgecloud.com

© 2022 allesnurgecloud.com
0
Would love your thoughts, please comment.x