Willkommen zu allesnurgecloud.com – Ausgabe #116!
In dieser Woche war ich endlich mal wieder auf einer Konferenz – und zwar auf der stackconf von Netways in Berlin. Ich habe eine aktualisierte Version meines „Dynamic Image Optimization with imgproxy“ Vortrag gehalten – das Video verlinke ich, sobald es fertig auf YouTube ist. Eine Zusammenfassung von Tag 1 findest du hier, Tag 2 dann hier.
War cool, mal wieder auf einer Konferenz gewesen zu sein und die Konferenz-Reihen von Netways (stackconf und OSMC) sind grundsätzlich sehr empfehlenswert, nicht nur wegen der Talks, sondern auch wegen des „drumherum“.
Im Podcast hatte in dieser Woche Heiko Kreiter vom Diginights.com zu Gast. Er bootstrapped diginights seit über 20 Jahren – angefangen hat alles 2001 mit einer Partypics und Event-Page. Heute kann man mit Diginights Tickets für Events aller Art verkaufen. Zusätzlich ist Heiko selbst Veranstalter und hat bereits über 5000 Veranstaltungen organisiert.
Amazon Prime Day in AWS Zahlen
Jeff Barr, Chief Evangelist bei AWS, hat im AWS Blog einen Artikel zu „Prime Day by the Numbers“ veröffentlicht.
Corey Quinn hat die Zahlen unter die Lupe genommen und einmal berechnet, was der Prime Day an AWS Kosten verursacht haben könnte.
- Amazon Elastic Block Store (EBS) Usage
Hier hat AWS scheinbar 163 PB EBS Storage zusätzlich benötigt, mit einem Request Peak von 15,34 Billionen Requests und 764 PB Data Transfer pro Tag.
Laut AWS ist dies ein Storage Zuwachs von ca. 7 % und ein Request Zuwachs von 35 % – speichern die da nun mehr Daten oder haben die Leute nur geschaut und nicht gekauft?
Corey rechnet hier mit gp3 als Storage Typ und kommt auf Kosten in Höhe von $878,003.00 - AWS CloudTrail hat 830 Milliarden Events verarbeitet.
Laut Corey könnten das, defensiv gerechnet $415,000 gewesen sein. - Amazon Aurora – am Prime Day liefen 5.835 Datenbanken, teilweise mit PostgreSQL und andererseits mit der MySQL kompatiblen Variante. Insgesamt wurde 318 Milliarden Transaktionen verarbeitet und 836 TB an Daten gespeichert.
Corey schätzt hier auf Basis eines durchschnittlichen Instanztyps (db.r6i.12xlarge für $7000/Monat) und kommt dann auf Kosten in Höhe von $6,094,095 - Amazon DynamoDB wird als Service für die Webseiten, Alexa und andere Produkte. AWS nennt „Trillions of Requests“, nennt aber einen Peak in Höhe von 126 million rps (requests pro Sekunde) – Verrückt, oder?
Hierfür nimmt Corey einen Read/Write Splut von 50/50 an – das finde ich jetzt e-commerce untypisch, aber nehmen wir mal an, dass er Recht hat: $2,505,360 weitere Kosten. - EC2 Instances sind der größte Kostenblog, ich zitiere daher:
During Prime Day 2023, Amazon used tens of millions of normalized AWS Graviton-based Amazon EC2 instances, 2.7x more than in 2022, to power over 2,600 services
Zudem habe man durch die hauseigenen Graviton Chips auf ARM Basis für 2,7 Prozent mehr Leistung 60 % weniger Energie benötigt.
Corey mittlelt auch hier den Instanztyp (c7g.medium) und scheitert am AWS Pricing Calculator, da dieser nur 50.000 Instanzen im Maximum berechnet. Der Taschenrechner kann es dann aber: $87,120,000 für 48 Stunden Workload auf den genannten Instanzen.
Hinzu kommen noch Kosten für Amazon SQS ($ 2 Millionen), Cloudfront ($ 3 Millionen), SES ($ 200.000) und Pinpoint in Höhe von knapp $300.000.
Na, hast du auch den Taschenrechner in der Hand?
Laut den Berechnungen von Corey hat der Spaß in Summe $102,424,943.84 gekostet – und zwar in us-east-1, ohne Discount und ganz, mit ganz normalen Retail-Preisen für On-Demand Infrastruktur.
Amazon hat am Prime Day um die $12,7 Milliarden umgesetzt – das müssten dann um die 0.01 % AWS Kosten am Umsatz sein – Chapeau!
The Amazon Prime Day 2023 AWS Bill
Remote Work: Rückkehr ins Büro bei Amazon und Grindr
Amazon CEO Andy Jassy möchte gerne, dass die Mitarbeiter wieder häufiger ins Büro kommen und sich an die aktuell gültige Regelung, „3 Tage pro Woche im Büro“, halten.
Man könnte damit auch nicht einverstanden sein, solle sich aber trotzdem committen:
If you can’t disagree and commit … it’s probably not going to work out for you at Amazon because we are going back to the office at least three days a week.
Amazon hatte bereits im Mai in einem Blog-Post die neue Policy verkündet, diese kam aber nicht so gut an – über 30.000 Mitarbeitende unterschrieben eine Petition, die Policy wieder zurückzunehmen oder zumindest zu entschärfen. Dies ist nicht passiert, forciert wurde bisher aber auch nichts. Laut einem internen Meeting ist er mit der Situation nun nicht so zufrieden – hier könnte es also demnächst eine „Force push“ Policy geben.
Die Geschäftsführung von Grindr, eine Dating-App aus New York, hatte Anfang August angekündigt, dass die Mitarbeitenden ab Oktober 2 Tage pro Woche ins Büro kommen sollen. Daraufhin hat knapp die Hälfte der Belegschaft nun selbst gekündigt (80 von 178 der Beschäftigten).
Mitarbeiter, die nicht in der Nähe eines Büros wohnen, haben 14 Tage Zeit umzuziehen – 14 Tage? Herrje.
Ist das jetzt aussagekräftig?
Ich denke, man kann sich, vor allem in einer kleinen Firma, gut vorstellen, wie solch eine Nachricht bei der Belegschaft ankommt.
Vielleicht hat man das jetzt nur gemacht, damit man keine Layoffs machen muss?
Laut dem verlinkten Heise Artikel könnte es auch eine „Antwort“ auf eine bevorstehende Gewerkschaftsbildung sein.
Wie sieht das bei dir in der Firma aus? Schreib mir gerne einfach eine Antwort auf den Newsletter via Mail.
Sponsored
Have your head in the clouds?
Das kann mal passieren! Cloud Computing stellt die Cybersicherheit vor neue Herausforderungen; On-Premise und Cloud wachsen zunehmend zusammen und die Funktionalitäten erweitern sich rasant. Dadurch stellt sich Dir die Frage: Wie sicher ist meine Cloudumgebung eigentlich?
Beim Finden der Antwort, unterstützen wir Dich gerne: Das Cloud Security Assessment von SCHUTZWERK schafft Risikotransparenz und hilft Dir Deine Cloud bestmöglich zu schützen.
👩💼 Professionelle Betrachtung: Mit dem Cloud Security Assessment bieten wir Dir eine umfassende Prüfung, die auch die Anbindung an das Unternehmensnetzwerk und die administrativen Prozesse berücksichtigt.
☁️ Individuelle Bewertung: Wir beginnen das Assessment mit einem Workshop zur Analyse möglicher Bedrohungsszenarien, damit wir unsere Arbeit genau auf Deine Situation abstimmen können.
🔎 Sorgfältige Prüfverfahren: Wir führen sowohl automatisierte als auch manuelle Prüfungen durch, um Deine Cloudumgebung auf Herz und Nieren zu untersuchen.
📄 Umfangreicher Report: Wir liefern Dir einen detaillierten Bericht und konkrete Empfehlungen, um Deine Cloud optimal abzusichern.
Retool: Social Hacking und MFA Sync Angriff
Die Saas Company Retool ist einem Social Hacking + MFA Angriff zum Opfer gefallen. Die eigene Infrastruktur und die von 27 Kunden war betroffen – was war passiert?
Über einen Phishing + Social Hacking Angriff konnte ein weiterer MFA Token zu einem IT-User hinzugefügt werden. Der Hacker/Die Hackerin gab sich als interne IT aus, kannte Namen, die Organisation und viele Details, die man sonst wohl nur als interner MA kenne. Scheinbar wurde sogar die Stimme eines/r Kollegen/in mittels DeepFake nachgemacht. Alleine das ist schon abenteuerlich.
Jedenfalls verwendet Retool „Google Authenticator“ für 2FA Codes. Ich hatte in Ausgabe 101 berichtet, dass der Authenticator nun Cloud-Backups der Tokens macht. Jedenfalls kam der Angreifer/die Angreiferin über die Cloud Backups an sämtliche MFA Codes, die auch für andere Systeme galten. Der Artikel hierzu:
Unfortunately Google employs dark patterns to convince you to sync your MFA codes to the cloud, and our employee had indeed activated this “feature”. If you install Google Authenticator from the app store directly, and follow the suggested instructions, your MFA codes are by default saved to the cloud.
Nicht so schön und ziemlich ausgefuchst. Vermutlich waren hier auch ein paar Insider-Informationen im Spiel.
Jedenfalls konnte der Hacker darüber auf sämtlichen internen Systeme zugreifen. Jackpot, würde ich sagen.
Im Artikel selbst gibt es noch ausführliche Auswirkungen und Empfehlungen zum Vorfall.
Der Autor, Snir Kodesh, argumentiert nun stark, dass Google Authenticator mit automatischem Cloud Backup keine MFA
What we had originally implemented was multi-factor authentication. But through this Google update, what was previously multi-factor-authentication had silently (to administrators) become single single-factor-authentication
und da ist definitiv was dran. Hier muss wohl dringend nachgebessert werden – zumindest sollten User sich aktiv für ein (nicht verschlüsseltes) Cloud Backup entscheiden und es nicht automatisch aktiviert werden.
Friendly Captcha – Recaptcha Alternative aus München
Friendly Captcha ist eine Captcha Lösung aus Deutschland, welche ohne User-seitige Rätsel auskommt.
„Bitte wählen Sie alle Bilder mit Straßenlaternen aus“ sollte damit der Vergangenheit angehören – und das bei deutlich besserem Datenschutz.
Zudem hatte ich mal gelesen, dass Bots bei diesen Bildern ohnehin treffsicherer sind, als Menschen.
Und schließlich ist die Lösung von Friendly deutlich zugänglicher und besser für die Barrierefreiheit im Netz.
Ich kannte das Start-up bisher nicht, hatte nun aber gesehen, dass sie für den deutschen Gründerpreis 2023 nominiert waren.
Friendly hat den Preis in der Kategorie „Start-up“ gewonnen (Unternehmen darf maximal 3 Jahre alt sein) – Herzlichen Glückwunsch dazu.
Das Friendly Team hat aktuell um die 8 Mitarbeitende – da ist also noch viel potenzial nach oben.
Bei Interesse einfach die Demo direkt auf der Friendly Website checken.
Captcha-Konkurrent aus Bayern: Ein Startup tritt gegen Google an
Firefish – Datenverlust durch GitOps und fehlende Backups
Die Social Network Communities firefish.lgbt, musician.social, und outdoors.lgbt haben leider einen kompletten Datenverlust erlitten.
Die Gründe dahinter beschreibt Lily Cohen in einem Blog-Artikel ganz offen und ehrlich.
Angefangen hat es mit einem Repository Cleanup des ArgoCD Repositories. Argo hat die Ressourcen dann abgebaut, da sie ja nicht mehr im Repo spezifiziert waren.
Es hat damit auch den Kubernetes Namespace erwischt, der die Persistent Volumes enthielt.
Eigentlich ist Velero für die Backups zuständig, dies war auch konfiguriert. Allerdings fehlte hier eine Option, die Velero bzw. das verwendete Restic instruierte, auch die Persistent Volumes zu sichern. Damit fehlten die PVs auch im Backup.
Und schließlich war man von einem der Hyperscaler zu Vultr umgezogen, um die Projektkosten zu reduzieren. Vultr empfiehlt Restic für das Backup von PVs ins Kubernetes – da es an der Stelle selbst keine Snapshots macht.
Ja, da kamen jetzt ein paar Themen zusammen, die sich dann kaskadiert haben. Jedenfalls gibt es kein Backup, um einen Restore zu machen.
Daher die Empfehlung – schaut euch eure Backups an und testet einen Restore der Daten. Ist im Backup alles enthalten, was ihr benötigt?
Und man sollte solch eine Prüfung regelmäßig durchführen – und zwar nicht nur einmal pro Jahr.
Beitrag von Lily Cohen :firefish:
10 Minuten Social Hacking bei MGM in Las Vegas
Hacker treffen sich nicht nur für die BlackHat Konferenz in Las Vegas oder helfen bei populären Kinofilmen bei Angriffen auf Casinos, sondern machen das auch im echten Leben.
Die ALPHV Ransomware Gruppe hat Details zu einem erfolgreichen Social Hacking Versuch bei der MGM Resorts Gruppe in Las Vegas veröffentlicht.
Am vergangenen Montag bestätigte MGM dies, diverse Systeme und wohl auch ein Teil der einarmigen Banditen waren am Montag teilweise offline.
Auf Twitter veröffentlichte die Gruppe ein Statement, in dem es den 10 Minuten Hacking Versuch wie folgt beschreibt:
All ALPHV ransomware group did to compromise MGM Resorts was hop on LinkedIn, find an employee, then call the Help Desk.
Ob das nun wirklich nur 10 Minuten gedauert hat, hat MGM bisher nicht bestätigt.
Es gab wohl zeitgleich einen weiteren Vorfall bei Caesars Entertainment gegeben. Da Caesars börsennotiert ist, ist eine entsprechende Veröffentlichung bei der amerikanischen Börsenaufsicht (SEC) zwingend erforderlich.
Das t3n Magazin hat mittlerweile auch einen Bericht auf Deutsch zum Vorfall
Hackers claim it only took a 10-minute phone call to shut down MGM Resorts
ARM startet erfolgreich an der Börse
Der britische Chiphersteller ARM hat einen erfolgreichen IPO am NASDAQ durchgeführt. Am Ausgabetag startete die Aktie mit über 10 Prozent plus in den Handel – mittlerweile hat sie sich etwas gefangen und aktuell wird das Unternehmen mit knapp 62 Milliarden Dollar bewertet.
Gar nicht mal so schlecht, wenn man bedenkt, dass ARM nur 6000 Mitarbeitende beschäftigt.
Größter Börsengang des Jahres: ARM startet mit 10 Prozent Plus in den Handel
OWASP Top 10 für LLMs
Das OWASP Projekt hat Anfang August die Top 10 Angriffsszenarien für LLMs (Large Language Models) vorgestellt.
Die detaillierte Übersicht findest du im verlinkten PDF – die Szenarien heißen LLM01 – LLM10.
- Prompt Injection (LLM01) – Manipulation des Problems, mit dem Ziel, unbeabsichtigte Handlungen auszuführen
- Insecure Output Handling (LLM02) – Direkte Übernahme eines eventuell unsicheren Ergebnisses
- Training Data Poisoning (LLM03) – Manipulation der Quelldaten, um falsche Ergebnisse zu produzieren
- Model Denial of Service (LLM04) – Angriff auf die Backend-Ressourcen des darunterliegenden Systems
- Supply Chain Vulnerabilities (LLM05) – Angriffe über die LLM Supplychain (Externe Plugins, Datasets, etc.)
- Sensitive Information Disclosure (LLM06) – LLMs können unbeabsichtigt vertrauliche Daten in ihren Antworten preisgeben
- Insecure Plugin Design (LLM07) – Unsichere Plugins und Rechte in der Plugin-Infrastruktur
- Excessive Agency (LLM08) – zuviele Berechtigungen für das System sind keine gute Idee (Skynet und so)
- Overreliance (LLM09) – schaltet man sein Hirn aus und vertraut nur noch Blind dem LLM – geht es schief
- Model Theft (LLM10) – wirtschaftlicher Schaden, der durch Diebstahl des Model / der Daten entstehen kann
Gut, da ist nun jetzt keine Rocket-Science dabei – vermutlich trotzdem nicht schlecht, wenn es solch ein offizielles Dokument einer langjährig tätigen Organisation gibt, damit sollte man zumindest in der Lage sein, das Sicherheitslevel etwas zu erhöhen.
Schmunzelecke
Bei emoji.fly.dev kannst du Emojis mithilfe von AI erzeugen (und dann in Slack/Teams/etc. importieren und dort verwenden).
Das ganze Projekt ist Open-Source auf GitHub und kann auch selbst betrieben werden.
💡 Link Tipps aus der Open Source Welt
Typesense – OpenSource Elasticsearch Alternative
Mit dem Slogan „Lightning-fast, Open-Source Search. No PhD required.“ wird man auf der Landingpage von Typesense begrüßt.
Typesense verspricht, eine leichtgewichtige Search-Engine zu sein – eine Alternative für das Kerngeschäft von Elasticsearch, Meilisearch oder auch dem SaaS Service Algolia. In einem ausführlichen Vergleich kannst du dir die Unterschiede zwischen den genannten Systemen anschauen.
Typesense läuft direkt im RAM und kann als Binary oder Docker Container installiert werden. Auf der GitHub Page sind diverse Demos verlinkt – unter anderem diese Suche über einen Index von 28 Millionen Büchern, 32 Millionen Songs und 1 Million Git Commit Messages des Linux Kernels inklusive Facettierung nach Jahr, Committer, E-Mail-Adresse, usw.
Zusätzlich gibt es Clients für diverse Sprachen und eine Vielzahl an Integrationen in populäre Frameworks, wie beispielsweise Laravel, Symfony, WordPress oder DocuSaurus.
https://github.com/typesense/typesense
Wapalyzer
Wapalyzer ist ein Community-Fork des nicht mehr vorhandenen Projekts „Wappalyzer“ – ja, einfach neu jetzt mit 2 P.
Mit dem in Javascript geschrieben Tool kannst du herausfinden, welche Technologien eine Website so nutzt.
Den Output gibt es dann im JSON Format – ein Beispiel kannst du auf GitHub sehen.
https://github.com/Lissy93/wapalyzer
❓ Feedback & Newsletter Abo
Vielen Dank, dass du es bis hierhin geschafft hast!
Kommentiere gerne oder schicke mir Inhalte, die du passend findest.
Falls dir die Inhalte gefallen haben, kannst du mir gerne auf Twitter folgen.
Gerne kannst du mir ein Bier ausgeben oder mal auf meiner Wunschliste vorbeischauen – Danke!
Möchtest du den Newsletter wöchentlich per E-Mail erhalten?
Einfach hier abonnieren:
Zu dem ARM IPO gibt es auch noch diesen lesenswerten Artikel
https://www.theregister.com/2023/08/31/a_star_star_domains/
Danke für den Input Matthias, den kannte ich noch nicht.