Nord Nord Sec #23

Es freut mich euch wieder einmal begrüßen zu dürfen. Nachdem Ich erst Gesundheitlich angeschlagen war, kamen dann noch zeitliche Herausforderungen dazu - und auch inhaltlich war Ich nicht wirklich zufrieden.

Deshalb die wichtigste Neuerung zuerst: Es wird keinen festen Schedule in nächster Zeit mehr geben. Ich bleibe lieber flexibel und mit Spass bei der Sache.

Falls Ihr Vorschläge oder Ideen habt, was Ihr in Zukunft gerne (mehr) lesen möchtet, meldet euch bei mir.

Text

🏗️ Semgrep for Terraform Security Das Ich ein kleiner semgrep Fanboy bin, dürfte desöfteren schon einmal aufgefallen sein. Letztens bin ich auf einen Erfahrungsbericht gestossen, wie man die Sicherheit von terraform verbessern kann. Das ganze ist im Artikel auch mit Beispielen für semgrep-Regeln unterfüttert. verbessert die Sicherheit von Terraform durch Förderung sicherer Standardmodule und Durchsetzung von Meinungsregeln.

Besonders smart dabei: Durch den Einsatz von Custom semgrep Regeln in der CI/CD, könnt Ihr eure Entwicklungsteams sanft in die richtige Richtung stossen und zum Beispiel die flexiblen Standardmodule durch sichere, spezifische Varianten zu ersetzen.

Falls ihr semgrep nicht nutzen wollt, kuckt euch OPA, conftest und checkov an.

🧑‍🔬 Don’t Security Engineer Asymmetric Workloads Rami McCarthy erklärt, was Asymmetrische Workloads sind, warum Sie problematisch sind und was man dagegen tun kann.

Wie bei vielen Konflikten in Unternehmen, ist die Wurzel des Problems fehlende Transparenz. Unklarheiten, woher Security Requirements kommen trifft auf Unverständnis in den Entwicklungsteams, warum denn genau das jetzt den Launch verhindern soll.

Ausserdem ist es hilfreich, wenn Teams enabled werden, ihre eigenen Risiken zu bewerten und zu mitigieren. Neben der offensichtlichen Arbeitsersparnis, kommt dann dazu, dass das Entwicklerteam plötzlich auch über die IT Sicherheit Ownership behält. Also sowohl über die Umsetzung der nötigen Features, als auch über etwaige Tech Debt die aufgebaut wird oder bewusst akzeptiertes Risiko.

Auch wenn gelegentliche asymmetrie nicht vermieden werden kann, sollte man ein Auge darauf haben, dass das kein systemisches Problem wird.

Wenn vermeidbare Asymmetrische Workloads gehäuft auftreten, lohnt es sich, den Root Cause herauszufinden und direkt hier anzugreifen.

🪖 What is DevSecOps and Why Is It Essential For Secure Software Delivery Traditionelle Sicherheitspraktiken funktionieren heute nicht mehr. Sicherheitsprüfungen am Ende des Software-Lieferzyklus führen zu nicht leistbaren Mehraufwänden gegen Ende der Entwicklung - wenn Zeit und Budget ohnehin ausgereizt sind. Die Verwendung von Open Source Software und Drittanbieter-Artefakten in Anwendungen bringt ein erhöhtes Risiko für neue Schwachstellen mit sich. Um Entwicklungszeiten zu beschleunigen, ohne die Produktivität zu beeinträchtigen, ist die Integration von IT Sicherheits Massnahmen im gesamten Software-Entwicklungszyklus - bekannt als DevSecOps - notwendig. DevSecOps fördert die Zusammenarbeit und Kommunikation zwischen Entwicklungs-, Sicherheits- und Betriebsteams und macht Sicherheit zu einem integralen Bestandteil des Entwicklungsprozesses.

Die so (hoffentlich) entstehende Kultur der gemeinsamen Verantwortung und der gemeinsame Fokus werden durch regelmäßige interne Sicherheitsschulungen gefördert und durch die regelmässige Kommunikation über verschiedene Teams hinweg intensiviert - und am Ende steht ein Produkt was bei Release nicht vor Sicherheitslücken strotzt, sondern den eigenen Qualitätsansprüchen genügt.

Tools und Co.

🚧 synacktiv/nord-stream ist ein Redteam-Tool um Secrets aus CI/CD Umgebungen zu extrahieren. Unterstützt Azure DevOps, Github und Gitlab - also die aktuell populärsten CI/CD Plattformen.

🐧 Accenture/jenkins-attack-framework Quelle der Schmerzen vieler Entwickler:Innen - Jenkins. Analog zu nord-stream, gibt es auch das jenkins-attack-framework, mit dem diverse Post-Exploitation Aufgaben in einem Jenkins durchgeführt werden können. API-Tokens erzeugen, Credentials dumpen, Jobs auflisten und natürlich Skripte ausführen - alles von der Kommandozeile 👍️ 

😺 praetorian-inc/gato ist ein Enumeration- und Angriffstool für GitHub Organisationen. Sowohl Blue Teamer als auch Red Teamer können damit Pipeline-Schwachstellen in den öffentlichen und privaten Repositories einer GitHub-Organisation identifizieren und ausnutzen.

🏗️ suzuki-shunsuke/tfprovidercheck verhindert, dass bösartige Terraform-Provider ausgeführt werden. Eine Liste der zulässigen Terraform-Provider und deren Versionen kann definiert werden - und unzulässige Provider werden an der Ausführung gehindert.

🛠️ trustedsec/The_Shelf Hier veröffentlicht Trustedsec Tools, die sie entweder nicht mehr aktiv nutzen, die lediglich ein PoC sind oder noch ein wenig Arbeit benötigen um Einsatzbereit zu werden.

Misc

🙃 Microsoft Mitarbeiter leaked internen Code in einem öffentlichen Forum. Dort hatte er von einen Apple TV Crash auf seinem Surface berichtet und einen Anhang dazu gepackt, in dem Massenhaft interner Code für Microsoft PlayReady dabei war.

Mit dem Material war es laut Microsoft möglich, PlayWright zu bauen. Die Posts wurden mittlerweile von Microsoft entfernen lassen.

Video

✏️ How HACKERS Take Notes!! Cooles Video allgemein zu Notizen (in Obsidian), P.A.R.A. und Organisation des ganzen. Auch wenn ich niemandem empfehlen würde, mit einem so massiv angepasstem Obsidian zu starten.

Dieses Mal, kommt Rocky Balboa zu Wort - mit vermutlich seiner bekanntesten Rede.

Egal was wir wollen, was wir uns wünschen und wovon wir träumen - Am Ende des Tages gibt es nichts umsonst. Du willst etwas? Hol’s dir. Du scheiterst? Dann steh auf und probier's nochmal.

Cheers,

Martin