Mike F Robbins, Microsoft MVP по Windows PowerShell, до конца этого года устроил акцию по продаже своей книги "PowerShell 101 - The No-Nonsense Beginner’s Guide to PowerShell" за $0.99, если перейти вот прямо по этой ссылке.

Вы только вчитайтесь в эти цифры про ИБ. Божечкикошечки, это ж какой-то ад и содомия, и это только срез по промышленным организациям. Вангую, что в целом по "больнице" все гораздо хуже.

Регулярные тесты на проникновение (2 раза в год) проводят лишь 13% промышленных компаний, в 44% — они никогда не проводились. В 33% компаний инвентаризация и контроль за появлением небезопасных ресурсов в периметре сети не проводится никогда. В 40% организаций никогда не проводился анализ защищенности корпоративных беспроводных сетей. В 23% промышленных компаний отсутствует контроль установки обновлений софта.

В 17% компаний отсутствует практика мониторинга публикации информации об уязвимостях нулевого дня и поиска их в ИТ-ресурсах компании. В 40% промышленных организаций данные о новых уязвимостях принимаются во внимание, но их исправление откладывается на неопределенный срок — при том, что хакеры готовы к атаке в течение трех дней после объявления об уязвимости.

Только 23% промышленных компаний проводят регулярное обучение сотрудников основам информационной безопасности с последующей проверкой эффективности такого обучения, а 40% компаний не организуют его в принципе.

Остальное на cnews.

Касперский заглядывает в будущее. ;)
9 января 2018 года Microsoft выпустит обновление безопасности для всех поддерживаемых версий операционных систем (Windows 7-10, Windows Server 2008-2016), которое имеет проблемы совместимости со следующими продуктами «Лаборатории Касперского»:
▫️ Kaspersky Endpoint Security 10 для Windows версии 10.3.0.6294 (SP2), доступной в том числе в рамках Kaspersky Endpoint Security Cloud;
▫️ Kaspersky Small Office Security — все поддерживаемые версии;
▫️ Kaspersky Anti-Ransomware Tool — все поддерживаемые версии.
Касперский уже выпустил исправление своих баз от 18 декабря 2017 года, а 9 января 2018 года выпустят патч и обновят дистрибутивы продуктов на сайте. Подробнее на сайте Касперского.
Кстати, всё это благодаря Monthly Rollup Preview апдейтам от Microsoft - опциональный вид апдейтов, выходят в третий вторник месяца. Это предварительный доступ к обновлениям, которые Майкрософт собираются выпустить в следующем месяце. Здесь немного подробней.

Вот это поворот. Специальное предложение от Microsoft, которое действует до 31 декабря 2017 года включительно. Можно обновить свою Windows 7 или Windows 8.1 (кроме Windows 7 Enterprise, Windows 8/8.1 Enterprise и Windows RT/RT 8.1) до Windows 10 абсолютно бесплатно.
Для этого необходимо скачать утилиту миграции с официального сайта и дождаться того момента, когда появится уведомление с предложением установить апдейт Windows 10.

Powershell, Docker for Windows и Windows Server Core 1709.

Есть такой проект PowerShell Universal Dashboard, в котором можно достаточно просто собрать красивые дашборды. Построен он на ASP. NET Core, PowerShell Core, ReactJS и библиотеке Chart.js. Документацию можно найти здесь.
При чем здесь docker? Было интересно и я упаковал все это дело в контейнере Windows Server Core 1709. На гитхабе есть докерфайл, скрипты для старта и краткое описание, а ниже еще и видео закину, чтоб было чуточку понятней, кто вообще не имеет дело с докером. ;)

PowerShell Universal Dashboard, Docker for Windows и Windows Server Core 1709

Ну что, коллеги, с Новым Годом (почти). Команда этого канала в лице меня одного уходит на долгожданный отдых, увидимся со всеми в следующем году. Спасибо, что были с нами, всем удачи, сто процентного аптайма и минимального количества алёртов в мониторинге. ;)
Если вдруг что-то за праздники будет с Telegram, но надеюсь такого не произойдет, вы всегда можете найти кросс-посты на соседних ресурсах:
FB: https://www.facebook.com/itproru/
VK: https://vk.com/itproru
Yandex.Zen: https://zen.yandex.ru/media/id/592d384a8e557de2f707bd26
зыж и не забывайте рассказывать друзьям, форвардить посты в ваши чатики и делать прочие телеграм-ритуалы. ;)

Доброе утро, коллеги. Пока вчера все шумели, что проблемы у Intel, а оказалось все не так просто. Я собрал для вас много ссылок.
Кратко, что произошло: В процессорах Intel обнаружен серьезный дефект, связанный с уязвимостью на системном уровне. Затронуты все современные процессоры с чипами Intel, а это как мы понимаем все системы под управлением Windows, Linux и macOS. AMD с ARM также уязвимы, но атаку реализовать сложнее. Подробный пост на хабре - https://habrahabr.ru/post/346026/
▫️ Базовый фикс для macOS 10.13.2 и часть улучшений в бете для 10.13.3 - https://twitter.com/aionescu/status/948609809540046849
▫️ Апдейт для Windows 10 - https://support.microsoft.com/en-us/help/4056892/windows-10-update-kb4056892
▫️ Клиенты AWS уже почувствовали снижение производительности - https://forums.aws.amazon.com/thread.jspa?threadID=269858
▫️ Детали от google - https://googleprojectzero.blogspot.com/2018/01/reading-privileged-memory-with-side.html Патчи для Nexus и Pixel будут в январе, вместе с Chrome 64, включая Chrome OS - https://support.google.com/faqs/answer/7622138
▫️ Microsoft Azure - https://azure.microsoft.com/en-us/blog/securing-azure-customers-from-cpu-vulnerability/
▫️ Патч для ARM - https://developer.arm.com/support/security-update

И сразу пример перехвата пароля, используя Meltdown
https://twitter.com/misc0110/status/948706387491786752/photo/1

В NAS серии My Cloud от Western Digital можно залогониться пользователем mydlinkBRionyg с паролем abc12345cba.
Девайсы с бэкдором: My Cloud Gen 2, My Cloud PR2100, My Cloud PR4100, My Cloud EX2 Ultra, My Cloud EX2, My Cloud EX4, My Cloud EX2100, My Cloud EX4100, My Cloud DL2100 and My Cloud DL4100.
Описание уязвимости - http://gulftech.org/advisories/WDMyCloud%20Multiple%20Vulnerabilities/125
Как закрыть? Обновить свои устройства на прошивку 2.30.174 с оф. сайта.

День апдейтов. Развлекаемся и пляшем.
Microsoft выпустили январский набор обновлений безопасности. Ниже картинка с кол-вом обновлений безопасности по продуктам.  Основной шум по поводу Meltdown и Spectre. Весь список продуктов Microsoft со ссылками на KB есть в этом документе (если появляется кнопка Approve с галкой, то просто перейдите еще раз). Да, да, с AMD не все так просто.

Рекомендую посмотреть январский вебинар с Артёмом Синицыным (Security Program Manager for CEE & CIS, Microsoft) + ниже будет доступна презентация.

Linux:
Нужно ядро 4.14.12, 4.9.75 или 4.4.110 + смотреть здесь.

Google:
Android с патчем от 2018-01-05 защищен. В Chrome 64 добавлена защита от Spectre, но выпуск будет 23 января. Пока можно включить функцию Site Isolation.

Firefox:
Патч от использования Spectre через браузер в версии 57.

Cisco:
Отслеживать здесь https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180104-cpusidechannel

VMware:
Патч для VMware vSphere 5.5 и выше, vCenter и Workstation / Fusion - https://www.vmware.com/security/advisories/VMSA-2018-0004.html Пока только от Spectre.

Apple:
iOS 11.2.2 - https://support.apple.com/en-us/HT208401
macOS High Sierra 10.13.2 - https://support.apple.com/en-us/HT208397
Safari 11.0.2 - https://support.apple.com/en-us/HT208403
Это для Spectre, для Meltdown вышел еще в декабре.

SCCM:
Полезный набор Compliance Baselines для ConfigMgr - https://blogs.technet.microsoft.com/configmgr_geek_speak/2018/01/09/configmgr-speculation-control-baseline-ftw/

Здесь можно найти ссылки на остальные патчи, а то можно уже с ума сойти, там для всего: мс, варя, иксы, фряха и прочее - https://docs.ovh.com/fr/dedicated/meltdown-spectre-kernel-update-per-operating-system/

Всем удачи, скоро подтянутся еще вендоры с прошивками, заживём. ;)

Microsoft Security Release, Январь, 2018, Artyom Sinitsyn, Security Program Manager for CEE & CIS

Очередное развлечение для маководов.
Только на macOS 10.13.2 можно снять блокировку с любым паролем системных настроек в System Preferences - App Store.

На днях Powershell Core 6.0 перешел в статус GA (Generally Available).
PowerShell Core для Windows - https://aka.ms/getps6-windows
PowerShell Core для macOS и Linux - https://aka.ms/getps6-linux

Модули "из коробки": CimCmdlets, Microsoft.PowerShell.Archive, Microsoft.PowerShell.Diagnostics, Microsoft.PowerShell.Host, Microsoft.PowerShell.Management, Microsoft.PowerShell.Security, Microsoft.PowerShell.Utility, Microsoft.WSMan.Management, PackageManagement, PowerShellGet, PSDesiredStateConfiguration, PSDiagnostics, PSReadLine.

Модули, которые идут в составе Windows - DnsClient, Hyper-V, NetTCPIP, Storage и т.д., пока еще не портированы на .Net Core.
Модули в PowerShell Gallery, у которых есть поддержка Powershell Core, помечаются тэгом PSEdition_Core.

В Powershell Core недоступны PowerShell Workflows, PowerShell Snap-ins, командлеты WMIv1 (Get-WmiObject, Invoke-WmiMethod и прочее), вместо них командлеты CIM/WMIv2 (Get-CimInstance, Invoke-CimMethod), нет поддержки Windows Presentation Foundation (WPF) или Windows Forms.

Для доступа с non-Windows систем теперь можно использовать Powershell Remoting over SSH. Для подключения к Windows системам надо установить Win32 OpenSSH с GitHub.
В Invoke-WebRequest появился -SkipCertificateCheck, тут вспомним про self-signed сертификаты. ;)
Знак амперсанда (&) в конце помещает в powershell job, например: get-process &
$OutputEncoding отдает по-дефолту в UTF8.
В ConvertFrom-Json добавили -AsHashtable.
Теперь можно через оператор " . . " получить массив символов аля $letters = 'a' .. 'z'

Что же станет с Powershell ISE? Ничего, её отодвинули на второй план, теперь де-факто IDE для powershell это Visual Studio Code.
зыж в винде иконка поша черная. ;)

Еще раз про Meltdown и Spectre.

Я знаю, что все неделю шумят, но вот вам хорошее чтиво про эти две сходные уязвимости.

Несколько выдержек:
"Авторы исследования поясняют, что все выпускаемые патчи — это лишь софтовые костыли, затрудняющие эксплуатацию найденных уязвимостей, а точнее даже известных сценариев их использования. Полностью устранить эти дыры в безопасности можно только хардверным способом — выпустив новые процессоры без внеочередной обработки инструкций."

"Авторы исследования допускают, что они далеко не первые, кто обнаружил эту особенность. К примеру, осенью 2008 года Николай Лихачёв (известный под псевдонимом Крис Касперски) готовился выступить на конференции Hack In The Box с докладом о найденной им уязвимости, позволяющей взламывать компьютеры на базе процессоров Intel вне зависимости от используемой операционной системы. Звучит похоже, не правда ли?"

"Исполнительный директор Intel Брайан Кржанич (Brian Krzanich) узнал о проблеме летом 2017 года и начал продавать большую часть акций своей компании."

"Обновления готовы для iOS 11.2, macOS 10.13.2 и Safari, однако после установки свежих апдейтов на macOS 10.13.2 эксплоит для Spectre по-прежнему работает."

http://telegra.ph/Meltdown-i-Spectre-Razbiraem-fundamentalnye-uyazvimosti-v-processorah-01-12

Скрипт для проверки ваших VMware хостов и виртуальных машин на уязвимость Spectre (Hypervisor-Assisted Guest Mitigation - CVE-2017-5715) от Вильяма Лама.

 Install-Module -Name VMware.PowerCLI 
Connect-VIServer
Verify-ESXiMicrocodePatch
Verify-ESXiMicrocodePatchAndVM 

Подробный пост тут и сам скрипт на гитхабе.

зыж а про vCheck еще слышали? Этот скрипт попал и туда. vCheck на гитхабе.

Прогрессивные скидки на экзамены MCP
Microsoft представляет новое предложение – прогрессивные скидки. Чем больше MCP экзаменов Вы сдаете в течение 9 месяцев, тем большую скидку получаете – до 50%! Как это работает:
▫️ Оплатите первый MCP экзамен по стандартной цене.
▫️ Получите 25% скидку на второй экзамен.
▫️ Получите 50% скидку на 3 экзамен.
▫️ После 3 экзамена Вы получите 50% скидку на каждый последующий экзамен, сданный в течение 9 месяцев со времени сдачи первого.
Полное описание предложения.

Сэкономьте на материалах для подготовки к экзаменам
Обучающиеся могут сэкономить на материалах для подготовки к экзаменам. Купите 3 или более практических теста MeasureUp на mindhub и получите 30% скидку с заказа на практические тесты MeasureUp.
Предложение действительно с 4 декабря 2017 до 30 апреля 2018. Практические тесты могут быть использованы в течение 1 года с даты покупки и доступны для занятий в течение 30 дней со дня активации. Скидка применяется автоматически, коды для скидки не требуются. Предложение недействительно для экзаменационных ваучеров или пакетированных предложений.
Подробнее о предложении

Сертифицируйся. Получи футболку в подарок!
Студенты получат бесплатную футболку, если сдадут любой экзамен в авторизованном центре тестирования Pearson VUE или online.
Это прекрасная возможность для студентов использовать ваучеры Exam Replay и Azure Skills — и начать получать  прогрессивные скидки на MCP экзамены! Все заявки должны быть оформлены до 5 февраля 2018. Зарегистрируйтесь, чтобы получить Вашу бесплатную футболку на странице этого предложения. Количество ограничено. Дизайн футболки может быть изменен.

Preview версии Visual Studio 2017 для Windows и macOS.

Microsoft представила второй превью апдейт для Visual Studio 2017 Version 15.6.
Что тут еще писать? Для тех кто в теме changelog для Windows, а тут можно почитать про изменения для macOS версии.

Немного юмора из рабочих чатов, а то с инфоповодами совсем беда. 😉

DevOps-шансон

1. Парень шел под CoreOS
2. Jenkins гонит порожняк
3. Золотые образы
4. Имеджи летят на нашу ноду
5. Безопасник, не шей мне срок
6. Хоп, докерок, не падай в дедлок
7. Что ж ты, Митчелл, сдал назад
8. Постой, не деплой, не летите коммиты
9. Пояснил за образ
10. Артифактори общак, кто-то ддосит натощак
11. Вот я откинулся, какой heroku run
12. Я не девопс инженер
13. А на синем пайплайне, пайплайне грувишном
14. Заббикс, сука, стукачок

В очередной раз в Chrome Web Store были обнаружены вредоносные расширения. По данным исследователей, расширения позволяли своим операторам отправлять зараженным браузерам любые команды в формате кода JavaScript. К счастью для пострадавших злоумышленники использовали эту возможность лишь для кликфрода (браузер загружал специальные сайты в фоновом режиме и скликивал на них рекламу), а также различных SEO-манипуляций.

Хуже того, специалисты ICEBRG уверенны, что среди пользователей опасных аддонов были сотрудники крупных компаний, и атакующие в теории имели возможность следить за пострадавшими пользователями и организациями, занимаясь шпионажем и другими вещами, куда хуже банального скликивания рекламы.

Как вы отслеживаете расширения для браузеров на конечных девайсах? Если с системными обновлениями и обновлениями для ПО все более и менее понятно, то вот с расширениями появляется много нюансов. Понятно, что самый простой способ запретить через admx шаблоны устанавливать расширения, но этот вариант может подходить не для всех.

В @configmgr обсудили варианты и родилось два скрипта в Configuration Items для Windows и macOS (для Ubuntu тоже должен работать, но надо смотреть папку с Хромом).

Windows:

 [bool](get-item "$($env:SystemDrive)\Users\*\AppData\local\Google\Chrome\User Data\Default\Extensions\*" -ErrorAction 0).Where{@("ginfoagmgomhccdaclfbbbhfjgmphkph", "mpneoicaochhlckfkackiigepakdgapj", "djffibmpaakodnbmcdemmmjmeolcmbae", "ppmibgfeefcglejjlpeihfdimbkfbbn") -contains $_.Name} 

thx Aleksandr Chebotov

macOS:

  #!/bin/bash
loggedInUser=$(stat -f%Su /dev/console)
vulnExt=(ginfoagmgomhccdaclfbbbhfjgmphkph mpneoicaochhlckfkackiigepakdgapj djffibmpaakodnbmcdemmmjmeolcmbae ppmibgfeefcglejjlpeihfdimbkfbbn)
dir=($(ls /Users/$loggedInUser/Library/Application\ Support/Google/Chrome/Default/Extensions/))
intersections=()
for item1 in "${vulnExt[@]}"; do
    for item2 in "${dir[@]}"; do
        if [[ $item1 == "$item2" ]]; then
            intersections+=( "$item1" )
            break
        fi
    done
done
if [ "${intersections}" == "" ]; then
  echo Compliant
else
  echo Non-Compliant
fi 

Надо собирать пост с картинками про CI (Configuration Items) и как все это собрать внутри Configuration Manager? (пальцы вверх)