Microsoft-noodpatch om Docker voor Windows te beschermen
Microsoft heeft een noodpatch uitgebracht om Docker voor Windows-installaties tegen aanvallen te beschermen. Door het importeren van een kwaadaardige Docker-image was het mogelijk om willekeurige code op het onderliggende systeem uit te voeren. De kwetsbaarheid bevond zich in de Windows Host Compute Service Shim-library, waar Docker voor Windows gebruik van maakt.
Om de kwetsbaarheid uit te buiten zou een aanvaller een kwaadaardige Docker-container moeten maken. Als vervolgens een geauthenticeerde beheerder deze container zou importeren, was het mogelijk om het onderliggende Windows-systeem over te nemen. De kwetsbaarheid werd ontdekt door onderzoeker Michael Hanselmann. Hij waarschuwde zowel Microsoft als Docker in februari van dit jaar. Volgens Hanselmann heeft Microsoft de eigen hostinginfrastructuur inmiddels gepatcht, alsmede Microsoft-partners zoals Google. Op 9 mei zal de onderzoeker een proof-of-concept exploit voor Docker voor Windows uitgeven. Docker is een platform waarmee het mogelijk is om applicaties te bouwen, testen en uit te rollen.
Dat doet Docker geen recht: http://computerworld.nl/cloud/84263-wat-is-docker
Dat doet Docker geen recht: http://computerworld.nl/cloud/84263-wat-is-docker
Docker maakt onderdeel uit van containerization en kan gebruikt worden als alternatief voor VM's.Dit met als voordeel het dynamisch/snel up-scalen van bijvoorbeeld webservers en andere applicaties die in een container gehost worden. De omschrijving "is een platform waarmee het mogelijk is om applicaties te bouwen, testen en uit te rollen" komt meer neer op CI/CD software zoals Jenkins.
Dat doet Docker geen recht: http://computerworld.nl/cloud/84263-wat-is-docker
Het is juist om van de afhankelijkheid van onderhoud beheer door os mensen af te komen dat een Docker applicatie zo'n succes is. Je kunt de Docker container als "de applicatie" zien.
Ja dat is zo, simpelweg omdat containers zoals Docker (applicatie virtualisatie) maar ook OpenVZ (OS virtualisatie) meer software matige functies delen met het host OS. Dit in tegenstelling to VM's (hardware virtualisatie), waarin wel overigens ook nog een verschil zit tussen paravitualisatie en volledige virtualisatie.
Dat doet Docker geen recht: http://computerworld.nl/cloud/84263-wat-is-docker
Goed... In de echte wereld is Docker razend populair en dat gaat volgens (echte) deskundigen alleen maar toenemen:
Today, Docker, and its open-source father now named Moby, is bigger than ever. According to Docker, over 3.5 million applications have been placed in containers using Docker technology and over 37 billion containerized applications have been downloaded.
It's not just Docker who thinks they're on to something big. 451 Research also sees Docker technology being wildly successful. It predicts "the application container market will explode over the next five years. Annual revenue is expected to increase by 4x, growing from $749 million in 2016 to more than $3.4 billion by 2021, representing a compound annual growth rate (CAGR) of 35 percent."
Real-world data backs up the conclusion that Docker is being widely adopted. DataDog, a cloud-monitoring system, found that by March 2016, "13.6 percent of Datadog's customers had adopted Docker. One year later that number has grown to 18.8 percent. That's almost 40 percent market-share growth in 12 months." RightScale observed in its RightScale 2018 State of the Cloud report that Docker's adoption by the industry has increased to 49 percent from 35 percent in 2017.
Docker, an open-source technology, isn't just the darling of Linux powers such as Red Hat and Canonical. Proprietary software companies such as Oracle and Microsoft have also embraced Docker. Today, almost all IT and cloud companies have adopted Docker.
https://www.zdnet.com/article/what-is-docker-and-why-is-it-so-darn-popular/
Dat is absoluut zo, Docker is geen security boundary. Dat is waarom Windows Server 2 keuzes biedt voor containers: 'gewone' (Docker) Server Containers en VM (Hyper-V) containers.
Staat hier goed beschreven: https://docs.microsoft.com/en-us/virtualization/windowscontainers/about/index
"A Windows Server Container shares a kernel with the container host and all containers running on the host. These containers do not provide a hostile security boundary and should not be used to isolate untrusted code.
Hyper-V Isolation – These containers are designed for hostile multitenant hosting with the same security assurances of a virtual machine."
...
Goed... In de echte wereld is Docker razend populair en dat gaat volgens (echte) deskundigen alleen maar toenemen:
...
...
Goed... In de echte wereld is Docker razend populair en dat gaat volgens (echte) deskundigen alleen maar toenemen:
...
Dat is bij Docker niet het geval. En bij blockchain ook niet, in algemene zin. Kijk bv. naar Fairchain [1] en toepassingen in het Amazone gebied [2].
[1] http://fairchain.org/#primary
[2] https://www.reuters.com/article/us-brazil-property-blockchain/can-blockchain-save-the-amazon-in-corruption-mired-brazil-idUSKBN1FE113
Gebruik sinds een half jaar Singularity (dat geheel open source is). Dat werkt veel simpeler EN kan nagenoeg hetzelfde, zonder root access of enge daemons op de achtergrond.
Verder kan Singularity zonder enig probleem elk docker image starten, importeren of converteren, zolang ze geen root rechten nodig hebben.
Als je onder Singularity root rechten in een container wilt hebben, moet je simpelweg Singularity zelf als root draaien. Dan weet je wat je doet en ook wat de risico's zijn.
Dit pakket kun je op een groot systeem (cluster) als normale user zelf installeren, ook als je geen administrator bent, itt Docker.
Overigens weet ik niet of Singularity ook op MS-Windows draait (heb dat OS in geen 25 jaar gebruikt), maar ook de Docker versie is zeer beperkt onder MS-Windows. (Wikipedia:docker "A very limited Windows version of Docker is also available.")
Als je een container nodig hebt (Docker, Singularity of bijv. LXC) kun je wellicht beter meteen Linux gaan draaien.
https://singularity.lbl.gov/
Casey
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
