Балта қаншалықты өткір болса да, жүзі жаңылып өтпей қалатын күн туады. Бұл күннің тууы балтаны қаншалықты жиі қолданып, қаншалықты қатты заттарды шапқанға байланысты. Балтаның жүзі жаңылып өтпей қалған кезде оны қайрау қажет. Әйтпесе, балта өз ісін атқара алмайтын дәрежеге жетеді.

Адамда дәл сол сияқты. Егер дер кезінде өз-өзін қайрап ұштап тұрмаса, жүзі жаңылып өз міндетін атқара алмайтын дәрежеге жетеді. Өзін қайрау үшін адам, дер кезінде демалып, денені шынықтырып, ой үшін кітап оқып тұруы қажет.

In this post, I want to write about the difficulties that I faced during the development process and the shortcuts I made. If you have good experience in developing CI/CD-related CTF challenges, please let me know in the comments so that I will use your approach.

In short, GitHub Actions is one of the public CI/CD platforms such as Travis-CI, Circle-CI, and others that is maintained by GitHub itself, which makes it a popular choice for projects hosted on GitHub.

To use the GitHub Actions developers need to write a workflow configuration file under the .github/workflows folder inside the repository. The workflow configuration file is a YAML file that defines events that trigger the workflow, and jobs that are executed if certain events are fired. The jobs consist of N number of steps (aka commands) executed in order. Inside the commands, developers can use events data to perform tasks. For example, one can write a build command to be executed if the issue with the title “[build]” is created.

The basic idea of the challenge was to subvert the execution flow of the CI/CD pipeline by injecting code into the job through the creation of the issue. While the first challenge’s attack is straightforward, for the second challenge you need to have to create an issue that follows a certain format. You can access both challenges by following links: geet-into-action and geet-into-reaction.

In addition to injecting the code, attackers need to figure out how to extract secrets from the CI/CD pipeline. GitHub Actions by default masks all the secrets. Therefore you can not just print out the secrets into the console. You have to manipulate it a little bit to be able to print it out. During the development of the challenges, I faced mainly two problems:

1. Where I can host the CI/CD pipeline runner?
2. How I can hide the traces of the exploit from other competitors?

For the first problem, I ended up using default hosting by GitHub instead of hosting the pipeline runner in a VM. GitHub itself does not suggest using the self-hosted environment due to security risks. Since I know that both of the challenges’ workflows contain code injection vulnerability, I do not want to run arbitrary code inside the VM, even if it is isolated from the host machine. I wanted to avoid the situations when participants destroy (un)intentionally the VM so that others will not be able to solve the challenges. To our surprise, GitHub provides unlimited runtime minutes for public repositories. Even though, we were worried that GitHub will block our repository that hosts challenges due to suspicious activities. I think, at the highest workload participants were creating 20-30 issues per minute inside the repositories that were starting the execution of the workflow. To avoid stressing the GitHub infrastructure, we on purpose set the timeout minute for the challenges to 1 and 2 minutes respectively.

For the second problem, I ended up creating another job and workflow which will be executed immediately after the initial job and workflow finish execution. The goal of this job and workflow was to clean all the traces of other participants’ exploits. Since participants are using the issue to inject, others can copy the solution by just looking at others’ issues. Unfortunately, GitHub does not allow the deletion of the issue, but it allows us to edit the issue. That is what the job does. It edits the body and the title of the issue as soon as the vulnerable workflow starts running. Another thing to hide is the solution itself. Developers can access the execution traces of all workflows by navigating to the Actions tab in the repository. We don’t want the situation when other participants can just read the flag (solution) by reading the execution traces of previous workflow runs. Therefore, I created a cleaner workflow that is fired after the vulnerable workflow finishes execution, which removes the workflow’s traces that triggered the cleaner workflow.

I think that is it. In general, it was quite an interesting experience to develop CTF challenges related to CI/CD pipeline. If I will have a chance next year, I would like to work on a more complicated CI/CD pipeline challenge that needs the chaining of several vulnerabilities to find the flag.

PS: You can access the challenges by following these links: geet-into-action and geet-into-reaction, and try to solve them yourself. If you think I should have taken a different approach to creating these challenges, please let me know in the comments.

Я давно спрашивал у моих подписчиков нужно ли учить детей ставить цели. 98% ответили «да, нужно учить». Но теперь возникает проблема, как можно научить детей ставить цели. Честно скажу, у меня нет ответа на этот вопрос. То, что сработает с одним ребенком, может не сработать с другим. У каждого свой подход.

Здесь я бы больше хотел обсудить воспитание детей касательно финансов. А именно, то как решить очень распространенный сценарий жизни: «Первое поколение зарабатывает, второе тратить, третье нищенствует». Я видел очень много примеров этого в жизни, что хотелось бы избежать такого развития событий. И для этого я записал для себя план действий для привития правильного отношение к деньгам детям. Внизу список:

1. Обязательно быть живым примером в заработке и экономии денег. Дети всегда копируют родителей. Если вы не считаете деньги, вряд ли ваши дети их будут считать. Мне повезло в этом плане, что мои родители всегда имели семейный бюджет.
2. Никогда не баловать детей деньгами. Они должны научиться зарабатывать сами на досуг и развлечения. Например, помогая по дому, или продавая то, что уже не нужно (старые игрушки и т.д.) Меня всегда вдохновлял поступок моей старшей сестры, когда она в детстве продала коробку жевачек поштучно😁👍🏻 или когда мы обменяли бутылку колы, на щенка.
3. Сделать акцент на мастерстве, профессионализме, а не на деньгах. Профессионал всегда сможет заработать. А тот, кто не знает своего дела не сможет заработать, если даже это профессия является высоко оплачиваемой. Я много видел студентов, которые выбрали специальность ИТ только в надежде что будут много зарабатывать, но так и не смогли нормально отучиться.
4. Научить не растрачивать деньги. И это не только касательно каких-то прямых трат, но и касательно косвенных. Например, я помню как однажды говорил с 11 классником, который спустя рукава готовился к ЕНТ. Когда я спросил почему не готовится нормально, его ответ удивил меня. Он ответил: «Мне не зачем готовиться. Ведь работа моего папы оплатить за обучение». Конечно возможно компания и заплатить. Но зато компания не будет платить ему стипендию, что повлечет за собой косвенные убытки.

Вот это главные принципы, которые я бы хотел заложить своим детям касательно денег. Мне повезло с этим. Мои родители смогли мне привить правильное отношение к финансам. Главное, наверное, что я бы хотел сказать своим детям, когда они станут старше, так это то, что деньги не нужны для полноты счастья, но они является важным элементом упрощения жизни.

В последнем посте я писал об установке на рост, что это и как его применять, чтобы вместе развиваться и расти. В этом посте раскрыть более конкретно тему изменений.

Есть хорошо известная мудрость, которую практически все знают, но, к сожалению, мало кто применяет. Это если хочешь изменить мир, то тебе нужно с начало измениться самому. Если не знали то и в Коране есть аят похожий по смыслу «Всевышний не изменить положение дел людей, пока они сами не изменятся». К сожалению, нам всегда проще увидеть недостатки других людей, чем наши промахи и огрехи. Например, мужчины могут заметить то, как «грязно» дома, но не заметить то, что он не убирается за собой или хотя бы не ложет на место свои носки. А женам всегда легче заметить то, что муж не развивается и сидит перед телевизором после работы, но в то же время она сама может в свободное время смотреть непонятные «турецкие» сериалы и бесконечные телепередачи, вместо занятия спортом или чтения книг.

Если вы действительно хотите создать семью, где каждый развивается и достигает наибольших результатов, то вам необходимо научиться сконцентрироваться на развитии своих слабых сторон. Ведь у каждого они есть и только вы сможете их исправить. У кого-то это может быть чрезмерная любовь у сладкому, пустословие (читай кухонная политика), неорганизованность в делах. Перед тем как гневаться на жену или капать на мужа, следует исправить свои недостатки. Если вы изменитесь как минимум в два раза, станете красивее, умнее, мудрее, научитесь грамотно распоряжаться деньгами, или просто говорить комплементы и улыбаться дома, то ваш муж/жена призадумается и начнет меняться вместе с вами. Конечно, если у него/нее есть потенциал для развития. Но если вы действительно изменились в два раза, но ваш партнёр все такой же «закостенелый» и не хочет развиваться и без конца тянет вас вниз, то возможно вам пора думать о новой витке вашей жизни… Вам решать… Вот как то так. Удачи вам в создании семьи, где вместе развиваются и добиваются многого.

PS: Например в данный момент я учусь на докторантуре и параллельно веду свой собственный проект, Topuniver. А тем временем моя красавица жена ведет свой авторский проект «TeaTalks» включая к воспитанию дочери и уходом за домом.

Есть много различных факторов, которые влияют на семейное счастье. Это и финансы, и отношение с родственниками, и уровень образования, и окружение и многое другое. Многие об этом знают. Я бы хотел написать об одном важном качестве, которые не все знают, но которое сможет преобразить в лучшую сторону семейную жизнь. Это качество - установка на рост, а не на данность.

Установка на рост означает, что человек всегда может развиваться и расти. Изменяться и обучаться тем качествам, которые ему не хватают. В противоположность этому, установка на данность означает, что человек родился с определенными характеристиками (темперамент, таланты и т.д.) и он таким останется на всю жизнь.

Установка на данность, особенно, проявляется когда человек сталкивается с проблемами. Какова его реакция? Воспринимает ли он это как возможность вырасти как личность, решив проблему или же скажет «ничего невозможно поделать в данной ситуации» и будет игнорировать проблему.

Теперь, наверное, вы спросите как это связано с семейной жизнью? Я считаю это связано напрямую. И вот почему. В семейной жизни нет такого понятия как жили навечно счастливо. Если вы верите этому, то вы явно носите розовые очки и насмотрелись романтических комедий. Чтобы выстроить счастливую семейную атмосферу нужно будет прикладывать усилия, и работать над собой. Каждую неурядицу в семье нужно будет решать спокойно и с улыбкой и вместе.

Каждому из партнеров нужно будет работать над собой и быть готовым изменить свои привычки и привычный уклад жизни. Потому что теперь вы не одни, а вы уже как минимум двое. Потом как только вы начали привыкать к друг другу, появляется первенец, к которому также нужно будет адаптироваться вместе. Вместе решать повседневные дела. Все это требует от жены и мужа наличия установки на рост и умению смотреть на проблемы как на вызов, решая которых мы становимся мудрее и сильнее. И умению адаптироваться.

Есть хорошее высказывание знаменитого социолога Бенджамина Барбера:

«Я не делю общество на слабых и сильных или на успешных или неудачников… Я делю общество на тех кто учится, и тех, кто не учится»

В этом мире сотканном, из обмана и желания получения личной выгоды нельзя доверять никому. А особенно, так называемым альянсам. Если вы посмотрите на историю сколько раз происходило так, что слабый надеявшийся на защиту сильного, становился лишь игрушкой в его руках. Пешкой в большой игре (в противостоянии гигантов). Если хотите лучше понять то, что я пытаюсь сказать вам нужно посмотреть хороший фильм «Власть» и прочитать книгу «A Peace to End All Peace: The Fall of the Ottoman Empire and the Creation of the Modern Middle East».

Теперь выводы: нам не стоить слепо доверять союзу государств (альянс). Доверяй, но проверяй. Нужно обзавестись другими партнёрами, иметь в запасе 10-ки планов-Б. Конечно, без альянса и договоренностей между государствами Казахстану не выжить, но слепо верить только одному игроку является большой ошибкой. Нам нужно развивать своё направление, свой путь. Стараться всегда быть независимым экономически, политически и в военным деле.

Вы слышали про компанию WeWork?Я о них особо ничего не знал до этой недели. Эта компания занимается коворкинг-ом. То есть, предоставляет место(офис) для начинающих бизнесменов под определенную сумму. До недавних пор, компания WeWork оценивалась в 40 миллиардов долларов. А сейчас, её стоимость уменьшилась как минимум в 5 раз. И это, несмотря, на то, что компания на начальном этапе получила от многих инвесторов большие вложения. ⠀ Есть несколько причин, приведших, компанию к такому положению дел. Более подробно можете посмотреть в коротком видео от Bloomberg. Я считаю, одной из главных причин было то, что управляющие компании получили очень много денег за короткое время, к которым они не были готовы. ⠀ Это похоже на то, как если бы кто-то сел за штурвал истребителя, хотя сам только-только научился водить машину. Вроде бы, истребитель супер мощный и ты можешь добиться с помощью него много чего, но ты думаешь в контексте машины, а значит как бы проехать с помощью истребителя 10 км до супермаркета. ⠀ Такое к сожалению, происходит очень часто. Только посмотрите на людей, которые выиграли в лоторею. Большинство из них через 3-5 лет возвращались к прежнему образу жизни. То есть, за каких-то 5 лет потратили десятки миллионов долларов. Как будто, с цепи сорвались. ⠀ Деньги - это дело тонкое. Их должно быть много, очень много, но только, при правильном отношении и умении ими управлять. Вы должны научиться сначала, использовать $50 перед тем как начать управлять $500, $5.000 или же $500.000.000. Кудайга шукир, что мои родители и сестры помогли мне выработать необходимые навыки, уже со студенческих лет, когда впервые у меня появились деньги стипендии в размере $50, я начал постепенно инвестировать в знания покупая книги. К концу, баклавариата у меня уже была библиотека из более чем 200 книг, которые я купил сам. Чтение этих самых книг и помогло мне и сейчас помогает в моей счастливой семейной жизни. И по сей день, я продолжаю читать уже бесплатно, книги из библиотеки своего университета. ⠀ Если кратко, то все начинается с малого. С отношения к $1 доллару. Вы должны научится управлять, сберегать и инвестировать деньги, до тех пор, пока они у вас не появятся. Вы уже должны знать как распорядитесь с первым миллионом, зарплатой, бонусом до тех пока их получите. Большие компании тратять миллиарды на рекламу и маркетинг для того, чтобы навязать вам покупку того, что вам не нужно и что вы в конечном счете купите, если не будете заранее знать как распорядитесь своими деньгами.

Как то так!

Три фильма, которые я бы посоветовал всем тем, кто увлекается финансами и экономикой в стране. Кто-то посмотрев, скажет что вся верхушка коррумпирована и что они не рационально расходуют народные средства. И они будут правы от части. Только от части. Почему же от части? Потому что, есть большая вероятность того, что те, кто так говорит, возможно, и сам не рационально тратить свои же деньги.

Лично я, когда смотрю фильмы, всегда пытаюсь вытащить что-то полезное, и что можно практиковать прямо сейчас. Посмотрев, все три фильма убедился еще больше в том, что нужно, всегда, жить по средствам и никогда не брать кредитов. Никогда! И этому нужно следовать начиная с семьи и заканчивая государством. Что люди, что государства любят тратить те деньги, которых у них нет. Если в масштабах семьи люди тратят деньги на какие-то вещи, которые им не нужны или на празднование (той-мой) без которых можно было бы обойтись, то в масштабах государства правительство может потратить на непонятные PR акции (Азияда в Казахстане, Олимпиада в Греции) после которого в бюджете образовывается большая дыра. Я лично, знаю людей которые при первой же возможности обновляют телефон, хотя у них нет на это денег или у них есть долги.

Я пользуюсь iphone-ом 5-ти летней давности, к тому же купленный как second hand, хотя могу себе позволить - купить новый, но в тоже время больше 40% дохода сберегаю или же инвестирую. Так же, не понимаю людей, которые проводят торжество (той) на более чем 100 человек, в кредит! И этот кредит, конечно же, будет выплачивать новоиспечённая семья. А это, в свою очередь, может негативно отразиться на развитие внутрисемейной гармонии. Например, я знаю семью которая выплачивала кредит за свадьбу в течении 2-х лет, и муж работал практический целые сутки ради этого. Хотя мог бы проводить это время со своей женой. Кстати, мы отметили день рождения своей дочеры всего лишь в кругу семьи без каких либо торжеств, хотя наши знакомые которые возможно зарабатывают меньше нас забронировали ресторан на большое количество людей, чтобы отменить день рождение сына. Хотя всего лишь год назад не могли найти 10,000 тг. Да уж, не поймешь людей! Вроде нужно экономить, но все делают наоборот, и тратят тех денег, которых у них нет.

Суть всего того, что я написал:

1. Жить в соответствии с возможностями или же никогда не тратить тех денег, которых у вас нет.
2. Нужно начинать с малого (с себя и с семьи), прежде чем менять нечто большее (государство).

Once Marc Andreessen said that software is eating the world. Today we can say that JavaScript is eating the software. Since the introduction of Node.js and npm the usage of JavaScript in projects across the different sectors increased exponentially. JavaScript is now everywhere! From traditional web based applications to desktop and mobile applications you can see the fingerprints of JS. Right now I am writing these lines using VS Code which is purely written in JavaScript. Isn’t it amazing? However, over popularity of JavaScript means that it became a honeypot for attackers. By writing exploits (malware, trojans) in JavaScript hackers now can affect applications; thus more people. Do you remember the event-stream event? When a single attack to the popular package affected 2 millions of people weekly for two months until it was detected. That is why it is crucial for developers to pay more attention to the security of JavaScript application now then ever before.

Below you can find the list of automative tools that can help you find vulnerable packages in your JavaScript applications. But, remember, this is only the first step in securing your applications.

1. npm audit

npm audit is a new command that performs a moment-in-time security review of your project’s dependency tree. Audit reports contain information about security vulnerabilities in your dependencies and can help you fix a vulnerability by providing simple-to-run npm commands and recommendations for further troubleshooting.

2. Snyk

Even if npm audit gives you a good amount of information, you need try a snyk automated tool to discover the vulnerabilities and patch them. You can read more about differences between snyk and npm audit in the post by Igor Shmukler.

3. retirejs

Retirejs is another tool for detecting vulnerable libraries used by the JavaScript application. What I like about this tool is that it has Chrome and Firefox extensions, which can be very handy if you are developing web application.

Below you can see the screenshot of one of my repositories. In my opinion it is very cool feature for those who needs to keep there branch as secure as possible. Only one question remains: how stable it will be? What happens if developer do not follow semantic versioning and introduces breaking changes in a patched version?