0 added
0 removed
Original
2026-01-01
Modified
2026-02-19
1
<p>Привет! Меня зовут Кирилл Казарин, я DevOps and SRE global manager в RingCentral Inc., спикер учебного центра "Слёрм" и автор канала<a>"Kazarin.online".</a>Сегодня хочу поговорить о безопасности, и разобрать важность подхода DevSecOps на примере недавней фейковой атаки на Google.</p>
1
<p>Привет! Меня зовут Кирилл Казарин, я DevOps and SRE global manager в RingCentral Inc., спикер учебного центра "Слёрм" и автор канала<a>"Kazarin.online".</a>Сегодня хочу поговорить о безопасности, и разобрать важность подхода DevSecOps на примере недавней фейковой атаки на Google.</p>
2
<p><strong>1. "Мы внутри": как хакер пытался убедить нас в доступе к Google</strong></p>
2
<p><strong>1. "Мы внутри": как хакер пытался убедить нас в доступе к Google</strong></p>
3
<p>В начале июня 2025 года в Telegram-канале z3roday появился резонансный пост. Его автор заявлял, что получил доступ к внутренней инфраструктуре Google - и не просто "взломал", а проник через цепочку CI/CD. Он утверждал, что:</p>
3
<p>В начале июня 2025 года в Telegram-канале z3roday появился резонансный пост. Его автор заявлял, что получил доступ к внутренней инфраструктуре Google - и не просто "взломал", а проник через цепочку CI/CD. Он утверждал, что:</p>
4
<ul><li>прошёл через cloudbuild.yaml и получил доступ к metadata endpoint;</li>
4
<ul><li>прошёл через cloudbuild.yaml и получил доступ к metadata endpoint;</li>
5
<li>использовал gcloud для имперсонации сервис-аккаунтов;</li>
5
<li>использовал gcloud для имперсонации сервис-аккаунтов;</li>
6
<li>перешёл в прод-среду, получил дампы Firestore, доступ к Google Workspace, Firebase, Cloud Run;</li>
6
<li>перешёл в прод-среду, получил дампы Firestore, доступ к Google Workspace, Firebase, Cloud Run;</li>
7
<li>якобы скачал приватные документы, токены, сессии, ключи;</li>
7
<li>якобы скачал приватные документы, токены, сессии, ключи;</li>
8
<li>имел сведения о внутренних LLM-политиках Gemini и инфраструктуре цензурных механизмов Google;</li>
8
<li>имел сведения о внутренних LLM-политиках Gemini и инфраструктуре цензурных механизмов Google;</li>
9
<li>всё это - без взлома, "просто используя" баги конфигурации.</li>
9
<li>всё это - без взлома, "просто используя" баги конфигурации.</li>
10
</ul><p>Сообщения сопровождались скриншотами логов и yaml манифестов, выгрузок из БД, списками пользователей и драматичным слогом автора. Это не выглядело как обычный слив о взломе или багрепорт - скорее как манифест: "Я был внутри, и вам уже поздно что-то делать".</p>
10
</ul><p>Сообщения сопровождались скриншотами логов и yaml манифестов, выгрузок из БД, списками пользователей и драматичным слогом автора. Это не выглядело как обычный слив о взломе или багрепорт - скорее как манифест: "Я был внутри, и вам уже поздно что-то делать".</p>
11
<p><strong>2. Что бы это значило, если бы было правдой</strong></p>
11
<p><strong>2. Что бы это значило, если бы было правдой</strong></p>
12
<p>Если отбросить скепсис и принять эту версию за чистую монету, потенциальный ущерб выглядел бы как катастрофа:</p>
12
<p>Если отбросить скепсис и принять эту версию за чистую монету, потенциальный ущерб выглядел бы как катастрофа:</p>
13
<ul><li>Компрометация системы управления доступом (IAM) и временных токенов авторизации могла бы позволить злоумышленнику выдавать себя за легитимные сервисы Google и выполнять действия от их имени, включая доступ к пользовательским данным и внутренним сервисам;</li>
13
<ul><li>Компрометация системы управления доступом (IAM) и временных токенов авторизации могла бы позволить злоумышленнику выдавать себя за легитимные сервисы Google и выполнять действия от их имени, включая доступ к пользовательским данным и внутренним сервисам;</li>
14
<li>Проникновение в CI/CD пайплайны открыло бы возможность модифицировать артефакты сборки, внедряя вредоносный код на этапе создания или доставки программных компонентов - что потенциально угрожает безопасности миллионов пользователей;</li>
14
<li>Проникновение в CI/CD пайплайны открыло бы возможность модифицировать артефакты сборки, внедряя вредоносный код на этапе создания или доставки программных компонентов - что потенциально угрожает безопасности миллионов пользователей;</li>
15
<li>Получение доступа к Firebase - особенно в случаях некорректно настроенных правил доступа - предоставило бы злоумышленнику прямой доступ к базам данных, хранилищам, пользовательским сессиям и приватным сообщениям множества мобильных и веб-приложений, построенных на этой платформе;</li>
15
<li>Получение доступа к Firebase - особенно в случаях некорректно настроенных правил доступа - предоставило бы злоумышленнику прямой доступ к базам данных, хранилищам, пользовательским сессиям и приватным сообщениям множества мобильных и веб-приложений, построенных на этой платформе;</li>
16
<li>Утечка обучающих датасетов и конфигураций для внутренних LLM-моделей могла бы раскрыть не только технические детали моделей, но и стратегические аспекты: как алгоритмы принимают решения, какие категории информации считаются чувствительными, какие источники используются для фильтрации контента;</li>
16
<li>Утечка обучающих датасетов и конфигураций для внутренних LLM-моделей могла бы раскрыть не только технические детали моделей, но и стратегические аспекты: как алгоритмы принимают решения, какие категории информации считаются чувствительными, какие источники используются для фильтрации контента;</li>
17
<li>Переход из среды сборки (build) в боевую среду (production) через сервис-аккаунты с правами уровня roles/owner фактически означал бы, что сборочная система имеет полный административный доступ ко всем средам - то есть, любое проникновение в пайплайн становилось бы точкой полного захвата всей инфраструктуры.</li>
17
<li>Переход из среды сборки (build) в боевую среду (production) через сервис-аккаунты с правами уровня roles/owner фактически означал бы, что сборочная система имеет полный административный доступ ко всем средам - то есть, любое проникновение в пайплайн становилось бы точкой полного захвата всей инфраструктуры.</li>
18
</ul><p>Подобный сценарий представлял бы собой не просто единичную атаку, а наглядную демонстрацию того, как ошибки конфигурации, избыточные IAM-привилегии и недостаточный контроль над dev и CI/CD-инфраструктурой могут привести к полному захвату облачного окружения. Учитывая, что от экосистемы Google зависят множество компаний и сервисов по всему миру - от госорганов до мобильных приложений, от стриминговых платформ до логистических цепочек - компрометация такого уровня затронула бы миллионы пользователей, бизнесов и критической инфраструктуры. Нарушения в работе Firebase, Google Maps, Workspace, OAuth, Cloud Run или Google Ads вызвали бы каскадные сбои: от срыва авторизации и доставки до потери данных и остановки бизнес-процессов. В этом и кроется угроза - в системной зависимости всего цифрового ландшафта от одной платформы, и в хрупкости этой зависимости перед ошибками на уровне инфраструктурного кода.</p>
18
</ul><p>Подобный сценарий представлял бы собой не просто единичную атаку, а наглядную демонстрацию того, как ошибки конфигурации, избыточные IAM-привилегии и недостаточный контроль над dev и CI/CD-инфраструктурой могут привести к полному захвату облачного окружения. Учитывая, что от экосистемы Google зависят множество компаний и сервисов по всему миру - от госорганов до мобильных приложений, от стриминговых платформ до логистических цепочек - компрометация такого уровня затронула бы миллионы пользователей, бизнесов и критической инфраструктуры. Нарушения в работе Firebase, Google Maps, Workspace, OAuth, Cloud Run или Google Ads вызвали бы каскадные сбои: от срыва авторизации и доставки до потери данных и остановки бизнес-процессов. В этом и кроется угроза - в системной зависимости всего цифрового ландшафта от одной платформы, и в хрупкости этой зависимости перед ошибками на уровне инфраструктурного кода.</p>
19
<p><strong>3. Почему это фейк - и как его разоблачили</strong></p>
19
<p><strong>3. Почему это фейк - и как его разоблачили</strong></p>
20
<p>На первый взгляд всё выглядело достоверно: грамотно подобранный синтаксис логов, знакомые команды gcloud, структура, стилизованная под внутренние домены Google. Но по мере того, как технические специалисты начали внимательно анализировать представленные "доказательства", стали проявляться нестыковки и странности. Постепенно стало ясно: перед нами не реальный отчёт о проникновении, а тщательно срежиссированный сценарий. Используя нейросетевую генерацию текстов, YAML-файлов и логов, автору удалось создать убедительную, но искусственную картину масштабного взлома, рассчитанную на доверие технического сообщества и его интерес к деталям.</p>
20
<p>На первый взгляд всё выглядело достоверно: грамотно подобранный синтаксис логов, знакомые команды gcloud, структура, стилизованная под внутренние домены Google. Но по мере того, как технические специалисты начали внимательно анализировать представленные "доказательства", стали проявляться нестыковки и странности. Постепенно стало ясно: перед нами не реальный отчёт о проникновении, а тщательно срежиссированный сценарий. Используя нейросетевую генерацию текстов, YAML-файлов и логов, автору удалось создать убедительную, но искусственную картину масштабного взлома, рассчитанную на доверие технического сообщества и его интерес к деталям.</p>
21
<p>Анализ не заставил себя ждать. Уже в первых сообщениях аудитория начала находить странности - на первый взгляд мелкие, но очень важные несостыковки и странности.</p>
21
<p>Анализ не заставил себя ждать. Уже в первых сообщениях аудитория начала находить странности - на первый взгляд мелкие, но очень важные несостыковки и странности.</p>
22
<p>Начнём с текстов. Стиль автора был чересчур театрализован: фразы отрывистые, с поэтическими оборотами и намеренным пафосом. Местами повествование больше напоминало художественный монолог, чем технический отчёт. Типичные для генеративных моделей обороты вроде "не вторжение, а карта", "я просто использовал", "выключаюсь спокойно" - встречались из поста в пост, создавая ощущение шаблонности. Такое построение речи характерно для больших языковых моделей, особенно когда используется промт в духе "напиши исповедь хакера с философским подтекстом".</p>
22
<p>Начнём с текстов. Стиль автора был чересчур театрализован: фразы отрывистые, с поэтическими оборотами и намеренным пафосом. Местами повествование больше напоминало художественный монолог, чем технический отчёт. Типичные для генеративных моделей обороты вроде "не вторжение, а карта", "я просто использовал", "выключаюсь спокойно" - встречались из поста в пост, создавая ощущение шаблонности. Такое построение речи характерно для больших языковых моделей, особенно когда используется промт в духе "напиши исповедь хакера с философским подтекстом".</p>
23
<p>Перейдём к технической части. Логи, приведённые в сообщениях, выглядели на первый взгляд убедительно, но при внимательном изучении вызывали сомнения. Например, SELECT * в Firestore - невозможная конструкция для данного сервиса. Формат событий вроде files_returned: 17834 не соответствует реальному выводу GCP audit logs. Использование curl с Metadata-Flavor: Google - синтаксически верное, но абсолютно вырванное из контекста. Команды gcloud будто сгенерированы через промт "опиши путь компрометации через Cloud Build": как будто бы похоже но на самом деле не правдоподобно.</p>
23
<p>Перейдём к технической части. Логи, приведённые в сообщениях, выглядели на первый взгляд убедительно, но при внимательном изучении вызывали сомнения. Например, SELECT * в Firestore - невозможная конструкция для данного сервиса. Формат событий вроде files_returned: 17834 не соответствует реальному выводу GCP audit logs. Использование curl с Metadata-Flavor: Google - синтаксически верное, но абсолютно вырванное из контекста. Команды gcloud будто сгенерированы через промт "опиши путь компрометации через Cloud Build": как будто бы похоже но на самом деле не правдоподобно.</p>
24
<p>Особое внимание заслуживают скриншоты. Во-первых, отсутствовали любые признаки реальности происходящего: не было ни ссылки на архив, ни CID, ни хэшей, ни API-ответов с маркерами времени или ошибок. Во-вторых, внимательный просмотр вывода на скриншотах выявил нестыковки, которые невозможно было объяснить опечаткой пользователя. Ошибки были в самой структуре вывода системы: несуществующие поля, странные метки, конфликтующие значения.</p>
24
<p>Особое внимание заслуживают скриншоты. Во-первых, отсутствовали любые признаки реальности происходящего: не было ни ссылки на архив, ни CID, ни хэшей, ни API-ответов с маркерами времени или ошибок. Во-вторых, внимательный просмотр вывода на скриншотах выявил нестыковки, которые невозможно было объяснить опечаткой пользователя. Ошибки были в самой структуре вывода системы: несуществующие поля, странные метки, конфликтующие значения.</p>
25
<p>Причём не в командах, вводимых пользователем, а якобы в выводе от сервиса. Странные значки, как будто бы стилизованные эмоджи, которых не может быть ни в структуре БД, ни в логах, и многое другое.</p>
25
<p>Причём не в командах, вводимых пользователем, а якобы в выводе от сервиса. Странные значки, как будто бы стилизованные эмоджи, которых не может быть ни в структуре БД, ни в логах, и многое другое.</p>
26
<p>Такие артефакты появляются не в результате человеческой невнимательности, а как побочный эффект генерации текста нейросетью, которая имитирует структуру, но не понимает до конца её смысл.</p>
26
<p>Такие артефакты появляются не в результате человеческой невнимательности, а как побочный эффект генерации текста нейросетью, которая имитирует структуру, но не понимает до конца её смысл.</p>
27
<p>В финале технические специалисты и багхантеры, открыто, в комментариях этого же канала разобрали фрагменты истории, показали многочисленные логические и технические несоответствия, и окончательно подтвердили: перед нами сгенерированная история, правдоподобная лишь на первом уровне.</p>
27
<p>В финале технические специалисты и багхантеры, открыто, в комментариях этого же канала разобрали фрагменты истории, показали многочисленные логические и технические несоответствия, и окончательно подтвердили: перед нами сгенерированная история, правдоподобная лишь на первом уровне.</p>
28
<p>Вердикт: история - качественный фейк, сгенерированный с помощью LLM (скорее всего GPT/Claude), возможно с ручной правкой. Он сыграл на доверии технарей к деталям, но не выдержал технического анализа.</p>
28
<p>Вердикт: история - качественный фейк, сгенерированный с помощью LLM (скорее всего GPT/Claude), возможно с ручной правкой. Он сыграл на доверии технарей к деталям, но не выдержал технического анализа.</p>
29
<p><strong>4. Почему DevSecOps важен - даже если взлом был выдумкой</strong></p>
29
<p><strong>4. Почему DevSecOps важен - даже если взлом был выдумкой</strong></p>
30
<p>Ложь, если она убедительна, способна вскрыть уязвимости не хуже правды. Именно это и произошло в нашей истории: несмотря на искусственность атаки, описанный сценарий оказался пугающе правдоподобным. Он показал, насколько в теории тонким может быть барьер между тестовой средой и продакшеном, и насколько опасной - недооценка внутренних процессов.</p>
30
<p>Ложь, если она убедительна, способна вскрыть уязвимости не хуже правды. Именно это и произошло в нашей истории: несмотря на искусственность атаки, описанный сценарий оказался пугающе правдоподобным. Он показал, насколько в теории тонким может быть барьер между тестовой средой и продакшеном, и насколько опасной - недооценка внутренних процессов.</p>
31
<p>DevSecOps - это не модное слово, не формальность, и тем более не "тормоз" на пути разработки. Это системный подход к тому, чтобы безопасность была встроена в каждый этап жизненного цикла: от написания кода и настройки инфраструктуры до деплоя и мониторинга. Внедрение DevSecOps практик позволяет:</p>
31
<p>DevSecOps - это не модное слово, не формальность, и тем более не "тормоз" на пути разработки. Это системный подход к тому, чтобы безопасность была встроена в каждый этап жизненного цикла: от написания кода и настройки инфраструктуры до деплоя и мониторинга. Внедрение DevSecOps практик позволяет:</p>
32
<ul><li>выявлять ошибки и потенциальные уязвимости на раннем этапе - до того, как они попадут в прод;</li>
32
<ul><li>выявлять ошибки и потенциальные уязвимости на раннем этапе - до того, как они попадут в прод;</li>
33
<li>ограничивать полномочия CI/CD-систем, минимизируя возможный ущерб при компрометации;</li>
33
<li>ограничивать полномочия CI/CD-систем, минимизируя возможный ущерб при компрометации;</li>
34
<li>валидировать конфигурации, IAM-политики и внешние зависимости перед применением;</li>
34
<li>валидировать конфигурации, IAM-политики и внешние зависимости перед применением;</li>
35
<li>обеспечивать непрерывный аудит и наблюдаемость даже внутри дев-сред и изолированных окружений;</li>
35
<li>обеспечивать непрерывный аудит и наблюдаемость даже внутри дев-сред и изолированных окружений;</li>
36
<li>автоматически детектировать подозрительное поведение и инициировать меры реагирования.</li>
36
<li>автоматически детектировать подозрительное поведение и инициировать меры реагирования.</li>
37
</ul><p>Почему это важно? Потому что в реальной жизни мы уже сталкивались с атаками на SolarWinds, Codecov, 3CX и другими случаями, где build-инфраструктура стала точкой входа. Все они напоминали одну простую истину: когда вы пренебрегаете безопасностью CI/CD, тестовых сред - вы фактически оставляете дверь открытой, надеясь, что никто не догадается войти.</p>
37
</ul><p>Почему это важно? Потому что в реальной жизни мы уже сталкивались с атаками на SolarWinds, Codecov, 3CX и другими случаями, где build-инфраструктура стала точкой входа. Все они напоминали одну простую истину: когда вы пренебрегаете безопасностью CI/CD, тестовых сред - вы фактически оставляете дверь открытой, надеясь, что никто не догадается войти.</p>
38
<p>К счастью, в данном случае всё оказалось фейком. Но сама мысль о том, что это могло бы быть правдой, вызывает дрожь. История знает немало примеров, когда крупные компании теряли контроль над своей инфраструктурой - и вместе с ним, миллионы пользовательских данных. DevSecOps не даёт стопроцентной гарантии защиты, но создаёт фундамент - прочный, многоуровневый, способный выдержать давление даже самой изощрённой атаки. Это +1 кирпичик в вашу мощную стену информационной безопасности!</p>
38
<p>К счастью, в данном случае всё оказалось фейком. Но сама мысль о том, что это могло бы быть правдой, вызывает дрожь. История знает немало примеров, когда крупные компании теряли контроль над своей инфраструктурой - и вместе с ним, миллионы пользовательских данных. DevSecOps не даёт стопроцентной гарантии защиты, но создаёт фундамент - прочный, многоуровневый, способный выдержать давление даже самой изощрённой атаки. Это +1 кирпичик в вашу мощную стену информационной безопасности!</p>
39
<p>И ещё одна важная мысль: при чём тут вообще DevSecOps? А при том, что автор фейка выстроил всю историю на идее, будто вход в инфраструктуру Google он получил именно через сборочную и тестовую среду. Через cloudbuild.yaml, через CI/CD пайплайн, через "ничего не подозревающую" dev-инфраструктуру. В своей фантазии он не пытался подбирать пароли, не ломал прод напрямую - он воспользовался тем, что кто-то когда-то решил: "ну это же не прод, чего с него взять". Именно поэтому DevSecOps важен: он учит нас, что прод - это не только то, что оказывает сервис вашим клиентам и обрабатывает их трафик. Это ещё и то, что может так или иначе оказать на него влияние. Включая среду сборки, конфигурацию, автоматизацию, мониторинг и людей. Особенно людей.</p>
39
<p>И ещё одна важная мысль: при чём тут вообще DevSecOps? А при том, что автор фейка выстроил всю историю на идее, будто вход в инфраструктуру Google он получил именно через сборочную и тестовую среду. Через cloudbuild.yaml, через CI/CD пайплайн, через "ничего не подозревающую" dev-инфраструктуру. В своей фантазии он не пытался подбирать пароли, не ломал прод напрямую - он воспользовался тем, что кто-то когда-то решил: "ну это же не прод, чего с него взять". Именно поэтому DevSecOps важен: он учит нас, что прод - это не только то, что оказывает сервис вашим клиентам и обрабатывает их трафик. Это ещё и то, что может так или иначе оказать на него влияние. Включая среду сборки, конфигурацию, автоматизацию, мониторинг и людей. Особенно людей.</p>
40
<p>И если даже ложь заставила нас пересмотреть защиту - значит, она была полезна.</p>
40
<p>И если даже ложь заставила нас пересмотреть защиту - значит, она была полезна.</p>
41
<p><strong>Вывод</strong></p>
41
<p><strong>Вывод</strong></p>
42
<p>Фейковая история показала, насколько уязвимы мы - даже в воображении. Но и напомнила: если рассказ нейросети может показаться правдой, значит в реальной инфраструктуре есть за что переживать.</p>
42
<p>Фейковая история показала, насколько уязвимы мы - даже в воображении. Но и напомнила: если рассказ нейросети может показаться правдой, значит в реальной инфраструктуре есть за что переживать.</p>
43
<p>DevSecOps - это не просто тренд. Это способ закрыть такие "фантастические" дыры до того, как они станут реальными.</p>
43
<p>DevSecOps - это не просто тренд. Это способ закрыть такие "фантастические" дыры до того, как они станут реальными.</p>
44
<p><a>DevSecOps Bootcamp</a>- онлайн-интенсив по безопасности от учебного центра Слёрм. За 4 дня теории и неделю практики вы научитесь встраивать безопасность в процессы - от кода до CI/CD - чтобы ускорить релизы и снизить риски.</p>
44
<p><a>DevSecOps Bootcamp</a>- онлайн-интенсив по безопасности от учебного центра Слёрм. За 4 дня теории и неделю практики вы научитесь встраивать безопасность в процессы - от кода до CI/CD - чтобы ускорить релизы и снизить риски.</p>
45
<p>Подробности -<a>на сайте</a></p>
45
<p>Подробности -<a>на сайте</a></p>