ABONAMENTE VIDEO REDACȚIA
RO
EN
NOU
Numărul 150
Numărul 149 Numărul 148 Numărul 147 Numărul 146 Numărul 145 Numărul 144 Numărul 143 Numărul 142 Numărul 141 Numărul 140 Numărul 139 Numărul 138 Numărul 137 Numărul 136 Numărul 135 Numărul 134 Numărul 133 Numărul 132 Numărul 131 Numărul 130 Numărul 129 Numărul 128 Numărul 127 Numărul 126 Numărul 125 Numărul 124 Numărul 123 Numărul 122 Numărul 121 Numărul 120 Numărul 119 Numărul 118 Numărul 117 Numărul 116 Numărul 115 Numărul 114 Numărul 113 Numărul 112 Numărul 111 Numărul 110 Numărul 109 Numărul 108 Numărul 107 Numărul 106 Numărul 105 Numărul 104 Numărul 103 Numărul 102 Numărul 101 Numărul 100 Numărul 99 Numărul 98 Numărul 97 Numărul 96 Numărul 95 Numărul 94 Numărul 93 Numărul 92 Numărul 91 Numărul 90 Numărul 89 Numărul 88 Numărul 87 Numărul 86 Numărul 85 Numărul 84 Numărul 83 Numărul 82 Numărul 81 Numărul 80 Numărul 79 Numărul 78 Numărul 77 Numărul 76 Numărul 75 Numărul 74 Numărul 73 Numărul 72 Numărul 71 Numărul 70 Numărul 69 Numărul 68 Numărul 67 Numărul 66 Numărul 65 Numărul 64 Numărul 63 Numărul 62 Numărul 61 Numărul 60 Numărul 59 Numărul 58 Numărul 57 Numărul 56 Numărul 55 Numărul 54 Numărul 53 Numărul 52 Numărul 51 Numărul 50 Numărul 49 Numărul 48 Numărul 47 Numărul 46 Numărul 45 Numărul 44 Numărul 43 Numărul 42 Numărul 41 Numărul 40 Numărul 39 Numărul 38 Numărul 37 Numărul 36 Numărul 35 Numărul 34 Numărul 33 Numărul 32 Numărul 31 Numărul 30 Numărul 29 Numărul 28 Numărul 27 Numărul 26 Numărul 25 Numărul 24 Numărul 23 Numărul 22 Numărul 21 Numărul 20 Numărul 19 Numărul 18 Numărul 17 Numărul 16 Numărul 15 Numărul 14 Numărul 13 Numărul 12 Numărul 11 Numărul 10 Numărul 9 Numărul 8 Numărul 7 Numărul 6 Numărul 5 Numărul 4 Numărul 3 Numărul 2 Numărul 1
×
▼ LISTĂ EDIȚII ▼
Numărul 87
Abonament PDF

Situația e fără speranță, dar nu serioasă: Obținerea unui S3 Bucket Negligence Award

Bogdan George Barna
DevOps Engineer @ 3PillarGlobal Romania



PROGRAMARE

S3 Bucket Negligence Award, un termen inventat de Corey Quinn , autorul picantelor newsletter și podcast "Last Week in AWS", se referă la politicile security-as-an-afterthought ce au dus la tot felul de rezultate spectaculoase.

Dacă nu sunteți interesați să citiți complet acest modest articol, important de reținut este următorul S3 Bucket policy, pentru reușite și popularitate:

{  
  "Version":"2012-10-17",  
  "Statement":[  
    {  
      "Sid":"FreeForAll",  
      "Effect":"Allow",  
      "Principal": {"AWS": ["\*"]},  
      "Action":["s3:\*"],  
      "Resource":
       ["arn:aws:s3:::mybucket/\*"]  
    }  
  ]  
}

Un scurt ocol prin istorie - AWS, S3, IAM

AWS (Amazon Web Services) este o filială a prea-bine cunoscutei Amazon care oferă platforme de on-demand cloud computing.

AWS a fost lansat în martie 2006, în urma cu 13 ani, fiind principalul actor pe piața furnizorilor de platforme cloud, cu un venit raportat pe 2018 de $25.6 miliarde.

Primul serviciu din cadrul AWS a fost S3 (Simple Storage Service), lansat pe 13 martie 2006 (anunțat în aceeași zi), în timp ce IAM (Identity & Access Management) a fost dat spre folosire generală pe 25 februarie 2011, aproape cinci ani mai târziu!.

Ca atare, identity & access management la nivel de S3 este o "struțocămilă" formată din S3 Bucket policies și ACL-uri (Access Control Lists), configurate individual pentru fiecare S3 Bucket .(Evangheliști ai infrastructure-as-code ar menționa aici posibilitatea automatizării).

Se urmează acest ghid simplu pentru a dezlănțui infernul pentru datele utilizatorilor voștri

  1. Cum a fost precizat și în introducere, scurtătura este în a seta s3:(acțiunea) pentru (principals / conturile și utilizatorii afectați) pe my_bucket; (resursa) în configurația de bucket policy. Merită încercat!
  2. Sigur, e posibil ca unii plicticoși din echipa de SecOps să fi setat o notificare prin AWS SNS și AWS Configure pentru a nu permite asemenea politici în S3. Nu vă fie teamă, există alternativă: se pot seta ca fiind publice obiectele din S3: login în consola AWS, mers la panoul de control pentru S3, și selectând bucket-ul și obiectul tință, se face click dreapta și Make public.

Voilà!

  1. Oh, nu! Nu aveți acces de scriere la acel S3 Bucket cu date senzitive. Sau poate aveți, dar este configurată opțiunea de MFA Delete. Nu vă panicați. Se prea poate ca unul din serverele de Jenkins ale organizației să aibă permisiunile necesare. Escaladarea de privilegii, mereu la îndemână! Rapid creați un Freestyle Job și scrieți următorul shell script care să fie executat:
{  
  "Version":"2012-10-17",  
  "Statement":[  
    {  
      "Sid":"FreeForAll",  
      "Effect":"Allow",  
      "Principal": {"AWS": ["\*"]},  
      "Action":["s3:\*"],  
      "Resource":
       ["arn:aws:s3:::mybucket/\*"]  
    }  
  ]  
}
  1. Sau se pot lasă secrete (chei AWS, chei SSH, credențialele unui satelit, etc.) înăuntrul unui S3 Bucket. Este o metodă relativ pasivă, dar cu siguranță suficient de distractivă.

În concluzie?

Dacă aveți nevoie de a reține toate acestea, recomand flaws.cloud, un sandbox cu exerciții cu diverse vulnerabilițăți de S3 și IAM.

Nu vă temeți niciodată! Având în vedere creșterea zilnică a feature-urilor în AWS, și ca atare a complexității și suprafeței vulnerabile, există mereu posibilitatea de a împiedica buna funcționare a politicilor și a verificărilor create de echipele de [SecOps](https://blyx.com/2018/07/18/my-arsenal-of-aws-security-tools/ ).

NUMĂRUL 149 - Development with AI

Sponsori

  • Accenture
  • BT Code Crafters
  • Accesa
  • Bosch
  • Betfair
  • MHP
  • BoatyardX
  • .msg systems
  • P3 group
  • Ing Hubs
  • Cognizant Softvision
  • Colors in projects