Palestra ministrada em 18/11/2017.

1. Modelo de responsabilidade
compartilhada AWS e as
implicações de segurança
Daniel Peres

2. • 2006 Lançamento oficial
• 2007 180,000
desenvolvedores
• 2010 Mudança da
Amazon.com para AWS
• 2015 faturamento de
1.57 bilhões primeiro
quadrimestre
Oque é AWS

3. Onde está AWS

4. Modelo de responsabilidade

5. Um modelo para todos os
serviços ?
• Serviços de infra estrutura
• Serviços Tipo containers
• Serviços Abstratos

6. Serviços de infra estrutura

7. Serviços tipo containers

8. Serviços abstratos

9. Proporção de
responsabilidade

10. Falha ao armazenar
AWSkeys?

11. Falha ao armazenar
AWSkeys?

13. Politicas de armazenamento

14. Politicas de armazenamento

15. Caso de uma Fintech nacional

16. Caso de uma Fintech nacional

17. Caso de uma Fintech nacional
• Sugestão de correção
–Chaves de acesso AWS para cada conta
cliente
–ID sequencial por UUID

18. Meta dados EC2
http://169.254.169.254/latest/meta-data/
AMI ID
IP Privado
Tipo de instancia
Região

19. Nimbostratus
• Tools for fingerprinting and exploiting
Amazon cloud infrastructures

20. Nimbostratus

21. Nimbostratus

23. Construindo uma infraestrutura
AWS segura
• Use o IAM em vez da sua conta root
• Diferentes usuários para diferentes
tarefas
• Usar perfis de instância
• Auditoria de usuários e grupos
• Use Parameter Store em suas
instancias EC2

24. Obrigado
Contato
danielcperes@gmail.com

25. Referencias
• https://pt.slideshare.net/AmazonWebServices/the-aws-shared-security-
responsibility-model-in-practice-59677577?next_slideshow=1
• http://www.fidelis.work/roubando-contratos-bancarios-de-uma-fintech-
brasileira/
• https://www.theregister.co.uk/2015/01/06/dev_blunder_shows_github_crawli
ng_with_keyslurping_bots/
• http://vertis.io/2013/12/16/unauthorised-litecoin-mining.html
• https://wptavern.com/ryan-hellyers-aws-nightmare-leaked-access-keys-
result-in-a-6000-bill-overnight
• https://forums.aws.amazon.com/thread.jspa?threadID=189450
• https://www.quora.com/My-AWS-account-was-hacked-and-I-have-a-50-000-
bill-how-can-I-reduce-the-amount-I-need-to-pay
• https://hack4fun.club/2017/09/20/dados-sensiveis-da-viacom-e-chave-de-
acesso-secreto-no-servidor-da-amazon-sem-garantia/
• http://minutodaseguranca.blog.br/dados-de-14milhoes-de-clientes-da-
verizon-sao-expostos-na-amazon-aws-e-podem-ser-permitir-sequestro-
outras-contas-on-line/

26. Referencias
• https://www.threatstack.com/blog/73-of-companies-have-critical-aws-
security-misconfigurations/
• https://andresriancho.github.io/nimbostratus/pivoting-in-amazon-clouds.pdf
• artigos
• https://cloudacademy.com/blog/aws-shared-responsibility-model-security/
• http://www.datacenterknowledge.com/archives/2017/07/06/surviving-fallout-
deep-root-leak-best-practices-aws
• https://nakedsecurity.sophos.com/pt/2017/06/22/deep-root-what-can-we-
learn-from-the-gops-data-leak/
• https://itforum365.com.br/seguranca/ameacas/acesso-a-dados-dos-
servidores-amazon-expoe-falhas-de-seguranca
• http://www.luizguarino.com.br/site/seguranca_informacao/02%20-
%20A6%20-%20Exposicao%20de%20Dados%20Sensiveis.pdf
• https://www.darkreading.com/cloud/amazon-tackles-security-of-data-in-s3-
storage-/d/d-id/1329628?piddl_msgid=329422
• https://rhinosecuritylabs.com/penetration-testing/aws-security-
vulnerabilities-and-the-attackers-perspective/