O documento discute problemas de privilégios excessivos no AWS IAM. Apresenta uma introdução ao IAM, tipos de políticas e vazamentos de chaves. Mostra como analisar políticas existentes e detectar quando privilégios foram elevados indevidamente, como no caso de uma política de terceiros que recebeu permissões adicionais de forma inadequada. Conclui enfatizando a importância do princípio do mínimo privilégio e da análise contínua do ambiente.
2. sts get-caller-identity
● Cofundador da BlueOps (adquirida pela Tenchi)
● Pesquisador Sênior e Consultor @ Tenchi Security
● Palestrante / Organizador CTF (BlueWars - H2HC)
● Autor de 2 patentes (http headers e detecting malicious docs)
● Morador de Florianópolis (Silicon Island)
● Triathlon / Crossfit / Maromba / Cerveja
3. Agenda
1. Introdução IAM (Identity & Access Management)
2. Vazamentos de Chaves
3. Criação & Análise de Políticas IAM
4. Abusando de privilégios excessivos
11. O que é uma chave ?
● Access Key (20 caracteres)
● Access Secret Key (40 caracteres)
● Session Token (opcional)
Exemplo:
AKIA3GXXXDPSBIFXXXFT
RPh6XvPLMAHyrxxxmn1YmFaAXqM+XXXrNXQulkci
12. Como ter acesso a uma chave ?
● Portal / API (na criação)
● Aplicação
● Metadata (http://169.254.169.254)
● Vazamento código (shhgit e derivados)
● Endpoint (.aws/credentials)
● Third Party (Cross Account)
● Configuração ferramentas (CI/CD, Scans)
25. Conclusões
● Utilize sempre o conceito de mínimo privilégio
● Faça enforce via SCP de mitigações de segurança
● Comece seus ambientes da forma correta
● Análise continuamente seu ambiente
● Valide SEMPRE as permissões de terceiros