Hasła, klucze i uprawnienia w chmurach publicznych

payload.pl 4 lat temu

Z usług ilu chmur publicznych dotychczas korzystałeś? jeżeli z więcej niż jednej, zauważyłeś pewnie, iż sposób organizacji użytkowników, uprawnień, oraz ich haseł i kluczy dostępowych, różni się diametralnie u każdego z dostawców. Utrudnia to życie nie tylko programistom legalnych aplikacji, jak też osobom zajmującym się bezpieczeństwem IT - zarówno ofensywnym jak i defensywnym.

Już dziś zaczynamy od kompleksowego przedstawienia Amazon Web Services. W artykule opisujemy strukturę uprawnień, sposoby dostępu i inne przydatne szczegóły, skupiając się przede wszystkim na tym, czego powinieneś szukać jako specjalista od bezpieczeństwa ofensywnego, robiąc np. audyt czyjegoś komputera lub serwera.

Możesz już przeczytać wszystkie 4 części:

Krótkie podsumowanie, czego szukać

Jeśli nie chcesz przedzierać się przez szczegóły związane z działaniem danych dostępowych i uprawnień w poszczególnych chmurach, a chcesz po prostu zaimplementować skanowanie jakichś danych wejściowych pod kątem interesujących nazw plików, zmiennych, uprawnień, nazw użytkownika itp. - znajdziesz je w poniższym artykule w postaci zestawień z komentarzami ograniczonymi do niezbędnego minimum.

Nazwy polis AWS dających łatwo monetyzowalne uprawnienia
  • AdministratorAccess
  • AmazonEC2FullAccess
  • EC2InstanceConnect
  • AWSKeyManagementServicePowerUser
  • IAMFullAccess
Klucze dostępowe
  • AKIAxxxxxxxxyyyyyyyy - AWS, klucz stały do API (AWS_ACCESS_KEY_ID - występuje w parze z nieco dłuższym "secret access key")
  • DefaultEndpointsProtocol=... - deskryptor endpointa Azure Files, zawierający w pojedynczej linii tekstu nazwę hosta, udziału i hasło
  • file.core.windows.net - element nazwy hosta w Azure Files, hasło z dużym prawdopodobieństwem znajduje się gdzieś obok
  • ocid1.user.oc1..aaaaaaaa[a-z0-9]+ i ocid1.tenancy.oc1..aaaaaaaa[a-z0-9]+ - identyfikatory odpowiednio użytkownika i konta głównego Oracle Cloud
Zmienne środowiskowe
  • AWS_ACCESS_KEY_ID
  • AWS_SECRET_ACCESS_KEY
  • AWS_SESSION_TOKEN
  • AZURE_CLIENT_ID
  • AZURE_CLIENT_SECRET
  • AZURE_TENANT_ID
  • AZURE_SUBSCRIPTION_ID - ze względu na specyfikę działania klienta "az", ta zmienna może występować w zupełnie innym miejscu niż poprzednie
  • GOOGLE_APPLICATION_CREDENTIALS - wskazuje ścieżkę do pliku z kluczem prywatnym
Pliki i katalogi
  • ~/.aws/credentials
  • ~/.azure/accessTokens.json
  • ~/.azure/azureProfile.json
  • ~/.config/gcloud/access_tokens.db
  • ~/.config/gcloud/credentials.db
  • ~/.config/gcloud/legacy_credentials/*
  • ~/.oci/config
  • ~/.oci/*.pem

Podsumowanie

Dajcie nam znać w komentarzach, czy podoba Wam się taka skrótowa formuła, czy raczej czekacie na artykuł z wyczerpującym opisem mechanizmów interesującej Was chmury. A może zabrakło tu jakichś potrzebnych Wam informacji? jeżeli tak, chętnie je dla Was uzupełnimy.

Idź do oryginalnego materiału