728 x 90

Hasła, klucze i uprawnienia w chmurach publicznych

Hasła, klucze i uprawnienia w chmurach publicznych

Z usług ilu chmur publicznych dotychczas korzystałeś? Jeśli z więcej niż jednej, zauważyłeś pewnie, że sposób organizacji użytkowników, uprawnień, oraz ich haseł i kluczy dostępowych, różni się diametralnie u każdego z dostawców. Utrudnia to życie nie tylko programistom legalnych aplikacji, jak też osobom zajmującym się bezpieczeństwem IT – zarówno ofensywnym jak i defensywnym.

Już dziś zaczynamy od kompleksowego przedstawienia Amazon Web Services. W artykule opisujemy strukturę uprawnień, sposoby dostępu i inne przydatne szczegóły, skupiając się przede wszystkim na tym, czego powinieneś szukać jako specjalista od bezpieczeństwa ofensywnego, robiąc np. audyt czyjegoś komputera lub serwera.

Możesz już przeczytać wszystkie 4 części:

Krótkie podsumowanie, czego szukać

Jeśli nie chcesz przedzierać się przez szczegóły związane z działaniem danych dostępowych i uprawnień w poszczególnych chmurach, a chcesz po prostu zaimplementować skanowanie jakichś danych wejściowych pod kątem interesujących nazw plików, zmiennych, uprawnień, nazw użytkownika itp. – znajdziesz je w poniższym artykule w postaci zestawień z komentarzami ograniczonymi do niezbędnego minimum.

Nazwy polis AWS dających łatwo monetyzowalne uprawnienia
  • AdministratorAccess
  • AmazonEC2FullAccess
  • EC2InstanceConnect
  • AWSKeyManagementServicePowerUser
  • IAMFullAccess
Klucze dostępowe
  • AKIAxxxxxxxxyyyyyyyy – AWS, klucz stały do API (AWS_ACCESS_KEY_ID – występuje w parze z nieco dłuższym „secret access key”)
  • DefaultEndpointsProtocol=... – deskryptor endpointa Azure Files, zawierający w pojedynczej linii tekstu nazwę hosta, udziału i hasło
  • file.core.windows.net – element nazwy hosta w Azure Files, hasło z dużym prawdopodobieństwem znajduje się gdzieś obok
  • ocid1.user.oc1..aaaaaaaa[a-z0-9]+ i ocid1.tenancy.oc1..aaaaaaaa[a-z0-9]+ – identyfikatory odpowiednio użytkownika i konta głównego Oracle Cloud
Zmienne środowiskowe
  • AWS_ACCESS_KEY_ID
  • AWS_SECRET_ACCESS_KEY
  • AWS_SESSION_TOKEN
  • AZURE_CLIENT_ID
  • AZURE_CLIENT_SECRET
  • AZURE_TENANT_ID
  • AZURE_SUBSCRIPTION_ID – ze względu na specyfikę działania klienta „az”, ta zmienna może występować w zupełnie innym miejscu niż poprzednie
  • GOOGLE_APPLICATION_CREDENTIALS – wskazuje ścieżkę do pliku z kluczem prywatnym
Pliki i katalogi
  • ~/.aws/credentials
  • ~/.azure/accessTokens.json
  • ~/.azure/azureProfile.json
  • ~/.config/gcloud/access_tokens.db
  • ~/.config/gcloud/credentials.db
  • ~/.config/gcloud/legacy_credentials/*
  • ~/.oci/config
  • ~/.oci/*.pem

Podsumowanie

Dajcie nam znać w komentarzach, czy podoba Wam się taka skrótowa formuła, czy raczej czekacie na artykuł z wyczerpującym opisem mechanizmów interesującej Was chmury. A może zabrakło tu jakichś potrzebnych Wam informacji? Jeśli tak, chętnie je dla Was uzupełnimy.