Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Atacando e auditando containers Docker

Fernando Silva
December 08, 2018
0
100

Atacando e auditando containers Docker

Desenvolvedores e equipes de operações (DevOps) avançaram para containers e tecnologias modernas. Os invasores estão alcançando essas tecnologias e encontrando falhas de segurança nelas.
Nesta apresentação, veremos como podemos testar problemas de segurança e vulnerabilidades em ambientes Dockerised.

Fernando Silva

December 08, 2018
Tweet

More Decks by Fernando Silva

See All by Fernando Silva
OWASP: Ferramentas e metodologias para o desenvolvimento de software seguro
fernandodebrando
0
150
Segurança em Ambientes Conteinerizados
fernandodebrando
0
56
Ataque e Auditoria de Containers Docker e Clusters Kubernetes
fernandodebrando
0
150
Serverless com OpenFaaS e PHP
fernandodebrando
0
240
Docker para desenvolvedores
fernandodebrando
0
130
Segurança e hacking de containers Docker - RoadSec POA 2018
fernandodebrando
0
99
Segurança e hacking de containers Docker
fernandodebrando
2
1.1k
Desenvolvendo um buscador com PHP e Elasticsearch
fernandodebrando
1
270
Microsserviços: Distribuindo serviços críticos ao negócio
fernandodebrando
2
330

Featured

See All Featured
Producing Creativity
orderedlist
PRO
341
39k
The Art of Delivering Value - GDevCon NA Keynote
reverentgeek
8
890
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
44
2.2k
Thoughts on Productivity
jonyablonski
67
4.3k
Side Projects
sachag
452
42k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
226
22k
No one is an island. Learnings from fostering a developers community.
thoeni
19
3k
Faster Mobile Websites
deanohume
305
30k
RailsConf 2023
tenderlove
29
900
Build The Right Thing And Hit Your Dates
maggiecrowley
33
2.4k
Put a Button on it: Removing Barriers to Going Fast.
kastner
59
3.5k
Testing 201, or: Great Expectations
jmmastey
38
7.1k

Transcript

  1. Atacando e auditando containers Docker Fernando Silva @FernandoDebrand

  2. Sobre mim! Fernando Silva Software Developer Analyst

  3. Visão Geral • Vetores de ataques • Como hackers estão

    explorando conteinerização • Anatomia dos ataques • Auditoria de ambientes contenerizados

  4. Vetores de ataque

  5. Como hackers estão explorando conteinerização

  6. 17 imagens Docker disponibilizadas por uma única conta durante 10

    meses no Docker Hub, com mais de 5 milhões de pulls, podem ter minerado US $90.000 em criptomoedas Monero.
  7. None

  8. Anatomia dos ataques

  9. None
  10. None
  11. None
  12. None

  13. API do Docker Aberta na Internet?

  14. None
  15. None

  16. Nuvem da Tesla foi invadida e usada para minerar criptomoeda

    https://blog.redlock.io/cryptojacking-tesla

  17. Anatomia dos ataques

  18. Tesla é vítima de cryptojacking Os hackers se infiltraram no

    console Kubernetes da Tesla, que não era protegido por senha. Em um pod Kubernetes, as credenciais de acesso foram expostas ao ambiente AWS da Tesla, que continha um bucket do Amazon S3 (Amazon Simple Storage Service) que tinha dados confidenciais, como telemetria.
  19. None

  20. Script de mineração de criptomoeda em execução no pod Kubernetes

    da Tesla

  21. ➔ Ataque a montagens de volume inseguro ➔ Ataque de

    elevação de privilégio de container Outros ataques
  22. None

  23. Auditoria de ambientes contenerizados

  24. None
  25. None
  26. None
  27. None
  28. None
  29. None

  30. Demonstração

  31. Como proteger a API Docker?

  32. Proteja o soquete do daemon do Docker TLS precisa ser

    ativado especificando o sinalizador tlsverify e apontando o tlscacert do Docker para um certificado de CA confiável. Há um processo passo-a-passo explicado como proteger em https://docs.docker.com/engine/security/https.

  33. Referências / Links • https://kubernetes-security.info/ • https://www.owasp.org/images/f/f2/Owasp-Helsinki-20170613-Docker-Sec urity.pdf • https://kubernetes.io/docs/setup/minikube/

    • https://blog.aquasec.com/kube-hunter-kubernetes-penetration-testing • https://github.com/aquasecurity/microscanner • https://github.com/docker/docker-bench-security • https://container-solutions.com/docker-security-admin-controls-2/ • https://container-solutions.com/understanding-volumes-docker/ • https://medium.com/@FernandoDebrand/seguranca-e-hacking-de-container s-docker-a6eaab43238c • https://medium.com/@FernandoDebrand/docker-hackers-conteinerizacao-a 9e2b267676a • https://github.com/aquasecurity/kube-bench

  34. OBRIGADO! fernando.poa.br speakerdeck.com/fernandodebrando Perguntas? VENHA FAZER PARTE DO NOSSO TIME

    king.host/talentos