Хакнуть K8s: разбор пэйлоадов и способов защиты

Безопасность

Безопасность в Kubernetes

Технологии виртуализации и контейнеризации
DevOps / Кубер
Атаки
Безопасность инфраструктуры

Доклад принят в программу конференции

Мнение Программного комитета о докладе

Доклады по практической информационной безопасности — интереснейшая и недооцененная секция Хайлоада. Мы с радостью рассматриваем такие доклады и принимаем в программу, если видим, что автор проводит хорошее практическое исследование — и в случае этого доклада в этом нет сомнений.

Целевая аудитория

DevOps-инженеры, DevSecOps-инженеры, специалисты по кибербезопасности, люди, активно увлекающиеся пентестами и CTF.

Тезисы

В современном быстро меняющемся мире главной ценностью является информация. С развитием и усложнением программных продуктов, а также переходом на микросервисную архитектуру зачастую вопросы безопасности инфраструктуры отходят на второй план. А между тем, ошибки, допускаемые при проектировании информационной системы и некачественной настройке ее компонентов, могут привести к фатальным проблемам: захвату серверов, майнингу на ваших мощностях, краже конфиденциальной информации. При этом огромное количество DevOps-специалистов зачастую относятся к требованиям сотрудников кибербезопасности как к мешающим их работе и закрывают замечания иногда либо только на бумаге, либо подгоняя под различные тест-кейсы.

Особую роль в построении современной высоконагруженной системы играет Kubernetes, позволяя вам легко управлять тысячами контейнеров при помощи конфигурационных файлов. Но высокий уровень абстракции притупляет наше внимание, а ведь под красивым названием оркестратора скрываются Linux, сети, Go и containerd. При этом кажется, что K8s из коробки обеспечивает приемлемый уровень безопасности для вашего приложения. Но это утверждение верно лишь отчасти.

В докладе будут рассмотрены следующие темы:
* Reverse-shell, или Как заставить сервер подключиться к вашему ПК и предоставить вам оболочку.
* Docker Escape на практике: опасность привилегированных контейнеров и практическая демонстрация побега при помощи добавления самописного модуля в ядро.
* RBAC, права в K8s и к чему приводит выдача слишком широких полномочий Pod'ам.
* Практический захват кластера из Pod'а и запуск криптомайнеров.
* Основные ошибки при написании манифестов для сервисов.

Доклад будет интересен как DevOps- и DevSecOps-специалистам, так и всем увлекающимся пентестами и машинками на HackTheBox, бывшим и действующим игрокам в CTF.

DevOps-инженер, работал над проектом «Госуслуги», вел разработку брокерской платформы, сейчас руководитель команд разработки сервисов ИБ в Wildberries. За плечами три года игры в CTF в составе команды ONO из топ-10 по стране. Соорганизатор VrnCTF — соревнований по информационной безопасности на базе ФГБОУ ВО «Воронежский государственный университет». Разработчик факультативных DevOps-курсов для факультета компьютерных наук ВГУ, автор магистерского курса DevOps для направлений МКН и программной инженерии. Соорганизатор Летней Школы CTF. Соавтор магистратуры DevOps в ИТМО.

Wildberries

Wildberries — онлайн-платформа с 20-летней историей, где представлен широкий ассортимент продукции российских и международных брендов. География присутствия площадки охватывает 7 стран. Ежедневно покупателям отправляется свыше 10 млн товаров, а сеть пунктов выдачи заказов превышает 38 000 точек.

Видео