Хакнуть K8s: разбор пэйлоадов и способов защиты

Безопасность

Безопасность в Kubernetes

#Технологии виртуализации и контейнеризации

Доклад принят в программу конференции

Мнение Программного комитета о докладе

Доклады по практической информационной безопасности — интереснейшая и недооцененная секция Хайлоада. Мы с радостью рассматриваем такие доклады и принимаем в программу, если видим, что автор проводит хорошее практическое исследование — и в случае этого доклада в этом нет сомнений.

Целевая аудитория

DevOps-инженеры, DevSecOps-инженеры, специалисты по кибербезопасности, люди, активно увлекающиеся пентестами и CTF.

Тезисы

В современном быстро меняющемся мире главной ценностью является информация. С развитием и усложнением программных продуктов, а также переходом на микросервисную архитектуру зачастую вопросы безопасности инфраструктуры отходят на второй план. А между тем, ошибки, допускаемые при проектировании информационной системы и некачественной настройке ее компонентов, могут привести к фатальным проблемам: захвату серверов, майнингу на ваших мощностях, краже конфиденциальной информации. При этом огромное количество DevOps-специалистов зачастую относятся к требованиям сотрудников кибербезопасности как к мешающим их работе и закрывают замечания иногда либо только на бумаге, либо подгоняя под различные тест-кейсы.

Особую роль в построении современной высоконагруженной системы играет Kubernetes, позволяя вам легко управлять тысячами контейнеров при помощи конфигурационных файлов. Но высокий уровень абстракции притупляет наше внимание, а ведь под красивым названием оркестратора скрываются Linux, сети, Go и containerd. При этом кажется, что K8s из коробки обеспечивает приемлемый уровень безопасности для вашего приложения. Но это утверждение верно лишь отчасти.

В докладе будут рассмотрены следующие темы:
* Reverse-shell, или Как заставить сервер подключиться к вашему ПК и предоставить вам оболочку.
* Docker Escape на практике: опасность привилегированных контейнеров и практическая демонстрация побега при помощи добавления самописного модуля в ядро.
* RBAC, права в K8s и к чему приводит выдача слишком широких полномочий Pod'ам.
* Практический захват кластера из Pod'а и запуск криптомайнеров.
* Основные ошибки при написании манифестов для сервисов.

Доклад будет интересен как DevOps- и DevSecOps-специалистам, так и всем увлекающимся пентестами и машинками на HackTheBox, бывшим и действующим игрокам в CTF.

DevOps-инженер, работал над проектом "Госуслуги", сейчас активно ведет разработку брокерской платформы Сбера. За плечами два года игры в CTF в составе команды ONO из топ-10 по стране. Соорганизатор VrnCTF — соревнований по информационной безопасности на базе ФГБОУ ВО "Воронежский государственный университет". Разработчик факультативных DevOps-курсов для факультета компьютерных наук ВГУ.

Сбер

Высокотехнологичная компания и крупнейший банк в России, Центральной и Восточной Европе. Сбер работает над созданием удобных онлайн-сервисов в самых разных сферах. Команда Сбера собирает лучшие технологии и управленческие методы из мировой практики, а масштабы компании и система поддержки сотрудников открывают возможности для карьеры в любом направлении и с любым уровнем амбиций.

Видео