Blind-Bird: Bis zum 1. Juni 400€ sparen
Breites Themenspektrum, 16 Subkonferenzen, über 220
Modernes Kongresscenter, Premium-Catering

In meiner täglichen Arbeit als Product Owner für Cloud Pentesting stelle ich oft fest, dass viele unserer Kunden wenig Vorstellung haben, wie ein Cloud Pentest abläuft. Viele verwechseln diesen auch oft mit einem reinen Config Check nach Benchmarks wie CIS. Dass aber ein Cloud Infrastruktur Pentest ganz ähnlich abläuft wie ein Test On-Premise und welche Arten an Fehlkonfigurationen dort vorkommen können, wissen die wenigsten. Daher ist es das Ziel dieses Vortrags, aufzuzeigen wie Pentests von Cloud-Infrastrukturen wie Azure, AWS oder GCP ablaufen.

Dafür werde ich zu Beginn des Vortrags die generellen Begriffe des Cloud Computings erklären sowie auf die Punkte Shared Responsibility oder den Unterschied zwischen einen Pentest und einem Configuration Check eingehen.

Anschließend werde ich das ganze anhand einer Live Demo einer vulnerablen AWS Infrastruktur illustrieren. Dabei zeige ich Möglichkeiten für Privilege Escalation und Lateral Movement in AWS und ein paar gängige Tools, die bei solch einem Test eingesetzt werden können.

Zum Ablauf des Vortrags:

Begrüßung und Vorstellung
- Was ist Cloud-Pentesting?
Was ist Cloud-Pentesting?
- Verschiedene Cloud-Anbieter und verschiedene Tests
- Pentest vs. Config Check
- Infrastruktur-Test in der Cloud
Kümmert sich der Anbieter um die Sicherheit in der Cloud?
- Shared Responsibility Modell
Live Hacking
- Wir klauen einer Bank ihre Kunden
- Wir greifen eine Cloud Infrastruktur einer Bank an
- Wir finden auf der Webseite der Bank hinweise auf die genutzte AWS Cloud
- Reconaisance in der Cloud-Security
Welche Systeme kann ein Angreifer von Extern sehen?
- Wir gewinnen Initial Access über einen ungesicherten Development AWS S3 Bucket
- Enumeration in der AWS Infrastruktur zeigen Datenbank-Server mit Kundendaten, auf die wir keinen Zugriff haben
- Wir erhöhen unsere Rechte durch eine privilege Escalation indem wir unsichere AWS Lambda Funktionen ausnutzen
- Durch die erhöhten Rechte können wir die Kundendaten der Bank einsehen und herunterladen
Verabschiedung
Zeit für Fragen