Header Image

(In)Security in AWS lambdas: the revolting truth

Actualmente se está imponiendo el paradigma serverless, especialmente las funciones lambdas de Amazon AWS.

Tras investigar sobre otras iniciativas al respecto, hemos comprobado que son eminentemente teóricas y existen muy pocos métodos de ataque realmente prácticos publicados.

Hay pocos ejemplos reales de ataques que se puedan llevar a cabo simulando un atacante externo, ya que la mayoría de ellos se hacen con el control de la cuenta de AWS.

Dado que parte de la arquitectura de Amazon es secreta no podremos hacer una auditoría completa de caja blanca. Tendremos que conformarnos con hacer pruebas de “”caja gris””.

En esta charla presentaremos otro enfoque, exponiendo nuestra experiencia, desde un punto de vista más pragmático y tratando simular un atacante real sin credenciales, ni acceso, ni conocimiento de las cuentas de Amazon AWS.

Nuestro objetivo es ofrecer un toolkit con un enfoque reproducible y práctico para poder analizar la seguridad de las AWS lambdas en el mundo real.

Algunos puntos que se expondrán son: como realizar ataques de Denegación de Servicio (a pesar de usar lambdas) o la posibilidad de inhabilitar un cuenta de Amazon completa por desgaste económico.

Muchos de los conceptos que explicaremos son aplicables a cualquier arquitectura serverless.

Finalmente, y como parte de la presentación, se liberará el toolkit de análisis desarrollado.

Sala: Paraninfo Universitario

octubre 5 @ 12:00

12:00

(1h)

Paraninfo Universitario

César Gallego Rodríguez