Magnífico post sobre cómo comprometer la seguridad de Amazon Web Services

Yago Jesús, uno de los bloggers de SecurityByDefault y enorme experto en seguridad me pasa un post de una presentación que se hizo en el Black Hat’09 en la que se muestra como implementar un ataque DoS contra la Nube de Amazon (Amazon EC2) y cómo meter una imagen AMI maliciosa en su repositorio de imágenes.

Para el Denial of Service lo que hacen es generar de manera automática cuentas nuevas de usuario en Amazon AWS, y lanzar las 20 máquinas que tiene cada servicio. Y encima, usaron una sola tarjeta de crédito para todas las cuentas.

Lo de las imágenes es curioso. Crearon una imagen ‘fake’ con un Sistema Operativo Fedora, le metieron en el arranque se bajara un fichero de su site, y lo consiguieron ‘colocar’ entre los cinco primeros de la lista de AMIs públicas. Para ello, generaron 4000 imágenes de prueba hasta que encontraron una cuyo identificador alfanumérico aleatorio estuviese en lo más alto del ranking.

El post completo aquí.

Related Articles