AWS - S3 Persistence
S3
Para mais informações, consulte:
pageAWS - S3, Athena & Glacier EnumCriptografia do Cliente KMS
Quando o processo de criptografia é concluído, o usuário usará a API KMS para gerar uma nova chave (aws kms generate-data-key
) e ele irá armazenar a chave criptografada gerada nos metadados do arquivo (exemplo de código em Python) para que, quando a descriptografia ocorrer, possa descriptografá-la usando o KMS novamente:
Portanto, um atacante poderia obter essa chave dos metadados e descriptografar com o KMS (aws kms decrypt
) para obter a chave usada para criptografar as informações. Dessa forma, o atacante terá a chave de criptografia e, se essa chave for reutilizada para criptografar outros arquivos, ele poderá usá-la.
Usando ACLs do S3
Embora geralmente as ACLs dos buckets estejam desativadas, um atacante com privilégios suficientes poderia abusar delas (se estiverem habilitadas ou se o atacante puder habilitá-las) para manter o acesso ao bucket S3.
Última actualización