AWS - Nitro Enum
Informações Básicas
AWS Nitro é um conjunto de tecnologias inovadoras que formam a plataforma subjacente para instâncias AWS EC2. Introduzido pela Amazon para aumentar a segurança, desempenho e confiabilidade, Nitro utiliza componentes de hardware personalizados e um hipervisor leve. Ele abstrai grande parte da funcionalidade de virtualização tradicional para hardware e software dedicados, minimizando a superfície de ataque e melhorando a eficiência dos recursos. Ao descarregar funções de virtualização, Nitro permite que as instâncias EC2 ofereçam desempenho próximo ao bare-metal, sendo particularmente benéfico para aplicações que exigem muitos recursos. Além disso, o Nitro Security Chip garante especificamente a segurança do hardware e firmware, solidificando ainda mais sua arquitetura robusta.
Nitro Enclaves
AWS Nitro Enclaves fornece um ambiente de computação seguro e isolado dentro das instâncias Amazon EC2, projetado especificamente para processar dados altamente sensíveis. Aproveitando o AWS Nitro System, esses enclaves garantem isolamento e segurança robustos, ideais para manipular informações confidenciais como PII ou registros financeiros. Eles apresentam um ambiente minimalista, reduzindo significativamente o risco de exposição de dados. Além disso, Nitro Enclaves suporta atestação criptográfica, permitindo que os usuários verifiquem que apenas código autorizado está em execução, crucial para manter padrões rigorosos de conformidade e proteção de dados.
Imagens Nitro Enclave são executadas de dentro das instâncias EC2 e você não pode ver pelo console web da AWS se uma instância EC2 está executando imagens no Nitro Enclave ou não.
Instalação do Nitro Enclave CLI
Siga todas as instruções da documentação. No entanto, estas são as mais importantes:
Nitro Enclave Images
As imagens que você pode executar no Nitro Enclave são baseadas em imagens docker, então você pode criar suas imagens Nitro Enclave a partir de imagens docker como:
Como você pode ver, as imagens Nitro Enclave usam a extensão eif
(Enclave Image File).
A saída será semelhante a:
Executar uma Imagem
Conforme a documentação, para executar uma imagem de enclave, você precisa atribuir a ela uma memória de pelo menos 4 vezes o tamanho do arquivo eif
. É possível configurar os recursos padrão a serem atribuídos no arquivo
Sempre lembre-se de que você precisa reservar alguns recursos para a instância EC2 principal também!
Depois de conhecer os recursos a serem atribuídos a uma imagem e até mesmo ter modificado o arquivo de configuração, é possível executar uma imagem enclave com:
Enumerar Enclaves
Se você comprometer um host EC2, é possível obter uma lista de imagens de enclave em execução com:
É impossível obter um shell dentro de uma imagem de enclave em execução porque esse é o principal propósito do enclave, no entanto, se você usar o parâmetro --debug-mode
, é possível obter o stdout com:
Terminate Enclaves
Se um atacante comprometer uma instância EC2, por padrão ele não conseguirá obter um shell dentro dela, mas ele poderá terminá-la com:
Vsocks
A única maneira de se comunicar com uma enclave em execução é usando vsocks.
Virtual Socket (vsock) é uma família de sockets no Linux especificamente projetada para facilitar a comunicação entre máquinas virtuais (VMs) e seus hipervisores, ou entre as próprias VMs. Vsock permite uma comunicação eficiente e bidirecional sem depender da pilha de rede do host. Isso possibilita que as VMs se comuniquem mesmo sem configurações de rede, usando um ID de Contexto (CID) de 32 bits e números de porta para identificar e gerenciar conexões. A API vsock suporta tipos de socket de fluxo e datagrama, semelhantes ao TCP e UDP, fornecendo uma ferramenta versátil para aplicações em nível de usuário em ambientes virtuais.
Portanto, um endereço vsock se parece com isto: <CID>:<Port>
Para encontrar os CIDs das imagens em execução no enclave, você pode simplesmente executar o seguinte comando e obter o EnclaveCID
:
Note que, a partir do host, não há nenhuma maneira de saber se um CID está expondo alguma porta! A menos que use algum scanner de porta vsock como https://github.com/carlospolop/Vsock-scanner.
Vsock Server/Listener
Encontre aqui alguns exemplos:
Last updated