Del cielo a infierno pasando por el entornos C.I. (Continuous Integration) / C.D.(Continuous Deployment)
Desde que se empezó a crear software como producto o como parte esencial de la prácticamente la totalidad de empresas se ha analizado y discutido sobre cómo automatizar el proceso de desarrollo de software.
Actualmente hay dos acrónimos que definen los procesos de creación y despliegue del software moderno: C.I. / C.D.
Cada uno de ellos representa una serie de procesos claramente diferenciados: durante el proceso de creación del software y su posterior puesta en producción.
Con el auge de estas filosofías han surgido infinidad de conceptos nuevos y software asociado para poder llevarlos a cabo: Jenkins, Drone, Bambú, github, gitlab, Docker, Docker Swarm, Kubernetes, Terraform, Ansible, slack...
Confiamos en que nuestros servicios de producción sean actualizados y desplegados por este tipo de software. Hacemos complejos y minuciosos procesos de hardening de nuestros sistemas productivos pero…. ¿se pone el mismo empeño en securizar los entornos CI/CD? ¿somos conscientes que estos sistemas suelen tener alto nivel de permisos? ¿sabemos las consecuencias que acarrean para la empresa el que se comprometan?
El objetivo de la charla es demostrar cómo se puede tomar el control de todos los sistemas productivos de una organización vulnerando la seguridad de los sistemas CI/CD.
Se analizarán los entornos CI/CD con componentes de uso común y muy conocidos actualmente, analizando los fallos de seguridad más típicos, cómo explotarlos y cómo mitigarlos.
Se realizarán varias demos en las que se desplegarán entornos CI/CD completos y se explotarán cada una de los puntos más vulnerables.
Dani (cr0hn) Garcia
César Gallego Rodriguez