A study on analysis and detection of container escape vulnerabilities in Docker
Docker'da konteyner kaçış zafiyetlerinin analizi ve tespiti üzerine bir çalışma
- Tez No: 887260
- Danışmanlar: DOÇ. DR. PELİN ANGIN ÜLKÜER
- Tez Türü: Yüksek Lisans
- Konular: Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrol, Computer Engineering and Computer Science and Control
- Anahtar Kelimeler: Belirtilmemiş.
- Yıl: 2024
- Dil: İngilizce
- Üniversite: Orta Doğu Teknik Üniversitesi
- Enstitü: Fen Bilimleri Enstitüsü
- Ana Bilim Dalı: Bilgisayar Mühendisliği Ana Bilim Dalı
- Bilim Dalı: Belirtilmemiş.
- Sayfa Sayısı: 106
Özet
Bulut bilişimin hızla gelişen dünyasında, Docker gibi konteynerleştirme teknolojileri, uygulamaların verimli dağıtımı ve ölçeklenmesi için vazgeçilmez hale gelmiştir. Ancak, bu yaygın kullanım, özellikle konteyner kaçış açıkları tehdidi ile önemli güvenlik zorluklarını da beraberinde getirmiştir. Bu açıklar, kötü niyetli aktörlerin bir konteynerin izolasyonunu ihlal ederek ana sisteme veya diğer konteynerlere yetkisiz erişim sağlamasına yol açarak bulut servislerinin güvenliği için ciddi riskler oluşturur. Bu tez, Docker ortamlarında konteyner kaçış açıklarının kapsamlı bir analizini sunmakta ve kritik konteyner kaçış açıklarının kontrollü bir ortamda gerçeklenmesine odaklanmaktadır. Bu açıkların alternatif donanım platformlarında uygulanabilirliğini göstermek için ARM tabanlı mimari seçilmiştir. Auditd ile sistem çağrılarının kayıtları tutularak, bu kayıtlar analiz edilmiş ve seçilen güvenlik açıkları için kurallar çıkarılmıştır. Araştırmanın ana katkıları arasında ARM cihazlar için konteyner kaçış senaryolarının başarılı bir şekilde uyarlanması, bu kaçış deneyleri sırasında detaylı sistem çağrısı analizi ve konteyner kaçışlarını belirten şüpheli aktiviteleri tanımlamak için kural tabanlı tespit mekanizmalarının geliştirilmesi yer almaktadır. Bu bulgular, konteyner güvenliği alanında önemli ilerlemeler sağlayarak konteyner kaçış saldırılarına karşı savunmaları güçlendirmeye yönelik ampirik kanıtlar ve metodolojik gelişmeler sunmaktadır. Tez, bulguların etkilerinin tartışılması ile sonlanmakta olup, konteynerleştirilmiş sistemlerde sağlam güvenlik önlemlerinin gerekliliğini vurgulamakta ve gelişen tehdit ortamına yönelik gelecekteki araştırmalar için öneriler sunmaktadır. Bu araştırma, konteyner güvenliği alanında hem teorik hem de pratik katkılar sağlamayı hedeflemekte ve bulut altyapılarının daha güvenli hale getirilmesinin gerekliliğini ortaya koymaktadır.
Özet (Çeviri)
In the rapidly evolving landscape of cloud computing, containerization technologies like Docker have become essential for efficient application deployment and scalability. However, this widespread adoption has also introduced significant security challenges, particularly the threat of container escape vulnerabilities. These vulnerabilities enable malicious actors to breach the isolation of a container, potentially gaining unauthorized access to the host system or other containers, thus posing severe risks to cloud infrastructure security. This thesis provides a comprehensive analysis of container escape vulnerabilities within Docker environments, focusing on critical Common Vulnerabilities and Exposures (CVEs). The research emphasizes the implementation of proof of concepts on ARM-based architectures to demonstrate the feasibility and implications of these vulnerabilities on alternative hardware platforms. Utilizing system call logging with Auditd and a rule-based log analysis methodology, the study offers a structured approach to detect and understand the nature of malicious activities. Key contributions of this research include the successful adaptation of PoCs for ARM devices, detailed system call analysis during vulnerability exploitation, and the development of rule-based detection mechanisms for identifying anomalous patterns indicative of container escapes. These findings significantly advance the field of container security by providing empirical evidence and methodological advancements aimed at enhancing defenses against container escape attacks. The thesis concludes with a discussion on the implications of the findings, highlighting the necessity for robust security measures in containerized systems and proposing directions for future research to address the evolving threat landscape.
Benzer Tezler
- Dolgu barajların tasarımında temel ilkeler ve İ.T.Ü. Göleti
Small earth fill dams and I.T.Ü. Dam
SERHAT BATMAZ
- Urfa Sancağı ve çevresinde aşiretler (XVIII. ve XIX. yüzyıllar)
The tribes in and vicinity of Urfa Sanjak (sub-province) (In the 18th and 19th centuries)
MEHMET NURİ ŞANDA
- Docker görüntülerinde zafiyet tespiti ve kapsayıcıların güvenli çalıştırılması üzerine bir model önerisi
Vulnerability detection on docker images and a model recommendation for running images safely
ÖZKAN ŞENGÜL
Yüksek Lisans
Türkçe
2021
Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolTOBB Ekonomi ve Teknoloji ÜniversitesiBilgisayar Mühendisliği Ana Bilim Dalı
PROF. DR. ALİ AYDIN SELÇUK
- Sanayi ve güvenlik uygulamaları için zaman boyutlu nmr cihazının geliştirilmesi
Development of time-domain nmr device for industrial and security applications
AYŞE MARAŞLI
Doktora
Türkçe
2022
Fizik ve Fizik MühendisliğiGebze Teknik ÜniversitesiFizik Ana Bilim Dalı
DOÇ. DR. GEORGY MOZZHUKHIN
- A quantitative approach on human factor analysis in maritime operations
Deniz operasyonlarında insan faktörü analizi üzerine kantitatif bir yaklaşım
PELİN ERDEM
Doktora
İngilizce
2021
Denizcilikİstanbul Teknik ÜniversitesiDeniz Ulaştırma Mühendisliği Ana Bilim Dalı
DOÇ. DR. EMRE AKYÜZ