TESI DI LAUREA. Definizione e valutazione di algoritmi per il contenimento di attacchi a sistemi di calcolo virtualizzati

Transcript

1 TESI DI LAUREA Definizione e valutazione di algoritmi per il contenimento di attacchi a sistemi di calcolo virtualizzati INGEGNERIA DELL'INFORMAZIONE, INFORMATICA E STATISTICA CORSO DI LAUREA SPECIALISTICA IN INFORMATICA Candidato Matteo Signorini Relatore Alessandro Mei Correlatore Roberto Di Pietro A/A 2011/2012

2 Abstract Il Cloud Computing è una soluzione di calcolo e storage che o re indubbi vantaggi ad utenti e fornitori di servizi. Molti però non adottano tale tecnologia perchè non soddisfatti dai livelli di sicurezza ed a dabilità o erti. Il malware ed in particolare i rootkit possono sfruttare le vulnerabilità dei sistemi Cloud per accedere ai dati utente e/o per alterare o impedire il funzionamento dei servizi stessi [1]. Inoltre, anche operazioni non maliziose come l aggiornamento di componenti di sistema o lo sviluppo di nuove componenti software possono potenzialmente ridurre o bloccare le funzionalità o erte da un servizio di Cloud [2]. Sono quindi necessarie nuovi approcci per garantire, in modo e cace ed e ciente, la protezione del Cloud da minacce presenti e future. La maggior parte dei servizi di Cloud utilizza tecnologie di virtualizzazione, mentre Linux è il sistema di hosting più utilizzato. In questa tesi viene presentato un nuovo approccio che fa uso di una tecnica detta execution path analysis che consente al Virtual Machine Monitor di rilevare e reagire a potenziali failure delle macchine virtuali o dei servizi di Cloud che le utilizzano. Il sistema proposto permette di tracciare, modellare ed analizzare i comportamenti delle macchine virtuali mediante tecniche di introspezione [3]. La soluzione proposta adotta un nuovo approccio per la execution path analysis (EPA). In particolare, EPA viene applicata ai grafi rappresentanti lo scenario e le azioni del sistema in analisi ed è usata per prevenire possibili failure di una macchina virtuale. Il sistema di controllo realizzato, ResGue (Resilience per il Guest) viene dislocato in un livello inferiore rispetto al sistema in analisi in modo tale da essere il più trasparente possibile e non invasivo nei confronti dell utente fruitore dei servizi dislocati in una Macchina Virtuale. In questa tesi viene poi descritto il prototipo per Linux che implementa la soluzione proposta e vengono mostrati e discussi i risultati di test di e cacia e prestazionali che mostrano come tale soluzione sia e ettivamente applicabile. i

3 Indice 1 Introduzione Il Problema Principali Contributi del candidato Roadmap Organizzazione del documento Scenario Tecnologico Virtualizzazione ed Applicazioni Tecnologie di Virtualizzazione Lavori in Letteratura Sicurezza delle VM Tecniche di Sicurezza e Virtualizzazione File Nascosti Il FileSystem /proc Processi Nascosti Moduli Nascosti Redirezione di Funzioni di Sistema /dev/mem Tecniche di Rilevamento di Oggetti Nascosti Progetto ResGue Modellazione di Sistemi Guest Complessi Approccio Gestione degli Scenario Graph Scenario Graph Multistrato Action Graph Cooperazione tra grafi Etichettatura/rietichettatura nodi ii

4 INDICE iii 5 Implementazione Architettura Rollback Attività Sperimentale E cacia Prestazioni Conclusioni 57 Bibliografia 59

5 Capitolo 1 Introduzione 1.1 Il Problema Il Cloud Computing è una soluzione di calcolo che consente una notevole riduzione di costi di set-up e fornitura dei servizi, grazie alla capacità di demandare calcolo e storage dei dati a servizi remoti. Nonostante i vantaggi di economicità e ridondanza che o re, molti ancora non hanno utilizzato questa tecnologia a causa delle diverse problematiche di sicurezza legate al Cloud per le quali ancora non si è giunti a delle soluzioni definitive [4]. Attualmente la maggior parte dei servizi di Cloud viene o erto mediante l uso di tecnologie basate sulla virtualizzazione. Linux è il sistema di hosting di Cloud più utilizzato (Amazon, Eucalyptus, OpenStack,...), ed in particolare il suo kernel è continuamente esposto a numerose minacce. Malware ed in particolare i rootkit sfruttano le sue vulnerabilità per inserirsi all interno dei server che ospitano i servizi di hosting e tramite essi anche all interno delle macchine virtuali stesse [1]. I rootkit nascondono la loro presenza agli antivirus, e altri tool generici di rilevamento di applicazioni maliziose, mantenendo in alcuni casi un canale di comunicazione nascosto verso l esterno in grado di permettere il successivo accesso da parte di un utente malizioso remoto. La particolare esposizione degli apparati fisici che forniscono un servizio di Cloud rispetto alle suddette minacce è dovuta al fatto che solitamente le macchine virtuali sono spesso clonate da una iniziale configurazione e quindi un particolare attacco su una particolare macchina virtuale può essere facilmente replicato su una qualsiasi altra macchina virtuale gemella. Inoltre, anche operazioni non maliziose come l aggiornamento di programmi o lo sviluppo di nuove componenti software può potenzialmente ridurre o bloccare le funzionalità o erte da un servizio di Cloud [2]. Sono quindi necessarie nuove tecnologie e cienti ed e caci per garantire la protezione del Cloud da minacce conosciute e future. La virtualizzazione, come verrà mostrato più avanti, può essere anche utilizzata per incrementare la sicurezza dei sistemi grazie al fatto 1

6 CAPITOLO 1. INTRODUZIONE 2 che rende possibile isolare e controllare dall esterno le macchine virtuali. 1.2 Principali Contributi del candidato In questa tesi viene presentato un nuovo approccio che utilizza ed estende la tecnica detta execution path analysis che consente al Virtual Machine Monitor di rilevare ereagireapotenzialifailuredellemacchinevirtualiodeiservizidicloudchele utilizzano. Il sistema proposto permette di tracciare, modellare ed analizzare i comportamenti delle macchine virtuali mediante tecniche di introspezione [5]. La soluzione proposta adotta un nuovo approccio per la execution path analysis (EPA). In particolare, EPA viene applicata ai grafi rappresentanti lo scenario e le azioni del sistema in analisi ed è usata per prevenire possibili failure di una macchina virtuale. Il sistema di controllo viene dislocato in un livello inferiore (host) rispetto al sistema in analisi (guest) in modo tale da essere il più trasparente possibile e non invasivo nei confronti dell utente fruitore dei servizi dislocati in una Macchina Virtuale. In questo lavoro viene quindi presentato un prototipo per Linux della soluzione proposta e vengono mostrati e discussi i risultati di test prestazionali che mostrano come tale soluzione sia e ettivamente applicabile. Il prototipo realizzato si avvale della tecnologia di virtualizzazione o erta da Qemu-KVM[6][7]. 1.3 Roadmap La realizzazione di questo lavoro è stata composta da più fasi: Analisi del problema e delle soluzioni allo stato dell arte; Sintesi di una soluzione che o risse vantaggi di e cacia ed e cienza; Valutazione sperimentale della soluzione proposta. Durante la fase di Analisi sono state esaminate le attuali tecniche di attacco utilizzate dai rootkit. Tale lavoro ha permesso di individuare le strutture dati del sistema operativo più rilevanti ai fini della sicurezza. Éstataquindianalizzata l architettura interna del sistema operativo Linux per comprendere in che modo le strutture sopra citate vengono usate ed in che modo sia possibile interpretarne il contenuto. Lo studio delle esistenti tecniche di analisi dell Execution Path ha consentito di apprendere le tecniche fondamentali per interpretare e controllare l esecuzione di processi e thread sia lato userspace che kernelspace nel tempo. Questo ha permesso di ideare un approccio nuovo al problema della Execution Path Analysis che permettesse di avere una visione più completa ed accurata dello

7 CAPITOLO 1. INTRODUZIONE 3 stato di un sistema e delle azioni che potenzialmente o fattivamente lo modificano. Una volta definita la strategia di analisi e reazione/difesa si è passati alla fase di progettazione di una architettura software complessiva che potesse tracciare e modellare queste azioni e stati del guest in modo rapido (on-the-fly) ed e cace. Completata con successo la fase di lettura della memoria guest si è passati alla ideazione ed implementazione dell insieme di funzioni necessarie alla interpretazione della semantica delle operazioni e ettuate all interno della macchina virtuale. In seguito, sono state introdotte ed implementate le opportune strutture di controllo che permettessero di tracciare e di controllare le operazioni eseguite dai vari sistemi guest. Infine, è stato creato un ambiente di test che prevedesse un insieme rilevante di malware e di applicazioni real-world. Sono stati poi realizzati script automatici di test per l analisi delle prestazioni del progetto creato. Tali script sono stati necessari per eseguire un elevato numero di test ed anche per filtrare ed elaborare idatiottenuti. Irisultatidie caciaeprestazionalimostranochel approccioè valido e che può essere esteso ed utilizzato in reali ambienti di produzione. 1.4 Organizzazione del documento In questo documento di tesi viene introdotto e definito lo scenario tecnologico ed il problema (capitoli 1 e 2). Nel Capitolo 3 viene descritto e discusso lo stato dell arte dei sistemi di protezione e controllo dei sistemi guest. Nel Capitolo 4 viene introdotto l approccio utilizzato ed i vantaggi rispetto alle soluzioni precedenti. Il Capitolo 5 fornisce maggiori dettagli architetturali ed implementativi della soluzione proposta. Il Capitolo 6 descrive e discute i risultati sperimentali del prototipo del sistema proposto. Infine nel Capitolo 7 sono tratte le conclusioni del lavoro di tesi enevengonoriassuntiiprincipalicontributi.

8 Capitolo 2 Scenario Tecnologico 2.1 Virtualizzazione ed Applicazioni Negli ultimi anni le tecnologie di virtualizzazione si sono evolute e di use in diversi ambiti. La virtualizzazione è una tecnica che consente di ripartire le risorse di un sistema in ambienti di esecuzione multipli. Il concetto di macchina virtuale nasce negli anni 60 da parte di IBM con VM/370[8]. L idea di sviluppare del software che simuli una macchina reale nasce dalla necessità di condividere singole risorse fisiche, a quei tempi molto costose, fra più utenti. In principio per virtualizzazione si intendeva un meccanismo per suddividere una macchina reale in più copie della stessa, garantendo la compatibilità del software, l isolamento e, per quanto possibile, prestazioni simili a quelle originali. Dagli anni 60 in poi si è assistito ad una notevole evoluzione dell hardware, di usione di personal computer e sistemi operativi multiutente che hanno portato a rendere sempre più raro l utilizzo della virtualizzazione. Oggi tale fenomeno è ridiventato attuale. I sistemi moderni sono divisi in due componenti: Host o macchina fisica; Guest o macchina virtuale. Per creare una o più macchine virtuali è necessario un sistema operativo ospitante in esecuzione, host o hypervisor, che esegua un software di virtualizzazione che crea ad alto livello l ambiente in cui eseguire le varie macchine virtuali, guest. Ogni macchina virtuale viene eseguita come se fosse un normale software che comunica indirettamente con l hardware tramite il software di controllo che agisce a basso livello. Dal punto di vista hardware, da alcuni anni, Intel e AMD hanno sviluppato indipendentemente due set di istruzioni addizionali a supporto della virtualizzazione per macchine x86. Esse non sono tra loro completamente compatibili, ma o rono funzionalità molto simili[9][10]. Entrambe permettono ad 4

9 CAPITOLO 2. SCENARIO TECNOLOGICO 5 una macchina virtuale di eseguire un sistema operativo ospite senza incorrere in notevoli perdite prestazionali causate dall emulazione software di alcuni dispositivi. L impiego della virtualizzazione permette di o rire un maggior numero di funzionalità [11][12][13] e, al tempo stesso, di ridurre i costi. Con la virtualizzazione, le risorse di dati e di elaborazione, server e storage, vengono raggruppate in maniera logica in un unico insieme di risorse. Vengono descritti qui di seguito alcuni vantaggi o erti dalla virtualizzazione: flessibilità : grazie alla virtualizzazione è possibile convertire una macchina fisica in virtuale e viceversa, clonare macchine per di erenti fini, spostare una macchina virtuale da un host ad un altro senza interromperne l esecuzione, clusterizzare lo stesso strato di virtualizzazione per permettere la migrazione automatica delle macchine virtuali in caso di problemi dell hardware host; isolamento : usando le macchine virtuali, si ottiene un isolamento completo e trasparente per i sistemi guest, come se ognuno di essi eseguisse su dell hardware dedicato. Ogni macchina virtuale può raggiungere diversi livelli d isolamento, a seconda che si tratti di virtualizzazione completa o para-virtualizzazione;(figura 2.1) Figura 2.1: Isolamento sviluppo e testing : la virtualizzazione, anche in questo contesto, è un ottima soluzione che permette di avere a disposizione ambienti di test operativi in poco tempo, ad esempio clonando una macchina virtuale esistente su cui e ettuare tutte le prove necessarie;(figura 2.2) consolidamento ed ottimizzazione : oggi è possibile consolidare i sistemi, mantenendo gli stessi livelli di sicurezza e prestazioni, cosa che non

10 CAPITOLO 2. SCENARIO TECNOLOGICO 6 Figura 2.2: Sviluppo e Testing accadeva quando le tecnologie di virtualizzazione non erano ancora mature. È possibile consolidare numerose macchine virtuali su un numero limitato di sistemi e successivamente ripartizionare a piacimento le stesse in funzione del carico senza interrompere l operatività delle singole macchine virtuali. Strumenti specializzati di gestione possono accendere, spegnere e spostare le macchine virtuali in base ad eventi configurabili. In tal modo è possibile ridurre la quantità dell hardware e ottenere un risparmio tangibile;(figura 2.3) Figura 2.3: Consolidamento disaccoppiamento tra hardware e servizi : con la virtualizzazione nascono i concetti di vista logica e vista fisica dell hardware. La realizzazione dipende dal tipo di virtualizzazione che si intende adottare, virtualizzazione completa o para-virtualizzazione. Entrambe rendono possibile sostituire

11 CAPITOLO 2. SCENARIO TECNOLOGICO 7 l hardware o migrare le applicazioni con grande facilita e immediatezza;(figura 2.4) Figura 2.4: Migrazione supporto al networking : e possibile emulare di erenti segmenti di reti, switching e routing. Anche complesse architetture composte da segmenti di frontend, backend, DMZ1 e management possono essere virtualizzate ed integrate nelle VLAN reali dando potenzialmente la possibilita di virtualizzare interi datacenter; clustering : virtualizzando i server che faranno parte di un cluster, non solo sara possibile e ettuare un bilanciamento del carico su tali macchine, ma ci sara la possibilita di bilanciare il carico dei processi che girano all interno di ogni singola macchina virtuale;(figura 2.5) Figura 2.5: Bilanciamento del carico di lavoro 1 Demilitarized Zone ovvero Zona non coperta dal controllo del firewall etc. etc.

12 CAPITOLO 2. SCENARIO TECNOLOGICO 8 applicazioni / sistemi pronti da impiegare : un altro aspetto da non sottovalutare è il possibile mercato di macchine virtuali preconfigurate (su media e/o web), vendute con soluzioni ad hoc o secondo modelli standard in pronta consegna; backup, disaster recovery, archiviazione : poiché ogni sistema è tipicamente in continua evoluzione, spesso nasce l esigenza di mantenere multiple versioni di tale sistema, tramite le quali rendere possibile un roll-back 2.Sfruttando la virtualizzazione, il disaster recovery risulta notevolmente semplificato: è possibile ettuare e il ripristino di una macchina virtuale in modo immediato e sicuro, rendendo possibile la riattivazione dei servizi in tempi limitati. Anche il backup risulta essere facilitato, e ettuare il backup di una macchina virtuale consiste infatti nel copiare un numero estremamente limitato di file;(figura 2.6) Figura 2.6: Disaster Recovery La presente tesi mira a risolvere alcune problematiche di sicurezza grazie all utilizzo della virtualizzazione. Il software di virtualizzazione usato nel presente studio è KVM 3,unsoftwarecompostodaunLKM 4,checreasistemi virtualizzati utilizzando la tecnologia Intel-VT[14] o AMD-V[6]. Una delle peculiarità del presente lavoro rispetto ad altri recentemente pubblicati è che si prefigge lo scopo di rimanere completamente trasparente alla macchina guest, non vengono infatti minimamente toccati ne il kernel del guest ne applicazioni di cui questo è composto. La trasparenza agli occhi del guest è un requisito fondamentale per la costruzione 2 Ripristino ad una versione precedente 3 Kernel-based Virtual Machine 4 Loadable Kernel Module

13 CAPITOLO 2. SCENARIO TECNOLOGICO 9 di un robusto sistema di sicurezza perché, grazie al supporto della virtualizzazione, ci garantisce che un ipotetico attaccante presente sulla macchina guest non possa rendersi conto della presenza del sistema di modellazione e controllo. Le operazioni di monitoraggio hanno come oggetto file o strutture dati di notevole importanza per un corretto funzionamento della macchina guest, con l obiettivo di rilevare e/o rimediare ad eventuali modifiche o manomissioni potenzialmente pericolose. 2.2 Tecnologie di Virtualizzazione L architettura di virtualizzazione usata per questo studio è denominata Platform Virtualization[15]. Questa è composta da un software lato host che crea uno o più ambienti simulati ( detti macchine virtuali ) destinati ad ospitare uno o più software guest. Il software guest, che solitamente è esso stesso un Sistema Operativo, è eseguito come se si trovasse realmente su una macchina fisica. In questo modo diversi Sistemi Operativi guest possono essere eseguiti contemporaneamente sulla stessa macchina fisica (host). Vengono ora elencate le terminologie a cui molto spesso si farà riferimento durante la presentazione di questo studio. Sistema Operativo (SO): è il software responsabile del controllo di una macchina, della gestione dei suoi componenti hardware e dei programmi che su di esso vengono eseguiti; SO guest: è il SO che viene eseguito su una Macchina Virtuale; SO host: è i l S O c h e v i e n e e s e g u i t o s u l l a m a c c h i n a fi s i c a e s u l q u a l e vengono eseguite le macchine virtuali. Virtual Machine (VM): è u n a m a c c h i n a l o g i c a a v e n t e l a s t e s s a a r c h i t e t t u r a della macchina fisica che la ospita, solitamente una macchina fisica ospita più Virtual Machine; Virtual Machine Monitor (VMM): è uno strato di software, collocato tra SO e hardware fisico che controlla l esecuzione delle VMs. In questo modo le VMs hanno la sensazione di stare comunicando con l hardware fisico mentre invece stanno comunicando con il VMM. Ci sono diverse definizioni del concetto di Platform Virtualization:

14 CAPITOLO 2. SCENARIO TECNOLOGICO 10 Emulazione In questo tipo di virtualizzazione(figura 2.7), l ambiente virtuale emula l architettura hardware richiesta da un certo guest che viene eseguito senza alcuna modifica. L emulatore può emulare parzialmente o completamente l hardware della macchina fisica tenendo presente che maggiore è l emulazione maggiori sono le capacità di simulare le operazioni consentite sull hardware fisico ma peggiori sono le prestazioni ottenute. Un campo in cui viene molto usata una virtualizzazione di questo tipo è quello dei cellulari, smartphone, palmari ed in generale tutti i dispositivi mobili. Ad esempio gli sviluppatori di applicazioni per cellulari, emulano il sistema operativo del telefono per e ettuare la fase test di tali applicazioni. Vantaggi: Capacità di simulare un ambiente hardware completamente di erente da quello di cui è composta la macchina host; Svantaggi: Scarse prestazioni. Figura 2.7: Emulazione Virtualizzazione Completa Nella Virtualizzazione Completa(figura 2.8), un immagine di un SO guest non modificata viene eseguita all interno di un ambiente virtualizzato. La di erenza tra la virtualizzazione di tipo completo e quella di tipo emulato è che tutti i SO guest eseguono sulla stessa architettura hardware. Tutti i SO guest supportano lo stesso hardware, il che permette a questi di eseguire molte istruzioni direttamente in hardware aumentando quindi notevolmente le prestazioni. Vantaggi: Possibilità di eseguire diverse versioni di SO anche provenienti da diversi produttori: Microsft Windows XP, Microsoft Windows Server, Linux, etc. etc. ;

15 CAPITOLO 2. SCENARIO TECNOLOGICO 11 Svantaggi: ISOguestsonocreatidainstallazioniidenticheaquellee ettuate su macchine reali e quindi lo spazio richiesto è notevole. Possono sorgere problemi causati da applicazioni che fanno uso intensivo del disco. Figura 2.8: Virtualizzazione Completa Para-Virtualizzazione Nella para-virtualizzazione(figura 2.9) il VMM esporta una copia modificata dell hardware fisico. Questo strato esportato viene modificato per permettere ai SO guest di eseguire le istruzioni ad una velocità molto vicina alla velocità che si otterrebbe se il SO guest stesse eseguendo su una macchina fisica. Iguestvengonodiconseguenzamodificatia nchédeterminatesystemcall[16][17] e ettuate da questi siano redirette verso il substrato esportato dal VMM piuttosto che verso l hardware fisico della macchina. Vantaggi: Leggero e veloce. Le immagini dei SO guest sono piccole e le prestazioni possono raggiungere livelli molto vicini a quelli ottenuti su macchine fisiche; Svantaggi: Richiede di apportare delle modifiche ai SO guest che consentono a questi ultimi di usare le istruzioni fornite dal VMM. Non utilizzabile con SO proprietari come quelli appartenenti alla famiglia di prodotti Microsoft. Virtualizzazione a livello SO Nella virtualizzazione a livello SO(figura 2.10) non ci sono macchine virtuali; la virtualizzazione è realizzata completamente all interno di un singolo SO. I sistemi guest condividono delle proprietà e dei driver comuni appartenenti al sottostante SO ma hanno comunque la sensazione di essere

16 CAPITOLO 2. SCENARIO TECNOLOGICO 12 Figura 2.9: Para-Virtualizzazione dei computer separati. Ciascuna istanza guest esegue le proprie applicazioni, che possono essere completamente di erenti dalle applicazioni delle altre istanze, e ciascuna ha il suo proprio file system 5,ilsuoindirizzoIPetc.etc.. Vantaggi: Veloce, leggero, ed e ciente, con la capacità di supportare un elevato numero di istanze virtuali; Svantaggi: L isolamento delle singole istanze e la sicurezza dei dati sono molto problematici. Tutte le istanze virtuali devono supportare lo stesso SO. Figura 2.10: Virtualizzazione al livello SO 5 Un File System è l insieme dei tipi di dati astratti necessari per la memorizzazione, l organizzazione gerarchica, la manipolazione, la navigazione, l accesso e la lettura dei dati.

17 CAPITOLO 2. SCENARIO TECNOLOGICO 13 Virtualizzazione delle Applicazioni La virtualizzazione delle applicazioni (figura 2.11), come qualsiasi altro tipo di virtualizzazione, richiede uno strato di virtualizzazione. Questo strato intercetta tutte le richieste che vengono e ettuate dalle applicazioni virtualizzate verso il file system e le redireziona verso una locazione di memoria virtuale. Le applicazioni quindi sono completamente distaccate dai dispositivi hardware poiché comunicano solamente con lo strato di virtualizzazione. Questo permette ad applicazioni che sono incompatibili tra di loro di poter essere eseguite insieme: ad esempio Microsoft Internet Information Services 4.0,5.0 e 6.0 potrebbero essere eseguite fianco a fianco. In oltre aumenta anche la portabilità delle applicazioni, consentendo a delle applicazioni di eseguire in degli ambienti diversi da quelli per cui sono state sviluppate. Vantaggi: Aumenta la portabilità delle applicazioni. Permette ad applicazioni incompatibili tra loro di eseguire insieme; Svantaggi: Prestazioni deludenti. Non tutte le applicazioni possono essere virtualizzate. Figura 2.11: Virtualizzazione delle Applicazioni

18 Capitolo 3 Lavori in Letteratura La virtualizzazione è stata ed è utilizzata come strumento per garantire l integrità delle VM, anche nel Cloud [18][19][20]. Un sistema di controllo dell integrità che si basa sul comportamento dell ambiente monitorato è stato proposto in [21] dove due macchine virtuali vengono eseguite, una reale ed una ombra sulla quale vengono eseguiti i controlli di integrità. Tuttavia questa soluzione è decisamente più onerosa di quella proposta in questo studio in quanto si richiede che per ogni VM che debba essere monitorata ne debba essere presente una seconda identica alla prima. Inoltre non viene fornita nessuna garanzia che le due macchine nel tempo rimangano uguali e di conseguenza che rimangano tali anche le operazioni da loro eseguite. Vengono ora descritte le soluzioni ad oggi conosciute divise per il tipo di difesa adottato al fine di poter delineare meglio quali sono le migliorie apportate nella soluzione proposta in questo studio. 3.1 Sicurezza delle VM Intrusion Detection Systems Molte soluzioni sono state proposte nel campo degli Host Based Intrusion Detection Systems (HIDS) [22]. Tali soluzioni possono essere raggruppate in tre principali categorie: Program-Level IDS (Un IDS che usa informazioni disponibili a livello delle applicazioni). Wagner et al. [23]mostranocomeanalisistatichepossonoessere sfruttate per difendersi da attacchi che tentano di cambiare il comportamento dei programmi a run-time. La loro soluzione costruisce un modello statico del comportamento atteso di un programma per poi confrontarlo con il comportamento a tempo di esecuzione. Anche Kirda et al. [24] sono riusciti 14

19 CAPITOLO 3. LAVORI IN LETTERATURA 15 ad ottenere lo stesso risultato anche se la loro soluzione si basa su un analisi sia statica che dinamica. OS-Level IDS (Un IDS che usa informazioni disponibili a livello del sistema operativo come ad esempio le system call) Molti IDS proposti in letteratura sono basati sullo studio delle invocazioni delle system call per rilevare la presenza di codice malizioso [25, 26, 27] inquantoilcontrollodellechiamate alle system call può essere eseguito in modo e ciente e fornisce un alto livello informativo circa le azioni intraprese da un programma. VMM-Level IDS (Un IDS che usa informazioni disponibili sulle VM monitorate) Questa categoria di IDS può essere ulteriormente suddivisa in due categorie, VMM-Level IDS Ibridi e Puri. I primi usano informazioni disponibili a livello del sistema operativo delle VM monitorate, i secondi invece si trovano esternamente alle VM e devono quindi interpretare semanticamente i dati prelevati dalle VM. Laureano et al. [28] e VNIDE [29] sonobasatisu una soluzione ibrida mentre Azmandian [30] usa una soluzione pura. Tutti i lavori presentati sopra so rono dei seguenti problemi: Oggetti Monitorati: tutte le soluzioni proposte sono pensate per proteggere il guest contro oggetti maliziosi ; Privacy: tutte le soluzioni proposte usano tecniche di semantic introspection [3] perricostruirestrutturedelguestcomeadesempiolalistadeiprocessio la lista dei moduli. La soluzione proposta in questo studio risolve tali problemi nel modo seguente: Oggetti Monitorati: il presente lavoro fornisce resistenza ai failure. Questo significa che non ci si focalizza solamente sugli eventi maliziosi ma più in genere su tutti quegli eventi che possono portare ad un failure di tutto il sistema o del singolo servizio o erto. Questo aspetto è molto importante in quanto non solo un malware può portare ad un failure, anche l aggiornamento di un programma o la installazione di un nuovo programma può avere lo stesso e etto; Privacy; se il cloud provider è malizioso, esso può ottenere in modo indebito delle informazioni sulle VM grazie all uso delle tecniche di semantic introspection. Nella soluzione proposta invece non viene usata alcuna tecnica di semantic introspection, i dati letti nelle VM sono dati grezzi che servono al calcolo di checksum per la analisi dello stato di una VM.

20 CAPITOLO 3. LAVORI IN LETTERATURA Tecniche di Sicurezza e Virtualizzazione Quando un kernel viene compromesso, ad esempio da un rootkit 1 [31] [32], le informazioni fornite da quest ultimo all HIDS 2 [33] divengono inattendibili. Molti HIDS atti a controllare attacchi al livello kernel assumono che quest ultimo non sia stato compromesso. In realtà, una volta che un attaccante penetra il kernel può installare strumenti per evitare di essere individuato, rendendo quindi falsa la precedente assunzione. Utilizzando delle parti di kernel non compromesso, si possono installare in queste dei software per l individuazione dei rootkit evitando quindi situazioni come quella sopra citata. Questa soluzione ha però anch essa i suoi difetti, infatti, un attaccante potrebbe accorgersi del software di verifica e progettare un rootkit in grado di raggirarlo. Soluzioni a questo problema sono basate su hardware ad hoc ma sono molto costose e richiedono il supporto del SO, quindi sono di cilmente applicabili su larga scala. Minacce Si definisce malware un qualsiasi software creato con il solo scopo di causare danni più o meno gravi al computer su cui viene eseguito. Il termine deriva dalla contrazione delle parole inglesi malicious e software e ha dunque il significato letterale di software malvagio. Si distinguono molte categorie di malware, anche se spesso questi software sono composti di più parti interdipendenti e rientrano pertanto in più di una classe. Le categorie di malware più comuni sono: Virus: si di ondono copiandosi all interno di altri software, o in una particolare sezione del disco fisso, in modo da essere eseguiti ogni volta che il file infetto viene aperto. Si trasmettono da un computer a un altro tramite lo spostamento di file infetti ad opera degli utenti; Worm: non hanno bisogno di infettare altri file per di ondersi perché modificano il sistema operativo della macchina ospite in modo da essere eseguiti automaticamente. Per indurre gli utenti ad eseguirli utilizzano tecniche di ingegneria sociale 3, oppure sfruttano dei difetti (bug) di alcuni software. Il loro scopo è rallentare il sistema con operazioni inutili o dannose; 1 Un rootkit è un software creato per avere il controllo completo sul sistema senza bisogno di autorizzazione da parte di utenti o amministratori. 2 Un Host based intrusion detection system (HIDS) è una tipologia di intrusion detection system specializzato nell analisi e nel monitoraggio del computer. Una variante del network intrusion detection system, uno strumento indirizzato verso l analisi del tra co di rete. 3 Nel campo della sicurezza informatica per ingegneria sociale (dall inglese social engineering) si intende lo studio del comportamento individuale di una persona al fine di carpire informazioni.