Cloud Computing & Cyberattacks

Transcript

1 Cloud Computing & Cyberattacks Strategie e Best Practice per la riduzione del rischio Stefano Maccaglia Andrea Minghiglioni

2 Cosa ci dice Wikipedia sul Cloud? In informatica con il termine inglese cloud computing si Printing indicano or Copying un insieme not allowed di tecnologie che permettono, Printing tipicamente or Copying sotto not allowed forma di un servizio offerto al cliente, Printing di or memorizzare/archiviare Copying not allowed e/o elaborare dati Printing (tramite or Copying CPU not o software) allowed grazie all'utilizzo di risorse hardware/software distribuite e virtualizzate in Rete. La creazione di una copia di sicurezza (backup) è automatica e l'operatività si trasferisce tutta online mentre i dati Printing sono memorizzati Copying not allowed in server farm generalmente localizzate nei Paesi di origine del service provider.

3

4

5 Alcune caratteristiche del Cloud Alcune caratteristiche del Cloud Computing: Costi capitali iniziali azzerati o molto bassi Elimina in gran Printing parte or responsabilità Copying not allowed operative (es., se un disco si guasta Printing o si perde or Copying connettività not allowed non avete bisogno di risolvere il Printing problema) or Copying not allowed Il lavoro viene Printing eseguito or Copying un not altro allowed luogo, nel Cloud Elasticità e scalabilità: Printing or Copying l utilizzo di not una allowed CPU o 999 CPU non ha alcuna differenza in termini di costi L utilizzo di data center molto grandi con migliaia di computer è molto meno costoso rispetto ad avere una stanza piena di computer (si parla del costo di mantenimento per computer)

6 Alcune «reali» caratteristiche del Cloud Per esempio, se si ha un Cloud privato in locale: Ci saranno dei Printing costi or capitali Copying iniziali not allowed La manutenzione Printing dell hardware or Copying not èallowed fatta in casa Non si avrà l illusione Printing or di Copying una potenza not allowed di calcolo infinita Tuttavia, il servizio Cloud privato può funzionare allo stesso modo Printing di unoor pubblico. Copying not Inoltre allowedsi possono integrare servizi Printing privati or Copying con servizi not allowed pubblici in modo trasparente Un esempio di questo è il servizio Cloud offerto da Ubuntu Enterprise

7 Una vecchia storia In alcuni casi, la sicurezza del Cloud Computing non è molto diversa dalla Printing sicurezza or Copying informatica not allowed a cui siamo abituati Molte applicazioni Printing vengono or Copying accedute not allowedtramite interfaccia web Tutte le vulnerabilità Printing OWASP or Copying come not allowed SQL injection, cross site scripting, cross Printing site or request Copying forgeries, not allowedecc., hanno rilevanza anche Printing nell ambito or Copying del not Cloud allowed computing Lo stesso discorso Printing vale or per Copying la sicurezza not allowed fisica. Un data store pieno di server utilizzato per il Cloud Computing necessita della stessa sicurezza utilizzata per data center che vengono utilizzati per altri servizi. In ogni caso è importante proteggere il data center da accessi non autorizzati o potenziali disastri naturali.

8 La sicurezza informatica ha sostanzialmente 3 obiettivi: confidenzialità Printing (Confidentiality) or Copying not allowed integrità (Integrity), Printing eor Copying not allowed disponibilità Printing (Availability) or Copying not allowed La disponibilità è l area dove l infrastruttura cloud ha avuto la sua più grande sfida

9 Gli analisti vi diranno che quando si affronta un rischio lo si può diminuire, eliminare del tutto o lo si può semplicemente accettare. Se si ha necessità Printing di una or Copying disponibilità not allowed no-stop è possibile utilizzare fornitori Printing di servizi or Copying cloud not molteplici allowed oppure integrare servizi Printing pubblici or Copying con quelli not allowed privati per migliorare la ridondanza Alcuni servizi di Printing Cloud or computing Copying not offrono allowed la suddivisione a zone per limitare Printing il downtime or Copying not di un allowed solo servizio Utilizzando il local Printing caching or Copying a livello not allowed applicativo si possono risolvere Printing alcune or Copying problematiche not allowed di downtime Economicamente avrebbe più senso accettare un breve periodo di downtime. (Disponibilità 99.99% ==> 52+ minuti di downtime/anno)

10 Il rischio nella perdita dei dati Il rischio nella perdita dei dati (come nel caso T-Mobile Sidekick) è un eccezione Printing or Copying al discorso not allowed sulla disponibilità di cui parlavamo Printing nella or slide Copying precedente. not allowed Gli utenti sono in grado di tollerare Printing un or interruzione Copying not allowed occasionale del servizio, ma la Printing perditaor di Copying dati potrebbe not alloweduccidere un business La maggior parte Printing deior servizi Copying Cloud not allowed utilizzano un file system globale e distribuito. Questo vuol dire che sono progettati per assicurare che i guasti hardware non comportino la perdita di dati importanti Quando si è alla ricerca di una soluzione Cloud è necessario prendere in considerazione anche una strategia per effettuare il backup dei dati DAL Cloud

11 Cloud Computing e sicurezza perimetrale Anche le soluzioni «in the Cloud» hanno un perimetro. Il problema Printing or Copying è identificarlo not allowedcon chiarezza e attivare su di Printing esso or i filtri Copying opportuni. not allowed D altro canto Printing quando or Copying le frontiere not allowed sono ampie e differenziate occorre Printing or Copying attuare not dei allowed meccanismi di controllo incrociato. Il Firewall, come Printing pure or Copying l IPS di not perimetro allowed divengono in questo ambito Printing non or più Copying identificabili not allowed come singole macchine, ma piuttosto saranno raggruppati per funzione. Avremo perciò dei «cluster di firewall», dei NIDS/NIPS, ovvero dei Network Intrusion Prevention/Detection System

12 La scelta di utilizzare il Cloud computing non significa necessariamente rinunciare alla capacità di monitorare i sistemi per attività ostili. Uno strumento che può essere utilizzato è OSSEC (Open Source Printing Host-Based or Copying Intrusion not allowed Detection System), un IDS Printing cheor supporta Copying not ambienti allowed virtualizzati. Un altro potrebbe Printing essere or Copying SNORT. not allowed Un IDS open source con funzionalità Printing or Copying di virtualizzazione not allowed

13 Prima di effettuare il deploy di strumenti per la sicurezza è necessario verificare l ambiente API insicure le Shared Technology Vulnerabilities sono considerate minacce di alto livello I clienti devono Printing prestare or Copying particolare not allowedattenzione alle best practice in ambienti virtuali

14

15 Abuso del Cloud Computing I provider IaaS danno ai clienti l illusione di una potenza di elaborazione Printing Copying e storage not allowed illimitato spesso abbinato ad Printing un processo or Copying molto not allowed semplice per la registrazione Printing dei propri or Copying dati (inclusa not allowedcarta di credito) e attivando Printing or ilcopying servizionot istantaneamente allowed una volta effettuato Printing il pagamento or Copying not allowed Alcuni provider offrono periodi di prova a tempo Spammer e gli autori di codici maligni sono in grado di sfruttare questi modelli di registrazione per compiere atti criminali nel totale anonimato

16 Abuso del Cloud Computing Le aree di interesse includono: Cracking di password Printing Copying e chiavinot di sicurezza, allowed DDOS, Punti d attacco Printing dinamici, or Copying not allowed Hosting di dati Printing malevoli, or Copying not allowed botnet command Printing e or control, Copying not allowed Costruzione di tabelle rainbow, Farm con soluzioni CAPTCHA I servizi sono stati utilizzati da botnet Zeus, i trojan InfoStealer e exploit per Microsoft Office eadobe PDF In più, i botnets hanno utilizzato i server IaaS per funzioni command e control e lo Spam continua ad essere un problema

17 Interfacce sicure e API I provider di Cloud Computing espongono una serie di API ai loro clienti per interagire con i vari servizi Il provisioning, management e monitoring sono tutte effettuate tramite queste interfacce. La sicurezza dei cloud services si basa sulla sicurezza di queste API Dall autenticazione al controllo degli accessi fino ad arrivare alla crittografia, queste interfacce sono progettate per proteggere contro atti malevoli o accidentali

18 Interfacce sicure e API Le organizzazioni e le terze parti utilizzano le interfacce per Printing offrireor funzionalità Copying not allowed aggiuntive ai propri clienti Questo introduce un nuovo layer di complessità; Al tempo stesso introduce anche più rischi. Le organizzazioni sono costrette a passare delle credenziali a Printing terze parti or Copying per l accesso not allowed ai propri servizi

19 Insider malevolo La minaccia di un insider maligno è ben nota alla maggior parte Printing delleor organizzazioni Copying not allowed La minaccia è amplificata per i consumatori di servizi cloud Al momento non è stato registrato nessun attacco reale Tali minaccieprinting sono comunque or Copying not molto alloweddifficili da monitorare e prevenire completamente

20 Insider malevolo Appena le aziende adottano un infrastruttura cloud il fattore umano Printing assume or Copying un importanza not allowed ancor più rilevante. È dunque Printing or fondamentale Copying not allowed che queste organizzazioni Printing capiscano or Copying ciònot che allowed i fornitori stiano facendo

21 Shared Technology Fornitori di IaaS offrono servizi scalabili utilizzando la condivisione Printing delle infrastrutture or Copying not allowed Un hypervisor di virtualizzazione è utilizzato per mediare gli accessi tra il sistema operativo e le risorse fisiche

22 Shared Technology Anche gli hypervisor hanno mostrato delle vulnerabilità che Printing hanno or Copying permesso not allowed a sistemi operativi guest Printing di avere or Copying permessi not allowed e privilegi riservati Di conseguenza è necessaria una strategia di difesa che prende in considerazione tutta l infrastruttura

23 Dispersione o perdita di dati Ci sono molti modi per compromettere i dati: La cancellazioneprinting o la modifica or Copying not senza allowed avere un backup del contenutoprinting è un or esempio Copying not evidente allowed L utilizzo di un supporto di memorizzazione inaffidabile

24 Dispersione o perdita di dati Autenticazione, Autorizzazione e controllo insufficiente (Authentication, Printing or Copying not Authorization allowed & audit) Uso incoerente delle chiavi di crittografia Guasti operativi Persistenza e smaltimento Rischio di associazione Questioni politiche e burocratiche Affidabilità nei data center disaster recovery

25 Account Hijacking L account Hijacking non è una novità. Le metodologie di attacco quali phishing, la frode e lo sfruttamento degli exploit nel software sono ancora utilizzati Soluzioni Cloud aggiungono un nuovo strato per le minacce. Se un malintenzionato ottiene l'accesso alle vostre credenziali, possono spiare le vostre attività e transazioni, manipolare i dati, restituire informazioni false, e reindirizzare i vostri clienti a siti illegittimi

26 I rischi sconosciuti Uno dei principi del Cloud Computing è la riduzione della quantità Printing hardware/software or Copying not allowed per consentire alle aziende di Printing concentrarsi or Copying not sui allowed punti di forza del proprio core business Però devono essere valutati attentamente i problemi di sicurezza

27 I rischi sconosciuti Versioni del software, aggiornamenti del codice, le policy di sicurezza, Printing profili or Copying di vulnerabilità, not allowed tentativi di intrusione, sicurezza Printing or e Copying design, not sono allowed fattori importanti per stimare il Printing livello di or Copying sicurezza not allowed della vostra azienda Utilizzare Log e registri per tenere traccia delle attività Security by obscurity

28 Vulnerabilità Printing sulla or Copying Virtualizzazione not allowed

29 Poiché il cloud computing è costruito sulla base della virtualizzazione, se ci sono alcuni problemi di sicurezza con la virtualizzazione di conseguenza ci saranno anche problemi di sicurezza con il cloud computing Per esempio: si può uscire da una macchina virtuale entrando nel sistema operativo dell host? La community era molto scettica su questa affermazione fino all evento Blackhat Printing USA or 2009, Copying dove not Kostya allowedkortchinsky di Immunity Inc. presentò Printing or "Cloudburst: Copying not A allowed VMware Guest to Host Escape Story Kostya: VMware Printing non èor un ulteriore Copying not allowed strato di sicurezza, bensì un ulteriore strato dove trovare bug Ovvero, utilizzare un ambiente virtualizzato aumento la superficie d attacco

30 La Virtualizzazione non è una Novità 1962: l Atlas computer del Department of Electrical Engineering della Printing Manchester: or Copying not allowed Time-Sharing, multiprogrammazione, Printing or Copying controllo not allowed condiviso delle periferiche, Supervisor. Printing Copying not allowed 1964: IBM M44/44X. Il principio dell architettura si basa su di un set di macchine virtuali, una per ogni utente. 1965: IBM System/360-67, con il CP-67/CMS il primo sistema operativo che permette la virtualizzazione completa.

31 La Virtualizzazione non è una Novità 1974: Popek e Goldberg, formalizzano i requisiti necessari e sufficienti Printing or Copying per la virtualizzazione. not allowed Anni 80: La virtualizzazione viene dimenticata 1998: con Vmware Workstation si ha il primo esempio di virtualizzazione su architettura x86. Anni 2000: Implementazione Printing or Copying not hardware allowed della virtualizzazione Printing su architettura or Copying not x86 allowed (Intel VT-x, AMD SVM/Pacifica) Oggi: la virtualizzazione si spinge anche alle periferiche di I/O e al Network (AMD IOMMU e Intel VT-d).

32 Che Cos è La Virtualizzazione? Non è facile dare una definizione omnicomprensiva in quanto esistono Printing diversi or Copying tipinot di allowed virtualizzazione. Una possibile definizione: La virtualizzazione è un metodo per suddividere le risorse di un dispositivo in una pluralità di ambienti operativi. Questa definizione si sposa con l idea di Cloud Computing, idea che si basa proprio sulla virtualizzazione per ridurre I costi di esercizio.

33 Che Cos è La Virtualizzazione? La Macchina Virtuale (VM) È un efficiente ed isolato duplicato di una macchina reale. Condivide le Printing stesse risorse or Copying con not altre allowed macchine virtuali. È il mattone Printing con cui or Copying è costruito not l edificio allowed della virtualizzazione Printing or Copying not processes allowed processes processes processes kernel hardware programming interface kernel kernel kernel VM1 VM2 VM3 Virtual machine implementation hardware

34 Perchè la Virtualizzazione? Un classico schema di virtualizzazione è quello di creare più macchine Printing or Copying virtualinot nella allowed stessa macchina fisica. Questo schema da i seguenti benefici: Consolidamento delle risorse e risparmio energetico. Alta affidabilità. Disaster recovery Printing e Backup or Copying. not allowed Riduzione del Printing costo or dell hardware. Copying not allowed Miglioramento Printing nellaor gestione, Copying con not allowed meno macchine da mantenere. Indipendenza dall hardware. Separazione virtuale dei sistemi di sviluppo e produzione

35 Panoramica Sulla Virtualizzazione Il Sistema Operativo, la CPU, la memoria, lo spazio disco,il network, le periferiche di input/output sono tutte risorse che possono essere virtualizzate. Senza la virtualizzazione è il solo Sistema Operativo (OS) a controllare e gestire tutte le risorse hardware di una macchina. Usando una metafora, il Sistema Operativo, è l unico padrone di casa.

36 Panoramica Sulla Virtualizzazione Con la virtualizzazione si avranno diversi OS, più padroni a dover coabitare nella stessa casa Nasce il bisogno di implementare un sistema gerarchicamente più in alto dell OS che faccia da arbitro. Si introduce ilprinting Virtual or Machine Copying not Monitor allowed (VMM) o l Hypervisor.

37 La Casa Della Virtualizzazione APP1 APP2 APPn SISTEMA OPERATIVO RISORSE FISICHE DELLA MACCHINA HOST Processore Memoria Scheda grafica Rete Archiviazione Dispositivi I/O SENZA LA VIRTUALIZZAZIONE, UN SOLO SISTEMA OPERATIVO DISPONE DI TUTTE LE RISORSE FISICHE DELLA MACCHINA VM1 VMn Printing App1 or AppCopying Appnot allowed SO1 Risorse hardware Virtuali della VM1 SOn Virtual Machine Monitor (VMM) RISORSE FISICHE DELLA MACCHINA HOST Risorse hardware Virtuali della VMn UTILIZZANDO LA VIRTUALIZZAZIONE LE RISORSE HARDWARE FISICHE POSSONO ESSERE CONDIVISE DA PIU SISTEMI OPERATIVI Host: è la macchina che ospita le VM nella casa Guest: è la macchina virtuale ospitata. VMM: il Virtual Machine Monitor, aiuta l Host a gestire gli ospiti.

38 Costruire la Virtualizzazione: L Hypervisor: È lo strato software Printing che or Copying garantisce not allowed l esistenza di una VM mettendo a disposizione delle risorse virtuali sulla base di risorse reali. Deve garantire Printing i seguenti or Copying requisiti: not allowed Performance: la maggior parte delle operazioni devono essere eseguite Printing usando or Copying risorsenot reali allowed piuttosto che virtuali. Sicurezza: Printing Lo stratoor di Copying virtualizzazione not allowed deve avere il pieno controllo delle risorse virtuali. Dovrebbe essere impossibile bypassareprinting la virtualizzazione or Copying senza not allowed controllo. Fedeltà: Un Printing programma or Copying (come not una allowed VM) deve mostrare lo stesso comportamento sia se sta utilizzando una risorsa reale sia una virtuale.

39 Costruire La Virtualizzazione: Per poter soddisfare questi requisiti, varie tipologie or Copying not allowed di Hypervisor Printing sono state pensate e scritte. Ad oggi esistono due tipi di Hypervisor: VM VM Applications Applications Guest OS VM VM Applications Applications Printing or CopyingApplications not allowed Applications Applications Printing or Copying not allowed Guest OS Guest OS Applications Guest OS Hypervisor (VMM) Hypervisor (VMM) Hardware Tipo I Host Operating System Hardware Tipo II

40 Costruire la Virtualizzazione: Il Problema della Superficie d Attacco La superficie d attacco di un software è data dalla quantità di funzionalità messe a disposizione di un utente non autorizzato. Nella difesa in profondità Printing èor importante Copying not allowed esporre il minor numero possibile di L introduzione di un vulnerabilità ovveroprinting minimizzare or Copying la not allowed nuovo strato software superficie d attacco Secondo Gartner: the security issues nei sistemi, related to vulnerability and configuration necessariamente management get worse, not better, when aumenta la superficie virtualized d attacco.

41 Costruire La Virtualizzazione: Hypervisor di Tipo I: conosciuti anche come nativi o bare-metal. Sono moltoprinting efficienti. or Copying not allowed La sicurezza Printing del sistema or Copying si basa not sulla allowed sicurezza dell Hypervisor. La sicurezza Printing è data dal or Copying loro design: not allowed a. Microkernel: essenziali, offrono una minore superficie d attacco, Printing ancheor se Copying meno performanti not allowedsono considerati I più sicuri b. Monolitici: Printing più grandi, or Copying sebbene not più allowed performanti è più facile comprometterli. VM0 VM1 VM2 VM0 VM1 VM2 Privileged Virtualization Stack Hypervisor Drivers Drivers Drivers Drivers Hypervisor Hardware Hardware a) Type I Hypervisor (Monolithic) b) Type I Hypervisor (Microkernel)

42 Costruire La Virtualizzazione: Hypervisor di Tipo II: conosciuti anche come Hosted. Sono installati sopra il Sistema Operativo Sono i menoprinting efficienti or Copying not allowed La loro sicurezza Printing si basa or Copying su quella not allowed del Sistema Operativo. La compromissione Printing or del Copying sistema not operativo allowed compromette la sicurezza dello Printing strato or di Copying virtualizzazione not allowede quindi quella del sistema stesso VM0 VM1 VMM/Hypervisor Operating System Hardware c) Type II Hypervisor VM2

43 Costruire La Virtualizzazione I requisiti per un Hypervisor sono stati introdotti nel 1974 da Gerald Printing J. Popek or Copying e Robert not allowed P. Goldberg, e ancora oggiprinting costituiscono or Copying le not linee allowed guida che i programmatori Printing devono or Copying tenere not allowed bene a mente durante la progettazione Printing or Copying di not architetture allowed in grado di supportare la virtualizzazione in maniera efficiente. Oltre a possedere queste caratteristiche qualitative, Popek e Goldberg enunciano due omonimi teoremi che forniscono condizioni necessarie e Printing sufficienti or Copying affinchè not allowed un architettura possa definirsi virtualizzabile. Questi teoremi si fondano sulla struttura che il set di istruzioni (ISA) di un architettura deve possedere.

44 La Virtualizzazione Nell Architettura x86: La CPU x86 è la più usata oggigiorno. Questo ha fatto sì che si moltiplicassero gli investimenti nella ricerca di soluzioni in grado di virtualizzare tale architettura.

45 La Virtualizzazione Nell Architettura x86: Sfortunatamente, per via di caratteristiche intrinseche, l architettura x86 non permette di soddisfare I teoremi di Popek e Goldberg. Di base non sarebbe quindi possibile implementare la virtualizzazione. Inoltre le tecniche Printing di or Copying virtualizzazione not allowedsi devono anche confrontare con la struttura della CPU.

46 La Virtualizzazione della CPU x86: La virtualizzazione della CPU è strettamente legata alla sicurezza di tutto il sistema. Il software parla con la CPU inviandogli istruzioni da processare. Le istruzioni per Printing controllare or Copying direttamente not allowed l hardware sono le più pregiate. Chiunque potesse Printing eseguirle or Copying not potrebbe allowed prendere il controllo dell hardware Printing or Copying e, essenzialmente, not allowed del intero sistema.

47 La Virtualizzazione Della CPU x86: Per migliorare la sicurezza è stata introdotta la modalità protetta nell architettura. Si basa sulla separazione Printing or Copying deglinot accessi allowedalle risorse ed è basata su livelli Printing di privilegio or Copying (o not Rings) allowedi esecuzione delle istruzioni. Grazie a ciò si Printing può ottenere or Copying in not modo allowed sicuro la multiprogrammazione. Printing Ring 0 or Copying not allowed A Ring più bassi Supervisor Mode Unrestricted Access Printing Ring 1 or Copying not allowed corrisponono privilegi maggiori. Ring 2 Ring 3 User Mode Restricted Access Il sistema operativo opera a Ring 0 Gli applicativi che l utente usa operano a Ring 3

48 La Virtualizzazione Della CPU x86: Un eventuale applicazione compromessa che volesse eseguire un istruzione privilegiata, operando a Ring 3 non potrebbe farlo direttamente. Infatti quando si vuole eseguire un istruzione privilegiata, l OS la intercetta, la esegue e poi ripristina la modalità non privilegiata. Bisogna fare Printing i contior con Copying questo not allowed meccanismo quando si vuole virtualizzare questa architettura.

49 La Virtualizzazione Della CPU x86: Infatti, per funzionare correttamente, il VMM ha bisogno di operare a Ring 0, ovvero allo stesso livello del Sistema Operativo. Deve quindi togliere dei privilegi al sistema operativo per evitare interferenze con esso. Tutte le istruzioni Printing che or Copying possono not essere allowedeseguite dall OS in modalità non Printing privilegiata or Copying not saranno allowedintercettate e tradotte dall Hypervisor, e quindi eseguite. Alcuni software Printing (come or Copying i driver) not allowed però si aspettano di operare ad un livello privilegiato e smettono di funzionare correttamente quando si trovano all interno di un OS declassato.

50 La Virtualizzazione nell architettura x86: Nel corso del tempo, quindi, si sono sperimentati vari approcci per introdurre senza problemi la virtualizzazione in x86: Interpretazione: ovvero la completa emulazione dell hardware. Printing È la via or Copying più diretta not allowed ma meno performante. Virtualizzazione Printing Completa: or Copying Piùnot efficiente. allowed Usa la binary translation tecnica Printing or introdotta Copying not da allowed VMware. Traduce solo le istruzioni critiche. Paravirtualizzazione: Printing or o Copying virtualizzazione not allowed assistita dal software. Più performante, Richiede la modifica del OS dell Host. Il capostipite è Xen. Virtualizzazione Hardware: L ultima frontiera. Mediante l introduzione di nuove istruzioni nell architettura x86 (Intel VTx - AMD SVM), non richiede modifiche all OS. È la soluzione più performante.

51 Virtualizzazione e Sicurezza: Hard Disk Quando progettiamo una struttura di sicurezza per un host fisico, nella fase di analisi, consideriamo i potenziali rischi e le possibili perdite causate da un eventuale attacco o, peggio ancora, da un eventuale furto. Questo tipo di analisi deve essere rivista nel caso in cui sull'host fisico siano presenti una o più macchine virtuali. L'eventuale furto dell'hard-disk comporterebbe il furto di tutte le macchina virtuali, dati annessi, presenti sul disco stesso.

52 Virtualizzazione e Sicurezza: Network Un ulteriore problema e dato dalla gestione degli indirizzi IP. In un ambiente virtualizzato gli indirizzi IP delle macchine virtuali cambiano ogni qualvolta queste vengono create, dismesse oppure spostate da un server (fisico) all'altro. Siccome i modelli di sicurezza tendono ad associare gli indirizzi IP con una locazione, diventa estremamente difficile configurare in maniera corretta un firewall ed e estremamente difficile indicare all'intrusion detection system quali siano i sistemi da tenere sotto controllo.

53 Virtualizzazione E Sicurezza: Network Un incidente di sicurezza (es. un worm), sarebbe più facile da rintracciare in un ambiente tradizionale e più statico L'affidabilità delle infrastrutture è molto difficile da raggiungere in Printing un ambiente or Copying virtuale not allowed e scarsamente documentato. Printing Delle or macchine Copying not virtuali allowed potrebbero apparire per un Printing breve or periodo Copying not di allowed tempo, infettare altre macchine per Printing poi sparire or Copying di nuovo not allowed senza che gli amministratori Printing se ne accorgano Copying not allowed Gli hacker possono Printing utilizzare or Copying questi not allowed exploit per i propri scopi, utilizzando Printing le macchine or Copying not virtuali allowed per condurre ulteriori attacchi interni o esterni Inoltre, le potenziali vulnerabilità delle macchine virtuali potrebbe apparire e scomparire continuamente semplicemente copiando, spostando o condividendo le immagini virtuali

54 Virtualizzazione E Sicurezza: Remote Management Negli ambienti virtuali è comune avere una console di gestione delle singole macchine virtuali Queste console portano nuove agevolazioni per gli amministratori ma aprono anche Printing nuove or vulnerabilità. Copying not allowed Compromettere una console di gestione Printing permette or Copying ad un not malintenzionato allowed di controllare tutte le macchine virtuali gestite Questo tipo di tecnologia Printing or comunica Copying not normalmente allowed con il VMM utilizzando HTTP / Printing HTTPS. Il or che Copying significa not che allowed ci deve essere un servizio in esecuzione per accettare connessioni HTTP. Xen, per esempio, ha l'interfaccia XenAPI Printing HTTP or che Copying ha avuto not una allowed vulnerabilità nel contesto del Cross-site scripting (XSS), che ha permesso l'esecuzione di un codice malevolo Printing in or una Copying sessione not del allowed browser HyperVM è un software Printing multi-tiered, or Copying not multi-server, allowed multi-virtualization che permette di creare e gestire diverse macchine virtuali (Xen o OpenVZ), ciascuna Printing con or ogni Copying Virtual not Private allowed Server (VPS) e con il proprio sistema operativo. Con questo attacco è stato possibile ottenere i privilegi di root permettendo agli hacker di eseguire comandi Unix riservati come "rm-rf", che costringono una cancellazione ricorsiva di tutti i file nella directory (comprese sottodirectory) corrente. Come risultato, molti clienti sono stati colpiti e in alcuni casi hanno perso i loro dati per sempre perché non hanno avuto alcun backup

55 Virtualizzazione E Sicurezza: Revert to Snapshots Una "fotografia" o "snapshot" del disco è un meccanismo utilizzato da alcuni VMM ben noti (per esempio, VMware e VirtualBox) che consentono agli Printing amministratori or Copying di prendere not allowed un'istantanea della macchina ospite Printing un determinato or Copying not momento allowednel tempo Ciò che fa è preservare il file system del disco e la memoria di sistema, permettendo Printing all'amministratore Copying not allowed di ripristinare l'istantanea in caso di necessità Essi possono essere utilizzati come salvagente ma possono anche portare alcuni problemi Printing di or sicurezza. Copying not Per allowed esempio, ripristinare uno snapshot può: Riportare online una macchina virtuale senza patch di sicurezza Abilitare nuovamente Printing account or Copying utente o not password allowed disabilitati precedentemente Utilizzare vecchie Printing policy di or sicurezza Copying (e.s. not regole allowed firewall, signature di antivirus) Galfinkel et al. avvisano di un problema nell'utilizzare istantanee su sistemi con one-time password come S / KEY Ripristinando uno snapshot può far sì che un hacker utilizzi una password rubata molto tempo fa e in questo modo possa compromettere la sicurezza dell'infrastruttura

56 Virtualizzazione E Sicurezza: Revert to Snapshots Un altro problema emerge su sistemi che utilizzano protocolli basati su numeri casuali. Il Zero Knowledge Proofs of Knowledge (ZKPK) non è sicuro se il nonce casuale viene utilizzato più di una volta. Molti dei protocolli di autenticazione derivati da ZKPK come Fiat-Shamir o l'autenticazione Schorr sono compromessi Tuttavia, non solo i protocolli crittografici sono a rischio. Per esempio, il riutilizzo di un numero di sequenza TCP potrebbe consentire a un utente malintenzionato di eseguire un attacco di hijacking

57 Virtualizzazione E Sicurezza: Denial of Service Un attacco Denial of Service (DoS) ha l'obiettivo di rendere una risorsa irraggiungibile. è possibile utilizzare una macchina guest per effettuare un'attacco Printing or Copying denial not of allowed service (intenzionale o non intenzionale) Printing prendendo or Copying not tutte allowed le risorse del sistema host VMware ha mostrato Printing or Copying di avere not diverse allowed vulnerabilità DoS Un buon modo Printing di prevenire or Copying not questo allowed attacco è limitare gli accessi delle Printing macchine or Copying virtuali not allowed alle risorse. La maggior parte delle attuali tecnologie di virtualizzazione assegnano dei limiti a ciascuna macchina guest Con la giusta configurazione i rischi che provengono da questo attacco possono essere minimizzati

58 Virtualizzazione E Sicurezza: Modifica esterna di una VM Ci sono alcune applicazioni sensibili che si basano sulle infrastrutture dell'ambiente VM Queste applicazioni in esecuzione all'interno di una macchina virtuale richiedono che la macchina virtuale abbia un ambiente di fiducia Se una VM è Printing modificata or Copying per not qualche motivo, le applicazioni possono Printing or Copying essere not sempre allowedin grado di funzionare ma non ci sarebbe più la relazione di trust Una soluzione Printing è quella or Copying di firmare not allowed digitalmente la VM e convalidare la firma prima dell'esecuzione dell'applicativo

59 Virtualizzazione E Sicurezza: Modifica esterna dell Hypervisor Come abbiamo visto, l introduzione della virtualizzazione Printing porta Copying con se not l introduzione allowed degli Hypervisor. L'introduzionePrinting del VMM or Copying creanot un allowed nuovo layer di attacchi. Come accennato Printing in or precedenza Copying not allowed l'hypervisor è responsabile Printing per l'isolamento or Copying not delle allowed macchine guest Un hypervsior compromesso può distruggere il modello di sicurezza Printing or adottato Copying not allowed Ci sono diverse soluzioni per questo problema, una delle soluzioni consigliate è quella di utilizzare un hypervisor sicuro come Shype

60 Virtual Malware The Goodfellas

61 Virtual Malware Fino ad ora abbiamo visto problematiche di sicurezza che non implicano necessariamente la presenza di malware. Uno dei vantaggi più pubblicizati della virtualizzazione è l uso di macchine virtuali per contenere e addirittura studiare i malware. Questo vantaggio Printing si or basa Copying sull assunto not allowed che le macchine virtuali siano perfettamente isolate Come abbiamo Printing visto, or Copying questo not isolamento allowed è fornito solamente dalla bontà dell Hypervisor. La sicurezza basata sull isolamento deriva quindi dalla sicurezza sulla correttezza del codice con cui è scritto l hypervisor.

62 Virtual Malware Generalmente il malware medio non si accorge che sta operando su di un sistema virtualizzato. Questo perchè uno degli assunti della virtualizzazione è che il software non debba comportarsi in maniera diversa sia che si trovi in un ambiente operativo virtualizzato sia in un ambiente reale. Le innovazioni Printing in questo or Copying fronte not allowed stanno però vedendo la nascita di nuovi tipi di malware consapevoli della virtualizzazione. Anche perchè è relativamente semplice accorgersene.

63 Virtual Malware Fino ad ora, i malware che riescono ad accorgersi della virtualizzazione si limitano ad autoterminarsi. Questo perchè Printing molti or sistemi Copying di not rilevamento allowed del malware (come le honeynet) o gli ambienti di studio di nuovi malware si basano Printing fortemente Copying not sulla allowed virtualizzazione, dati i suoi innegabiliprinting vantaggi. or Copying not allowed Con la rapida Printing diffusione or Copying della virtualizzazione not allowed però questo trend è destinato a ad esaurirsi. Alcuni malware Printing consapevoli or Copying della not allowed virtualizzazione potrebbero cambiare Printing or il Copying loro comportamento not allowed e tentare di attaccare il layer Printing di virtualizzazione. or Copying not allowed Guest VM Guest VM Guest VM Guest VM a Applications Operating System vswitch vswitch Hypervisor b

64 Virtual Malware: Nuovi Modelli di Minaccia In un semplice scenario d attacco, con tre server fisici isolati abbiamo un or tradizionale modello di minaccia: Printing Copying not allowed Applications Applications Printing or Copying not allowed PrintingOperation or Copying not allowed System Printing or Hardware Copying not allowed La compromissione dell Host si basa tipicamente sulla vulnerabilità di un applicazione per poter attaccare l OS. Oppure l attaccante potrebbe trovare qualche vulnerabilità dell OS per accedere all applicazione.

65 Virtual Malware: Nuovi Modelli di Minaccia Con la virtualizzazione si presenta un nuovo scenario: i tre server sono consolidati dentro una singola macchina fisica. or Copying not allowed In questo casoprinting il modello di minaccia è diverso. Printing or Copying notgli allowed Infatti, non solo saranno possibili attacchi del modello Printing or Copying allowed nuove possibilità (freccie # 1) precedente, ma sinot apriranno di compiere nuove o not di scoprire Printingattacchi or Copying allowed nuove vulnerabilità. 1 Applications Applications Applications Applications Printing or Copying 1not allowed 1 1 Operation System 3 Operation System 2 Virtualizzation Layer Hardware 3 4

66 Virtual Malware: Nuovi Modelli di Minaccia Se lo strato di virtualizzazione è vulnerabile, è Printing possibile or Copying not allowed lanciare un attacco Printing Guest or Copying not allowed to Guest (freccia # 2) or Copying not allowed Printing 1 Oppure è possibile lanciare Printing or Copying notapplications allowed Applications Applications Applications 1 un attacco Guest to Host o not Printing or Copying 1 allowed 1 Operation System Host to Guest (freccie# 3). Printing or Copying not Operation allowedsystem or Copying not allowed Oppure lo stratoprinting di Virtualizzation Layer Printing or Copying not allowed virtualizzazione può anche Hardware essere attaccato da remoto.(freccia # 4). 4

67 Virtual Malware: Nuovi Modelli di Minaccia L obbiettivo di questi attacchi è unico: la rottura dell isolamento Printing delle VM. or Copying not allowed Una volta rotto l isolamento si not allowed Printing or Copying è compromessoprinting l intero or Copying not allowed sistema. Printing or Copying not allowed Applications Applications Printing or Copying 1not allowed1 System Printing or Copying notoperation allowed 1 Applications Applications 1 Operation System 2 3 Virtualizzation Layer Hardware 3 4

68 Virtual Malware: VM Escape Quando un malware tenta di rompere l isolamento della virtualizzaione si dice Printing or Copying che stianot eseguendo allowed un Virtual Machine Escape Printing or Copying Questi tipi not di allowed attacco si basano sostanzialmente su degli exploit che Printing or Copying sfruttanonot vulnerabilità allowed dello strato di Printing or Copying virtualizzazione. not allowed Per esempio di recente sono state Printing or Copying scoperte not vulnerabilità allowed in alcuni prodotti Vmware che possono far eseguire Printing or Copying codicenot arbitrario allowedda attaccanti remoti. (CVE )

69 VM Escape Il VM Escape è uno dei peggiori casiprinting di or Copying not allowed rottura Printing or Copying Chipset/MCH not (ME/AMT) allowed dell isolamento Host-Guest. In questo attacco un programma che Printing or Copying OS kernel not & drivers allowed opera all interno di una VM può bypassare completamente l Hypervisor e accedere all host. The CPU (microcode) Hypervisor (optional) BIOS/SMM Another OS kernel (optional) App App App App App Hypervisor Attacks AKA VM escapes (e.g. exploiting Xen hypervisor, VMWare 3D graphics) depth

70 VM Escape Come visto in precedenza, l isolamento gioca un ruolo cruciale nella virtualizzazione L isolamento è garantito dai livelli di privilegio o Ring. Chipset/MCH (ME/AMT) OS kernel & drivers The CPU (microcode) Hypervisor (optional) BIOS/SMM Another OS kernel (optional) App App App App App Hypervisor Attacks AKA VM escapes (e.g. exploiting Xen hypervisor, VMWare 3D graphics) depth

71 VM Escape L Host ha i privilegi di Ring 0 (Root) Il programma che ha accesso all Host guadagna anche esso gli stessi privilegi. Chipset/MCH (ME/AMT) OS kernel & drivers The CPU (microcode) Hypervisor (optional) BIOS/SMM Another OS kernel (optional) App App App App App depth Hypervisor Attacks AKA VM escapes (e.g. exploiting Xen hypervisor, VMWare 3D graphics)

72 VM Escape La sicurezza dell intero sistema è compromessa A seconda di come è implementata la virtualizzazione nel sistema le conseguenze possono essere varie. Chipset/MCH (ME/AMT) OS kernel & drivers The CPU (microcode) Hypervisor (optional) BIOS/SMM Another OS kernel (optional) App App App App App Hypervisor Attacks AKA VM escapes (e.g. exploiting Xen hypervisor, VMWare 3D graphics) depth

73 VM Escape: Alcune Conseguenze Le prime prove di concetto note si basano su attacchi a Hypervisor di Printing tipo Hosted. or Copying not allowed L uscita dalla VM Printing può compromettere or Copying not allowed il sistema a vari livelli a seconda del tipo Printing di vulnerabilità or Copying sfruttata not allowed e dalla sicurezza del sistema operativo Host. La protezione della memoria può ancora garantire un certo isolamento dall hardware. Un Hypervisor bare-metal offre meno superficie d attacco ma I Printing potenziali or Copying problemi not allowed di una sua compromissioneprinting potrebbero or Copying essere not allowed ben peggiori in quanto è a contatto diretto con l hardware. Di seguito presentiamo due possibili scenari di compromissione per un Hypervisor bare-metal. (non ci sono ancora PoC disponibili)

74 VM Escape: Alcune Conseguenze Chipset/MCH (ME/AMT) OS kernel & drivers The CPU (microcode) Hypervisor (optional) BIOS/SMM Another OS kernel (optional) App App App App App Hypervisor Attacks AKA VM escapes (e.g. exploiting Xen hypervisor, VMWare 3D graphics) depth Se si raggiunge il BIOS si possono avere privilegi maggiori di quelli di Root