Virtualizace: posílení bezpečnosti, nebo hrozba?

Virtuální stroje mají vedoucím pracovníkům odpovídajícím za bezpečnost IT i výzkumným pracovníkům v oblasti bezpečnosti mnoho co nabídnout. A bohužel také hackerům. Virtualizace je nejnovější žhavý trend v korporátních datových centrech. Virtualizační servery od Microsoftu, VMware a XenSource umožňují, aby na jediném (reálném) počítačovém systému běželo mnoho virtuálních počítačů. V praxi to znamená, že 20 nebo 30 fyzických serverů v místnosti může být změněno ve stejný počet virtuálních strojů, které poběží na jediném fyzickém systému se dvěma, čtyřmi nebo osmi procesory.

To, že místo 30 počítačů stačí mít jen jeden, může výrazně snížit spotřebu energie, nároků na chlazení, kabeláž a management. A i když typický virtualizační server odčerpá asi 5 až 10 procent pracovní kapacity fyzického počítače, virtualizace často vede k tomu, že aplikace dané organizace běží rychleji, nikoliv pomaleji. Je tomu tak proto, že fyzické servery, které jsou takto nahrazovány, poměrně často bývají nedostatečně využívané stroje s jednou CPU, které fungují na hardwaru, jež má své nejlepší roky za sebou. Oproti tomu nové multiprocesorové systémy mohou poskytnout každému virtualizovanému počítači zvýšenou dávku CPU energie přesně v okamžiku, kdy ji potřebují – a stejně tak jiným strojům ve chvíli, kdy ji nejvíce budou potřebovat ony.

Kromě toho, že je to účinný nástroj k dosažení finančních úspor, je virtualizace také jedním z příštích mocenských nástrojů v arzenálu dnešních bezpečnostních odborníků.

CRASH, BURN, A ZNOVU DOKOLA

Například ještě před několika lety většina bezpečnostních konzultantů měla k dispozici jedno nebo několik zařízení „crash-and-burn“ pro experimentování s potenciálně nepřátelskými programy jako spywarem, trojskými koni a počítačovými viry. V současnosti se většina tohoto „pitvání“ a testování přesunula do světa virtuálních strojů. K evidentní úspoře prostoru a energie se přidává i skutečnost, že je snadnější přijít na to, co nějaký spyware udělal s virtuálním strojem než s fyzickým, protože při analýze můžete použít řadu nástrojů hostitelského operačního systému virtualizačního serveru.

Použít virtuální zařízení „crash-and-burn“ také může být daleko rychlejší než použití fyzického zařízení. Jednou z těch opravdu otupujících činností u mých starých „crash-and-burn“ byla nutnost instalovat operační systém na harddisk, udělat „obraz“ tohoto harddisku, obnovit tento obraz poté, co spyware vyvedl něco nekalého, a tak dále a tak dále. Měl jsem jeden 9GB harddisk nakonfigurovaný na Windows 2000, druhý používal Linux, a řadu 9GB harddisků s různými verzemi těchto systémů v rozličných stadiích poškození a útoků. Když jsem byl hotov s experimenty s nějakým novým škůdcem, vzal jsem vždycky svůj referenční harddisk a blok po bloku jsem jej překopíroval na pracovní disk. To mi zaručovalo, že budu mít hezky čistou instalaci „obětního“ operačního systému připravenou pro další experiment. Jenže jsem musel bootovat z CD-ROMu a pak strávit 20 až 30 minut kopírováním.

S diskovými obrazy virtuálních počítačů se pracuje rychleji, neboť dnešní virtualizační servery jsou, pokud jde o inteligentní správu harddisků, lepší, než snad vůbec kdy mohou být fyzické servery. Místo toho, aby musely blok po bloku kopírovat logický disk, virtualizační servery používají nejrůznější kompresní techniky a remapping, takže virtuální disk obsahuje jen ty sektory disku, které virtuální počítač skutečně potřebuje. Některé virtualizační servery, jako Microsoft Virtual PC, dokážou dokonce ukládat virtuální disky do dvou souborů: „základního“ nebo referenčního souboru a druhého, který jen sleduje změny. Díky tomuto druhu konfigurace pak druhý soubor obsahuje dokonalý záznam škod, jaké spyware napáchal. K obnovení původního počítače stačí jen tento druhý soubor vyhodit. Co může být jednodušší?

Virtuální stroje na jedno použití se dají využívat pro daleko více věcí než jen pro testování spywaru. Bezkonkurenčně nejbezpečnější způsob, jak dnes brouzdat po webu, je stáhnout si VMware Player a virtuální stroj „Browser Appliance“ téže firmy. Nastartujte jej a během několika sekund budete mít virtuální stroj na Ubuntu Linux a s prohlížečem Mozilla Firefox připraveným k surfování. Firefox na Linuxu je mimořádně bezpečná konfigurace pro prohlížení na síti. A pokud se nějaké hackerské skupině podaří najít něco, co jí umožní dostat se do vašeho virtuálního počítače, můžete nad tím mávnout rukou. To nejhorší, co vám můžou udělat, je, že zničí onen virtuální počítač – neexistuje způsob, jak by se hackerské nepřátelské programy mohly dostat z VMware Playeru a infikovat váš desktop. Stejně tak není možný útok typu cross-site scripting, jehož prostřednictvím by vám někdo mohl ukrást autentizační cookies pro domácí bankovnictví, a šanci nemá ani ten, kdo by se vám chtěl hrabat ve vašich důvěrných dokumentech pomocí tzv. zero-day exploitu.

VZDÁLENÉ MOŽNOSTI

Organizace také mohou používat VMware Player jako nástroj k tomu, aby vybavily své zaměstnance uceleným souborem aplikací pro jejich domácí počítače nebo bezpečný dálkový přístup. Namísto toho, aby se používal náročný systém dálkového přístupu jako Citrix nebo Microsoft Terminal Services, můžete vytvořit virtuální stroj VMware, který je prekonfigurován spolehlivým operačním systémem, veškerým produktivním softwarem vaší organizace a virtuálním klientem privátní sítě. Zaměstnanci by používali virtuální stroj k přístupu do firemního softwaru nebo síťových zdrojů, ukládali by si práci buď na zvláštních virtuálních discích, nebo v hostitelském operačním systému, či na sdílené síti? Updaty softwaru by se mohly distribuovat jako zcela nové VM.

Stále více však považuji VM také za způsob, jak se chránit, když pracuji na „citlivé“ síti, která patří nějakému klientovi. Místo abych si přenesl VPN klienta na svůj domovský počítač, vytvořím si VM a použiji jej k připojení k tomuto klientovi. Nyní si mohu být jist, že žádná nesouvisející aktivita na mém desktopu nepronikne ani mimoděk na síť klienta. Podobně mám jistotu, že veškeré důvěrné informace, které si stáhnu, zůstanou výhradně na tomto VM.

Řada akademických výzkumníků se snaží napasovat tento koncept na snadno použitelný desktop interface, který by rozděloval typický domácí počítač na různé virtuální stroje pro různé typy „rolí“, pro něž jsou domácí počítače svými uživateli používány. Například bych mohl mít jeden virtuální počítač pro zpracování textů, druhý pro home banking a další vysoce rizikové činnosti, při nichž se pracuje s velkými hodnotami; třetí by byl pro prohlížení na internetu a hry, a čtvrtý rovněž pro vysoce rizikové aktivity jako spouštění programů, které mi lidé posílají e-mailem.

Ačkoli mnozí výzkumníci jsou do myšlenky použití virtualizace k vyřešení problému spywaru přímo zamilováni, mám takové podezření, že takovýto systém by neposkytoval tolik bezpečnosti, kolik si jeho zastánci představují. Problém je, že domácí uživatelé by určitě chtěli přesouvat informace mezi těmito různými virtuálními desktopy – a jakmile existuje cesta, jak přesouvat informace, útočníci by mohli být schopni jí využít. Například nějaký útočník by mohl poslat uživateli e-mailovou zprávu, která by se tvářila jako zpráva z jeho banky s tím, že obsahuje údajně „povinný update pro váš virtuální počítač, na kterém provozujete home banking“. I když je možné postavit virtuální počítač, který umožňuje z principu vyloučit jakoukoliv komunikaci s VM ostatních desktopů, je nepravděpodobné, že by uživatelé chtěli používat systém, který by neumožňoval kopírování (cut-and-paste) mezi různými desktopy.

TEMNÉ STRÁNKY

Bystří bezpečnostní experti si uvědomí, že celá ta virtualizace má také svoji temnou stránku. Protože cookies a soubory browser cache jsou uloženy ve virtuálním stroji spolu se vším ostatním, padouch, který bude prohlížet síť uvnitř Browser Appliance od VMware neponechá žádné z těchto výmluvných kriminálních stop na svém PC. V důsledku toho může být daleko obtížnější dokázat, že někdo používal počítač pro nezákonné účely, jako třeba stahování dětské pornografie. Na nedávné forenzní konferenci jsem slyšel, že někteří sofistikovaní útočníci to dnes dělají právě tak, aby nezanechali stopy, když se vloupají do cizích strojů. V rozporu s tím, co se v médiích často tvrdí, nám virtuální stroje dávají možnost, jak si prohlížet informace na síti, stahovat je a pak zcela vyčistit počítač, takže nezanecháme jedinou stopu.

Virtualizační technologie mohou útočníci také využít k tomu, aby skryli existenci virů, trojských koní a dalších typů malwaru, ačkoliv takovéto útoky jsou dnes čistě ve fázi zkušební realizace. Teorie spočívá v tom, že malware se zde stává virtualizačním serverem samotným; operační systém, který je obětí, pak běží jako klient.

Jediný člověk, který to zatím dokázal rozběhnout, je Joanna Rutkowska, výzkumná pracovnice u společnosti Coseinc se sídlem v Singapuru, která působí v oblasti bezpečnostního poradenství v IT: Její výtvor, označovaný jako „Modrá pilulka“ (Blue Pill), se stal loni v létě, když byl poprvé představen, předmětem velkého mediálního rozruchu. Tento systém je založen na virtualizační technologii AMD SVM/ /Pacifica a údajně dokáže oblafnout i Windows Vista x64. Realističtější představu o tom, co tato technologie dokáže a co ne, získáte, když si projdete powerpointovou prezentaci Rutkowské na bezpečnostní konferenci Black Hat, kterou si můžete stáhnout z jejího blogu na www.invisiblethings.org.

Virtualizace pravděpodobně bude pro počítačovou bezpečnost stejně velkým krokem vpřed, jakým byly v 70. letech protected-mode operating systems v akademických a vládních kruzích (a v 90. letech, když podnikatelská sféra přešla od DOS a Windows 95 na Windows NT). Nebude to všelék, ale to není nikdy nic.

Foto: Simenes