Alessio L.R. Pennasilico
[email protected] Summer Camp
Forte Bazzera4 Settembre 2010
Virtualization (in)securityDovevo scrivere Cloud da qualche parte :)
Alessio L.R. Pennasilico
$ whois mayhem
Board of Directors:
CLUSIT, AIPSI/ISSA Italian Chapter, Italian Linux Society,
OpenBSD Italian User Group, Metro Olografix,
Sikurezza.org, Spippolatori Hacker Club
Hacker’s Profiling Project, CrISTAL, Recursiva.org
2
Security Evangelist @
Alessio L.R. Pennasilico
Classical threats
Escape from VM
diversi esempi nel tempo,
ne vedremo altri in futuro :)
3
Alessio L.R. Pennasilico
altre minacce
malware vm-aware
4
Alessio L.R. Pennasilico
Confidenzialità
posso clonare macchine accese e fare quello che voglio sui cloni?
5
Alessio L.R. Pennasilico
Management VLAN
Gli host/hypervisor si dicono diverse cose interessanti
Dove facciamo passare il traffico “di servizio”?
6
Alessio L.R. Pennasilico
accesso all’interfaccia amministrativa
test reachability per HA
vMotion
iSCSI, NFS
7
Alessio L.R. Pennasilico
Soluzioni?
Dividere
Filtrare
Analizzare
8
Alessio L.R. Pennasilico 9
Alessio L.R. Pennasilico 10
Alessio L.R. Pennasilico
disruption
Cosa succede se rendo “irraggiungibili” gli IP monitorati per la gestione dell’HA?
11
Alessio L.R. Pennasilico
Unauthorized access
Brute force?
Exploit (undocumented services)?
Exploit application layer? (SOAP)
12
Alessio L.R. Pennasilico
netstat
tcp 0 0 0.0.0.0:5989 0.0.0.0:* LISTENtcp 0 0 0.0.0.0:902 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:903 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:427 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:443 0.0.0.0:* LISTEN
13
Alessio L.R. Pennasilico
Perchè
intercettare / rallentare il traffico iSCSI / NFS
storage in replica per HA/DR
14
Alessio L.R. Pennasilico
Migration
Manipolare le VM durante la migrazione?
http://www.eecs.umich.edu/techreports/cse/2007/CSE-TR-539-07.pdf
Jon Oberheide, Evan Cooke, Farnam Jahanian: Xensploit
15
Alessio L.R. Pennasilico
Migration
Posso spostare VM infette
di datacenter in datacenter...
16
Alessio L.R. Pennasilico
traffico “trusted” tra datacenter per garantire la migration delle VM
Traffico protetto?
Traffico Trusted / VPN come canale di accesso?
17
Alessio L.R. Pennasilico
Dormant VM
outdated policy
outdated signatures (AV, IPS)
manipolabili? >;-)
18
Alessio L.R. Pennasilico
Botnet e Cloud?
19
Alessio L.R. Pennasilico
Traffico interVM
firewall virtuali?
feature dell’hypervisor?
prodotti di terze parti?
20
Alessio L.R. Pennasilico
Prodotti agent based
multipiattaforma?
(comprende backup, AV, IPS...)
21
Alessio L.R. Pennasilico
Budget?
81% delle intrusioni avvengono su reti che non
sodisfano i requirement delle più diffuse
norme/best practice / guidelines
Gartner
22
Alessio L.R. Pennasilico
IT Security...
Un inutile impedimento
che rallenta le comuni operazioni
e danneggia il business?
23
Alessio L.R. Pennasilico
IT Security...
O prevenzione e risposta ad eventi che danneggerebbero il business in modo peggiore?
24
Alessio L.R. Pennasilico
Conclusioni
Usare la virtualizzazione?
Si, ma…
Dividere, Filtrare, Analizzare, Patchare
25
Alessio L.R. Pennasilico
[email protected] Summer Camp
Forte Bazzera4 Settembre 2010
Grazie!Domande?
T h e s e s l i d e s a r e written by Alessio L.R. P e n n a s i l i c o a k a mayhem. They are subjected to Creative Commons Attribution-S h a r e A l i k e - 2 . 5 version; you can copy, modify, or sell them. “Please” ci te your source and use the same licence :)