Alessio L.R. Pennasilico

mayhem@recursiva.orgEnd Summer Camp

Forte Bazzera4 Settembre 2010

Virtualization (in)securityDovevo scrivere Cloud da qualche parte :)

Alessio L.R. Pennasilico

$ whois mayhem

Board of Directors:

CLUSIT, AIPSI/ISSA Italian Chapter, Italian Linux Society,

OpenBSD Italian User Group, Metro Olografix,

Sikurezza.org, Spippolatori Hacker Club

Hacker’s Profiling Project, CrISTAL, Recursiva.org

2

Security Evangelist @

Alessio L.R. Pennasilico

Classical threats

Escape from VM

diversi esempi nel tempo,

ne vedremo altri in futuro :)

3

Alessio L.R. Pennasilico

altre minacce

malware vm-aware

4

Alessio L.R. Pennasilico

Confidenzialità

posso clonare macchine accese e fare quello che voglio sui cloni?

5

Alessio L.R. Pennasilico

Management VLAN

Gli host/hypervisor si dicono diverse cose interessanti

Dove facciamo passare il traffico “di servizio”?

6

Alessio L.R. Pennasilico

accesso all’interfaccia amministrativa

test reachability per HA

vMotion

iSCSI, NFS

7

Alessio L.R. Pennasilico

Soluzioni?

Dividere

Filtrare

Analizzare

8

Alessio L.R. Pennasilico 9

Alessio L.R. Pennasilico 10

Alessio L.R. Pennasilico

disruption

Cosa succede se rendo “irraggiungibili” gli IP monitorati per la gestione dell’HA?

11

Alessio L.R. Pennasilico

Unauthorized access

Brute force?

Exploit (undocumented services)?

Exploit application layer? (SOAP)

12

Alessio L.R. Pennasilico

netstat

tcp        0          0  0.0.0.0:5989            0.0.0.0:*              LISTENtcp        0          0  0.0.0.0:902              0.0.0.0:*              LISTEN            tcp        0          0  0.0.0.0:903              0.0.0.0:*              LISTEN            tcp        0          0  0.0.0.0:427              0.0.0.0:*              LISTEN            tcp        0          0  0.0.0.0:80                0.0.0.0:*              LISTEN            tcp        0          0  0.0.0.0:22                0.0.0.0:*              LISTEN            tcp        0          0  0.0.0.0:443              0.0.0.0:*              LISTEN            

13

Alessio L.R. Pennasilico

Perchè

intercettare / rallentare il traffico iSCSI / NFS

storage in replica per HA/DR

14

Alessio L.R. Pennasilico

Migration

Manipolare le VM durante la migrazione?

http://www.eecs.umich.edu/techreports/cse/2007/CSE-TR-539-07.pdf

Jon Oberheide, Evan Cooke, Farnam Jahanian: Xensploit

15

Alessio L.R. Pennasilico

Migration

Posso spostare VM infette

di datacenter in datacenter...

16

Alessio L.R. Pennasilico

traffico “trusted” tra datacenter per garantire la migration delle VM

Traffico protetto?

Traffico Trusted / VPN come canale di accesso?

17

Alessio L.R. Pennasilico

Dormant VM

outdated policy

outdated signatures (AV, IPS)

manipolabili? >;-)

18

Alessio L.R. Pennasilico

Botnet e Cloud?

19

Alessio L.R. Pennasilico

Traffico interVM

firewall virtuali?

feature dell’hypervisor?

prodotti di terze parti?

20

Alessio L.R. Pennasilico

Prodotti agent based

multipiattaforma?

(comprende backup, AV, IPS...)

21

Alessio L.R. Pennasilico

Budget?

81% delle intrusioni avvengono su reti che non

sodisfano i requirement delle più diffuse

norme/best practice / guidelines

Gartner

22

Alessio L.R. Pennasilico

IT Security...

Un inutile impedimento

che rallenta le comuni operazioni

e danneggia il business?

23

Alessio L.R. Pennasilico

IT Security...

O prevenzione e risposta ad eventi che danneggerebbero il business in modo peggiore?

24

Alessio L.R. Pennasilico

Conclusioni

Usare la virtualizzazione?

Si, ma…

Dividere, Filtrare, Analizzare, Patchare

25

Alessio L.R. Pennasilico

mayhem@recursiva.orgEnd Summer Camp

Forte Bazzera4 Settembre 2010

Grazie!Domande?

T h e s e s l i d e s a r e written by Alessio L.R. P e n n a s i l i c o a k a mayhem. They are subjected to Creative Commons Attribution-S h a r e A l i k e - 2 . 5 version; you can copy, modify, or sell them. “Please” ci te your source and use the same licence :)