تحليل أنظمة المحاكاة الافتراضية يجعلها أكثر عرضة لهجمات القراصنة

الكاتب：Eve Cole وقت التحديث：2009-07-24 15:45:41

تتيح تقنية المحاكاة الافتراضية لأنظمة تشغيل متعددة تشغيل البرامج التطبيقية على نفس الكمبيوتر، نظرًا لأن هذا يمكنه إدارة موارد تكنولوجيا المعلومات واستخدامها بشكل أفضل، فقد جذبت انتباه مديري تكنولوجيا المعلومات.

ومع ذلك، فإن بعض مديري تكنولوجيا المعلومات والباحثين الأمنيين يحذرون الشركات من أن اعتماد المحاكاة الافتراضية يمثل مشاكل فنية من شأنها أن تجعل أنظمة الشركات أكثر عرضة للمتسللين.

قال تشاد لورينك، مسؤول الأمن الفني في إحدى شركات الخدمات المالية، إن برامج أمن تكنولوجيا المعلومات والامتثال للأجهزة الافتراضية أكثر تعقيدًا بكثير من الخوادم التي تعمل بنظام تشغيل واحد وبرامج تطبيقية واحدة.

"في الوقت الحالي، من المستحيل إيجاد حل واحد لحل مشكلة أمان البيئات الافتراضية. وبدلاً من ذلك، يجب أن ننظر إلى الأمر من وجهات نظر متعددة مثل العملاء والعمليات والتكنولوجيا."

تسمح تقنية المحاكاة الافتراضية للمؤسسات بدمج البرامج التطبيقية التي تعمل على أنظمة متعددة في خادم واحد، مما يبسط متطلبات الإدارة ويتيح الاستخدام الأفضل لموارد أجهزة تكنولوجيا المعلومات. ومع ذلك، على الرغم من أن هذه التكنولوجيا موجودة منذ سنوات عديدة، إلا أن شركات تكنولوجيا المعلومات لم تهتم جديًا بهذه التكنولوجيا إلا مؤخرًا. وفي الوقت نفسه، قامت شركات مثل Intel وAMD وVMware وMicrosoft وIBM أيضًا بتطوير العديد من المنتجات.

قال جورج جيرتشو، محلل التكنولوجيا في إحدى الشركات الأمنية، إنه قبل أن تنتقل بنيات تكنولوجيا المعلومات إلى أدوات المحاكاة الافتراضية، يجب عليهم أن يفهموا أن دمج خوادم متعددة في خادم واحد لا يغير احتياجاتهم الأمنية.

وأشار في الواقع إلى أن كل خادم افتراضي يواجه نفس التهديدات التي يواجهها الخادم التقليدي. وقال جورج: "إذا كان أحد المضيفين عرضة للخطر، فإن جميع أجهزة الضيف الافتراضية وتطبيقات المؤسسة الموجودة على تلك الأجهزة الافتراضية معرضة للخطر أيضًا".

لذلك، يواجه الخادم الذي يقوم بتشغيل جهاز افتراضي مخاطر أكثر من الخادم الفعلي.

وأشار إلى أن برامج المحاكاة الافتراضية تسهل على المطورين ومجموعات ضمان الجودة ومستخدمي المؤسسات الآخرين إنشاء أجهزة افتراضية وتكون أقل عرضة للثغرات التقنية. إذا لم يتولى مديرو تكنولوجيا المعلومات السيطرة، فقد تظهر مثل هذه الأجهزة الافتراضية، أو يتم نقلها بين الأنظمة، أو تختفي تمامًا.

"غالبًا ما تكون أقسام تكنولوجيا المعلومات غير مستعدة للتعامل مع هذا النظام المعقد لأنها لا تفهم أي خادم تعمل عليه الأجهزة الافتراضية، أو أي خادم يعمل وأي خادم لا يعمل." غالبًا ما لا تتمكن الشركات من تصحيح الأنظمة أو ترقيتها عند الضرورة.

تعقيد أنظمة التصحيح

حتى لو كان موظفو تكنولوجيا المعلومات يفهمون ما يحدث مع الأجهزة الافتراضية، فإنهم ما زالوا يواجهون مشكلة تثبيت التصحيحات أو فصل الأنظمة عن الإنترنت لإجراء ترقيات أمنية روتينية. مع زيادة عدد الأجهزة الافتراضية، ستزداد أيضًا المخاطر المرتبطة بتصحيحات النظام وتحديثات برامج التطبيقات واحدًا تلو الآخر.

توصي Lorenc المؤسسات بتثبيت الأدوات التي يمكنها فحص الأجهزة الافتراضية واكتشافها بسرعة عند إنشاء خوادم افتراضية. واقترح أيضًا أن تطبق الشركات سياسات صارمة للتحكم في التوسع في عدد الأجهزة الافتراضية. وفي الوقت نفسه، من المهم جدًا أن يكون لدى مديري تكنولوجيا المعلومات فهم واضح لتشغيل كل برنامج تطبيقي في المؤسسة في البيئة الافتراضية. يجب على المؤسسات إنشاء عمليات تصحيح منفصلة للأجهزة الافتراضية وإنشاء سياسات صارمة لإدارة التحسين مع تقييد الوصول إلى البيئات الافتراضية.

ولا نزال في المرحلة التي يتعين علينا فيها أن ننضج بعض العمليات التشغيلية في هذا المجال بأنفسنا من خلال تحسين الإدارة والتكنولوجيا.

وقال لويد هيسيون، كبير مسؤولي الأمن في شركة BT Radianzd، إن المحاكاة الافتراضية كشفت أيضًا عن مشكلة محتملة في التحكم في مسار الوصول إلى الشبكة. وأشار إلى أن هذه التقنية تسمح لخوادم التطبيقات المختلفة ذات متطلبات الوصول المتعددة بالعمل على مضيف واحد بعنوان IP واحد. ولذلك، يجب على مديري تكنولوجيا المعلومات استخدام أساليب التحكم في مسار الوصول المناسبة للتأكد من أن ترخيص الشبكة يتوافق مع خادم افتراضي على المضيف.

حاليًا، معظم الشبكات ليست افتراضية. العديد من تقنيات التحكم في الدخول إلى الشبكة تجعل قرارات "الدخول" و"عدم الدخول" غير معروفة، سواء كان الخادم جهازًا افتراضيًا أم لا.

لاحظ خبراء الأمن أيضًا أن القدرات الموسعة في أدوات المحاكاة الافتراضية من الموردين الرئيسيين قد منحت المتسللين والباحثين الأمنيين كنزًا من التعليمات البرمجية غير المستغلة التي يمكن من خلالها اكتشاف الثغرات الأمنية وطرق مهاجمة الأنظمة.

أصدرت Microsoft هذا الشهر تصحيحًا لمعالجة خلل في برنامج المحاكاة الافتراضية الخاص بها والذي يمكن أن يمنح المستخدمين وصولاً غير منضبط إلى أنظمة التشغيل والتطبيقات، وهو عيب صنفته على أنه مهم ولكنه ليس بالغ الأهمية.

يقول خبراء الأمن أنه مع تزايد شعبية تقنية المحاكاة الافتراضية، ستظهر المزيد من نقاط الضعف هذه في حزم البرامج.

العيوب المحتملة

يستخدم كريس لامب، مدير مجموعة X-Force في قسم أنظمة الشبكات في شركة IBM، أدوات التحكم في الآلة الافتراضية - وظائف المحاكاة الافتراضية لأنظمة الإدارة - كمنصة محتملة قوية للمتسللين لمهاجمة الأجهزة الافتراضية.

باعتباره الحد الفاصل بين الأجهزة والأجهزة الافتراضية المختلفة على المضيف، يستخدم مدير الجهاز الظاهري وحدة تحكم لإدارة موارد المضيف.

وفقًا لخبراء الأمن، غالبًا ما تكون برامج التحكم موجودة فقط على مستوى معين من الأجهزة وتستخدم لشن هجمات غير قابلة للاكتشاف على أنظمة التشغيل وبرامج التطبيقات. في الواقع، يقول الباحثون الأمنيون إنهم أظهروا كيف يمكن لبرامج التحكم تنفيذ هجمات على الأجهزة الافتراضية. على سبيل المثال، اكتشف باحثون من مايكروسوفت وجامعة ميشيغان SubVirt في وقت سابق من هذا العام - وهو "ملف جذر" يمكن استخدامه لتثبيت وحدة تحكم الجهاز الظاهري ضمن نظام التشغيل. وقد سمح هذا السلوك للباحثين بتحقيق التحكم الكامل في الجهاز الظاهري .

تم تطوير طريقة هجوم مماثلة تسمى Blue Pill بواسطة Joanne Rutkowska. تعتمد طريقة هجوم "الملف الجذر" الخاصة بـ Rutkowska على الجهاز الظاهري الآمن من AMD، والذي يحمل الاسم الرمزي Pacifica. ويستخدم أسلوبًا مشابهًا لأسلوب الهجوم SubVirt لمهاجمة الأنظمة الافتراضية، لكن لم يتم اكتشافه بواسطة موظفي تكنولوجيا المعلومات.

بالنسبة للمتسللين، توفر هذه البرامج هدفًا.