Análisis de cómo la virtualización hace que los sistemas sean más vulnerables a los ataques de piratas informáticos
Autor:Eve Cole
Fecha de actualización:2009-07-24 15:45:41
La tecnología de virtualización permite que múltiples sistemas operativos ejecuten software de aplicaciones en la misma computadora. Debido a que esto puede administrar y utilizar mejor los recursos de TI, ha atraído la atención de los administradores de TI.
Sin embargo, algunos administradores de TI e investigadores de seguridad advierten a las empresas que la adopción de la virtualización presenta problemas técnicos que harán que los sistemas corporativos sean más vulnerables a los piratas informáticos.
Los programas de cumplimiento y seguridad de TI para máquinas virtuales son mucho más complejos que los de servidores que ejecutan un único sistema operativo y software de aplicación, dijo Chad Lorenc, oficial de seguridad técnica de una empresa de servicios financieros.
"Actualmente es imposible encontrar una solución única para resolver el problema de seguridad de los entornos virtuales. En cambio, debemos considerarlo desde múltiples perspectivas como la de clientes, procesos y tecnología".
La tecnología de virtualización permite a las empresas consolidar el software de aplicaciones que se ejecuta en múltiples sistemas en un solo servidor, lo que simplifica los requisitos de administración y permite una mejor utilización de los recursos de hardware de TI. Sin embargo, aunque esta tecnología existe desde hace muchos años, las empresas de TI sólo recientemente se han interesado seriamente en ella. Al mismo tiempo, empresas como Intel, AMD, VMware, Microsoft e IBM también han desarrollado muchos productos.
George Gerchow, analista de tecnología de una empresa de seguridad, dijo que antes de que las arquitecturas de TI pasen a herramientas de virtualización, deben comprender que la consolidación de varios servidores en uno no cambia sus necesidades de seguridad.
De hecho, señaló, cada servidor virtual enfrenta las mismas amenazas que un servidor tradicional. "Si un host es vulnerable, entonces todas las máquinas virtuales invitadas y las aplicaciones empresariales en esas máquinas virtuales también están en riesgo", afirmó George.
Por lo tanto, un servidor que ejecuta una máquina virtual enfrenta más peligros que un servidor físico.
Señaló que el software de virtualización facilita a los desarrolladores, los grupos de control de calidad y otros usuarios empresariales la creación de máquinas virtuales y es menos propenso a sufrir vulnerabilidades técnicas. Si los administradores de TI no toman el control, estas máquinas virtuales pueden aparecer, moverse entre sistemas o desaparecer por completo.
"Los departamentos de TI a menudo no están preparados para lidiar con este complejo sistema porque no entienden en qué servidor viven las máquinas virtuales, o cuál está funcionando y cuál no". Las empresas a menudo no pueden parchar o actualizar los sistemas cuando es necesario.
La complejidad de los sistemas de parcheo
Incluso si el personal de TI entiende lo que sucede con las máquinas virtuales, todavía enfrenta el problema de instalar parches o desconectar los sistemas para realizar actualizaciones de seguridad de rutina. A medida que aumenta la cantidad de máquinas virtuales, los riesgos asociados con los parches del sistema y las actualizaciones del software de las aplicaciones también aumentarán uno por uno.
Lorenc recomienda que las empresas instalen herramientas que puedan inspeccionar y descubrir rápidamente máquinas virtuales al crear servidores virtuales. También sugirió que las empresas introduzcan políticas estrictas para controlar la expansión del número de máquinas virtuales. Al mismo tiempo, es muy importante que los administradores de TI tengan una comprensión clara del funcionamiento de cada software de aplicación en la empresa en el entorno virtual. Las empresas deben establecer procesos de parcheo separados para las máquinas virtuales y crear políticas estrictas de gestión de mejoras al tiempo que limitan el acceso a los entornos virtuales.
Todavía estamos en la etapa en la que debemos madurar nosotros mismos algunos de los procesos operativos en esta área a través de una mejor gestión y tecnología.
Lloyd Hession, director de seguridad de BT Radianzd, dijo que la virtualización también reveló un posible problema de control de la ruta de acceso a la red. Señaló que esta tecnología permite que diferentes servidores de aplicaciones con múltiples requisitos de acceso se ejecuten en un solo host con una única dirección IP. Por lo tanto, los administradores de TI deben utilizar métodos de control de ruta de acceso adecuados para garantizar que una licencia de red corresponda a un servidor virtual en un host.
Actualmente, la mayoría de las redes no están virtualizadas. Muchas tecnologías de control de admisión de red hacen que las decisiones de "entrar" y "no entrar" sean desconocidas, ya sea que un servidor sea una máquina virtual o no.
Los expertos en seguridad también han notado que las capacidades ampliadas en las herramientas de virtualización de los principales proveedores han brindado a los piratas informáticos y a los investigadores de seguridad un tesoro de código sin explotar para descubrir vulnerabilidades de seguridad y formas de atacar los sistemas.
Este mes, Microsoft lanzó un parche para solucionar una falla en su software de virtualización que podría dar a los usuarios acceso incontrolado a sistemas operativos y aplicaciones, una falla que calificó como importante pero no crítica.
Los expertos en seguridad dicen que a medida que la tecnología de virtualización se vuelva más popular, aparecerán más vulnerabilidades de este tipo en los paquetes de software.
Posibles defectos
Kris Lamb, director del grupo X-Force en el Departamento de Sistemas de Red de IBM, utiliza herramientas de control de máquinas virtuales (las funciones de virtualización de los sistemas de gestión) como una poderosa plataforma potencial para que los piratas informáticos ataquen las máquinas virtuales.
Como límite entre el hardware y las diferentes máquinas virtuales en el host, el administrador de máquinas virtuales utiliza una consola para administrar los recursos del host.
Según los expertos en seguridad, el software de control a menudo reside sólo en un determinado nivel de hardware y se utiliza para lanzar ataques indetectables a sistemas operativos y software de aplicaciones. De hecho, los investigadores de seguridad dicen haber demostrado cómo el software de control puede llevar a cabo ataques a máquinas virtuales. Por ejemplo, investigadores de Microsoft y la Universidad de Michigan descubrieron SubVirt a principios de este año, un "archivo raíz" que se puede utilizar para instalar un controlador de máquina virtual en un sistema operativo. Este comportamiento permitió a los investigadores lograr un control total de la máquina virtual. .
Joanne Rutkowska desarrolló un método de ataque similar llamado Blue Pill. El método de ataque de "archivo raíz" de Rutkowska se basa en la máquina virtual segura de AMD, cuyo nombre clave es Pacifica. Utiliza un método similar al método de ataque SubVirt para atacar sistemas virtuales, pero no ha sido descubierto por el personal de TI.
Para los piratas informáticos, este tipo de software constituye un objetivo.
