Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den CTO d. 3. maj 2007.
svaghed Virtualisering skaber en ny svaghed, som virksomheder skal beskytte sig imod. VMware er ikke enig.
Som enhver anden ny teknologi vil virtualisering blive mål for nye sikkerhedstrusler.
Det er Neil MacDonald, vicepresident hos Gartner, der advarer mod ubekymret og uigennemtænkt anvendelse af virtualisering.
I slutningen af april præsenterede han en række potentielle svagheder, som virtualisering indeholder.
Han advarer blandt andet mod, at virtualiseringsteknologien kan anvendes til at lave meget potente rootkits, som er svære at opdage og svære at fjerne.
Neil MacDonald kender ikke til nogle virtualiserede rootkits udviklet af ondsindede hackere, men han henviser til to proof-of-concepts fra sidste år, Subvirt og Blue Pill.
Subvirt blev udviklet af Microsoft og University of Michigan, mens Blue Pill blev udtænkt af Joanna Rutkovska.
Både Subvirt og Blue Pill lagde sig som et virtuelt lag mellem operativsystemet og hardwaren. Derved var begge meget svære at opdage og fjerne. Et virtuelt lag mellem operativsystemet og hardwaren kan i princippet opfange alle data og systemkommandoer til hardwaren, og ændre dem efter forgodtbefindende.
Derfor ser Neil MacDonald virtualiserede rootkits som en stor sikkerhedsrisiko. Blue Pill udnyttede blandt andet virtualiseringsteknologien Pacifica i AMD's chip, og Joanna Rutkovska hævder, at det samme kan gøres med Intels VT-teknologi. Neil MacDonald ser en risiko for, at eksisterende virtualiseringssoftware kompromitteres og modificeres til en Blue Pill-lignende funktionalitet.
"Folk skal være klar over, at hypervisoren (virtualiseringslag mellem operativsystem og hardware, red.) er et stykke software, som skal patches som al anden software. Blue Pill viste, at koden kunne indsætte sig selv under styresystemet. På den måde fungerer det som et rootkit, der er svært at opdage og fjerne. Virtualiseringssoftware som hypervisors repræsenterer et nyt lag af priviligeret software som vil blive angrebet, og derfor kræver det speciel beskyttelse," siger Neil MacDonald.
Han peger på forskellige måder at sikre sig mod kompromitterede hypervisorer.
"Der er forskellige måder at beskytte hypervisoren på. De er alle på forskningsstadiet, så der er endnu ikke kommercielle produkter. En måde er at sikre integriteten af hypervisoren, når maskinen booter. Eksempelvis ved at anvende MD5 hash-algoritmen. Er hypervisoren kompromitteret, vil MD5 kunne afsløre det. De virtuelle maskiner, der loades efter hypervisoren, kan på tilsvarende måde checkes for ændringer," forklarer Neil MacDonald.
Ingen grund til bekymring
Hos VMware slår senior systems engineer Robin Prudholm koldt vand i blodet.
"Hypervisoren er software, og Neil MacDonald har da ret i, at al software teoretisk set kan kompromitteres. Men i de otte år hvor VMKernel har kørt, er den aldrig blevet hacket," siger Robin Prudholm.
Han forklarer, at VMKernel til forskel fra eksempelvis et Windows-operativsystem, er meget vanskeligt for udefrakommende at få adgang til.
"VMKernel har ikke den store kontaktflade udadtil, så det er svært at få adgang til den," siger Robin Prudholm.
Det beroliger dog ikke Neil MacDonald:
"Det er den samme softwareindustri, som har lavet den samme sårbare kode for Windows, som skriver hypervisor. Der er intet, der tyder på, at industrien ikke skriver sårbar kode, og heller ikke at ondsindede folk ikke vil udnytte det".
Modificering af hypervisor er kun et af en række punkter, som Neil MacDonald nævner som svagheder i virtuelle miljøer. Et andet eksempel er virtuelle maskiner, der ikke kan patches offline.
Patching af offline images
Patching af offline images er ikke muligt i dag. Når en virtuel maskine tages offline for hot standby eller til at give løbende tilpasning af kapaciteten, bliver de ikke løbende opdateret.
Det betyder, at jo længere tid de er offline, i desto højere grad vil de ikke være up-to-date. I dag må driftsfolkene opdatere dem manuelt. Først skal den virtuelle maskine bringes online, derefter skal den opdateres med patches, og først derefter kan den sættes i produktion.
"Det er en besværlig proces. Det vil være bedre, hvis der eksisterede værktøjer, der kan patche offline virtuelle maskiner," mener Neil MacDonald.
Ideen om offline patching afvises i første omgang af Robin Prudholm fra VMware.
"Offline patching er ikke nødvendig. I princippet er en offline virtuel maskine det samme som et ghost-image. Der er jo heller ikke offline-patching af Ghost-images," argumenterer Robin Prudholm.
Ifølge Neil MacDonald arbejder både VMware og Microsoft på offline patching af virtuelle maskiner, og han forventer, at de bliver tilgængelige i løbet af 18 måneder.
Robin Prudholm har ingen kommentarer til, hvorvidt VMware arbejder på værktøjer til offline patching af virtuelle maskiner.
Appliances kan ikke patches
Et andet område hvor Neil MacDonald opfordrer til forsigtighed er anvendelsen af de såkaldte virtuelle appliances. Her kan man eksempelvis få en komplet mailserver som et virtuel maskinimage.
"Inden for virtual appliances er der ved at vokse et helt nyt økosystem frem. Misforstå mig ikke, virtual appliances er en god ide. Du downloader en stor bid kode, komplet med styresystem og en applikation. Derefter installerer du det nemt i en virtuel maskine, og så har du eksempelvis en e-mail-server. Det er meget smart, men der er også ulemper. Styresystemet inden i kan oftest ikke patches af dig selv. Der er ikke adgang til det underliggende styresystem. Det er derfor nødvendigt med et nyt image fra leverandøren. Man mister noget kontrol over sit miljø på den måde," mener Neil MacDonald.
Robin Prudholm er ikke helt enig med Neil MacDonald.
"Virtuelle appliances er generelt mere sikre. Det giver mulighed for at anvende specielle minimerede styresystemer, hvor der ikke er så mange angrebsmuligheder," siger han.
Neil MacDonald advarer også mod, hvad han kalder DMZ-kollaps.
"I dag har de fleste virksomheder separate bokse med firewalls imellem dem. Der er måske en webserver i en demilitariseret zone, en applikationsserver længere inde og endelig en databaseserver længst inde bag forsvarsværket. Man skal ikke anvende virtualisering på tværs af de zoner. En DMZ-kollaps, hvor alle de virtuelle maskiner samles på en fysisk maskine, er ikke godt. Der er risiko for, at en root-administrator får adgang til alt. Bag perimeter-sikkerhed og applikationer med samme sikkerhedsniveauer er virtualisering ok. Eksempelvis er det en god ide at konsolidere alle databaseservere på en fysisk server, alle webservere på en anden fysisk server og så videre," siger Neil MacDonald.
Robin Prudholm afviser, at DMZ-kollaps er et problem med virtualiseringsteknologien. Det er mere et spørgsmål om design af den virtuelle infrastruktur.
"Hvis kunder ikke planlægger og designer deres virtuelle system, så kan der selvfølgelig opstå uhensigtsmæssigheder. Jeg har ikke set eksempler på DMZ-kollaps, og jeg vil da også fraråde den måde at anvende virtualisering på," siger han.
Virtuelle maskiner mindre sikre
Samlet set betyder manglende værktøjer og svagheder, at mange virtuelle maskiner er mindre sikre end fysiske servere, mener Neil MacDonald.
"Et resultat er, at helt frem til 2009 vil 60 procent af virtuelle maskiner i brug være mindre sikre end deres fysiske modstykker," siger han.
Han vil dog ikke gå så langt som til at fraråde folk at anvende virtualisering.
"Vi siger ikke: Anvend ikke virtualisering. Vi siger: Anvend ikke virtualisering uden at erkende, at der er nye risici forbundet med det. Hvis du ignorerer det, så er du mere sårbar, end hvis du ikke anvender virtualisering," siger Neil MacDonald.
MD5 udregner en checksum for en fil. Hvis filen manipuleres eller på anden måde ændrer sig, vil tjeksummen ikke passe længere, hvilket kan indikere, at filen er blevet ændret.
I de seneste år har flere påpeget, at MD5-algoritmen ikke er hundrede procent sikker, da en fil kan ændres og stadig give den samme tjeksum.
OriginalModTime: 03-05-2007 14:24:37
