Prenez le scénario suivant : Une faille de sécurité d'un de vos serveurs est exploitée par un attaquant. Via cette porte d'entrée, il y dépose quelques outils de son choix afin de "cloner" la machine pour ensuite transférer cette image sur un serveur externe sous son contrôle.Une fois le vol commis, il disparait aux confins de l'Internet : Il a tout le temps requis pour en analyser et en exploiter le contenu. Possédant une image du système, il pourra réactiver un système tel qu'il était initialement afin d'en analyser le fonctionnement et son contenu.
Ce scénario de "cambriolage" est tout à fait vraisemblable : Les outils sont disponibles en téléchargement depuis les sites Internet d'éditeurs de logiciels de virtualisation.
Les bénéfices des techniques de virtualisation de serveurs sont désormais bien connus : Sur une seule machine physique on instancie plusieurs machines virtuelles qui s'exécutent simultanément.
La complexité est parfois de faire le pas : Comment migrer une infrastructure "old-school" vers une nouvelle architecture virtualisée ? Différentes méthodes existent : Il y a la possibilité de tout ré-installer : On commence par le système d'exploitation puis les applications, on reconfigure tout ça correctement et ensuite on restaure les données.... C'est dur, long, douloureux et surtout couteux ! Pas bon.
Les éditeurs de solutions de plateformes de virtualisation ont bien compris que pour accélérer la migration vers leurs systèmes, il était essentiel de faciliter cette étape : Les outils permettant de "prendre une photo" d'un système physique afin d'en créer une image virtuelle sont donc naturellement nés.
D'un coté vous avez VMWare Converter pour l'environnement éponyme et de l'autre disk2vhd pour ceux basés sur Virtual-PC/Hyper-V. Ces deux outils permettent de créér une image virtuelle d'un système sans l'arrêter : En résultat on récupère un fichier prêt à démarrer. Pratique.
Un attaquant pourra faire de même, en fin de processus il transféra l'image ainsi générée sur un serveur FTP de rebond... Simple et efficace. Si cela se trouve; on pourrait même voir se développer un marché noir d'images virtuelles de serveurs compromis.... Un peu dans le même mode que pour les appliances virtuelles...(genre VMWare Virtual Appliances).
La complexité est parfois de faire le pas : Comment migrer une infrastructure "old-school" vers une nouvelle architecture virtualisée ? Différentes méthodes existent : Il y a la possibilité de tout ré-installer : On commence par le système d'exploitation puis les applications, on reconfigure tout ça correctement et ensuite on restaure les données.... C'est dur, long, douloureux et surtout couteux ! Pas bon.
Les éditeurs de solutions de plateformes de virtualisation ont bien compris que pour accélérer la migration vers leurs systèmes, il était essentiel de faciliter cette étape : Les outils permettant de "prendre une photo" d'un système physique afin d'en créer une image virtuelle sont donc naturellement nés.
D'un coté vous avez VMWare Converter pour l'environnement éponyme et de l'autre disk2vhd pour ceux basés sur Virtual-PC/Hyper-V. Ces deux outils permettent de créér une image virtuelle d'un système sans l'arrêter : En résultat on récupère un fichier prêt à démarrer. Pratique.
Un attaquant pourra faire de même, en fin de processus il transféra l'image ainsi générée sur un serveur FTP de rebond... Simple et efficace. Si cela se trouve; on pourrait même voir se développer un marché noir d'images virtuelles de serveurs compromis.... Un peu dans le même mode que pour les appliances virtuelles...(genre VMWare Virtual Appliances).
Bonjour,
Très intéressant votre article. Pourriez-vous préciser si cela est générique à toutes les plateformes ou si cette possibilité de faire des images dépend d'une configuration ou parametrage spécifique ? Quelles sont vos recommandations pour se protéger de ce type de vol de données ?
Bien Cordialement.
Fabrice Cornaglia
Merci pour votre retour.
A la base ces outils sont conçus pour migrer une machine physique vers un environnement virtuel. Le mode "image à chaud" sera limité à certains OS uniquement (Microsoft notamment) alors que le mode "à froid" (via démarrage de la machine su un CD de boot) est plus générique (cas de l'outil VMWare). Dès qu'un intrus a les droits administrateurs sur une machine il pourra lancer le mode "à chaud"... sans trop de limites à priori...
Important:Je ne pense pas (mais je n'ai pas testé) que ces outils puissent être utilisés au sein même d'une machine virtuelle (genre faire une "image" d'une VM)...Ca me semble un peu tordu : Les serveurs virtualisés pourraient donc résistants "de facto" à ce type d'attaque.
Pour se protéger : Sécuriser ces serveurs comme à l'habitude et surtout restreindre les communications sortantes du mieux possible (pour empécher ou rendre difficile la "sortie" des images créées) peut être une piste intéressante.
Pas de solution magique cependant... comme à l'habitude d'ailleurs !
Bonne continuation et bon week-end. :-)
JF
Merci pour l'info:Ces d'outils sont à ajouter dans la trousse de tous les bons pen-tester qui se respectent.
le risque est un peu théorique, car une fois générée l'image virtuelle d'un serveur c'est alors plusieurs dizaines de giga à récupérer par le cambrioleur ! plus facile à dire qu'a faire.