La tecnología de la virtualización es una forma tan eficiente de administrar los recursos tecnológicos de una empresa, que hay poca duda que en poco tiempo será la forma predominante de administrar servidores. Pero la virtualización es una tecnología nueva, y hay nuevos riesgos que tomar en cuenta.
Uno de esos riesgos son los troyanos virtuales. Un troyano normal, de los que existen miles, es un tipo de software que un hacker logra instalar en una máquina, generalmente engañando al usuario de alguna forma. Por ejemplo, le puede llegar al usuario un email de parte de “Soporte técnico de Microsoft”, pidiéndole instalar un ”parche”. El usuario se cree el engaño e instala el “parche”, que resulta ser un troyano. Entonces el troyano sale por el puerto 80 y se conecta al servidor de control del hacker, y listo, la máquina está bajo su poder. Afortunadamente los troyanos más usados pueden ser detectados por sistemas antivirus, y para los menos comunes, hay paquetes de software que nos ayudan a detectar comportamiento típico de un troyano, para así identificarlo.
Así que los troyanos normales son una amenaza conocida, y sabemos cómo lidiar con ellos. ¿Pero qué hay de los troyanos virtuales? Un troyano virtual viene instalado dentro de una máquina virtual. Cuando un usuario descarga una máquina virtual infectada en la Internet, ningún software antivirus detectará al troyano virtual por una razón muy sencilla: el troyano no se instala en la máquina física, sino que viene dentro de la máquina virtual, y lógicamente el antivirus de la máquina física no tiene acceso al sistema operativo de la máquina virtual. Entonces al ser instalada la máquina virtual en nuestra red, el troyano virtual se conecta al servidor de control, y el hacker tiene acceso a nuestra red local.
El gran riesgo es que allá afuera hay muchos lugares donde puedes descargar máquinas virtuales (busca en Google “virtual machine downloads”); en muchos de esos sitios, cualquiera puede cargar una máquina virtual para que otros la descarguen, por lo que simplemente no podemos saber qué tan seguras sean esas máquinas virtuales. ¿Sabes si los usuarios de tu red están descargando máquinas virtuales de Internet?
Para demostrar que el riesgo es real, programé un troyano virtual como prueba de concepto. Lo puedes descargar aquí, y el manual lo puedes ver aquí.
Las recomendaciones para evitar este riesgo son las siguientes:
• Establece como política que tus usuarios no pueden instalar máquinas virtuales ellos mismos, sino que necesitan pedirle a la gente de operaciones que lo haga.
• Cuando vayas a instalar la máquina virtual, asegúrate que venga de un proveedor confiable.
• Instala la máquina virtual en un ambiente de prueba, que no tenga acceso a tu red local.
• Checa qué procesos tiene corriendo, y qué programas tiene instalado. Esto podría detectar algo sospechoso, pero detectar manualmente un troyano bien escondido será difícil.
• Permítele salida a Internet (pero no al resto de tu red). Déjala corriendo 24 a 48 horas, y luego analiza el log del firewall, para ver si la máquina virtual se conectó a algún sitio sospechoso. Si lo hizo, es posible que tenga un troyano.
• Si no hubo nada sospechoso, libéralo a producción, pero revisa el log del firewall durante unos días.
Con nueva tecnología, llegan nuevos patógenos. Y hasta que aparezcan soluciones automatizadas, tu única defensa son políticas de seguridad, y revisar los logs.
Sergio Castro es gerente de Qualys Latinoamérica (www.qualys.com), y se especializa en análisis de vulnerabilidades, seguridad de aplicaciones web, y la norma PCI. (scastro@qualys.com)
SÍGUENOS
© 2009 Netmedia S.A. de C.V.
Políticas de privacidad
Sócrates 128 4to piso, Polanco
CP 11560, México D.F.
Tel: 2629 7260