Impactos Da Virtualização Na Segurança Informação
67
FACULDADE UNISABER JOSAN NEVES DE CASTRO WESCLEY NEVES DE CASTRO IMPACTOS DA VIRTUALIZAÇÃO NA SEGURANÇA DA INFORMAÇÃO CEILÂNDIA - DF JUNHO/2009
-
Upload
josanneves -
Category
Documents
-
view
1.554 -
download
43
description
Trabalho de Conclusão de Curso da Faculdade Unisaber, apresentado como requisito parcial para a obtenção do título de Tecnólogo em Segurança da Informação.Trata dos impactos gerados pelas tecnologias de virtualização na área da Segurança da Informação, além de possíveis medidas e caminhos para realizar a implementação dessas tecnologias com maior segurança.
Transcript of Impactos Da Virtualização Na Segurança Informação
FACULDADE UNISABER
JOSAN NEVES DE CASTROWESCLEY NEVES DE CASTRO
IMPACTOS DA VIRTUALIZAÇÃO NA SEGURANÇA DA INFORMAÇÃO
CEILÂNDIA - DFJUNHO/2009
Josan Neves de CastroWescley Neves de Castro
IMPACTOS DA VIRTUALIZAÇÃO NA SEGURANÇA DA INFORMAÇÃO
Trabalho de Conclusão de Curso da Faculdade Unisaber, a ser apresentado como requisito parcial para a obtenção do título de tecnólogo em segurança da informação.
Orientadores: MSc Frederico Jorge C. Bomfim
MSc Ricardo Sant'Ana
Ceilândia - DFJunho/2009
Josan Neves de CastroWescley Neves de Castro
IMPACTOS DA VIRTUALIZAÇÃO NA SEGURANÇA DA INFORMAÇÃO
Trabalho de Conclusão de Curso da Faculdade Unisaber, a ser apresentado como requisito parcial para a obtenção do título de tecnólogo em segurança da informação.
Aprovado em:
COMISSÃO DE AVALIAÇÃO
__________________________________________________________Prof. MSc. Frederico Jorge C. Bomfim
Orientador
__________________________________________________________Prof. Esp. Fábio Alves de Araújo
Avaliador
___________________________________________________________Prof. Pós-Grad. Jones Milton de Sousa Carneiro
Avaliador
Dedicamos este trabalho a nossos amados pais e familiares.
AGRADECIMENTOS
Agradecemos primeiramente a Deus por nos guiar e iluminar diariamente, dando-nos
saúde e força para prosseguir em nossa jornada. Aos colegas que contribuíram com a sua
amizade e incentivo ao longo destes anos e também a todos os professores(as) que direta ou
indiretamente proporcionaram-nos a capacidade e conhecimento necessários para que
pudéssemos concluir este trabalho, especialmente aos nossos orientadores que pacientemente
nos acompanharam em todas as etapas de constituição do mesmo. Não podíamos deixar de
agradecer aos(às) nossos(as) amigos(as) e familiares pela compreensão para com nossa
ausência para a elaboração deste trabalho.
RESUMO
Nosso trabalho buscou verificar quais seriam os impactos da implantação de
tecnologias de virtualização nas empresas, relativos à área de segurança da informação. Para
a realização dele utilizamos de pesquisa documental devido a escassez de bibliografia,
específica na área de segurança da informação, que contivesse informações atualizadas sobre
sua influência na virtualização. Como resultado desta pesquisa, nosso trabalho mostra através
de dados estatísticos, problemas apresentados por especialistas e promessas de soluções para
estes problemas a curto prazo, um panorama não muito favorável à implementação de
virtualização nas empresas sem antes realizar uma análise de riscos seguida pela modelagem
de ameaças, para a adaptação dos recursos existentes para a área de segurança da informação.
Algumas medidas paliativas e sugestões de acompanhamento a futuras soluções e tecnologias,
que podem vir a influenciar diretamente na segurança dos ambientes virtualizados, também
são apresentadas.
Palavras-chave: Impactos. Segurança. Virtualização.
ABSTRACT
Our work aims to evaluate what would be the impacts of deploying virtualization
technologies in enterprises, on the area of information security. To do it we use documentation
research due to shortage bibliography, specifically in the area of information security, that
contained updated informations about they influence on virtualization. As a result of this
research, our work shows through statistics, problems presented by experts and promises
solutions to these problems in the short term, a scenario not very favorable to the
implementation of virtualization in enterprises without first conducting a risk analysis
followed by modeling threats, to adapt existing resources to the area of information security.
Some remedial measures and follow-up suggestions for future solutions and technologies that
are likely to directly influence the security of virtualized environments are also presented.
Keywords: Impacts. Security. Virtualization.
SUMÁRIO
1 Introdução......................................................................................................................... 092 Justificativa para o tema.................................................................................................. 103 Referenciais teóricos........................................................................................................ 12
3.1 O que é rootkit?.......................................................................................................... 123.1.1 Tipos de rootkits............................................................................................... 133.2 Máquinas virtuais................................................................................................ 153.3 Monitores de máquinas virtuais........................................................................ 15
3.3.1 Tipos de hypervisors................................................................................... 164 O que é virtualização?...................................................................................................... 17
4.1 Benefícios advindos da virtualização....................................................................... 184.2 Fatores adversos da virtualização............................................................................ 194.3 Tipos de virtualização quanto a forma de execução............................................... 204.4 Tipos de virtualização quanto a forma de utilização.............................................. 21
5 Impacto da virtualização na segurança da informação................................................ 245.1 Modelos de ameaça aos ambientes virtualizados.................................................... 245.2 Agravantes.................................................................................................................. 28
6 Segurança da informação nas empresas brasileiras..................................................... 317 O que verificar com relação à segurança....................................................................... 388 Exemplos de malware específicos para ambientes virtualizados................................. 409 Formas de proteção a ambientes virtualizados............................................................. 43
9.1 Hyperspace.................................................................................................................. 439.2 Open Virtualization Format....................................................................................... 469.3 Virtual appliances....................................................................................................... 479.4 VMsafe........................................................................................................................ 489.5 Padrão OpenFlow de comunicação.......................................................................... 499.6 Políticas de segurança............................................................................................... 519.7 Novas switches virtuais.............................................................................................. 51
10 Conclusão......................................................................................................................... 53
9
1 Introdução
A princípio havíamos definido como objetivo a pesquisa sobre as características de
rootkits que afetavam a ambientes virtualizados e quais problemas estes ataques poderiam
causar às empresas, visto o interesse crescente por esta tecnologia nos últimos anos,
principalmente após a crise financeira de 2008, que assolou as economias de todo o mundo e
ainda reverbera nas bolsas de valores, ainda não havendo certeza sobre quanto tempo levará
para que seus efeitos deixem de ser sentidos. Esta crise agravou as cobranças das empresas
sobre os setores de tecnologia da informação para a redução de custos, fazendo com que os
olhos de vários diretores fossem voltados para as tecnologias de virtualização, com suas
promessas de redução de consumo de energia, melhor aproveitamento do potencial de
processamento dos servidores, entre outras.
Após um contato relativamente suficiente com o assunto, verificamos que haviam
algumas deficiências com relação à segurança da informação nos ambientes virtualizados. O
que nos levou a mudar de foco ampliando a abrangência de nossa pesquisa, que ocorreu com
base no tipo documental, onde buscamos verificar até que ponto seria seguro para uma
empresa adotar a virtualização como forma de reduzir custos, e como esta adoção poderia
afetar os níveis de segurança da informação já existentes nestas empresas.
10
2 Justificativa para o tema
A justificativa está justamente nas diversas formas e razões pelas quais cada vez mais
empresas e pessoas decidem aplicar a tecnologia para resolver um determinado problema.
O avanço da tecnologia de virtualização nos últimos anos foi enorme, saltando de suas
origens nos antigos mainframes para o desktop comum de um usuário doméstico. Isso somado
à necessidade de economia, fator sempre visível nos ambientes corporativos mas que assumiu
proporções maiores após a crise econômica global ocorrida no segundo semestre de 2008,
impulsiona o interesse das empresas que buscam a consolidação de seu parque de servidores e
sensível economia de energia, aderindo à chamada TI Verde.
Dados estatísticos oferecidos pela Symantec, empresa atuante no setor de tecnologia da
informação em escala mundial oferecendo soluções em anti-vírus, gerenciamento e proteção
de dados, entre outras, indicam que o controle de custos é a iniciativa prioritária no meio
corporativo, enquanto que a virtualização de servidores é o caminho principal para essa
redução de custos para uma de cada três empresas pesquisadas.
Figura 1: Gráfico sobre a utilização da virtualização em data center's no ano de 2008.1
1 SYMANTEC. SYMANTEC STATE OF THE DATA CENTER REPORT 2008: State of the Data Center, Regional Data – Global, Second Annual Report – 2008. Disponível em:<http://www.symantec.com/content/en/us/about/media/>. Acesso em: 26 mai. 2009.
11
Pelo gráfico da pesquisa mostrado pela Figura 1 verificamos que, das 1.600
companhias participantes no ano de 2008, 27% planejavam a aplicação da virtualização em
suas centrais de dados no ano de 2008 enquanto que outros 28% passaram da fase de
implantação em 2007 restando somente 21% em 2008, ou seja, mais da metade das
companhias pesquisadas planejavam ou já implementavam as tecnologias de virtualização em
suas empresas.
Vale ressaltar que a pesquisa foi feita junto a companhias consideradas de grande
porte, todas com mais de 5.000 funcionários, em 21 países ao redor do mundo, realizada entre
a penúltima semana de setembro e a primeira semana de outubro, o que nos oferece uma
noção razoavelmente atualizada do interesse em tecnologias de virtualização por parte das
grandes empresas onde 49 destas eram localizadas no Brasil.
12
3 Referenciais teóricos
Antes de abordarmos o tema central desta pesquisa, falaremos um pouco sobre outros
tópicos importantes para a compreensão do que buscamos demonstrar.
3.1 O que é rootkit?
Segundo o Sans Institute, um instituto estabelecido nos Estados Unidos em 1989 como
uma organização de pesquisa cooperativa e educação na área de tecnologia, rootkit é uma
coleção de programas, também referidas como ferramentas, utilizadas por um hacker para
mascarar uma intrusão e obter acesso no nível de administrador em um computador ou rede
de computadores, enquanto que a Cartilha de Segurança para Internet do CERT.BR, que é o
Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil, define
rootkit como:
Conjunto de programas que tem como finalidade esconder e assegurar
a presença de um invasor em um computador comprometido. É
importante ressaltar que o nome rootkit não indica que as ferramentas
que o compõem são usadas para obter acesso privilegiado ( root ou
Administrator ) em um computador, mas sim para manter o acesso
privilegiado em um computador previamente comprometido.
( CERT.BR, 2006, p.83, grifo do autor ).
Vemos então que, ao contrário do que o nome possa levar a crer, um rootkit não é
utilizado para se obter acesso no nível administrativo em um determinado computador.
Assim, sintetizando estas duas definições podemos dizer que é uma ferramenta, ou coleção de
ferramentas, usadas por um intruso para esconder a si mesmo, mascarando o fato de que um
sistema computacional teve sua segurança comprometida, além de permitir manter ou reaver
acesso no nível de administrador deste sistema.
A instalação de um rootkit é geralmente um dos primeiros recursos a serem utilizados
após uma invasão, pois facilita e ofusca a presença do atacante no sistema quando do
apagamento de evidências, dificultando a percepção do sucesso da ação do invasor por parte
dos administradores legítimos destes sistemas.
Entre as funções que um rootkit pode disponibilizar, especialistas destacam as
13
seguintes:
– As atividades do atacante com relação a arquivos, processos, conexões de rede,
entre outras, ficam difíceis de serem percebidas depois que um rootkit é instalado;
– Acesso não autorizado ao sistema através de portas de comunicação abertas pelo
rootkit;
– Ferramentas de monitoramento como sniffers de rede ou keyloggers;
– Editores de logs de sistema, para remover as evidências do ataque bem sucedido;
– Ferramentas de hacking para permitir novos ataques a partir da máquina
comprometida, ou para estabelecer comunicações com a mesma através de um
canal de comunicação seguro para o invasor;
– A checagem da integridade do sistema comprometido torna-se muito difícil devido
ao comprometimento de funcionalidades básicas, como por exemplo a substituição
de comandos próprios do sistema operacional por outros manipulados pelo
agressor com o objetivo de mostrar somente resultados que não contrariem os
interesses do atacante.
Algumas ou várias destas funcionalidades são dispostas em um pacote preparado pelo
atacante com as ferramentas que melhor atendam a seus objetivos, e que lhe permitam
permanecer escondido e com o domínio do sistema invadido pelo maior tempo possível. Para
tanto o invasor já deverá ter obtido ou escalado privilégios de administrador deste sistema.
A instalação dos rootkits pode ser feita manualmente, em caso de acesso direto à
máquina alvo, ou com a ajuda de vírus ou worms enviados às vítimas por e-mail, recebidos
pela navegação em sites com código malicioso presente, ou alguma outra forma de contágio.
Após a instalação de um rootkit, um atacante pode monitorar as atividades dos
usuários do sistema comprometido, modificar, adicionar ou substituir programas, coletar
informações diversas, remover evidências destas modificações ou executar outras funções
sem que, a princípio, seja detectado. Claro que estas possíveis ações irão depender dos tipos
de softwares escolhidos pelo invasor para comporem o rootkit a ser instalado no sistema alvo.
3.1.1 Tipos de rootkits
Embora não exista uma classificação formal para as diversas variantes, especialistas
diferenciam os vários tipos de rootkits de acordo com suas funções e formas de manipulação
14
do sistema depois de instalado. Veremos a seguir alguns destes tipos e as suas características.
– User-mode Rootkit: É o tipo de rootkit que basicamente altera ou substitui
programas específicos do sistema, especialmente aqueles que tenham ligação
direta com a extração de informações do mesmo, como os que verificam os
processos ativos, a atividade na rede, o conteúdo do sistema de arquivos, entre
outros.
– Kernel-mode Rootkit: Ao contrário do tipo user-mode, o kernel-mode rootkit é
aquele que atua no nível do kernel ( núcleo ) do sistema operacional. Por não
precisar modificar vários programas no sistema alvo, este tipo de rootkit é mais
difícil de ser detectado que o citado anteriormente, pois só precisa modificar o
kernel do sistema atacado para a manutenção do controle obtido.
– System Management Mode Rootkit: Aproveitam-se de uma área reservada da
memória dos processadores para ficarem invisíveis ao sistema operacional
vitimado, enquanto executam atividades de monitoração, coleta e envio de
informações ao atacante.
– Virtual Machine Monitor Rootkit: Este tipo de rootkit atua na área de
virtualização dos processadores ou programas que recentemente incorporaram esta
nova tecnologia, tomando para si o controle do gerenciamento das máquinas
virtuais ativas tarefa antes realizada pelo virtual machine monitor, também
conhecido como hypervisor ou na livre tradução do termo por Monitor de
Máquinas Virtuais. Assim, este malware mantêm o sistema vitimado em um
ambiente separado do seu, mas sobre o qual ele tem total domínio. O que permite a
este tipo de rootkit manipular e monitorar todas as requisições e tarefas realizadas
pelo sistema infectado, ou pelas máquinas virtuais nele em execução, sem que
cause impacto significativo no desempenho da máquina comprometida. Daí advém
a sua capacidade de permanecer invisível para o sistema infectado.
Além disso, podem ser também classificados como persistentes e não-persistentes. Um
rootkit persistente é aquele que é ativado a cada inicialização do sistema computacional. Para
conseguir isso seu código deve estar armazenado em alguma parte do computador, e também
dispor de alguma forma de iniciar-se automaticamente. Por outro lado, um rootkit não-
persistente não é capaz de iniciar-se novamente após a reinicialização do sistema por ele
anteriormente infectado.
15
3.2 Máquinas virtuais
Segundo a nossa livre tradução da informação contida na seção de terminologias da
International Business Machines, empresa mundialmente conhecida como IBM, uma máquina
virtual é uma instância de um sistema de processamento de dados que parece estar à
disposição de um único usuário, mas cujas funções são realizadas através do
compartilhamento de recursos com um sistema de processamento de dados físico.
Também a define como uma especificação abstrata para um dispositivo computacional
que pode ser implementado de diferentes maneiras em software e hardware.
3.3 Monitores de máquinas virtuais
Os Monitores de Máquinas Virtuais ( ou VMM, de Virtual Machine Monitor ), também
conhecidos por hypervisor, são componentes de software responsáveis por hospedar as
máquinas virtuais utilizadas pelo hospedeiro responsável pela virtualização e controle do
compartilhamento de recursos do hardware ( como dispositivos de entrada e saída, memória,
armazenamento, processamento, entre outros ) utilizados pelas máquinas convidadas, além de
também gerenciar a execução e as requisições de recursos emitidas por cada uma dessas
máquinas virtuais.
Um VMM é executado em modo supervisor ( administrador ), ao contrário das
máquinas virtuais que são executadas em modo usuário. Dessa forma, no momento em que
uma máquina virtual executa uma instrução com privilégios avançados, é função do VMM
tratar essas requisições através de interrupções e devolvendo uma resposta virtualizada a esta
instrução.
Para melhor entendimento observe a figura a seguir. Ela nos mostra um exemplo do
esquema de hierarquia das permissões de execução das aplicações em ambientes
virtualizados. Os vários anéis representam as diferentes camadas e seus níveis de privilégios
de acesso onde quanto mais próxima do centro da hierarquia for o anel, mais privilégios de
execução a aplicação possuirá.
16
Figura 2: Anel de permissões de execução em ambientes virtualizados.2
3.3.1 Tipos de hypervisors
São classificados pelos especialistas em dois tipos. Os hypervisors do tipo 1, também
chamados de “Bare Metal”, em alusão ao seu acesso direto ao hardware, são softwares que
atuam no nível do anel 0, localizado no centro da figura 2, onde atuam diretamente sobre o
hardware e abaixo do sistema operacional hospedeiro. Dispõe de completo domínio sobre o
hardware físico, assim como de todas as requisições feitas em nível menos privilegiado pelas
máquinas virtuais em execução.
Já os hypervisors do tipo 2 são softwares executados “em cima” de um sistema
operacional padrão ou modificado. Necessita de um maior poder de processamento, pois será
mais um aplicativo a concorrer com as máquinas virtuais pelos recursos computacionais do
sistema onde foi instalado.
2 Imagem retirada de: HOFF, Christofer. The Four Horsemen Of The Virtualization Apocalypse. 2008. Disponível em:<http://www.blackhat.com/presentations/bh-usa-08/>. Acesso em: 25 mai. 2009.
17
4 O que é virtualização?
O primeiro êxito obtido com a tecnologia de virtualização foi a concepção do CP-67,
um software destinado a mainframes da linha IBM 360/67 que disponibilizava a seus usuários
um sistema virtualizado proprietário da IBM. Os resultados apresentados por essa inovação
foram excelentes. Com o sucesso do CP-67, a IBM resolveu dar continuidade em seu projeto e
lançou o VM/370, um Virtual Machine Monitor ( Monitor de máquina Virtual) para embarcar
em seus sistemas 370 com arquiteturas estendidas que já visavam a virtualização em si.
Os sistemas operacionais virtualizados e seus respectivos aplicativos, chamados de
convidados, são executados dentro de máquinas virtuais criadas para que cada um deles
“imagine” ser um sistema computacional físico, real e único, quando na verdade estão sendo
executados em um ou mais ambientes virtuais sob o controle de um sistema operacional
principal, chamado de hospedeiro. Esta tecnologia é definida como virtualização.
A ilustração a seguir fornecerá uma idéia geral da estrutura de um sistema
computacional não-virtualizado e de um com recursos de virtualização. Vemos nela que é
adicionada uma nova camada de aplicação junto ao hardware físico do equipamento onde,
através do sistema operacional hospedeiro e o Monitor de Máquinas Virtuais, consegue-se
instalar vários outros sistemas operacionais e/ou aplicações que trabalharão em ambientes
separados.
Figura 3: Modelo de funcionamento da tecnologia de virtualização.3
3 Imagem retirada, modificada e traduzida por nós de: HOFF, Christofer. The Four Horsemen Of The Virtualization Apocalypse. 2008. Disponível em:<http://www.blackhat.com/presentations/bh-usa- 08/ >. Acesso em: 25 mai. 2009.
18
Devemos destacar em um ambiente virtualizado os papéis do hospedeiro e do
convidado:
– É dado o papel de hospedeiro ao sistema operacional que possui acesso direto ao
hardware físico onde a virtualização está sendo utilizada, ou seja, o sistema
operacional primário da máquina física. Vale ressaltar que podemos utilizar
somente um sistema hospedeiro por vez, ao contrário dos sistemas convidados.
– É dado o papel de convidado ao sistema operacional executado sobre o sistema
operacional hospedeiro, através de uma máquina virtual. Neste nível podemos
manter sistemas operacionais idênticos, versões distintas de um mesmo sistema
operacional ou mesmo sistemas operacionais totalmente distintos entre si.
4.1 Benefícios advindos da virtualização
Alguns dos principais benefícios notados em uma infra-estrutura virtualizada é o
melhor aproveitamento do parque de máquinas instaladas e a consolidação de servidores.
Desta forma podemos direcionar recursos de serviços e aplicações conforme a demanda do
negócio.
Adotando a virtualização obtemos um ecossistema de Tecnologia da Informação
otimizado, uma vez que podemos selecionar o melhor ambiente para cada tipo de aplicação,
criando aglomerados de aplicações similares na exigência de recursos e forma de execução.
Problemas com balanceamento de carga nos servidores podem ser melhor tratados
neste tipo de arquitetura, uma vez que os sistemas virtuais podem ser remanejados visando o
aumento de desempenho de determinado servidor físico.
A administração de serviços se torna mais dinâmica e facilitada, uma vez que podemos
criar servidores conforme a demanda, aumentando substancialmente a garantia de alta
disponibilidade de serviços sem adição de novos equipamentos. Desta forma podemos
gerenciar servidores como se fossem arquivos em disco, facilitando operações de backup e
restauração, além da implementação de medidas preventivas contra incidentes ou recuperação
de desastres.
Manutenção de hardware mais eficiente, uma vez que podemos ter vários serviços
rodando em um mesmo equipamento, e a possibilidade de realocá-los para outros terminais
conforme a necessidade de manutenção de algum servidor físico em uso.
19
Adesão ao trato com o meio ambiente pois para cada serviço, habitualmente, deveria
se manter um hardware específico para determinada aplicação, onde cada um consumiria
cerca de cinqüenta reais mensais em gastos com energia elétrica. Quanto mais servidores,
maior a necessidade de resfriamento deste ambiente, teríamos somados a isso mais gastos
com condicionadores de ar compatíveis a essa temperatura gerada e uma maior necessidade
de manutenção de todo esse ambiente.
Assim podemos notar que, quanto mais infra-estrutura de máquinas possuirmos, mais
gastos com energia e reparação teremos, mas o impacto principal dessa cultura não somos
capazes de perceber de imediato: o fator ambiental. Mesmo com os avanços na direção de se
gerar uma energia elétrica limpa, ela ainda representa uma ameça ambiental, seja pela emissão
de carbono gerada pela queima de combustíveis para a obtenção de energia, ou pela
devastação para a construção de usinas hidroelétricas por exemplo ou, principalmente, pelo
rápido ciclo de evolução da tecnologia.
Enfim, após a implementação de virtualização na área de TI poderíamos concentrar em
um único hardware, os serviços de firewall, gateway, servidor de e-mail e distribuição da
rede, que antes iriam necessitar de quatro máquinas independentes. Isso representaria uma
redução significativa tanto em matéria de custos com hardware, quanto de gastos em energia
consumida e indiretamente, gerada.
4.2 Fatores adversos da virtualização
A migração para ambientes virtualizados pode exigir um alto custo inicial em alguns
casos, devido a exigência de equipamentos robustos para que sustentem de forma confiável a
alta carga de serviços que esta nova infra-estrutura irá receber inicialmente, ou em um futuro
próximo.
O retorno do investimento não é percebido de forma rápida, e muito menos
significativo para a empresa, nos casos em que o investimento inicial no processo de
implantação da virtualização for demasiadamente elevado.
Outros problemas encontrados são as limitações das ferramentas encontradas no
mercado atual, referentes a administração destes ambientes. Conforme o número de máquinas
virtuais aumenta, as ferramentas não conseguem disponibilizar uma quantidade de dados
referentes a essas redes para que as equipes de TI possam ter uma real idéia do que se passa
20
em seus ambientes virtualizados.
Vulnerabilidades de segurança do hospedeiro podem ser de certa forma absorvidas
indiretamente pelas máquinas convidadas, ou vice-versa, uma vez que o monitor de máquinas
virtuais nada mais é que uma camada de software e assim, sujeito às vulnerabilidades de seu
sistema operacional.
Os preços praticados para a implantação dessa tecnologia, o licenciamento de
fabricantes e os gastos com suporte ainda destoam da realidade de boa parte das empresas.
Por se tratar de uma tendência nova, não se sabe ainda ao certo quantas máquinas
virtuais podemos executar em um processador sem que haja prejuízos na qualidade dos
serviços prestados.
A capacitação adequada de administradores e gerentes de TI também se torna um fator
negativo na hora de se decidir na implantação de uma infra-estrutura virtualizada, uma vez
que a necessidade de profissionais capacitados para gerenciar esta nova abordagem de
gerenciamento se torna crucial para o sucesso e continuidade da migração. Onde demandará
práticas específicas, políticas de segurança personalizadas e uma constante atualização, uma
vez que, por se tratar de um ambiente relativamente novo e diferenciado do habitual,
poderemos nos deparar com novas e diferentes ameaças, além de problemas de continuidade
de negócios ao longo dos tempos.
4.3 Tipos de virtualização quanto a forma de execução
Na tecnologia de virtualização, existem três tipos principais que se destacam por suas
características particulares quanto a forma de execução:
– Emulação por hardware: Possui um grau de complexidade de implantação
diferenciado dos demais tipos de arquitetura, por emular os ciclos de clock da
CPU, assim como seus conjuntos de instrução e memória cache.
A Emulação por hardware é bastante difundida entre desenvolvedores de
firmware, além de hardwares que não possuem um compilador. Um ponto
negativo que podemos citar para a emulação por hardware seria o critério
desempenho: por virtualizar funcionalidades de uma máquina real em execução,
temos uma perda significativa de desempenho quando comparada a uma
arquitetura não emulada.
21
– Virtualização Completa: Tradução do termo full virtualization, se caracteriza por
possuir um gerenciador de máquinas virtuais que irá fazer a ligação entre o
hardware físico e as máquinas virtuais usadas, criando assim um ambiente
completamente idêntico ao ambiente físico e facilitando a interação de qualquer
sistema operacional que esteja virtualizado com o hardware não emulado.
– Para-Virtualização: Consiste em criar uma arquitetura virtual, diferente da
arquitetura real utilizada pelo sistema, e disponibilizá-la para o uso do sistema
operacional virtualizado. Este tipo de virtualização cria um aumento de
performance das máquinas virtuais que usufruem deste sistema, exigindo apenas
pequenas modificações nos sistemas virtualizados, criando chamadas de sistema
que fazem-no comunicar-se com o hardware virtualizado, criado pelo Virtual
Machine Monitor, de forma que este seja o responsável pelas requisições vindas da
máquina virtual, ao invés de requisitar diretamente ao hardware real.
– Nested Virtualization: Não encontramos uma tradução oficial para o termo
embora em uma tradução livre queira dizer virtualização aninhada, consiste na
execução de uma máquina virtual dentro de outra. Ou seja, a execução de um
sistema computacional virtualizado dentro de outro também virtualizado.
4.4 Tipos de virtualização quanto a forma de utilização
Além da forma de execução, profissionais da área também classificam os diferentes
tipos de virtualização de acordo com o modo de utilização da tecnologia. Veremos a seguir
algumas das mais freqüentes formas de aplicação da tecnologia.
– Virtualização de servidores de aplicação: É usada desde os primeiros
balanceadores de carga, isso esclarece porque tal termo é usado até os dias de hoje
como sinônimo de balanceamento avançado de carga.
Podemos compreender melhor este conceito de virtualização como sendo um
balanceador de carga proxy, mas em modo reverso: Seria um serviço fornecendo
acesso transparente a vários outros serviços de aplicação diferentes.
Ou seja, um proxy reverso hospedaria uma interface virtual que estaria acessível
em modo front-end ao usuário, mas em back-end, o proxy possuiria a função de
equilibrar a carga entre vários servidores e várias aplicações diferentes de forma
22
similar a um servidor web.
Sua interface virtual, também chamada de IP virtual, ficaria exposta ao mundo real
como se fosse realmente um servidor web gerenciando as conexões que chegam e
saem, atendendo sua demanda, permitindo ao balanceamento de carga gerenciar
múltiplos servidores web e outras aplicações como se fossem realmente uma única
instância, disponibilizando uma proteção mais alta que a exigida caso os usuários
acessassem de forma direta e individual os servidores web.
Essa é uma forma de representação de virtualização onde um servidor é
disponibilizado ao mundo real, ocultando a existência de outros servidores através
de uma aplicação de proxy de forma reversa.
– Virtualização de aplicações: É importante diferenciarmos os conceitos de
virtualização de servidores de aplicações da virtualização de aplicações. O que
hoje definimos como virtualização de aplicação nada mais é que os thin clients de
anteriormente. Ou seja, um computador com poucos ou nenhum aplicativo
instalado assume a função de cliente em uma rede baseada no modelo cliente-
servidor, tornando-se dependente de um servidor principal para o processamento
de suas atividades.
A virtualização de uma aplicação é uma forma de se poder instalar e utilizar
determinada aplicação ao mesmo tempo que se protege o sistema operacional e
também outras aplicações de modificações que poderiam vir a afetar de forma
negativa a estabilidade de todo o sistema. Enfim, tornando determinada aplicação
independente dos componentes de seu sistema operacional.
– Virtualização de apresentação: Na virtualização de apresentação a
responsabilidade do processamento, que deveria ser realizado no terminal diante
do usuário, é transportado para um servidor otimizado para garantir esta
capacidade e disponibilidade. Somente são tratados pelo terminal do usuário o
ambiente para a interação, tais como dispositivos de entrada e saída ( mouse,
teclados, impressoras, monitor ).
– Virtualização de redes: Podemos citar como um exemplo de virtualização de rede
através do IP são as tradicionais VLANs, onde uma única porta ethernet possui a
função de suportar múltiplas conexões virtuais de múltiplos endereços de IP e
redes onde são segmentadas virtualmente. As conexões virtuais de IP que passam
23
pela placa ethernet são completamente independentes e desconhecem a existência
umas das outras, mas a switch possui a capacidade de reconhecer cada uma de suas
conexões e gerenciá-las de forma independente.
– Virtualização de armazenamento: A virtualização de armazenamento
disponibiliza uma forma para que vários usuários e também aplicações acessem
arquivos armazenados em diversos dispositivos sem se preocuparem em onde ou
como são gerenciados, permitindo que o armazenamento físico seja compartilhado
por vários aplicativos, dispostos de forma não centralizada, como se esses espaços
físicos de armazenagem atrás da interface de virtualização representasse um único
dispositivo sem limites físicos.
– Virtualização de sistemas operacionais: Talvez esta seja a forma de virtualização
mais comum encontrada atualmente, responsável por tornar o mecanismo de
virtualização tão difundido entre os profissionais de tecnologia. Os sistemas
operacionais virtualizados são simplesmente implementações completas de mais
de um tipo de sistema operacional rodando simultaneamente em um mesmo
dispositivo físico, e gerenciados pelos Monitores de Máquinas Virtuais. Várias
empresas como a VMware, Xen, Red Hat entre outras, além de empresas
tradicionais em outras áreas de aplicativos e equipamentos como a Microsoft, Intel
e AMD trabalham hoje para tornar possível a independência dos sistemas
operacionais com relação a hardwares.
24
5 Impacto da virtualização na segurança da informação
Afinal, o que representa a virtualização especificamente para a área de segurança da
informação? Vários especialistas neste campo, em todo o mundo, concordam que a
virtualização, embora seja visualizada como uma solução para a redução de custos, ao mesmo
tempo em que se aproveita melhor a infra-estrutura de tecnologia da informação existente nas
empresas, também trás consigo vários problemas novos para o gerenciamento da segurança
nestes ambientes.
Algumas das razões apresentadas são de que a virtualização pode nos trazer:
– Maior complexidade: Como poderemos verificar no decorrer desta pesquisa,
ambientes que implementam esta tecnologia adquirem maior complexidade para o
gerenciamento da segurança da informação justamente pela facilidade de sua
multiplicação, o que agrega maior dificuldade de gerenciamento na mesma
proporção;
– Novas brechas de segurança: Novas plataformas geralmente agregam novas
formas de se burlar as medidas de segurança implementadas. Não é suficiente
aprender como determinada tecnologia funciona e quais benefícios ela trará para
colocar em prática a sua implementação. Há de se estudar a forma como esta nova
tecnologia influirá sobre o funcionamento da infra-estrutura de TI como um todo.
Sabendo disso não podemos apenas verificar em quanto poderemos reduzir os custos
de uma corporação, quanta energia deixará de ser despendida ou quão melhor será o
aproveitamento do parque instalado de servidores, mas também como a incorporação das
tecnologias de virtualização impactarão a segurança dos dados circulantes nesta empresa,
como as medidas de segurança implantadas atualmente lidarão com esse novo ambiente e
como será controlada a proliferação de serviços virtuais em execução nestes servidores.
5.1 Modelos de ameaça aos ambientes virtualizados
Um ambiente virtualizado pode ser alvo de qualquer tipo de ataque que um não-
virtualizado possa vir a sofrer, afinal trata-se basicamente de um servidor ou desktop como
qualquer outro que está em execução, com a única diferença de que esta execução ocorre em
uma máquina virtual.
25
Tendo isso em mente, e adicionando-se a complexidade de administração gerada pela
estruturação de um ambiente virtualizado, Christofer Hoff (2008), Chief Security Architect da
Unisys nos Estados Unidos, empresa mundial de Tecnologia da Informação, atuante na área
de serviços, software e tecnologia, apresentou cinco possíveis cenários de ataque a este tipo de
ambiente. As ilustrações extraídas da apresentação de Christofer Hoff (2008) foram aqui
adicionadas com a devida autorização do autor, conforme documento constante no ANEXO 1:
Figura 4: Modelo de ameaça onde um sistema convidado ataca outro.4
– Convidado a convidado: Neste cenário, mostrado pela Figura 4, encontraremos
uma máquina virtual comprometida atacando uma ou mais máquinas virtuais
convidadas, podemos citar como exemplo worms tentando espalhar-se na rede
utilizando os recursos de uma máquina virtual infectada;
4 Figuras 4 – 8 retiradas de: HOFF, Christofer. The Four Horsemen Of The Virtualization Apocalypse. 2008. Disponível em:<http://www.blackhat.com/presentations/bh-usa-08/>. Acesso em: 25 mai. 2009.
26
Figura 5: Ameaça onde um sistema convidado ataca o hospedeiro.
– Convidado a hospedeiro: No cenário mostrado pela Figura 5, teremos uma
máquina virtual atacando o sistema que gerencia o ambiente virtualizado. Podemos
citar usuários legítimos do ambiente virtualizado tentando obter acesso ao sistema
hospedeiro;
Figura 6: Ameaça onde um sistema convidado é atacado por si mesmo.
– Convidado a si mesmo: A Figura 6 caracteriza basicamente um ataque originado
na própria máquina virtual visando ela própria, como por exemplo uma tentativa
de escalar privilégios realizada por um usuário comum do sistema virtualizado
27
objetivando aumentar suas permissões de acesso neste ambiente;
Figura 7: Ameaça onde o ataque é externo e tem como alvo o sistema hospedeiro.
– Externo a hospedeiro: No exemplo mostrado pela Figura 7, teremos um ataque
sendo realizado de fora da rede interna e tendo como alvo o sistema hospedeiro.
Neste cenário, podemos citar como exemplo crackers tentando obter acesso não-
autorizado à rede interna com as mais diversas finalidades maliciosas;
Figura 8: Ameaça onde o ataque é de fonte externa e tem como alvo um dos
sistemas virtualizados.
– Externo a convidado: No cenário demonstrado pela Figura 8 encontraremos um
ataque sendo realizado de fora da rede interna com o objetivo de controlar o
28
sistema operacional em execução em uma das máquinas virtuais.
Vemos então que, a partir da modelagem destes cenários de ameaças, um ambiente
com tecnologia de virtualização tem um nível de complexidade de administração maior, com
relação à segurança da informação, que um ambiente não-virtualizado.
Tem-se toda uma nova camada de operações atuando na antiga estrutura de TI, novos
pontos de ataque que podem afetar o ambiente, o que demanda também novas medidas para a
integração, monitoração, manutenção, correção, recuperação, entre outras, que considerem
este novo panorama, atendendo aos ambientes virtualizado ou não-virtualizado com a mesma
eficiência e níveis de proteção antes previstos pela política da empresa.
5.2 Agravantes
Como se já não fosse bastante o nível de complexidade maior para o gerenciamento de
um ambiente virtualizado, alguns fatores agravam e diferenciam a problemática da segurança
da informação nestes ambientes. Dave Shakleford (2009), Chief Security Officer da
Configuresoft detectou algumas lacunas ainda não resolvidas e que tornam a proteção destes
ambientes uma missão nada fácil.
Uma dessas lacunas refere-se ao efeito chamado de VM Sprawl, que impacta
justamente no gerenciamento do parque virtual. Uma tradução livre para o termo seria
Expansão de Máquinas Virtuais e esta expansão caracteriza-se pela proliferação de máquinas
virtuais pelo ambiente sem o devido controle.
O VM Sprawl ocorre como resultado de processos de controle de mudanças
deficientes, falta de manutenção dos inventários ou controle deficiente de funções e
privilégios. Todos esses fatores podem originar a expansão desordenada de máquinas virtuais
dentro do ambiente e complicar a retomada de seu controle por parte dos administradores de
segurança. Segundo experiência destes mesmos especialistas, a maior parte dos testes de
penetração em redes resultam em brechas de segurança causadas por sistemas que tiveram sua
manutenção ignorada, ou seja sem a aplicação de correções de segurança ou atualizações,
justamente por não existirem nos inventários produzidos.
Outra ruptura na segurança destes ambientes ocorre devido ao mau gerenciamento de
configurações e mudanças. Com relação a este problema há uma gama considerável de
variáveis que podem influenciar negativamente os níveis aceitáveis de segurança. Entre elas
29
podemos citar:
– Falta de atualizações e/ou correções de segurança em sistemas operacionais,
aplicativos, bases de dados, hardware, plataformas de virtualização e ferramentas
de gerenciamento;
– Falta de controle da implantação, modificação ou deleção de máquinas virtuais;
– Mudanças não documentadas no ciclo de vida dos objetos;
– Movimentação desordenada de máquinas virtuais entre diferentes hospedeiros;
– Adição, modificação ou deleção de switches virtuais;
– Modificação de VLANs;
– Entre outras.
Algumas destas configurações e gerenciamentos também são influenciadas por outro
fator que pode vir a contribuir com complicações para o controle destas modificações, que é a
escolha do hypervisor ideal há ser implantado no parque computacional da empresa. A partir
da escolha do tipo ideal, há ainda a opção de escolha entre vários fornecedores diferentes que
concorrem oferecendo seus produtos aos interessados no mercado de virtualização. Empresas
como IBM, Microsoft, Red Hat, VMware, Citrix, Quest Software, Parallels, Sun
Microsystems, Oracle, Symantec, entre outras, dispõem de soluções para virtualização com o
objetivo de atender à demanda por estes produtos.
Só por ter de escolher entre as várias opções disponíveis já torna a tarefa difícil mas
por vezes, e cada vez com mais freqüência, encontramos ambientes em que é necessário não
apenas uma, mas várias soluções de vários fornecedores diferentes, agregando diversas
estratégias diferentes para manter as variadas soluções implantadas sempre atualizadas e
alinhadas com as politicas de segurança adotadas.
A definição de quem e como controla os ambientes virtualizados também pode causar
transtornos quanto a segurança. Como é feita a divisão de papéis e como estes são
desempenhados dentro da infra-estrutura computacional é uma tarefa que deve ser realizada
com cautela e controle, tanto com relação a usuários quanto a máquinas virtuais. Segundo os
especialistas da área, uma fraca definição destes papéis e permissões é comumente
encontrada.
Outros problemas são relacionados ao tráfego de dados através de redes virtuais. Um
sistema de detecção de intrusão ou um firewall físico é capaz de monitorar o tráfego em redes
virtuais? Não sem que várias adaptações sejam aplicadas.
30
O controle de acesso por endereçamento MAC pode ser aplicado? Não a partir do
momento em que estes são fornecidos aleatoriamente por um fornecedor como por exemplo a
VMware, se este for o fornecedor escolhido para a implantação, a cada requisição de um novo
dispositivo de rede. Não há, por enquanto, como compilar listas de endereços MAC confiáveis
para a realização de controle de acesso por endereçamento.
Podemos ver o quão delicada é a questão da segurança em ambientes de TI
virtualizados, mas não enxergamos ainda todo o panorama. Vejamos mais algumas
informações interessantes.
31
6 Segurança da informação nas empresas brasileiras
Como dissemos anteriormente, um ambiente virtualizado está sujeito a qualquer
ameaça imposta aos ambientes não virtualizados e, como vimos até agora, há algumas
dificuldades de controle que agravam estas ameaças, podendo dar-lhes maior dimensão.
Para entender melhor como estas ameaças podem vir a afetar os ambientes de TI
atualmente, vamos recorrer a alguns dados publicados na pesquisa realizada com empresas
brasileiras no ano de 2008 pelo CETIC.BR – Centro de Estudos sobre as Tecnologias da
Informação e da Comunicação. Esta pesquisa envolveu 3.168 empresas com acesso à
Internet, nas diversas regiões do país, com diferentes portes e áreas de atuação.
Os diversos aspectos da utilização das tecnologias da informação são verificadas
anualmente através das várias edições desta pesquisa, que busca verificar o avanço destas
tecnologias no ambiente empresarial, retratando em números as diversas formas como as
empresas tratam as tecnologias de informação e comunicação.
Destes números, coletamos aqueles que referenciam especificamente a questão da
segurança da informação, focando apenas as suas totalizações no contexto geral do país, para
verificar em que nível de valorização e importância esta se encontra na visão dos empresários
brasileiros. As questões respondidas foram as mais variadas e traçaram um perfil que
demonstra consciência com relação à importância da segurança dos dados que trafegam ou
são armazenados nestas empresas, porém evidenciam a falta de experiência e de estratégias
para a proteção efetiva e contínua destes dados.
Figura 9: Totalizações referentes às medidas de apoio à segurança adotadas pelas
empresas.5
5 Figuras 9 – 16 criadas a partir das tabelas constantes na pesquisa: CETIC.BR. TIC Empresas 2008: Indicadores. 2008. Disponível em:<http://www.cetic.br/empresas/2008/>. Acesso em: 27 mai. 2009.
33%
22%
58%
2%
Pesquisa TIC Empresas 2008
Medidas de apoio à segurança adotadas
Política de segurança ou uso aceitável dos recursos de TICPrograma de treinamen-to para funcionários em segurança da informa-ção
Não adotou nenhuma medida de apoio à se-gurança da informaçãoNão sabe ou não respondeu
32
Através dos resultados mostrados na Figura 9 vemos que 58% das empresas não
adotou nenhuma medida de apoio à segurança da informação, não tem uma estratégia formada
sobre o assunto ou sequer uma política de segurança da informação, um dado alarmante visto
que todas tem acesso à grande rede.
Uma observação quanto aos dados apresentados é de que as respostas da pesquisa
eram de múltipla escolha, ou seja uma empresa poderia dispor de políticas de segurança mas
não oferecer treinamentos em segurança da informação aos seus funcionários, daí vem a razão
pela qual a totalização extrapola os 100%.
Figura 10: Totalizações referentes às tecnologias de segurança adotadas pelas empresas.
No gráfico da Figura 10 fica evidente que não há uma completa desinformação sobre a
segurança da informação visto que, embora não exista em todas elas uma estratégia para a
proteção da rede interna e seus dados, a maioria das empresas dispõe de ferramentas para a
proteção de seus ambientes.
Veremos mais adiante, com a apresentação de outros gráficos relativos à pesquisa, que
isso não é suficiente para que possam classificar o problema da segurança da informação
como resolvido.
98%
74% 68%
64%
36%1%
Pesquisa TIC Empresas 2008
Tecnologias de segurança adotadas
Anti-vírus
Anti-spam
Anti-spyware
Firewall
Sistemas de detec-ção de intrusão (IDS)Não possui ne-nhuma das tecno-logias citadasNão sabe ou não respondeu
33
Figura 11: Totalizações referentes às tecnologias adotadas para a proteção dos dados.
Na Figura 11 vemos que boa parte das empresas se preocupam com a preservação dos
dados contidos em suas organizações, porém poucas delas se preocupam com a manutenção
de backup's fora do ambiente organizacional. Tão pouco levam em consideração o uso da
criptografia para a proteção destes dados dentro ou fora da empresa, ficando os mesmos
armazenados sem qualquer tipo de proteção.
Novamente constatamos que possuem noção sobre o que fazer, mas não a técnica ou
conhecimento sobre como fazer para que seu ambiente computacional possua capacidade de
recuperação em caso de desastres ou de se proteger contra o vazamento de informações.
Figura 12: Totalizações referentes às tecnologias adotadas para a comunicação segura
entre aplicações cliente-servidor.
84%
28%
25%
19%12%1%
Pesquisa TIC Empresas 2008
Tecnologias adotadas para a proteção dos dados
Backup Interno de dados sobre as operações da empresa
Backup de dados of f -site (mantidos f ora da empresa)Uso de criptograf ia de da-dos armazenados em ser-v idores ou desktops
Uso de criptograf ia para a proteção de dados em mídias externas, notebo-oks, PDAs, ou outros dis-positiv os móv eisNão possui nenhuma das tecnologias citadasNão sabe ou não respondeu
23%
21%58%
9%
Pesquisa TIC Empresas 2008
Tecnologias adotadas para a comunicação segura entre aplicações cliente-servidor
SSL/TLS (HTTPS)VPN (Rede Privada)Não possui ne-nhuma das tecno-logias citadasNão sabe ou não respondeu
34
Pelos resultados demonstrados na Figura 12 vemos que uma quantidade insuficiente de
empresas se preocupa com as informações que circulam entre os seus servidores e as
aplicações clientes. Mais da metade delas não implementa qualquer tipo de proteção para
estas comunicações, deixando-as abertas a todo tipo de coleta e monitoramento.
Representantes comerciais destas empresas trabalham com vendas durante todo o dia,
enviando pedidos e recebendo retorno destes com informações sobre estoques, valores de
venda, entre outras. Filiais solicitam transferências de mercadorias às matrizes, ou informam
as suas sobras de estoque, seus faturamentos, ou outras informações sigilosas de forma
totalmente desprotegida.
Figura 13: Totalizações referentes às tecnologias de autenticação adotadas pelas
empresas.
Para agravar o quadro da segurança nas empresas, verificamos pelos resultados
apresentados na Figura 13 que algumas delas sequer implementam métodos de autenticação
para o acesso a suas redes. A grande maioria utiliza senhas como forma de autenticação,
algumas até utilizando recursos como One Time Passwords, que são as senhas de uso único,
mas este tipo de controle não é muito comum e manter os acessos baseando-se somente na
confiança de uma senha que pode não ter sido criada de maneira adequada é um risco
potencial.
74%
34%
20%
13%
20%1%
Pesquisa TIC Empresas 2008Tecnologias de autenticação adotadas
SenhasCertificados digitais
Tokens ou smartcards
OTPNão possui ne-nhuma das tecno-logias citadasNão sabe
35
Figura 14: Totalizações referentes às atualizações de programas realizadas por motivo
de segurança.
Pelo gráfico da Figura 14 podemos perceber que várias empresas atualizaram seus
diversos tipos de aplicativos, sistemas operacionais e serviços de rede por terem passado por
problemas de segurança. Infelizmente o que deveria ser uma prática constante e programada
só é executada devido a ocorrência de incidentes na área de segurança da informação.
Figura 15: Totalizações referentes à freqüência de atualização do anti-vírus.
Com a visualização do gráfico mostrado na Figura 15 verificamos que embora a
grande maioria das empresas executem a atualização do anti-vírus da forma correta, ou seja
escolhendo sempre a atualização automática, há empresas que atualizam suas bases de
47%
42% 37%
42%2%
Pesquisa TIC Empresas 2008Atualizações realizadas por motivo de segurança
Sistemas operacionais (Windows, Linux, Solaris, etc.)Aplicativ os (Nav egadores, leitores de e-mail, etc.)Serv iços de rede (DNS, Web, SMTP)
Não possui nenhuma das tecnologias citadas
Não sabe ou não respondeu
79%
10%4%3%1%2%
Pesquisa TIC Empresas 2008
Freqüência de atualização do anti-vírus
Atualização au-tomáticaDiariamenteSemanalmenteMensalmenteTrimestralmenteNão sabe ou não respondeu
36
assinaturas somente a cada três meses, sendo que algumas nem sabem dizem o intervalo em
que são atualizados. Essa prática equivale a não dispor de um anti-vírus instalado.
Figura 16: Totalizações referentes aos problemas de segurança identificados.
Com o último gráfico compilado a partir da pesquisa, demonstrado pela Figura 16,
verificamos em maior detalhe as formas de ataque que foram identificadas pelas empresas.
Chamamos atenção para as maiores faixas do gráfico que mostram ataques de vírus com 55%,
cavalos de tróia com 48% e worms ou bots com 19% da incidência dos ataques.
Vemos que mesmo a grande maioria das empresas pesquisadas mantenham suas
soluções em anti-vírus sempre com atualização automática, como visto no gráfico da Figura
16, 55% delas ainda tiveram problemas relacionados a estes tipos de malware. Devemos
lembrar novamente que, assim como as outras questões da pesquisa, estas respostas foram de
múltipla escolha, obtendo assim um número acima dos 100%. Com isso verifica-se que houve
a ocorrência de vários destes problemas em um mesmo ambiente.
Outro fato interessante demonstrado pelo gráfico da Figura 16 é que 33% das
empresas declararam não ter identificado problemas de segurança, o que não significa
propriamente que não ocorreram. Malwares do tipo rootkit podem ser instalados nos sistemas
de várias maneiras e encobrirem um comprometimento da segurança da informação, assim
55%
48% 19%10%
9%6%
6%5%
5%33%
1%
Pesquisa TIC Empresas 2008
Problemas de segurança identificados
Vírus
Cav alos de tróia (trojans)
Worms ou bots
Ataque externo não auto-rizadoAtaque interno não autori-zadoFraude f acilitada pelas tec-nologias de inf ormação e comunicação ( Phishing, f ur-to de identidade, etc.)
Ataque de negação de serv iço ( DoS )Ataque ao serv idor Web/ Desf iguraçãoFurto de notebooks, PDAs, ou outros dispositiv os mó-v eisDeclarou não ter identif icado problemas de segurançaNão sabe ou não respondeu
37
estas empresas podem estar sob monitoramento sem ao menos desconfiarem disto, o que
pelos dados demonstrados pela pesquisa TIC 2008 não é muito difícil de acontecer. Vamos
falar sobre rootkits que ameaçam especificamente ambientes virtualizados mais adiante.
A partir de todas as informações demonstradas por esta pesquisa, somadas à
complexidade causada pela implementação de virtualização nos ambientes corporativos,
pode-se ter agora uma visão melhor dos problemas que uma inserção desta tecnologia sem o
devido cuidado.
38
7 O que verificar com relação à segurança
Para a implantação de virtualização em um ambiente corporativo deve-se
primeiramente visualizar este ambiente e os possíveis problemas que este poderá causar. Dave
Shakleford (2009), demonstrou uma exemplificação deste ambiente e quais os tipos de
questionamento que devem ser feitos com relação à eficácia dos procedimentos adotados para
a segurança da informação. A figura a seguir mostra essa exemplificação.
Figura 17: Pontos de interesse para a segurança da informação em um ambiente
virtualizado.6
As questões abordadas por Dave Shakleford (2009) em sua apresentação são de
extrema relevância para o correto planejamento e implementação da política de segurança em
um ambiente virtualizado, cobrindo ao máximo os principais pontos de interesse. São elas:
– O sistema operacional hospedeiro está protegido?
– O hypervisor está seguro?
– Podemos enxergar o tráfego de dados que flui através das switches virtuais?
– Podemos segmentar este tráfego apropriadamente?
6 SHACKLEFORD, Dave; IGNASIAK, Todd. Virtualization Security 101. 2009. Disponível em:<https://www.sans.org/webcasts/>. Acesso em: 13 mai. 2009.
39
– Quão segura está a base de dados?
– Os canais de controle e gerenciamento estão seguros?
– Como gerenciar e fortificar a segurança dos sistemas operacionais convidados?
Através da verificação das medidas de segurança necessárias, após a meditação sobre
estas questões, é preciso criar ou adaptar uma política de segurança que previna ocorrência de
incidentes e regule o gerenciamento da estrutura virtualizada.
40
8 Exemplos de malware específicos para ambientes virtualizados
Entre os diversos problemas que podem afetar um ambiente virtualizado, implantado e
gerenciado sem o devido cuidado, podemos citar os rootkits virtuais. O conceito teve origem
ainda no ano de 2005 onde Samuel T. King et al, pesquisadores da Microsoft e da
Universidade de Michigan, apresentou a possibilidade da criação de um rootkit que afetasse
especificamente a ambientes virtualizados, fazendo com que a seqüência de boot fosse
modificada para que o sistema operacional original fosse carregado no Virtual PC, software de
virtualização da Microsoft.
No ano de 2006 dois grandes especialistas em segurança da informação apresentaram
suas versões de rootkits virtuais. Dino A. Dai Zovi (2006), pesquisador independente na área
de segurança da informação, apresentou seu rootkit virtual de nome Vitriol durante a Black
Hat USA nos Estados Unidos. Este rootkit teve como alvo o sistema operacional MacOS X
utilizando processadores com arquitetura Intel VT-X.
Joanna Rutkowska (2006), pesquisadora polonesa, apresentou o seu conceito de
rootkit durante a SyScan Conference em Singapura e a Black Hat USA nos Estados Unidos,
eventos mundiais sobre segurança da informação, sendo até hoje considerado invisível às
implementações de segurança da informação, tais como anti-vírus, detectores de rootkit, entre
outros. Joanna nomeou seu rootkit conceito como Blue Pill em alusão à pílula azul oferecida
pelo personagem Morpheus ao “escolhido” Neo no filme The Matrix, lançado em 1999.
Figura 18: Opções de escolha para o personagem Neo, em cena do filme The Matrix.7
7 Imagem retirada do filme: THE Matrix. Produção de Joel Silver. [S.l.]: Warner Bros., 1999. 1 DVD.
41
Durante o filme, o personagem Neo tinha de escolher entre tomar a pílula azul ou outra
vermelha, onde esta última lhe libertaria do controle da Matrix e mostraria a verdade com
relação ao que ela seria, enquanto que a azul manteria as coisas como estavam e ele não
perceberia que continuaria sob o controle dela.
Este rootkit foi nomeado de Blue Pill justamente pela similaridade de efeito entre ele e
a pílula azul que é oferecida no filme. Após ser instalado em um sistema computacional, o que
pode ser feito com este em execução e sem a necessidade de reinicialização mesmo que o
sistema operacional hospedeiro seja da família Windows, o Blue Pill tem a capacidade de
tomar para si o controle do ambiente, já que atua entre o hypervisor e o hardware, passando a
interceptar e controlar todas as requisições feitas pelo hospedeiro ou suas máquinas virtuais
convidadas, somente executando tarefas ou mostrando resultados que não contrariem aos
interesses do responsável por sua instalação, ao mesmo tempo que se mantém invisível aos
olhos e às medidas de segurança implantadas neste ambiente.
A figura a seguir mostra um esquema produzido pela autora do Blue Pill e que torna
mais fácil a compreensão de sua zona de operação depois de instalado. Como pode ser visto
no documento constante no ANEXO 2, recebemos autorização da autora para a inserção de
slides de sua apresentação em nosso trabalho.
Figura 19: O Blue Pill pode ser ativado até mesmo em uma máquina virtual e ainda
assim se sobrepor ao hypervisor, tomando o controle do sistema computacional.8
8 Figura da apresentação: RUTKOWSKA, Joanna. Security Challenges in Virtualized Environments. 2008. Disponível em:<http://www.invisiblethings.org/papers.html>. Acesso em: 04 jun.2009.
42
Pelo exemplo mostrado na Figura 19, vemos que o Blue Pill pode infectar um sistema
computacional mesmo quando carregado através de uma máquina virtual. Este esquema
baseia-se na versão 0.32 do Blue Pill, cujo código foi completamente reescrito e encontra-se
disponível na Internet, já que a primeira versão foi desenvolvida durante uma pesquisa feita
especificamente para a COSEINC Research, não tendo seu código divulgado.
Felizmente como ainda é apenas um conceito este rootkit não foi projetado para
ataques em massa, ou persistência na máquina infectada, tendo sido modificado pela autora ao
longo destes anos para demonstrações em diferentes arquiteturas de computador, como AMD e
Intel. Porém não podemos desprezar o potencial ofensivo demonstrado por este conceito, já
que adaptações podem ser feitas ao código disponibilizado para ampliar seu potencial
destrutivo.
Há ainda muita discussão entre especialistas da área sobre a possibilidade de detecção
deste tipo de rootkit, não tendo sido comprovada a capacidade de que os métodos disponíveis
possam acusar a sua presença. Porém as demonstrações realizadas comprovam a possibilidade
de infecção, controle e capacidade de afetar não só a múltiplas arquiteturas de hardware como
também a múltiplos sistemas operacionais, seja ele um Windows, Unix ou GNU/Linux.
Todos os rootkits aqui citados aproveitam-se de falhas de segurança dos sistemas
operacionais hospedeiros ou dos softwares de gerenciamento de máquinas virtuais para
controlarem o sistema computacional infectado.
43
9 Formas de proteção a ambientes virtualizados
Embora existam softwares para virtualização disponíveis gratuitamente na Internet,
não foi possível a implementação de um ambiente para testes, visto que os requisitos de
hardware constantes nas versões desenvolvidas para servidores corporativos destes softwares,
não eram compatíveis com os equipamentos possuídos por nós.
Portanto as medidas de diminuição da possibilidade de ocorrência de incidentes foram
também baseadas na pesquisa de soluções aos problemas sugeridos por alguns dos
especialistas citados no decorrer deste trabalho, além da busca por soluções já existentes
específicas na área de segurança e voltadas para a proteção de ambientes virtualizados.
9.1 HyperSpace
Uma das formas de proteção a este tipo de ambiente seria a utilização de um
hypervisor especializado, cujas funcionalidades não pudessem ser afetadas por ataques à sua
camada de operação. Várias empresas tem buscado formas de proteger suas implementações e
uma delas anunciou recentemente que obteve sucesso neste sentido.
A Phoenix Technologies, empresa o que produz softwares para núcleos de sistemas
computacionais como processadores, BIOS, entre outros, desenvolveu o HyperSpace como
uma resposta aos anseios por plataformas mais seguras para a realização de suas tarefas. A
definição, segundo a seção de perguntas freqüentes no site da própria empresa, é:
HyperSpace é um ambiente computacional seguro e instantâneo, que
executa independentemente ao lado de um sistema operacional
primário como o Windows Vista. A plataforma HyperSpace é ativada
por um hypervisor eficiente da Phoenix chamado HyperCore(TM), o
qual é embutido no interior do firmware do núcleo do sistema, ou
BIOS. HyperCore é um leve Zoned Virtual Machine Monitor
(ZVMM) que executa um núcleo de serviços especializados lado a
lado com o Windows. ( PHOENIX TECHNOLOGIES, 2009,
Knowledge Base & FAQ, tradução nossa ).
Este novo tipo de hypervisor ainda não é tão popularizado, porém trata-se de um
44
projeto que vem sendo desenvolvido em conjunto pela Phoenix Technologies e o Invisible
Things Lab, esta segunda empresa tem seu foco em sistemas de segurança em virtualização e
sistemas operacionais, tendo sido fundada em 2007 por Joanna Rutkowska, atual Chief
Executive Officer da empresa.
Devido à apresentação de seu rootkit em 2006, Joanna tem recebido vários convites
para palestrar sobre segurança em ambientes computacionais virtualizados a várias renomadas
empresas, além de ter aceito proposta para trabalhar junto a Phoenix Technologies na
produção de um hypervisor que não fosse afetado pelas falhas de segurança reveladas por seu
malware.
Os resultados desta parceria já começam a ser demonstrados com o lançamento do
HyperSpace Desktop em duas versões: Hybrid e Dual. Ainda segundo informações do site da
Phoenix, a versão Hybrid apresenta, após a inicialização do computador no qual foi instalado,
a disponibilização quase instantânea de um ambiente computacional seguro e sempre
conectado à Internet, executando lado a lado uma versão compatível do Windows e utilizando
tecnologia de gerenciamento inteligente de energia, proporcionando uma maior durabilidade
às baterias de computadores portáteis. Por estas características será um grande atrativo para
empresas que buscam esse tipo de recursos para proteger seus ativos computacionais móveis.
A versão Hybrid utiliza tecnologia de virtualização disponível nas arquiteturas Intel
VT-x para permitir a troca instantânea entre ambientes Windows e HyperSpace sem qualquer
interrupção, bastando para tal apenas pressionar a tecla de função f4 no teclado do
computador.
A versão Dual oferece os mesmos recursos de segurança, economia de energia e
velocidade de acesso aos aplicativos disponibilizados na versão Hybrid, porém podendo ser
instalada em computadores Intel sem recursos de virtualização em sua arquitetura. Neste caso
a troca entre os sistemas operacionais deve ser feita através da reinicialização do equipamento
e escolha do desejado no gerenciador de boot.
O ambiente HyperSpace Desktop prevê o fornecimento dos principais recursos que um
usuário doméstico utilizará na maior parte do tempo, porém algumas das funcionalidades
anunciadas ainda não estão disponíveis para utilização, segundo o site da empresa
responsável.
A segurança deste ambiente advém da impossibilidade de instalação de aplicativos,
quer seja pelo usuário ou por terceiros, evitando-se assim a contaminação do mesmo. Desta
45
forma não há, tecnicamente, a possibilidade de que algum tipo de malware venha a se instalar
no HyperCore ou HyperSpace e vir a causar transtornos aos usuários.
Porém ainda é cedo para esta afirmação, visto que nem sempre um malware precisa
ser instalado na estrutura do ambiente para causar danos, bastando apenas imaginar que seja
encontrada alguma falha de desenvolvimento que permita a permanência e execução de algum
tipo de malware na memória volátil, junto aos programas sendo executados, para que o
conceito de segurança seja posto abaixo.
Infelizmente devido a uma quantidade ainda restrita e bastante específica de
arquiteturas de hardware constante nos requisitos de sistema para a instalação e execução do
HyperSpace, como pode ser visto na Figura 20, não foi possível testar seu funcionamento a
tempo de realizar uma análise mais profunda quanto a velocidade e aplicativos
disponibilizados pelas versões do software, visto que não possuíamos um equipamento
compatível com os requerimentos de sistema exigidos. Porém esta pode ser uma solução
viável para a utilização de notebooks ou handhelds confiáveis por empresas e funcionários,
atingindo inclusive o mercado de usuários domésticos.
Figura 20: Requerimentos de sistema para a utilização do HypeSpace.9
Vantagens: Promove a segurança dos usuários através da disponibilização de um
sistema operacional pré-configurado com as opções de software mais comuns para a
utilização em ambiente doméstico; promessa de segurança plausível visto a impossibilidade
de se instalar aleatoriamente novos aplicativos no ambiente; maior velocidade de
9 Imagem capturada a partir do site da PHOENIX TECHNOLOGIES. Disponível em:<http://www.hyperspace.com>. Acesso em: 25 mai. 2009.
46
carregamento e menor consumo de energia nos equipamentos portáteis; pode ser de grande
valia também para as corporações através da disponibilização da solução para funcionários
que trabalham remotamente.
Desvantagens: Impossibilidade de instalação de novos aplicativos sem o aval do
fabricante da solução; tem foco maior no usuário doméstico; ambiente com hardware
compatível muito restrito; não há informações disponíveis sobre a produção ou adaptação de
programas sob encomenda; licença de uso com pagamento anual ou opcionalmente a cada três
anos.
9.2 Open Virtualization Format
Esta iniciativa tem o objetivo de padronizar o modo como se empacota e distribui
máquinas virtuais. Várias empresas de tecnologia em virtualização criaram este formato
aberto e independente de plataforma na tentativa de que outras empresas venham a participar
do projeto e o tornem um padrão para a interoperabilidade de aplicações entre as diversas
soluções de virtualização disponíveis no mercado.
A VMware é uma das empresas participantes do projeto e já disponibiliza em uma loja
virtual uma série de aplicações dispostas em máquinas virtuais pré-configuradas, chamadas de
Virtual Appliances.
Entre as aplicações disponíveis encontramos diversos tipos de soluções, inclusive
voltadas para a área de segurança e que graças à utilização do Open Virtualization Format,
podem ser modificadas para funcionamento em suas diferentes versões de soluções de
virtualização, como converter uma de máquina virtual empacotada para uso em uma versão
Workstation para que possa ser instalada em uma versão Server.
Vantagens: Esforço conjunto entre várias empresas para proporcionar um padrão de
criação para as máquinas virtuais que serão executadas nos ambientes virtualizados,
aumentando a interoperabilidade entre as mesmas; formato aberto de desenvolvimento do
padrão, proporcionando a contribuição de várias empresas e pessoal especializado.
Desvantagens: Ainda em desenvolvimento, não dispondo da adesão em massa como
modelo de criação de máquinas virtuais.
47
9.3 Virtual Appliances
Segundo explicação constante no site da VMware, as Virtual Appliances são soluções
pré-construídas de softwares que compreendem uma ou mais máquinas virtuais que são
empacotadas, atualizadas, mantidas e gerenciadas como sendo uma única.
Estas máquinas virtuais diferem das tradicionais pois trazem consigo aplicações e
sistemas operacionais pré-configurados para uso, onde as mesmas são disponibilizadas por
fornecedores independentes que personalizam os sistemas operacionais nelas constantes para
que tragam consigo somente os recursos e os componentes necessários à execução da
aplicação empacotada com ele. A figura a seguir ilustra as diferenças entre uma máquina
virtual e uma virtual appliance.
Figura 21: Uma máquina virtual e um virtual appliance, diferenças na forma como são
criadas e mantidas.10
Vantagens: Velocidade na instalação e disponibilização das aplicações; diminuição da
necessidade de aplicação de correções; igual facilidade na movimentação de virtual
appliances entre servidores, assim como máquinas virtuais; diminuição do tempo gasto para
avaliar novas soluções devido ao pulo dos passos de instalação e configuração de sistemas
operacionais e aplicações nas máquinas virtuais; maior velocidade de execução devido ao
sistema operacional ter sido otimizado para uma aplicação específica.
Desvantagens: Não encontramos informações a respeito da instalação de aplicações
10 Imagem extraída da apresentação: VMware, Inc.. Virtual Appliances: Fundamentally changing the way software is developed, distributed, deployed, and managed. Disponível em:<http://download3.vmware.com/media/vam/vam_demo.html>. Acesso em: 05 jun. 2009.
48
sob encomenda, dependendo então da disponibilização das mesmas pelos fornecedores;
aplicação de correções de segurança dependentes do fornecedor da virtual appliance; a adição
desordenada de virtual appliances aos servidores virtualizados podem impactar
negativamente a carga e a performance desta rede além de diminuir a capacidade de adição de
novos servidores virtuais.
9.4 VMsafe
O VMsafe é uma nova tecnologia de segurança para ambientes virtualizados
desenvolvida pela VMware Inc. e que pode ajudar a proteger a infra-estrutura de formas não
possíveis antes. Esta nova tecnologia provê uma interface compartilhada de programação de
aplicativos para permitir que parceiros comerciais desenvolvam produtos de segurança
capazes de atuar em ambientes virtualizados.
A arquitetura de segurança do VMsafe proporciona a capacidade de fornecedores de
produtos de segurança incluírem as propriedades da tecnologia de virtualização em seus
produtos, proporcionando uma nova camada de defesa em complemento às soluções de
segurança física já existentes tais como proteção a hosts e redes e a blindagem de máquinas
virtuais contra a variedade de ameaças que podem afetar aplicações, redes, hypervisors e
hosts. A Figura a seguir demonstra como é a implementação desta camada de segurança.
Figura 22: Camada de proteção do VMsafe.11
11 Figura extraída de apresentação em: VMware Inc.. VMware VMsafe Security Technology. Disponível em:<http://www.vmware.com/technology/security/vmsafe/>. Acesso em: 05 jun. 2009.
49
Devemos ressaltar que este recurso está disponível somente em produtos voltados para
uso empresarial desenvolvidos pela VMware Inc., além disso o recurso em si não promove a
segurança alguma sendo somente habilitado, é necessária a instalação de virtual appliances no
VMsafe para que a devida proteção seja promovida. Para tal deve-se escolher os tipos de
proteção que se deseja instalar e escolher aquelas cujos fornecedores sejam confiáveis.
Vantagens: Segundo o site da empresa esta nova camada permite a instalação de
ferramentas que podem possibilitar a monitoração do tráfego circulante nas redes
virtualizadas, permitir a instalação de firewall's, detectores de intrusão, anti-vírus, entre outras
ferramentas de proteção. Os parceiros são aprovados pela VMware Inc..
Desvantagens: Recurso restrito aos produtos da VMware Inc. e ainda sendo necessária
a instalação de máquinas virtuais adicionais, que poderão impactar no desempenho e
funcionamento da infra-estrutura virtualizada. Soluções disponibilizadas somente por
parceiros aprovados pela VMware Inc. também pode ser uma desvantagem, caso um
fornecedor de preferência de possíveis clientes da tecnologia não ter ainda aprovação de seus
produtos de proteção.
9.5 Padrão OpenFlow de comunicação
O projeto OpenFlow provê um protocolo aberto para programar a tabela de fluxo de
dados de diferentes tipos de switches e roteadores, onde administradores de redes podem
particionar o tráfego de dados, como de produção e pesquisa por exemplo, permitindo que
pesquisadores possam controlar seu fluxo de dados escolhendo as rotas que seus pacotes vão
seguir e o processamento que irão receber. Deste modo, estes pesquisadores podem testar
novos protocolos de roteamento, modelos de segurança, esquemas de endereçamento, e até
alternativas para o endereçamento IP através da criação de redes virtuais programáveis, sem
que afete o tráfego de dados do segmento de produção normal da rede. Embora não seja um
projeto recente, já que teve seu início em 2008, ainda não é tão difundido mesmo entre
especialistas, como pode ser visto pela pergunta feita no ANEXO 2.
Este protocolo vem sendo desenvolvido em conjunto por pesquisadores de várias
universidades nos Estados Unidos e tem por objetivo criar uma estrutura de pesquisa sobre
diferentes e inovadoras formas de comunicação que utilize as switches e roteadores atuais,
permitindo a criação de redes virtuais programáveis, sem que seja necessária a abertura de
50
códigos por parte de fornecedores de hardware, diminuindo a barreira para a entrada de novas
idéias e aumentando a taxa de inovação da infra-estrutura de rede.
Desta forma, diferentes pesquisadores podem utilizar porções de recursos físicos e de
tráfegos diferentes e independentes através do gerenciamento proporcionado pelo FlowVisor,
gerenciador lógico de alocação de recursos que força o isolamento entre os recursos alocados
para diferentes pesquisadores, utilizando o mesmo hardware tanto para pesquisas quanto para
produção.
Figura 23: Escopo da especificação da switch OpenFlow.12
Vantagens: O sucesso do projeto permitiria a evolução das redes virtuais hoje
existentes, bem como do modelo de infra-estrutura de redes hoje em utilização; maior
utilização da banda disponível sem que haja interferência dos protocolos em desenvolvimento
no segmento da rede de produção.
Desvantagens: Ainda em desenvolvimento, sendo utilizada basicamente por
pesquisadores em universidades; novos protocolos de comunicação podem trazer mais
ameaças às redes virtuais, através de falhas de desenvolvimento; mais uma camada de
virtualização a ser gerenciada, controlada, monitorada, entre outras.
12 Figura retirada de: OPENFLOW SWITCHING CONSORTIUM. OpenFlow: Enabling Innovation in Campus Networks. Dsiponível em:<http://www.openflowswitch.org/documents/openflow-wp-latest.pdf>. Acesso em: 25 mai. 2009.
51
9.6 Políticas de segurança
As políticas de segurança para os ambientes virtualizados devem ser compiladas a
partir dos objetivos e regras de negócio de cada empresa, para o sucesso da implementação de
virtualização em seus ambientes de produção.
Além das medidas de segurança já habituais, como a implementação de controles para
este novo ambiente, também devem ser levadas em consideração:
– As formas como serão gerenciadas as máquinas virtuais e virtual appliances
criadas ou disponibilizadas;
– Quais serviços em execução são essenciais e quais poderão ser virtualizados em
detrimento da menor possibilidade de controle do fluxo de dados corrente;
– Quais medidas de segurança serão utilizadas e como será feita a manutenção delas;
– Como os administradores destes servidores virtuais estão utilizando os recursos a
eles disponibilizados e como prevenir a propagação desordenada de servidores
virtuais;
– Quais os efeitos negativos da implementação da virtualização no ambiente de
produção e quais as medidas de correção ou prevenção serão necessárias para
combater estes efeitos;
– Quais serão as estratégias de backup e migração de dados ou máquinas virtuais e
virtual appliances;
– Entre outras.
Sempre levando em consideração a conformidade com as normas e melhores práticas
relativas à segurança da informação e gerenciamento da infra-estrutura de rede, seja ela
virtualizada ou não.
9.7 Novas switches virtuais
Para atender à demanda de produtos que venham a prover maior nível de segurança
aos ambientes virtualizados, empresas como a Cisco Systems, VMware e Citrix estão
desenvolvendo novos modelos de switches virtuais que suportem um melhor monitoramento
do tráfego de dados nestes ambientes.
Segundo informações destes fabricantes e de especialistas na área, estes novos
52
produtos terão suporte a listas de controle de acesso, prover gerenciamento de rede
centralizado, suporte a múltiplos tipos de hypervisors, além de características avançadas de
gerenciamento de rede.
Estas soluções ainda estão em desenvolvimento, embora próximas de serem lançadas,
e não pudemos encontrar maiores detalhes sobre características de segurança ou previsões
exatas de lançamento.
53
10 Conclusão
Levando em consideração as vantagens e desvantagens no uso das tecnologias de
virtualização, recomendamos seu uso com cautela, sempre avaliando a estratégia da empresa,
o ambiente de produção atual e mensurando, através da análise de riscos e a modelagem de
ameaças impostas a esta nova forma de infra-estrutura de rede, os possíveis problemas que a
virtualização poderá causar no ambiente de TI da empresa, criando para prevenir tais
problemas políticas de segurança específicas para este ambiente e seus ativos.
Esta política deve ser desenvolvida, evoluída ou adaptada de acordo com a estratégia e
regras de negócio de cada empresa, e levar em consideração a segurança da informação com
base nas melhores práticas e normas disponíveis, tais como a NBR ISO 17799, 27001, 27002,
27005, ITIL, CobIT, entre outras, prevendo procedimentos para a implantação, gerenciamento,
correção e desenvolvimento dos controles implementados também para os ambientes
virtualizados.
Estes controles devem ser criados visando minimizar os impactos negativos que a
virtualização pode gerar, além de garantir a continuidade do negócio e o atendimento à
manutenção da existência dos pilares da segurança da informação, além de serem sempre
atualizados para a minimização das probabilidades de ocorrência de incidentes gerados por
novas formas de ataque e para a disponibilização de novos recursos de segurança.
REFERÊNCIAS
CERT.BR – CENTRO DE ESTUDOS, RESPOSTA E TRATAMENTO DE INCIDENTES DE SEGURANÇA NO BRASIL. Cartilha de Segurança para Internet: Glossário. Versão 3.1. [S.l.]: 2009. Disponível em:<http://cartilha.cert.br/>. Acesso em: 13 mar. 2009, 21:29:15.
CETIC.BR – CENTRO DE ESTUDOS SOBRE AS TECNOLOGIAS DA INFORMAÇÃO E DA COMUNICAÇÃO NO BRASIL. TIC Empresas 2008: Indicadores. [S.l.]: 2009. Disponível em:<http://www.cetic.br/empresas/2008/index.htm>. Acessado em: 27 mai. 2009, 12:10:23.
DISTRIBUTED MANAGEMENT TASKFORCE, INC. Virtualization Management Initiative. [S.l.]. Disponível em:<http://www.dmtf.org/standards/mgmt/vman/>. Acesso em: 04 jun. 2009, 23:27:35.
EMBLETON, Shawn; SPARKS, Sherri; ZOU, Cliff. SMM Rootkits: A New Breed of OS Independent Malware. Istambul: SecureCom, 2008. Disponível em:<http://www.cs.ucf.edu/~czou/research/SMM-Rootkits-Securecom08.pdf>. Acesso em: 04 jun. 2009, 11:20:17.
HOFF, Christofer. The Four Horsemen Of The Virtualization Apocalypse. Las Vegas: Black Hat USA, 2008. Disponível em:<https://media.blackhat.com/bh-usa-08/video/bh-us-08-Hoff/black-hat-usa-08-hoff-fourhorsemen-hires.m4v>. Acessado em: 19 mai. 2009, 22:41:34.
______ . The Four Horsemen Of The Virtualization Apocalypse. Las Vegas: Black Hat USA, 2008. Disponível em:<http://www.blackhat.com/presentations/bh-usa-08/Hoff/BH_US_08_Hoff_Virtualization_Security_Apocalypse.pdf>. Acesso em: 25 mai. 2009, 10:52:30.
HOOPES, John. et al. Virtualization for Security: Includind Sandboxing, Disaster Recovery, High Availability, Forensic Analisys, and Honeypotting. Burlington: Syngress, 2009. 377 p.
IBM – INTERNATIONAL BUSINESS MACHINES. IBM Termilogy. [S.l.]. Disponível em:<http://www-01.ibm.com/software/globalization/terminology/index.jsp>. Acesso em: 27 mai. 2009, 19:27:15.
KING, Samuel T.; et al. SubVirt: Implementing malware with virtual machines. Michigan: Michigan University, 2005. Disponível em:<http://www.cs.uiuc.edu/homes/kingst/Research_files/king06.pdf>. Acesso em: 08 mar. 2009, 22:09:30.
MICROSOFT CORPORATION. Understanding Malware, Spyware, Viruses and Rootkits. [S.l.]. Disponível em:<http://download.microsoft.com/documents/uk/technet/learning/downloads/security/Understanding_Malware_Spyware_Viruses_and_Rootkits.ppt>. Acesso em: 13 mar. 2009, 02:01:54.
MURPHY, Allan. Virtualização Esclarecida – Oito Diferentes Modos. [S.l.]. Disponível em:<http://www.f5networks.com.br/pdf/white-papers/virtualizacao-esclarecida-oito-diferentes-modos-wp.pdf>. Acesso em: 24 mai. 2009, 17:55:22.
OPENFLOW SWITCHING CONSORTIUM. OpenFlow: Enabling Innovation in Campus Networks. Stanford: Stanford University, 2008. Disponível em:<http://www.openflowswitch.org/documents/openflow-wp-latest.pdf>. Acesso em: 25 mai. 2009, 07:28:32.
PANDA SECURITY. Rootkits: Almost invisible malware. What are the different types of rootkits?. [S.l.]. Disponível em:<http://www.pandasecurity.com/homeusers/security-info/types-malware/rootkit/#e3>. Acesso em: 24 mai. 2009, 16:23:11.
PHOENIX TECHNOLOGIES. HyperSpace – Knowledge Base: FAQ. [S.l.]. Disponível em:<http://www.hyperspace.com/kb/index.php?_m=knowledgebase&_a=view>. Acesso em: 25 mai. 2009, 00:31:17.
RUTKOWSKA, Joanna. Security Challenges in Virtualized Environments. San Francisco: RSA Conference, 2008. Disponível em:<http://www.invisiblethings.org/papers/Security%20Challanges%20in%20Virtualized%20Enviroments%20-%20RSA2008.pdf>. Acesso em: 04 jun. 2009, 11:46:35.
______ . Subverting Vista™ Kernel For Fun And Profit. Las Vegas: Black Hat Briefings, 2006. Disponível em:<http://www.blackhat.com/presentations/bh-usa-06/BH-US-06-Rutkowska.pdf>. Acesso em: 04 jun. 2009, 11:34:47.
SHACKLEFORD, Dave; IGNASIAK, Todd. Virtualization Security 101. [S.l.]: Sans Institute WebCasts, 2009. Disponível em:<https://www.sans.org/webcasts/show.php?webcastid=92353&from=web0513B&eid=8of-CPJ>. Acesso em: 13 mai. 2009, 16:47:50.
SISNEMA INFORMÁTICA. TI Verde: Virtualização reduz danos ao meio ambiente. Porto Alegre: 2009. Disponível em:<http://sisnema.com.br/Materias/idmat019717.htm>. Acesso em: 05 jun. 2009, 22:53:32.
SYMANTEC. SYMANTEC STATE OF THE DATA CENTER REPORT 2008: State of the Data Center, Regional Data – Global, Second Annual Report – 2008. [S.l.]: 2009 Disponível em:<http://www.symantec.com/content/en/us/about/media/SOTDC_report_2007.pdf>. Acesso em: 26 mai. 2009, 15:51:32.
http://www.f5networks.com.br/pdf/white-papers/virtualizacao-esclarecida-oito-diferentes-modos-wp.pdf
THE Matrix. Direção: The Wachowski Brothers. Produção de Joel Silver. [S.l.]: Warner Bros.; Village Roadshow; Groucho II Film Partnership. 1999. 1 DVD.
VMWARE, Inc.. Learn About Virtual Appliances. [S.l.]. Disponível em:<http://www.vmware.com/appliances/learn/overview.html>. Acesso em: 04 jun. 2009, 23:58:16.
______. VMware VMsafe Security Technology. [S.l.]. Disponível em:<http://www.vmware.com/technology/security/vmsafe/security_technology.html>. Acesso em: 05 jun. 2009, 16:43:25.
WOLF, Chris. Flying Under The Citrix Sinergy Radar – A New Virtual Switch. [S.l.]: Chris Wolf's Virtualization Tips and Ramblings, 2009. Disponível em:<http://www.chriswolf.com/?p=362>. Acesso em: 05 jun. 2009, 11:57:55.
______. Open Virtualization Format. [S.l.]: 2008. Disponível em:<http://www.vmware.com/appliances/learn/ovf.html>. Acesso em: 04 jun. 2009, 23:12:36.
ZOVI, Davi A.. Hardware Virtualization Rootkits. Las Vegas: Black Hat USA, 2006. Disponível em:<http://www.blackhat.com/presentations/bh-usa-06/BH-US-06-Zovi.pdf>. Acesso em: 03 jun. 2009, 17:38:15.
GLOSSÁRIO
Administrator – Forma literária inglesa para administrador.
AMD – Abreviação de Advanced Micro Devices, é uma empresa americana fabricante de circuitos integrados, especialmente microprocessadores. Começou a produzir circuitos lógicos em 1969 e em 1975 ingressou no mercado de circuitos integrados para memórias RAM.
Nesse mesmo ano também introduziu no mercado um microprocessador clone do Intel 8080, usando de engenharia reversa para tal. A AMD também produzia outros tipos de circuitos integrados para uso em minicomputadores de arquiteturas variadas.
Back-end – Refere-se à parte relativa ao servidor que irá atender às requisições dos clientes em uma arquitertura cliente-servidor..
Backup – Cópia de um arquivo ou conjunto de dados mantidos por questão de segurança em local diferente do original ou cópia principal; arquivo reserva, cópia de segurança.
Backups – Plural de backup.
Bare Metal – Expressão em inglês que significa “metal nu”. Usado para designar o tipo I de hypervsor, em alusão ao seu acesso direto ao hardware físico do sistema em que está instalado.
BIOS – Forma contracta da expressão inglesa Basic Input/Output System, que significa sistema básico de entrada e saída. É um programa de computador pré-gravado em memória permanente e executado por computadores quando de seu acionamento. É responsável pelo suporte básico de acesso ao hardware, bem como por iniciar a carga do sistema operacional.
Blue Pill – Rootkit conceito supostamente invisível aos modelos atuais de detecção de malwares, foi desenvolvido em 2006 pela pesquisadora polonesa Joanna Rutkowska, que vem modificando-o ao longo dos anos para atacar diferentes sistemas operacionais e arquiteturas de virtualização durante as demonstrações em suas palestras sobre segurança em ambientes virtualizados.
Boot – Em computação, boot é o termo em inglês usado para designar o processo de iniciação do computador que carrega o sistema operacional quando a máquina é ligada.
Bots – Abreviação de robots ou robôs em português, são softwares maliciosos que podem ser utilizados para a coordenação e a operação de um ataque automatizado em computadores em rede, tais como um ataque do negação-serviço.
Clock – Capacidade que o processador tem de desempenhar um número específico de tarefas em determinado período de tempo. Normalmente dada em Megahertz (MHz) ou Gigahertz (GHz).
Chief Executive Officer – ("Diretor-executivo" ou "diretor-geral", em português), mais conhecido como CEO, é um termo em inglês para designar a pessoa com a mais alta responsabilidade ou autoridade numa organização. Apesar de ser teoricamente possível haver mais de um CEO numa empresa, geralmente o posto é ocupado por somente um indivíduo, temendo-se que tal compromisso crie conflito dentro da organização sobre quem tem o poder de decisão. Todos os outros executivos prestam contas ao CEO.
Chief Security Architect – Arquiteto de estratégias em segurança, em uma tradução livre para o termo inglês. Identifica o responsável pela identificação e eleição de padrões de segurança para uso
corporativo e desenvolve estratégias e tecnologias para apoiar as arquiteturas de segurança.
Chief Security Officer – É o mais alto executivo responsável pela segurança da informação em uma corporação. Atua como líder no desenvolvimento, implementação e gerenciamento da visão, dos programas, e da estratégia da securança organizacional das corporações.
Cisco Systems – Companhia multinacional sediada na Califórnia, Estados Unidos da América . A atividade principal da Cisco é o oferecimento de soluções para redes e comunicações, quer seja na fabricação e venda ( destacando-se fortemente no mercado de Roteadores e Switches ) ou mesmo na prestação de serviços por meio de suas subsidiária LinkSys, WebEx, IronPort e Scientific Atlanta.
Citrix – Empresa multinacional americana fundada em 1989 pelo antigo dono da IBM Ed Iacobuccicom no Texas, e hoje sediada em Fort Lauderdale, Flórida. Possui o foco em software e serviços, especializada em virtualização e acesso remoto de software para prover aplicações em rede e de Internet.
CobIT – Do inglês Control Objectives for Information and related Technology, é um guia formulado como framework e dirigido para a gestão de tecnologia da informação.Recomendado pelo ISACA ( Information Systems Audit and Control Association ) possui uma série de recursos que podem servir como um modelo de referência para gestão da TI, incluindo um sumário executivo, um "framework", controle de objetivos, mapas de auditoria, ferramentas para a sua implementação e principalmente, um guia com técnicas de gerenciamento.
Configuresoft – Empresa líder mundialmente em provimento de soluções de gerenciamento de configurações corporativas.
CPU – Abreviação do inglês Central Processing Unit, ou Unidade Central de Processamento, o microprocessador ou processador é a parte de um computador que processa as instruções contidas no software. Na maioria das CPUs, essa tarefa é dividida entre uma unidade de controle que dirige o fluxo do programa a uma ou mais unidades de execução que executam operações de acordo com as instruções recebidas pelo software.
Coseinc Research – Empresa baseada em Singapura dedicada a prover serviços altamente especializados em segurança da informação, fundada em 2004.
Crackers – O termo cracker, do inglês "quebrador", originalmente significa alguém que "quebra" sistemas. Hoje em dia, pode tanto significar alguém que quebra sistemas de segurança na intenção de obter proveito pessoal ( como por exemplo modificar um programa para que ele não precise mais ser pago ), como também pode ser um termo genérico para um Black Hat, que é um hacker que utiliza suas habilidades para atividades ilícitas.
Data Center – Local onde são concentrados os computadores e sistemas confiáveis ( softwares ) responsáveis pelo processamento de dados de uma empresa ou organização. Normalmente projetados para serem extremamente seguros, contam com sistemas de última geração para extinção de incêndios, acesso controlado por cartões eletrônicos e/ou biometria, monitoramento 24 h x 7 dias, ar-condicionados de precisão, geradores de energia de grande capacidade e UPS ( no-breaks ) de grande porte para manter os equipamentos ligados, mesmo em caso de falta de energia.
Desktop – Microcomputador de mesa ou computador pessoal, estação de trabalho, terminal, ou outro dispositivo usado por um ou vários indivíduos em horários variados para executar diferentes funções computacionais, entrada de dados, entre outras.
DoS – Abreviação para a expressão em inglês Denial of Service, forma de ataque de negação de serviços contra uma rede ou host.
E-mail – Abreviação da palavra inglesa Electronic Mail, ou Correio Eletrônico. Ferramenta de transmissão de documentos e mensagens entre pessoas através do uso de computadores.
Ethernet – Um padrão muito usado para a conexão física de redes locais, originalmente desenvolvido pelo Palo Alto Research Center ( PARC ) da Xerox nos EUA. Descreve protocolo, cabeamento, topologia e mecanismos de transmissão.
Firewall – Nome dado ao dispositivo de uma rede de computadores que tem por objetivo aplicar uma política de segurança a um determinado ponto de controle da rede. Sua função consiste em regular o tráfego de dados entre redes distintas e impedir a transmissão e/ou recepção de acessos nocivos ou não autorizados de uma rede para outra.
Firmware – É o conjunto de instruções operacionais programadas diretamente no hardware de um equipamento eletrônico. É armazenado permanentemente num circuito integrado ( CHIP ) de memória, usualmente no momento da fabricação do componente.
A programação de um firmware em princípio é não-volátil ( não perde seu conteúdo com o desligamento da eletricidade ) e inalterável, entretanto, quando presente na forma de PROM ou EPROM, o firmware pode ser atualizado.
FlowVisor – É um controlador OpenFlow especialmente desenvolvido e que atua como um proxy transparente entre switches OpenFlow e múltiplos controladores OpenFlow.
Front-end – É responsável por coletar os dados de entrada do usuário em várias formas e processá-los para adequá-los a uma especificação útil para os servidores em uma arquitetura cliente-servidor.
Full virtualization – Tipo de virtualização quanto a execução, que na tradução quer dizer virtualização completa. Caracteriza-se pela ligação das máquinas virtuais e o hardware físico, intermediada por um gerenciador de máquinas virtuais,, chamado de hypervisor, do tipo I.
Hacker – É o usuário ou programador com grande conhecimento e experiência sobre o funcionamento de computadores e sistemas de rede, e que, por isso mesmo, se concentra em buscar e testar os muitos recursos que lhes encontram ao alcance. Seus feitos impulsionam a tecnologia, pois estimulam o aprimoramento das técnicas de segurança e defesa.
Hacking – Métodos e técnicas utilizadas por hackers para acesso a computadores e/ou redes.
Hardware – Conjunto de unidades físicas, componentes, circuitos integrados, discos e mecanismos que compõem um computador ou seus periféricos.
Host – Em informática, host é qualquer máquina ou computador conectado a uma rede. Os hosts variam de computadores pessoais a supercomputadores, dentre outros equipamentos, como roteadores.
Hypervisor – Também chamado de monitor de máquina virtual ( VMM ), é uma plataforma de virtualização de software ou hardware que permite que múltiplos sistemas operacionais rodem em um mesmo computador simultaneamente.
Hypervisors – Plural de hypervisor.
GNU/Linux – Termo geralmente usado para designar qualquer sistema operacional que utilize o kernel Linux somados aos softwares GNU. Seu núcleo foi desenvolvido pelo Finlandês Linus Torvalds ( responsável pelo kernel ) inspirado no sistema Minix, somado a conjuntos diversos de softwares criados pela Free Software Foundation, também de código livre. Seus códigos fonte estão disponíveis sob licença GPL para qualquer pessoa que utilizar, estudar, modificar e distribuir de acordo com os termos da licença.
Handhelds – Computador de dimensões reduzidas, dotado de grande capacidade computacional, cumprindo as funções de agenda e sistema informático de escritório elementar, com possibilidade de interconexão com um computador pessoal e uma rede informática sem fios WI-FI para acesso a correio eletrônico e Internet.
IBM – Abreviação de International Business Machines, importante empresa americana voltada para a área de tecnologia, particularmente de computadores.
Intel – Contração de Integrated Electronics Corporation, empresa multinacional de origem americana fabricante de circuitos integrados, especialmente microprocessadores fundada em 1968 por Gordom E Moore ( químico e físico ) e Robert Noyce ( físico e co-inventor do circuito integrado ).
Internet – Rede mundial de computadores.
IP – Acrônimo para a expressão inglesa "Internet Protocol" ou Protocolo de Internet, que é um protocolo usado entre duas ou mais máquinas em rede para encaminhamento dos dados. Também é utilizado para definir um endereço em uma rede.
IP virtual – Um endereço de IP virtual ( VIP ou VIPA ) é um endereço IP que não está ligado a um computador específico, ou interface de rede ( NIC ) em um computador. Os pacotes são enviados para o endereço IP virtual, mas todos os pacotes trafegam através de interfaces de rede real.
International Business Machines – Ver IBM.ITIL – Abreviatura para o termo inglês Information Technology Infrastructure Library. Biblioteca de melhores práticas para o gerenciamento de serviços em tecnologia da informação, utilizada por milhares de empresas em todo o mundo.
Kernel – Em qualquer sistema operacional o kernel é o núcleo, encarregado de controlar o acesso à memória e demais componentes de hardware, gerenciar os programas abertos, dividir o tempo de uso do processador entre eles, entre outras funções. É a base sobre a qual se executam as demais partes do sistema operacional, drives de dispositivo e programas.
Keyloggers – Programa capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado de um computador. Normalmente, a ativação do keylogger é condicionada a uma ação prévia do usuário, como por exemplo, após o acesso a um site de comércio eletrônico ou Internet Banking, para a captura de senhas bancárias ou números de cartões de crédito.
MAC – Abreviatura para o termo inglês Media Access Control, refere-se ao endereço físico da estação ou sua interface de rede. É um endereço de 48 bits, representado em hexadecimal.
MacOS – Sistema operacional proprietário da Apple. Baseado no sistema operacional Unix.
Mainframe – Computador de grande porte, dedicado normalmente ao processamento de um volume grande de informações. Os mainframes são capazes de oferecer serviços de processamento a
milhares de usuários através de milhares de terminais conectados diretamente ou através de uma rede. O termo mainframe, se refere ao gabinete principal que alojava a unidade central de processamento nos primeiros computadores.
Mainframes – Plural para mainframe.
Malware – Proveniente do termo inglês malicious software, é um programa destinado a se infiltrar em um sistema de computador alheio de forma ilícita, com o intuito de causar algum dano ou roubo de informações ( confidenciais ou não ). Virus de computador, worms, cavalos de tróia, e spywares são considerados malware. Também pode ser considerada malware uma aplicação legal que por uma falha de programação (intencional ou não) execute funções que se enquadrem na definição supra-citada.
Malwares – Plural de malware.
Microsoft – Fundada em 4 de abril de 1975 por Bill Gates e Paul Allen cujo objetivo era desenvolver e comercializar interpretadores da linguagem Basic. Hoje a Microsoft é uma das empresas de tecnologia que mais investe em pesquisa e desenvolvimento no mundo. O nome Microsoft provêm da junção das palavras inglesas microscopic e software.
Nested virtualization – Virtualização aninhada, ou seja, o tipo de virtualização quanto a execução onde uma máquina virtual é executada dentro de outra.
Nickname – Apelido. Usado para identificação de usuários na Internet, em sistemas computacionais, em programas de bate-bapo ou mensagem instantânea.
Notebooks – Computador portátil leve, designado para poder ser transportado e utilizado em diferentes lugares com facilidade. Geralmente um notebook contém tela de LCD ( cristal líquido ), teclado, mouse ( geralmente um touchpad, que é uma área onde se desliza o dedo para mover o ponteiro do mouse ), unidade de disco rígido, portas para conectividade via rede local ou fax/modem, gravadores de CD/DVD. Os mais modernos não possuem mais a entrada para discos flexíveis ( disquetes ) e quando há a necessidade de utilizar um desses conecta-se um adaptador externo à uma das portas USB.
One Time Passwords – Definida também como senha descartável, é uma senha que perde a validade após um processo de autenticação para impedir que esta seja capturada e re-utilizada. O uso de senhas descartáveis é uma das mais simples soluções de segurança e de fácil implementação. A finalidade é fazer com que o usuário informe senhas diferentes a cada acesso.
OpenFlow - Provê um protocolo aberto para programar a tabela de fluxo de dados de diferentes tipos de switches e roteadores, onde administradores de redes podem particionar o tráfego de dados, como de produção e pesquisa por exemplo, permitindo que pesquisadores possam controlar seu fluxo de dados escolhendo as rotas que seus pacotes vão seguir e o processamento que irão receber. Deste modo, estes pesquisadores podem testar novos protocolos de roteamento, modelos de segurança, esquemas de endereçamento, e até alternativas para o IP através da criação de redes virtuais programáveis, sem que afete o tráfego de dados do segmento de produção normal da rede.
Oracle – Fundada em 1977, é uma companhia que desenvolve softwares corporativos. O seu principal produto é o sistema de gestão de banco de dados relacionais de mesmo nome: Oracle.
Parallels – Fundada em 1999, empresa com foco em softwares de virtualização e automação, otimizando computadores para seus consumidores, empresas e prestadores de serviços em todos as
principais plataformas de hardwares, sistemas operacionais e virtualizações.
Phoenix Tecnologies – Empresa de computação fundada em 1979 na Califórnia, Estados Unidos conhecida por produzir softwares básicos para computadores, como BIOS e firmware.
Dada a natureza de seus produtos, seus principais clientes são outras empresas que trabalham com a produção de dispositivos para computadores.
PDAs – Ver Handhelds.
Proxy – É um servidor que atende a requisições repassando os dados a outros servidores. Um usuário ( cliente ) conecta-se a um servidor proxy, requisitando algum serviço, como um arquivo, conexão, website, ou outro recurso disponível em outro servidor.
Um servidor proxy pode, opcionalmente, alterar a requisição do cliente ou a resposta do servidor e, algumas vezes, pode disponibilizar este recurso sem nem mesmo se conectar ao servidor especificado. Pode também atuar como um servidor que armazena dados em forma de cache em redes de computadores. São instalados em máquinas com ligações tipicamente superiores às dos clientes e com poder de armazenamento elevado.
Quest software – Fundada em 1987 e com sede em Aliso Viejo, Califórnia. A Quest desenvolve, vende e oferece suporte a dados de gestão. Seus produtos permitem criar, implantar e gerenciar aplicações personalizadas de software, bem como infra-estruturas associadas a softwares componentes, tais como bases de dados, servidores de aplicação, sistemas operacionais e hypervisors, a empresa também presta consultoria, treinamento e serviços de apoio.
Red Hat Inc. - Empresa dos Estados Unidos, que disponibiliza soluções baseadas no sistema operacional GNU/Linux e outras tecnologias, incluindo várias distribuições, além de outras soluções em software livre voltadas ao mercado corporativo.
Root – É o usuário que possui acesso a todos os recursos do sistema, sem restrições. Normalmente é utilizado somente pelos administradores para a manutenção de sistemas. É chamado também de super-usuário.
Rootkit – Conjunto de programas que tem como finalidade esconder e assegurar a presença de um invasor em um computador comprometido. É importante ressaltar que o nome rootkit não indica que as ferramentas que o compõem são usadas para obter acesso privilegiado ( root ou Administrador ) em um computador, mas sim para manter o acesso privilegiado em um computador previamente comprometido.
Rootkits – Plural de rootkit.
Sans Institute – Fundada em 1989, oferece cursos de formação na área de segurança de computadores, certificação profissional, através do GIAC ( Global Information Assurance Certification ), e um arquivo de investigação - o SANS Reading Room. Também opera o Internet Storm Center, um sistema de monitoramento de Internet pessoal mantido por uma comunidade global de profissionais de segurança. O nome comercial SANS ( derivado de SysAdmin, Auditoria, Networking e Segurança ) pertence ao Instituto Escal de Tecnologias Avançadas.
Sites – Conjunto de páginas web, isto é, de hipertextos acessíveis geralmente pelo protocolo HTTP na Internet. O conjunto de todos os sites públicos existentes compõem a World Wide Web.
Sniffer – Dispositivo ou programa de computador utilizado para capturar e armazenar dados trafegando em uma rede de computadores. Pode ser usado por um invasor para capturar
informações sensíveis ( como senhas de usuários ), em casos onde estejam sendo utilizadas conexões inseguras, ou seja, sem criptografia.
Sniffers – Plural de sniffer.
Software – Qualquer programa ou grupo de programas compostos por uma seqüência de instruções que instrui o hardware sobre a maneira como ele deve executar uma tarefa, inclusive sistemas operacionais, processadores de texto e programas de aplicação.
Softwares – Plural de software.
SubVirt - Conceito de rootkit que teve origem ainda no ano de 2005 onde Samuel T. King et al, pesquisadores da Microsoft e da Universidade de Michigan, onde apresentou a possibilidade da criação de um malware que afetasse especificamente a ambientes virtualizados, fazendo com que a seqüência de boot fosse modificada para que o sistema operacional original fosse carregado no Virtual PC, software de virtualização da Microsoft.
Sun Microsystems – Empresa fabricante de computadores, semicondutores e software com sede em Santa Clara, California, em Silicon Valley ( Vale do Silício ). As fábricas da Sun localizam-se em Hillsboro no estado do Oregon nos Estados Unidos e em Linlithgow na Escócia.
Os produtos da Sun incluem servidores e estações de trabalho ( workstations ) baseados no seu próprio processador SPARC e no processador Opteron, da AMD, nos sistemas operacionais GNU/Linux e Solaris, no sistema de arquivos de rede NFS e na plataforma Java. Seus produtos de menor sucesso incluíram o sistema de janelas NewS, a interface gráfica OpenLook e antigas versões de "clientes leves" ( thin clients ), ou estações de trabalho sem disco ( diskless workstations ).
O nome Sun vem de Stanford University Network ( Rede da Universidade de Stanford ).
Switch – Dispositivo utilizado em uma rede de computadores para re-encaminhar frames entre os diversos nós. Ele tem como função o chaveamento ( ou comutação ) entre as estações que desejam se comunicar.
Switches – Plural de switch.
Symantec – Fundada em 1982 com sede em Cupertino na Califórnia, suas atividades se concentram em segurança da Internet e em redes para usuários domésticos e corporações, suas soluções são baseadas em software e aplicativos, com proteção de anti-vírus, análise de vulnerabilidades, detecção de intrusos, filtragem de conteúdo e de e-mail.
The Matrix – Filme de ficção científica lançado em março 1999.
Thin clients – São computadores clientes em uma rede no modelo cliente-servidor, no qual possuem poucos ou nenhum aplicativo instalado, dependendo primariamente de um servidor central para o processamento de suas requisições.
TI – Abreviação para Tecnologia da Informação.
Trojan – Trojan Horse ou Cavalo de Tróia é um programa do tipo malware que age como a lenda do cavalo de Tróia, se instalando no computador e liberando uma ou mais portas de comunicação para uma possível invasão.
Trojans – Plural de trojan.
Unisys – Empresa mundial de serviços e soluções de Tecnologia da Informação. Possuem foco na prestação de consultoria, integração de sistemas, outsourcing e serviços de infra-estrutura combinados com tecnologia para servidores corporativos.
Unix – Sistema operacional portável, multi-tarefa, multi-usuário originalmente criado por Ken Thompson que trabalhava nos Laboratórios Bell ( Bell Labs ) da AT&T. A marca UNIX é uma propriedade do The Open Group, um consórcio formado por empresas de informática.
Virtual appliance – Tipo de máquina virtual construída através da união de determinado aplicativo a um sistema operacional personalizado, este último possuindo somente os recursos e componentes necessários à execução deste conjunto, projetada para ser executada em uma plataforma de virtualização ( Vmware, Xen, VirtualBox, entre outras ).
Virtual appliances – Plural de virtual appliance.
Virtual Machine Monitor – Ver hypervisor.
Virtual PC – Programa criado pela Microsoft e que emula um computador dentro do sistema operacional Windows. Assim sendo, em uma janela será possível abrir outro sistema operacional, seja este diferente ou não, e até criar um HD virtual, que será um arquivo salvo dentro da partição do Windows, podendo ser formatado com qualquer sistema de arquivos, sem interferir no sistema hospedeiro.
Vitriol – Rootkit desenvolvido em 2006 para ambientes virtualizados, teve como alvo o sistema operacional MacOS X utilizando processadores com arquitetura Intel VT-X.
VLANs – Redes virtuais, popularmente conhecidas como VLANs, possuem os mesmos atributos físicos que uma rede local, mas permitem que hosts possam ser agrupadas mesmo que não estejam localizadas na mesma switch de rede. A reconfiguração da rede pode ser feita através de software, sem a necessidade de deslocar fisicamente os dispositivos.
VM Sprawl – Uma tradução livre para o termo seria Expansão de Máquinas Virtuais e esta expansão caracteriza-se pela proliferação de máquinas virtuais pelo ambiente sem o devido controle.
VMM – Abreviação de Virtual Machine Monitor. Ver também hypervisor.
VMware – Software de virtualização proprietário desenvolvido pela Vmware Inc..
VMware Inc. - Empresa desenvolvedora do VMware, localiza-se em Palo Alto na Califórnia, Estados Unidos e é uma subsidiária da EMC Corporation. O nome é um jogo entre as palavras Virtual Machine ( máquina virtual ) e software, que é o nome técnico dado a um sistema operacional rodando em uma máquina virtual sob o software de virtualização VMware.
Web – "Teia" em inglês, é um termo usado para se referir a redes de computadores. O termo surgiu devido ao formato de uma teia de aranha lembrar a disposição física de uma rede, com cabos interligando os pontos. O termo WWW é a abreviação de "World Wide Web", ou larga teia mundial e é naturalmente usado com relação à Internet.
Windows – Popular família de sistemas operacionais criados pela Microsoft, empresa americana fundada por Bill Gates e Paul Allen.
Worms – Programa capaz de se propagar automaticamente através de redes, enviando cópias de si mesmo de computador para computador. Diferente do vírus, o worm não embute cópias de si mesmo em outros programas ou arquivos e não necessita ser explicitamente executado para se propagar. Sua propagação se dá através da exploração de vulnerabilidades existentes ou falhas na configuração de softwares instalados em computadores.
Xen – Software de virtualização de código aberto e de propriedade da Citrix Systems.
Zoned Virtual Machine Monitor – Embora ainda não exista uma definição formal pode ser definido como um novo tipo de hypervisor, que é instalado em um hardware específico, como a BIOS por exemplo.
ANEXO 1
ANEXO 2
