WEBVTT 00:00.330 --> 00:01.350 Instructeur: In deze 00:01.350 --> 00:03.780 les gaan we aanvallen op virtuele machines 00:03.780 --> 00:07.410 bespreken, inclusief VM escapes, VM hopping, sandbox escapes 00:07.410 --> 00:09.360 en andere VM problemen. 00:09.360 --> 00:12.680 Eerst hebben we VM escapes of virtuele machine escapes. 00:12.680 --> 00:14.940 Een VM escape is een type aanval waarbij een bedreigingsacteur 00:14.940 --> 00:16.230 uit een geïsoleerde virtuele machine 00:16.230 --> 00:18.120 probeert te ontsnappen en vervolgens rechtstreeks 00:18.120 --> 00:19.380 opdrachten naar de onderliggende 00:19.380 --> 00:21.270 hypervisor stuurt. 00:21.270 --> 00:23.820 Omdat elke virtuele machine verondersteld wordt geïsoleerd 00:23.820 --> 00:25.350 te zijn, zou het uitvoeren van een 00:25.350 --> 00:27.300 VM escape erg moeilijk moeten zijn. 00:27.300 --> 00:29.580 Tenslotte zou elk gastbesturingssysteem zelf niet 00:29.580 --> 00:31.200 eens moeten weten dat het deel uitmaakt 00:31.200 --> 00:32.910 van een virtuele machine, omdat het nog 00:32.910 --> 00:34.710 steeds denkt dat het volledige toegang 00:34.710 --> 00:36.330 heeft tot de geëmuleerde fysieke machine 00:36.330 --> 00:38.340 die de hypervisor levert. 00:38.340 --> 00:40.260 Om een VM escape effectief te laten zijn, 00:40.260 --> 00:42.780 moet de aanvaller een manier vinden om een directe interface 00:42.780 --> 00:44.880 te maken met de onderliggende fysieke bronnen, 00:44.880 --> 00:46.830 zoals het geheugen, de harde schijf of de verwerking 00:46.830 --> 00:48.990 van de fysieke server. 00:48.990 --> 00:51.210 Dit gebeurt meestal door misbruik te maken van een kwetsbaarheid 00:51.210 --> 00:53.220 in de code van de hypervisor zelf. 00:53.220 --> 00:54.480 Dit is een paar keer voorgekomen 00:54.480 --> 00:56.760 en fabrikanten hebben patches ontwikkeld 00:56.760 --> 00:59.310 en uitgebracht zodra ze deze kwetsbaarheden 00:59.310 --> 01:00.840 ontdekten. 01:00.840 --> 01:04.080 VM escape is gemakkelijker uit te voeren op een type twee hypervisor 01:04.080 --> 01:06.330 dan op een type één hypervisor. 01:06.330 --> 01:08.940 Als je een type twee of post-it hypervisor gebruikt, kan 01:08.940 --> 01:10.650 de aanvaller mogelijk toegang krijgen 01:10.650 --> 01:12.210 tot het onderliggende besturingssysteem 01:12.210 --> 01:14.400 dat je virtuele machines host. 01:14.400 --> 01:16.170 Als ze dat kunnen, kunnen ze hun privileges 01:16.170 --> 01:17.370 escaleren en toegang krijgen 01:17.370 --> 01:19.620 tot andere virtuele machines die gehost worden 01:19.620 --> 01:21.203 op datzelfde apparaat en in feite 01:21.203 --> 01:23.820 een virtuele machine escape creëren. 01:23.820 --> 01:25.620 Om te voorkomen dat een virtuele machine ontsnapt, 01:25.620 --> 01:26.910 is het altijd belangrijk om ervoor 01:26.910 --> 01:29.790 te zorgen dat je gastbesturingssysteem, je host-besturingssysteem 01:29.790 --> 01:33.270 en je hypervisor allemaal gepatcht en up-to-date blijven. 01:33.270 --> 01:36.750 Ten tweede hebben we VM hopping of virtual machine hopping. 01:36.750 --> 01:38.970 VM-hopping is een type aanval waarbij de bedreigende 01:38.970 --> 01:40.440 actor van de ene virtuele machine 01:40.440 --> 01:43.860 naar de andere probeert te gaan op dezelfde host. 01:43.860 --> 01:46.530 Een VM-hopping aanval richt zich op het misbruiken van 01:46.530 --> 01:48.750 de hypervisor van de virtualisatiesoftware 01:48.750 --> 01:51.360 of een of andere functie om tussen de twee zogenaamd geïsoleerde 01:51.360 --> 01:53.730 virtuele machines te bewegen. 01:53.730 --> 01:56.340 Nu klinkt VM-hopping vergelijkbaar met een VM escape, 01:56.340 --> 01:57.960 maar er is één belangrijk verschil: 01:57.960 --> 02:00.090 VM-hopping is nu gericht op het verplaatsen 02:00.090 --> 02:02.340 van de ene virtuele machine naar de andere. 02:02.340 --> 02:03.818 Waar we het hadden over VM escape, 02:03.818 --> 02:06.720 is het gericht op het bereiken van de onderliggende hypervisor 02:06.720 --> 02:08.550 of het host besturingssysteem. 02:08.550 --> 02:10.170 Om je te beschermen tegen VM-hopping moet 02:10.170 --> 02:11.820 je er altijd voor zorgen dat je hypervisor 02:11.820 --> 02:13.603 up-to-date en goed gepatcht is. 02:13.603 --> 02:15.843 Ook moet je ervoor zorgen dat je gastbesturingssystemen 02:15.843 --> 02:18.750 en de hypervisor veilig zijn geconfigureerd met behulp van een best 02:18.750 --> 02:20.910 practice configuratiegids om ervoor te zorgen dat 02:20.910 --> 02:22.830 er geen foutieve verbindingen zijn tussen de 02:22.830 --> 02:25.650 virtuele machines die geïsoleerd hadden moeten worden. 02:25.650 --> 02:27.930 Ten derde hebben we een zandbakontsnapping. 02:27.930 --> 02:30.000 Nu is een sandbox een beveiligingsmechanisme 02:30.000 --> 02:31.710 dat wordt gebruikt om draaiende processen 02:31.710 --> 02:34.620 en programma's te scheiden in een poging om systeemstoringen of 02:34.620 --> 02:36.840 kwetsbaarheden in software te voorkomen. 02:36.840 --> 02:39.960 Meestal worden sandboxes gemaakt met behulp van virtuele machines 02:39.960 --> 02:41.370 of containerisatie. 02:41.370 --> 02:44.070 Webbrowsers maken bijvoorbeeld vaak gebruik van het concept 02:44.070 --> 02:46.440 van sandboxing om draaiende webcode te scheiden van 02:46.440 --> 02:48.030 het beschermde besturingssysteem 02:48.030 --> 02:49.950 of andere software op het systeem. 02:49.950 --> 02:51.630 Nu zal een sandbox escape optreden wanneer 02:51.630 --> 02:52.620 een aanvaller de sandbox-beschermingen 02:52.620 --> 02:54.690 kan omzeilen om toegang te krijgen tot het beschermde 02:54.690 --> 02:59.190 besturingssysteem voor andere bevoorrechte processen. 02:59.190 --> 03:01.130 Om je systemen te beschermen tegen een sandbox 03:01.130 --> 03:02.880 escape is het belangrijk om ervoor te zorgen 03:02.880 --> 03:06.173 dat je software en besturingssystemen gepatcht en up-to-date blijven, 03:06.173 --> 03:08.460 en dat je sterke endpoint protection software hebt 03:08.460 --> 03:11.640 geïnstalleerd op je client en dat je de extensies of add-ons beperkt die 03:11.640 --> 03:13.470 zijn geïnstalleerd in je webbrowsers in 03:13.470 --> 03:14.490 het geval van bescherming 03:14.490 --> 03:16.920 tegen web browser sandbox escapes. 03:16.920 --> 03:19.530 Ten vierde hebben we een paar zorgen waar we ook over moeten 03:19.530 --> 03:21.600 praten als we denken aan virtuele machines en 03:21.600 --> 03:23.160 gevirtualiseerde omgevingen. 03:23.160 --> 03:26.250 Dit omvat zaken als migraties en gegevensresten. 03:26.250 --> 03:27.510 Een van de grote voordelen van het 03:27.510 --> 03:28.890 gebruik van een virtuele omgeving 03:28.890 --> 03:30.570 is dat je een virtuele machine kunt migreren 03:30.570 --> 03:33.270 van de ene host naar de andere, zelfs terwijl deze draait. 03:33.270 --> 03:35.280 Dit wordt een live migratie genoemd. 03:35.280 --> 03:37.290 Nu gebeurt deze migratie via het netwerk. 03:37.290 --> 03:38.700 Het is dus belangrijk om er altijd 03:38.700 --> 03:41.276 voor te zorgen dat de migratie alleen plaatsvindt via een vertrouwd 03:41.276 --> 03:43.678 netwerk of een netwerk dat gebruik maakt van goede encryptie 03:43.678 --> 03:46.020 tussen de server die de virtuele machine instelt en de server 03:46.020 --> 03:48.480 die de virtuele machine ontvangt. 03:48.480 --> 03:49.830 Als de live migratie echter plaatsvindt 03:49.830 --> 03:51.570 via een niet-versleutelde verbinding, 03:51.570 --> 03:53.700 bestaat de mogelijkheid dat de gegevens in die virtuele 03:53.700 --> 03:56.730 machine worden blootgesteld aan nieuwsgierige ogen of dat de integriteit 03:56.730 --> 03:58.674 ervan wordt aangetast door een aanvaller die 03:58.674 --> 04:01.200 een on path aanval gebruikt. 04:01.200 --> 04:03.150 Om dit te voorkomen moeten images van virtuele machines 04:03.150 --> 04:04.710 worden versleuteld voordat ze via het netwerk 04:04.710 --> 04:06.840 van de ene server naar de andere worden gestuurd. 04:06.840 --> 04:09.810 Onthoud dat servers niet langer alleen fysieke apparaten zijn die 04:09.810 --> 04:11.580 zich in onze datacenters bevinden, maar 04:11.580 --> 04:13.680 dat het ook virtuele machines zijn die simpelweg 04:13.680 --> 04:16.410 een bestand zijn dat zich op een bestandssysteem bevindt. 04:16.410 --> 04:18.930 En deze bestanden kunnen worden gestolen door een aanvaller. 04:18.930 --> 04:21.300 Een ander belangrijk punt van zorg bij het gebruik van virtuele 04:21.300 --> 04:23.024 machines in een cloudomgeving zijn restanten 04:23.024 --> 04:24.420 van gegevens die kunnen achterblijven 04:24.420 --> 04:27.150 bij het deprovisioneren van overtollige virtuele servers. 04:27.150 --> 04:29.520 Veel cloudproviders maken gebruik van blokopslag, 04:29.520 --> 04:31.323 waardoor gegevens die niet langer nodig 04:31.323 --> 04:34.230 zijn, kunnen worden achtergelaten op hun opslagapparaten. 04:34.230 --> 04:36.622 Als ze niet op de juiste manier worden gewist, kunnen onbevoegde 04:36.622 --> 04:38.700 gebruikers toegang krijgen tot die gegevens. 04:38.700 --> 04:40.620 Om deze dreiging van achtergebleven gegevens te beperken, 04:40.620 --> 04:42.270 moet je de opslaglocaties van je virtuele machines 04:42.270 --> 04:43.680 altijd versleutelen en ervoor zorgen 04:43.680 --> 04:45.240 dat de versleutelingscode wordt vernietigd 04:45.240 --> 04:49.020 wanneer de virtuele machine niet langer nodig is en wordt gedeprovisioneerd. 04:49.020 --> 04:50.160 Het laatste dat we moeten 04:50.160 --> 04:52.650 behandelen op het gebied van beveiliging is VM sprawl, 04:52.650 --> 04:54.990 ook wel bekend als virtual machine sprawl. 04:54.990 --> 04:57.720 Nu is virtual machine sprawl de ongecontroleerde inzet 04:57.720 --> 04:59.664 van een of meer virtuele machines. 04:59.664 --> 05:01.920 Dit is een enorm kwetsbaar gebied voor jou als 05:01.920 --> 05:03.540 organisatie, omdat je deze malafide 05:03.540 --> 05:05.340 VM's hebt die zonder toestemming over 05:05.340 --> 05:06.540 je hele netwerk worden 05:07.403 --> 05:09.030 geïnstalleerd. 05:09.030 --> 05:11.730 Dit betekent dat het systeembeheer niet wordt gedaan 05:11.730 --> 05:14.460 voor die machines, omdat je niet weet dat ze bestaan. 05:14.460 --> 05:15.990 En omdat je het bestaan niet kent, 05:15.990 --> 05:17.610 doe je geen beveiligingspatches 05:17.610 --> 05:20.370 en updates en zet je geen anti-malware oplossingen of 05:20.370 --> 05:23.130 antivirus op om die machines te beschermen. 05:23.130 --> 05:25.845 Hierdoor worden deze VM's erg gevoelig 05:25.845 --> 05:27.300 voor een aanval. 05:27.300 --> 05:29.310 En als een aanvaller een van deze rogue VM's 05:29.310 --> 05:30.843 kan vinden die is veroorzaakt door 05:30.843 --> 05:33.330 VM sprawl, kunnen ze naar binnen gaan en dat aanvallen 05:33.330 --> 05:36.480 en dat gebruiken als een draaipunt naar de rest van je netwerk en dan 05:36.480 --> 05:39.000 VM-ontsnappingen proberen of VM-hoppen naar andere 05:39.000 --> 05:40.860 gebieden van je netwerk. 05:40.860 --> 05:42.270 Houd daar dus rekening mee, 05:42.270 --> 05:45.240 want deze VM sprawl is een groot probleem, vooral als je veel 05:45.240 --> 05:46.725 aannemers en ontwikkelaars 05:46.725 --> 05:49.470 hebt die aan je netwerk werken en die geen deel uitmaken 05:49.470 --> 05:51.120 van je normale team en die niet je 05:51.120 --> 05:52.290 normale wijzigingsbeheerprocessen 05:52.290 --> 05:54.000 volgen. 05:54.000 --> 05:56.880 Dus nogmaals, in deze les hebben we het gehad over een aantal 05:56.880 --> 05:59.045 beveiligingseisen waar je aan moet denken 05:59.045 --> 06:00.810 en een aantal kwetsbaarheden die tegen 06:00.810 --> 06:03.360 deze beveiligingseisen in kunnen gaan. 06:03.360 --> 06:06.330 Dit omvat zaken als VM-escapes, VM-hopping, sandbox-escapes 06:06.330 --> 06:09.303 en virtuele machine sprawl.