WEBVTT 00:00.330 --> 00:01.350 Istruttore: In questa lezione 00:01.350 --> 00:03.780 discuteremo degli attacchi alle macchine virtuali, tra cui 00:03.780 --> 00:07.410 fughe di macchine virtuali, salto di macchine virtuali, fughe di sandbox e altri problemi 00:07.410 --> 00:09.360 legati alle macchine virtuali. 00:09.360 --> 00:12.680 Per prima cosa abbiamo gli escape delle macchine virtuali. 00:12.680 --> 00:14.940 L'evasione di una macchina virtuale è un tipo di attacco 00:14.940 --> 00:16.230 in cui l'attore della minaccia tenta 00:16.230 --> 00:18.120 di uscire da una macchina virtuale isolata e quindi 00:18.120 --> 00:19.380 di inviare comandi direttamente 00:19.380 --> 00:21.270 all'hypervisor sottostante. 00:21.270 --> 00:23.820 Poiché si suppone che ogni macchina virtuale sia isolata, l'esecuzione 00:23.820 --> 00:25.350 di una fuga di macchine virtuali dovrebbe 00:25.350 --> 00:27.300 essere molto difficile da realizzare. 00:27.300 --> 00:29.580 Dopo tutto, ogni sistema operativo guest non 00:29.580 --> 00:31.200 dovrebbe nemmeno sapere di far 00:31.200 --> 00:32.910 parte di una macchina virtuale, 00:32.910 --> 00:34.710 perché pensa di avere pieno accesso 00:34.710 --> 00:36.330 alla macchina fisica emulata che 00:36.330 --> 00:38.340 l'hypervisor sta fornendo. 00:38.340 --> 00:40.260 Affinché una fuga da una macchina virtuale 00:40.260 --> 00:42.780 sia efficace, l'attaccante deve trovare un modo per interfacciarsi 00:42.780 --> 00:44.880 direttamente con le risorse fisiche sottostanti, 00:44.880 --> 00:46.830 come la memoria, il disco rigido o l'elaborazione 00:46.830 --> 00:48.990 del server fisico. 00:48.990 --> 00:51.210 Questo avviene solitamente sfruttando una vulnerabilità 00:51.210 --> 00:53.220 nel codice stesso dell'hypervisor. 00:53.220 --> 00:54.480 Si sono verificati alcuni 00:54.480 --> 00:56.760 casi di questo tipo e le patch sono state sviluppate 00:56.760 --> 00:59.310 e rilasciate dai produttori non appena hanno scoperto 00:59.310 --> 01:00.840 queste vulnerabilità. 01:00.840 --> 01:04.080 L'escape delle macchine virtuali è più facile da eseguire su un hypervisor 01:04.080 --> 01:06.330 di tipo due che su un hypervisor di tipo uno. 01:06.330 --> 01:08.940 Se si utilizza un hypervisor di tipo due o post-it, l'aggressore 01:08.940 --> 01:10.650 potrebbe essere in grado di accedere 01:10.650 --> 01:12.210 al sistema operativo sottostante 01:12.210 --> 01:14.400 che ospita le macchine virtuali. 01:14.400 --> 01:16.170 Se ci riescono, possono essere in grado 01:16.170 --> 01:17.370 di scalare i loro privilegi 01:17.370 --> 01:19.620 e accedere ad altre macchine virtuali ospitate 01:19.620 --> 01:21.203 sullo stesso dispositivo e, di fatto, 01:21.203 --> 01:23.820 creare una fuga di macchine virtuali. 01:23.820 --> 01:25.620 Per evitare la fuga di una macchina virtuale, 01:25.620 --> 01:26.910 è sempre importante assicurarsi 01:26.910 --> 01:29.790 che il sistema operativo guest, il sistema operativo host 01:29.790 --> 01:33.270 e l'hypervisor siano tutti patchati e aggiornati. 01:33.270 --> 01:36.750 In secondo luogo abbiamo il VM hopping o salto di macchina virtuale. 01:36.750 --> 01:38.970 Il VM hopping è un tipo di attacco in cui l'attore 01:38.970 --> 01:40.440 della minaccia tenta di spostarsi 01:40.440 --> 01:43.860 da una macchina virtuale a un'altra sullo stesso host. 01:43.860 --> 01:46.530 Un attacco di tipo VM hopping si concentrerà sullo sfruttamento 01:46.530 --> 01:48.750 dell'hypervisor del software di virtualizzazione 01:48.750 --> 01:51.360 o di una qualche funzione per spostarsi tra le due macchine 01:51.360 --> 01:53.730 virtuali presumibilmente isolate. 01:53.730 --> 01:56.340 Il VM hopping sembra simile alla fuga di una macchina virtuale, 01:56.340 --> 01:57.960 ma c'è una differenza fondamentale: 01:57.960 --> 02:00.090 il VM hopping si concentra sullo spostamento 02:00.090 --> 02:02.340 da una macchina virtuale all'altra. 02:02.340 --> 02:03.818 Mentre quando abbiamo parlato di VM 02:03.818 --> 02:06.720 escape, ci siamo concentrati sul raggiungimento dell'hypervisor o 02:06.720 --> 02:08.550 del sistema operativo host sottostante. 02:08.550 --> 02:10.170 Per proteggersi dal VM hopping è necessario 02:10.170 --> 02:11.820 assicurarsi che l'hypervisor sia sempre 02:11.820 --> 02:13.603 aggiornato e correttamente patchato. 02:13.603 --> 02:15.843 Inoltre, è necessario assicurarsi che i sistemi operativi 02:15.843 --> 02:18.750 guest e l'hypervisor siano configurati in modo sicuro utilizzando una 02:18.750 --> 02:20.910 guida alle migliori pratiche di configurazione per garantire 02:20.910 --> 02:22.830 che non vi siano connessioni errate tra le macchine 02:22.830 --> 02:25.650 virtuali che avrebbero dovuto essere isolate. 02:25.650 --> 02:27.930 In terzo luogo, abbiamo una fuga dalla sandbox. 02:27.930 --> 02:30.000 Una sandbox è un meccanismo di sicurezza utilizzato 02:30.000 --> 02:31.710 per separare i processi e i programmi in 02:31.710 --> 02:34.620 esecuzione nel tentativo di ridurre i guasti del sistema o la diffusione 02:34.620 --> 02:36.840 di vulnerabilità del software. 02:36.840 --> 02:39.960 Nella maggior parte dei casi, le sandbox vengono create con macchine virtuali 02:39.960 --> 02:41.370 o con la containerizzazione. 02:41.370 --> 02:44.070 I browser Web, ad esempio, utilizzano comunemente il concetto 02:44.070 --> 02:46.440 di sandboxing per separare il codice Web in esecuzione 02:46.440 --> 02:48.030 dal sistema operativo protetto o da 02:48.030 --> 02:49.950 altro software sul sistema. 02:49.950 --> 02:51.630 Ora una fuga dalla sandbox si verifica 02:51.630 --> 02:52.620 quando un aggressore 02:52.620 --> 02:54.690 è in grado di aggirare le protezioni della sandbox 02:54.690 --> 02:57.057 per ottenere l'accesso al sistema operativo protetto 02:57.057 --> 02:59.190 per altri processi privilegiati. 02:59.190 --> 03:01.130 Per proteggere i sistemi da un'evasione da sandbox, 03:01.130 --> 03:02.880 è importante assicurarsi che il software 03:02.880 --> 03:05.340 e i sistemi operativi siano sempre patchati e aggiornati, 03:05.340 --> 03:06.173 oltre a garantire l'installazione 03:06.173 --> 03:08.460 di un solido software di protezione degli endpoint sul 03:08.460 --> 03:14.490 client e a limitare le estensioni o i componenti aggiuntivi installati all'interno dei browser web nel caso di protezione da evasioni da sandbox 03:14.490 --> 03:16.920 dei browser web. 03:16.920 --> 03:19.530 In quarto luogo, abbiamo alcune preoccupazioni di cui dobbiamo 03:19.530 --> 03:21.600 parlare quando pensiamo alle macchine virtuali 03:21.600 --> 03:23.160 e agli ambienti virtualizzati. 03:23.160 --> 03:26.250 Questo include cose come migrazioni e resti di dati. 03:26.250 --> 03:27.510 Ora, uno dei principali vantaggi 03:27.510 --> 03:28.890 dell'utilizzo di un ambiente virtuale 03:28.890 --> 03:30.570 è la possibilità di migrare una macchina virtuale 03:30.570 --> 03:33.270 da un host all'altro, anche mentre è in funzione. 03:33.270 --> 03:35.280 Si tratta di una migrazione in tempo reale. 03:35.280 --> 03:37.290 Ora questa migrazione avviene attraverso la rete. 03:37.290 --> 03:38.700 È quindi importante assicurarsi 03:38.700 --> 03:41.276 sempre che la migrazione avvenga solo su una rete 03:41.276 --> 03:43.678 affidabile o che utilizzi una crittografia adeguata 03:43.678 --> 03:46.020 tra il server che imposta la macchina virtuale 03:46.020 --> 03:48.480 e il server che la riceve. 03:48.480 --> 03:49.830 Tuttavia, se la migrazione live 03:49.830 --> 03:51.570 avviene tramite una connessione non 03:51.570 --> 03:53.700 crittografata, è possibile che i dati contenuti 03:53.700 --> 03:56.730 nella macchina virtuale vengano esposti a occhi indiscreti o che 03:56.730 --> 03:58.674 la loro integrità venga compromessa da un 03:58.674 --> 04:01.200 aggressore che utilizza un attacco on path. 04:01.200 --> 04:03.150 Per evitare questo problema, le immagini delle macchine 04:03.150 --> 04:04.710 virtuali devono essere crittografate prima 04:04.710 --> 04:06.840 di essere inviate da un server all'altro attraverso la rete. 04:06.840 --> 04:09.810 Ricordate che i server non sono più solo dispositivi fisici situati 04:09.810 --> 04:11.580 all'interno dei nostri data center, ma 04:11.580 --> 04:13.680 sono anche macchine virtuali che sono semplicemente 04:13.680 --> 04:16.410 un file situato in una sorta di file system. 04:16.410 --> 04:18.930 E questi file possono essere rubati da un aggressore. 04:18.930 --> 04:21.300 Un'altra preoccupazione importante quando si utilizzano macchine 04:21.300 --> 04:23.024 virtuali in un ambiente cloud è rappresentata dai 04:23.024 --> 04:24.420 resti di dati che potrebbero essere lasciati 04:24.420 --> 04:27.150 in giro quando si spossessano i server virtuali in eccesso. 04:27.150 --> 04:29.520 Molti fornitori di cloud utilizzano l'archiviazione 04:29.520 --> 04:31.323 a blocchi che potrebbe consentire di lasciare 04:31.323 --> 04:34.230 sui dispositivi di archiviazione i dati non più necessari. 04:34.230 --> 04:36.622 Se non vengono cancellati correttamente, i dati possono 04:36.622 --> 04:38.700 essere accessibili a utenti non autorizzati. 04:38.700 --> 04:40.620 Per attenuare la minaccia di resti di dati, è necessario 04:40.620 --> 04:42.270 criptare sempre le posizioni di archiviazione 04:42.270 --> 04:43.680 delle macchine virtuali e assicurarsi 04:43.680 --> 04:45.240 che la chiave di crittografia venga distrutta 04:45.240 --> 04:47.430 ogni volta che la macchina virtuale non è più necessaria e viene 04:47.430 --> 04:49.020 deprovisionata. 04:49.020 --> 04:50.160 L'ultimo aspetto da trattare 04:50.160 --> 04:52.650 in termini di sicurezza è lo sprawl delle macchine virtuali, 04:52.650 --> 04:54.990 noto anche come sprawl delle macchine virtuali. 04:54.990 --> 04:57.720 Lo sprawl di macchine virtuali è la distribuzione incontrollata 04:57.720 --> 04:59.664 di una o più macchine virtuali. 04:59.664 --> 05:01.920 Si tratta di un'enorme area di vulnerabilità 05:01.920 --> 05:03.540 per l'azienda, in quanto le macchine 05:03.540 --> 05:05.340 virtuali vengono installate senza 05:05.340 --> 05:06.540 autorizzazione in tutta 05:07.403 --> 05:09.030 la rete. 05:09.030 --> 05:11.730 Ciò significa che la gestione del sistema non viene effettuata 05:11.730 --> 05:14.460 per quelle macchine, perché non si sa che esistono. 05:14.460 --> 05:15.990 E poiché non ne conoscete l'esistenza, 05:15.990 --> 05:17.610 non state eseguendo le patch di sicurezza, 05:17.610 --> 05:20.370 gli aggiornamenti e le soluzioni antimalware o antivirus 05:20.370 --> 05:23.130 per proteggere queste macchine. 05:23.130 --> 05:25.845 Per questo motivo, queste macchine virtuali diventano molto 05:25.845 --> 05:27.300 suscettibili a un attacco. 05:27.300 --> 05:29.310 Se un utente malintenzionato riesce a trovare una di 05:29.310 --> 05:30.843 queste macchine virtuali anomale, causate 05:30.843 --> 05:33.330 dalla dispersione delle macchine virtuali, sarà in grado di attaccarla 05:33.330 --> 05:36.480 e di utilizzarla come punto di partenza per il resto della rete, per poi tentare la 05:36.480 --> 05:39.000 fuga delle macchine virtuali o il salto delle macchine virtuali 05:39.000 --> 05:40.860 in altre aree della rete. 05:40.860 --> 05:42.270 Tenetelo presente, perché lo sprawl 05:42.270 --> 05:45.240 di macchine virtuali è un grosso problema, soprattutto se avete 05:45.240 --> 05:46.725 molti appaltatori e sviluppatori 05:46.725 --> 05:49.470 che lavorano sulla vostra rete e non fanno parte del vostro 05:49.470 --> 05:51.120 normale team, e non seguono i vostri 05:51.120 --> 05:52.290 normali processi di controllo 05:52.290 --> 05:54.000 delle modifiche. 05:54.000 --> 05:56.880 Quindi, ancora una volta, in questa lezione abbiamo parlato di 05:56.880 --> 05:59.045 alcuni requisiti di sicurezza a cui dovreste pensare 05:59.045 --> 06:00.810 e di alcune vulnerabilità che possono 06:00.810 --> 06:03.360 andare contro tali requisiti di sicurezza. 06:03.360 --> 06:06.330 Questo include cose come le fughe di macchine virtuali, il salto di macchine 06:06.330 --> 06:09.303 virtuali, le fughe di sandbox e lo sprawl di macchine virtuali.