WEBVTT 00:00.330 --> 00:01.350 Instructor: En esta 00:01.350 --> 00:03.780 lección, vamos a discutir los ataques a máquinas 00:03.780 --> 00:07.410 virtuales incluyendo escapes de VM, saltos de VM, escapes de sandbox, 00:07.410 --> 00:09.360 y otros problemas de VM. 00:09.360 --> 00:12.680 Primero tenemos los escapes VM o escapes de máquina virtual. 00:12.680 --> 00:14.940 Un escape de máquina virtual es un tipo de ataque en 00:14.940 --> 00:16.230 el que un actor de amenaza intenta 00:16.230 --> 00:18.120 salir de una máquina virtual aislada y luego 00:18.120 --> 00:19.380 enviar comandos directamente 00:19.380 --> 00:21.270 al hipervisor subyacente. 00:21.270 --> 00:23.820 Dado que se supone que cada máquina virtual está aislada, 00:23.820 --> 00:25.350 realizar un escape de VM debería 00:25.350 --> 00:27.300 ser muy difícil de llevar a cabo. 00:27.300 --> 00:29.580 Al fin y al cabo, cada sistema operativo invitado 00:29.580 --> 00:31.200 ni siquiera debería saber por sí mismo 00:31.200 --> 00:32.910 que forma parte de una máquina virtual, 00:32.910 --> 00:34.710 porque sigue pensando que tiene acceso 00:34.710 --> 00:36.330 total a la máquina física emulada que 00:36.330 --> 00:38.340 le proporciona el hipervisor. 00:38.340 --> 00:40.260 Para que un escape de la máquina virtual sea 00:40.260 --> 00:42.780 efectivo, el atacante tiene que encontrar una forma de interactuar 00:42.780 --> 00:44.880 directamente con los recursos físicos subyacentes, 00:44.880 --> 00:46.830 como la memoria, el disco duro o el procesamiento 00:46.830 --> 00:48.990 del servidor físico. 00:48.990 --> 00:51.210 Esto suele ocurrir explotando una vulnerabilidad 00:51.210 --> 00:53.220 en el propio código del hipervisor. 00:53.220 --> 00:54.480 Se han producido algunos 00:54.480 --> 00:56.760 casos de este tipo y los fabricantes han desarrollado 00:56.760 --> 00:59.310 y publicado parches en cuanto descubrieron estas 00:59.310 --> 01:00.840 vulnerabilidades. 01:00.840 --> 01:04.080 El escape de máquinas virtuales es más fácil de realizar en un hipervisor 01:04.080 --> 01:06.330 de tipo dos que en uno de tipo uno. 01:06.330 --> 01:08.940 Si está utilizando un hipervisor de tipo dos o post-it, el atacante 01:08.940 --> 01:10.650 podría ser capaz de obtener acceso al sistema 01:10.650 --> 01:12.210 operativo subyacente que realmente 01:12.210 --> 01:14.400 aloja sus máquinas virtuales. 01:14.400 --> 01:16.170 Si pueden, entonces pueden ser capaces 01:16.170 --> 01:17.370 de escalar sus privilegios 01:17.370 --> 01:19.620 y acceder a otras máquinas virtuales alojadas 01:19.620 --> 01:21.203 en ese mismo dispositivo y, en efecto, 01:21.203 --> 01:23.820 crear una fuga de máquinas virtuales. 01:23.820 --> 01:25.620 Para evitar que se escape una máquina virtual, 01:25.620 --> 01:26.910 siempre es importante asegurarse 01:26.910 --> 01:29.790 de que el sistema operativo invitado, el sistema operativo anfitrión 01:29.790 --> 01:33.270 y el hipervisor permanecen parcheados y actualizados. 01:33.270 --> 01:36.750 En segundo lugar tenemos el VM hopping o salto de máquina virtual. 01:36.750 --> 01:38.970 Ahora bien, el VM hopping es un tipo de ataque 01:38.970 --> 01:40.440 en el que el actor de la amenaza 01:40.440 --> 01:43.860 intenta pasar de una máquina virtual a otra en el mismo host. 01:43.860 --> 01:46.530 Un ataque de VM hopping se va a centrar en explotar el hipervisor 01:46.530 --> 01:48.750 del software de virtualización o algún tipo de 01:48.750 --> 01:51.360 característica para moverse entre las dos máquinas virtuales 01:51.360 --> 01:53.730 supuestamente aisladas. 01:53.730 --> 01:56.340 Ahora VM hopping suena similar a un escape de VM, pero 01:56.340 --> 01:57.960 hay una diferencia clave que VM 01:57.960 --> 02:00.090 hopping se centra ahora en el movimiento 02:00.090 --> 02:02.340 entre una máquina virtual a otra. 02:02.340 --> 02:03.818 Mientras que cuando hablamos de escape 02:03.818 --> 02:06.720 de máquinas virtuales, se centra en llegar al hipervisor subyacente 02:06.720 --> 02:08.550 o al sistema operativo del host. 02:08.550 --> 02:10.170 Para protegerse contra el salto de máquinas virtuales, 02:10.170 --> 02:11.820 debe asegurarse siempre de que su hipervisor está 02:11.820 --> 02:13.603 actualizado y correctamente parcheado. 02:13.603 --> 02:15.843 Además, debe asegurarse de que sus sistemas operativos 02:15.843 --> 02:18.750 invitados y el hipervisor estén configurados de forma segura utilizando 02:18.750 --> 02:20.910 una guía de configuración de mejores prácticas para garantizar 02:20.910 --> 02:22.830 que no haya conexiones erróneas entre las máquinas 02:22.830 --> 02:25.650 virtuales que deberían haber estado aisladas. 02:25.650 --> 02:27.930 En tercer lugar, tenemos un escape sandbox. 02:27.930 --> 02:30.000 Ahora bien, un sandbox es un mecanismo de seguridad 02:30.000 --> 02:31.710 que se utiliza para separar los procesos y 02:31.710 --> 02:34.620 programas en ejecución en un esfuerzo por mitigar los fallos del sistema 02:34.620 --> 02:36.840 o la propagación de vulnerabilidades de software. 02:36.840 --> 02:39.960 Lo más habitual es crear sandboxes mediante máquinas virtuales 02:39.960 --> 02:41.370 o contenedores. 02:41.370 --> 02:44.070 Los navegadores web, por ejemplo, suelen utilizar el concepto 02:44.070 --> 02:46.440 de sandboxing para separar el código web en ejecución 02:46.440 --> 02:48.030 del sistema operativo protegido 02:48.030 --> 02:49.950 u otro software del sistema. 02:49.950 --> 02:51.630 Ahora se producirá una fuga de la caja de 02:51.630 --> 02:52.620 arena cuando un atacante 02:52.620 --> 02:54.690 sea capaz de eludir las protecciones de la caja de 02:54.690 --> 02:57.057 arena con el fin de obtener acceso al sistema operativo protegido 02:57.057 --> 02:59.190 para otros procesos privilegiados. 02:59.190 --> 03:01.130 Para proteger sus sistemas de una fuga del sandbox, 03:01.130 --> 03:02.880 es importante asegurarse de que su software 03:02.880 --> 03:05.340 y sistemas operativos permanezcan parcheados y actualizados, 03:05.340 --> 03:06.173 así como asegurarse 03:06.173 --> 03:08.460 de que tiene un software de protección de endpoints fuerte 03:08.460 --> 03:11.640 instalado en su cliente y que limita las extensiones o complementos que están 03:11.640 --> 03:13.470 instalados dentro de sus navegadores web en el 03:13.470 --> 03:14.490 caso de la protección contra 03:14.490 --> 03:16.920 fugas del sandbox del navegador web. 03:16.920 --> 03:19.530 En cuarto lugar, tenemos algunas preocupaciones de las que tenemos 03:19.530 --> 03:21.600 que hablar también cuando pensamos en máquinas virtuales 03:21.600 --> 03:23.160 y entornos virtualizados. 03:23.160 --> 03:26.250 Esto incluye cosas como migraciones y restos de datos. 03:26.250 --> 03:27.510 Ahora bien, una de las principales 03:27.510 --> 03:28.890 ventajas de utilizar un entorno virtual 03:28.890 --> 03:30.570 es que puedes migrar una máquina virtual de 03:30.570 --> 03:33.270 un host a otro, incluso mientras se está ejecutando. 03:33.270 --> 03:35.280 Esto se denomina migración en vivo. 03:35.280 --> 03:37.290 Ahora esta migración se produce a través de la red. 03:37.290 --> 03:38.700 Por lo tanto, es importante asegurarse 03:38.700 --> 03:41.276 siempre de que la migración sólo se produce a través de una 03:41.276 --> 03:43.678 red de confianza o que utiliza un cifrado adecuado entre 03:43.678 --> 03:46.020 el servidor que configura la máquina virtual y el servidor 03:46.020 --> 03:48.480 que recibe esa máquina virtual. 03:48.480 --> 03:49.830 Sin embargo, si la migración en 03:49.830 --> 03:51.570 vivo se produce a través de una conexión 03:51.570 --> 03:53.700 no cifrada, existe la posibilidad de que los datos 03:53.700 --> 03:56.730 contenidos en esa máquina virtual queden expuestos a miradas indiscretas 03:56.730 --> 03:58.674 o que su integridad se vea comprometida por 03:58.674 --> 04:01.200 un atacante que utilice un ataque on path. 04:01.200 --> 04:03.150 Para evitarlo, las imágenes de máquinas virtuales 04:03.150 --> 04:04.710 deben cifrarse antes de ser enviadas 04:04.710 --> 04:06.840 de un servidor a otro a través de la red. 04:06.840 --> 04:09.810 Recuerde, los servidores ya no son sólo dispositivos físicos ubicados 04:09.810 --> 04:11.580 dentro de nuestros centros de datos, sino 04:11.580 --> 04:13.680 que también son máquinas virtuales que son simplemente 04:13.680 --> 04:16.410 un archivo ubicado en algún tipo de sistema de archivos. 04:16.410 --> 04:18.930 Y estos archivos pueden ser robados por un atacante. 04:18.930 --> 04:21.300 Otra preocupación importante cuando se utilizan máquinas 04:21.300 --> 04:23.024 virtuales en un entorno de nube son los restos 04:23.024 --> 04:24.420 de datos que podrían quedar cuando 04:24.420 --> 04:27.150 se desaprovisionan los servidores virtuales sobrantes. 04:27.150 --> 04:29.520 Muchos proveedores de nube utilizan almacenamiento en bloque 04:29.520 --> 04:31.323 que podría permitir que los datos que ya no se 04:31.323 --> 04:34.230 necesitan se queden en sus dispositivos de almacenamiento. 04:34.230 --> 04:36.622 Si no se borra correctamente, usuarios no autorizados 04:36.622 --> 04:38.700 pueden acceder a esos datos. 04:38.700 --> 04:40.620 Para mitigar esta amenaza de restos de datos, debe 04:40.620 --> 04:42.270 cifrar siempre las ubicaciones de almacenamiento 04:42.270 --> 04:43.680 de sus máquinas virtuales y asegurarse 04:43.680 --> 04:45.240 de que la clave de cifrado se destruye siempre 04:45.240 --> 04:49.020 que la máquina virtual ya no se necesite y se desaprovisione. 04:49.020 --> 04:50.160 La última cosa que necesitamos 04:50.160 --> 04:52.650 cubrir en términos de seguridad es el VM sprawl, también 04:52.650 --> 04:54.990 conocido como virtual machine sprawl. 04:54.990 --> 04:57.720 La proliferación de máquinas virtuales es el despliegue incontrolado 04:57.720 --> 04:59.664 de una o más máquinas virtuales. 04:59.664 --> 05:01.920 Esta es una enorme área de vulnerabilidad para usted 05:01.920 --> 05:03.540 como organización, porque tiene estas 05:03.540 --> 05:05.340 máquinas virtuales falsas que se están 05:05.340 --> 05:06.540 instalando sin autorización 05:07.403 --> 05:09.030 en toda su red. 05:09.030 --> 05:11.730 Ahora bien, esto significa que la gestión del sistema no se está 05:11.730 --> 05:14.460 haciendo para esas máquinas, porque no sabes que existen. 05:14.460 --> 05:15.990 Y como no sabes lo que hay, no aplicas 05:15.990 --> 05:17.610 los parches de seguridad ni las 05:17.610 --> 05:20.370 actualizaciones ni instalas soluciones antimalware 05:20.370 --> 05:23.130 o antivirus para proteger esos equipos. 05:23.130 --> 05:25.845 Debido a esto, estas máquinas virtuales se vuelven muy 05:25.845 --> 05:27.300 susceptibles a un ataque. 05:27.300 --> 05:29.310 Y si un atacante puede encontrar una de estas 05:29.310 --> 05:30.843 máquinas virtuales deshonestas 05:30.843 --> 05:33.330 causada por la proliferación de máquinas virtuales, 05:33.330 --> 05:36.480 podrá atacarla y utilizarla como punto de acceso al resto de la 05:36.480 --> 05:39.000 red para intentar escapar de ella o saltar a otras 05:39.000 --> 05:40.860 áreas de la red. 05:40.860 --> 05:42.270 Así que tenlo en cuenta, porque 05:42.270 --> 05:45.240 esta proliferación de máquinas virtuales es un gran problema, especialmente 05:45.240 --> 05:46.725 si tienes muchos contratistas y desarrolladores 05:46.725 --> 05:49.470 que están trabajando en tu red y no son parte de tu equipo normal, 05:49.470 --> 05:54.000 y no están siguiendo tus procesos normales de control de cambios. 05:54.000 --> 05:56.880 Así que una vez más, en esta lección, hemos hablado de algunos de los 05:56.880 --> 05:59.045 requisitos de seguridad en los que deberías pensar 05:59.045 --> 06:00.810 y algunas de las vulnerabilidades que pueden 06:00.810 --> 06:03.360 ir en contra de esos requisitos de seguridad. 06:03.360 --> 06:06.330 Esto incluye cosas como escapes de máquinas virtuales, saltos de máquinas virtuales, 06:06.330 --> 06:09.303 escapes de cajas de arena y proliferación de máquinas virtuales.