Wie man eine virtuelle Maschine in drei einfachen Schritten stiehlt

In der letzten Woche wurde in Spiceworks ein Thema über einen abtrünnigen Systemadministrator diskutiert, der zu einem Gespenst für das Unternehmen geworden war. Ich habe die verschiedenen Beiträge gelesen und einer sprang mir besonders ins Auge: „Ihr klingt wie eine Gruppe von Polizisten. Vertraut ihr niemandem? Um jemandem vertrauen zu können, muss man selbst vertrauenswürdig sein.“

Ich hätte fast zurückgeschrieben, dass ich mir wünschte, ich könnte so naiv sein. Ich wünschte, ich könnte in dieser Welt leben, nicht dass ich ein Pessimist bin. Ich bin ein Optimist mit Erfahrung. Und meine Erfahrung sagt mir, dass die einzige mögliche Antwort darauf ist: „Ich vertraue jedem ... aber nur bis zu einem gewissen Punkt.“

Also, lassen Sie uns darüber sprechen, wie Vertrauen ein großes Problem im IT-Sicherheitsspiel ist. Zuerst hören wir so viel darüber, wie irgendein Unternehmen von Hackern durchdrungen wurde und Informationen wie Kreditkartennummern und so weiter gestohlen wurden. Seien wir ehrlich, das ist ernstes Zeug und es macht den Menschen Angst. Angst verkauft Zeitungen! Wovon wir nichts hören, sind die tausenden kleinen Hacks, die passieren, weil sie keine Seite durchdrungen haben. Sie mussten es nicht. Sie waren bereits drinnen.

Es war einmal, als ich für ein Unternehmen arbeitete. Sie entwickelten Software und waren darin sehr gut. Ich wurde hauptsächlich eingestellt, um ihre VMware environment einzurichten und in Betrieb zu nehmen. Sie passten ihr Produkt für verschiedene Elektrizitätsversorgungsunternehmen an. Was sie in der Vergangenheit getan hatten, war, dass ein Entwickler zu dem Versorgungsunternehmen ging, um die Software anzupassen und so weiter, nahm er einen Laptop mit und in manchen Fällen bis zu einem Dutzend verschiedener Festplatten. Die Festplatten enthielten ein Betriebssystem, alle ihre Tools und die Software für diese Umgebung. Wenn sie bei dem Versorgungsunternehmen ankamen, nahmen sie ihre Festplatte aus dem Laptop heraus, setzten die für das Unternehmen beschriftete ein und arbeiteten einfach weiter. Eine großartige Idee in der Theorie, aber eine schreckliche in der Ausführung. Festplatten gingen verloren, wurden beschädigt und in einigen Fällen gestohlen. Tatsächlich, als ich alle Festplatten zurückbekam, hatten einige nichts mit der Software zu tun, sondern waren voller Musik, Filme und dergleichen.

Also, VMware kommt ins Spiel. Die Idee ist, dass wir ihre Entwicklungs­umgebung aufbauen, sie an einen Dienstleister senden und dann müssen sie nur noch über VPN auf ihre Arbeit zugreifen, um Anpassungen und Tests vorzunehmen. Auch eine gute Idee, aber hin und wieder mussten wir ihnen trotzdem eine Festplatte mitgeben. In diesem Fall haben wir einfach VMplayer auf ihrem Laptop installiert und ich habe VM Convertor benutzt, um die VM zu kopieren. So konnten sie ihre Arbeit erledigen, ohne sich um eine VPN-Verbindung sorgen zu müssen. Ich kontrollierte die Festplatten, sie wurden zu einem Quittungs­posten und wenn der Entwickler ging, habe ich sie ihm zusammen mit der benötigten VM ausgehändigt. Als sie zurückkamen, saß ich da und wartete auf sie.

Treten Sie ein, Donnie (was nicht sein richtiger Name war)! Er war ein brillanter Entwickler, eine sehr charismatische Persönlichkeit und einer dieser Typen, die mit einer Warnung auf die Welt hätten kommen sollen. Sein größtes Geschenk war, ein netter Kerl zu sein, und er konnte seinen Charme voll aufdrehen. Er konnte die absurdesten, lächerlichsten Ideen nehmen und sie vernünftig klingen lassen.

Also sah er, dass ich die VMs verwaltete und kontrollierte, und er kam mit einer Idee auf mich zu. „Hey, Rich. Ich weiß, du bist eine unglaublich beschäftigte Person“, sagte er und nachdem er mich gute fünf Minuten gelobt hatte, fuhr er fort: „Warum gibst du mir nicht die Erlaubnis, die Laufwerke zu verteilen und die VMs zu klonen und so weiter ...“

Habe ich etwa erwähnt, dass ich Polizist war, als er noch in Windeln lag, ein politisches Amt innehatte und ich einen sehr fein abgestimmten Unsinn-Detektor entwickelt hatte! Er schlug voll aus und eine kleine Stimme warnte mich, ihm nicht weiter zu trauen, als ich ihn werfen konnte.

„Danke, aber nein“, sagte ich.

„Aber ...“

„Welchen Teil von NEIN hast du nicht verstanden?“, fragte ich.

Er ging etwas verstimmt weg.

Er kam nicht zurück und ich dachte, er hätte den Punkt verstanden.

Wenn Sie eine virtualisierte Umgebung betreiben, sollten Sie diese wie ein Falke überwachen. Sie müssen wissen, wie sie funktioniert, und Sie müssen immer wissen, was darin passiert, wie sie funktioniert. Also mache ich immer einen virtuellen Rundgang durch meine Umgebung und überprüfe alles. Und eines Tages, als ich durchging, bemerkte ich ein paar Maschinen, die Schnappschüsse hatten. Keine große Sache, sagen Sie? Nun, Schnappschüsse einfach so liegen zu lassen, ist ein bisschen problematisch, und in manchen Fällen sind sie zu erwarten.

So funktioniert das. In der Welt von VMware ist die sogenannte Festplatte für eine VM eigentlich nur eine Datei, die VMDK-Datei genannt wird (und ja, es kann eine ganze Menge von VMDK-Dateien geben). Viele Backup-Software arbeitet, indem sie einen Snapshot erstellt. Dies versetzt die VMDK in einen Zustand, den wir Quieszenz nennen. Das bedeutet, sie ist stillgelegt und alle Änderungen, die vorgenommen werden (wie hochgeladene Dateien), passieren nicht an der VMDK-Datei. Am Ende des Backups führt die Software den Snapshot mit der VMDK-Datei zusammen, und der Snapshot existiert nicht mehr.

Aber hier war ich und sah mir eine Momentaufnahme an, wo eigentlich keine sein sollte.

OK, dachte ich. Ein paar Möglichkeiten. Erstens, die Backup-Software hat einen Fehler gemacht und sich nicht richtig aufgeräumt. Übrigens, wenn du zufällige Ausfälle der Backup-Software hast, solltest du sicherstellen, dass sie das Snapshot wieder zusammenführt. Möglichkeit zwei. Ich habe ein Snapshot erstellt und es komplett vergessen. Ich erinnerte mich nicht daran, ein Snapshot gemacht zu haben, aber ich bin über 50 und du weißt ja, der Verstand lässt als Erstes nach . . .

Es gab eine dritte Möglichkeit, aber ich hatte ziemlich strenge Kontrolle über das Passwort usw. behalten. Aus Spaß überprüfte ich das Protokoll für Schnappschüsse, fand, wo einer erstellt worden war und dachte, huh, vielleicht habe ich doch etwas Dummes gemacht.

Also habe ich den Schnappschuss aufgeräumt und bin weitergegangen.

Eine Woche später gab es eine weitere Momentaufnahme, und ich dachte mir, was zum Teufel! Ich forschte tiefer und diesmal wurde mir klar, dass etwas Unerwartetes passiert war. Ich ging zu meinem Chef und fragte, ob er eine Momentaufnahme gemacht hatte. Natürlich nicht. Haben Sie das Root-Passwort herausgegeben? Natürlich nicht.

Ich ging und änderte das Passwort und überlegte meinen nächsten Schritt. Offensichtlich hatte ich einen Hacker. Irgendwie war das Passwort kompromittiert worden, also erstellte ich dieses Mal ein neues Passwort und machte es unglaublich lang und unglaublich komplex für das Root-Konto. Aber ich wusste auch aus meinen Jahren als Polizist, dass Einbrecher gerne zurückkommen und Türen rütteln, die in der Vergangenheit schon einmal Beute geliefert haben.

Ich musste auch verfolgen, wer das tat. Also habe ich mir eine SNORT-Box heruntergeladen und aufgebaut. Für diejenigen unter Ihnen, die noch nie mit SNORT gearbeitet haben, lassen Sie mich Ihnen sagen, dass dies eines der besten Intrusion Detection Systems ist, die es gibt. Die Tatsache, dass es kostenlos ist, macht es noch besser.

Nun, ich beobachtete und wartete. Nebenbei gab es mehrere Dinge, die ich hätte tun können, um das Ganze wirklich abzusichern, aber ich wollte den Kerl fangen. Ich war ein wenig misstrauisch und was ich dachte war, dass das Passwort auf die altmodische Weise kompromittiert worden war. Jemand hatte es dem Hacker gegeben. Wenn meine Vermutungen stimmten, würden sie es wieder tun.

Eine Woche später hatte ich nicht nur ein, sondern zwei Snapshots. Und nun ging ich auf die Jagd. Snort spuckte Verbindungsinformationen für diese Zeit aus und ich verfolgte die erfolgreichen und erfolglosen Versuche bis zu einer IP-Adresse. Ich druckte die Informationen aus, fand heraus, welcher Arbeitsplatz diese IP-Adresse gemietet hatte und besuchte den Bediener. Rate mal, es war mein Kumpel, Donnie.

„OK“, sagte ich und schlüpfte wieder in meine alte Polizistenrolle. „Warum tust du, was du tust, Donnie?“

Ich zeigte ihm meine Beweise und er begann zu sprechen. „Ich wollte tun, was ich dir gesagt habe, den Druck von dir nehmen ...“

„Sicher hast du das, und deshalb verteile ich immer noch Festplatten, während du es nicht tust.“ Ich hatte bereits eine Fernüberprüfung seines Rechners durchgeführt und gefragt: „Wo sind die VMs?“

„Auf einer externen Festplatte“, antwortete er nach einer Sekunde. „Sie ist zu Hause.“

„Warum zu Hause?“, fragte ich.

„Ich habe sie auf einen Server gelegt“, sagte er. „Und ich lasse meine Freunde damit spielen!“

Ich spürte, wie die Farbe aus meinem Gesicht wich. Die Software, die Daten, all das war proprietäres Material. Und jetzt ist es im Netz! „Zeig es mir!“

Er öffnete Firefox, gab eine Adresse ein und das Nächste, was ich sah, war eine Webseite, die einen XP Box mit einem vSphere-Client und einer Liste der Maschinen zeigte. Er hatte sich nicht einmal die Mühe gemacht, es richtig abzusichern, und jeder konnte darauf zugreifen.

Ich nickte. Mein schlimmster Albtraum entfaltete sich vor meinen Augen und Ohren. „Wie haben Sie die VMs bekommen?“, fragte ich.

Er sah für einen Moment unbehaglich aus und erklärte dann. „Ich habe mich über den vSphere-Client eingeloggt und ein Snapshot erstellt. Danach konnte ich einfach die VMX- und VMDK-Dateien auf meine externe Festplatte kopieren. Ich habe sie mit nach Hause genommen und in VMPlayer geöffnet!“

„Und deshalb führen wir dieses Gespräch, weil du vergessen hast, hinter dir aufzuräumen.“ Es war an der Zeit, die Frage zu stellen, deren Antwort ich bereits kannte. „Woher hast du das Passwort?“, fragte ich. „Ich habe sie gebeten, es dir nicht zu sagen, weil du nein gesagt hattest.“ Er sah sich um und seufzte. „Ich habe ihnen erzählt, was ich vorhatte, sie fanden es sinnvoll und haben es mir gegeben.“

„Wer ist ‚sie‘?“

„Der Firmenpräsident und Ihr Chef!“

Bis zu diesem Zeitpunkt hatte ich mir vor die Stirn geschlagen, den Kopf geschüttelt und geknurrt: „Komm mit mir!“

Wir betraten das Büro des Präsidenten und erzählten ihm, was ich gefunden hatte und wie seine proprietäre Software nun im Internet für jeden auf der Welt zum Stehlen verfügbar war.

Später bekam ich die ganze Geschichte mit. Er hatte den Razzle-Dazzle gemacht, das 'Gee-Whiz, macht das nicht Sinn?'-Tänzchen, und sie haben es geschluckt. „Wir haben ihm vertraut“, klagte der Firmenpräsident.

Es versteht sich von selbst, dass er nicht mehr lange dort arbeitete. Mit der Polizei im Schlepptau beschlagnahmten wir seinen Webserver und die externe Festplatte, und der einzige Grund, warum er nicht ins Gefängnis ging, ist, dass dieser Sicherheitsvorfall für viele zu peinlich gewesen wäre.

Danach beruhigte sich die Lage etwas. Was Donnie betrifft, so habe ich keine Anzeichen dafür gesehen, dass er überhaupt noch in der IT-Branche ist. Soweit ich weiß, verkauft er vielleicht irgendwo Gebrauchtwagen und lebt glücklich bis ans Ende seiner Tage.