Come rubare una macchina virtuale in tre semplici passaggi

La settimana scorsa, un thread su Spiceworks ha discusso di un amministratore di sistema disonesto che era tornato a perseguitare questa azienda. Ho letto i vari thread e uno in particolare mi ha colpito: “Sembra che voi siate un gruppo di poliziotti. Non vi fidate di nessuno? Per fidarsi di qualcuno, bisogna essere degni di fiducia.”

Stavo quasi per rispondere che avrei voluto poter essere così ingenuo. Vorrei poter vivere in quel mondo, non che io sia un pessimista. Sono un ottimista con esperienza. E la mia esperienza mi dice che l'unica risposta possibile a ciò è “Io mi fido di tutti... Ma solo fino a un certo punto.”

Quindi parliamo di come la fiducia sia un grosso problema nel gioco della sicurezza informatica. Prima di tutto, sentiamo tanto parlare di come qualche azienda sia stata penetrata da hacker, e di come siano state rubate informazioni quali numeri di carte di credito e così via. Siamo onesti al riguardo, questa è roba seria e fa paura alla gente. La paura vende i giornali! Di quello che non sentiamo parlare sono le migliaia di piccoli attacchi che avvengono perché non hanno penetrato nessun sito. Non ne avevano bisogno. Erano già dentro.

C'era una volta in cui lavoravo per un'azienda. Producevano software e erano molto bravi in questo. Sono stato assunto principalmente per far decollare e funzionare il loro ambiente VMware. Si occupavano di adattare il loro prodotto per tutti i tipi di aziende di servizi elettrici. Quello che facevano in passato era che quando uno sviluppatore andava in quella utility per aiutare a personalizzare il software e così via, portava con sé un laptop e, in alcuni casi, fino a una dozzina di hard disk differenti. Gli hard disk contenevano un sistema operativo, tutti i loro strumenti e il software per quell'ambiente. Quando arrivavano all'utility, toglievano il loro hard disk dal laptop, inserivano quello etichettato per quella compagnia e continuavano a lavorare. Ottima idea in teoria, pessima in pratica. Gli hard disk andavano persi, si rompevano e, in alcuni casi, venivano rubati. Infatti, quando ho recuperato tutti gli hard disk, alcuni non avevano nulla a che fare con il software, ma invece erano pieni di musica, film e così via.

Quindi, entra in gioco VMware. L'idea è che costruiamo il loro ambiente di sviluppo, li inviamo a un servizio utility e poi tutto ciò che devono fare è accedere al loro lavoro per apportare modifiche e test tramite VPN. Anche questa è una buona idea, ma ogni tanto dovevamo comunque inviarli con un disco rigido. In questo caso, abbiamo semplicemente installato VMplayer sul loro laptop e ho usato VM Convertor per copiare la VM. In questo modo potevano svolgere il loro lavoro senza preoccuparsi della connessione VPN. Io controllavo i dischi rigidi, diventavano un oggetto da ricevuta e quando lo sviluppatore se ne andava, glielo consegnavo insieme alla VM di cui avevano bisogno. Quando tornavano, ero lì ad aspettarli.

Entra Donnie (che non era il suo vero nome)! Ora, lui era uno sviluppatore geniale, una persona molto carismatica, e uno di quegli individui che avrebbero dovuto nascere con un'etichetta di avvertimento. Il suo più grande dono era essere un bravo ragazzo, e sapeva come accendere il suo fascino al massimo. Riusciva a prendere l'idea più oltraggiosa e assurda e renderla ragionevole.

Così ha visto che gestivo e controllavo le VM e si è avvicinato a me con un'idea. “Ehi, Rich. So che sei una persona incredibilmente impegnata,” ha detto e dopo avermi lodato per un buon cinque minuti ha continuato: “Perché non mi dai il permesso di distribuire i drive e clonare le VM e così via . . .”

Ho per caso menzionato che ero un ufficiale di polizia quando lui era ancora in fasce, ho ricoperto una carica politica, e avevo sviluppato un Nonsense Meter molto finemente tarato! Stava andando fuori scala e una vocina mi avvertiva di non fidarmi di lui più di quanto potessi lanciarlo.

“Grazie, ma no,” dissi.

“Ma . . .”

“Quale parte del NO non hai capito,” ho chiesto.

Se ne è andato un po' seccato.

Non è tornato e ho pensato che avesse capito il messaggio.

Se gestisci un ambiente virtualizzato, una cosa che dovresti fare è sorvegliarlo attentamente. Devi sapere come si comporta e devi sempre sapere cosa succede al suo interno, come si comporta. Quindi, faccio sempre una passeggiata virtuale nel mio ambiente per controllare le cose. E un giorno, mentre sto controllando, ho notato un paio di macchine che avevano degli snapshot. Non è un grosso problema, dici? Beh, lasciare degli snapshot in giro può essere un po' problematico e in alcuni casi sono prevedibili.

Ecco come funziona. Nel mondo di VMware, il cosiddetto disco rigido per una VM non è altro che un file chiamato file VMDK (e sì, puoi avere un intero gruppo di file VMDK). Molto software di backup funziona prendendo uno snapshot. Questo mette il file VMDK in uno stato che chiamiamo quiescenza. Ciò significa che è diventato silenzioso e qualsiasi modifica apportata (come file caricato) non avviene al file VMDK. Al termine del backup, il software unisce lo snapshot al file VMDK, e lo snapshot non esiste più.

Ma eccomi qui, a guardare uno snapshot dove non dovrebbe essercene.

OK, ho pensato. Un paio di possibilità. Una, il software di backup ha fatto confusione e non ha completato le operazioni necessarie. A proposito, se riscontri fallimenti casuali del software di backup, potresti voler assicurarti che stia unendo lo snapshot di ritorno. Possibilità due. Ho creato uno snapshot e me ne sono completamente dimenticato. Non ricordavo di aver fatto uno snapshot, ma ho più di 50 anni e si sa, la mente è la prima a cedere . . .

C'era una terza possibilità, ma avevo mantenuto un controllo abbastanza stretto sulla password ecc. Per curiosità, ho controllato il registro degli snapshot, ho trovato dove ne era stato creato uno e ho pensato, uh, forse ho fatto davvero qualcosa di stupido.

Quindi ho ripulito lo snapshot e ho proseguito.

Una settimana dopo c'era un altro snapshot, e mi sono chiesto che diavolo! Ho indagato più a fondo e questa volta mi sono reso conto che era successo qualcosa di inaspettato. Sono andato dal mio capo e gli ho chiesto se avesse fatto uno snapshot. Ovviamente no. Hai dato la password di root? Ovviamente no.

Sono andato e ho cambiato la password, e ho considerato la mia prossima mossa. Chiaramente avevo un hacker. In qualche modo, la password era stata compromessa quindi questa volta ho creato una nuova password e l'ho resa incredibilmente lunga e incredibilmente complessa per l'account root. Ma sapevo anche dai miei anni da poliziotto che ai ladri piace tornare e provare le porte che in passato hanno dato loro un bottino.

Anche io avevo bisogno di tracciare chi stava facendo questo. Così ho scaricato e costruito una SNORT box. Per coloro che non hanno mai sperimentato con SNORT, lasciate che vi dica che questo è uno dei migliori sistemi di rilevamento delle intrusioni disponibili. Il fatto che sia gratuito lo rende ancora migliore.

Ora, osservavo e aspettavo. Casualmente, c'erano diverse cose che avrei potuto fare per bloccarlo definitivamente, ma volevo catturare il ragazzo. Ero un po' sospettoso, e quello che pensavo era che la password fosse stata compromessa alla vecchia maniera. Qualcuno l'aveva data all'hacker. Se le mie supposizioni fossero state corrette, lo avrebbero fatto di nuovo.

Una settimana dopo, non avevo uno, ma due snapshot. E ora sono andato a caccia. Snort ha sputato informazioni sulla connessione per quel periodo e ho tracciato i tentativi riusciti e non riusciti fino a un indirizzo IP. Ho stampato le informazioni, trovato quale postazione aveva ottenuto in leasing quell'indirizzo IP e sono andato a fare una visita all'operatore. Indovina un po', era il mio amico, Donnie.

“OK,” dissi, tornando al mio vecchio io da poliziotto. “Perché fai quello che fai, Donnie?’

Gli ho mostrato le mie prove e lui ha iniziato a parlare. “Volevo fare ciò che ti avevo detto, toglierti la pressione . . .”

“Certo che l'hai fatto, ed è per questo che io sto ancora distribuendo dischi rigidi mentre tu no.” Avevo già controllato a distanza la sua macchina e chiesto, “Dove sono le VM?”

“Su un hard disk esterno,” rispose dopo un secondo. “È a casa.”

“Perché a casa?” ho chiesto.

“Li ho messi su un server,” ha detto. “E sto lasciando che i miei amici ci giochino!”

Ho sentito il colore svanire dal mio viso. Il software, i dati, tutto era roba proprietaria. E ora è sulla rete! “Fammi vedere!”

Ha aperto Firefox, digitato un indirizzo e la cosa successiva che ho visto è stata una pagina web che mostrava un XP Box con un client vSphere e un elenco di macchine. Non si era nemmeno preoccupato di proteggerlo adeguatamente e chiunque poteva accedervi.

Ho annuito. Il mio peggiore incubo si stava svolgendo davanti ai miei occhi e alle mie orecchie. “Come hai ottenuto le VM?” ho chiesto.

Sembrava a disagio per un attimo e poi ha spiegato. “Mi sono collegato tramite il client vSphere e ho creato uno snapshot. Poi sono stato in grado di copiare semplicemente i file VMX e VMDK sul mio hard disk esterno. Li ho portati a casa e li ho aperti in VMPlayer!”

“E quindi stiamo avendo questa conversazione perché ti sei dimenticato di pulire dopo di te.” Era il momento di fare la domanda per cui conoscevo già la risposta. “Dove hai preso la password?” ho chiesto. “Ho chiesto loro di non dirtelo perché avevi detto di no.” Guardò in giro e sospirò. “Gli ho detto cosa volevo fare, hanno pensato che avesse senso e me l'hanno data.”

“Chi sono ‘loro’?”

“Il presidente dell'azienda e il tuo capo!”

A quel punto mi ero dato uno schiaffo sulla fronte, scosso la testa e ringhiato, “Vieni con me!”

Siamo entrati nell'ufficio del presidente e gli abbiamo detto cosa avevo scoperto e come il suo software proprietario fosse ora su internet a disposizione di chiunque nel mondo per rubarlo.

Più tardi ho avuto la storia completa. Aveva fatto il razzle dazzle, il ballo del gee-whiz non ha senso tutto questo, e loro ci sono cascati. “Ci fidavamo di lui,” si lamentava il presidente dell'azienda.

Inutile dire che non ha lavorato lì molto più a lungo. Con la polizia al seguito, abbiamo acquisito il suo server web e l'hard disk esterno e il solo fatto che non sia finito in prigione è perché questo incidente di sicurezza sarebbe stato troppo imbarazzante per molti.

Le cose si sono calmate un po' dopo quello. Per quanto riguarda Donnie, non ho visto alcuna prova che sia ancora nel settore IT. Per quanto ne so, potrebbe vendere auto usate da qualche parte e vivere felice e contento.