Cómo robar una máquina virtual en tres pasos sencillos

Esta última semana, un hilo en Spiceworks discutió sobre un administrador de sistemas renegado que había vuelto para atormentar a esta empresa. Leí los diferentes hilos y uno en particular me llamó la atención: “Ustedes suenan como un grupo de policías. ¿No confían en nadie? Para confiar en alguien, uno mismo debe ser digno de confianza.”

Estuve a punto de responder que desearía poder ser tan ingenuo. Ojalá pudiera vivir en ese mundo, no es que sea un pesimista. Soy un optimista con experiencia. Y mi experiencia me dice que la única respuesta posible a eso es “Confío en todos... Pero solo hasta cierto punto.”

Entonces, hablemos de cómo la confianza es un gran problema en el juego de la seguridad informática. Primero, escuchamos mucho sobre cómo alguna empresa ha sido penetrada por hackers, y se ha robado información como números de tarjetas de crédito y demás. Seamos honestos al respecto, esto es grave, y hace que la gente tenga miedo. ¡El miedo vende periódicos! De lo que no se habla es de los miles de pequeños hackeos que ocurren porque no penetraron ningún sitio. No tuvieron que hacerlo. Ya estaban dentro.

Érase una vez que trabajé para una empresa. Ellos desarrollaban software, y eran muy buenos en ello. Me contrataron principalmente para poner en marcha y operar su entorno de VMware. Estaban adaptando su producto para todo tipo de diferentes empresas de servicios eléctricos. Lo que habían hecho en el pasado era que cuando un desarrollador iba a esa empresa de servicios para ayudar a ajustar el software y demás, llevaban una laptop y, en algunos casos, hasta una docena de discos duros diferentes. Los discos duros tenían un sistema operativo, todas sus herramientas y el software para ese entorno. Cuando llegaban a la empresa de servicios, sacaban su disco duro de la laptop, colocaban el que estaba etiquetado para esa empresa y simplemente seguían trabajando. Gran idea en teoría, idea terrible en ejecución. Los discos se perdían, se rompían y en algunos casos eran robados. De hecho, cuando recuperé todos los discos, algunos no tenían nada que ver con el software, sino que estaban llenos de música, películas y demás.

Entonces, llega VMware. Ahora la idea es que construyamos su entorno de desarrollo, los enviamos a una utilidad y luego todo lo que tienen que hacer es acceder a su trabajo para realizar ajustes y pruebas a través de VPN. También es una buena idea, pero de vez en cuando, teníamos que enviarles un disco duro de todas formas. En este caso, simplemente instalamos VMplayer en su portátil y utilicé VM Convertor para copiar la VM. De esta manera podían hacer su trabajo sin tener que preocuparse por una conexión VPN. Yo controlaba los discos duros, se convirtieron en un artículo de recibo y cuando el desarrollador se iba, se los entregaba junto con la VM que necesitaban. Cuando volvían, yo estaba allí esperándolos.

¡Entra Donnie (que no era su verdadero nombre)! Ahora bien, él era un desarrollador brillante, una persona muy carismática, y uno de esos tipos que deberían haber nacido con una etiqueta de advertencia. Su mayor don era ser un buen tipo, y podía encender su encanto al máximo. Podía tomar la idea más descabellada y preposterous y hacerla sonar razonable.

Así que vio que yo manejaba y controlaba las VMs, y se acercó a mí con una idea. “Oye, Rich. Sé que eres una persona increíblemente ocupada”, dijo y después de alabarme por unos buenos cinco minutos continuó: “¿Por qué no me das permiso para distribuir los discos y clonar las VMs y demás...”

¿Mencioné alguna vez que era oficial de policía cuando él todavía usaba pañales, ocupé un cargo político y desarrollé un Medidor de Tonterías muy afinado? ¡Estaba al máximo y una pequeña voz me advertía que no confiara en él ni tanto como pudiera lanzarlo!

“Gracias, pero no,” dije.

“Pero . . .”

“¿Qué parte del NO no entendiste?”, pregunté.

Se fue un poco molesto.

No volvió y pensé que había entendido la idea.

Si administras un entorno virtualizado, una cosa que deberías estar haciendo es vigilarlo como un halcón. Necesitas saber cómo se desempeña y siempre necesitas saber qué sucede en él, cómo se desempeña. Por eso, siempre doy un paseo virtual por mi entorno y reviso las cosas. Y un día, mientras lo hacía, noté un par de máquinas que tenían instantáneas. ¿No es gran cosa, dices? Bueno, dejar instantáneas por ahí es un poco problemático y en algunos casos se espera que estén.

Así es como funciona. En el mundo de VMware, el llamado disco duro para una VM no es más que un archivo llamado archivo VMDK (y sí, puedes tener un montón de archivos VMDK). Muchos programas de copia de seguridad funcionan tomando una instantánea. Esto pone el VMDK en un estado que llamamos quiescencia. Eso significa que se ha quedado en silencio y cualquier cambio realizado (como archivos subidos) no ocurre en el archivo VMDK. Al final de la copia de seguridad, el software fusiona la instantánea con el archivo VMDK, y la instantánea deja de existir.

Pero aquí estaba yo, mirando una instantánea donde no debería haber una.

Bueno, pensé. Un par de posibilidades. Una, el software de respaldo falló y no se limpió después de sí mismo. Por cierto, si tienes fallos aleatorios del software de respaldo, quizás quieras asegurarte de que está fusionando la instantánea de nuevo. Posibilidad dos. Hice una instantánea y me olvidé por completo de ella. No recordaba haber hecho una instantánea, pero ya tengo más de 50 y ya sabes, la mente es lo primero que se va . . .

Había una tercera posibilidad, pero había mantenido un control bastante estricto sobre la contraseña, etc. Solo por curiosidad, revisé el registro de instantáneas, encontré donde se había creado una y pensé, huh, tal vez hice algo estúpido.

Así que limpié la instantánea y continué.

Una semana después hubo otra instantánea, y pensé ¡qué diablos! Investigué más a fondo y esta vez me di cuenta de que había sucedido algo inesperado. Fui a mi jefe y le pregunté si había hecho una instantánea. Por supuesto que no. ¿Le diste la contraseña de root a alguien? Por supuesto que no.

Fui y cambié la contraseña, y consideré mi próximo paso. Claramente tenía un hacker. De alguna manera, la contraseña había sido comprometida así que esta vez creé una nueva contraseña y la hice increíblemente larga e increíblemente compleja para la cuenta root. Pero también sabía por mis años como policía que a los ladrones les gusta volver y probar puertas que en el pasado han dado buenos resultados.

También necesitaba rastrear quién estaba haciendo esto. Así que descargué y construí una caja SNORT. Para aquellos de ustedes que nunca han jugado con SNORT, permítanme decirles que este es uno de los mejores Sistemas de Detección de Intrusiones disponibles. El hecho de que sea gratuito lo hace aún mejor.

Ahora, observé y esperé. Casualmente, había varias cosas que podría haber hecho para asegurarlo completamente, pero quería atrapar al tipo. Estaba un poco sospechoso, y lo que pensaba era que la contraseña había sido comprometida de la manera tradicional. Alguien se la dio al hacker. Si mis suposiciones eran correctas, lo harían de nuevo.

Una semana después, no tenía una, sino dos capturas de pantalla. Y ahora me fui de caza. Snort escupió información de la conexión para ese momento y rastreé los intentos exitosos e intentos fallidos hasta una dirección IP. Corrí con la información, encontré qué estación de trabajo había alquilado esa dirección IP y fui a visitar al operador. Adivina qué, era mi amigo, Donnie.

“OK,” dije, volviendo a mi antiguo yo de policía. “¿Por qué haces lo que haces, Donnie?’

Le mostré mis pruebas y él comenzó a hablar. “Quería hacer lo que te dije, aliviar la presión sobre ti . . .”

“Claro que lo hiciste, y por eso sigo repartiendo discos duros mientras tú no.” Ya había revisado su máquina de forma remota y pregunté, “¿Dónde están las VMs?”

“En un disco duro externo”, respondió después de un segundo. “Está en casa.”

“¿Por qué en casa?” pregunté.

“Los puse en un servidor”, dijo. “¡Y estoy dejando que mis amigos jueguen con ellos!”

Sentí cómo el color se drenaba de mi rostro. El software, los datos, todo era material propietario. ¡Y ahora está en la red! “¡Muéstrame!”

Abrió Firefox, escribió una dirección y lo siguiente que vi fue una página web mostrando una XP Box con un cliente vSphere y una lista de las máquinas. Ni siquiera se había molestado en protegerlo bien y cualquiera podría acceder a él.

Asentí. Mi peor pesadilla se estaba desplegando ante mis ojos y oídos. “¿Cómo conseguiste las VMs?” pregunté.

Parecía incómodo por un momento y luego explicó. “Inicié sesión a través del cliente vSphere e hice una instantánea. Luego pude simplemente copiar los archivos VMX y VMDK a mi disco duro externo. ¡Los llevé a casa y los abrí en VMPlayer!”

“Y así estamos teniendo esta conversación porque olvidaste limpiar después de ti mismo.” Era hora de hacer la pregunta para la cual ya sabía la respuesta. “¿Dónde conseguiste la contraseña?” pregunté. “Les pedí que no te lo dijeran porque tú habías dicho que no.” Miró alrededor y suspiró. “Les dije lo que quería hacer, pensaron que tenía sentido y me la dieron.”

“¿Quiénes son ‘ellos’?”

“¡El presidente de la empresa y tu jefe!”

Para entonces ya me había dado una palmada en la frente, sacudido la cabeza y gruñido, “¡Ven conmigo!”

Entramos a la oficina del presidente y le contamos lo que había encontrado y cómo su software propietario ahora estaba en internet al alcance de cualquiera en el mundo para robar.

Más tarde obtuve toda la historia. Hizo todo el espectáculo deslumbrante, el baile del asombroso '¿no tiene esto sentido?', y ellos se lo tragaron. “Confiamos en él”, lamentó el presidente de la empresa.

No hace falta decir que no trabajó allí mucho tiempo más. Con la policía de acompañante, adquirimos su servidor web y disco duro externo y el mero hecho de que no fuera a la cárcel se debe a que este incidente de seguridad habría sido demasiado vergonzoso para muchos.

Las cosas se calmaron un poco después de eso. En cuanto a Donnie, no he visto ninguna evidencia de que siga en TI. Por lo que sé, podría estar vendiendo coches usados en algún lugar y viviendo feliz para siempre.