Comment voler une machine virtuelle en trois étapes faciles

La semaine dernière, un fil de discussion sur Spiceworks a évoqué un administrateur système voyou qui était revenu hanter cette entreprise. J'ai lu les différents fils de discussion et un en particulier m'a marqué : « Vous avez l'air d'un groupe de policiers. Vous ne faites confiance à personne ? Pour faire confiance à quelqu'un, il faut être digne de confiance soi-même. »

J'ai failli répondre que j'aurais aimé pouvoir être aussi naïf. J'aimerais vivre dans ce monde, non pas que je sois pessimiste. Je suis un optimiste avec de l'expérience. Et mon expérience me dit que la seule réponse possible à cela est « Je fais confiance à tout le monde... Mais seulement jusqu'à un certain point. »

Alors parlons de comment la confiance est un gros problème dans le jeu de la sécurité informatique. Tout d'abord, nous entendons tellement parler de comment une entreprise a été pénétrée par des pirates, et des informations volées telles que des numéros de carte de crédit, etc. Soyons honnêtes à ce sujet, c'est grave, et cela fait peur aux gens. La peur fait vendre les journaux ! Ce dont nous n'entendons pas parler, ce sont les milliers de petits piratages qui se produisent parce qu'ils n'ont pas pénétré de site. Ils n'avaient pas besoin. Ils étaient déjà à l'intérieur.

Il était une fois, je travaillais pour une entreprise. Ils créaient des logiciels et ils étaient très doués dans ce domaine. J'ai été recruté principalement pour mettre en place et faire fonctionner leur environnement VMware. Ils adaptaient leur produit pour toutes sortes de compagnies d'électricité différentes. Ce qu'ils faisaient auparavant, c'était qu'un développeur se rendait chez l'utilité pour aider à personnaliser le logiciel, etc., il emportait un ordinateur portable et, dans certains cas, jusqu'à une douzaine de disques durs différents. Les disques durs contenaient un système d'exploitation, tous leurs outils et le logiciel pour cet environnement. Lorsqu'ils arrivaient chez l'utilité, ils retiraient leur disque dur de leur ordinateur portable, inséraient celui étiqueté pour cette entreprise et continuaient à travailler. Excellente idée en théorie, idée terrible en pratique. Les disques se perdaient, se cassaient et dans certains cas étaient volés. En effet, lorsque j'ai récupéré tous les disques, certains n'avaient rien à voir avec le logiciel, mais étaient plutôt remplis de musique, de films, et ainsi de suite.

Alors, VMware entre en jeu. L'idée est que nous construisons leur environnement de développement, nous les envoyons à une utilité, et ensuite tout ce qu'ils ont à faire pour accéder à leur travail afin d'apporter des modifications et des tests est via VPN. Aussi une bonne idée, mais de temps en temps, nous devions quand même leur envoyer un disque dur. Dans ce cas, nous avons simplement jeté VMplayer sur leur ordinateur portable, et j'ai utilisé VM Convertor pour copier la VM. De cette façon, ils pouvaient faire leur travail sans avoir à se soucier d'une connexion VPN. Je contrôlais les disques durs, ils devenaient un article de réception, et lorsque le développeur partait, je les lui remettais avec la VM dont ils avaient besoin. Quand ils revenaient, j'étais là assis à les attendre.

Voici Donnie (ce n'était pas son vrai nom) ! C'était un développeur brillant, une personne très charismatique, et l'un de ces gars qui auraient dû naître avec une étiquette d'avertissement. Son plus grand don était d'être un type sympa, et il pouvait activer son charme à plein régime. Il pouvait prendre l'idée la plus scandaleuse, la plus absurde et la rendre raisonnable.

Alors il a vu que je gérais et contrôlais les VMs, et il est venu vers moi avec une idée. « Hé, Rich. Je sais que tu es une personne incroyablement occupée », a-t-il dit et après m'avoir fait des éloges pendant cinq bonnes minutes, il a continué : « Pourquoi ne me donnes-tu pas la permission de distribuer les disques et de cloner les VMs et ainsi de suite . . . »

Ai-je mentionné que j'étais officier de police quand il était encore en couches, que j'ai occupé un poste politique et que j'avais développé un Détecteur de Nonsense très finement réglé ! Il était au maximum et une petite voix me mettait en garde de ne pas lui faire confiance plus que je ne pourrais le lancer.

« Merci, mais non », ai-je dit.

« Mais ... »

« Quelle partie du NON n’avez-vous pas comprise », ai-je demandé.

Il est parti un peu vexé.

Il n'est pas revenu et j'ai cru qu'il avait compris le message.

Si vous gérez un environnement virtualisé, une chose que vous devriez faire est de le surveiller comme un faucon. Vous devez savoir comment il se comporte, et vous devez toujours savoir ce qui se passe dedans, comment il se comporte. Donc, je fais toujours une promenade virtuelle dans mon environnement pour vérifier les choses. Et un jour, en faisant ma ronde, j'ai remarqué quelques machines qui avaient des instantanés. Ce n'est pas un gros problème, dites-vous ? Eh bien, laisser traîner des instantanés est un peu problématique, et dans certains cas, ils sont attendus.

Voici comment cela fonctionne. Dans le monde de VMware, le disque dur dit d'une VM n'est en réalité rien de plus qu'un fichier appelé fichier VMDK (et oui, vous pouvez avoir toute une série de fichiers VMDK). Beaucoup de logiciels de sauvegarde fonctionnent en prenant un instantané. Cela met le fichier VMDK dans un état que nous appelons quiescence. Cela signifie qu'il est devenu silencieux et que les modifications apportées (comme le téléchargement de fichier) ne se produisent pas sur le fichier VMDK. À la fin de la sauvegarde, le logiciel fusionne l'instantané dans le fichier VMDK, et l'instantané n'existe plus.

Mais me voici, à regarder une capture d'écran où il ne devrait pas y en avoir.

D'accord, je me suis dit. Deux possibilités. Une, le logiciel de sauvegarde a foiré et ne s'est pas nettoyé après utilisation. D'ailleurs, si vous avez des échecs aléatoires du logiciel de sauvegarde, vous voudrez peut-être vous assurer qu'il fusionne bien le snapshot. Possibilité deux. J'ai fait un snapshot et j'ai tout oublié à ce sujet. Je ne me souvenais pas avoir fait un snapshot, mais j'ai plus de 50 ans et vous savez, la mémoire est la première chose qui flanche . . .

Il y avait une troisième possibilité, mais j'avais gardé un contrôle assez strict sur le mot de passe, etc. Juste pour le plaisir, j'ai vérifié le journal des instantanés, trouvé où l'un avait été créé et je me suis dit, tiens, peut-être que j'ai fait quelque chose de stupide.

Alors j'ai nettoyé l'instantané et j'ai continué.

Une semaine plus tard, il y avait une autre capture d'écran, et je me suis dit quoi diable ! J'ai creusé plus profondément et cette fois j'ai réalisé que quelque chose d'inattendu s'était produit. Je suis allé voir mon patron et lui ai demandé s'il avait fait une capture d'écran. Bien sûr que non. Avez-vous donné le mot de passe root ? Bien sûr que non.

Je suis allé changer le mot de passe et j'ai réfléchi à ma prochaine action. Manifestement, j'avais affaire à un pirate. D'une manière ou d'une autre, le mot de passe avait été compromis, alors cette fois j'ai créé un nouveau mot de passe et je l'ai rendu incroyablement long et complexe pour le compte root. Mais je savais aussi, grâce à mes années en tant que policier, que les cambrioleurs aiment revenir et vérifier les portes qui ont déjà été fructueuses par le passé.

J'avais également besoin de suivre qui faisait cela. Alors j'ai téléchargé et construit moi-même une boîte SNORT. Pour ceux d'entre vous qui n'ont jamais utilisé SNORT, laissez-moi vous dire que c'est l'un des meilleurs systèmes de détection d'intrusion disponibles. Le fait qu'il soit gratuit le rend encore meilleur.

Maintenant, j'observais et attendais. Par ailleurs, il y avait plusieurs choses que j'aurais pu faire pour vraiment sécuriser le système, mais je voulais attraper le type. J'étais un peu méfiant, et ce que je pensais, c'était que le mot de passe avait été compromis à l'ancienne. Quelqu'un l'avait donné au pirate. Si mes suppositions étaient correctes, ils le feraient à nouveau.

Une semaine plus tard, je n'avais pas une, mais deux captures instantanées. Et là, je suis parti à la chasse. Snort a craché des informations de connexion pour cette période et j'ai suivi les tentatives réussies et échouées jusqu'à une adresse IP. J'ai imprimé les informations, trouvé quel poste de travail avait obtenu cette adresse IP et je suis allé rendre visite à l'opérateur. Devinez quoi, c'était mon pote, Donnie.

« D'accord, » dis-je, reprenant mon ancien moi de flic. « Pourquoi fais-tu ce que tu fais, Donnie ? »

Je lui ai montré mes preuves et il a commencé à parler. « Je voulais faire ce que je vous avais dit, vous enlever la pression . . . »

« Bien sûr que tu l'as fait, et c'est pourquoi je distribue toujours des disques durs alors que toi, non. » J'avais déjà effectué une vérification à distance de sa machine et demandé, « Où sont les VMs ? »

« Sur un disque dur externe, » répondit-il après une seconde. « Il est à la maison. »

« Pourquoi à la maison ? » ai-je demandé.

« Je les ai mis sur un serveur », a-t-il dit. « Et je laisse mes amis jouer avec ! »

J'ai senti la couleur quitter mon visage. Le logiciel, les données, tout cela était du matériel propriétaire. Et maintenant, c'est sur le net ! « Montre-moi ! »

Il a ouvert Firefox, tapé une adresse, et la prochaine chose que j'ai vue était une page web montrant un XP Box avec un client vSphere et plusieurs des machines listées. Il ne s'était même pas donné la peine de bien sécuriser l'accès et n'importe qui pouvait y accéder.

J'ai acquiescé. Mon pire cauchemar se déroulait devant mes yeux et mes oreilles. « Comment avez-vous obtenu les VMs ? » ai-je demandé.

Il avait l'air mal à l'aise un instant puis il a expliqué. « Je me suis connecté via le client vSphere et j'ai créé un instantané. J'ai ensuite pu simplement copier les fichiers VMX et VMDK sur mon disque dur externe. Je les ai emportés chez moi et les ai ouverts dans VMPlayer ! »

« Et donc, nous avons cette conversation parce que tu as oublié de nettoyer après toi. » Il était temps de poser la question dont je connaissais déjà la réponse. « Où as-tu obtenu le mot de passe ? » demandai-je. « Je leur ai demandé de ne pas te le dire parce que tu avais dit non. » Il regarda autour de lui et soupira. « Je leur ai dit ce que je voulais faire, ils ont pensé que c'était logique, et ils me l'ont donné. »

« Qui sont ‘ils’ ? »

« Le président de l'entreprise et votre patron ! »

À ce moment-là, je me suis donné une claque sur la tête, j'ai secoué la tête et grogné, « Viens avec moi ! »

Nous sommes entrés dans le bureau du président et lui avons dit ce que j'avais découvert et comment son logiciel propriétaire était désormais sur Internet à la portée de quiconque dans le monde pour le voler.

Plus tard, j'ai eu toute l'histoire. Il avait fait le grand numéro, le coup du 'vous voyez comme ça a du sens', et ils l'ont avalé. « Nous lui faisions confiance », se lamentait le président de l'entreprise.

Inutile de dire qu'il n'a pas travaillé là beaucoup plus longtemps. Avec la police à nos côtés, nous avons acquis son serveur web et son disque dur externe et le simple fait qu'il ne soit pas allé en prison est parce que cet incident de sécurité aurait été trop embarrassant pour beaucoup.

Les choses se sont un peu calmées après cela. Quant à Donnie, je n'ai aucune preuve qu'il soit encore dans l'informatique. Pour autant que je sache, il vend des voitures d'occasion quelque part et vit heureux pour toujours.