Como Roubar uma Máquina Virtual em Três Passos Fáceis

Na última semana, um tópico no Spiceworks discutiu sobre um administrador de sistemas desonesto que voltou para assombrar esta empresa. Eu li os diferentes tópicos e um em particular me chamou a atenção: “Vocês parecem um bando de policiais. Vocês não confiam em ninguém? Para confiar em alguém, você mesmo deve ser confiável.”

Por pouco não respondi que gostaria de ser tão ingênuo. Queria poder viver nesse mundo, não que eu seja um pessimista. Sou um otimista com experiência. E minha experiência me diz que a única resposta possível para isso é “Eu confio em todos... Mas só até certo ponto.”

Então, vamos falar sobre como a confiança é um grande problema no jogo da segurança de TI. Primeiro, ouvimos muito sobre como alguma empresa foi penetrada por hackers e informações roubadas, como números de cartões de crédito e assim por diante. Vamos ser honestos, isso é coisa séria e deixa as pessoas com medo. O medo vende jornais! O que não ouvimos falar são as milhares de pequenas invasões que acontecem porque não penetraram em nenhum site. Não precisaram. Eles já estavam dentro.

Era uma vez eu trabalhava para uma empresa. Eles desenvolviam software e eram muito bons nisso. Fui contratado principalmente para colocar o ambiente de VMware em funcionamento. Eles estavam adaptando o produto deles para todo tipo de empresa de serviços elétricos. O que faziam antes era quando um desenvolvedor ia até a utilidade para ajudar a ajustar o software e assim por diante, eles levavam um laptop e, em alguns casos, até uma dúzia de discos rígidos diferentes. Os discos rígidos continham um sistema operacional, todas as ferramentas deles e o software para aquele ambiente. Quando chegavam na utilidade, eles retiravam o disco rígido do laptop, colocavam o que estava etiquetado para aquela empresa e continuavam trabalhando. Ótima ideia em teoria, péssima na execução. Discos estavam sendo perdidos, quebrados e, em alguns casos, roubados. De fato, quando recuperei todos os discos, alguns não tinham nada a ver com o software, mas estavam cheios de música, filmes e assim por diante.

Então, entra a VMware. Agora a ideia é construir o ambiente de desenvolvimento deles, enviá-los para uma utilidade e, então, tudo o que eles precisam fazer é acessar o trabalho deles para fazer ajustes e testes via VPN. Também é uma boa ideia, mas de vez em quando, tivemos que enviar um disco rígido de qualquer forma. Neste caso, simplesmente colocamos o VMplayer no laptop deles, e eu usei o VM Convertor para copiar a VM. Assim, eles podiam fazer o trabalho deles sem se preocupar com uma conexão VPN. Eu controlava os discos rígidos, eles se tornaram um item de recibo, e quando o desenvolvedor saía, eu entregava a eles junto com a VM que precisavam. Quando voltavam, eu estava lá esperando por eles.

Entre Donnie (que não era seu verdadeiro nome)! Agora, ele era um desenvolvedor brilhante, uma pessoa muito carismática e um daqueles caras que deveriam ter nascido com um rótulo de advertência. Seu maior dom era ser um cara legal, e ele conseguia ligar o charme no máximo. Ele podia pegar a ideia mais ultrajante e absurda e fazê-la parecer razoável.

Então ele viu que eu gerenciava e controlava as VMs, e ele se aproximou de mim com uma ideia. “Ei, Rich. Eu sei que você é uma pessoa incrivelmente ocupada”, ele disse e, após me elogiar por bons cinco minutos, continuou: “Por que você não me dá a permissão para distribuir os drives e clonar as VMs e assim por diante . . .”

Por acaso mencionei que eu era policial quando ele ainda usava fraldas, ocupei cargo político e desenvolvi um Medidor de Absurdos muito bem ajustado! Estava no máximo e uma vozinha me avisava para não confiar nele mais do que eu poderia arremessá-lo.

“Obrigado, mas não”, eu disse.

“Mas . . .”

“Qual parte do NÃO você não entendeu?”, eu perguntei.

Ele foi embora meio aborrecido.

Ele não voltou e eu pensei que ele tinha entendido a mensagem.

Se você gerencia um ambiente virtualizado, uma coisa que você deve fazer é monitorá-lo atentamente. Você precisa saber como ele se comporta, e você sempre precisa saber o que acontece nele, como ele se comporta. Então, eu sempre dou uma volta virtual pelo meu ambiente e verifico as coisas. E um dia, enquanto eu estava fazendo isso, notei alguns computadores que tinham snapshots. Não é um grande problema, você diz? Bem, deixar snapshots por aí é um pouco problemático, e em alguns casos eles são esperados.

Eis como isso funciona. No mundo do VMware, o chamado disco rígido para uma VM na verdade não é nada mais do que um arquivo chamado arquivo VMDK (e sim, você pode ter um monte de arquivos VMDK). Muitos softwares de backup funcionam tirando um snapshot. Isso coloca o VMDK em um estado que chamamos de quiescência. Isso significa que ele está em silêncio e quaisquer alterações feitas (como arquivo carregado) não acontecem no arquivo VMDK. Ao final do backup, o software mescla o snapshot no arquivo VMDK, e o snapshot deixa de existir.

Mas aqui estava eu, olhando para um instantâneo onde não deveria existir.

OK, pensei. Algumas possibilidades. Uma, o software de backup falhou e não finalizou o processo como deveria. Aliás, se você tiver falhas aleatórias no software de backup, talvez queira verificar se ele está mesclando o snapshot de volta. Possibilidade dois. Eu fiz um snapshot e esqueci completamente. Não me lembrava de ter feito um snapshot, mas já passei dos 50 e você sabe, a mente é a primeira a falhar...

Havia uma terceira possibilidade, mas eu mantive um controle bem rigoroso sobre a senha etc. Só por curiosidade, verifiquei o log de snapshots, encontrei onde um havia sido criado e pensei, huh, talvez eu tenha feito algo estúpido.

Então eu limpei o snapshot e continuei.

Uma semana depois houve outro snapshot, e eu pensei o que diabos! Investiguei mais a fundo e desta vez percebi que algo inesperado havia acontecido. Fui até o meu chefe e perguntei se ele tinha feito um snapshot. Claro que não. Você deu a senha de root para alguém? Claro que não.

Fui e mudei a senha, e considerei meu próximo passo. Claramente eu tinha um hacker. De alguma forma, a senha havia sido comprometida, então desta vez criei uma nova senha e a fiz incrivelmente longa e incrivelmente complexa para a conta root. Mas eu também sabia, pelos meus anos como policial, que ladrões gostam de voltar e testar portas que já renderam algo no passado.

Também precisei rastrear quem estava fazendo isso. Então, baixei e montei uma caixa SNORT. Para aqueles que nunca mexeram com SNORT, deixem-me dizer que este é um dos melhores Sistemas de Detecção de Intrusão disponíveis. O fato de ser gratuito o torna ainda melhor.

Agora, eu observei e esperei. Por acaso, havia várias coisas que eu poderia ter feito para realmente trancar tudo, mas eu queria pegar o cara. Eu estava um pouco desconfiado, e o que eu estava pensando era que a senha havia sido comprometida da maneira antiga. Alguém a entregou ao hacker. Se minhas suspeitas estivessem corretas, eles tentariam novamente.

Uma semana depois, eu não tinha uma, mas duas capturas de tela. E agora eu fui investigar. O Snort cuspiu informações de conexão para aquele momento e eu rastreei as tentativas bem-sucedidas e mal-sucedidas até um endereço IP. Corri atrás da informação, descobri qual estação de trabalho tinha alugado aquele endereço IP e fui fazer uma visita ao operador. Adivinha só, era o meu amigo, Donnie.

“OK”, eu disse, voltando ao meu antigo eu policial. “Por que você está fazendo o que está fazendo, Donnie?’

Mostrei-lhe as minhas provas e ele começou a falar. “Eu queria fazer o que te disse, aliviar a pressão sobre ti . . .”

“Claro que fez, e é por isso que ainda estou distribuindo discos rígidos enquanto você não está.” Eu já tinha feito uma verificação remota da máquina dele e perguntei, “Onde estão as VMs?”

“Em um disco rígido externo,” ele respondeu após um segundo. “Está em casa.”

“Por que em casa?” Eu perguntei.

“Eu os coloquei em um servidor,” ele disse. “E estou deixando meus amigos brincarem com eles!”

Senti a cor drenar do meu rosto. O software, os dados, tudo era material proprietário. E agora está na rede! “Mostre-me!”

Ele abriu o Firefox, digitou um endereço e a próxima coisa que vi foi uma página da web mostrando um XP Box com um cliente vSphere e várias das máquinas listadas. Ele nem se deu ao trabalho de proteger bem e qualquer um poderia acessá-lo.

Assenti. Meu pior pesadelo estava se desenrolando diante dos meus olhos e ouvidos. “Como você conseguiu as VMs?” Eu perguntei.

Ele parecia desconfortável por um momento e então explicou. “Eu fiz login pelo cliente vSphere e criei um snapshot. Depois consegui simplesmente copiar os arquivos VMX e VMDK para o meu disco rígido externo. Levei-os para casa e os abri no VMPlayer!”

“E então estamos tendo esta conversa porque você esqueceu de limpar depois de si mesmo.” Era hora de fazer a pergunta para a qual eu já sabia a resposta. “Onde você conseguiu a senha?” Eu perguntei. “Eu pedi para eles não te contarem porque você tinha dito não.” Ele olhou em volta e suspirou. “Eu disse a eles o que eu queria fazer, eles acharam que fazia sentido, e me deram.”

“Quem é ‘eles’?”

“O presidente da empresa e o seu chefe!”

Nesse momento, eu já tinha dado um tapa na testa, balançado a cabeça e rosnado, “Venha comigo!”

Entramos no escritório do presidente e contamos a ele o que eu havia descoberto e como seu software proprietário agora estava na internet para qualquer pessoa no mundo roubar.

Mais tarde eu soube de toda a história. Ele fez todo aquele número impressionante, a dança do 'nossa, como isso faz sentido', e eles acreditaram. “Nós confiamos nele”, lamentou o presidente da empresa.

Escusado será dizer que ele não trabalhou lá por muito mais tempo. Com a polícia a acompanhar, adquirimos o servidor web dele, um disco rígido externo e o mero fato de ele não ter ido para a prisão é porque este incidente de segurança teria sido demasiado embaraçoso para muitos.

As coisas acalmaram um pouco depois disso. Quanto ao Donnie, não vi nenhuma evidência de que ele ainda esteja na área de TI. Pelo que sei, ele pode estar vendendo carros usados em algum lugar e vivendo feliz para sempre.