vol de machine à distance : Yes c'est possible !

Partager

 

Prenez le scénario suivant : Une faille de sécurité d'un de vos serveurs est exploitée par un attaquant. Via cette porte d'entrée, il y dépose quelques outils de son choix afin de "cloner" la machine pour ensuite transférer cette image sur un serveur externe sous son contrôle.

Une fois le vol commis, il disparait aux confins de l'Internet : Il a tout le temps requis pour en analyser et en exploiter le contenu. Possédant une image du système, il pourra réactiver un système tel qu'il était initialement afin d'en analyser le fonctionnement et son contenu.

Ce scénario de "cambriolage" est tout à fait vraisemblable : Les outils sont disponibles en téléchargement depuis les sites Internet d'éditeurs de logiciels de virtualisation.
 

Les bénéfices des techniques de virtualisation de serveurs sont désormais bien connus : Sur une seule machine physique on instancie plusieurs machines virtuelles qui s'exécutent simultanément.

La complexité est parfois de faire le pas : Comment migrer une infrastructure "old-school" vers une nouvelle architecture virtualisée ? Différentes méthodes existent : Il y a la possibilité de tout ré-installer : On commence par le système d'exploitation puis les applications, on reconfigure tout ça correctement et ensuite on restaure les données.... C'est dur, long, douloureux et surtout couteux ! Pas bon.

Les éditeurs de solutions de plateformes de virtualisation ont bien compris que pour accélérer la migration vers leurs systèmes, il était essentiel de faciliter cette étape : Les outils permettant de "prendre une photo" d'un système physique afin d'en créer une image virtuelle sont donc naturellement nés.

D'un coté vous avez VMWare Converter pour l'environnement éponyme et de l'autre disk2vhd pour ceux basés sur Virtual-PC/Hyper-V. Ces deux outils permettent de créér une image virtuelle d'un système sans l'arrêter : En résultat on récupère un fichier prêt à démarrer. Pratique.

Un attaquant pourra faire de même, en fin de processus il transféra l'image ainsi générée sur un serveur FTP de rebond... Simple et efficace. Si cela se trouve; on pourrait même voir se développer un marché noir d'images virtuelles de serveurs compromis.... Un peu dans le même mode que pour les appliances virtuelles...(genre VMWare Virtual Appliances).

Jean-François Audenard

Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la prise en compte de la sécurité dans le cycle de vie des produits et services. Je suis passionné par la sécurité informatique et prends énormément de plaisir à partager cette passion via des vidéos, présentations et articles. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens. Vous avez des questions, des idées, des propositions : vous savez où me trouver ! :-)