Você está na página 1de 67

FACULDADE UNISABER

JOSAN NEVES DE CASTRO WESCLEY NEVES DE CASTRO

IMPACTOS DA VIRTUALIZAÇÃO NA SEGURANÇA DA INFORMAÇÃO

CEILÂNDIA - DF

JUNHO/2009

Josan Neves de Castro Wescley Neves de Castro

IMPACTOS DA VIRTUALIZAÇÃO NA SEGURANÇA DA INFORMAÇÃO

Trabalho de Conclusão de Curso da Faculdade Unisaber, a ser apresentado como requisito parcial para a obtenção do título de tecnólogo em segurança da informação.

Orientadores:

MSc Frederico Jorge C. Bomfim MSc Ricardo Sant'Ana

Ceilândia - DF

Junho/2009

Josan Neves de Castro Wescley Neves de Castro

IMPACTOS DA VIRTUALIZAÇÃO NA SEGURANÇA DA INFORMAÇÃO

Aprovado em:

Trabalho de Conclusão de Curso da Faculdade Unisaber, a ser apresentado como requisito parcial para a obtenção do título de tecnólogo em segurança da informação.

COMISSÃO DE AVALIAÇÃO

Prof. MSc. Frederico Jorge C. Bomfim Orientador

Prof. Esp. Fábio Alves de Araújo Avaliador

Prof. Pós-Grad. Jones Milton de Sousa Carneiro Avaliador

Dedicamos este trabalho a nossos amados pais e familiares.

AGRADECIMENTOS

Agradecemos primeiramente a Deus por nos guiar e iluminar diariamente, dando-nos

saúde e força para prosseguir em nossa jornada. Aos colegas que contribuíram com a sua

amizade e incentivo ao longo destes anos e também a todos os professores(as) que direta ou

indiretamente

proporcionaram-nos

a

capacidade

e

conhecimento

necessários

para

que

pudéssemos concluir este trabalho, especialmente aos nossos orientadores que pacientemente

nos acompanharam em todas as etapas de constituição do mesmo. Não podíamos deixar de

agradecer aos(às) nossos(as) amigos(as) e familiares pela compreensão para com nossa

ausência para a elaboração deste trabalho.

Nosso

trabalho

buscou

RESUMO

verificar

quais

seriam

os

impactos

da

implantação

de

tecnologias de virtualização nas empresas, relativos à área de segurança da informação. Para

a realização dele utilizamos de pesquisa documental devido a escassez de bibliografia,

específica na área de segurança da informação, que contivesse informações atualizadas sobre

sua influência na virtualização. Como resultado desta pesquisa, nosso trabalho mostra através

de dados estatísticos, problemas apresentados por especialistas e promessas de soluções para

estes problemas a curto prazo, um panorama não muito favorável à implementação de

virtualização nas empresas sem antes realizar uma análise de riscos seguida pela modelagem

de ameaças, para a adaptação dos recursos existentes para a área de segurança da informação.

Algumas medidas paliativas e sugestões de acompanhamento a futuras soluções e tecnologias,

que podem vir a influenciar diretamente na segurança dos ambientes virtualizados, também

são apresentadas.

Palavras-chave: Impactos. Segurança. Virtualização.

ABSTRACT

Our work aims to evaluate what would be the impacts of deploying virtualization

technologies in enterprises, on the area of information security. To do it we use documentation

research due to shortage bibliography, specifically in the area of information security, that

contained updated informations about they influence on virtualization. As a result of this

research, our work shows through statistics, problems presented by experts and promises

solutions

to these problems

in

the

short

term,

a

scenario

not

very favorable

to

the

implementation of virtualization in enterprises without first conducting a risk analysis

followed by modeling threats, to adapt existing resources to the area of information security.

Some remedial measures and follow-up suggestions for future solutions and technologies that

are likely to directly influence the security of virtualized environments are also presented.

Keywords: Impacts. Security. Virtualization.

SUMÁRIO

1

Introdução

09

2 Justificativa para o tema

10

3 Referenciais teóricos

12

 

3.1

O que é rootkit?

12

 

3.1.1 Tipos de rootkits

13

3.2 Máquinas virtuais

15

3.3 Monitores de máquinas virtuais

15

3.3.1 Tipos de hypervisors

16

4 O que é virtualização?

17

 

4.1 Benefícios advindos da virtualização

18

4.2 Fatores adversos da virtualização

19

4.3 Tipos de virtualização quanto a forma de execução

20

4.4 Tipos de virtualização quanto a forma de utilização

21

5 Impacto da virtualização na segurança da informação

24

 

5.1 Modelos de ameaça aos ambientes virtualizados

24

5.2 Agravantes

28

6 Segurança da informação nas empresas brasileiras

31

7 O que verificar com relação à segurança

38

8 Exemplos de malware específicos para ambientes virtualizados

40

9 Formas de proteção a ambientes virtualizados

43

 

9.1 Hyperspace

43

9.2 Open Virtualization Format

46

9.3 Virtual appliances

47

 

9.4 VMsafe

48

 

9.5 Padrão OpenFlow de comunicação

49

9.6 Políticas de segurança

51

9.7 Novas switches virtuais

51

 

10 Conclusão

53

9

1 Introdução

A princípio havíamos definido como objetivo a pesquisa sobre as características de rootkits que afetavam a ambientes virtualizados e quais problemas estes ataques poderiam causar às empresas, visto o interesse crescente por esta tecnologia nos últimos anos, principalmente após a crise financeira de 2008, que assolou as economias de todo o mundo e ainda reverbera nas bolsas de valores, ainda não havendo certeza sobre quanto tempo levará para que seus efeitos deixem de ser sentidos. Esta crise agravou as cobranças das empresas sobre os setores de tecnologia da informação para a redução de custos, fazendo com que os olhos de vários diretores fossem voltados para as tecnologias de virtualização, com suas promessas de redução de consumo de energia, melhor aproveitamento do potencial de processamento dos servidores, entre outras. Após um contato relativamente suficiente com o assunto, verificamos que haviam algumas deficiências com relação à segurança da informação nos ambientes virtualizados. O que nos levou a mudar de foco ampliando a abrangência de nossa pesquisa, que ocorreu com base no tipo documental, onde buscamos verificar até que ponto seria seguro para uma empresa adotar a virtualização como forma de reduzir custos, e como esta adoção poderia afetar os níveis de segurança da informação já existentes nestas empresas.

10

2 Justificativa para o tema

A justificativa está justamente nas diversas formas e razões pelas quais cada vez mais empresas e pessoas decidem aplicar a tecnologia para resolver um determinado problema. O avanço da tecnologia de virtualização nos últimos anos foi enorme, saltando de suas origens nos antigos mainframes para o desktop comum de um usuário doméstico. Isso somado à necessidade de economia, fator sempre visível nos ambientes corporativos mas que assumiu proporções maiores após a crise econômica global ocorrida no segundo semestre de 2008, impulsiona o interesse das empresas que buscam a consolidação de seu parque de servidores e sensível economia de energia, aderindo à chamada TI Verde. Dados estatísticos oferecidos pela Symantec, empresa atuante no setor de tecnologia da informação em escala mundial oferecendo soluções em anti-vírus, gerenciamento e proteção de dados, entre outras, indicam que o controle de custos é a iniciativa prioritária no meio corporativo, enquanto que a virtualização de servidores é o caminho principal para essa redução de custos para uma de cada três empresas pesquisadas.

de custos para uma de cada três empresas pesquisadas. Figura 1: Gráfico sobre a utilização da

Figura 1: Gráfico sobre a utilização da virtualização em data center's no ano de 2008. 1

11

Pelo gráfico da pesquisa mostrado pela Figura 1 verificamos que, das 1.600 companhias participantes no ano de 2008, 27% planejavam a aplicação da virtualização em suas centrais de dados no ano de 2008 enquanto que outros 28% passaram da fase de implantação em 2007 restando somente 21% em 2008, ou seja, mais da metade das companhias pesquisadas planejavam ou já implementavam as tecnologias de virtualização em suas empresas. Vale ressaltar que a pesquisa foi feita junto a companhias consideradas de grande porte, todas com mais de 5.000 funcionários, em 21 países ao redor do mundo, realizada entre a penúltima semana de setembro e a primeira semana de outubro, o que nos oferece uma noção razoavelmente atualizada do interesse em tecnologias de virtualização por parte das grandes empresas onde 49 destas eram localizadas no Brasil.

12

3 Referenciais teóricos Antes de abordarmos o tema central desta pesquisa, falaremos um pouco sobre outros tópicos importantes para a compreensão do que buscamos demonstrar.

3.1 O que é rootkit?

Segundo o Sans Institute, um instituto estabelecido nos Estados Unidos em 1989 como uma organização de pesquisa cooperativa e educação na área de tecnologia, rootkit é uma coleção de programas, também referidas como ferramentas, utilizadas por um hacker para mascarar uma intrusão e obter acesso no nível de administrador em um computador ou rede de computadores, enquanto que a Cartilha de Segurança para Internet do CERT.BR, que é o Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil, define rootkit como:

Conjunto de programas que tem como finalidade esconder e assegurar a presença de um invasor em um computador comprometido. É importante ressaltar que o nome rootkit não indica que as ferramentas que o compõem são usadas para obter acesso privilegiado ( root ou Administrator ) em um computador, mas sim para manter o acesso privilegiado em um computador previamente comprometido. ( CERT.BR, 2006, p.83, grifo do autor ).

Vemos então que, ao contrário do que o nome possa levar a crer, um rootkit não é utilizado para se obter acesso no nível administrativo em um determinado computador. Assim, sintetizando estas duas definições podemos dizer que é uma ferramenta, ou coleção de ferramentas, usadas por um intruso para esconder a si mesmo, mascarando o fato de que um sistema computacional teve sua segurança comprometida, além de permitir manter ou reaver acesso no nível de administrador deste sistema. A instalação de um rootkit é geralmente um dos primeiros recursos a serem utilizados após uma invasão, pois facilita e ofusca a presença do atacante no sistema quando do apagamento de evidências, dificultando a percepção do sucesso da ação do invasor por parte dos administradores legítimos destes sistemas. Entre as funções que um rootkit pode disponibilizar, especialistas destacam as

13

seguintes:

As atividades do atacante com relação a arquivos, processos, conexões de rede, entre outras, ficam difíceis de serem percebidas depois que um rootkit é instalado;

Acesso não autorizado ao sistema através de portas de comunicação abertas pelo rootkit;

Ferramentas de monitoramento como sniffers de rede ou keyloggers;

Editores de logs de sistema, para remover as evidências do ataque bem sucedido;

Ferramentas de hacking para permitir novos ataques a partir da máquina comprometida, ou para estabelecer comunicações com a mesma através de um canal de comunicação seguro para o invasor;

A checagem da integridade do sistema comprometido torna-se muito difícil devido ao comprometimento de funcionalidades básicas, como por exemplo a substituição de comandos próprios do sistema operacional por outros manipulados pelo agressor com o objetivo de mostrar somente resultados que não contrariem os interesses do atacante. Algumas ou várias destas funcionalidades são dispostas em um pacote preparado pelo atacante com as ferramentas que melhor atendam a seus objetivos, e que lhe permitam permanecer escondido e com o domínio do sistema invadido pelo maior tempo possível. Para tanto o invasor já deverá ter obtido ou escalado privilégios de administrador deste sistema. A instalação dos rootkits pode ser feita manualmente, em caso de acesso direto à máquina alvo, ou com a ajuda de vírus ou worms enviados às vítimas por e-mail, recebidos pela navegação em sites com código malicioso presente, ou alguma outra forma de contágio. Após a instalação de um rootkit, um atacante pode monitorar as atividades dos usuários do sistema comprometido, modificar, adicionar ou substituir programas, coletar informações diversas, remover evidências destas modificações ou executar outras funções sem que, a princípio, seja detectado. Claro que estas possíveis ações irão depender dos tipos de softwares escolhidos pelo invasor para comporem o rootkit a ser instalado no sistema alvo.

3.1.1 Tipos de rootkits

Embora não exista uma classificação formal para as diversas variantes, especialistas diferenciam os vários tipos de rootkits de acordo com suas funções e formas de manipulação

14

do sistema depois de instalado. Veremos a seguir alguns destes tipos e as suas características.

User-mode Rootkit: É o tipo de rootkit que basicamente altera ou substitui programas específicos do sistema, especialmente aqueles que tenham ligação direta com a extração de informações do mesmo, como os que verificam os processos ativos, a atividade na rede, o conteúdo do sistema de arquivos, entre outros.

Kernel-mode Rootkit: Ao contrário do tipo user-mode, o kernel-mode rootkit é aquele que atua no nível do kernel ( núcleo ) do sistema operacional. Por não precisar modificar vários programas no sistema alvo, este tipo de rootkit é mais difícil de ser detectado que o citado anteriormente, pois só precisa modificar o kernel do sistema atacado para a manutenção do controle obtido.

System Management Mode Rootkit: Aproveitam-se de uma área reservada da memória dos processadores para ficarem invisíveis ao sistema operacional vitimado, enquanto executam atividades de monitoração, coleta e envio de informações ao atacante.

Virtual Machine Monitor Rootkit: Este tipo de rootkit atua na área de virtualização dos processadores ou programas que recentemente incorporaram esta nova tecnologia, tomando para si o controle do gerenciamento das máquinas virtuais ativas tarefa antes realizada pelo virtual machine monitor, também conhecido como hypervisor ou na livre tradução do termo por Monitor de Máquinas Virtuais. Assim, este malware mantêm o sistema vitimado em um ambiente separado do seu, mas sobre o qual ele tem total domínio. O que permite a este tipo de rootkit manipular e monitorar todas as requisições e tarefas realizadas pelo sistema infectado, ou pelas máquinas virtuais nele em execução, sem que cause impacto significativo no desempenho da máquina comprometida. Daí advém a sua capacidade de permanecer invisível para o sistema infectado. Além disso, podem ser também classificados como persistentes e não-persistentes. Um rootkit persistente é aquele que é ativado a cada inicialização do sistema computacional. Para conseguir isso seu código deve estar armazenado em alguma parte do computador, e também dispor de alguma forma de iniciar-se automaticamente. Por outro lado, um rootkit não- persistente não é capaz de iniciar-se novamente após a reinicialização do sistema por ele anteriormente infectado.

15

3.2 Máquinas virtuais

Segundo a nossa livre tradução da informação contida na seção de terminologias da International Business Machines, empresa mundialmente conhecida como IBM, uma máquina virtual é uma instância de um sistema de processamento de dados que parece estar à disposição de um único usuário, mas cujas funções são realizadas através do compartilhamento de recursos com um sistema de processamento de dados físico. Também a define como uma especificação abstrata para um dispositivo computacional que pode ser implementado de diferentes maneiras em software e hardware.

3.3 Monitores de máquinas virtuais

Os Monitores de Máquinas Virtuais ( ou VMM, de Virtual Machine Monitor ), também conhecidos por hypervisor, são componentes de software responsáveis por hospedar as máquinas virtuais utilizadas pelo hospedeiro responsável pela virtualização e controle do compartilhamento de recursos do hardware ( como dispositivos de entrada e saída, memória, armazenamento, processamento, entre outros ) utilizados pelas máquinas convidadas, além de também gerenciar a execução e as requisições de recursos emitidas por cada uma dessas máquinas virtuais. Um VMM é executado em modo supervisor ( administrador ), ao contrário das máquinas virtuais que são executadas em modo usuário. Dessa forma, no momento em que uma máquina virtual executa uma instrução com privilégios avançados, é função do VMM tratar essas requisições através de interrupções e devolvendo uma resposta virtualizada a esta instrução. Para melhor entendimento observe a figura a seguir. Ela nos mostra um exemplo do esquema de hierarquia das permissões de execução das aplicações em ambientes virtualizados. Os vários anéis representam as diferentes camadas e seus níveis de privilégios de acesso onde quanto mais próxima do centro da hierarquia for o anel, mais privilégios de execução a aplicação possuirá.

16

16 Figura 2: Anel de permissões de execução em ambientes virtualizados. 2 3.3.1 Tipos de hypervisors

Figura 2: Anel de permissões de execução em ambientes virtualizados. 2

3.3.1 Tipos de hypervisors

São classificados pelos especialistas em dois tipos. Os hypervisors do tipo 1, também chamados de “Bare Metal”, em alusão ao seu acesso direto ao hardware, são softwares que atuam no nível do anel 0, localizado no centro da figura 2, onde atuam diretamente sobre o hardware e abaixo do sistema operacional hospedeiro. Dispõe de completo domínio sobre o hardware físico, assim como de todas as requisições feitas em nível menos privilegiado pelas máquinas virtuais em execução. Já os hypervisors do tipo 2 são softwares executados “em cima” de um sistema operacional padrão ou modificado. Necessita de um maior poder de processamento, pois será mais um aplicativo a concorrer com as máquinas virtuais pelos recursos computacionais do sistema onde foi instalado.

17

4 O que é virtualização?

O primeiro êxito obtido com a tecnologia de virtualização foi a concepção do CP-67, um software destinado a mainframes da linha IBM 360/67 que disponibilizava a seus usuários um sistema virtualizado proprietário da IBM. Os resultados apresentados por essa inovação foram excelentes. Com o sucesso do CP-67, a IBM resolveu dar continuidade em seu projeto e lançou o VM/370, um Virtual Machine Monitor ( Monitor de máquina Virtual) para embarcar em seus sistemas 370 com arquiteturas estendidas que já visavam a virtualização em si. Os sistemas operacionais virtualizados e seus respectivos aplicativos, chamados de convidados, são executados dentro de máquinas virtuais criadas para que cada um deles “imagine” ser um sistema computacional físico, real e único, quando na verdade estão sendo executados em um ou mais ambientes virtuais sob o controle de um sistema operacional principal, chamado de hospedeiro. Esta tecnologia é definida como virtualização. A ilustração a seguir fornecerá uma idéia geral da estrutura de um sistema computacional não-virtualizado e de um com recursos de virtualização. Vemos nela que é adicionada uma nova camada de aplicação junto ao hardware físico do equipamento onde, através do sistema operacional hospedeiro e o Monitor de Máquinas Virtuais, consegue-se instalar vários outros sistemas operacionais e/ou aplicações que trabalharão em ambientes separados.

e/ou aplicações que trabalharão em ambientes separados. Figura 3: Modelo de funcionamento da tecnologia de

Figura 3: Modelo de funcionamento da tecnologia de virtualização. 3

18

Devemos destacar em um ambiente virtualizado os papéis do hospedeiro e do convidado:

É dado o papel de hospedeiro ao sistema operacional que possui acesso direto ao hardware físico onde a virtualização está sendo utilizada, ou seja, o sistema operacional primário da máquina física. Vale ressaltar que podemos utilizar somente um sistema hospedeiro por vez, ao contrário dos sistemas convidados.

É dado o papel de convidado ao sistema operacional executado sobre o sistema operacional hospedeiro, através de uma máquina virtual. Neste nível podemos manter sistemas operacionais idênticos, versões distintas de um mesmo sistema operacional ou mesmo sistemas operacionais totalmente distintos entre si.

4.1 Benefícios advindos da virtualização

Alguns dos principais benefícios notados em uma infra-estrutura virtualizada é o melhor aproveitamento do parque de máquinas instaladas e a consolidação de servidores. Desta forma podemos direcionar recursos de serviços e aplicações conforme a demanda do negócio. Adotando a virtualização obtemos um ecossistema de Tecnologia da Informação otimizado, uma vez que podemos selecionar o melhor ambiente para cada tipo de aplicação, criando aglomerados de aplicações similares na exigência de recursos e forma de execução. Problemas com balanceamento de carga nos servidores podem ser melhor tratados neste tipo de arquitetura, uma vez que os sistemas virtuais podem ser remanejados visando o aumento de desempenho de determinado servidor físico. A administração de serviços se torna mais dinâmica e facilitada, uma vez que podemos criar servidores conforme a demanda, aumentando substancialmente a garantia de alta disponibilidade de serviços sem adição de novos equipamentos. Desta forma podemos gerenciar servidores como se fossem arquivos em disco, facilitando operações de backup e restauração, além da implementação de medidas preventivas contra incidentes ou recuperação de desastres. Manutenção de hardware mais eficiente, uma vez que podemos ter vários serviços rodando em um mesmo equipamento, e a possibilidade de realocá-los para outros terminais conforme a necessidade de manutenção de algum servidor físico em uso.

19

Adesão ao trato com o meio ambiente pois para cada serviço, habitualmente, deveria se manter um hardware específico para determinada aplicação, onde cada um consumiria cerca de cinqüenta reais mensais em gastos com energia elétrica. Quanto mais servidores, maior a necessidade de resfriamento deste ambiente, teríamos somados a isso mais gastos com condicionadores de ar compatíveis a essa temperatura gerada e uma maior necessidade de manutenção de todo esse ambiente. Assim podemos notar que, quanto mais infra-estrutura de máquinas possuirmos, mais gastos com energia e reparação teremos, mas o impacto principal dessa cultura não somos capazes de perceber de imediato: o fator ambiental. Mesmo com os avanços na direção de se gerar uma energia elétrica limpa, ela ainda representa uma ameça ambiental, seja pela emissão de carbono gerada pela queima de combustíveis para a obtenção de energia, ou pela devastação para a construção de usinas hidroelétricas por exemplo ou, principalmente, pelo rápido ciclo de evolução da tecnologia. Enfim, após a implementação de virtualização na área de TI poderíamos concentrar em um único hardware, os serviços de firewall, gateway, servidor de e-mail e distribuição da rede, que antes iriam necessitar de quatro máquinas independentes. Isso representaria uma redução significativa tanto em matéria de custos com hardware, quanto de gastos em energia consumida e indiretamente, gerada.

4.2 Fatores adversos da virtualização

A migração para ambientes virtualizados pode exigir um alto custo inicial em alguns casos, devido a exigência de equipamentos robustos para que sustentem de forma confiável a alta carga de serviços que esta nova infra-estrutura irá receber inicialmente, ou em um futuro próximo. O retorno do investimento não é percebido de forma rápida, e muito menos significativo para a empresa, nos casos em que o investimento inicial no processo de implantação da virtualização for demasiadamente elevado. Outros problemas encontrados são as limitações das ferramentas encontradas no mercado atual, referentes a administração destes ambientes. Conforme o número de máquinas virtuais aumenta, as ferramentas não conseguem disponibilizar uma quantidade de dados referentes a essas redes para que as equipes de TI possam ter uma real idéia do que se passa

20

em seus ambientes virtualizados. Vulnerabilidades de segurança do hospedeiro podem ser de certa forma absorvidas indiretamente pelas máquinas convidadas, ou vice-versa, uma vez que o monitor de máquinas virtuais nada mais é que uma camada de software e assim, sujeito às vulnerabilidades de seu sistema operacional. Os preços praticados para a implantação dessa tecnologia, o licenciamento de fabricantes e os gastos com suporte ainda destoam da realidade de boa parte das empresas. Por se tratar de uma tendência nova, não se sabe ainda ao certo quantas máquinas virtuais podemos executar em um processador sem que haja prejuízos na qualidade dos serviços prestados. A capacitação adequada de administradores e gerentes de TI também se torna um fator negativo na hora de se decidir na implantação de uma infra-estrutura virtualizada, uma vez que a necessidade de profissionais capacitados para gerenciar esta nova abordagem de gerenciamento se torna crucial para o sucesso e continuidade da migração. Onde demandará práticas específicas, políticas de segurança personalizadas e uma constante atualização, uma vez que, por se tratar de um ambiente relativamente novo e diferenciado do habitual, poderemos nos deparar com novas e diferentes ameaças, além de problemas de continuidade de negócios ao longo dos tempos.

4.3 Tipos de virtualização quanto a forma de execução

Na tecnologia de virtualização, existem três tipos principais que se destacam por suas características particulares quanto a forma de execução:

Emulação por hardware: Possui um grau de complexidade de implantação diferenciado dos demais tipos de arquitetura, por emular os ciclos de clock da CPU, assim como seus conjuntos de instrução e memória cache. A Emulação por hardware é bastante difundida entre desenvolvedores de firmware, além de hardwares que não possuem um compilador. Um ponto negativo que podemos citar para a emulação por hardware seria o critério desempenho: por virtualizar funcionalidades de uma máquina real em execução, temos uma perda significativa de desempenho quando comparada a uma arquitetura não emulada.

21

Virtualização Completa: Tradução do termo full virtualization, se caracteriza por possuir um gerenciador de máquinas virtuais que irá fazer a ligação entre o hardware físico e as máquinas virtuais usadas, criando assim um ambiente completamente idêntico ao ambiente físico e facilitando a interação de qualquer sistema operacional que esteja virtualizado com o hardware não emulado.

Para-Virtualização: Consiste em criar uma arquitetura virtual, diferente da arquitetura real utilizada pelo sistema, e disponibilizá-la para o uso do sistema operacional virtualizado. Este tipo de virtualização cria um aumento de performance das máquinas virtuais que usufruem deste sistema, exigindo apenas pequenas modificações nos sistemas virtualizados, criando chamadas de sistema que fazem-no comunicar-se com o hardware virtualizado, criado pelo Virtual Machine Monitor, de forma que este seja o responsável pelas requisições vindas da máquina virtual, ao invés de requisitar diretamente ao hardware real.

Nested Virtualization: Não encontramos uma tradução oficial para o termo embora em uma tradução livre queira dizer virtualização aninhada, consiste na execução de uma máquina virtual dentro de outra. Ou seja, a execução de um sistema computacional virtualizado dentro de outro também virtualizado.

4.4 Tipos de virtualização quanto a forma de utilização

Além da forma de execução, profissionais da área também classificam os diferentes tipos de virtualização de acordo com o modo de utilização da tecnologia. Veremos a seguir algumas das mais freqüentes formas de aplicação da tecnologia.

Virtualização de servidores de aplicação: É usada desde os primeiros balanceadores de carga, isso esclarece porque tal termo é usado até os dias de hoje como sinônimo de balanceamento avançado de carga. Podemos compreender melhor este conceito de virtualização como sendo um balanceador de carga proxy, mas em modo reverso: Seria um serviço fornecendo acesso transparente a vários outros serviços de aplicação diferentes. Ou seja, um proxy reverso hospedaria uma interface virtual que estaria acessível em modo front-end ao usuário, mas em back-end, o proxy possuiria a função de equilibrar a carga entre vários servidores e várias aplicações diferentes de forma

22

similar a um servidor web.

Sua interface virtual, também chamada de IP virtual, ficaria exposta ao mundo real como se fosse realmente um servidor web gerenciando as conexões que chegam e saem, atendendo sua demanda, permitindo ao balanceamento de carga gerenciar múltiplos servidores web e outras aplicações como se fossem realmente uma única instância, disponibilizando uma proteção mais alta que a exigida caso os usuários acessassem de forma direta e individual os servidores web. Essa é uma forma de representação de virtualização onde um servidor é disponibilizado ao mundo real, ocultando a existência de outros servidores através

de uma aplicação de proxy de forma reversa.

Virtualização de aplicações: É importante diferenciarmos os conceitos de

virtualização de servidores de aplicações da virtualização de aplicações. O que hoje definimos como virtualização de aplicação nada mais é que os thin clients de anteriormente. Ou seja, um computador com poucos ou nenhum aplicativo instalado assume a função de cliente em uma rede baseada no modelo cliente- servidor, tornando-se dependente de um servidor principal para o processamento

de suas atividades.

A virtualização de uma aplicação é uma forma de se poder instalar e utilizar

determinada aplicação ao mesmo tempo que se protege o sistema operacional e também outras aplicações de modificações que poderiam vir a afetar de forma negativa a estabilidade de todo o sistema. Enfim, tornando determinada aplicação independente dos componentes de seu sistema operacional.

Virtualização de apresentação: Na virtualização de apresentação a responsabilidade do processamento, que deveria ser realizado no terminal diante do usuário, é transportado para um servidor otimizado para garantir esta capacidade e disponibilidade. Somente são tratados pelo terminal do usuário o ambiente para a interação, tais como dispositivos de entrada e saída ( mouse, teclados, impressoras, monitor ).

Virtualização de redes: Podemos citar como um exemplo de virtualização de rede através do IP são as tradicionais VLANs, onde uma única porta ethernet possui a função de suportar múltiplas conexões virtuais de múltiplos endereços de IP e redes onde são segmentadas virtualmente. As conexões virtuais de IP que passam

23

pela placa ethernet são completamente independentes e desconhecem a existência umas das outras, mas a switch possui a capacidade de reconhecer cada uma de suas conexões e gerenciá-las de forma independente.

Virtualização de armazenamento: A virtualização de armazenamento disponibiliza uma forma para que vários usuários e também aplicações acessem arquivos armazenados em diversos dispositivos sem se preocuparem em onde ou como são gerenciados, permitindo que o armazenamento físico seja compartilhado por vários aplicativos, dispostos de forma não centralizada, como se esses espaços físicos de armazenagem atrás da interface de virtualização representasse um único dispositivo sem limites físicos.

Virtualização de sistemas operacionais: Talvez esta seja a forma de virtualização mais comum encontrada atualmente, responsável por tornar o mecanismo de virtualização tão difundido entre os profissionais de tecnologia. Os sistemas operacionais virtualizados são simplesmente implementações completas de mais de um tipo de sistema operacional rodando simultaneamente em um mesmo dispositivo físico, e gerenciados pelos Monitores de Máquinas Virtuais. Várias empresas como a VMware, Xen, Red Hat entre outras, além de empresas tradicionais em outras áreas de aplicativos e equipamentos como a Microsoft, Intel e AMD trabalham hoje para tornar possível a independência dos sistemas operacionais com relação a hardwares.

24

5 Impacto da virtualização na segurança da informação

Afinal, o que representa a virtualização especificamente para a área de segurança da informação? Vários especialistas neste campo, em todo o mundo, concordam que a virtualização, embora seja visualizada como uma solução para a redução de custos, ao mesmo tempo em que se aproveita melhor a infra-estrutura de tecnologia da informação existente nas empresas, também trás consigo vários problemas novos para o gerenciamento da segurança nestes ambientes. Algumas das razões apresentadas são de que a virtualização pode nos trazer:

Maior complexidade: Como poderemos verificar no decorrer desta pesquisa, ambientes que implementam esta tecnologia adquirem maior complexidade para o gerenciamento da segurança da informação justamente pela facilidade de sua multiplicação, o que agrega maior dificuldade de gerenciamento na mesma proporção;

Novas brechas de segurança: Novas plataformas geralmente agregam novas formas de se burlar as medidas de segurança implementadas. Não é suficiente aprender como determinada tecnologia funciona e quais benefícios ela trará para colocar em prática a sua implementação. Há de se estudar a forma como esta nova tecnologia influirá sobre o funcionamento da infra-estrutura de TI como um todo. Sabendo disso não podemos apenas verificar em quanto poderemos reduzir os custos de uma corporação, quanta energia deixará de ser despendida ou quão melhor será o aproveitamento do parque instalado de servidores, mas também como a incorporação das tecnologias de virtualização impactarão a segurança dos dados circulantes nesta empresa, como as medidas de segurança implantadas atualmente lidarão com esse novo ambiente e como será controlada a proliferação de serviços virtuais em execução nestes servidores.

5.1 Modelos de ameaça aos ambientes virtualizados

Um ambiente virtualizado pode ser alvo de qualquer tipo de ataque que um não- virtualizado possa vir a sofrer, afinal trata-se basicamente de um servidor ou desktop como qualquer outro que está em execução, com a única diferença de que esta execução ocorre em uma máquina virtual.

25

Tendo isso em mente, e adicionando-se a complexidade de administração gerada pela estruturação de um ambiente virtualizado, Christofer Hoff (2008), Chief Security Architect da Unisys nos Estados Unidos, empresa mundial de Tecnologia da Informação, atuante na área de serviços, software e tecnologia, apresentou cinco possíveis cenários de ataque a este tipo de ambiente. As ilustrações extraídas da apresentação de Christofer Hoff (2008) foram aqui adicionadas com a devida autorização do autor, conforme documento constante no ANEXO 1:

do autor, conforme documento constante no ANEXO 1: Figura 4: Modelo de ameaça onde um sistema

Figura 4: Modelo de ameaça onde um sistema convidado ataca outro. 4

Convidado a convidado: Neste cenário, mostrado pela Figura 4, encontraremos uma máquina virtual comprometida atacando uma ou mais máquinas virtuais convidadas, podemos citar como exemplo worms tentando espalhar-se na rede utilizando os recursos de uma máquina virtual infectada;

26

26 Figura 5: Ameaça onde um sistema convidado ataca o hospedeiro. – Convidado a hospedeiro: No

Figura 5: Ameaça onde um sistema convidado ataca o hospedeiro.

Convidado a hospedeiro: No cenário mostrado pela Figura 5, teremos uma máquina virtual atacando o sistema que gerencia o ambiente virtualizado. Podemos citar usuários legítimos do ambiente virtualizado tentando obter acesso ao sistema hospedeiro;

virtualizado tentando obter acesso ao sistema hospedeiro; Figura 6: Ameaça onde um sistema convidado é atacado

Figura 6: Ameaça onde um sistema convidado é atacado por si mesmo.

Convidado a si mesmo: A Figura 6 caracteriza basicamente um ataque originado na própria máquina virtual visando ela própria, como por exemplo uma tentativa de escalar privilégios realizada por um usuário comum do sistema virtualizado

27

objetivando aumentar suas permissões de acesso neste ambiente;

aumentar suas permissões de acesso neste ambiente; Figura 7: Ameaça onde o ataque é externo e

Figura 7: Ameaça onde o ataque é externo e tem como alvo o sistema hospedeiro.

Externo a hospedeiro: No exemplo mostrado pela Figura 7, teremos um ataque sendo realizado de fora da rede interna e tendo como alvo o sistema hospedeiro. Neste cenário, podemos citar como exemplo crackers tentando obter acesso não- autorizado à rede interna com as mais diversas finalidades maliciosas;

à rede interna com as mais diversas finalidades maliciosas; Figura 8: Ameaça onde o ataque é

Figura 8: Ameaça onde o ataque é de fonte externa e tem como alvo um dos sistemas virtualizados.

Externo a convidado: No cenário demonstrado pela Figura 8 encontraremos um ataque sendo realizado de fora da rede interna com o objetivo de controlar o

28

sistema operacional em execução em uma das máquinas virtuais. Vemos então que, a partir da modelagem destes cenários de ameaças, um ambiente com tecnologia de virtualização tem um nível de complexidade de administração maior, com relação à segurança da informação, que um ambiente não-virtualizado. Tem-se toda uma nova camada de operações atuando na antiga estrutura de TI, novos pontos de ataque que podem afetar o ambiente, o que demanda também novas medidas para a integração, monitoração, manutenção, correção, recuperação, entre outras, que considerem este novo panorama, atendendo aos ambientes virtualizado ou não-virtualizado com a mesma eficiência e níveis de proteção antes previstos pela política da empresa.

5.2 Agravantes

Como se já não fosse bastante o nível de complexidade maior para o gerenciamento de um ambiente virtualizado, alguns fatores agravam e diferenciam a problemática da segurança da informação nestes ambientes. Dave Shakleford (2009), Chief Security Officer da Configuresoft detectou algumas lacunas ainda não resolvidas e que tornam a proteção destes ambientes uma missão nada fácil. Uma dessas lacunas refere-se ao efeito chamado de VM Sprawl, que impacta justamente no gerenciamento do parque virtual. Uma tradução livre para o termo seria Expansão de Máquinas Virtuais e esta expansão caracteriza-se pela proliferação de máquinas virtuais pelo ambiente sem o devido controle. O VM Sprawl ocorre como resultado de processos de controle de mudanças deficientes, falta de manutenção dos inventários ou controle deficiente de funções e privilégios. Todos esses fatores podem originar a expansão desordenada de máquinas virtuais dentro do ambiente e complicar a retomada de seu controle por parte dos administradores de segurança. Segundo experiência destes mesmos especialistas, a maior parte dos testes de penetração em redes resultam em brechas de segurança causadas por sistemas que tiveram sua manutenção ignorada, ou seja sem a aplicação de correções de segurança ou atualizações, justamente por não existirem nos inventários produzidos. Outra ruptura na segurança destes ambientes ocorre devido ao mau gerenciamento de configurações e mudanças. Com relação a este problema há uma gama considerável de variáveis que podem influenciar negativamente os níveis aceitáveis de segurança. Entre elas

29

podemos citar:

Falta de atualizações e/ou correções de segurança em sistemas operacionais, aplicativos, bases de dados, hardware, plataformas de virtualização e ferramentas de gerenciamento;

Falta de controle da implantação, modificação ou deleção de máquinas virtuais;

Mudanças não documentadas no ciclo de vida dos objetos;

Movimentação desordenada de máquinas virtuais entre diferentes hospedeiros;

Adição, modificação ou deleção de switches virtuais;

Modificação de VLANs;

Entre outras.

Algumas destas configurações e gerenciamentos também são influenciadas por outro fator que pode vir a contribuir com complicações para o controle destas modificações, que é a escolha do hypervisor ideal há ser implantado no parque computacional da empresa. A partir da escolha do tipo ideal, há ainda a opção de escolha entre vários fornecedores diferentes que concorrem oferecendo seus produtos aos interessados no mercado de virtualização. Empresas como IBM, Microsoft, Red Hat, VMware, Citrix, Quest Software, Parallels, Sun Microsystems, Oracle, Symantec, entre outras, dispõem de soluções para virtualização com o objetivo de atender à demanda por estes produtos. Só por ter de escolher entre as várias opções disponíveis já torna a tarefa difícil mas por vezes, e cada vez com mais freqüência, encontramos ambientes em que é necessário não apenas uma, mas várias soluções de vários fornecedores diferentes, agregando diversas estratégias diferentes para manter as variadas soluções implantadas sempre atualizadas e alinhadas com as politicas de segurança adotadas. A definição de quem e como controla os ambientes virtualizados também pode causar transtornos quanto a segurança. Como é feita a divisão de papéis e como estes são desempenhados dentro da infra-estrutura computacional é uma tarefa que deve ser realizada com cautela e controle, tanto com relação a usuários quanto a máquinas virtuais. Segundo os especialistas da área, uma fraca definição destes papéis e permissões é comumente encontrada. Outros problemas são relacionados ao tráfego de dados através de redes virtuais. Um sistema de detecção de intrusão ou um firewall físico é capaz de monitorar o tráfego em redes virtuais? Não sem que várias adaptações sejam aplicadas.

30

O controle de acesso por endereçamento MAC pode ser aplicado? Não a partir do momento em que estes são fornecidos aleatoriamente por um fornecedor como por exemplo a VMware, se este for o fornecedor escolhido para a implantação, a cada requisição de um novo dispositivo de rede. Não há, por enquanto, como compilar listas de endereços MAC confiáveis para a realização de controle de acesso por endereçamento. Podemos ver o quão delicada é a questão da segurança em ambientes de TI virtualizados, mas não enxergamos ainda todo o panorama. Vejamos mais algumas informações interessantes.

31

6 Segurança da informação nas empresas brasileiras

Como dissemos anteriormente, um ambiente virtualizado está sujeito a qualquer ameaça imposta aos ambientes não virtualizados e, como vimos até agora, há algumas dificuldades de controle que agravam estas ameaças, podendo dar-lhes maior dimensão. Para entender melhor como estas ameaças podem vir a afetar os ambientes de TI atualmente, vamos recorrer a alguns dados publicados na pesquisa realizada com empresas brasileiras no ano de 2008 pelo CETIC.BR – Centro de Estudos sobre as Tecnologias da Informação e da Comunicação. Esta pesquisa envolveu 3.168 empresas com acesso à Internet, nas diversas regiões do país, com diferentes portes e áreas de atuação. Os diversos aspectos da utilização das tecnologias da informação são verificadas anualmente através das várias edições desta pesquisa, que busca verificar o avanço destas tecnologias no ambiente empresarial, retratando em números as diversas formas como as empresas tratam as tecnologias de informação e comunicação. Destes números, coletamos aqueles que referenciam especificamente a questão da segurança da informação, focando apenas as suas totalizações no contexto geral do país, para verificar em que nível de valorização e importância esta se encontra na visão dos empresários brasileiros. As questões respondidas foram as mais variadas e traçaram um perfil que demonstra consciência com relação à importância da segurança dos dados que trafegam ou são armazenados nestas empresas, porém evidenciam a falta de experiência e de estratégias para a proteção efetiva e contínua destes dados.

Pesquisa TIC Empresas 2008 Medidas de apoio à segurança adotadas 2% 33% Política de segurança
Pesquisa TIC Empresas 2008
Medidas de apoio à segurança adotadas
2%
33%
Política de segurança
ou uso aceitável dos
recursos de TIC
Programa de treinamen-
to para funcionários em
segurança da informa-
ção
Não adotou nenhuma
medida de apoio à se-
gurança da informação
Não sabe ou não
respondeu
58%
22%

Figura 9: Totalizações referentes às medidas de apoio à segurança adotadas pelas empresas. 5

5 Figuras 9 – 16 criadas a partir das tabelas constantes na pesquisa: CETIC.BR. TIC Empresas 2008:

Indicadores. 2008. Disponível em:<http://www.cetic.br/empresas/2008/>. Acesso em: 27 mai. 2009.

32

Através dos resultados mostrados na Figura 9 vemos que 58% das empresas não adotou nenhuma medida de apoio à segurança da informação, não tem uma estratégia formada sobre o assunto ou sequer uma política de segurança da informação, um dado alarmante visto que todas tem acesso à grande rede. Uma observação quanto aos dados apresentados é de que as respostas da pesquisa eram de múltipla escolha, ou seja uma empresa poderia dispor de políticas de segurança mas não oferecer treinamentos em segurança da informação aos seus funcionários, daí vem a razão pela qual a totalização extrapola os 100%.

Pesquisa TIC Empresas 2008 Tecnologias de segurança adotadas 1% 36% Anti-vírus 98% Anti-spam 64% Anti-spyware
Pesquisa TIC Empresas 2008
Tecnologias de segurança adotadas
1%
36%
Anti-vírus
98%
Anti-spam
64%
Anti-spyware
Sistemas de detec-
ção de intrusão (IDS)
Não possui ne-
nhuma das tecno-
logias citadas
Não sabe ou não
respondeu
Firewall
74%
68%

Figura 10: Totalizações referentes às tecnologias de segurança adotadas pelas empresas.

No gráfico da Figura 10 fica evidente que não há uma completa desinformação sobre a segurança da informação visto que, embora não exista em todas elas uma estratégia para a proteção da rede interna e seus dados, a maioria das empresas dispõe de ferramentas para a proteção de seus ambientes. Veremos mais adiante, com a apresentação de outros gráficos relativos à pesquisa, que isso não é suficiente para que possam classificar o problema da segurança da informação como resolvido.

33

Pesquisa TIC Empresas 2008 Tecnologias adotadas para a proteção dos dados 1% 12% 19% Backup
Pesquisa TIC Empresas 2008
Tecnologias adotadas para a proteção dos dados
1%
12%
19%
Backup Interno de dados
sobre as operações da
empresa
84%
25%
Backup de dados of f -site
(mantidos f ora da empresa)
Uso de criptograf ia de da-
dos armazenados em ser-
v idores ou desktops
Uso de criptograf ia para a
proteção de dados em
mídias externas, notebo-
oks, PDAs, ou outros dis-
positiv os móv eis
Não possui nenhuma das
tecnologias citadas
Não sabe ou não respondeu
28%

Figura 11: Totalizações referentes às tecnologias adotadas para a proteção dos dados.

Na Figura 11 vemos que boa parte das empresas se preocupam com a preservação dos dados contidos em suas organizações, porém poucas delas se preocupam com a manutenção de backup's fora do ambiente organizacional. Tão pouco levam em consideração o uso da criptografia para a proteção destes dados dentro ou fora da empresa, ficando os mesmos armazenados sem qualquer tipo de proteção. Novamente constatamos que possuem noção sobre o que fazer, mas não a técnica ou conhecimento sobre como fazer para que seu ambiente computacional possua capacidade de recuperação em caso de desastres ou de se proteger contra o vazamento de informações.

Pesquisa TIC Empresas 2008 Tecnologias adotadas para a comunicação segura entre aplicações cliente-servidor 9% 23%
Pesquisa TIC Empresas 2008
Tecnologias adotadas para a comunicação segura entre aplicações cliente-servidor
9%
23%
21%
SSL/TLS (HTTPS)
VPN (Rede Privada)
Não possui ne-
nhuma das tecno-
logias citadas
Não sabe ou não
respondeu
58%

Figura 12: Totalizações referentes às tecnologias adotadas para a comunicação segura entre aplicações cliente-servidor.

34

Pelos resultados demonstrados na Figura 12 vemos que uma quantidade insuficiente de empresas se preocupa com as informações que circulam entre os seus servidores e as aplicações clientes. Mais da metade delas não implementa qualquer tipo de proteção para estas comunicações, deixando-as abertas a todo tipo de coleta e monitoramento. Representantes comerciais destas empresas trabalham com vendas durante todo o dia, enviando pedidos e recebendo retorno destes com informações sobre estoques, valores de venda, entre outras. Filiais solicitam transferências de mercadorias às matrizes, ou informam as suas sobras de estoque, seus faturamentos, ou outras informações sigilosas de forma totalmente desprotegida.

Pesquisa TIC Empresas 2008 Tecnologias de autenticação adotadas 1% 20% 13% 74% Senhas Certificados digitais
Pesquisa TIC Empresas 2008
Tecnologias de autenticação adotadas
1%
20%
13%
74%
Senhas
Certificados digitais
Tokens ou
OTP
Não possui ne-
nhuma das tecno-
logias citadas
Não sabe
20%
smartcards
34%

Figura 13: Totalizações referentes às tecnologias de autenticação adotadas pelas empresas. Para agravar o quadro da segurança nas empresas, verificamos pelos resultados apresentados na Figura 13 que algumas delas sequer implementam métodos de autenticação para o acesso a suas redes. A grande maioria utiliza senhas como forma de autenticação, algumas até utilizando recursos como One Time Passwords, que são as senhas de uso único, mas este tipo de controle não é muito comum e manter os acessos baseando-se somente na confiança de uma senha que pode não ter sido criada de maneira adequada é um risco potencial.

35

Pesquisa TIC Empresas 2008 Atualizações realizadas por motivo de segurança 2% 47% 42% Sistemas operacionais
Pesquisa TIC Empresas 2008
Atualizações realizadas por motivo de segurança
2%
47%
42%
Sistemas operacionais
(Windows, Linux, Solaris,
etc.)
Aplicativ os (Nav egadores,
leitores de e-mail, etc.)
Serv iços de rede (DNS,
Web, SMTP)
Não possui nenhuma das
tecnologias citadas
Não sabe ou não respondeu
37%
42%

Figura 14: Totalizações referentes às atualizações de programas realizadas por motivo de segurança.

Pelo gráfico da Figura 14 podemos perceber que várias empresas atualizaram seus diversos tipos de aplicativos, sistemas operacionais e serviços de rede por terem passado por problemas de segurança. Infelizmente o que deveria ser uma prática constante e programada só é executada devido a ocorrência de incidentes na área de segurança da informação.

Pesquisa TIC Empresas 2008 Freqüência de atualização do anti-vírus 2% 1% 3% 4% 10% Atualização
Pesquisa TIC Empresas 2008
Freqüência de atualização do anti-vírus
2%
1%
3%
4%
10%
Atualização au-
tomática
Diariamente
Semanalmente
Mensalmente
Trimestralmente
Não sabe ou não
respondeu
79%

Figura 15: Totalizações referentes à freqüência de atualização do anti-vírus.

Com a visualização do gráfico mostrado na Figura 15 verificamos que embora a grande maioria das empresas executem a atualização do anti-vírus da forma correta, ou seja escolhendo sempre a atualização automática, há empresas que atualizam suas bases de

36

assinaturas somente a cada três meses, sendo que algumas nem sabem dizem o intervalo em que são atualizados. Essa prática equivale a não dispor de um anti-vírus instalado.

Pesquisa TIC Empresas 2008 Problemas de segurança identificados Vírus Ataque de negação de serv iço
Pesquisa TIC Empresas 2008
Problemas de segurança identificados
Vírus
Ataque de negação de
serv iço ( DoS )
Cav alos de tróia (trojans)
1%
Ataque ao serv idor Web/
Desf iguração
33%
Worms ou bots
55%
5%
Furto de notebooks, PDAs,
ou outros dispositiv os mó-
v eis
5%
6%
Ataque externo não auto-
rizado
Declarou não ter identif icado
problemas de segurança
Ataque interno não autori-
zado
Não sabe ou não respondeu
6%
Fraude f acilitada pelas tec-
nologias de inf ormação e
comunicação ( Phishing, f ur-
to de identidade, etc.)
9%
10%
48%
19%

Figura 16: Totalizações referentes aos problemas de segurança identificados.

Com o último gráfico compilado a partir da pesquisa, demonstrado pela Figura 16, verificamos em maior detalhe as formas de ataque que foram identificadas pelas empresas. Chamamos atenção para as maiores faixas do gráfico que mostram ataques de vírus com 55%, cavalos de tróia com 48% e worms ou bots com 19% da incidência dos ataques. Vemos que mesmo a grande maioria das empresas pesquisadas mantenham suas soluções em anti-vírus sempre com atualização automática, como visto no gráfico da Figura 16, 55% delas ainda tiveram problemas relacionados a estes tipos de malware. Devemos lembrar novamente que, assim como as outras questões da pesquisa, estas respostas foram de múltipla escolha, obtendo assim um número acima dos 100%. Com isso verifica-se que houve a ocorrência de vários destes problemas em um mesmo ambiente. Outro fato interessante demonstrado pelo gráfico da Figura 16 é que 33% das empresas declararam não ter identificado problemas de segurança, o que não significa propriamente que não ocorreram. Malwares do tipo rootkit podem ser instalados nos sistemas de várias maneiras e encobrirem um comprometimento da segurança da informação, assim

37

estas empresas podem estar sob monitoramento sem ao menos desconfiarem disto, o que pelos dados demonstrados pela pesquisa TIC 2008 não é muito difícil de acontecer. Vamos falar sobre rootkits que ameaçam especificamente ambientes virtualizados mais adiante. A partir de todas as informações demonstradas por esta pesquisa, somadas à complexidade causada pela implementação de virtualização nos ambientes corporativos, pode-se ter agora uma visão melhor dos problemas que uma inserção desta tecnologia sem o devido cuidado.

38

7 O que verificar com relação à segurança

Para a implantação de virtualização em um ambiente corporativo deve-se primeiramente visualizar este ambiente e os possíveis problemas que este poderá causar. Dave Shakleford (2009), demonstrou uma exemplificação deste ambiente e quais os tipos de questionamento que devem ser feitos com relação à eficácia dos procedimentos adotados para a segurança da informação. A figura a seguir mostra essa exemplificação.

A figura a seguir mostra essa exemplificação. Figura 17: Pontos de interesse para a segurança da

Figura 17: Pontos de interesse para a segurança da informação em um ambiente virtualizado. 6

As questões abordadas por Dave Shakleford (2009) em sua apresentação são de extrema relevância para o correto planejamento e implementação da política de segurança em um ambiente virtualizado, cobrindo ao máximo os principais pontos de interesse. São elas:

O sistema operacional hospedeiro está protegido?

O hypervisor está seguro?

Podemos enxergar o tráfego de dados que flui através das switches virtuais?

Podemos segmentar este tráfego apropriadamente?

39

Quão segura está a base de dados?

Os canais de controle e gerenciamento estão seguros?

Como gerenciar e fortificar a segurança dos sistemas operacionais convidados?

Através da verificação das medidas de segurança necessárias, após a meditação sobre estas questões, é preciso criar ou adaptar uma política de segurança que previna ocorrência de incidentes e regule o gerenciamento da estrutura virtualizada.

40

8 Exemplos de malware específicos para ambientes virtualizados

Entre os diversos problemas que podem afetar um ambiente virtualizado, implantado e gerenciado sem o devido cuidado, podemos citar os rootkits virtuais. O conceito teve origem ainda no ano de 2005 onde Samuel T. King et al, pesquisadores da Microsoft e da Universidade de Michigan, apresentou a possibilidade da criação de um rootkit que afetasse especificamente a ambientes virtualizados, fazendo com que a seqüência de boot fosse modificada para que o sistema operacional original fosse carregado no Virtual PC, software de virtualização da Microsoft. No ano de 2006 dois grandes especialistas em segurança da informação apresentaram suas versões de rootkits virtuais. Dino A. Dai Zovi (2006), pesquisador independente na área de segurança da informação, apresentou seu rootkit virtual de nome Vitriol durante a Black Hat USA nos Estados Unidos. Este rootkit teve como alvo o sistema operacional MacOS X utilizando processadores com arquitetura Intel VT-X. Joanna Rutkowska (2006), pesquisadora polonesa, apresentou o seu conceito de rootkit durante a SyScan Conference em Singapura e a Black Hat USA nos Estados Unidos, eventos mundiais sobre segurança da informação, sendo até hoje considerado invisível às implementações de segurança da informação, tais como anti-vírus, detectores de rootkit, entre outros. Joanna nomeou seu rootkit conceito como Blue Pill em alusão à pílula azul oferecida pelo personagem Morpheus ao “escolhido” Neo no filme The Matrix, lançado em 1999.

Neo no filme The Matrix, lançado em 1999. Figura 18: Opções de escolha para o personagem

Figura 18: Opções de escolha para o personagem Neo, em cena do filme The Matrix. 7

41

Durante o filme, o personagem Neo tinha de escolher entre tomar a pílula azul ou outra vermelha, onde esta última lhe libertaria do controle da Matrix e mostraria a verdade com relação ao que ela seria, enquanto que a azul manteria as coisas como estavam e ele não perceberia que continuaria sob o controle dela. Este rootkit foi nomeado de Blue Pill justamente pela similaridade de efeito entre ele e a pílula azul que é oferecida no filme. Após ser instalado em um sistema computacional, o que pode ser feito com este em execução e sem a necessidade de reinicialização mesmo que o sistema operacional hospedeiro seja da família Windows, o Blue Pill tem a capacidade de tomar para si o controle do ambiente, já que atua entre o hypervisor e o hardware, passando a interceptar e controlar todas as requisições feitas pelo hospedeiro ou suas máquinas virtuais convidadas, somente executando tarefas ou mostrando resultados que não contrariem aos interesses do responsável por sua instalação, ao mesmo tempo que se mantém invisível aos olhos e às medidas de segurança implantadas neste ambiente. A figura a seguir mostra um esquema produzido pela autora do Blue Pill e que torna mais fácil a compreensão de sua zona de operação depois de instalado. Como pode ser visto no documento constante no ANEXO 2, recebemos autorização da autora para a inserção de slides de sua apresentação em nosso trabalho.

de slides de sua apresentação em nosso trabalho. Figura 19: O Blue Pill pode ser ativado

Figura 19: O Blue Pill pode ser ativado até mesmo em uma máquina virtual e ainda assim se sobrepor ao hypervisor, tomando o controle do sistema computacional. 8

42

Pelo exemplo mostrado na Figura 19, vemos que o Blue Pill pode infectar um sistema computacional mesmo quando carregado através de uma máquina virtual. Este esquema baseia-se na versão 0.32 do Blue Pill, cujo código foi completamente reescrito e encontra-se disponível na Internet, já que a primeira versão foi desenvolvida durante uma pesquisa feita especificamente para a COSEINC Research, não tendo seu código divulgado. Felizmente como ainda é apenas um conceito este rootkit não foi projetado para ataques em massa, ou persistência na máquina infectada, tendo sido modificado pela autora ao longo destes anos para demonstrações em diferentes arquiteturas de computador, como AMD e Intel. Porém não podemos desprezar o potencial ofensivo demonstrado por este conceito, já que adaptações podem ser feitas ao código disponibilizado para ampliar seu potencial destrutivo. Há ainda muita discussão entre especialistas da área sobre a possibilidade de detecção deste tipo de rootkit, não tendo sido comprovada a capacidade de que os métodos disponíveis possam acusar a sua presença. Porém as demonstrações realizadas comprovam a possibilidade de infecção, controle e capacidade de afetar não só a múltiplas arquiteturas de hardware como também a múltiplos sistemas operacionais, seja ele um Windows, Unix ou GNU/Linux. Todos os rootkits aqui citados aproveitam-se de falhas de segurança dos sistemas operacionais hospedeiros ou dos softwares de gerenciamento de máquinas virtuais para controlarem o sistema computacional infectado.

43

9 Formas de proteção a ambientes virtualizados

Embora existam softwares para virtualização disponíveis gratuitamente na Internet, não foi possível a implementação de um ambiente para testes, visto que os requisitos de hardware constantes nas versões desenvolvidas para servidores corporativos destes softwares, não eram compatíveis com os equipamentos possuídos por nós. Portanto as medidas de diminuição da possibilidade de ocorrência de incidentes foram também baseadas na pesquisa de soluções aos problemas sugeridos por alguns dos especialistas citados no decorrer deste trabalho, além da busca por soluções já existentes específicas na área de segurança e voltadas para a proteção de ambientes virtualizados.

9.1 HyperSpace

Uma das formas de proteção a este tipo de ambiente seria a utilização de um hypervisor especializado, cujas funcionalidades não pudessem ser afetadas por ataques à sua camada de operação. Várias empresas tem buscado formas de proteger suas implementações e uma delas anunciou recentemente que obteve sucesso neste sentido. A Phoenix Technologies, empresa o que produz softwares para núcleos de sistemas computacionais como processadores, BIOS, entre outros, desenvolveu o HyperSpace como uma resposta aos anseios por plataformas mais seguras para a realização de suas tarefas. A definição, segundo a seção de perguntas freqüentes no site da própria empresa, é:

HyperSpace é um ambiente computacional seguro e instantâneo, que executa independentemente ao lado de um sistema operacional primário como o Windows Vista. A plataforma HyperSpace é ativada por um hypervisor eficiente da Phoenix chamado HyperCore(TM), o qual é embutido no interior do firmware do núcleo do sistema, ou BIOS. HyperCore é um leve Zoned Virtual Machine Monitor (ZVMM) que executa um núcleo de serviços especializados lado a lado com o Windows. ( PHOENIX TECHNOLOGIES, 2009, Knowledge Base & FAQ, tradução nossa ).

Este novo tipo de hypervisor ainda não é tão popularizado, porém trata-se de um

44

projeto que vem sendo desenvolvido em conjunto pela Phoenix Technologies e o Invisible Things Lab, esta segunda empresa tem seu foco em sistemas de segurança em virtualização e sistemas operacionais, tendo sido fundada em 2007 por Joanna Rutkowska, atual Chief Executive Officer da empresa. Devido à apresentação de seu rootkit em 2006, Joanna tem recebido vários convites para palestrar sobre segurança em ambientes computacionais virtualizados a várias renomadas empresas, além de ter aceito proposta para trabalhar junto a Phoenix Technologies na produção de um hypervisor que não fosse afetado pelas falhas de segurança reveladas por seu malware. Os resultados desta parceria já começam a ser demonstrados com o lançamento do

HyperSpace Desktop em duas versões: Hybrid e Dual. Ainda segundo informações do site da Phoenix, a versão Hybrid apresenta, após a inicialização do computador no qual foi instalado,

a disponibilização quase instantânea de um ambiente computacional seguro e sempre

conectado à Internet, executando lado a lado uma versão compatível do Windows e utilizando

tecnologia de gerenciamento inteligente de energia, proporcionando uma maior durabilidade

às baterias de computadores portáteis. Por estas características será um grande atrativo para

empresas que buscam esse tipo de recursos para proteger seus ativos computacionais móveis.

A versão Hybrid utiliza tecnologia de virtualização disponível nas arquiteturas Intel

VT-x para permitir a troca instantânea entre ambientes Windows e HyperSpace sem qualquer

interrupção, bastando para tal apenas pressionar a tecla de função f4 no teclado do computador.

A versão Dual oferece os mesmos recursos de segurança, economia de energia e

velocidade de acesso aos aplicativos disponibilizados na versão Hybrid, porém podendo ser

instalada em computadores Intel sem recursos de virtualização em sua arquitetura. Neste caso

a

troca entre os sistemas operacionais deve ser feita através da reinicialização do equipamento

e

escolha do desejado no gerenciador de boot.

O ambiente HyperSpace Desktop prevê o fornecimento dos principais recursos que um

usuário doméstico utilizará na maior parte do tempo, porém algumas das funcionalidades anunciadas ainda não estão disponíveis para utilização, segundo o site da empresa responsável.

A segurança deste ambiente advém da impossibilidade de instalação de aplicativos,

quer seja pelo usuário ou por terceiros, evitando-se assim a contaminação do mesmo. Desta

45

forma não há, tecnicamente, a possibilidade de que algum tipo de malware venha a se instalar no HyperCore ou HyperSpace e vir a causar transtornos aos usuários. Porém ainda é cedo para esta afirmação, visto que nem sempre um malware precisa ser instalado na estrutura do ambiente para causar danos, bastando apenas imaginar que seja encontrada alguma falha de desenvolvimento que permita a permanência e execução de algum tipo de malware na memória volátil, junto aos programas sendo executados, para que o conceito de segurança seja posto abaixo. Infelizmente devido a uma quantidade ainda restrita e bastante específica de arquiteturas de hardware constante nos requisitos de sistema para a instalação e execução do HyperSpace, como pode ser visto na Figura 20, não foi possível testar seu funcionamento a tempo de realizar uma análise mais profunda quanto a velocidade e aplicativos disponibilizados pelas versões do software, visto que não possuíamos um equipamento compatível com os requerimentos de sistema exigidos. Porém esta pode ser uma solução viável para a utilização de notebooks ou handhelds confiáveis por empresas e funcionários, atingindo inclusive o mercado de usuários domésticos.

atingindo inclusive o mercado de usuários domésticos. Figura 20: Requerimentos de sistema para a utilização do

Figura 20: Requerimentos de sistema para a utilização do HypeSpace. 9

Vantagens: Promove a segurança dos usuários através da disponibilização de um sistema operacional pré-configurado com as opções de software mais comuns para a utilização em ambiente doméstico; promessa de segurança plausível visto a impossibilidade de se instalar aleatoriamente novos aplicativos no ambiente; maior velocidade de

46

carregamento e menor consumo de energia nos equipamentos portáteis; pode ser de grande valia também para as corporações através da disponibilização da solução para funcionários que trabalham remotamente. Desvantagens: Impossibilidade de instalação de novos aplicativos sem o aval do fabricante da solução; tem foco maior no usuário doméstico; ambiente com hardware compatível muito restrito; não há informações disponíveis sobre a produção ou adaptação de programas sob encomenda; licença de uso com pagamento anual ou opcionalmente a cada três anos.

9.2 Open Virtualization Format

Esta iniciativa tem o objetivo de padronizar o modo como se empacota e distribui máquinas virtuais. Várias empresas de tecnologia em virtualização criaram este formato aberto e independente de plataforma na tentativa de que outras empresas venham a participar do projeto e o tornem um padrão para a interoperabilidade de aplicações entre as diversas soluções de virtualização disponíveis no mercado. A VMware é uma das empresas participantes do projeto e já disponibiliza em uma loja virtual uma série de aplicações dispostas em máquinas virtuais pré-configuradas, chamadas de Virtual Appliances. Entre as aplicações disponíveis encontramos diversos tipos de soluções, inclusive voltadas para a área de segurança e que graças à utilização do Open Virtualization Format, podem ser modificadas para funcionamento em suas diferentes versões de soluções de virtualização, como converter uma de máquina virtual empacotada para uso em uma versão Workstation para que possa ser instalada em uma versão Server. Vantagens: Esforço conjunto entre várias empresas para proporcionar um padrão de criação para as máquinas virtuais que serão executadas nos ambientes virtualizados, aumentando a interoperabilidade entre as mesmas; formato aberto de desenvolvimento do padrão, proporcionando a contribuição de várias empresas e pessoal especializado. Desvantagens: Ainda em desenvolvimento, não dispondo da adesão em massa como modelo de criação de máquinas virtuais.

47

9.3 Virtual Appliances

Segundo explicação constante no site da VMware, as Virtual Appliances são soluções pré-construídas de softwares que compreendem uma ou mais máquinas virtuais que são empacotadas, atualizadas, mantidas e gerenciadas como sendo uma única. Estas máquinas virtuais diferem das tradicionais pois trazem consigo aplicações e sistemas operacionais pré-configurados para uso, onde as mesmas são disponibilizadas por fornecedores independentes que personalizam os sistemas operacionais nelas constantes para que tragam consigo somente os recursos e os componentes necessários à execução da aplicação empacotada com ele. A figura a seguir ilustra as diferenças entre uma máquina virtual e uma virtual appliance.

entre uma máquina virtual e uma virtual appliance . Figura 21: Uma máquina virtual e um

Figura 21: Uma máquina virtual e um virtual appliance, diferenças na forma como são criadas e mantidas. 10

Vantagens: Velocidade na instalação e disponibilização das aplicações; diminuição da necessidade de aplicação de correções; igual facilidade na movimentação de virtual appliances entre servidores, assim como máquinas virtuais; diminuição do tempo gasto para avaliar novas soluções devido ao pulo dos passos de instalação e configuração de sistemas operacionais e aplicações nas máquinas virtuais; maior velocidade de execução devido ao sistema operacional ter sido otimizado para uma aplicação específica. Desvantagens: Não encontramos informações a respeito da instalação de aplicações

10 Imagem extraída da apresentação: VMware, Inc

Virtual Appliances: Fundamentally changing the way

software is developed, distributed, deployed, and managed. Disponível em:<http://download3.vmware.com/media/vam/vam_demo.html>. Acesso em: 05 jun. 2009.

48

sob encomenda, dependendo então da disponibilização das mesmas pelos fornecedores; aplicação de correções de segurança dependentes do fornecedor da virtual appliance; a adição desordenada de virtual appliances aos servidores virtualizados podem impactar negativamente a carga e a performance desta rede além de diminuir a capacidade de adição de novos servidores virtuais.

9.4 VMsafe

O VMsafe é uma nova tecnologia de segurança para ambientes virtualizados desenvolvida pela VMware Inc. e que pode ajudar a proteger a infra-estrutura de formas não possíveis antes. Esta nova tecnologia provê uma interface compartilhada de programação de aplicativos para permitir que parceiros comerciais desenvolvam produtos de segurança capazes de atuar em ambientes virtualizados. A arquitetura de segurança do VMsafe proporciona a capacidade de fornecedores de produtos de segurança incluírem as propriedades da tecnologia de virtualização em seus produtos, proporcionando uma nova camada de defesa em complemento às soluções de segurança física já existentes tais como proteção a hosts e redes e a blindagem de máquinas virtuais contra a variedade de ameaças que podem afetar aplicações, redes, hypervisors e hosts. A Figura a seguir demonstra como é a implementação desta camada de segurança.

como é a implementação desta camada de segurança. Figura 22: Camada de proteção do VMsafe .

Figura 22: Camada de proteção do VMsafe. 11

11 Figura extraída de apresentação em: VMware Inc

VMware VMsafe Security Technology. Disponível

49

Devemos ressaltar que este recurso está disponível somente em produtos voltados para uso empresarial desenvolvidos pela VMware Inc., além disso o recurso em si não promove a segurança alguma sendo somente habilitado, é necessária a instalação de virtual appliances no VMsafe para que a devida proteção seja promovida. Para tal deve-se escolher os tipos de proteção que se deseja instalar e escolher aquelas cujos fornecedores sejam confiáveis. Vantagens: Segundo o site da empresa esta nova camada permite a instalação de ferramentas que podem possibilitar a monitoração do tráfego circulante nas redes virtualizadas, permitir a instalação de firewall's, detectores de intrusão, anti-vírus, entre outras ferramentas de proteção. Os parceiros são aprovados pela VMware Inc Desvantagens: Recurso restrito aos produtos da VMware Inc. e ainda sendo necessária a instalação de máquinas virtuais adicionais, que poderão impactar no desempenho e funcionamento da infra-estrutura virtualizada. Soluções disponibilizadas somente por parceiros aprovados pela VMware Inc. também pode ser uma desvantagem, caso um fornecedor de preferência de possíveis clientes da tecnologia não ter ainda aprovação de seus produtos de proteção.

9.5 Padrão OpenFlow de comunicação

O projeto OpenFlow provê um protocolo aberto para programar a tabela de fluxo de dados de diferentes tipos de switches e roteadores, onde administradores de redes podem particionar o tráfego de dados, como de produção e pesquisa por exemplo, permitindo que pesquisadores possam controlar seu fluxo de dados escolhendo as rotas que seus pacotes vão seguir e o processamento que irão receber. Deste modo, estes pesquisadores podem testar novos protocolos de roteamento, modelos de segurança, esquemas de endereçamento, e até alternativas para o endereçamento IP através da criação de redes virtuais programáveis, sem que afete o tráfego de dados do segmento de produção normal da rede. Embora não seja um projeto recente, já que teve seu início em 2008, ainda não é tão difundido mesmo entre especialistas, como pode ser visto pela pergunta feita no ANEXO 2. Este protocolo vem sendo desenvolvido em conjunto por pesquisadores de várias universidades nos Estados Unidos e tem por objetivo criar uma estrutura de pesquisa sobre diferentes e inovadoras formas de comunicação que utilize as switches e roteadores atuais, permitindo a criação de redes virtuais programáveis, sem que seja necessária a abertura de

50

códigos por parte de fornecedores de hardware, diminuindo a barreira para a entrada de novas idéias e aumentando a taxa de inovação da infra-estrutura de rede. Desta forma, diferentes pesquisadores podem utilizar porções de recursos físicos e de tráfegos diferentes e independentes através do gerenciamento proporcionado pelo FlowVisor, gerenciador lógico de alocação de recursos que força o isolamento entre os recursos alocados para diferentes pesquisadores, utilizando o mesmo hardware tanto para pesquisas quanto para produção.

hardware tanto para pesquisas quanto para produção. Figura 23: Escopo da especificação da switch OpenFlow .

Figura 23: Escopo da especificação da switch OpenFlow. 12

Vantagens: O sucesso do projeto permitiria a evolução das redes virtuais hoje existentes, bem como do modelo de infra-estrutura de redes hoje em utilização; maior utilização da banda disponível sem que haja interferência dos protocolos em desenvolvimento no segmento da rede de produção. Desvantagens: Ainda em desenvolvimento, sendo utilizada basicamente por pesquisadores em universidades; novos protocolos de comunicação podem trazer mais ameaças às redes virtuais, através de falhas de desenvolvimento; mais uma camada de virtualização a ser gerenciada, controlada, monitorada, entre outras.

12 Figura retirada de: OPENFLOW SWITCHING CONSORTIUM. OpenFlow: Enabling Innovation in Campus Networks. Dsiponível em:<http://www.openflowswitch.org/documents/openflow-wp-latest.pdf>. Acesso em: 25 mai. 2009.

51

9.6 Políticas de segurança

As políticas de segurança para os ambientes virtualizados devem ser compiladas a partir dos objetivos e regras de negócio de cada empresa, para o sucesso da implementação de virtualização em seus ambientes de produção. Além das medidas de segurança já habituais, como a implementação de controles para este novo ambiente, também devem ser levadas em consideração:

As formas como serão gerenciadas as máquinas virtuais e virtual appliances criadas ou disponibilizadas;

Quais serviços em execução são essenciais e quais poderão ser virtualizados em detrimento da menor possibilidade de controle do fluxo de dados corrente;

Quais medidas de segurança serão utilizadas e como será feita a manutenção delas;

Como os administradores destes servidores virtuais estão utilizando os recursos a eles disponibilizados e como prevenir a propagação desordenada de servidores virtuais;

Quais os efeitos negativos da implementação da virtualização no ambiente de produção e quais as medidas de correção ou prevenção serão necessárias para combater estes efeitos;

Quais serão as estratégias de backup e migração de dados ou máquinas virtuais e virtual appliances;

Entre outras.

Sempre levando em consideração a conformidade com as normas e melhores práticas relativas à segurança da informação e gerenciamento da infra-estrutura de rede, seja ela virtualizada ou não.

9.7 Novas switches virtuais

Para atender à demanda de produtos que venham a prover maior nível de segurança aos ambientes virtualizados, empresas como a Cisco Systems, VMware e Citrix estão desenvolvendo novos modelos de switches virtuais que suportem um melhor monitoramento do tráfego de dados nestes ambientes. Segundo informações destes fabricantes e de especialistas na área, estes novos

52

produtos terão suporte a listas de controle de acesso, prover gerenciamento de rede centralizado, suporte a múltiplos tipos de hypervisors, além de características avançadas de gerenciamento de rede. Estas soluções ainda estão em desenvolvimento, embora próximas de serem lançadas, e não pudemos encontrar maiores detalhes sobre características de segurança ou previsões exatas de lançamento.

53

10 Conclusão

Levando em consideração as vantagens e desvantagens no uso das tecnologias de virtualização, recomendamos seu uso com cautela, sempre avaliando a estratégia da empresa, o ambiente de produção atual e mensurando, através da análise de riscos e a modelagem de ameaças impostas a esta nova forma de infra-estrutura de rede, os possíveis problemas que a virtualização poderá causar no ambiente de TI da empresa, criando para prevenir tais problemas políticas de segurança específicas para este ambiente e seus ativos. Esta política deve ser desenvolvida, evoluída ou adaptada de acordo com a estratégia e regras de negócio de cada empresa, e levar em consideração a segurança da informação com base nas melhores práticas e normas disponíveis, tais como a NBR ISO 17799, 27001, 27002, 27005, ITIL, CobIT, entre outras, prevendo procedimentos para a implantação, gerenciamento, correção e desenvolvimento dos controles implementados também para os ambientes virtualizados. Estes controles devem ser criados visando minimizar os impactos negativos que a virtualização pode gerar, além de garantir a continuidade do negócio e o atendimento à manutenção da existência dos pilares da segurança da informação, além de serem sempre atualizados para a minimização das probabilidades de ocorrência de incidentes gerados por novas formas de ataque e para a disponibilização de novos recursos de segurança.

REFERÊNCIAS

CERT.BR – CENTRO DE ESTUDOS, RESPOSTA E TRATAMENTO DE INCIDENTES DE SEGURANÇA NO BRASIL. Cartilha de Segurança para Internet: Glossário. Versão 3.1. [S.l.]:

2009. Disponível em:<http://cartilha.cert.br/>. Acesso em: 13 mar. 2009, 21:29:15.

CETIC.BR – CENTRO DE ESTUDOS SOBRE AS TECNOLOGIAS DA INFORMAÇÃO E DA COMUNICAÇÃO NO BRASIL. TIC Empresas 2008: Indicadores. [S.l.]: 2009. Disponível em:<http://www.cetic.br/empresas/2008/index.htm>. Acessado em: 27 mai. 2009, 12:10:23.

DISTRIBUTED MANAGEMENT TASKFORCE, INC. Virtualization Management Initiative. [S.l.]. Disponível em:<http://www.dmtf.org/standards/mgmt/vman/>. Acesso em: 04 jun. 2009,

23:27:35.

EMBLETON, Shawn; SPARKS, Sherri; ZOU, Cliff. SMM Rootkits: A New Breed of OS Independent Malware. Istambul: SecureCom, 2008. Disponível em:<http://www.cs.ucf.edu/~czou/research/SMM-Rootkits-Securecom08.pdf>. Acesso em: 04 jun. 2009, 11:20:17.

HOFF, Christofer. The Four Horsemen Of The Virtualization Apocalypse. Las Vegas: Black Hat USA, 2008. Disponível em:<https://media.blackhat.com/bh-usa-08/video/bh-us-08-Hoff/black-hat- usa-08-hoff-fourhorsemen-hires.m4v>. Acessado em: 19 mai. 2009, 22:41:34.

The Four Horsemen Of The Virtualization Apocalypse. Las Vegas: Black Hat USA,

10:52:30.

HOOPES, John. et al. Virtualization for Security: Includind Sandboxing, Disaster Recovery, High Availability, Forensic Analisys, and Honeypotting. Burlington: Syngress, 2009. 377 p.

IBM – INTERNATIONAL BUSINESS MACHINES. IBM Termilogy. [S.l.]. Disponível em:<http://www-01.ibm.com/software/globalization/terminology/index.jsp>. Acesso em: 27 mai. 2009, 19:27:15.

KING, Samuel T.; et al. SubVirt: Implementing malware with virtual machines. Michigan:

Michigan University, 2005. Disponível em:<http://www.cs.uiuc.edu/homes/kingst/Research_files/king06.pdf>. Acesso em: 08 mar. 2009,

22:09:30.

MICROSOFT CORPORATION. Understanding Malware, Spyware, Viruses and Rootkits. [S.l.]. Disponível em:<http://download.microsoft.com/documents/uk/technet/learning/downloads/security/Understand ing_Malware_Spyware_Viruses_and_Rootkits.ppt>. Acesso em: 13 mar. 2009, 02:01:54.

MURPHY, Allan. Virtualização Esclarecida – Oito Diferentes Modos. [S.l.]. Disponível

modos-wp.pdf>. Acesso em: 24 mai. 2009, 17:55:22.

OPENFLOW SWITCHING CONSORTIUM. OpenFlow: Enabling Innovation in Campus Networks. Stanford: Stanford University, 2008. Disponível em:<http://www.openflowswitch.org/documents/openflow-wp-latest.pdf>. Acesso em: 25 mai. 2009, 07:28:32.

PANDA SECURITY. Rootkits: Almost invisible malware. What are the different types of rootkits?. [S.l.]. Disponível em:<http://www.pandasecurity.com/homeusers/security-info/types- malware/rootkit/#e3>. Acesso em: 24 mai. 2009, 16:23:11.

PHOENIX TECHNOLOGIES. HyperSpace – Knowledge Base: FAQ. [S.l.]. Disponível em:<http://www.hyperspace.com/kb/index.php?_m=knowledgebase&_a=view>. Acesso em: 25 mai. 2009, 00:31:17.

RUTKOWSKA, Joanna. Security Challenges in Virtualized Environments. San Francisco: RSA Conference, 2008. Disponível em:<http://www.invisiblethings.org/papers/Security%20Challanges %20in%20Virtualized%20Enviroments%20-%20RSA2008.pdf>. Acesso em: 04 jun. 2009,

11:46:35.

Subverting Vista™ Kernel For Fun And Profit. Las Vegas: Black Hat Briefings, 2006. Disponível em:<http://www.blackhat.com/presentations/bh-usa-06/BH-US-06-Rutkowska.pdf>. Acesso em: 04 jun. 2009, 11:34:47.

SHACKLEFORD, Dave; IGNASIAK, Todd. Virtualization Security 101. [S.l.]: Sans Institute WebCasts, 2009. Disponível em:<https://www.sans.org/webcasts/show.php? webcastid=92353&from=web0513B&eid=8of-CPJ>. Acesso em: 13 mai. 2009, 16:47:50.

SISNEMA INFORMÁTICA. TI Verde: Virtualização reduz danos ao meio ambiente. Porto Alegre:

2009. Disponível em:<http://sisnema.com.br/Materias/idmat019717.htm>. Acesso em: 05 jun. 2009, 22:53:32.

SYMANTEC. SYMANTEC STATE OF THE DATA CENTER REPORT 2008: State of the Data Center, Regional Data – Global, Second Annual Report – 2008. [S.l.]: 2009 Disponível em:<http://www.symantec.com/content/en/us/about/media/SOTDC_report_2007.pdf>. Acesso em:

THE Matrix. Direção: The Wachowski Brothers. Produção de Joel Silver. [S.l.]: Warner Bros.; Village Roadshow; Groucho II Film Partnership. 1999. 1 DVD.

VMWARE, Inc

em:<http://www.vmware.com/appliances/learn/overview.html>. Acesso em: 04 jun. 2009, 23:58:16.

Learn About Virtual Appliances. [S.l.]. Disponível

VMware VMsafe Security Technology. [S.l.]. Disponível em:<http://www.vmware.com/technology/security/vmsafe/security_technology.html>. Acesso em:

05 jun. 2009, 16:43:25.

WOLF, Chris. Flying Under The Citrix Sinergy Radar – A New Virtual Switch. [S.l.]: Chris Wolf's Virtualization Tips and Ramblings, 2009. Disponível em:<http://www.chriswolf.com/? p=362>. Acesso em: 05 jun. 2009, 11:57:55.

Open Virtualization Format. [S.l.]: 2008. Disponível em:<http://www.vmware.com/appliances/learn/ovf.html>. Acesso em: 04 jun. 2009, 23:12:36.

ZOVI, Davi A

2009, 17:38:15.

Hardware Virtualization Rootkits. Las Vegas: Black Hat USA, 2006. Disponível

GLOSSÁRIO

Administrator Forma literária inglesa para administrador.

AMD Abreviação de Advanced Micro Devices, é uma empresa americana fabricante de circuitos integrados, especialmente microprocessadores. Começou a produzir circuitos lógicos em 1969 e em 1975 ingressou no mercado de circuitos integrados para memórias RAM. Nesse mesmo ano também introduziu no mercado um microprocessador clone do Intel 8080, usando de engenharia reversa para tal. A AMD também produzia outros tipos de circuitos integrados para uso em minicomputadores de arquiteturas variadas.

Back-end Refere-se à parte relativa ao servidor que irá atender às requisições dos clientes em uma

arquitertura cliente-servidor

Backup Cópia de um arquivo ou conjunto de dados mantidos por questão de segurança em local diferente do original ou cópia principal; arquivo reserva, cópia de segurança.

Backups Plural de backup.

Bare Metal – Expressão em inglês que significa “metal nu”. Usado para designar o tipo I de hypervsor, em alusão ao seu acesso direto ao hardware físico do sistema em que está instalado.

BIOS Forma contracta da expressão inglesa Basic Input/Output System, que significa sistema básico de entrada e saída. É um programa de computador pré-gravado em memória permanente e executado por computadores quando de seu acionamento. É responsável pelo suporte básico de acesso ao hardware, bem como por iniciar a carga do sistema operacional.

Blue Pill – Rootkit conceito supostamente invisível aos modelos atuais de detecção de malwares, foi desenvolvido em 2006 pela pesquisadora polonesa Joanna Rutkowska, que vem modificando-o ao longo dos anos para atacar diferentes sistemas operacionais e arquiteturas de virtualização durante as demonstrações em suas palestras sobre segurança em ambientes virtualizados.

Boot – Em computação, boot é o termo em inglês usado para designar o processo de iniciação do computador que carrega o sistema operacional quando a máquina é ligada.

Bots – Abreviação de robots ou robôs em português, são softwares maliciosos que podem ser utilizados para a coordenação e a operação de um ataque automatizado em computadores em rede, tais como um ataque do negação-serviço.

Clock Capacidade que o processador tem de desempenhar um número específico de tarefas em determinado período de tempo. Normalmente dada em Megahertz (MHz) ou Gigahertz (GHz).

Chief Executive Officer – ("Diretor-executivo" ou "diretor-geral", em português), mais conhecido como CEO, é um termo em inglês para designar a pessoa com a mais alta responsabilidade ou autoridade numa organização. Apesar de ser teoricamente possível haver mais de um CEO numa empresa, geralmente o posto é ocupado por somente um indivíduo, temendo-se que tal compromisso crie conflito dentro da organização sobre quem tem o poder de decisão. Todos os outros executivos prestam contas ao CEO.

Chief Security Architect – Arquiteto de estratégias em segurança, em uma tradução livre para o termo inglês. Identifica o responsável pela identificação e eleição de padrões de segurança para uso

corporativo e desenvolve estratégias e tecnologias para apoiar as arquiteturas de segurança.

Chief Security Officer – É o mais alto executivo responsável pela segurança da informação em uma corporação. Atua como líder no desenvolvimento, implementação e gerenciamento da visão, dos programas, e da estratégia da securança organizacional das corporações.

Cisco Systems – Companhia multinacional sediada na Califórnia, Estados Unidos da América . A atividade principal da Cisco é o oferecimento de soluções para redes e comunicações, quer seja na fabricação e venda ( destacando-se fortemente no mercado de Roteadores e Switches ) ou mesmo na prestação de serviços por meio de suas subsidiária LinkSys, WebEx, IronPort e Scientific Atlanta.

Citrix – Empresa multinacional americana fundada em 1989 pelo antigo dono da IBM Ed Iacobuccicom no Texas, e hoje sediada em Fort Lauderdale, Flórida. Possui o foco em software e serviços, especializada em virtualização e acesso remoto de software para prover aplicações em rede e de Internet.

CobIT – Do inglês Control Objectives for Information and related Technology, é um guia formulado como framework e dirigido para a gestão de tecnologia da informação. Recomendado pelo ISACA ( Information Systems Audit and Control Association ) possui uma série de recursos que podem servir como um modelo de referência para gestão da TI, incluindo um sumário executivo, um "framework", controle de objetivos, mapas de auditoria, ferramentas para a sua implementação e principalmente, um guia com técnicas de gerenciamento.

Configuresoft – Empresa líder mundialmente em provimento de soluções de gerenciamento de configurações corporativas.

CPU – Abreviação do inglês Central Processing Unit, ou Unidade Central de Processamento, o microprocessador ou processador é a parte de um computador que processa as instruções contidas no software. Na maioria das CPUs, essa tarefa é dividida entre uma unidade de controle que dirige o fluxo do programa a uma ou mais unidades de execução que executam operações de acordo com as instruções recebidas pelo software.

Coseinc Research – Empresa baseada em Singapura dedicada a prover serviços altamente especializados em segurança da informação, fundada em 2004.

Crackers – O termo cracker, do inglês "quebrador", originalmente significa alguém que "quebra" sistemas. Hoje em dia, pode tanto significar alguém que quebra sistemas de segurança na intenção de obter proveito pessoal ( como por exemplo modificar um programa para que ele não precise mais ser pago ), como também pode ser um termo genérico para um Black Hat, que é um hacker que utiliza suas habilidades para atividades ilícitas.

Data Center – Local onde são concentrados os computadores e sistemas confiáveis ( softwares ) responsáveis pelo processamento de dados de uma empresa ou organização. Normalmente projetados para serem extremamente seguros, contam com sistemas de última geração para extinção de incêndios, acesso controlado por cartões eletrônicos e/ou biometria, monitoramento 24 h x 7 dias, ar-condicionados de precisão, geradores de energia de grande capacidade e UPS ( no-breaks ) de grande porte para manter os equipamentos ligados, mesmo em caso de falta de energia.

Desktop – Microcomputador de mesa ou computador pessoal, estação de trabalho, terminal, ou outro dispositivo usado por um ou vários indivíduos em horários variados para executar diferentes funções computacionais, entrada de dados, entre outras.

DoS – Abreviação para a expressão em inglês Denial of Service, forma de ataque de negação de serviços contra uma rede ou host.

E-mail – Abreviação da palavra inglesa Electronic Mail, ou Correio Eletrônico. Ferramenta de transmissão de documentos e mensagens entre pessoas através do uso de computadores.

Ethernet – Um padrão muito usado para a conexão física de redes locais, originalmente desenvolvido pelo Palo Alto Research Center ( PARC ) da Xerox nos EUA. Descreve protocolo, cabeamento, topologia e mecanismos de transmissão.

Firewall – Nome dado ao dispositivo de uma rede de computadores que tem por objetivo aplicar uma política de segurança a um determinado ponto de controle da rede. Sua função consiste em regular o tráfego de dados entre redes distintas e impedir a transmissão e/ou recepção de acessos nocivos ou não autorizados de uma rede para outra.

Firmware – É o conjunto de instruções operacionais programadas diretamente no hardware de um equipamento eletrônico. É armazenado permanentemente num circuito integrado ( CHIP ) de memória, usualmente no momento da fabricação do componente. A programação de um firmware em princípio é não-volátil ( não perde seu conteúdo com o desligamento da eletricidade ) e inalterável, entretanto, quando presente na forma de PROM ou EPROM, o firmware pode ser atualizado.

FlowVisor – É um controlador OpenFlow especialmente desenvolvido e que atua como um proxy transparente entre switches OpenFlow e múltiplos controladores OpenFlow.

Front-end – É responsável por coletar os dados de entrada do usuário em várias formas e processá- los para adequá-los a uma especificação útil para os servidores em uma arquitetura cliente-servidor.

Full virtualization – Tipo de virtualização quanto a execução, que na tradução quer dizer virtualização completa. Caracteriza-se pela ligação das máquinas virtuais e o hardware físico, intermediada por um gerenciador de máquinas virtuais,, chamado de hypervisor, do tipo I.

Hacker – É o usuário ou programador com grande conhecimento e experiência sobre o funcionamento de computadores e sistemas de rede, e que, por isso mesmo, se concentra em buscar e testar os muitos recursos que lhes encontram ao alcance. Seus feitos impulsionam a tecnologia, pois estimulam o aprimoramento das técnicas de segurança e defesa.

Hacking – Métodos e técnicas utilizadas por hackers para acesso a computadores e/ou redes.

Hardware – Conjunto de unidades físicas, componentes, circuitos integrados, discos e mecanismos que compõem um computador ou seus periféricos.

Host – Em informática, host é qualquer máquina ou computador conectado a uma rede. Os hosts variam de computadores pessoais a supercomputadores, dentre outros equipamentos, como roteadores.

Hypervisor – Também chamado de monitor de máquina virtual ( VMM ), é uma plataforma de virtualização de software ou hardware que permite que múltiplos sistemas operacionais rodem em um mesmo computador simultaneamente.

Hypervisors – Plural de hypervisor.

GNU/Linux – Termo geralmente usado para designar qualquer sistema operacional que utilize o kernel Linux somados aos softwares GNU. Seu núcleo foi desenvolvido pelo Finlandês Linus Torvalds ( responsável pelo kernel ) inspirado no sistema Minix, somado a conjuntos diversos de softwares criados pela Free Software Foundation, também de código livre. Seus códigos fonte estão disponíveis sob licença GPL para qualquer pessoa que utilizar, estudar, modificar e distribuir de acordo com os termos da licença.

Handhelds – Computador de dimensões reduzidas, dotado de grande capacidade computacional, cumprindo as funções de agenda e sistema informático de escritório elementar, com possibilidade de interconexão com um computador pessoal e uma rede informática sem fios WI-FI para acesso a correio eletrônico e Internet.

IBM – Abreviação de International Business Machines, importante empresa americana voltada para a área de tecnologia, particularmente de computadores.

Intel – Contração de Integrated Electronics Corporation, empresa multinacional de origem americana fabricante de circuitos integrados, especialmente microprocessadores fundada em 1968 por Gordom E Moore ( químico e físico ) e Robert Noyce ( físico e co-inventor do circuito integrado ).

Internet – Rede mundial de computadores.

IP – Acrônimo para a expressão inglesa "Internet Protocol" ou Protocolo de Internet, que é um protocolo usado entre duas ou mais máquinas em rede para encaminhamento dos dados. Também é utilizado para definir um endereço em uma rede.

IP virtual – Um endereço de IP virtual ( VIP ou VIPA ) é um endereço IP que não está ligado a um computador específico, ou interface de rede ( NIC ) em um computador. Os pacotes são enviados para o endereço IP virtual, mas todos os pacotes trafegam através de interfaces de rede real.

International Business Machines – Ver IBM. ITIL – Abreviatura para o termo inglês Information Technology Infrastructure Library. Biblioteca de melhores práticas para o gerenciamento de serviços em tecnologia da informação, utilizada por milhares de empresas em todo o mundo.

Kernel – Em qualquer sistema operacional o kernel é o núcleo, encarregado de controlar o acesso à memória e demais componentes de hardware, gerenciar os programas abertos, dividir o tempo de uso do processador entre eles, entre outras funções. É a base sobre a qual se executam as demais partes do sistema operacional, drives de dispositivo e programas.

Keyloggers – Programa capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado de um computador. Normalmente, a ativação do keylogger é condicionada a uma ação prévia do usuário, como por exemplo, após o acesso a um site de comércio eletrônico ou Internet Banking, para a captura de senhas bancárias ou números de cartões de crédito.

MAC – Abreviatura para o termo inglês Media Access Control, refere-se ao endereço físico da estação ou sua interface de rede. É um endereço de 48 bits, representado em hexadecimal.

MacOS – Sistema operacional proprietário da Apple. Baseado no sistema operacional Unix.

Mainframe – Computador de grande porte, dedicado normalmente ao processamento de um volume grande de informações. Os mainframes são capazes de oferecer serviços de processamento a

milhares de usuários através de milhares de terminais conectados diretamente ou através de uma rede. O termo mainframe, se refere ao gabinete principal que alojava a unidade central de processamento nos primeiros computadores.

Mainframes – Plural para mainframe.

Malware – Proveniente do termo inglês malicious software, é um programa destinado a se infiltrar em um sistema de computador alheio de forma ilícita, com o intuito de causar algum dano ou roubo de informações ( confidenciais ou não ). Virus de computador, worms, cavalos de tróia, e spywares são considerados malware. Também pode ser considerada malware uma aplicação legal que por uma falha de programação (intencional ou não) execute funções que se enquadrem na definição supra-citada.

Malwares – Plural de malware.

Microsoft – Fundada em 4 de abril de 1975 por Bill Gates e Paul Allen cujo objetivo era desenvolver e comercializar interpretadores da linguagem Basic. Hoje a Microsoft é uma das empresas de tecnologia que mais investe em pesquisa e desenvolvimento no mundo. O nome Microsoft provêm da junção das palavras inglesas microscopic e software.

Nested virtualization – Virtualização aninhada, ou seja, o tipo de virtualização quanto a execução onde uma máquina virtual é executada dentro de outra.

Nickname – Apelido. Usado para identificação de usuários na Internet, em sistemas computacionais, em programas de bate-bapo ou mensagem instantânea.

Notebooks – Computador portátil leve, designado para poder ser transportado e utilizado em diferentes lugares com facilidade. Geralmente um notebook contém tela de LCD ( cristal líquido ), teclado, mouse ( geralmente um touchpad, que é uma área onde se desliza o dedo para mover o ponteiro do mouse ), unidade de disco rígido, portas para conectividade via rede local ou fax/modem, gravadores de CD/DVD. Os mais modernos não possuem mais a entrada para discos flexíveis ( disquetes ) e quando há a necessidade de utilizar um desses conecta-se um adaptador externo à uma das portas USB.

One Time Passwords – Definida também como senha descartável, é uma senha que perde a validade após um processo de autenticação para impedir que esta seja capturada e re-utilizada. O uso de senhas descartáveis é uma das mais simples soluções de segurança e de fácil implementação. A finalidade é fazer com que o usuário informe senhas diferentes a cada acesso.

OpenFlow - Provê um protocolo aberto para programar a tabela de fluxo de dados de diferentes tipos de switches e roteadores, onde administradores de redes podem particionar o tráfego de dados, como de produção e pesquisa por exemplo, permitindo que pesquisadores possam controlar seu fluxo de dados escolhendo as rotas que seus pacotes vão seguir e o processamento que irão receber. Deste modo, estes pesquisadores podem testar novos protocolos de roteamento, modelos de segurança, esquemas de endereçamento, e até alternativas para o IP através da criação de redes virtuais programáveis, sem que afete o tráfego de dados do segmento de produção normal da rede.

Oracle – Fundada em 1977, é uma companhia que desenvolve softwares corporativos. O seu principal produto é o sistema de gestão de banco de dados relacionais de mesmo nome: Oracle.

Parallels – Fundada em 1999, empresa com foco em softwares de virtualização e automação, otimizando computadores para seus consumidores, empresas e prestadores de serviços em todos as

principais plataformas de hardwares, sistemas operacionais e virtualizações.

Phoenix Tecnologies – Empresa de computação fundada em 1979 na Califórnia, Estados Unidos conhecida por produzir softwares básicos para computadores, como BIOS e firmware. Dada a natureza de seus produtos, seus principais clientes são outras empresas que trabalham com a produção de dispositivos para computadores.

PDAs – Ver Handhelds.

Proxy – É um servidor que atende a requisições repassando os dados a outros servidores. Um usuário ( cliente ) conecta-se a um servidor proxy, requisitando algum serviço, como um arquivo, conexão, website, ou outro recurso disponível em outro servidor. Um servidor proxy pode, opcionalmente, alterar a requisição do cliente ou a resposta do servidor e, algumas vezes, pode disponibilizar este recurso sem nem mesmo se conectar ao servidor especificado. Pode também atuar como um servidor que armazena dados em forma de cache em redes de computadores. São instalados em máquinas com ligações tipicamente superiores às dos clientes e com poder de armazenamento elevado.

Quest software – Fundada em 1987 e com sede em Aliso Viejo, Califórnia. A Quest desenvolve, vende e oferece suporte a dados de gestão. Seus produtos permitem criar, implantar e gerenciar aplicações personalizadas de software, bem como infra-estruturas associadas a softwares componentes, tais como bases de dados, servidores de aplicação, sistemas operacionais e hypervisors, a empresa também presta consultoria, treinamento e serviços de apoio.

Red Hat Inc. - Empresa dos Estados Unidos, que disponibiliza soluções baseadas no sistema operacional GNU/Linux e outras tecnologias, incluindo várias distribuições, além de outras soluções em software livre voltadas ao mercado corporativo.

Root – É o usuário que possui acesso a todos os recursos do sistema, sem restrições. Normalmente é utilizado somente pelos administradores para a manutenção de sistemas. É chamado também de super-usuário.

Rootkit – Conjunto de programas que tem como finalidade esconder e assegurar a presença de um invasor em um computador comprometido. É importante ressaltar que o nome rootkit não indica que as ferramentas que o compõem são usadas para obter acesso privilegiado ( root ou Administrador ) em um computador, mas sim para manter o acesso privilegiado em um computador previamente comprometido.

Rootkits – Plural de rootkit.

Sans Institute – Fundada em 1989, oferece cursos de formação na área de segurança de computadores, certificação profissional, através do GIAC ( Global Information Assurance Certification ), e um arquivo de investigação - o SANS Reading Room. Também opera o Internet Storm Center, um sistema de monitoramento de Internet pessoal mantido por uma comunidade global de profissionais de segurança. O nome comercial SANS ( derivado de SysAdmin, Auditoria, Networking e Segurança ) pertence ao Instituto Escal de Tecnologias Avançadas.

Sites – Conjunto de páginas web, isto é, de hipertextos acessíveis geralmente pelo protocolo HTTP na Internet. O conjunto de todos os sites públicos existentes compõem a World Wide Web.

Sniffer – Dispositivo ou programa de computador utilizado para capturar e armazenar dados trafegando em uma rede de computadores. Pode ser usado por um invasor para capturar

informações sensíveis ( como senhas de usuários ), em casos onde estejam sendo utilizadas conexões inseguras, ou seja, sem criptografia.

Sniffers – Plural de sniffer.

Software – Qualquer programa ou grupo de programas compostos por uma seqüência de instruções que instrui o hardware sobre a maneira como ele deve executar uma tarefa, inclusive sistemas operacionais, processadores de texto e programas de aplicação.

Softwares – Plural de software.

SubVirt - Conceito de rootkit que teve origem ainda no ano de 2005 onde Samuel T. King et al, pesquisadores da Microsoft e da Universidade de Michigan, onde apresentou a possibilidade da criação de um malware que afetasse especificamente a ambientes virtualizados, fazendo com que a seqüência de boot fosse modificada para que o sistema operacional original fosse carregado no Virtual PC, software de virtualização da Microsoft.

Sun Microsystems – Empresa fabricante de computadores, semicondutores e software com sede em Santa Clara, California, em Silicon Valley ( Vale do Silício ). As fábricas da Sun localizam-se em Hillsboro no estado do Oregon nos Estados Unidos e em Linlithgow na Escócia. Os produtos da Sun incluem servidores e estações de trabalho ( workstations ) baseados no seu próprio processador SPARC e no processador Opteron, da AMD, nos sistemas operacionais GNU/Linux e Solaris, no sistema de arquivos de rede NFS e na plataforma Java. Seus produtos de menor sucesso incluíram o sistema de janelas NewS, a interface gráfica OpenLook e antigas versões de "clientes leves" ( thin clients ), ou estações de trabalho sem disco ( diskless workstations ). O nome Sun vem de Stanford University Network ( Rede da Universidade de Stanford ).

Switch – Dispositivo utilizado em uma rede de computadores para re-encaminhar frames entre os diversos nós. Ele tem como função o chaveamento ( ou comutação ) entre as estações que desejam se comunicar.

Switches – Plural de switch.

Symantec – Fundada em 1982 com sede em Cupertino na Califórnia, suas atividades se concentram em segurança da Internet e em redes para usuários domésticos e corporações, suas soluções são baseadas em software e aplicativos, com proteção de anti-vírus, análise de vulnerabilidades, detecção de intrusos, filtragem de conteúdo e de e-mail.

The Matrix – Filme de ficção científica lançado em março 1999.

Thin clients – São computadores clientes em uma rede no modelo cliente-servidor, no qual possuem poucos ou nenhum aplicativo instalado, dependendo primariamente de um servidor central para o processamento de suas requisições.

TI – Abreviação para Tecnologia da Informação.

Trojan – Trojan Horse ou Cavalo de Tróia é um programa do tipo malware que age como a lenda do cavalo de Tróia, se instalando no computador e liberando uma ou mais portas de comunicação para uma possível invasão.

Trojans – Plural de trojan.

Unisys – Empresa mundial de serviços e soluções de Tecnologia da Informação. Possuem foco na prestação de consultoria, integração de sistemas, outsourcing e serviços de infra-estrutura combinados com tecnologia para servidores corporativos.

Unix – Sistema operacional portável, multi-tarefa, multi-usuário originalmente criado por Ken Thompson que trabalhava nos Laboratórios Bell ( Bell Labs ) da AT&T. A marca UNIX é uma propriedade do The Open Group, um consórcio formado por empresas de informática.

Virtual appliance – Tipo de máquina virtual construída através da união de determinado aplicativo

a um sistema operacional personalizado, este último possuindo somente os recursos e componentes necessários à execução deste conjunto, projetada para ser executada em uma plataforma de virtualização ( Vmware, Xen, VirtualBox, entre outras ).

Virtual appliances – Plural de virtual appliance.

Virtual Machine Monitor – Ver hypervisor.

Virtual PC – Programa criado pela Microsoft e que emula um computador dentro do sistema operacional Windows. Assim sendo, em uma janela será possível abrir outro sistema operacional, seja este diferente ou não, e até criar um HD virtual, que será um arquivo salvo dentro da partição do Windows, podendo ser formatado com qualquer sistema de arquivos, sem interferir no sistema hospedeiro.

Vitriol – Rootkit desenvolvido em 2006 para ambientes virtualizados, teve como alvo o sistema operacional MacOS X utilizando processadores com arquitetura Intel VT-X.

VLANs – Redes virtuais, popularmente conhecidas como VLANs, possuem os mesmos atributos físicos que uma rede local, mas permitem que hosts possam ser agrupadas mesmo que não estejam localizadas na mesma switch de rede. A reconfiguração da rede pode ser feita através de software, sem a necessidade de deslocar fisicamente os dispositivos.

VM Sprawl – Uma tradução livre para o termo seria Expansão de Máquinas Virtuais e esta expansão caracteriza-se pela proliferação de máquinas virtuais pelo ambiente sem o devido controle.

VMM – Abreviação de Virtual Machine Monitor. Ver também hypervisor.

VMware – Software de virtualização proprietário desenvolvido pela Vmware Inc

VMware Inc. - Empresa desenvolvedora do VMware, localiza-se em Palo Alto na Califórnia, Estados Unidos e é uma subsidiária da EMC Corporation. O nome é um jogo entre as palavras Virtual Machine ( máquina virtual ) e software, que é o nome técnico dado a um sistema operacional rodando em uma máquina virtual sob o software de virtualização VMware.

Web – "Teia" em inglês, é um termo usado para se referir a redes de computadores. O termo surgiu devido ao formato de uma teia de aranha lembrar a disposição física de uma rede, com cabos interligando os pontos. O termo WWW é a abreviação de "World Wide Web", ou larga teia mundial e

é naturalmente usado com relação à Internet.

Windows – Popular família de sistemas operacionais criados pela Microsoft, empresa americana fundada por Bill Gates e Paul Allen.

Worms – Programa capaz de se propagar automaticamente através de redes, enviando cópias de si mesmo de computador para computador. Diferente do vírus, o worm não embute cópias de si mesmo em outros programas ou arquivos e não necessita ser explicitamente executado para se propagar. Sua propagação se dá através da exploração de vulnerabilidades existentes ou falhas na configuração de softwares instalados em computadores.

Xen – Software de virtualização de código aberto e de propriedade da Citrix Systems.

Zoned Virtual Machine Monitor – Embora ainda não exista uma definição formal pode ser definido como um novo tipo de hypervisor, que é instalado em um hardware específico, como a BIOS por exemplo.

ANEXO 1

ANEXO 1

ANEXO 2

ANEXO 2