Molto è stato detto sulla vulnerabilità VENOM, uno noto bug che sta creando molti problemi su Internet. In realtà si tratta di un vecchio bug che interessa il fenomeno della virtualizzazione.
I computer virtuali sono computer all’interno di computer che operano in modo indipendente. Il cloud non è altro che una vasta rete di macchine virtuali. Un hacker poterebbe sfruttare VENOM per evadere l’ambiente della macchina virtuale e lanciare un codice in un’altra.
Secondo molti giornalisti (quelli più appassionati e forse sensazionalisti) VENOM ha avuto più ripercussioni di Heartbleed, la famosa e terribile vulnerabilità che aveva colpito OpenSSL. Secondo me la migliore risposta è quella di un noto ricercatore di sicurezza, Dan Kaminsky.
“Credo che abbiamo davvero perso qualcosa quando abbiamo iniziato a muoverci verso questi bug lineari rispetto ai precedenti bug”, racconta Kaminsky a Dennis Fisher nel podcast di Threapost. “Non siamo di fronte ad una battaglia contro Iron Man e Capitan America. Questo non è un film; è scienza”.
Questa è il natura dell’industria della sicurezza informatica di oggi: oggigiorno a ogni bug viene assegnato un hashtag e un proprio logo, e un gruppo di PR si occupa di far sapere a tutti che ci troviamo di fronte alla peggiore minaccia mai vista prima.
“I bug esistono” spiega Kaminsky. “Quelli di oggi sono molto seri; affrontiamo il problema e ce ne occupiamo. Anche nel passato, era un bel problema. Ma li abbiamo risolti. Le cose eran peggiori un tempo; in passato, ognuno per conto suo cercava di fare tutto il possibile e ora ne stiamo parlando in pubblico. Questo è quello che facciamo. Questo è il gioco a cui giochiamo.”
#VENOM Flaw in #Virtualization Software Could Lead to VM Escapes, Data Theft – https://t.co/p2CXHhX6Gb
— Threatpost (@threatpost) May 13, 2015
Non stiamo cercando di sminuire la gravità di VENOM, perché è molto pericolosa. La virtualizzazione e le macchine virtuali giocano un ruolo importante nel moderno mondo di Internet. La macchine virtuali permettono il cloud-computing su cui si basano i provider di oggi, cosa che non succedeva il passato. Questo perché è molto più economico comprare spazio virtuale da Amazon, per esempio, che avere un tuo proprio server. In questo modo, un hacker molto abile potrebbe comprare spazio da un provider cloud, evadere l’ambiente virtuale per cui ha pagato e spostarsi su di un altra delle macchine virtuali che operano sotto lo stesso host.
Tutto quello che devi sapere su VENOM
Tweet
Oltre a questo, il bug potrebbe avere forti ripercussioni anche sui malware tester. La maggior parte degli analisti malware infettano intenzionalmente le macchine virtuali con i malware. Da di lì possono esaminare come i malware lavorano in un ambiente sicuro e messo in quarantena. VENOM è in grado di spostare il malware fuori dall’ambiente in quarantena e di entrare in un altro spazio computazionale conesso.
Come ho già sottolineato in precedenza, si tratta di un vecchio bug presente già nei floppy disk virtuali inclusi in un grande numero di piattaforme virtuali popolari. Avete sentito bene: i floppy disk. Fateci sapere nei commenti qui sotto quando è l’ultima volta che avete usato un floppy, o almeno che ne avete visto uno.
@micahflee pic.twitter.com/bZWwbxgiN7
— Yael @yaelwrites@mastodon.social (@yaelwrites) May 14, 2015
In un’intervista rilasciata prima della pubblicazione del podcast, Kaminsky ha raccontato a Fisher di Threatpost che VENOM è un bug pay-to-play. Un hacker può comprare dello spazio sul cloud da un provider e poi sfruttare VENOM per ottenere i privilegi locali all’interno dello spazio-cloud di un determinato target usando lo stesso provider. Certe aziende cloud, spiega l’esperto, offrono, in versione premium, hardware di isolamento con funzionalità aumentate. Secondo l’esperto vale la pena pagare questo prodotto per poter tener testa agli hacker.
VENOM (che di fatto sta per Virtualized Environment Neglected Operations Manipulation) è stato scoperto da Jason Geffner, senior security researcher presso CrowdStrike.
Full technical details of VENOM (CVE-2015-3456) vulnerability now live on CrowdStrike's official blog – http://t.co/Pmp6u7mTp3
— Jason Geffner (@JasonGeffner) May 15, 2015
Non c’è davvero nulla che noi come utenti possiamo fare per proteggerci, se non sperare che il nostro cloud e i nostri provider di virtualizzazione risolvano il problema il prima possibile. Ci sono comunque buone notizie: in primo luogo, la maggior parte dei vendor interessati dal problema hanno già rilasciato una patch. E, secondo, un nuovo proof-of-concept ha dimostrato che VENOM è in realtà molto più difficile da sfruttare di quello che gli esperti pensavano all’inizio.
Several factors mitigate the #Venom bug's utility – http://t.co/eiT6AYVsgG pic.twitter.com/ksUpvwvrOS
— Kaspersky (@kaspersky) May 18, 2015
Dal punto di vista di un utente comune di Internet, penso che il dato più rilevante sia la grande diffusione della virtualizzazione online nel 2015.