Académique Documents
Professionnel Documents
Culture Documents
CEILÂNDIA - DF
JUNHO/2009
Josan Neves de Castro
Wescley Neves de Castro
Orientadores:
MSc Frederico Jorge C. Bomfim
MSc Ricardo Sant'Ana
Ceilândia - DF
Junho/2009
Josan Neves de Castro
Wescley Neves de Castro
Aprovado em:
COMISSÃO DE AVALIAÇÃO
__________________________________________________________
Prof. MSc. Frederico Jorge C. Bomfim
Orientador
__________________________________________________________
Prof. Esp. Fábio Alves de Araújo
Avaliador
___________________________________________________________
Prof. Pós-Grad. Jones Milton de Sousa Carneiro
Avaliador
Dedicamos este trabalho a nossos amados pais e familiares.
AGRADECIMENTOS
saúde e força para prosseguir em nossa jornada. Aos colegas que contribuíram com a sua
amizade e incentivo ao longo destes anos e também a todos os professores(as) que direta ou
pudéssemos concluir este trabalho, especialmente aos nossos orientadores que pacientemente
agradecer aos(às) nossos(as) amigos(as) e familiares pela compreensão para com nossa
sua influência na virtualização. Como resultado desta pesquisa, nosso trabalho mostra através
virtualização nas empresas sem antes realizar uma análise de riscos seguida pela modelagem
de ameaças, para a adaptação dos recursos existentes para a área de segurança da informação.
que podem vir a influenciar diretamente na segurança dos ambientes virtualizados, também
são apresentadas.
Our work aims to evaluate what would be the impacts of deploying virtualization
research due to shortage bibliography, specifically in the area of information security, that
research, our work shows through statistics, problems presented by experts and promises
solutions to these problems in the short term, a scenario not very favorable to the
followed by modeling threats, to adapt existing resources to the area of information security.
Some remedial measures and follow-up suggestions for future solutions and technologies that
are likely to directly influence the security of virtualized environments are also presented.
1 Introdução......................................................................................................................... 09
2 Justificativa para o tema.................................................................................................. 10
3 Referenciais teóricos........................................................................................................ 12
3.1 O que é rootkit?.......................................................................................................... 12
3.1.1 Tipos de rootkits............................................................................................... 13
3.2 Máquinas virtuais................................................................................................ 15
3.3 Monitores de máquinas virtuais........................................................................ 15
3.3.1 Tipos de hypervisors................................................................................... 16
4 O que é virtualização?...................................................................................................... 17
4.1 Benefícios advindos da virtualização....................................................................... 18
4.2 Fatores adversos da virtualização............................................................................ 19
4.3 Tipos de virtualização quanto a forma de execução............................................... 20
4.4 Tipos de virtualização quanto a forma de utilização.............................................. 21
5 Impacto da virtualização na segurança da informação................................................ 24
5.1 Modelos de ameaça aos ambientes virtualizados.................................................... 24
5.2 Agravantes.................................................................................................................. 28
6 Segurança da informação nas empresas brasileiras..................................................... 31
7 O que verificar com relação à segurança....................................................................... 38
8 Exemplos de malware específicos para ambientes virtualizados................................. 40
9 Formas de proteção a ambientes virtualizados............................................................. 43
9.1 Hyperspace.................................................................................................................. 43
9.2 Open Virtualization Format....................................................................................... 46
9.3 Virtual appliances....................................................................................................... 47
9.4 VMsafe........................................................................................................................ 48
9.5 Padrão OpenFlow de comunicação.......................................................................... 49
9.6 Políticas de segurança............................................................................................... 51
9.7 Novas switches virtuais.............................................................................................. 51
10 Conclusão......................................................................................................................... 53
9
1 Introdução
A justificativa está justamente nas diversas formas e razões pelas quais cada vez mais
empresas e pessoas decidem aplicar a tecnologia para resolver um determinado problema.
O avanço da tecnologia de virtualização nos últimos anos foi enorme, saltando de suas
origens nos antigos mainframes para o desktop comum de um usuário doméstico. Isso somado
à necessidade de economia, fator sempre visível nos ambientes corporativos mas que assumiu
proporções maiores após a crise econômica global ocorrida no segundo semestre de 2008,
impulsiona o interesse das empresas que buscam a consolidação de seu parque de servidores e
sensível economia de energia, aderindo à chamada TI Verde.
Dados estatísticos oferecidos pela Symantec, empresa atuante no setor de tecnologia da
informação em escala mundial oferecendo soluções em anti-vírus, gerenciamento e proteção
de dados, entre outras, indicam que o controle de custos é a iniciativa prioritária no meio
corporativo, enquanto que a virtualização de servidores é o caminho principal para essa
redução de custos para uma de cada três empresas pesquisadas.
1 SYMANTEC. SYMANTEC STATE OF THE DATA CENTER REPORT 2008: State of the Data Center,
Regional Data – Global, Second Annual Report – 2008. Disponível
em:<http://www.symantec.com/content/en/us/about/media/>. Acesso em: 26 mai. 2009.
11
Pelo gráfico da pesquisa mostrado pela Figura 1 verificamos que, das 1.600
companhias participantes no ano de 2008, 27% planejavam a aplicação da virtualização em
suas centrais de dados no ano de 2008 enquanto que outros 28% passaram da fase de
implantação em 2007 restando somente 21% em 2008, ou seja, mais da metade das
companhias pesquisadas planejavam ou já implementavam as tecnologias de virtualização em
suas empresas.
Vale ressaltar que a pesquisa foi feita junto a companhias consideradas de grande
porte, todas com mais de 5.000 funcionários, em 21 países ao redor do mundo, realizada entre
a penúltima semana de setembro e a primeira semana de outubro, o que nos oferece uma
noção razoavelmente atualizada do interesse em tecnologias de virtualização por parte das
grandes empresas onde 49 destas eram localizadas no Brasil.
12
3 Referenciais teóricos
Antes de abordarmos o tema central desta pesquisa, falaremos um pouco sobre outros
tópicos importantes para a compreensão do que buscamos demonstrar.
Segundo o Sans Institute, um instituto estabelecido nos Estados Unidos em 1989 como
uma organização de pesquisa cooperativa e educação na área de tecnologia, rootkit é uma
coleção de programas, também referidas como ferramentas, utilizadas por um hacker para
mascarar uma intrusão e obter acesso no nível de administrador em um computador ou rede
de computadores, enquanto que a Cartilha de Segurança para Internet do CERT.BR, que é o
Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil, define
rootkit como:
Vemos então que, ao contrário do que o nome possa levar a crer, um rootkit não é
utilizado para se obter acesso no nível administrativo em um determinado computador.
Assim, sintetizando estas duas definições podemos dizer que é uma ferramenta, ou coleção de
ferramentas, usadas por um intruso para esconder a si mesmo, mascarando o fato de que um
sistema computacional teve sua segurança comprometida, além de permitir manter ou reaver
acesso no nível de administrador deste sistema.
A instalação de um rootkit é geralmente um dos primeiros recursos a serem utilizados
após uma invasão, pois facilita e ofusca a presença do atacante no sistema quando do
apagamento de evidências, dificultando a percepção do sucesso da ação do invasor por parte
dos administradores legítimos destes sistemas.
Entre as funções que um rootkit pode disponibilizar, especialistas destacam as
13
seguintes:
– As atividades do atacante com relação a arquivos, processos, conexões de rede,
entre outras, ficam difíceis de serem percebidas depois que um rootkit é instalado;
– Acesso não autorizado ao sistema através de portas de comunicação abertas pelo
rootkit;
– Ferramentas de monitoramento como sniffers de rede ou keyloggers;
– Editores de logs de sistema, para remover as evidências do ataque bem sucedido;
– Ferramentas de hacking para permitir novos ataques a partir da máquina
comprometida, ou para estabelecer comunicações com a mesma através de um
canal de comunicação seguro para o invasor;
– A checagem da integridade do sistema comprometido torna-se muito difícil devido
ao comprometimento de funcionalidades básicas, como por exemplo a substituição
de comandos próprios do sistema operacional por outros manipulados pelo
agressor com o objetivo de mostrar somente resultados que não contrariem os
interesses do atacante.
Algumas ou várias destas funcionalidades são dispostas em um pacote preparado pelo
atacante com as ferramentas que melhor atendam a seus objetivos, e que lhe permitam
permanecer escondido e com o domínio do sistema invadido pelo maior tempo possível. Para
tanto o invasor já deverá ter obtido ou escalado privilégios de administrador deste sistema.
A instalação dos rootkits pode ser feita manualmente, em caso de acesso direto à
máquina alvo, ou com a ajuda de vírus ou worms enviados às vítimas por e-mail, recebidos
pela navegação em sites com código malicioso presente, ou alguma outra forma de contágio.
Após a instalação de um rootkit, um atacante pode monitorar as atividades dos
usuários do sistema comprometido, modificar, adicionar ou substituir programas, coletar
informações diversas, remover evidências destas modificações ou executar outras funções
sem que, a princípio, seja detectado. Claro que estas possíveis ações irão depender dos tipos
de softwares escolhidos pelo invasor para comporem o rootkit a ser instalado no sistema alvo.
Embora não exista uma classificação formal para as diversas variantes, especialistas
diferenciam os vários tipos de rootkits de acordo com suas funções e formas de manipulação
14
do sistema depois de instalado. Veremos a seguir alguns destes tipos e as suas características.
– User-mode Rootkit: É o tipo de rootkit que basicamente altera ou substitui
programas específicos do sistema, especialmente aqueles que tenham ligação
direta com a extração de informações do mesmo, como os que verificam os
processos ativos, a atividade na rede, o conteúdo do sistema de arquivos, entre
outros.
– Kernel-mode Rootkit: Ao contrário do tipo user-mode, o kernel-mode rootkit é
aquele que atua no nível do kernel ( núcleo ) do sistema operacional. Por não
precisar modificar vários programas no sistema alvo, este tipo de rootkit é mais
difícil de ser detectado que o citado anteriormente, pois só precisa modificar o
kernel do sistema atacado para a manutenção do controle obtido.
– System Management Mode Rootkit: Aproveitam-se de uma área reservada da
memória dos processadores para ficarem invisíveis ao sistema operacional
vitimado, enquanto executam atividades de monitoração, coleta e envio de
informações ao atacante.
– Virtual Machine Monitor Rootkit: Este tipo de rootkit atua na área de
virtualização dos processadores ou programas que recentemente incorporaram esta
nova tecnologia, tomando para si o controle do gerenciamento das máquinas
virtuais ativas tarefa antes realizada pelo virtual machine monitor, também
conhecido como hypervisor ou na livre tradução do termo por Monitor de
Máquinas Virtuais. Assim, este malware mantêm o sistema vitimado em um
ambiente separado do seu, mas sobre o qual ele tem total domínio. O que permite a
este tipo de rootkit manipular e monitorar todas as requisições e tarefas realizadas
pelo sistema infectado, ou pelas máquinas virtuais nele em execução, sem que
cause impacto significativo no desempenho da máquina comprometida. Daí advém
a sua capacidade de permanecer invisível para o sistema infectado.
Além disso, podem ser também classificados como persistentes e não-persistentes. Um
rootkit persistente é aquele que é ativado a cada inicialização do sistema computacional. Para
conseguir isso seu código deve estar armazenado em alguma parte do computador, e também
dispor de alguma forma de iniciar-se automaticamente. Por outro lado, um rootkit não-
persistente não é capaz de iniciar-se novamente após a reinicialização do sistema por ele
anteriormente infectado.
15
2 Imagem retirada de: HOFF, Christofer. The Four Horsemen Of The Virtualization Apocalypse. 2008.
Disponível em:<http://www.blackhat.com/presentations/bh-usa-08/>. Acesso em: 25 mai. 2009.
17
4 O que é virtualização?
3 Imagem retirada, modificada e traduzida por nós de: HOFF, Christofer. The Four Horsemen Of The
Virtualization Apocalypse. 2008. Disponível em:<http://www.blackhat.com/presentations/bh-usa-08/>.
Acesso em: 25 mai. 2009.
18
Adesão ao trato com o meio ambiente pois para cada serviço, habitualmente, deveria
se manter um hardware específico para determinada aplicação, onde cada um consumiria
cerca de cinqüenta reais mensais em gastos com energia elétrica. Quanto mais servidores,
maior a necessidade de resfriamento deste ambiente, teríamos somados a isso mais gastos
com condicionadores de ar compatíveis a essa temperatura gerada e uma maior necessidade
de manutenção de todo esse ambiente.
Assim podemos notar que, quanto mais infra-estrutura de máquinas possuirmos, mais
gastos com energia e reparação teremos, mas o impacto principal dessa cultura não somos
capazes de perceber de imediato: o fator ambiental. Mesmo com os avanços na direção de se
gerar uma energia elétrica limpa, ela ainda representa uma ameça ambiental, seja pela emissão
de carbono gerada pela queima de combustíveis para a obtenção de energia, ou pela
devastação para a construção de usinas hidroelétricas por exemplo ou, principalmente, pelo
rápido ciclo de evolução da tecnologia.
Enfim, após a implementação de virtualização na área de TI poderíamos concentrar em
um único hardware, os serviços de firewall, gateway, servidor de e-mail e distribuição da
rede, que antes iriam necessitar de quatro máquinas independentes. Isso representaria uma
redução significativa tanto em matéria de custos com hardware, quanto de gastos em energia
consumida e indiretamente, gerada.
A migração para ambientes virtualizados pode exigir um alto custo inicial em alguns
casos, devido a exigência de equipamentos robustos para que sustentem de forma confiável a
alta carga de serviços que esta nova infra-estrutura irá receber inicialmente, ou em um futuro
próximo.
O retorno do investimento não é percebido de forma rápida, e muito menos
significativo para a empresa, nos casos em que o investimento inicial no processo de
implantação da virtualização for demasiadamente elevado.
Outros problemas encontrados são as limitações das ferramentas encontradas no
mercado atual, referentes a administração destes ambientes. Conforme o número de máquinas
virtuais aumenta, as ferramentas não conseguem disponibilizar uma quantidade de dados
referentes a essas redes para que as equipes de TI possam ter uma real idéia do que se passa
20
Na tecnologia de virtualização, existem três tipos principais que se destacam por suas
características particulares quanto a forma de execução:
– Emulação por hardware: Possui um grau de complexidade de implantação
diferenciado dos demais tipos de arquitetura, por emular os ciclos de clock da
CPU, assim como seus conjuntos de instrução e memória cache.
A Emulação por hardware é bastante difundida entre desenvolvedores de
firmware, além de hardwares que não possuem um compilador. Um ponto
negativo que podemos citar para a emulação por hardware seria o critério
desempenho: por virtualizar funcionalidades de uma máquina real em execução,
temos uma perda significativa de desempenho quando comparada a uma
arquitetura não emulada.
21
Um ambiente virtualizado pode ser alvo de qualquer tipo de ataque que um não-
virtualizado possa vir a sofrer, afinal trata-se basicamente de um servidor ou desktop como
qualquer outro que está em execução, com a única diferença de que esta execução ocorre em
uma máquina virtual.
25
4 Figuras 4 – 8 retiradas de: HOFF, Christofer. The Four Horsemen Of The Virtualization Apocalypse.
2008. Disponível em:<http://www.blackhat.com/presentations/bh-usa-08/>. Acesso em: 25 mai. 2009.
26
Figura 7: Ameaça onde o ataque é externo e tem como alvo o sistema hospedeiro.
Figura 8: Ameaça onde o ataque é de fonte externa e tem como alvo um dos
sistemas virtualizados.
5.2 Agravantes
podemos citar:
– Falta de atualizações e/ou correções de segurança em sistemas operacionais,
aplicativos, bases de dados, hardware, plataformas de virtualização e ferramentas
de gerenciamento;
– Falta de controle da implantação, modificação ou deleção de máquinas virtuais;
– Mudanças não documentadas no ciclo de vida dos objetos;
– Movimentação desordenada de máquinas virtuais entre diferentes hospedeiros;
– Adição, modificação ou deleção de switches virtuais;
– Modificação de VLANs;
– Entre outras.
Algumas destas configurações e gerenciamentos também são influenciadas por outro
fator que pode vir a contribuir com complicações para o controle destas modificações, que é a
escolha do hypervisor ideal há ser implantado no parque computacional da empresa. A partir
da escolha do tipo ideal, há ainda a opção de escolha entre vários fornecedores diferentes que
concorrem oferecendo seus produtos aos interessados no mercado de virtualização. Empresas
como IBM, Microsoft, Red Hat, VMware, Citrix, Quest Software, Parallels, Sun
Microsystems, Oracle, Symantec, entre outras, dispõem de soluções para virtualização com o
objetivo de atender à demanda por estes produtos.
Só por ter de escolher entre as várias opções disponíveis já torna a tarefa difícil mas
por vezes, e cada vez com mais freqüência, encontramos ambientes em que é necessário não
apenas uma, mas várias soluções de vários fornecedores diferentes, agregando diversas
estratégias diferentes para manter as variadas soluções implantadas sempre atualizadas e
alinhadas com as politicas de segurança adotadas.
A definição de quem e como controla os ambientes virtualizados também pode causar
transtornos quanto a segurança. Como é feita a divisão de papéis e como estes são
desempenhados dentro da infra-estrutura computacional é uma tarefa que deve ser realizada
com cautela e controle, tanto com relação a usuários quanto a máquinas virtuais. Segundo os
especialistas da área, uma fraca definição destes papéis e permissões é comumente
encontrada.
Outros problemas são relacionados ao tráfego de dados através de redes virtuais. Um
sistema de detecção de intrusão ou um firewall físico é capaz de monitorar o tráfego em redes
virtuais? Não sem que várias adaptações sejam aplicadas.
30
O controle de acesso por endereçamento MAC pode ser aplicado? Não a partir do
momento em que estes são fornecidos aleatoriamente por um fornecedor como por exemplo a
VMware, se este for o fornecedor escolhido para a implantação, a cada requisição de um novo
dispositivo de rede. Não há, por enquanto, como compilar listas de endereços MAC confiáveis
para a realização de controle de acesso por endereçamento.
Podemos ver o quão delicada é a questão da segurança em ambientes de TI
virtualizados, mas não enxergamos ainda todo o panorama. Vejamos mais algumas
informações interessantes.
31
Através dos resultados mostrados na Figura 9 vemos que 58% das empresas não
adotou nenhuma medida de apoio à segurança da informação, não tem uma estratégia formada
sobre o assunto ou sequer uma política de segurança da informação, um dado alarmante visto
que todas tem acesso à grande rede.
Uma observação quanto aos dados apresentados é de que as respostas da pesquisa
eram de múltipla escolha, ou seja uma empresa poderia dispor de políticas de segurança mas
não oferecer treinamentos em segurança da informação aos seus funcionários, daí vem a razão
pela qual a totalização extrapola os 100%.
74% 68%
No gráfico da Figura 10 fica evidente que não há uma completa desinformação sobre a
segurança da informação visto que, embora não exista em todas elas uma estratégia para a
proteção da rede interna e seus dados, a maioria das empresas dispõe de ferramentas para a
proteção de seus ambientes.
Veremos mais adiante, com a apresentação de outros gráficos relativos à pesquisa, que
isso não é suficiente para que possam classificar o problema da segurança da informação
como resolvido.
33
1% 12%
19% Backup Interno de dados Uso de criptograf ia para a
sobre as operações da proteção de dados em
empresa mídias externas, notebo-
oks, PDAs, ou outros dis-
84% positiv os móv eis
Backup de dados of f -site Não possui nenhuma das
(mantidos f ora da empresa) tecnologias citadas
25% Uso de criptograf ia de da- Não sabe ou não respondeu
dos armazenados em ser-
v idores ou desktops
28%
Figura 11: Totalizações referentes às tecnologias adotadas para a proteção dos dados.
Na Figura 11 vemos que boa parte das empresas se preocupam com a preservação dos
dados contidos em suas organizações, porém poucas delas se preocupam com a manutenção
de backup's fora do ambiente organizacional. Tão pouco levam em consideração o uso da
criptografia para a proteção destes dados dentro ou fora da empresa, ficando os mesmos
armazenados sem qualquer tipo de proteção.
Novamente constatamos que possuem noção sobre o que fazer, mas não a técnica ou
conhecimento sobre como fazer para que seu ambiente computacional possua capacidade de
recuperação em caso de desastres ou de se proteger contra o vazamento de informações.
9%
23%
SSL/TLS (HTTPS)
VPN (Rede Privada)
Não possui ne-
nhuma das tecno-
logias citadas
Não sabe ou não
21% respondeu
58%
1% 20%
13%
Senhas OTP
74% Certificados digitais Não possui ne-
nhuma das tecno-
logias citadas
Tokens ou Não sabe
20% smartcards
34%
2%
47% 42% Sistemas operacionais Não possui nenhuma das
(Windows, Linux, Solaris, tecnologias citadas
etc.)
Aplicativ os (Nav egadores, Não sabe ou não respondeu
leitores de e-mail, etc.)
Serv iços de rede (DNS,
Web, SMTP)
37%
42%
Pelo gráfico da Figura 14 podemos perceber que várias empresas atualizaram seus
diversos tipos de aplicativos, sistemas operacionais e serviços de rede por terem passado por
problemas de segurança. Infelizmente o que deveria ser uma prática constante e programada
só é executada devido a ocorrência de incidentes na área de segurança da informação.
2% 1% 3%
4% Atualização au-
10% tomática
Diariamente
Semanalmente
Mensalmente
Trimestralmente
Não sabe ou não
respondeu
79%
assinaturas somente a cada três meses, sendo que algumas nem sabem dizem o intervalo em
que são atualizados. Essa prática equivale a não dispor de um anti-vírus instalado.
Com o último gráfico compilado a partir da pesquisa, demonstrado pela Figura 16,
verificamos em maior detalhe as formas de ataque que foram identificadas pelas empresas.
Chamamos atenção para as maiores faixas do gráfico que mostram ataques de vírus com 55%,
cavalos de tróia com 48% e worms ou bots com 19% da incidência dos ataques.
Vemos que mesmo a grande maioria das empresas pesquisadas mantenham suas
soluções em anti-vírus sempre com atualização automática, como visto no gráfico da Figura
16, 55% delas ainda tiveram problemas relacionados a estes tipos de malware. Devemos
lembrar novamente que, assim como as outras questões da pesquisa, estas respostas foram de
múltipla escolha, obtendo assim um número acima dos 100%. Com isso verifica-se que houve
a ocorrência de vários destes problemas em um mesmo ambiente.
Outro fato interessante demonstrado pelo gráfico da Figura 16 é que 33% das
empresas declararam não ter identificado problemas de segurança, o que não significa
propriamente que não ocorreram. Malwares do tipo rootkit podem ser instalados nos sistemas
de várias maneiras e encobrirem um comprometimento da segurança da informação, assim
37
estas empresas podem estar sob monitoramento sem ao menos desconfiarem disto, o que
pelos dados demonstrados pela pesquisa TIC 2008 não é muito difícil de acontecer. Vamos
falar sobre rootkits que ameaçam especificamente ambientes virtualizados mais adiante.
A partir de todas as informações demonstradas por esta pesquisa, somadas à
complexidade causada pela implementação de virtualização nos ambientes corporativos,
pode-se ter agora uma visão melhor dos problemas que uma inserção desta tecnologia sem o
devido cuidado.
38
Figura 18: Opções de escolha para o personagem Neo, em cena do filme The Matrix.7
7 Imagem retirada do filme: THE Matrix. Produção de Joel Silver. [S.l.]: Warner Bros., 1999. 1 DVD.
41
Durante o filme, o personagem Neo tinha de escolher entre tomar a pílula azul ou outra
vermelha, onde esta última lhe libertaria do controle da Matrix e mostraria a verdade com
relação ao que ela seria, enquanto que a azul manteria as coisas como estavam e ele não
perceberia que continuaria sob o controle dela.
Este rootkit foi nomeado de Blue Pill justamente pela similaridade de efeito entre ele e
a pílula azul que é oferecida no filme. Após ser instalado em um sistema computacional, o que
pode ser feito com este em execução e sem a necessidade de reinicialização mesmo que o
sistema operacional hospedeiro seja da família Windows, o Blue Pill tem a capacidade de
tomar para si o controle do ambiente, já que atua entre o hypervisor e o hardware, passando a
interceptar e controlar todas as requisições feitas pelo hospedeiro ou suas máquinas virtuais
convidadas, somente executando tarefas ou mostrando resultados que não contrariem aos
interesses do responsável por sua instalação, ao mesmo tempo que se mantém invisível aos
olhos e às medidas de segurança implantadas neste ambiente.
A figura a seguir mostra um esquema produzido pela autora do Blue Pill e que torna
mais fácil a compreensão de sua zona de operação depois de instalado. Como pode ser visto
no documento constante no ANEXO 2, recebemos autorização da autora para a inserção de
slides de sua apresentação em nosso trabalho.
Figura 19: O Blue Pill pode ser ativado até mesmo em uma máquina virtual e ainda
assim se sobrepor ao hypervisor, tomando o controle do sistema computacional.8
8 Figura da apresentação: RUTKOWSKA, Joanna. Security Challenges in Virtualized Environments. 2008.
Disponível em:<http://www.invisiblethings.org/papers.html>. Acesso em: 04 jun.2009.
42
Pelo exemplo mostrado na Figura 19, vemos que o Blue Pill pode infectar um sistema
computacional mesmo quando carregado através de uma máquina virtual. Este esquema
baseia-se na versão 0.32 do Blue Pill, cujo código foi completamente reescrito e encontra-se
disponível na Internet, já que a primeira versão foi desenvolvida durante uma pesquisa feita
especificamente para a COSEINC Research, não tendo seu código divulgado.
Felizmente como ainda é apenas um conceito este rootkit não foi projetado para
ataques em massa, ou persistência na máquina infectada, tendo sido modificado pela autora ao
longo destes anos para demonstrações em diferentes arquiteturas de computador, como AMD e
Intel. Porém não podemos desprezar o potencial ofensivo demonstrado por este conceito, já
que adaptações podem ser feitas ao código disponibilizado para ampliar seu potencial
destrutivo.
Há ainda muita discussão entre especialistas da área sobre a possibilidade de detecção
deste tipo de rootkit, não tendo sido comprovada a capacidade de que os métodos disponíveis
possam acusar a sua presença. Porém as demonstrações realizadas comprovam a possibilidade
de infecção, controle e capacidade de afetar não só a múltiplas arquiteturas de hardware como
também a múltiplos sistemas operacionais, seja ele um Windows, Unix ou GNU/Linux.
Todos os rootkits aqui citados aproveitam-se de falhas de segurança dos sistemas
operacionais hospedeiros ou dos softwares de gerenciamento de máquinas virtuais para
controlarem o sistema computacional infectado.
43
9.1 HyperSpace
Este novo tipo de hypervisor ainda não é tão popularizado, porém trata-se de um
44
projeto que vem sendo desenvolvido em conjunto pela Phoenix Technologies e o Invisible
Things Lab, esta segunda empresa tem seu foco em sistemas de segurança em virtualização e
sistemas operacionais, tendo sido fundada em 2007 por Joanna Rutkowska, atual Chief
Executive Officer da empresa.
Devido à apresentação de seu rootkit em 2006, Joanna tem recebido vários convites
para palestrar sobre segurança em ambientes computacionais virtualizados a várias renomadas
empresas, além de ter aceito proposta para trabalhar junto a Phoenix Technologies na
produção de um hypervisor que não fosse afetado pelas falhas de segurança reveladas por seu
malware.
Os resultados desta parceria já começam a ser demonstrados com o lançamento do
HyperSpace Desktop em duas versões: Hybrid e Dual. Ainda segundo informações do site da
Phoenix, a versão Hybrid apresenta, após a inicialização do computador no qual foi instalado,
a disponibilização quase instantânea de um ambiente computacional seguro e sempre
conectado à Internet, executando lado a lado uma versão compatível do Windows e utilizando
tecnologia de gerenciamento inteligente de energia, proporcionando uma maior durabilidade
às baterias de computadores portáteis. Por estas características será um grande atrativo para
empresas que buscam esse tipo de recursos para proteger seus ativos computacionais móveis.
A versão Hybrid utiliza tecnologia de virtualização disponível nas arquiteturas Intel
VT-x para permitir a troca instantânea entre ambientes Windows e HyperSpace sem qualquer
interrupção, bastando para tal apenas pressionar a tecla de função f4 no teclado do
computador.
A versão Dual oferece os mesmos recursos de segurança, economia de energia e
velocidade de acesso aos aplicativos disponibilizados na versão Hybrid, porém podendo ser
instalada em computadores Intel sem recursos de virtualização em sua arquitetura. Neste caso
a troca entre os sistemas operacionais deve ser feita através da reinicialização do equipamento
e escolha do desejado no gerenciador de boot.
O ambiente HyperSpace Desktop prevê o fornecimento dos principais recursos que um
usuário doméstico utilizará na maior parte do tempo, porém algumas das funcionalidades
anunciadas ainda não estão disponíveis para utilização, segundo o site da empresa
responsável.
A segurança deste ambiente advém da impossibilidade de instalação de aplicativos,
quer seja pelo usuário ou por terceiros, evitando-se assim a contaminação do mesmo. Desta
45
forma não há, tecnicamente, a possibilidade de que algum tipo de malware venha a se instalar
no HyperCore ou HyperSpace e vir a causar transtornos aos usuários.
Porém ainda é cedo para esta afirmação, visto que nem sempre um malware precisa
ser instalado na estrutura do ambiente para causar danos, bastando apenas imaginar que seja
encontrada alguma falha de desenvolvimento que permita a permanência e execução de algum
tipo de malware na memória volátil, junto aos programas sendo executados, para que o
conceito de segurança seja posto abaixo.
Infelizmente devido a uma quantidade ainda restrita e bastante específica de
arquiteturas de hardware constante nos requisitos de sistema para a instalação e execução do
HyperSpace, como pode ser visto na Figura 20, não foi possível testar seu funcionamento a
tempo de realizar uma análise mais profunda quanto a velocidade e aplicativos
disponibilizados pelas versões do software, visto que não possuíamos um equipamento
compatível com os requerimentos de sistema exigidos. Porém esta pode ser uma solução
viável para a utilização de notebooks ou handhelds confiáveis por empresas e funcionários,
atingindo inclusive o mercado de usuários domésticos.
carregamento e menor consumo de energia nos equipamentos portáteis; pode ser de grande
valia também para as corporações através da disponibilização da solução para funcionários
que trabalham remotamente.
Desvantagens: Impossibilidade de instalação de novos aplicativos sem o aval do
fabricante da solução; tem foco maior no usuário doméstico; ambiente com hardware
compatível muito restrito; não há informações disponíveis sobre a produção ou adaptação de
programas sob encomenda; licença de uso com pagamento anual ou opcionalmente a cada três
anos.
Figura 21: Uma máquina virtual e um virtual appliance, diferenças na forma como são
criadas e mantidas.10
9.4 VMsafe
Devemos ressaltar que este recurso está disponível somente em produtos voltados para
uso empresarial desenvolvidos pela VMware Inc., além disso o recurso em si não promove a
segurança alguma sendo somente habilitado, é necessária a instalação de virtual appliances no
VMsafe para que a devida proteção seja promovida. Para tal deve-se escolher os tipos de
proteção que se deseja instalar e escolher aquelas cujos fornecedores sejam confiáveis.
Vantagens: Segundo o site da empresa esta nova camada permite a instalação de
ferramentas que podem possibilitar a monitoração do tráfego circulante nas redes
virtualizadas, permitir a instalação de firewall's, detectores de intrusão, anti-vírus, entre outras
ferramentas de proteção. Os parceiros são aprovados pela VMware Inc..
Desvantagens: Recurso restrito aos produtos da VMware Inc. e ainda sendo necessária
a instalação de máquinas virtuais adicionais, que poderão impactar no desempenho e
funcionamento da infra-estrutura virtualizada. Soluções disponibilizadas somente por
parceiros aprovados pela VMware Inc. também pode ser uma desvantagem, caso um
fornecedor de preferência de possíveis clientes da tecnologia não ter ainda aprovação de seus
produtos de proteção.
códigos por parte de fornecedores de hardware, diminuindo a barreira para a entrada de novas
idéias e aumentando a taxa de inovação da infra-estrutura de rede.
Desta forma, diferentes pesquisadores podem utilizar porções de recursos físicos e de
tráfegos diferentes e independentes através do gerenciamento proporcionado pelo FlowVisor,
gerenciador lógico de alocação de recursos que força o isolamento entre os recursos alocados
para diferentes pesquisadores, utilizando o mesmo hardware tanto para pesquisas quanto para
produção.
Para atender à demanda de produtos que venham a prover maior nível de segurança
aos ambientes virtualizados, empresas como a Cisco Systems, VMware e Citrix estão
desenvolvendo novos modelos de switches virtuais que suportem um melhor monitoramento
do tráfego de dados nestes ambientes.
Segundo informações destes fabricantes e de especialistas na área, estes novos
52
10 Conclusão
EMBLETON, Shawn; SPARKS, Sherri; ZOU, Cliff. SMM Rootkits: A New Breed of OS
Independent Malware. Istambul: SecureCom, 2008. Disponível
em:<http://www.cs.ucf.edu/~czou/research/SMM-Rootkits-Securecom08.pdf>. Acesso em: 04 jun.
2009, 11:20:17.
HOFF, Christofer. The Four Horsemen Of The Virtualization Apocalypse. Las Vegas: Black Hat
USA, 2008. Disponível em:<https://media.blackhat.com/bh-usa-08/video/bh-us-08-Hoff/black-hat-
usa-08-hoff-fourhorsemen-hires.m4v>. Acessado em: 19 mai. 2009, 22:41:34.
______ . The Four Horsemen Of The Virtualization Apocalypse. Las Vegas: Black Hat USA,
2008. Disponível em:<http://www.blackhat.com/presentations/bh-usa-
08/Hoff/BH_US_08_Hoff_Virtualization_Security_Apocalypse.pdf>. Acesso em: 25 mai. 2009,
10:52:30.
HOOPES, John. et al. Virtualization for Security: Includind Sandboxing, Disaster Recovery, High
Availability, Forensic Analisys, and Honeypotting. Burlington: Syngress, 2009. 377 p.
KING, Samuel T.; et al. SubVirt: Implementing malware with virtual machines. Michigan:
Michigan University, 2005. Disponível
em:<http://www.cs.uiuc.edu/homes/kingst/Research_files/king06.pdf>. Acesso em: 08 mar. 2009,
22:09:30.
MICROSOFT CORPORATION. Understanding Malware, Spyware, Viruses and Rootkits.
[S.l.]. Disponível
em:<http://download.microsoft.com/documents/uk/technet/learning/downloads/security/Understand
ing_Malware_Spyware_Viruses_and_Rootkits.ppt>. Acesso em: 13 mar. 2009, 02:01:54.
PANDA SECURITY. Rootkits: Almost invisible malware. What are the different types of
rootkits?. [S.l.]. Disponível em:<http://www.pandasecurity.com/homeusers/security-info/types-
malware/rootkit/#e3>. Acesso em: 24 mai. 2009, 16:23:11.
______ . Subverting Vista™ Kernel For Fun And Profit. Las Vegas: Black Hat Briefings, 2006.
Disponível em:<http://www.blackhat.com/presentations/bh-usa-06/BH-US-06-Rutkowska.pdf>.
Acesso em: 04 jun. 2009, 11:34:47.
SHACKLEFORD, Dave; IGNASIAK, Todd. Virtualization Security 101. [S.l.]: Sans Institute
WebCasts, 2009. Disponível em:<https://www.sans.org/webcasts/show.php?
webcastid=92353&from=web0513B&eid=8of-CPJ>. Acesso em: 13 mai. 2009, 16:47:50.
SISNEMA INFORMÁTICA. TI Verde: Virtualização reduz danos ao meio ambiente. Porto Alegre:
2009. Disponível em:<http://sisnema.com.br/Materias/idmat019717.htm>. Acesso em: 05 jun.
2009, 22:53:32.
SYMANTEC. SYMANTEC STATE OF THE DATA CENTER REPORT 2008: State of the
Data Center, Regional Data – Global, Second Annual Report – 2008. [S.l.]: 2009 Disponível
em:<http://www.symantec.com/content/en/us/about/media/SOTDC_report_2007.pdf>. Acesso em:
26 mai. 2009, 15:51:32.
THE Matrix. Direção: The Wachowski Brothers. Produção de Joel Silver. [S.l.]: Warner Bros.;
Village Roadshow; Groucho II Film Partnership. 1999. 1 DVD.
WOLF, Chris. Flying Under The Citrix Sinergy Radar – A New Virtual Switch. [S.l.]: Chris
Wolf's Virtualization Tips and Ramblings, 2009. Disponível em:<http://www.chriswolf.com/?
p=362>. Acesso em: 05 jun. 2009, 11:57:55.
ZOVI, Davi A.. Hardware Virtualization Rootkits. Las Vegas: Black Hat USA, 2006. Disponível
em:<http://www.blackhat.com/presentations/bh-usa-06/BH-US-06-Zovi.pdf>. Acesso em: 03 jun.
2009, 17:38:15.
GLOSSÁRIO
AMD – Abreviação de Advanced Micro Devices, é uma empresa americana fabricante de circuitos
integrados, especialmente microprocessadores. Começou a produzir circuitos lógicos em 1969 e em
1975 ingressou no mercado de circuitos integrados para memórias RAM.
Nesse mesmo ano também introduziu no mercado um microprocessador clone do Intel 8080,
usando de engenharia reversa para tal. A AMD também produzia outros tipos de circuitos integrados
para uso em minicomputadores de arquiteturas variadas.
Back-end – Refere-se à parte relativa ao servidor que irá atender às requisições dos clientes em uma
arquitertura cliente-servidor..
Backup – Cópia de um arquivo ou conjunto de dados mantidos por questão de segurança em local
diferente do original ou cópia principal; arquivo reserva, cópia de segurança.
Bare Metal – Expressão em inglês que significa “metal nu”. Usado para designar o tipo I de
hypervsor, em alusão ao seu acesso direto ao hardware físico do sistema em que está instalado.
BIOS – Forma contracta da expressão inglesa Basic Input/Output System, que significa sistema
básico de entrada e saída. É um programa de computador pré-gravado em memória permanente e
executado por computadores quando de seu acionamento. É responsável pelo suporte básico de
acesso ao hardware, bem como por iniciar a carga do sistema operacional.
Blue Pill – Rootkit conceito supostamente invisível aos modelos atuais de detecção de malwares,
foi desenvolvido em 2006 pela pesquisadora polonesa Joanna Rutkowska, que vem modificando-o
ao longo dos anos para atacar diferentes sistemas operacionais e arquiteturas de virtualização
durante as demonstrações em suas palestras sobre segurança em ambientes virtualizados.
Boot – Em computação, boot é o termo em inglês usado para designar o processo de iniciação do
computador que carrega o sistema operacional quando a máquina é ligada.
Bots – Abreviação de robots ou robôs em português, são softwares maliciosos que podem ser
utilizados para a coordenação e a operação de um ataque automatizado em computadores em rede,
tais como um ataque do negação-serviço.
Chief Security Architect – Arquiteto de estratégias em segurança, em uma tradução livre para o
termo inglês. Identifica o responsável pela identificação e eleição de padrões de segurança para uso
corporativo e desenvolve estratégias e tecnologias para apoiar as arquiteturas de segurança.
Chief Security Officer – É o mais alto executivo responsável pela segurança da informação em uma
corporação. Atua como líder no desenvolvimento, implementação e gerenciamento da visão, dos
programas, e da estratégia da securança organizacional das corporações.
Citrix – Empresa multinacional americana fundada em 1989 pelo antigo dono da IBM Ed
Iacobuccicom no Texas, e hoje sediada em Fort Lauderdale, Flórida. Possui o foco em software e
serviços, especializada em virtualização e acesso remoto de software para prover aplicações em
rede e de Internet.
CobIT – Do inglês Control Objectives for Information and related Technology, é um guia
formulado como framework e dirigido para a gestão de tecnologia da informação.
Recomendado pelo ISACA ( Information Systems Audit and Control Association ) possui uma série
de recursos que podem servir como um modelo de referência para gestão da TI, incluindo um
sumário executivo, um "framework", controle de objetivos, mapas de auditoria, ferramentas para a
sua implementação e principalmente, um guia com técnicas de gerenciamento.
Crackers – O termo cracker, do inglês "quebrador", originalmente significa alguém que "quebra"
sistemas. Hoje em dia, pode tanto significar alguém que quebra sistemas de segurança na intenção
de obter proveito pessoal ( como por exemplo modificar um programa para que ele não precise mais
ser pago ), como também pode ser um termo genérico para um Black Hat, que é um hacker que
utiliza suas habilidades para atividades ilícitas.
Data Center – Local onde são concentrados os computadores e sistemas confiáveis ( softwares )
responsáveis pelo processamento de dados de uma empresa ou organização. Normalmente
projetados para serem extremamente seguros, contam com sistemas de última geração para extinção
de incêndios, acesso controlado por cartões eletrônicos e/ou biometria, monitoramento 24 h x 7
dias, ar-condicionados de precisão, geradores de energia de grande capacidade e UPS ( no-breaks )
de grande porte para manter os equipamentos ligados, mesmo em caso de falta de energia.
Ethernet – Um padrão muito usado para a conexão física de redes locais, originalmente
desenvolvido pelo Palo Alto Research Center ( PARC ) da Xerox nos EUA. Descreve protocolo,
cabeamento, topologia e mecanismos de transmissão.
Firewall – Nome dado ao dispositivo de uma rede de computadores que tem por objetivo aplicar
uma política de segurança a um determinado ponto de controle da rede. Sua função consiste em
regular o tráfego de dados entre redes distintas e impedir a transmissão e/ou recepção de acessos
nocivos ou não autorizados de uma rede para outra.
Front-end – É responsável por coletar os dados de entrada do usuário em várias formas e processá-
los para adequá-los a uma especificação útil para os servidores em uma arquitetura cliente-servidor.
Full virtualization – Tipo de virtualização quanto a execução, que na tradução quer dizer
virtualização completa. Caracteriza-se pela ligação das máquinas virtuais e o hardware físico,
intermediada por um gerenciador de máquinas virtuais,, chamado de hypervisor, do tipo I.
Hacking – Métodos e técnicas utilizadas por hackers para acesso a computadores e/ou redes.
Host – Em informática, host é qualquer máquina ou computador conectado a uma rede. Os hosts
variam de computadores pessoais a supercomputadores, dentre outros equipamentos, como
roteadores.
IBM – Abreviação de International Business Machines, importante empresa americana voltada para
a área de tecnologia, particularmente de computadores.
IP virtual – Um endereço de IP virtual ( VIP ou VIPA ) é um endereço IP que não está ligado a um
computador específico, ou interface de rede ( NIC ) em um computador. Os pacotes são enviados
para o endereço IP virtual, mas todos os pacotes trafegam através de interfaces de rede real.
Keyloggers – Programa capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado de
um computador. Normalmente, a ativação do keylogger é condicionada a uma ação prévia do
usuário, como por exemplo, após o acesso a um site de comércio eletrônico ou Internet Banking,
para a captura de senhas bancárias ou números de cartões de crédito.
MAC – Abreviatura para o termo inglês Media Access Control, refere-se ao endereço físico da
estação ou sua interface de rede. É um endereço de 48 bits, representado em hexadecimal.
Microsoft – Fundada em 4 de abril de 1975 por Bill Gates e Paul Allen cujo objetivo era
desenvolver e comercializar interpretadores da linguagem Basic. Hoje a Microsoft é uma das
empresas de tecnologia que mais investe em pesquisa e desenvolvimento no mundo. O nome
Microsoft provêm da junção das palavras inglesas microscopic e software.
Notebooks – Computador portátil leve, designado para poder ser transportado e utilizado em
diferentes lugares com facilidade. Geralmente um notebook contém tela de LCD ( cristal líquido ),
teclado, mouse ( geralmente um touchpad, que é uma área onde se desliza o dedo para mover o
ponteiro do mouse ), unidade de disco rígido, portas para conectividade via rede local ou
fax/modem, gravadores de CD/DVD. Os mais modernos não possuem mais a entrada para discos
flexíveis ( disquetes ) e quando há a necessidade de utilizar um desses conecta-se um adaptador
externo à uma das portas USB.
One Time Passwords – Definida também como senha descartável, é uma senha que perde a
validade após um processo de autenticação para impedir que esta seja capturada e re-utilizada. O
uso de senhas descartáveis é uma das mais simples soluções de segurança e de fácil implementação.
A finalidade é fazer com que o usuário informe senhas diferentes a cada acesso.
OpenFlow - Provê um protocolo aberto para programar a tabela de fluxo de dados de diferentes
tipos de switches e roteadores, onde administradores de redes podem particionar o tráfego de dados,
como de produção e pesquisa por exemplo, permitindo que pesquisadores possam controlar seu
fluxo de dados escolhendo as rotas que seus pacotes vão seguir e o processamento que irão receber.
Deste modo, estes pesquisadores podem testar novos protocolos de roteamento, modelos de
segurança, esquemas de endereçamento, e até alternativas para o IP através da criação de redes
virtuais programáveis, sem que afete o tráfego de dados do segmento de produção normal da rede.
Oracle – Fundada em 1977, é uma companhia que desenvolve softwares corporativos. O seu
principal produto é o sistema de gestão de banco de dados relacionais de mesmo nome: Oracle.
Quest software – Fundada em 1987 e com sede em Aliso Viejo, Califórnia. A Quest desenvolve,
vende e oferece suporte a dados de gestão. Seus produtos permitem criar, implantar e gerenciar
aplicações personalizadas de software, bem como infra-estruturas associadas a softwares
componentes, tais como bases de dados, servidores de aplicação, sistemas operacionais e
hypervisors, a empresa também presta consultoria, treinamento e serviços de apoio.
Red Hat Inc. - Empresa dos Estados Unidos, que disponibiliza soluções baseadas no sistema
operacional GNU/Linux e outras tecnologias, incluindo várias distribuições, além de outras soluções
em software livre voltadas ao mercado corporativo.
Root – É o usuário que possui acesso a todos os recursos do sistema, sem restrições. Normalmente é
utilizado somente pelos administradores para a manutenção de sistemas. É chamado também de
super-usuário.
Rootkit – Conjunto de programas que tem como finalidade esconder e assegurar a presença de um
invasor em um computador comprometido. É importante ressaltar que o nome rootkit não indica
que as ferramentas que o compõem são usadas para obter acesso privilegiado ( root ou
Administrador ) em um computador, mas sim para manter o acesso privilegiado em um computador
previamente comprometido.
Sites – Conjunto de páginas web, isto é, de hipertextos acessíveis geralmente pelo protocolo HTTP
na Internet. O conjunto de todos os sites públicos existentes compõem a World Wide Web.
Software – Qualquer programa ou grupo de programas compostos por uma seqüência de instruções
que instrui o hardware sobre a maneira como ele deve executar uma tarefa, inclusive sistemas
operacionais, processadores de texto e programas de aplicação.
SubVirt - Conceito de rootkit que teve origem ainda no ano de 2005 onde Samuel T. King et al,
pesquisadores da Microsoft e da Universidade de Michigan, onde apresentou a possibilidade da
criação de um malware que afetasse especificamente a ambientes virtualizados, fazendo com que a
seqüência de boot fosse modificada para que o sistema operacional original fosse carregado no
Virtual PC, software de virtualização da Microsoft.
Switch – Dispositivo utilizado em uma rede de computadores para re-encaminhar frames entre os
diversos nós. Ele tem como função o chaveamento ( ou comutação ) entre as estações que desejam
se comunicar.
Symantec – Fundada em 1982 com sede em Cupertino na Califórnia, suas atividades se concentram
em segurança da Internet e em redes para usuários domésticos e corporações, suas soluções são
baseadas em software e aplicativos, com proteção de anti-vírus, análise de vulnerabilidades,
detecção de intrusos, filtragem de conteúdo e de e-mail.
Thin clients – São computadores clientes em uma rede no modelo cliente-servidor, no qual
possuem poucos ou nenhum aplicativo instalado, dependendo primariamente de um servidor
central para o processamento de suas requisições.
Trojan – Trojan Horse ou Cavalo de Tróia é um programa do tipo malware que age como a lenda
do cavalo de Tróia, se instalando no computador e liberando uma ou mais portas de comunicação
para uma possível invasão.
Unix – Sistema operacional portável, multi-tarefa, multi-usuário originalmente criado por Ken
Thompson que trabalhava nos Laboratórios Bell ( Bell Labs ) da AT&T. A marca UNIX é uma
propriedade do The Open Group, um consórcio formado por empresas de informática.
Virtual appliance – Tipo de máquina virtual construída através da união de determinado aplicativo
a um sistema operacional personalizado, este último possuindo somente os recursos e componentes
necessários à execução deste conjunto, projetada para ser executada em uma plataforma de
virtualização ( Vmware, Xen, VirtualBox, entre outras ).
Virtual PC – Programa criado pela Microsoft e que emula um computador dentro do sistema
operacional Windows. Assim sendo, em uma janela será possível abrir outro sistema operacional,
seja este diferente ou não, e até criar um HD virtual, que será um arquivo salvo dentro da partição
do Windows, podendo ser formatado com qualquer sistema de arquivos, sem interferir no sistema
hospedeiro.
Vitriol – Rootkit desenvolvido em 2006 para ambientes virtualizados, teve como alvo o sistema
operacional MacOS X utilizando processadores com arquitetura Intel VT-X.
VLANs – Redes virtuais, popularmente conhecidas como VLANs, possuem os mesmos atributos
físicos que uma rede local, mas permitem que hosts possam ser agrupadas mesmo que não estejam
localizadas na mesma switch de rede. A reconfiguração da rede pode ser feita através de software,
sem a necessidade de deslocar fisicamente os dispositivos.
VM Sprawl – Uma tradução livre para o termo seria Expansão de Máquinas Virtuais e esta
expansão caracteriza-se pela proliferação de máquinas virtuais pelo ambiente sem o devido
controle.
Web – "Teia" em inglês, é um termo usado para se referir a redes de computadores. O termo surgiu
devido ao formato de uma teia de aranha lembrar a disposição física de uma rede, com cabos
interligando os pontos. O termo WWW é a abreviação de "World Wide Web", ou larga teia mundial e
é naturalmente usado com relação à Internet.
Windows – Popular família de sistemas operacionais criados pela Microsoft, empresa americana
fundada por Bill Gates e Paul Allen.
Worms – Programa capaz de se propagar automaticamente através de redes, enviando cópias de si
mesmo de computador para computador. Diferente do vírus, o worm não embute cópias de si
mesmo em outros programas ou arquivos e não necessita ser explicitamente executado para se
propagar. Sua propagação se dá através da exploração de vulnerabilidades existentes ou falhas na
configuração de softwares instalados em computadores.
Zoned Virtual Machine Monitor – Embora ainda não exista uma definição formal pode ser
definido como um novo tipo de hypervisor, que é instalado em um hardware específico, como a
BIOS por exemplo.
ANEXO 1
ANEXO 2