Virtualização não é igual a segurança

Um assunto está nas rodas de conversa da TI, a Virtualização. É um dos assuntos mas quentes do momento com certeza. Os players da tecnologia vem prometendo flexibilidade, disponibilidade, redução de custo, etc. Estes são apenas alguns benefícios alardeados a todo momento.

Tem um outro benefício que também aparece nas conversas, SEGURANÇA, será? Bom em parte, eu diria, existe(+-) a separação lógica das VMs (Virtual Machines), segmentação de redes virtuais, dentre outras. Mas, sempre tem um mais, assim com o recente sucesso desta tecnologia, os olhares dos bughunters se abrem e com eles vulnerabilidades aparecem (nada novo).

Um exemplo desta segurança "parcial" são as recentes vulnerabilidades descobertas pela IBM ISS X-Force no software Vmware, o mais falado por ae. Em uma delas existe a possibilidade de execução de código, de uma VM no sistema que está "hosteando" o software de virtualização. Outro exemplo está descrito no advisory MS07-049 da Microsoft.


Pois é, perceberam o problema, se você tiver uma infra-estrutura grande que utiliza várias VMs, a exploração em uma VM pode comprometer toda a infra-estrutura. Como eu sempre digo, pense bem, avalie, não seja levado tanto pelos modismos, pois você pode estar em apuros no final do dia.

Bom, com isso não quero dizer que esta tecnologia não deva ser usada, eu mesmo uso. Mas quando o assunto é virtualizar toda a sua infra-estrutura , você deve sempre avaliar os poréns para não ser pego de calça curta. :)

Vulns citadas:

CVE-2007-4496
CVE-2007-4497

Abraços....

CISSP : finalmente chegou o resultado WOW I GOT

Depois de uma longa auditoria e problemas do serviço de email do provedor, recebi finalmente o resultado, sim, I GOT. Depois de ter sido aprovado, posso garantir que a prova não é fácil, pois aborda muitos domínios de estudo (10 ao todo), além de ser muito cansativa - 250 questões em 6hs.

Respostas que depois de 3h :) parecem idênticas, mas com diferenças muito sutis. Pelo que me lembro fiz a prova em 5hs, muito cansativo mesmo. Só me lembrava de fazer uma prova no "CANETÃO" na época do vestibular e pensava que isto tinha ficado para trás, acreditem, a mão já estava doendo. Mas vou parar de reclamar :).

Bom, espero que a certificação ajude a empresa em que trabalho, a fortalecer sua posição no mercado maranhense, que é muito inclinado a filososia do "Só o que é de fora é bom", espero que um dia entendam que experiência é muito mais importante.

Parabéns ao amigo Sangiorgi, que conseguiu o seu MCSE+Security.

E meus amigos Michel e Gemayel quase tirando certs da GIAC, além do Neto, com LPI, ITIL, 17799 etc. Sem esquecer do Marley (O estagiário hehehe) que vai tirar ITIL.


É isso ae, Intechne crescendo e se fortalecendo.