Un nuevo software mejora la posibilidad de detectar malware en sistemas cloud
IBM e investigadores de la Universidad de Carolina del Norte han desarrollado un software que detecta virus y otros ejemplares de malware en los hipervisores, tan críticos en el cloud computing.
La preocupación por los riesgos de seguridad del cloud computing está frenando, en cierta medida, su adopción. HyperSentry es el programa desarrollado por IBM y la Universidad de Carolina del Norte para tratar de combatir estos temores. Se trata de un software de seguridad que se centra en proteger los hipervisores de las nubes virtuales.
Concretamente, HyperSentry permite a los administradores cloud medir la integridad de los hipervisores mientras operan; es decir, comprobar si han sido accedidos por un tercero. Aunque los ataques al hipervisor son raros, las consecuencias pueden ser funestas, ya que el hipervisor se encarga de gestionar múltiples sistemas operativos dentro de una misma CPU, y si se ve atacado, podría perjudicar a numerosas aplicaciones, robar información de los usuarios, utilizar los recursos informáticos de la cloud para atacar a otras entidades de Internet o difundir malware.
La solución realiza su tarea de rastreo de forma sigilosa, sin que el propio hipervisor sea consciente de su examen. Para ello, el prototipo de HyperSentry utiliza la interfaz de gestión de plataforma inteligente (IPMI) del servidor para establecer el canal “fuera de banda” que separa este programa del hipervisor e inspecciona la memoria del programa y los registros dentro de la CPU que están ejecutando el programa. Se realiza así porque el malware puede ocultarse de los programas de seguridad que buscan en la memoria donde se supone que se localiza el hipervisor; puede hacerse invisible a esos programas de seguridad modificando los registros de la CPU y recolocando el hipervisor infectado en cualquier otro lugar. Al garantizar la medida en el propio contexto del hipervisor, HyperSentry puede rastrear dónde se encuentra localizado el hipervisor infectado y rechazar este malware inteligente.
El hecho de que HyperSentry pueda comprobar la integridad del hipervisor sin que éste lo perciba, también es importante. Si el hipervisor es consciente de que está siendo examinado y ya se ha visto comprometido, puede notificarlo al malware. Una vez alertado, el software malicioso podría restituir el hipervisor a su estado normal para evitar su detección y ocultarse hasta que el chequeo de seguridad haya finalizado.
Una vez detectado el hipervisor infectado, el administrador de cloud podría tomar medidas como cerrar el equipo que lo sustenta, investigar el problema y limitar los daños.
