Kysymys:
Kuinka turvallisia virtuaalikoneet todella ovat? Väärä turvallisuuden tunne?
T. Webster
2011-04-13 04:48:32 UTC
view on stackexchange narkive permalink

Luin tätä CompTIA Security + SYO-201 -kirjaa, ja kirjailija David Prowse väittää, että:

Kumman valitsetkin virtuaalikoneen, virtuaalikone ei voi ylittää ohjelmistoa asetetut rajat. Esimerkiksi virus voi tartuttaa tietokoneen, kun se suoritetaan ja leviää muihin käyttöjärjestelmän tiedostoihin. Virtuaalikoneessa suoritettu virus leviää kuitenkin virtuaalikoneen kautta, mutta ei vaikuta taustalla olevaan varsinaiseen käyttöjärjestelmään.

Joten jos käytän VMWare-soitinta ja suoritan joitain haittaohjelmia virtuaalikoneeni käyttöjärjestelmässä, Minun ei tarvitse huolehtia siitä, että isäntäjärjestelmäni vaarantuu, kaikki ?

Entä jos virtuaalikone jakaa verkon isäntäkoneen kanssa ja jaetut kansiot ovat käytössä?

Eikö mato voi silti kopioida itseään isäntäkoneelle tällä tavalla? Eikö käyttäjä ole edelleen haavoittuvainen automaattiselle käynnistykselle, jos käyttöjärjestelmä on Windows ja hän asettaa USB-muistilaitteen?

Kuinka turvalliset virtuaalikoneet todella ovat? Kuinka paljon ne suojaavat isäntäkonetta haittaohjelmilta ja hyökkäyksiltä?

Jos olisin toimittaja, välittäisin sanan "toivottavasti" ja "teoreettisesti" muutamaan vaihtoehtoiseen paikkaan siinä lainauksessa. Itse asiassa se on ehdottomasti väärä lausunto.
Esimerkki tosielämän hyökkäyksestä vierasosastolta isäntäosastoon. http://venom.crowdstrike.com
Hyvin yleinen lausunto on, että isännän ja verkon turvallisuus riippuu mainitun isännän / verkon ja asiakas VM: n välisten rajapintojen turvallisuudesta. Sinun kannattaa harkita työkalujen absoluuttisen vähimmäismäärän asentamista, vähimmäisverkkoyhteyden määrittämistä ja laitteistolaitteiden vähimmäismäärää riskien minimoimiseksi. Jos vain suoritat virtuaalikoneen muistin hiekkalaatikossa, olet todennäköisesti turvassa; ainoat hyökkäysrajapinnat olisivat visiirin suorittimen ja muistin alijärjestelmä. Sinulla olisi myös melko hyödytön virtuaalikone. Esim. tarvitsetko [levykkeen] (http://blog.crowdstrike.com/venom-vulnerability-details/)?
Yhdeksän vastused:
#1
+94
Marcin
2011-04-13 05:38:58 UTC
view on stackexchange narkive permalink

VM: t voivat ehdottomasti ylittää. Yleensä sinulla on ne verkossa, joten kaikki haittaohjelmat, joissa on verkkokomponentti (esim. Madot), leviävät aina, kun heidän osoitteensa / reitityksensä sallii heidän. Säännölliset virukset toimivat yleensä vain käyttömuodossa, joten vaikka he eivät pystyneet kommunikoimaan avoimesti, he voisivat silti perustaa peitetyn kanavan. Jos jaat suorittimia, kiireinen prosessi yhdellä virtuaalikoneella voi tehokkaasti kommunikoida tilan toiselle virtuaalikoneelle (se on prototyyppinen ajoitettu peitekanava). Piilotetun tallennustilan kanava olisi hieman vaikeampi, koska virtuaalilevyillä on yleensä kova rajoitus niissä, joten ellei sinulla ole järjestelmää, joka voi sitoa levytilaa liikaa, sen ei pitäisi olla ongelma.

mielenkiintoisinta lähestymistapaa virtuaalikoneiden suojaamiseen kutsutaan erotusydin. Se on seurausta John Rushbyn 1981 -artikkelista, jossa todetaan periaatteessa, että voidakseen eristää virtuaalikoneet fyysistä erottamista vastaavalla tavalla, tietokoneen on vietävä resurssit tiettyihin virtuaalikoneisiin tavalla, jossa ei ole merkitystä, että resursseja, jotka voivat tallentaa tilaa, jaetaan virtuaalikoneiden välillä. Tällä on syviä seurauksia, koska se edellyttää, että taustalla oleva tietokonearkkitehtuuri suunnitellaan tavalla, jolla se voidaan suorittaa ohittamattomalla tavalla.

30 vuotta tämän artikkelin jälkeen meillä on vihdoin muutamia tuotteita, jotka väittää tekevänsä sen. x86 ei ole sille paras alusta, koska on olemassa monia ohjeita, joita ei voida virtualisoida, jotta ei-jakamista-idea olisi täysin tuettu. Se ei myöskään ole kovin käytännöllinen tavallisissa järjestelmissä, sillä jos sinulla on neljä virtuaalikoneita, tarvitset neljä kiintolevyä, jotka riippuvat neljästä levyohjaimesta, neljä näytönohjainta, neljä USB-ohjainta neljällä hiirellä jne.

2020-päivitys: kaikki viimeisimmät laitteistopohjaiset haavoittuvuudet (Meltdown, Spectre, Foreshadow, ZombieLoad, CacheOut, SPOILER jne.) Haavoittuvuusperhe ovat upeita esimerkkejä siitä, kuinka virtuaalikoneet pystyvät aina kommunikoimaan yksinkertaisesti siksi, että he jakavat laitteistoja (välimuistit, TLB, haaraennuste, TSX, SGX), joita ei koskaan ollut tarkoitus tai valmisteltu osioimiseksi ja eristämiseksi.

Mikä hyöty tällaisesta salaisesta viestinnästä viruksen tekijälle? Kuulostaa siltä, ​​ettei sitä voitu käyttää, ennen kuin molemmat koneet olivat saaneet tartunnan, mutta miksi tarvitset sitä sen jälkeen?
@JackO'Connor: Jotta voisimme * kommunikoida * keskenään. Harkitse esimerkiksi, jos yhdellä virtuaalikoneella on verkkokortti liitettynä Internetiin, mutta ei sisäiseen datakeskukseen, ja toisella verkkokortti on liitetty sisäiseen datakeskukseen, mutta ei Internetiin. Tämän salaisen kanavan avulla hyökkääjällä on nyt reitti hyökätä DC: tä Internetistä ja exfil-tiedoista. Lisäksi yksi virtuaalikone voisi mahdollisesti sivukanavan hyökätä toiseen virtuaalikoneeseen tällä menetelmällä, esimerkiksi yksi vaarantunut virtuaalikone (ehkä Azure / EC2: ssa) hyökkää toiseen virtuaalikoneeseen saadakseen esimerkiksi toisen virtuaalikoneen yksityiset SSL-avaimet.
Jos virtuaalikone ei suorita konekoodia suoraan, vaan tulkitsee sen, onko koneen 100% turvallisessa tekemisessä mitään perustavaa laatua olevia vaikeuksia, jos ainoat tapat, joilla se voi olla vuorovaikutuksessa ulkomaailman kanssa, aloitetaan itsensä ulkopuolelta (esim. Ulkopuolelta) apuohjelma, joka kopioi tiedot virtuaalikoneen "kiintolevylle"?)
"_Jos sinulla on neljä virtuaalikoneita, tarvitset neljä kiintolevyä, jotka ripustetaan neljän levyohjaimen, neljän [jne ...] _" _ "Vaikuttaa siltä, ​​että siltä puuttuu * virtuaalisten * koneiden kohta.
@Marcin - Jos virtuaalikoneita ei ole kytketty verkkoon testausta varten, mutta vieraiden ja isäntien välillä on kuitenkin käytössä jaetut kansiot ja leikepöytä, mikä on todennäköisyys tartunnan saamisesta vieraasta isäntään?
@Motivated, joka olisi sama todennäköisyys levyn lataamisen tai sähköpostin liitetiedoston tartuttamiseen: virtuaalikoneessa oleva haittaohjelma voi laittaa tiedostoja jaettuihin kansioihin, mutta käyttäjän on ryhdyttävä toimiin niiden tekemiseksi.
Ei ole olemassa mitään "ei jakamista" -järjestelmää.Vaikka sinulla olisi erilliset verkkokortit, kiintolevy jne. Jokaiselle virtuaalikoneelle, jaat silti emolevyä.Ja jos virtuaalikoneillasi on tosiasiallisesti omat emolevyt, et voi enää soittaa järjestelmääsi virtuaalikoneeksi.
Marcin, vastauksesta on kulunut 8 vuotta.voitko päivittää sen?aihe on erittäin tärkeä ... kiitos
#2
+66
sysadmin1138
2011-04-13 06:22:58 UTC
view on stackexchange narkive permalink

Vuosien varrella on julkaistu joitain julkaisuja, joissa kuvataan tapoja, joilla tutkijat ovat onnistuneet tartuttamaan isäntäkäyttöjärjestelmän virtuaalikoneelta. Virtuaalikoneiden toimittajat näkevät nämä oikeutetusti yleensä tietoturva-aukkoina, ja niitä pidetään sellaisina. Siitä lähtien, kun näin paperit ensimmäisen kerran, Intel on tehnyt joitain merkittäviä prosessorin käskysarjaparannuksia, jotka mahdollistavat virtuaalikoneen ja hypervisorin erottamisen.

Muutamat näkemäni haavoittuvuudet perustuvat nykyään enemmän vmtools-osaan. Tämä on ohjelmisto, jonka asennat, jotta vieras-käyttöjärjestelmä toimii tehokkaammin (VMWarelle tämä mahdollistaa kursorin sieppaamisen lennossa ja jakamisen vieraan ja isännän välillä ilman verkkoa). Tämä on erityinen ohjelmistoreitti tartunnalle; älä asenna työkaluja, heillä ei ole haavoittuvuutta.

Jotkut haittaohjelmat ovat osoittaneet kyvyn havaita , että ne suoritetaan virtuaalikoneessa, ja muuttaa siten käyttäytymistään. , paljon haittaohjelmien tutkijoiden pahenemiseen, jotka yrittävät käyttää virtuaalikoneita keinona testata haittaohjelmia. En kuitenkaan tiedä kuinka yleistä se on nykyään.

Olen kuullut, että he yleensä suorittavat haittaohjelman virheenkorjaimessa, asettavat katkaisupisteen haaralle, joka aiheuttaa virtuaalikohtaista käyttäytymistä, ja muuttavat ehdon tulosta sen arvioinnin jälkeen. Mutta se on nykyään vähemmän yleistä, koska monet mielenkiintoiset kohteet virtualisoidaan.
"Tämä on erityinen ohjelmistoreitti tartunnalle. Älä asenna työkaluja, sinulla ei ole haavoittuvuutta."Vaikka työkaluja ei olisikaan asennettu, hyökkääjä voi vain asentaa ne.Jotta hyökkäysvektori voidaan sulkea kunnolla, sinun on suljettava sovellusliittymät, joiden kanssa työkalut puhuvat.
#3
+26
harley
2011-04-21 21:55:01 UTC
view on stackexchange narkive permalink

Esimerkki vierailija-isäntä -koodin suorittamisesta löytyy Cloudburst-hyödyntämisestä. Siellä on video, joka osoittaa sen, ja Immunityn julkaisu yksityiskohtaisesti heidän menestyksestään VMware Workstation 6.5.0 build118166: ssa Windows Vista SP1: ssä, VMware Workstation 6.5.1 build126130 Windowsissa Vista SP1 ja (vielä pelottavampi) VMware ESX Server 4.0.0 build133495.

Tämä tarjoaa todennäköisesti vähän mukavuutta, mutta en ole koskaan kuullut, että sitä käytettäisiin luonnossa, ja hyödyntäminen on vuodelta 2009. Se kirja julkaistiin vuonna 2010, joten kirjoittajan tulisi puhdistaa tuo lausunto.

#4
+21
Ormis
2011-04-13 23:32:18 UTC
view on stackexchange narkive permalink

Virtuaalikone on täsmälleen sama, loogisesti erillinen kone, joten siihen on asetettava samat turvakerrokset kuin paljaalla metallijärjestelmällä. Virtuaalikoneen käyttö ei pysäytä häpy, jos se käyttää tavallisia kanavia päästäksesi isäntäkoneeseen.

Virtualisoinnin todellinen kauneus on kyky palauttaa virtuaalikoneet tilaan, jossa niitä ei toteutettu, kuten sekä kyky hallita käytettävissä olevia resursseja paremmin.

Jos isäntäkoneen suojaamiseksi toteutetaan asianmukaiset toimenpiteet, virtualisointi voi olla erittäin turvallista. Käytännöt, kuten ESX / VM-palvelimen hallinnan pitäminen eri loogisessa verkossa ja VM-isäntäkäyttöliittymien käyttäminen, pitävät hyökkääjät enimmäkseen tietämättöminä siitä, että kone on virtuaalinen, puhumattakaan siitä, kuinka päästä isäntään.

On myös tunnettuja hyökkäyksiä, jotka vaikuttavat VM-isäntiin (olen pelannut heidän kanssaan VMWaressa ja Hyper-V: ssä). Olen tällä hetkellä tietoinen isännän DoS-hyväksikäytöistä vain hyper-v: n suhteen (katso tämä), mutta olen varma, että näköpiirissä on muita löytöjä. VMWaren historiassa on myös joitain (ts. tämä, se on VMWare-työkalupohjainen, mutta se pätee silti).

Riippuen siitä, mitä teet, on joitain verkkotyökaluja, jotka voi pystyä poistamaan tarpeen analyysistä omalla koneellasi. Tässä on muutama tarkasteltava sivusto:
- Threatexpert.com
- anubis.iseclab.org
- virustotal. fi

P.S. käy osoitteessa malwaredomainlist.com, jos haluat testata hiekkalaatikkoympäristöäsi ... mutta varoita, käytä tätä vain, jos haluat saada tartunnan jollakin uudella, hauskalla haittaohjelmalla :-)
+1, mutta tunnustettu johtaja tällä alalla Joanna Rutkowska löytyy osoitteesta http://theinvisiblethings.blogspot.com/
X86: n virtuaalikone EI OLE tarkka loogisesti erillinen kone. Lue http://en.wikipedia.org/wiki/Popek_and_Goldberg_virtualization_requirements ja http://www.usenix.org/events/sec2000/robin.html.
Loogisesti erillinen ei tarkoita teknisesti erillistä. Vaikka kaikkia ohjeita ei voida virtualisoida, koneen sovellus on silti erilainen looginen kokonaisuus. Niiden, jotka ottavat heidät käyttöön, on säilytettävä tämä ajattelutapa, älkää ottako turvallisuutta abstraktion takia. Muista myös tehdä perusasiat ... VMWarelle, yritä käyttää eri isäntä-käyttöjärjestelmää kuin Vieras-käyttöjärjestelmäsi, jota testaat, tutustu eristysvaihtoehtoihin ja varmista, että verkot on rakennettu oikein. Joten, @Marcin ymmärrän, mitä yrität sanoa, mutta uskon, että kommenttini ovat edelleen päteviä (yksinkertaisesti se virtualisointi! = Turvallisuus).
#5
+7
K. Brian Kelley
2011-04-13 05:40:36 UTC
view on stackexchange narkive permalink

Security + -materiaalilla tarkoitetaan sitä, että toistaiseksi haittaohjelmat eivät ole kyenneet pakenemaan virtuaalikoneen hiekkalaatikosta hyödyntämällä sitä, että se on virtuaalikone, ja jotenkin lyömällä hypervisoria. Muut mekanismit, kuten leviäminen jaetun verkon yli, ovat samat kuin jos ne olisivat erilaisia ​​fyysisiä laatikoita.

Valitettavasti vastauksesi on tosiasiallisesti virheellinen. En ole varma, että se tunnettiin vuonna 2011, mutta se on varmasti nyt. http://www.vupen.com/blog/20120904.Advanced_Exploitation_of_Xen_Sysret_VM_Escape_CVE-2012-0217.phpvia http://www.insinuator.net/2013/05/analysis-of-hypervisor-breakouts/
#6
+5
goodguys_activate
2015-06-06 04:31:13 UTC
view on stackexchange narkive permalink

Ne eivät ole täysin turvallisia, kuten tämä hyväksikäyttö osoittaa:

VENOM, CVE-2015-3456, on tietoturva-aukko, joka vaikuttaa joihinkin yleisiin tietokoneiden virtualisointialustoihin, erityisesti Xen, KVM, VirtualBox, ja natiivi QEMU-asiakas.

Tämä haavoittuvuus voi antaa hyökkääjälle mahdollisuuden paeta vaikutusalaan kuuluvan virtuaalikoneen (VM) vieraan rajoista ja saada mahdollisesti koodin suorittamisen käyttöoikeus isäntään. Lisätietoja haavoittuvuudesta löytyy täältä.

Huomaa, että CVE-2015-3456 lievennetään käyttämällä QEMU: n chroot-vaihtoehtoa, olettaen että se ei ole käynnissä pääkäyttäjänä.Haavoittuvuus on vain vaarantaa käyttäjätilan QEMU-käyttöliittymä, ei kernelspace Xen / KVM -taustaosa.En myöskään usko, että se vaikuttaa VirtualBoxiin, kuten ollenkaan.Se on nimenomaan QEMU: n fdc-ohjaimen heikkous.VirtualBox ei jaa kyseistä koodia.Ainoa syy, jonka sanotaan vaikuttavan KVM: ään ja Xeniin, on se, että näitä kahta käytetään harvoin yksinään, ja ne toimivat sen sijaan QEMU: n backendina.Jotkin kvmtool-tyyppiset tuotteet eivätkä QEMU, vaikka ne käyttäisivät edelleen KVM: ää, eivät vaikuta.
#7
+4
JackSparrow
2015-09-11 16:37:48 UTC
view on stackexchange narkive permalink

Mielestäni kirjoittajan väite ei ole täysin totta. Itse asiassa virtualisointialueella on kahden tyyppisiä hypervisoreja . Hypervisor on tietokoneohjelmisto, laiteohjelmisto tai laitteisto, joka luo ja suorittaa virtuaalikone ta. Nämä tyypit ovat:

  • tyypin 1 hypervisorit
  • tyypin 2 hypervisorit

Type-1-hypervisori suorittaa suoraan isännän laitteistossa hallita laitteistoa ja hallita vieraskäyttöjärjestelmiä. Tästä syystä niitä kutsutaan joskus paljaiden metallien hypervisoreiksi missä tyypin 2 hypervisorit toimivat tavanomaisessa käyttöjärjestelmässä aivan kuten muut tietokoneohjelmat. VMWare tai VirtualBox ovat esimerkkejä tyypin 2 hypervisorista, koska niitä ajetaan ohjelmina isäntäkoneissa OS .

Tyypin 2 hypervisoreille on olemassa RoboLinux -projekti, jolla on ainutlaatuinen ominaisuus nimeltä Stealth VM . Stealth VM -ohjelmiston asennusohjelma , jonka avulla voit rakentaa Windows 7 -kloonin, joka toimii suojatussa Linux-osiossa . Järjestelmä on suojattu haittaohjelmilta, kaikki lataamasi tiedot sisältyvät virtuaalikoneeseen ja se on tarkoitettu ihmisille, joilla on oltava erityinen Windows-ohjelma, jotta he voivat palauttaa käyttöjärjestelmän uusi vain kahdella napsautuksella.

On Qubes OS , joka on kehitetty Linux ja Xen esimerkki tyypin 1 hypervisoreista. Qubes OS noudattaa lähestymistapaa, jota kutsutaan tietoturvan eristäminen , mikä tarkoittaa tässä yhteydessä, että tietokoneella tekemäsi asiat pidetään turvallisesti eristettyinä eri virtuaalikoneissa , jotta yksi vaarantunut virtuaalikone voitti ei vaikuta muihin. Toisin kuin tyypin 2 hypervisoreilla, sillä on turvallinen VM: n välinen tiedostojen siirtojärjestelmä , joka käsittelee kansioiden jakamisen riskit. Teoriassa organisaatio on kehittäjien mukaan turvallisempi kuin Type-2-virtualisointi.

Lyhyesti sanottuna kirjoittajan tulisi ilmoittaa mikä hypervisori tai virtuaalinen järjestelmä.

:

Tarkoitatko, että Qubes on esimerkki tyypin 1 hypervisoreista?
Kyllä (minulla olisi pitänyt olla kirjoitusvirhe; nyt muokkain postia thx), myös, löydät nämä tiedot heidän verkkosivuilta."Sitä vastoin Qubes käyttää tyypin 1 tai" paljaan metallin "hypervisoria nimeltä Xen. Tyypin 1 hypervisorit juoksevat käyttöjärjestelmän sisällä suoraan laitteiston" paljaalla metallilla ". Tämä tarkoittaa, että hyökkääjän on kyettävähypervisorin kumoaminen itse järjestelmän vaarantamiseksi, mikä on huomattavasti vaikeampaa. "osoitteesta https://www.qubes-os.org/tour/#what-is-qubes-os
#8
+4
Stilez
2016-03-25 02:47:58 UTC
view on stackexchange narkive permalink

Mielenkiintoista ja merkityksellistä on, että vuoden 2016 "Pwn2Own" -turvakilpailu on yksi kilpailuistaan, ja se on poistunut VMWare Workstation-virtuaalikoneesta. (Muita ovat selaimen hiekkalaatikoista poistuminen tai fyysisten koneiden haltuunotto). Tämän pitäisi antaa käsitys siitä, että 1) ainakin uskottava ja 2) jos se on helppoa, meillä on tapa kuulla se - tarkista vain tulos :)

Yleisemmin virtuaalikoneen tietoturvasta voitaisiin teoriassa välttää monia tapoja. Esimerkiksi -

  • Vieras-isäntä -komennot ja sovellusliittymät (esim. VMware-työkalut)

  • Itse isäntä-käyttöjärjestelmän hyödynnettävät heikkoudet ei lievennä suorittamalla virtuaalikoneprosessissa (jos jotkin vieras-käyttöjärjestelmän puhelut arvioidaan virheellisesti "turvallisiksi" ja vierasohjain välittää ne nopeuden vuoksi suoraan isäntä-käyttöjärjestelmälle tai laiteohjaimelle, mutta hyväksikäyttö on olemassa)

  • Virheet toimittajien ohjaimissa tai toimittajakoodissa (esimerkiksi isäntäohjain sallii verkon silloittamisen vieras käyttöjärjestelmälle; ehkä siinä oleva vika saattaa sallia puhelujen tai koodin soittamisen isännälle ytimen tasolla) / p>

  • Haavoittuvuudet, jotka johtuvat isäntäkoneen muista ohjelmistoista (keksitty esimerkki - jos paikallinen virustorjunta sieppaa kaiken verkkoliikenteen isännältä tarkistettavaksi, ja vieraan liikenne tarkistetaan osana tätä (toisin kuin huomiotta jättämisen virtuaalisen NIC-laitteen takia), niin A / V-moottorin haavoittuvuus haitalliselle muokatulle liikenteelle tai paketille voi antaa virtuaalikoneelta peräisin olevan liikenteen pääsyn isäntään)

  • Virheellinen käyttäjän määritys (isäntätiedostot on kartoitettu tai riittämättömästi suojattu / erotettu, jotta vieras pääsee niihin)

Laajuus on olemassa, ja koska sen esiintyvyys sitä tutkitaan aktiivisesti hyväksikäyttöön. Epäilemättä haavoittuvuuksia löydetään säännöllisesti ja ne on korjattava.

#9
-1
ddyer
2014-02-18 14:15:11 UTC
view on stackexchange narkive permalink

Hyödynnöt, jotka on erityisesti suunniteltu toimimaan vms: nä ja kohdevikoja alla olevassa isäntäsydämessä, ovat väistämättömiä. Etsi niitä ensin suosituista pilvialustoista.



Tämä Q & A käännettiin automaattisesti englanniksi.Alkuperäinen sisältö on saatavilla stackexchange-palvelussa, jota kiitämme cc by-sa 3.0-lisenssistä, jolla sitä jaetaan.
Loading...