Виртуализация — не гарантия безопасности

image

Новое вредоносное ПО способно определять, что оно работает внутри виртуальной машины, и в зависимости от этого менять свое поведение.

Одним из преимуществ виртуализации считалась безопасность, однако согласно недавнему исследованию, это уже не так.

Новое вредоносное ПО способно определять, что оно работает внутри виртуальной машины, и в зависимости от этого менять свое поведение. «Скрыть существование ВМ принципиально невозможно», утверждают авторы отчета в ответ на высказываемые некоторыми разработчиками технологии виртуализации и средств безопасности надежды на создание необнаруживаемых ВМ.

Документ, называемый «Совместимость и прозрачность не одно и то же: мифы и реальность обнаружения механизмов управления виртуальными машинами», опубликован поставщикам ПО виртуализации VMware и XenSource совместно с учеными из Стэнфордского и Карнеги-Меллонского университетов. В нем обсуждается возможность использования виртуальных машин (ВМ) в качестве способа перехвата атак руткитов — так называемого хонипотинга — а также для обнаружения червей. Надежды на это опирались на неспособность обычного вредоносного ПО распознать, что оно атакует не реальную, физическую машину.

Авторы отмечают, что «по аналогичным причинам поставщики антивирусов стараются оправдать использование ими ВМ для идентификации новых эксплойтов. Другие предлагают использование виртуализации для агрессии в форме руткитов на базе ВМ в надежде на то, что прозрачность механизмов управления ВМ (VMM) скроет их присутствие и создаст идеальную платформу для атак… Мы считаем, что требуемая для этих целей прозрачность недостижима ни сегодня, ни в будущем».

Согласно отчету, проблема заключается в том, что эти разрабатываемые средства защиты отталкиваются от предположения, будто если все технические характеристики совпадают с реальной машиной, то ПО не может обнаружить, что находится в виртуальной среде. Однако существуют важные признаки, которые выдают присутствие ВМ. «Виртуальная реализация этой архитектуры существенно отличается от физических реализаций… Логические различия состоят в семантических особенностях интерфейсов реальной и виртуальной аппаратуры. Большинство современных методов обнаружения VMM используют особенности интерфейса виртуального ЦП VMM, такого как VMware Player или Microsoft VirtualPC, который нарушает архитектуру х86».

Для подавляющего большинства программ эти и другие различия не имеют значения, поэтому VMM не пытаются скрыть их. Но программы могут обнаруживать различия в ЦП, запоминающих устройствах и драйверах устройств, главным образом потому, что разработчики VMM больше сосредоточены на совместимости и производительности, чем на возможности обнаружения или безопасности в целом.

В результате, заключают авторы, «простота создания новых методов обнаружения предполагает, что обеспечить полную прозрачность VMM практически невозможно».


или введите имя

CAPTCHA
Страницы: 1  2  
1
02-08-2007 13:09:29
Что же это получается...
0 |
02-08-2007 20:59:23
новость баяниста, год назад читал
0 |
1
02-08-2007 13:12:50
два человека в локалке пытаются трафик перенаправить на себя (арп адресс свой а айпи шлюза рассылают в арп ответах) - вопрос - сдать ли их милиции ?
0 |
1
02-08-2007 13:18:14
пиво с них содрать
0 |
1
02-08-2007 13:36:10
Домовая сеть? Просто повесить на сайте сетки объявление, что такой-то товарищ из квартиры номер такой-то снифит ваши пароли и переписку с деффками. Больше в этой сетке никто уже так делать не станет.
0 |
02-08-2007 14:04:09
дай пацанам поиграться )
0 |
1
02-08-2007 15:33:14
Скрыть существование ВМ принципиально невозможноБред обеспечить полную прозрачность VMM практически невозможноБлиже к истине, но не намного. В конце концов все упирается в деньги и трудовые ресурсы разработчиков. Признались бы сразу, нам хочется срубить бабла, поэтому обращать на мелочи ни желания, ни времени нет.
0 |
1
02-08-2007 20:30:26
Не все упирается в деньги - например адрес IDT невозможно в таких эмулях как VMWare & VirtualPC использовать такой же как в винде (800xxxxx) - потому что виртуалится она аналогичным образом, поэтому ее адрес что в VPC что в VMWare - FF0xxxxx. Любой сплойт элементарно получает адрес IDT из команды SIDT и скажем использует 12 старших байт адреса минус самый старший бит для ксора со своим кодом. Если винда нормальная - код будет тем же, если винда под VMWare/VPC - будет каша и ничего не будет работать.
0 |
1
02-08-2007 20:32:22
очепятка - старших бит а не байт
0 |
1
02-08-2007 21:43:19
Есть еще эмулятор Bochs. Но он настолько тормозной и в нем столько (некритичных) глюков, что опознать его проще простого. Но если исправить все глюки, залить туда реальный bios, добавить поддержку кучи разных устройств, залить компьютер жидким гелием, чтобы увеличить ее частоту в 10-100 раз, то можно и получить виртуальную машину, которую будет сложно отличить от реальной.
0 |
1
05-08-2007 10:52:58
зачем? KVM и QEMU отменили? Virtuozzo купи в конце концов - виртуализацию уровня ОС обнаружить еще никому не удавалось
0 |
1
02-08-2007 21:51:28
Ученые, блин! Элементарная логика хромает. Из того, что "программы могут обнаруживать различия в ЦП, запоминающих устройствах и драйверах устройств, главным образом потому, что разработчики VMM больше сосредоточены на совместимости и производительности, чем на возможности обнаружения или безопасности в целом" они делают вывод: "обеспечить полную прозрачность VMM практически невозможно". А если разработчики сосредоточатся, все-же, на проблемах сокрытия?
0 |
1
02-08-2007 22:49:42
Не надо, "пробовать" подозрительные программы на ВМ. Надо запускать их (и использовать) ТОЛЬКО на ВМ
0 |
1
04-08-2007 01:25:34
Дык сосредоточься тебе кто-то не дает?Безусловно при полной эмуляции проца софтварно (bochs например) это еще более-менее можно.Только вот скорость будте никакая.
0 |
1
03-08-2007 09:27:01
не понял тему? при заражении виртуалки хостовая система пострадает? а соседняя виртуалка? если нет - то в сад!
0 |
1
04-08-2007 01:30:59
1) На виртуалке вредная прога может не показывать что она - вредная.А вот когда ты перенесешь якобы нормальные файлы на невиртуальную машину - вот тут тебе и будет ой... 2) Вообще, есть мнение что слой виртуализации той же вмвары не железная стена а фанерная.Т.е. при должном желании - можно и проломиться через вмварь в хостовую систему. 3) Наконец вирусу в принципе не так уж и важно что он заразил.А какая в конце концов разница на какой машине свое черное дело делать?Ну допустим некто написал трояна который предоставляет шелл и прокси на энной машине.Как вы думаете, автору трояна сильно важно на виртуалке он у вас будет крутиться или на железке?Троян свое дело 1 фиг сделает если машина имеет доступ к сети и т.п.
0 |
Страницы: 1  2