Küsimus:
Kas operatsioonisüsteemi kahekordne käivitamine on enam-vähem turvaline kui virtuaalmasina käitamine?
Mark Hammonds
2012-06-28 02:22:43 UTC
view on stackexchange narkive permalink

Käitan kaks operatsioonisüsteemi kahel eraldi kettasektsioonil samal füüsilisel masinal (kaasaegne MacBook Pro). Nende üksteisest eraldamiseks olen teinud järgmised sammud:

  1. Seadistanud / etc / fstab ro-ga, noauto (kirjutuskaitstud, automaatse ühendamiseta)

  2. Krüpteerisid iga sektsiooni täielikult eraldi krüptovõtmega (pühendatud mälule)

Oletame, et viirus nakatab minu esimese partitsioon minu teadmata. Logi välja esimesest sektsioonist (mis krüpteerib helitugevuse) ja lülitan seejärel RAM-i kustutamiseks masina välja. Krüpteerin selle ja käivitan teise sektsiooni. Kas võin olla piisavalt kindel, et viirus pole / ei saa nakatada mõlemat sektsiooni või mängin siin tulega? Mõistan, et MBP-sid ei tarnita TPM-iga, nii et märkamatuks jääv alglaaduri nakkus on endiselt teoreetiline võimalus. Tundub, et see risk on peaaegu võrdne riskiga, et VMWare / VirtualBox Hypervisorit kasutatakse külalise OS-i käitamisel, eriti kuna MBP-liin kasutab BIOS-i asemel UEFI-d.

Siit tuleneb minu küsimus: kas ülalkirjeldatud kahesektsiooniline lähenemine on enam-vähem turvaline kui teenuste eraldamiseks virtuaalmasina kasutamine? Kas see muutuks, kui minu arvutisse oleks installitud TPM?

Taust:

Pange tähele, et ma võtan muidugi kõik tavapärased täiendavad ettevaatusabinõud, näiteks kontrollin OS-i tarkvara värskendatakse iga päev, sisselogimata administraatori kasutajana, kui see pole hädavajalik, reaalajas viirusetõrjeprogrammide käitamine mõlemas sektsioonis, hostipõhise tulemüüri käitamine, väljuvate võrguühenduste jälgimine jne. Minu küsimus on tõesti avalik kontroll, kas ma Vaatamata siinkohal midagi ja proovige välja mõelda, kas minu topeltbuutskeem on tegelikult turvalisem kui virtuaalse masina marsruut. Kõige tähtsam on see, et ma lihtsalt tahan lisateavet turbeprobleemide kohta.

MUUDA # 1:

Nagu kommentaarides märgitud, on stsenaarium minu konkreetse kasutusjuhtumi puhul veidi paranoiline. Kuid mõelge nende inimeste peale, kes võivad olla ettevõtte või valitsuse seadetes ja kaaluvad virtuaalse masina kasutamist "kõrge riskiga" teenuste või rakenduste käitamiseks. Kas neil on parem kasutada VM-i või kahe alglaadimise stsenaariumi, nagu ma kirjeldasin? Vastus, mis kaalub selle kompromissi kõiki plusse / miinuseid, on see, mida ma tegelikult sellele postitusele vastuses otsin.

MUUDA # 2:

Selle küsimuse põhjustas osaliselt arutelu selle üle, kas virtuaalne masin kaitseb host-OS-i üldse. Isiklikult arvan, et nii on, kuid kaaluge seda Theo de Raadti tsitaati OpenBSD meililistis:

x86 virtualiseerimine seisneb põhimõtteliselt teise peaaegu täis tuuma, täis uusi vigu, asetamises vastik x86 arhitektuur, millel on vaevalt õige lehekaitse. Seejärel käivitage oma operatsioonisüsteem selle uhiuue jama teisel poolel. Olete täiesti petlik, kui mitte rumal, kui arvate, et ülemaailmne tarkvarainseneride kogu, kes ei oska operatsioonisüsteeme ega rakendusi kirjutada ilma turvaaukudeta, saab seejärel ümber pöörata ja äkitselt kirjutada virtualiseerimiskihid ilma turvaaukudeta.

-http: //kerneltrap.org/OpenBSD/Virtualization_Security

Theo argumenti tsiteerides ei toeta ma seda. Ma juhin lihtsalt tähelepanu sellele, et siin on mitu perspektiivi, nii et proovin selle teema kohta rohkem teada saada.

Kas saate lihtsalt piirata ühenduse loomist kursuse veebisaidiga? Sellisel juhul on vähemalt vähem tõenäoline, et puutute kokku mõne ekspluateerimisega. Kui te ei karda, et kooli veebiserver läheb ohtu. Esiteks peaks nakatumise oht olema üsna madal, kui kasutate AV-d, ja piirama VM-i kasutamist kooli veebisaidil - seetõttu pole ristinfektsiooni oht asjakohane.
Mul on null usaldust kooli IT-osakonna vastu, et nende süsteeme turvata. Juhendaja on suurepärane, kuid peaaegu kõik veebiportaali kohta paneb mind kooli süsteeme kahtlema. Suurepärane mõte küll!
VM on üldjuhul turvalisem mitmel põhjusel, kuid ärge unustage, et VM-is on palju marsruute (NIC-id, jagatud kaustad, sisend- / väljundseadmed jne), nii et selle tõeliseks kaitsmiseks peaksite tuleb need kõik lukku panna. Ehkki teoreetiliselt peaks VM-i tarkvaraprogramm välismaailmast tähelepanuta jääma, ei ole need tõeliselt eraldatud (nt VMWares Tools, [Red Pill] (http://et.wikipedia.org/wiki / Red_pill # Other_uses) / [Blue Pill] (http://et.wikipedia.org/wiki/Blue_Pill_ (tarkvara)) jne)
Neli vastused:
Brennan
2012-06-28 03:07:59 UTC
view on stackexchange narkive permalink

Esmalt vastake, siis miks: virtuaalne masin võib olla turvalisem.

Praktilisest seisukohast on olemas kood ja pahavara, mis võivad nakatada nii alglaadimispartitsioone, BIOS-i, ja ka riistvara. Niisiis, VM-il on vähendatud rünnakupinnal üldisest vaatepunktist veidi rohkem eeliseid - potentsiaalne VM-i hüppekood on VM-ile spetsiifiline suurim. See kood on tõenäoliselt spetsiifiline kasutatava VM-i tüübile, nagu hiljutine http://www.kb.cert.org/vuls/id/649219 probleem. Pange tähele, et selleks on vaja konkreetset virtuaalset masinat (kvm või xen), rõngast jne.

Nii et vaenuliku koodi vaatenurgast on virtualiseeritud turvalisem.

Lähenedes võrgu nurga alt, on paljudel virtualiseerimislahenduste kasutajatel võrgu tasemel NATi, PAT-i või muude funktsioonide kaudu paindlikkus NAT-i, PAT-i või muude funktsioonide kaudu, mida operatsioonisüsteem ei pruugi omakeelne toetada, või kasutavad VM-ide abil oma paremat turvalisust. Turvalise poosi suurendamine konkreetse virtuaalse masina abil on kogu triviaalse liikluse kontrollimiseks virtualiseerimine üsna tühine.

Nii et võrgu turvalisuse seisukohalt on virtualiseeritud turvalisem. tugev>

Külaliste toimingutele. Operatsioonisüsteemide kloonimise ilu sekundis ... Sõltuvalt kasutatava virtualiseerimislahenduse tüübist saab välja lülitatud VM-i lappida läbipaistvalt, ilma et kasutaja seda teeks. On triviaalne võtta üldotstarbeline VM ja lukustada see erinevate kõvenemisjuhendite abil sinna, kus funktsionaalsus on minimaalne, välja arvatud konkreetsetest rakendustest. VM-id hõlbustavad ekstreemsete karastamistasemete sooritamist, näiteks sertifikaatide usalduse poodides vähima privileegi sooritamine (nt kustutan enamiku sertifikaate kommerts-CA-dest, välja arvatud need, mida ma kasutan) Seda tüüpi toimingud võivad VM-iga olla palju kiiremad tänu võimalusele katastroofiliste muutuste hetkepilt ja taastumine. Lisaks saab VM-i tervikuna hõlpsasti pakendada faili ja salvestada kuhugi, USB-le jne. Mõeldes ka kompromissidele, mõelge, et virtualiseerimisel võib kompromiss olla palju vähem privilegeeritud kui regulaarselt. Näiteks 1. tüüpi hüpervisoris on hüpervisor ise arvuti kõige privilegeeritum eksemplar. Ründaja kõõlusetasemete suurenemine. Seda saab kasutada ka arendajatele administraatori- / juurjuurdepääsu andmiseks, ilma et arendaja domeeni administraatoreid või ettevõtte LDAP-i privileege annaks.

Nii et külalisoperatsioonide vaatenurgast on virtualiseeritud turvalisem .

Keskendun siiski sekundiks eeldusele - et virtualiseeritud ja alglaaditud natiivtüüpi OS-id on kas või valikud. Need ei ole, kuna saate virtualiseeritud operatsioonisüsteemi käivitada kolmanda osapoole lahenduste abil, nagu oleks see olnud topeltbuutimisvalik. Tarkvara nagu vboot võimaldab VHD / VMDK / VDI / toores vormingus käivitamist.

Mis puutub virtualiseerimise tüüpidesse, siis on mõned antud juhul sobivad. Need on 1. tüüpi virtualiseerimine (paljas metall), 2. tüüpi virtualiseerimine (hostitud OS) ja ma arvan, et osaline operatsioonisüsteemi & paravirtualiseerimine ei kuulu reguleerimisalasse. Juhtiv x86 1. tüüpi virtualiseerimislahendus VMware vsphere hypervisor kasutab minimaalse rünnakupinnaga mikrotuumalist lähenemist. 2. tüüpi virtualiseerimisel on suuremad rünnakupinnad, kuna need tuginevad täielikult aluseks olevale operatsioonisüsteemile. Nii et Theo kommentaarid täielike operatsioonisüsteemide kohta on VMware'ile rakendamisel valed.

Siin on mõni VMware'i propaganda sellel teemal

http://www.vmware.com/ tehnilised ressursid / turvalisus / ülevaade.html

Muidugi on turvalisus enamasti kompromiss kasutatavuse ja turvalisuse vahel. Oluline on kaaluda ohuolukorda, millega kasutaja tõenäoliselt kokku puutub, ja kes paigutab teie vastu ründamiseks ressursse. Kui olete rahvusriik või pank, vajate ulatuslikku kaitset. Ettevõtted, rohkemgi veel. Individuaalsed vähetuntud kasutajad - piisavalt hea kaitse. Pidage meeles, et hea turvalahendus kaitseb teid piisavalt, kuid ei mõjuta kasutatavust negatiivselt nii palju kui takistuseks. Üldine riskijuhtimine on teine ​​teema, mis väärib ülevaadet mujal.

Ma ei rääkinud eksootilisematest turbemeetoditest, nagu õhukesed kliendid, mida saaks kasutada virtualiseerimise turvalisuse laiendamiseks, vähendades veelgi rünnakupindu, või TPM-i lukustamine koos 1. tüüpi hüpervisoriga.

Vau, aitäh selle eest! Seedin veel kõike, kuid teie seisukohad manustatud riistvaraseadmete haavatavuste ja VM-i võrguisolatsiooni kohta on tõesti suurepärased. Minu arvates olete kindlasti veenvalt juhtunud, et VM on turvalisem lähenemine. Tõenäoliselt aktsepteerin selle postituse vastusena, kuid annan sellele natuke aega, kui kellelgi on virtualiseerimise lähenemisviisi vastu vastupunkte.
Kas teil on tagasisidet eespool tsiteeritud Theo vaatenurga kohta seoses x86-s virtualiseerimisega, tutvustades lihtsalt "teist peaaegu täis tuuma, täis uusi vigu, vastiku x86-arhitektuuri peal, millel on vaevalt õige lehekaitse"? Sellest järeldub, et toote nagu VMWare kasutamine mitme teenuse käitamiseks ühes serveris seab kõik need teenused ja host-OS ohtu. Ma pole kindel, kui tõsiselt seda väidet võtta.
tylerl
2012-06-29 11:27:50 UTC
view on stackexchange narkive permalink

Mõlemad on seoses sellega turvalisemad.

Kui soovite luua "liivakasti" keskkonna, kus saaksite katsetada ohtlike koodidega, on see virtuaalmasinas turvalisem kui dual-boot keskkond. See näib teie küsimuselt olevat see, mida te küsite. Põhjus on selles, et virtuaalsel masinal puudub otsene juurdepääs teie riistvarale, see töötab programmina jäljendatud programmina, nii et kogu käituskeskkond eksisteerib ainult ulatuses, mida virtualiseerimissüsteem lubab (eeldades, et teie hüpervisoril pole turvavigu). Kui teie VM-süsteem deklareerib, et juurdepääs kõvakettale on võimatu, ei pääse sees töötav programm kõvakettale.

Kui soovite seevastu tavapärasest keskkonnast pääseda ja luua teada-turvaline keskkond, siis on topeltbuutimine ainus viis sinna pääseda. Põhjus on see, et kuna VM eksisteerib programmina teie tavalisel töölaual, võivad kõik teie tavalise töölaua turvaprobleemid laieneda ka VM-ile endale - töölaud võib kinni pidada liiklust, klahvivajutusi, kettale juurdepääsu jne. VM. Nii et kui teie töölaud pole turvaline, ei saa teie virtuaalne masin olla kindel. Paistab, et see pole see, mida te vajasite, kuid võib olla kasulik sellest tulevikus aru saada.

Ma hindan tagasisidet ja olen teiega nõus, et teise sektsiooni omamine võib olla kasulik "värskesse" keskkonda pääsemiseks. Muidugi võib viirus teoreetiliselt levida partitsioonide vahel, kuid selle tõenäosus näib olevat väike ja seda saab väliste monitoride ja AV-skannerite abil leevendada.
@Mark Veel parem: live-CD käivitamine
Bart Silverstrim
2012-06-28 02:36:33 UTC
view on stackexchange narkive permalink

Isiklikult tundub see olevat paranoiaga piiritletud inimestele, kes ei tee pahavara uurimist.

Kui kasutate 2 erinevat operatsioonisüsteemi, vajate pahavara, mis teab, kuidas kahte erinevat failisüsteemi lugeda.

Kui see töötab VM-is, vajate pahavara olema suunatud spetsiaalselt hüpervisorile, et see saaks liivakastist välja murda.

Kergendate juba mõningaid ilmseid viise, kuidas miski teid nakatab, joostes madalamate õigustega ja muuga. Vastasel juhul oleksid teie parimad leevendamisülesanded tavalised varukoopiad, pahavara otsimine või minu jaoks UNIX-põhise süsteemi käitamisel võite käivitada failide kontrollijaid, mis kasutavad kontrollimissummasid failimuudatuste jälgimiseks, ja siis, kui leiate kahtlased failid / muudatused, meilisõnumeid.

VM kustutatakse. Pahavara peaks teie aktsiale kopeerimiseks konkreetselt teadma ja isegi siis ei saa seda käivitada.

Kuigi turvalisus peab olema kihiline, et see oleks tõhus, ei võta see palju tee tavalise hoolduse jaoks tavalist hooldust. Isiklikult, kui kardate, et mõni tegevus eriti põhjustab probleeme, siis ma lihtsalt pildistaksin ja veereksin selle töö ajal tagasi. Erinevate OS-ide ja failide kontrollsumma jälgimine peaks teile teatama, kas midagi on juhtunud, siis oleks varukoopiatest taastamine tõenäoliselt enam kui piisav, kuna kõik, mis VM-i rikkub ja mõjutab erinevaid OS-e, peaks olema just teie jaoks suunatud.

Aitäh tagasiside eest. Mõlemad OS-id on samad (OS X Lion). Minu peamine eesmärk on siin lihtsalt rohkem teada saada IT-turvalisuse kohta, täpsemalt kõigi ülaltoodud stsenaariumiga seotud kompromisside kohta, millest ma ei pruugi teada olla, kuna pean end endiselt tudengiks.
Teoreetiliselt on olemas viise, kuidas murda oma süsteem kolmel viisil teisipäevaks asjatundliku süsteemihäkkerite käes. Isegi kui teie süsteem on krüpteeritud, kuid magate, võite süsteemi mälupildi kaudu murda DMI-juurdepääsu kaudu, nagu ma mäletan. ** Praktiliselt ** rääkides, see on teine ​​asi. Vaadake midagi sellist nagu Stealth, kui kaks süsteemi töötavad meeskonnana, et süsteem oleks turvaline. Tehke head varukoopiad. VM-i hüpervisorite abil saate hetktõmmise ja tagasipööramise.
Lõvi tabanud pahavara arv on suhteliselt väike. Väga väike. Ja ükski viirusetõrje ei ole kõikehõlmav ja mõned võivad kohati probleeme tekitada. See tähendab, et valdav enamus süsteemide häkkimistest on automatiseeritud või skriptitud, mitte konkreetselt suunatud sellistele ringristmikurünnakute komplektidele.
Ei, ma ei ütle, et Lion oleks immuunne, kuid suhteliselt (ja praktiliselt) rääkimine pole see peamine sihtmärk. Ainus viis selle kindlustamiseks on sulgeda lennujaam betooniks. * Praktilises mõttes - kõlab nagu oleksite üle parda. Hoidke häid varukoopiaid ja jälgige oma süsteemi muudatuste osas ning teil peaks kõik korras olema. Tegelikult, kui soovite seda äärmusesse viia, võite käivitada Linuxiga VM-i, mille ainus eesmärk on käivitada MacBookil varjatult SSH-klahve ja cronjob. Kõik muudatused, mida te selle kohta ei tea, võivad teile meili saata. Kuid VM-id söövad ressursse ...
Oh, ja MacBook Pro jaoks on hea kõik krüptida ja paroolida, et kaitsta varaste juurdepääsu teie andmetele. Häbi on teha tohutult palju tööd operatsioonisüsteemide "kindlustamiseks" ainult selleks, et keegi sellega jalutaks ja teie Time Machine'i varukoopia krüptiks.
Olen nõus, et lisavigastused, mida pole kirjeldatud, on alati võimalikud. Küsimus on rohkem selles, kumb on turvalisem: kas topeltbuutimine minu stsenaariumi korral või külalismasinad VM-is? VM-i kasutamist õpetatakse defacto-standardina teenuse isoleerimiseks, kuid mulle tundub, et topeltbuutimine võib olla töökohtade jaoks turvalisem.
Kahekordne käivitamine on tõenäoliselt "turvalisem", kui midagi ei suuda mõlemat sektsiooni lugeda. VM-id on paremad üheaegseks juurdepääsuks erinevatele operatsioonisüsteemidele, kuid nad söövad rohkem ressursse ja aeglustavad masina töötamist. Teisest küljest on VM-id FAR-i käepärasemad masina oleku jäädvustamiseks ja võite kasutada VM-i, nagu mainisin, teise masina muutuste jälgimiseks ja 99,9% pahavara ei tea hostis asuva VM-i kohta midagi rünnata.
** Nii et võite väita, et topeltbuutimine on turvalisem teist süsteemi ründava pahavara käitamise eest, kuigi kui eraldate failisüsteemid, saate teist jälgida "turvalisest" alglaadimissüsteemist. Ja võite väita, et VM-i lähenemist saab kasutada teie turvalisuse ** suurendamiseks. Mina? Ma väidan, et peate selle asemel muretsema, et peate tegema häid varukoopiaid ja jälgima süsteemi veider käitumise ja muudetud failide suhtes.
Bill McGonigle
2014-03-29 08:47:12 UTC
view on stackexchange narkive permalink

On mõningaid teoreetilisi riske (mida pole veel tõestatud), mis muudaksid topeltboot-lähenemise vähem turvaliseks. Need hõlmavad Trooja laadimist mittestandardsele riistvarale. Näiteks nakatades aku püsivara millegagi, mis seejärel ajab tuuma toitehalduri üle. See võib ületada piiride taaskäivitamise ja teil pole selle üle tegelikult mingit sõnaõigust. VM-i lähenemisviis seda nõrkust ei kannataks.

Minu teada on need parimal juhul ideekindlad, kuid jällegi, see on whitehat maailmas. Ma ei imestaks, kui NSA-l see töötab.



See küsimus ja vastus tõlgiti automaatselt inglise keelest.Algne sisu on saadaval stackexchange-is, mida täname cc by-sa 3.0-litsentsi eest, mille all seda levitatakse.
Loading...