Ho un software non affidabile. Ho intenzione di eseguirli su un guest Windows 7 sul mio sistema operativo host Windows 8 utilizzando Oracle VirtualBox. Nel peggiore dei casi, sarà interessato solo il mio SO guest? L'hacker può accedere alle informazioni dal mio sistema operativo principale? Non mi aspetto che gli sviluppatori di questo software siano abbastanza esperti da eseguire una "fuga della macchina virtuale"
L'escaping di una macchina virtuale non richiede abilità. Richiede solo:
Internet è una cosa favolosa; permette alle persone di fare un sacco di cose che in realtà non capiscono.
In ogni caso, se devi diligentemente applicare gli aggiornamenti di sicurezza alla tua soluzione VM (cioè quando VirtualBox ti dice che è disponibile una nuova versione, non ti tardare: scarichi e installi subito la nuova versione ), quindi i rischi di una fuga di successo sono scarsi. Un utente malintenzionato "non qualificato" può applicare gli exploit noti solo per vulnerabilità note e il venditore VM tiene traccia di tali vulnerabilità. La nozione rilevante qui è quella di un Zero-day : un attacco che l'hacker conosce prima di chiunque altro; la tua assunzione di "attacker non qualificato" significa in realtà che gli attaccanti non possono utilizzare le vulnerabilità di zero-day.
Detto questo, mentre si può presumere che la VM sia robusta, sussistono ancora rischi di errata configurazione. Le soluzioni VM, in particolare VirtualBox, consentono "scorciatoie" tra il guest e l'host. VirtualBox chiama queste aggiunte ospite . In particolare, questi consentono cartelle condivise; ma anche l'integrazione del mouse, l'accesso agli appunti, la grafica 3D fall-through ... sono così tante vie di fuga attraverso le quali il codice ospite ostile potrebbe avere un impatto sull'host.
Un punto importante è che le "aggiunte guest" sono i driver installati nell'ospite, che esercitano funzionalità aggiuntive offerte dalla VM. Se non si installano le aggiunte guest, la buca di fuga potrebbe essere ancora lì, pronta per essere utilizzata. Ad esempio, per impedire a un ospite ostile di accedere alle cartelle condivise, è necessario disabilitarlo (o non abilitarlo) dal VM impostazioni .
Allo stesso modo, se lasci che la VM usi le impostazioni di rete predefinite (NAT), il codice ostile può effettuare chiamate di rete ad altre macchine all'interno della rete locale.
Pertanto, devi esaminare tutte le impostazioni della VM per essere certo di disattivare tutte le funzionalità che potrebbero consentire una fuga o un impatto indesiderato al di fuori del guest. In particolare, prenditi cura della configurazione di rete (è più semplice se la disattivi del tutto, o usi networking interno ).
Esiste un'opzione per montare dispositivi USB e condividere cartelle sul SO con la VM. NON FARE QUESTO, se un malware in esecuzione in una VM accede alle cartelle del sistema operativo principale / USB, ciò influenzerà i file in esso contenuti e quindi se apri quei file infetti dal tuo SO padre, l'infezione si diffonderà.
Anni fa ho creato un'applicazione sperimentale in C che viene aggiunta ad altri file EXE. L'ho eseguito su una VM dimenticando che avevo condiviso una cartella nel mio SO padre. Tutti gli exe nella mia cartella genitrice sono stati influenzati.
Questa è una buona lista da TMR_OS, ma aggiungi:
Per proteggersi dalla macchina virtuale vulnerabile:
Una macchina virtuale può anche sfruttare le vulnerabilità dell'hardware a cui ci si connette (ad esempio se si "reindirizza" un dispositivo USB alla VM), ecco un esempio con una webcam Apple iSight.
The reprogramability of the iSight firmware can be exploited to effect a virtual machine escape whereby malware running in a guest operating system is able to escape the confines of the virtual machine and influence the host operating system. One method is to reprogram the iSight from inside the virtual machine to act as a USB Human Interface Device (HID) such as a mouse or keyboard. Once the iSight reenumerates, it would send mouse movements and clicks or key presses which the host operating system would then interpret as actions from the user.
In questo caso riprogrammano la webcam in modo che appaia come una tastiera standard, apri un terminale sull'host utilizzando le scorciatoie da tastiera e infine "digita" i comandi che scaricano il codice dannoso sull'host .
Leggi altre domande sui tag virtualization