Le macchine virtuali in esecuzione all'interno delle macchine virtuali sarebbero un modo più sicuro per studiare virus, ecc.?

6

Leggevo questo post su SuperUser, e mi ha fatto pensare alla sicurezza. Ho letto da qualche altra parte che alcuni virus / minacce informatiche / qualsiasi altra cosa possono uscire da una VM ... e poi infettare il sistema operativo host. MA, cosa succede se il virus considera la prima VM come sistema operativo host? O se avessi una scatola di Windows, una VM Linux, quindi una macchina virtuale Windows? Sicuramente questa cross-platforming sarebbe estremamente difficile da superare / sovvertire. Questo sarebbe un modo ideale per qualcuno di studiare virus o malware se non potevano permettersi gli strumenti corretti? Sicuramente un firewall e uno scanner antivirus su ogni "sistema" sarebbe abbastanza buono da proteggere l'host reale, a meno che non fosse un virus piuttosto tosto.

    
posta cutrightjm 07.07.2012 - 22:09
fonte

3 risposte

9

La risposta breve è: No, questo non sarebbe un modo ideale o infallibile per studiare un virus.

Se il virus è progettato per uscire dalla VM, non c'è motivo di credere che si fermerebbe a farlo una volta. Per quel che ne sai, potrebbe testare se viene eseguito all'interno di una seconda VM e uscire da quello. Ciò non richiede molta più sofisticazione che uscire da una singola VM.

Se sei preoccupato per questa minaccia, ci sono difese migliori, come l'esecuzione di una macchina che non usi per altri scopi e che cancella in modo sicuro ogni tanto per riportarla a uno stato di conoscenza.

    
risposta data 08.07.2012 - 02:10
fonte
18

In primo luogo, non vi è alcuna garanzia che sarete in grado di eseguire una VM all'interno di una VM. Può sembrare ovvio, ma non è affatto sicuro che funzionerà. Questo perché VM può fare affidamento su funzionalità di virtualizzazione dell'hardware che non sono esposte all'interno della VM stessa.

In secondo luogo, perché due, perché non tre, quattro, cinque, ecc ... Esiste una cosa come la sicurezza eccessiva. Se il virus può "scappare" dalla VM interna, allora può altrettanto facilmente sfuggire alla VM esterna e raggiungere l'host. Inoltre, la maggior parte dei virus si trasmette attraverso la rete e non attraverso qualche buco nella VM, e in tal caso annulla semplicemente le modifiche della VM, poiché la rete host sarà ugualmente visibile a tutti i livelli.

Se il tuo virus è abbastanza pericoloso da poter prendere in considerazione la possibilità di nidificare più macchine virtuali, deve essere un virus infernale e, di conseguenza, dovresti semplicemente prendere un netbook economico senza funzionalità di rete / bluetooth e utilizzarlo. Altrimenti, una singola VM dovrebbe essere sufficiente.

    
risposta data 07.07.2012 - 22:25
fonte
0

È possibile eseguire VM all'interno di una VM, ma probabilmente non sarà possibile utilizzare la virtualizzazione dell'hardware. Dovrebbe comunque funzionare, ma probabilmente dovrai usare diversi hypervisor (esempio: VirtualBox per la prima VM, VMware per la seconda). Penso che questo non sia necessario e insicuro. RHEL e Fedora (e forse altri) hanno il supporto integrato per l'esecuzione di KVM e l'utilizzo di SElinux per limitare il processo VM sull'host. SElinux offre un'ampia protezione, ma non contro le vulnerabilità dei driver paravirtualizzati. Per la massima sicurezza, non utilizzare driver paravirtualizzati.

link

    
risposta data 08.07.2012 - 18:50
fonte

Leggi altre domande sui tag