Le tendenze degli ipervisori di tipo II e delle nuove applicazioni sono un problema di sicurezza?

6

Sembra che ogni volta che ho un nuovo 'abbuffata' nell'usare VirtualBox o VMWare (la versione di Tipo II), abbiano introdotto anche più funzioni di alto livello, spesso quelle che rimuove i livelli tra i sistemi operativi guest e il sistema host. Si sono resi conto che emulare l'x86 era troppo lento, quindi hanno praticamente dato la CPU direttamente alla VM guest. Si sono quindi resi conto che l'accesso diretto a DirectX e OpenGL avrebbe aumentato le prestazioni, quindi hanno concesso l'accesso diretto anche a questo. Poi hanno aggiunto più integrazione desktop, più copia e incolla senza soluzione di continuità, ecc. Continua.

Quindi, mentre gli hypervisor di Tipo II stanno garantendo accesso diretto inferiore e inferiore e un'integrazione desktop di livello più elevato, spesso le applicazioni sono in esecuzione all'interno degli ospiti: prima, DirectX e OpenGL erano gli sviluppatori di giochi preferiti, ma ora anche gli sviluppatori di browser Web non riescono a tenere lontani i loro mezzi. Quindi anche le cose come i browser web utilizzano funzionalità che vengono "trasmesse a mano" attraverso il livello sandboxing dell'hypervisor.

Questa tendenza sta trasformando gli hypervisor di tipo II in "fattori abilitanti dei sistemi operativi in coabitazione" e, in caso affermativo, dovremmo preoccuparci della sandbox indebolita che questo presenta?

    
posta Louis Jackman 18.07.2013 - 16:24
fonte

1 risposta

4

Se vuoi usare la macchina virtuale come meccanismo sandbox per contenere software potenzialmente ostili, allora in effetti tutti i tipi di scorciatoie di cui parli sono fonte di preoccupazione. Tuttavia, si noti che questi "enabler" si applicano tutti alla virtualizzazione relativa al desktop. La maggior parte degli utenti di virtualizzazione sui loro sistemi desktop non lo fa per security , ma per funzionalità : in genere, è in grado di eseguire applicazioni Windows su un sistema Linux o MacOS X.

La maggior parte degli utenti "grandi" di "virtualizzazione sandboxing" (dove il contenimento è inteso come funzionalità di sicurezza) si trova sul lato server, dove non vi sono dubbi sull'integrazione OpenGL o desktop, poiché non vi è alcun desktop e nessuna scheda grafica vale la pena parlare di

Le persone che devono preoccuparsi sono poi i ricercatori di sicurezza che analizzano il malware sui loro sistemi desktop. Se (quando) indulgo in tali attività, allora tendo ad usare Xen piuttosto che VirtualBox : sebbene quest'ultimo sia più facile da configurare e gestire su un desktop, fa anche un sacco di cose automaticamente, che preferirei mantenere contenuto. Xen con il toolstack "xl" è barebone, ma almeno posso sapere cosa succede (cioè non succede niente finché non lo attivo esplicitamente).

    
risposta data 18.07.2013 - 16:41
fonte

Leggi altre domande sui tag