Maszyna wirtualna i wirus

23

Mam wymaganie, dla którego muszę przejść do trybu online bez ochrony (zapora, program antywirusowy). Jednocześnie nie chcę ryzykować zainfekowaniem wirusami.

Jeśli zainstaluję maszynę wirtualną (VirtualBox) do testowania, która zostanie zainfekowana wirusami, czy zainfekuje również mój system hosta? Innymi słowy, czy mogę używać maszyny wirtualnej do testowania bez obawy, że wirus na maszynie wirtualnej infekuje mojego hosta?

virtualbox  virtual-machine  virus 
Pomogłoby to odpowiedzieć na twoje pytanie, gdybyś mógł dodać, dlaczego musisz się połączyć z Internetem. Co masz do zrobienia? Czy uruchamianie z Live CD jest opcją?
DaveParillo
Przełom

Odpowiedzi:

17

Jeśli zainstaluję maszynę wirtualną (VirtualBox) do testowania, która zostanie zainfekowana wirusami, czy zainfekuje również mój system hosta? Innymi słowy, czy mogę używać maszyny wirtualnej do testowania bez obawy, że wirus na maszynie wirtualnej infekuje mojego hosta?

Wydaje się, że istnieją pewne nieporozumienia na temat NAT i połączeń mostkowych w środowiskach VM. Nie pozwalają one na zainfekowanie twojego hosta. System operacyjny maszyny wirtualnej nie będzie miał dostępu do systemu operacyjnego hosta i będzie zupełnie nieświadomy, że działa jako wirtualna maszyna klienta. Oprogramowanie działające w tym systemie operacyjnym będzie jeszcze mniej mądre.

To dzięki bezpośrednim relacjom między klientem a maszyną hosta może istnieć szansa na zarażenie. Dzieje się tak, jeśli pozwalasz klientowi i hostowi na udostępnianie folderów . Największa zauważalna luka VMware (aby wymienić jeden popularny produkt), jaką kiedykolwiek znaleziono, została bezpośrednio lub pośrednio oznaczona w tej funkcji. Całkowitą izolację uzyskuje się poprzez wyłączenie folderów współdzielonych. Wszelkie inne podatności zostały odkryte po stronie hosta, gdy luki w samym silniku maszyny wirtualnej umożliwiłyby potencjalnemu napastnikowi połączenie się z maszyną hosta i uzyskanie dostępu do dowolnych klientów lub uruchomienie własnego kodu.

Problemy z bezpieczeństwem mogą być bardziej angażujące, jeśli ktoś korzysta z dużej struktury maszyny wirtualnej, takiej jak te proponowane za pomocą topologii VMware Server. Ale jeśli działają rozwiązania VMware Workstation dla jednego komputera, nie ma problemu z bezpieczeństwem w połączeniach NAT lub Bridge. Jesteś bezpieczny, dopóki nie korzystasz z folderów współdzielonych.

EDYCJA: Żeby było jasne, kiedy mówię o NAT lub połączeniach mostowych, mówię tylko o zdolności maszyny wirtualnej do udostępniania połączenia sieciowego hosta swoim klientom. Nie daje to klientowi żadnego dostępu do hosta i pozostaje całkowicie odizolowany, pod warunkiem, że funkcje takie jak Foldery współdzielone VM są wyłączone. Oczywiście, jeśli zamiast tego użytkownik zdecyduje się na połączenie hosta i klienta sieciowego, wówczas ten użytkownik wyraźnie zdecydował się połączyć oba komputery, a wraz z nim falować wewnętrzne zabezpieczenia maszyny wirtualnej. To nie różni się niczym od żadnego innego prywatnego środowiska sieciowego i należy rozwiązać te same problemy związane z papierami wartościowymi.

Krasnolud
źródło
8
Cóż, jeśli połączenie jest zmostkowane, gość jest taki sam, jak każdy inny komputer w sieci. Jeśli dostajesz robaka obsługującego sieć (Confickr, Blaster itp.), To właśnie wprowadziłeś szkodliwy program do swojej sieci. Stwierdzenie, że sposób, w jaki maszyna wirtualna łączy się z siecią, nie wpływa na ryzyko, jest trochę błędne. Jednak twój punkt widzenia na temat dostępu hosta z maszyny wirtualnej jest poprawny.
MDMarra
Należy pamiętać, że istnieje znacznie więcej sposobów, w których coś może się wydostać z maszyny wirtualnej niż tylko przez zwirtualizowane karty sieciowe (np. Wyjście z VMWare z wirtualnym urządzeniem portu COM ).
Przełom
4

To zależy.

Jeśli twoja maszyna wirtualna (gość) nie ma dostępu do sieci do twojego hosta, twój host nie zostanie dotknięty żadnym wirusem w systemie operacyjnym gościa.

Lieven Keersmaekers
źródło
4

Moje 2 centy ...

Krótko mówiąc, złośliwe oprogramowanie, które uruchamia się w kontekście systemu gościa, NIE będzie w stanie zainfekować systemu operacyjnego hosta i prawdopodobnie nawet nie będzie świadome istnienia systemu operacyjnego hosta (choć hipotetycznie możliwe jest wyjście ze zwirtualizowanego środowiska , podejrzewam, że przez jakiś czas nie będzie to zbyt powszechne).

Niektóre wyjątki:

  • W VirtualPC (na przykład) można udostępnić folder systemowi-gościowi, który „widzi” ten folder jako literę dysku.
  • W zależności od konfiguracji zarówno system hosta, jak i system gościa mogą znajdować się w tej samej sieci, co oznacza, że ​​wirus wykorzystujący otwarte porty lub coś, co może nie być w stanie się rozprzestrzeniać, wykorzystując wrażliwe usługi systemowe lub za pośrednictwem udziałów sieciowych.
  • Wreszcie, na obecnym etapie, najmniej prawdopodobną drogą jest to, że wirus może być świadomy maszyn wirtualnych i może wydostać się z piaskownicy. Obecnie jest to bardzo mało prawdopodobne.

    • Ogólnie rzecz biorąc, surfowanie po sieci w kontekście maszyny wirtualnej jest prawdopodobnie najbezpieczniejszym sposobem surfowania bez użycia rąk (biorąc pod uwagę słabe wyniki AV AV i innych metod ochrony). W rzeczywistości użycie oddzielnego, ograniczonego konta jest prawdopodobnie wystarczające, ale maszyna wirtualna z pewnością zapewni dodatkową izolację.

    Garrett
    źródło
    2

    Nie, jeśli nie skonfigurujesz żadnego połączenia sieciowego (takiego jak NAT lub Bridge) między hostem a systemem operacyjnym gościa. Jeśli chcesz zapewnić całkowitą separację między dwoma światami, preferuj połączenia „mostkowe” i zamapuj jedną kartę sieciową na komputerze hosta, a drugą kartę sieciową dla gościa VM-ed.

    To tak, jakby dwie izolowane sieci współużytkowały tylko magistralę zasilającą (faktycznie twój komputer).

    VirtualBox, ale także VMWare, Xen lub Parallels, mogą łatwo skonfigurować takie środowisko

    Przepraszam ZZambia. Ale twoje informacje są nieprawidłowe. Radzę, abyś to dokładniej sprawdził. Nie ma problemu z bezpieczeństwem hosta obejmującego NAT i połączenia mostkowe w środowisku VM.
    Dwarf
    Jeszcze nie, nie ma. Jest to luka, tylko czekająca, aż ktoś wymyśli, jak ją wykorzystać. Może. Lepiej dmuchać na zimne.
    Phoshi
    Myślę, że Zzambia używa tutaj słowa „pomostowanie” w dwóch różnych kontekstach. Wydaje mi się, że ryzyko pomostowania hosta i maszyny wirtualnej nie różni się niczym od innego komputera w tej samej sieci, który wykorzystuje luki w zabezpieczeniach. (Lub może gorzej, gdy sieci są mostkowane, wówczas zapora ogniowa, która zatrzymuje ataki z innego komputera, może nie być skonfigurowana do zatrzymywania ataków z maszyny wirtualnej?) Używanie „połączeń mostkowych” z karty sieciowej do hosta oraz z innej karty sieciowej do maszyny wirtualnej wydaje się coś innego (ale: może nie być wymagane?). (Jeśli brakuje mi punktu, to po prostu powiedz to i usunę to; nie trzeba wyjaśniać!)
    Arjan
    @Poshi, luka w zabezpieczeniach jest z definicji czymś, co zostało zidentyfikowane. Omawianie słabych punktów, których jeszcze nie znaleziono lub których nie można znaleźć, ma niewielkie znaczenie. czytaj dalej ... @Arjan, Rzeczywiście. Ale połączenie mostkowe lub NAT w środowisku VM odbywa się całkowicie między systemem operacyjnym hosta a silnikiem hosta VM. Komputer kliencki działa niezależnie od tego mostu i jest całkowicie odizolowany od niego. Argument Zzambia można porównać do stwierdzenia, że ​​możesz się zarazić, ponieważ masz połączenie z Internetem, a ja właśnie pobrałem zainfekowany plik.
    Dwarf
    @Zzambia, możesz zredagować swoją odpowiedź, aby wyjaśnić, do której części pytania odnosi się pytanie „Nie”. :-) Lub, oczywiście, jeśli krasnolud ma rację - i chyba tak jest - to po prostu usuń swoją odpowiedź ... (Na marginesie: w moim wcześniejszym komentarzu myślałem, że masz na myśli pomost system operacyjny hosta i system operacyjny VM, a nie system operacyjny hosta i silnik maszyny wirtualnej . Pomyślałem więc, że po podłączeniu maszyny wirtualnej do Internetu chodzi o dodatkowy krok w celu jawnego połączenia systemu operacyjnego hosta z systemem operacyjnym VM. to brak mojej wiedzy na temat terminologii używanej w maszynach wirtualnych.)
    Arjan
    1

    Tak, jeśli masz udostępnione foldery ...

    Albo foldery współdzielone przez maszynę wirtualną, albo standardowe sieci.

    Nie jestem pewien i od dłuższego czasu nie widziałem żadnych wirusów, które rozprzestrzeniają się w ten sposób i edytują pliki w sieci, ale jest to możliwe.

    Tylko dlatego, że jest maszyną wirtualną, nie oznacza, że ​​jest bezpieczna, musisz traktować ją jak inną fizyczną maszynę w sieci.

    Tak więc, jeśli masz antywirusa na swoim komputerze hosta (i innych w sieci), jesteś tak bezpieczny, jak chcesz, ale znowu ... traktuj każdą maszynę wirtualną jak każdą inną maszynę fizyczną.

    Jedynym bezpiecznym sposobem uruchomienia maszyny wirtualnej jest wyłączenie funkcji sieciowych (lub VLAN całkowicie oddzieli ją od sieci ... i nie ma żadnego interfejsu zarządzania w tej sieci VLAN.) I wyłączenie całej integracji hosta / gościa, która wymaga udostępniania plików .

    William Hilsum
    źródło
    1

    Technicznie jest to możliwe w 100% - nawet jeśli sieć jest odizolowana i nie udostępnia folderów.

    Jest to jednak bardzo mało prawdopodobne, chyba że twórca wirusów wiedział o usterce połączenia systemu operacyjnego hosta z maszyną wirtualną gościa i celował w nią osobno. Jeśli chcesz zrobić wirusa, chcesz stworzyć wirusa, który wpływa na jak największą liczbę komputerów i nie znajdziesz wady do wykorzystania w niektórych rzadko używanych aplikacjach.

    Ta sama odpowiedź dotyczy piaskownicy lub dowolnej warstwy interpretacji między nimi. Myślę, że gdybyś mógł uruchomić 32-bitowy system gościa i 64-bitowy host, byłbyś najbezpieczniejszy, ponieważ exploit ukierunkowany na przepełnienie systemu gościa, a następnie wywołanie przepełnienia w vm / sandbox byłoby jeszcze trudniejsze, ponieważ musiałbym skompilować ładunki w 4 kombinacjach - ale z drugiej strony jest to zwykle robione z atakującym i pojedynczą warstwą systemu operacyjnego - ładunek jest przygotowany dla systemu operacyjnego lub wersji usługi możliwej do wykorzystania i po jednej dla każdej 32 i 64, a następnie rzuca je oboje w maszynę.

    Jest dokładnie tak, jak poprzedni komentarz na temat BSD - im bardziej nietypowa jest twoja konfiguracja, tym mniejsze jest prawdopodobieństwo, że wirus będzie na nią celował.

    Gdybyśmy wszyscy uruchomili maszyny wirtualne w celu przetestowania oprogramowania, którego byliśmy podejrzani, lub aby przeglądać sieć, fakt, że jest on w maszynie wirtualnej, nie miałby już znaczenia i dla jasności ponownie jesteś otwarty na infekcję wirusową.

    Istnieją również specjalne względy sprzętowe związane z nowszymi technologiami wirtualizacji, a przede wszystkim mówię o wirtualizacji oprogramowania, w której kod maszynowy gościa jest uruchamiany przez oprogramowanie na hoście, więc przepełnienie wskaźnika instrukcji oprogramowania wydaje mi się niezwykle trudne. i strata czasu. Wcale nie jestem pewien, jak to się zmieni, gdy mamy do czynienia z włączoną funkcją bios hyper V lub Xen itp. - może być tak, że maszyny wirtualne są bardziej izolowane lub może to być gorsze z powodu vm z uruchomionym kodem na rzeczywistym sprzęcie potok - to naprawdę zależy od tego, jak działa „wirtualizacja bios”.

    Stephan Unrau
    źródło
    1

    Jeśli w VirtualBox nie masz folderów współdzielonych lub korzystasz z dowolnej funkcji urządzenia, a jeśli chcesz być jeszcze bardziej pewny, spójrz na dół okna VirtualBox:

    obraz na dole obok ikony 2 komputerów przełącz na nie połączony

    Powinieneś być w stanie uruchomić dowolne wirusy i nie dostać ich na maszynie hosta, chociaż dla pewności utrzymuj oprogramowanie antywirusowe w działaniu.

    matowy
    źródło
    1

    Ci powinni starać Sandboxie (lub jakiegokolwiek innego narzędzia Piaskownica)

    wprowadź opis zdjęcia tutaj

    Spowoduje to odizolowanie przeglądarki i usunięcie wszystkiego po zakończeniu. W ten sposób, nawet jeśli dostaniesz wirusa, nie będzie on mógł opuścić piaskownicy.

    Korzyści z izolowanej piaskownicy

    • Bezpieczne przeglądanie Internetu: Uruchamianie przeglądarki internetowej pod ochroną Sandboxie oznacza, że ​​całe złośliwe oprogramowanie pobrane przez przeglądarkę jest uwięzione w piaskownicy i może zostać odrzucone w trywialny sposób.
    • Zwiększona prywatność: historia przeglądania, pliki cookie i buforowane pliki tymczasowe gromadzone podczas przeglądania stron internetowych pozostają w piaskownicy i nie przeciekają do systemu Windows.
    • Bezpieczna poczta e-mail: wirusy i inne złośliwe oprogramowanie, które mogą ukrywać się w wiadomości e-mail, nie mogą wydostać się z piaskownicy i nie mogą zainfekować Twojego prawdziwego systemu.
    • System Windows pozostaje chudy: Zapobiegaj zużyciu w systemie Windows, instalując oprogramowanie w izolowanym obszarze izolowanym.
    Ivo Flipse
    źródło
    1
    pytanie brzmiało: „Czy wirus może wydostać się z tego specjalnego piaskownicy” ... -1
    akira
    Uhhh, wierzę, że korzyści mówią: złośliwe oprogramowanie jest uwięzione w piaskownicy. Gdyby nie to, jaki byłby sens?
    Ivo Flipse
    1
    Ponadto nie musisz mieć uruchomionego całego systemu operacyjnego, jeśli chcesz tylko piaskownicy w przeglądarce, teraz jest?
    Ivo Flipse
    2
    ale nie odpowiedziałeś na pytanie, to tak jak powiedzenie „użyj bsd, a następnie nie masz żadnych wirusów”. pytanie nie brzmiało: „zaoferuj mi produkty piaskownicy” (vms jako bardzo duże piaskownice), ale „czy wirus może wydostać się z piaskownicy / maszyny wirtualnej. zdjęcia) niż pełnej maszyny wirtualnej
    akira
    Podkreślając,
    Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
    Licensed under cc by-sa 3.0 with attribution required.