Quali informazioni su un host VMware sono disponibili per l'ospite?

9

In vmware Workstation, quali informazioni sul software e sull'hardware host sono rese disponibili al SO guest.

Ai fini della mia applicazione, sono preoccupato per un processo sul sistema operativo guest che ottiene informazioni sull'hardware fisico su cui è in esecuzione l'host. Ciò potrebbe includere dettagli quali numeri di serie, indirizzi MAC o qualsiasi cosa che possa identificare fisicamente il computer in esecuzione.

Sia l'host che il guest eseguiranno Ubuntu Linux.

Modifica: vmware-toolsverrà installato sul guest

Modifica 2: aggiunta di taglie

Ho fatto molte ricerche su questa domanda e la maggior parte delle risposte contiene parole come "non dovrei". Devo sapere con un certo grado di certezza che un guest vmware non può vedere nessuno dei seguenti elementi (in quanto, se queste cose fossero disponibili per l'ospite, sarebbe considerato una massiccia violazione della sicurezza)

  • eventuali numeri di serie hardware
  • indirizzi mac delle interfacce di rete host
  • numero seriale di registrazione del software vmware
  • qualsiasi file sul sistema operativo host

La motivazione di questa domanda è che devo eseguire alcuni software altamente non affidabili e desidero eliminarli da qualsiasi informazione che possa rivelare la mia identità. Ad esempio, suppongo che questo software tenterà di leggere il numero di serie dei miei processori e di riportarlo al suo creatore, e presumo che ciò potrebbe tradursi in una traccia della mia identità nel mondo reale. Chiamalo paranoico se vuoi. Parte della mia situazione richiede che vmware-tools sia installato.

virtualization  vmware-workstation 
user13137
fonte

Risposte:

5

Le informazioni su un host possono essere divulgate a un ospite in diversi modi. VMware (e i prodotti di virtualizzazione in generale) forniscono protezione contro molte cose. Sebbene sia improbabile che sia in grado di fornire un ambiente di isolamento completo, probabilmente fa un ottimo lavoro. Ad esempio, alcuni ricercatori di virus usano VMware per fornire un ambiente sicuro per studiare il comportamento del malware .

Le informazioni sull'host possono essere trasferite all'ospite:

  • se il guest esegue direttamente istruzioni che il livello di virtualizzazione non intercetta.
  • se il guest può osservare il traffico di rete direttamente sullo stesso segmento di rete dell'host.
  • se l'ospite può comunicare con il mondo esterno e sondare nuovamente l'host.

La tua preoccupazione principale sembra riguardare il primo metodo di perdita, anche se dovresti essere sicuro di proteggere anche dagli altri meccanismi.

VMware (e altri hypervisor) forniscono la virtualizzazione intercettando quelle che sono considerate istruzioni sensibili. Le istruzioni sensibili rivelerebbero all'ospite informazioni sull'host o consentirebbero all'ospite di sfuggire al contenimento del livello di virtualizzazione. Ad esempio, l'istruzione che modifica la base della tabella delle pagine (che controlla l'accesso alla memoria) deve essere rilevata dal livello di virtualizzazione, intercettata e sostituita con una versione "sicura" di tale istruzione che preserva l'illusione della virtualizzazione.

Per fornire l'illusione di una macchina separata dall'host, vengono anche virtualizzate le istruzioni che rivelano informazioni identificative sull'host (come numeri di serie, indirizzi MAC ecc.). In VMware, queste cose possono essere impostate nel vmxfile. Questa roba è ben compresa e presumibilmente sicura.

A volte, ci sono dei compromessi su ciò che è esposto, come l'istruzione CPUID, contro la quale le versioni recenti di VMware offrono "protezione". (Vedi Compatibilità VMotion e CPU per molti dettagli sulla virtualizzazione CPUID.) Se eseguito come istruzione privilegiata, questa può essere intrappolata ed emulata, ma può anche essere eseguita come istruzione nativa che può esporre al guest alcune informazioni (presumibilmente non interessanti) .

Tuttavia, l'ospite può anche imparare passivamente altre informazioni sull'host. Ad esempio, sondando i tempi di memoria, il guest può ottenere informazioni delle dimensioni di varie cache. La capacità di conoscere altri ospiti (o l'host) tramite tempistica e altri vettori ("canali laterali") è un'area di ricerca attiva. Nell'ottobre 2012, i ricercatori hanno scoperto che in realtà è possibile estrarre chiavi crittografiche da altre macchine virtuali . Questo può essere abbastanza spaventoso e i limiti di ciò che può essere scoperto e come proteggerlo non sono ancora del tutto chiari.

Il modo migliore per essere completamente sicuri è isolare la tua macchina attraverso il traferro dal resto del mondo. Quindi non importa cosa apprende il software dannoso perché non può comunicare tali informazioni a nessuno. Al termine, pulire la macchina. L'uso di uno strumento come VMware semplifica la pulizia e il ripristino dello stato poiché lo stato della macchina è incapsulato in un set di file.

Emil Sit
fonte
1

L'ospite non dovrebbe sapere nulla delle impostazioni dell'host come le sue reti, perché gli viene consegnato un hw virtuale che dovrebbe comportarsi (quasi) esattamente come un hw fisico. Tuttavia, alcune cose come la cpu l'ospite deve sapere, ma questa conoscenza non dovrebbe compromettere la sicurezza.

Quindi, se ci sono perdite di informazioni dalle impostazioni da host a guest, sarebbe una falla di sicurezza.

Se si abilita hgfs (file system host-guest), tuttavia, almeno una parte del file system host sarà visibile nel guest ed è possibile ricavare alcune informazioni sull'host. Dovresti disabilitarlo se sei preoccupato.

Tutto ciò potrebbe non importare davvero normalmente, poiché nella maggior parte dei casi la workstation viene utilizzata personalmente, vale a dire, in ogni caso, si ha accesso all'host. Altrimenti dovresti esaminare la virtualizzazione del server (vsphere, xen, kvm).

johnshen64
fonte
1

L'articolo Come estrarre le informazioni sull'host da una macchina virtuale? descrive le utilità in ESX (i) / vSphere che possono essere utilizzate dal guest per ottenere alcune informazioni sull'host. Questo è necessariamente di portata limitata per motivi di sicurezza.

La prima utility è il comando VMware Toolbox. Fornisce alcune informazioni sulla configurazione di ESX (i) e guestOS, incluse le statistiche di base sulle risorse.

UNIX/Linux - /usr/bin/vmware-toolbox-cmd
Windows - C:\Program Files\VMware\VMware Tools\VMwareToolboxCmd.exe

Il secondo è l'utilità vmtoolsd (VMware Tools Daemon), in cui il parametro "info-get" può ottenere guestinfo impostato nel file di configurazione .vmx della macchina virtuale o nella memoria VMX mentre la macchina virtuale è in esecuzione.

UNIX/Linux - /usr/bin/vmtoolsd
Windows - C:\Program Files\VMware\VMware Tools\vmtoolsd.exe
harrymc
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.