Macchina virtuale e virus


23

Ho un requisito per il quale devo andare online senza protezione (firewall, antivirus). Allo stesso tempo, non voglio rischiare di essere infettato da virus.

Se installo una macchina virtuale (VirtualBox) per testare e viene infettata da virus, infetterà anche il mio sistema host? In altre parole, posso usare la macchina virtuale per i test senza preoccuparmi di un virus sulla macchina virtuale che infetta il mio host?


Aiuterebbe le persone a rispondere alla tua domanda se tu potessi aggiungere perché devi andare online. Cosa devi fare? È possibile eseguire da un CD live?
DaveParillo,

Risposte:


17

Se installo una macchina virtuale (VirtualBox) per testare e viene infettato da virus, infetterà anche il mio sistema host? In altre parole, posso usare la macchina virtuale per i test senza preoccuparmi di un virus sulla macchina virtuale che infetta il mio host?

Sembra che ci siano alcune idee sbagliate su NAT e connessioni bridge in ambienti VM. Questi non consentono al tuo host di essere infetto. Un sistema operativo VM non avrà alcun accesso al sistema operativo host e sarà completamente inconsapevole del fatto che funzioni come una macchina virtuale client. Il software in esecuzione all'interno di quel sistema operativo sarà ancora meno saggio al riguardo.

È attraverso le relazioni dirette tra il client e la macchina host che possono esistere possibilità di infezione. Ciò accade se si consente al client e all'host di condividere le cartelle . La più grande fetta di vulnerabilità di VMware (per citare un prodotto popolare) della nota mai trovata è stata taggata direttamente o indirettamente su questa funzione. Un isolamento completo si ottiene disattivando le cartelle condivise. Qualsiasi altra vulnerabilità è stata scoperta sul lato Host quando le vulnerabilità sul motore VM stesso consentirebbero a un potenziale attaccante di collegarsi attraverso la macchina host e ottenere l'accesso a qualsiasi client o eseguire il proprio codice.

In effetti, i problemi di sicurezza possono essere più coinvolgenti se si esegue una grande struttura di macchine virtuali come quelle proposte attraverso le topologie di VMware Server. Ma se si eseguono soluzioni VMware Workstation per computer singolo, non ci sono problemi di sicurezza nelle connessioni NAT o Bridge. Sei al sicuro finché non usi le cartelle condivise.

EDIT: Per essere chiari, quando parlo di connessioni NAT o Bridge, parlo solo della capacità della VM di condividere la connessione di rete host con i suoi client. Ciò non fornisce al client alcun accesso all'host e rimane completamente isolato, a condizione che funzionalità come Cartelle condivise VM siano disattivate. Naturalmente, se invece l'utente decide di collegare in rete Host e Client, l'utente ha deciso esplicitamente di connettere entrambe le macchine e con essa agisce sulla sicurezza intrinseca della VM. Ciò quindi non differisce da nessun altro ambiente di rete privata e devono essere affrontate le stesse emissioni di titoli e preoccupazioni.


8
Bene, se hai la connessione a ponte, allora il guest è lo stesso di qualsiasi altro computer sulla tua rete. Se ricevi un worm abilitato alla rete (Confickr, Blaster, ecc.), Hai appena introdotto un software dannoso nella tua rete reale. Dire che il modo in cui una VM si connette a una rete non influisce sul rischio è un po 'sbagliato. Tuttavia, il punto sull'accesso dell'host dalla VM è valido.
MDMarra,

Tieni presente che ci sono molti più modi in cui qualcosa può uscire da una VM piuttosto che semplicemente attraverso adattatori di rete virtualizzati (ad esempio, uscire da VMWare con un dispositivo di porta COM virtuale ).
Breakthrough

4

Dipende.

Se la tua macchina virtuale (guest) non ha accesso in rete al tuo host, il tuo host non subirà l'influenza di alcun virus nel sistema operativo guest.


4

I miei 2 centesimi ...

In breve, il malware che viene eseguito nel contesto del sistema operativo guest NON sarà in grado di infettare il sistema operativo host e probabilmente non sarà nemmeno consapevole del fatto che esiste un sistema operativo host (sebbene, ipoteticamente, sia possibile uscire dall'ambiente virtualizzato È possibile , non diventerò molto comune per un po ', sospetto).

Alcune eccezioni:

  • In VirtualPC (ad esempio), è possibile condividere una cartella con il SO guest, che "vede" quella cartella come una lettera di unità.
  • A seconda della configurazione, sia il sistema operativo host che quello guest potrebbero trovarsi sulla stessa rete, il che significa che un virus che sfrutta porte aperte o quant'altro potrebbe essere in grado di propagarsi sfruttando i servizi di sistema vulnerabili o tramite condivisioni di rete.
  • Infine, e così com'è ora, la via meno probabile è che il virus sia consapevole della VM e in grado di uscire dalla sandbox. Attualmente, questo è estremamente improbabile.
  • Nel complesso, la navigazione sul Web nel contesto di una VM è probabilmente il modo più sicuro per navigare, a mani basse (data la scarsa esperienza di AV s / w e altre vie di protezione). In effetti, probabilmente è sufficiente utilizzare un account separato e limitato, ma una VM fornirà sicuramente un ulteriore isolamento.


    2

    No, se non si imposta alcuna connessione di rete (come NAT o Bridge) tra il sistema operativo host e guest. Se si desidera garantire la totale separazione tra i due mondi, si prega di preferire le connessioni "Bridge" e mappare una scheda di rete sul PC host e un'altra scheda di rete sul guest VM-ed.

    Sarebbe come avere due reti isolate che condividono solo il bus di alimentazione (il tuo vero PC, in effetti).

    VirtualBox, ma anche VMWare o Xen o Parallels, possono facilmente configurare per te tale ambiente


    Mi dispiace, ZZambia. Ma le tue informazioni non sono corrette. Ti consiglierei di controllarlo più approfonditamente. Non esiste alcun problema di sicurezza dell'host che coinvolge connessioni NAT e bridge in un ambiente VM.
    Un nano,

    Non ancora, non c'è. È una vulnerabilità, sta solo aspettando che qualcuno capisca come sfruttarla. Può essere. Meglio prevenire che curare.
    Phoshi,

    Penso che lo Zzambia usi qui la parola "ponte" in due contesti diversi. Mi sembra che il rischio di creare un ponte tra host e VM non sia diverso da un altro computer all'interno della stessa rete abusando di vulnerabilità. (O forse peggio ancora, quando le reti vengono collegate, allora il firewall che blocca gli attacchi da un altro computer, potrebbe non essere configurato per fermare gli attacchi dalla VM?) Usando le "connessioni bridge" dalla NIC all'host e da un'altra NIC alla VM sembra qualcosa di diverso (ma: potrebbe non essere richiesto?). (Se mi manca il punto, dillo e lo eliminerò; non c'è bisogno di spiegarlo!)
    Arjan,

    @Poshi, una vulnerabilità è per definizione qualcosa che è stato identificato. È di scarsa rilevanza discutere le vulnerabilità che non sono state ancora trovate o che non possono essere trovate. leggi di più ... @Arjan, Infatti. Ma una connessione Bridge o NAT in un ambiente VM si verifica interamente tra il sistema operativo della macchina host e il motore host della VM. La macchina client funziona indipendentemente da questo Bridge e totalmente isolata da esso. L'argomento dello Zzambia è paragonabile al dire che puoi essere infettato perché sei connesso a Internet e ho appena scaricato un file infetto.
    Un nano,

    @Zzambia, potresti voler modificare la tua risposta per spiegare a quale parte della domanda si applica il "No". :-) O, ovviamente, se A Dwarf ha ragione - e immagino che lo sia - allora elimina semplicemente la tua risposta ... (Come nota a margine: nel mio commento precedente pensavo che ti riferissi al ponte il sistema operativo host e il sistema operativo VM, non il sistema operativo host e il motore VM . Quindi, ho pensato che stavi parlando di un passaggio aggiuntivo, dopo aver collegato la VM a Internet, per interconnettere esplicitamente il sistema operativo host e il sistema operativo VM. Ora capisco questa è una mancanza nella mia conoscenza della terminologia utilizzata con le macchine virtuali.)
    Arjan,

    1

    Sì, se hai cartelle condivise ...

    Cartelle condivise tramite la macchina virtuale o rete standard.

    Non ne sono sicuro e non vedo virus da un po 'di tempo che si diffondono in questo modo e modificano i file su una rete, ma è possibile.

    Solo perché è una macchina virtuale non significa che sia sicura, devi solo trattarla come un'altra macchina fisica sulla tua rete.

    Quindi, se hai un antivirus sul tuo computer host (e altri sulla tua rete) sei al sicuro come lo sarai, ma di nuovo ... tratta qualsiasi VM come qualsiasi altro computer fisico.

    L'unico modo sicuro per eseguire una VM è disabilitare le funzionalità di rete (o VLAN separarlo completamente dalla rete ... e non avere alcun tipo di interfaccia di gestione su quella VLAN.) E disabilitare tutta l'integrazione host / guest che comporta la condivisione di file .


    1

    Tecnicamente è possibile essere sicuri al 100%, anche se la rete è isolata e non condivide le cartelle.

    Sebbene sia molto improbabile a meno che lo sviluppatore di virus non sia a conoscenza di un difetto nella combinazione del sistema operativo host e della macchina virtuale ospite e abbia preso di mira in modo specifico. Se vuoi creare un virus, vuoi crearne uno che influisca sul maggior numero possibile di computer e non troverai un difetto da sfruttare in alcune rare applicazioni di uso frequente.

    La stessa risposta vale per un sandbox o qualsiasi livello di interpretazione tra i due. Penso che se tu potessi eseguire un SO guest a 32 bit e un host a 64 bit saresti il ​​più sicuro dal momento che l'exploit per indirizzare il SO guest al overflow e quindi innescare l'overflow nel vm / sandbox sarebbe ancora più impegnativo dal momento che tu dovresti compilare i payload in 4 combinazioni - ma poi questo è ciò che viene solitamente fatto con un attaccante e un singolo livello di sistema operativo - il payload è preparato per il sistema operativo o la versione del servizio sfruttabile e uno per ogni 32 e 64, quindi lui li lancia entrambi alla macchina.

    È esattamente come il commento precedente su BSD: più è insolita la tua configurazione, meno è probabile che un virus lo prenderà di mira.

    Se eseguivamo tutti i VM per testare software di cui eravamo sospettosi o per navigare in rete, il fatto che si trovasse in un VM non avrebbe più importanza e per essere ancora più chiari si è aperti a un'infezione da virus.

    Inoltre, ci sono considerazioni hardware speciali con le più recenti tecnologie di virtualizzazione e sto parlando principalmente di virtualizzazione del software in cui il codice macchina guest viene eseguito dal software nell'host in modo che l'overflow del puntatore di istruzioni del software mi sembri estremamente impegnativo e una perdita di tempo. Non sono affatto sicuro di come questo cambi quando si tratta di hyper V o Xen abilitati per il BIOS, ecc. Potrebbe essere che le macchine virtuali siano più isolate o potrebbe anche essere peggio a causa di un vm che esegue il suo codice nell'hardware effettivo pipeline - dipende davvero da come funziona la "virtualizzazione del bios".


    1

    Se in VirtualBox non hai cartelle condivise o usi una delle funzionalità del dispositivo e se vuoi essere ancora più sicuro, guarda in fondo alla finestra di VirtualBox:

    l'immagine, proprio in basso vicino all'icona dei 2 computer, commuta su non connesso

    Dovresti essere in grado di eseguire qualsiasi virus e non ottenerne uno sul computer host, anche se, per essere sicuro, mantieni il software antivirus in esecuzione.


    1

    Dovresti provare Sandboxie (o qualsiasi altro strumento sandboxing)

    inserisci qui la descrizione dell'immagine

    Isolerà il tuo browser ed eliminerà tutto al termine. In questo modo, anche se ricevi un virus, non sarà in grado di uscire dalla sandbox.

    Vantaggi della sandbox isolata

    • Navigazione Web sicura: l'esecuzione del browser Web sotto la protezione di Sandboxie significa che tutto il software dannoso scaricato dal browser viene intrappolato nella sandbox e può essere scartato banalmente.
    • Privacy ottimizzata: cronologia di navigazione, cookie e file temporanei memorizzati nella cache raccolti durante la navigazione Web rimangono nella sandbox e non perdono in Windows.
    • E-mail sicura: virus e altri software dannosi che potrebbero nascondersi nella tua e-mail non possono uscire dalla sandbox e non possono infettare il tuo sistema reale.
    • Windows resta snello: previene l'usura in Windows installando il software in un sandbox isolato.

    1
    la domanda era "un virus può uscire da questo sandbox speciale" ... -1
    Akira,

    Uhhh credo che i benefici dicano: software dannoso è intrappolato nella sandbox. Se non fosse, quale sarebbe il punto?
    Ivo Flipse,

    1
    Inoltre non è necessario avere un intero sistema operativo in esecuzione se si desidera solo eseguire il sandbox del browser, ora c'è?
    Ivo Flipse,

    2
    ma non hai risposto alla domanda, è proprio come dire "usa bsd, quindi non hai virus". la domanda non era "offrimi prodotti sandboxing" (vms come sandbox molto grandi), ma "può un virus uscire da un sandbox / macchina virtuale. ed è decisamente molto più facile uscire da un tale programma sandboxing (pensa a preparazioni speciali immagini) che di una macchina virtuale completa.
    Akira,

    A proposito, probabilmente hai ragione sul rischio
    Ivo Flipse,
    Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
    Licensed under cc by-sa 3.0 with attribution required.