Віртуальна машина та вірус


23

У мене є вимога, щодо якої я маю вийти в Інтернет без захисту (брандмауер, антивірус). У той же час я не хочу ризикувати зараження вірусами.

Якщо я встановлю віртуальну машину (VirtualBox) для тестування, і вона заразиться вірусами, це також заразить мою хост-систему? Іншими словами, чи можу я використовувати віртуальну машину для тестування, не турбуючись про те, що вірус на віртуальній машині заражає мого хоста?


Це допоможе людям відповісти на ваше запитання, якщо ви можете додати, чому вам потрібно вийти в Інтернет. Що ти маєш зробити? Чи працює з живого компакт-диска варіант?
DaveParillo

Відповіді:


17

Якщо я встановлю віртуальну машину (VirtualBox) для тестування, і вона заразиться вірусами, це також заразить мою хост-систему? Іншими словами, чи можу я використовувати віртуальну машину для тестування, не турбуючись про те, що вірус на віртуальній машині заражає мого хоста?

Здається, існують деякі помилки щодо NAT та мостових з'єднань у VM середовищах. Вони не дозволяють заразити вашого господаря. Операційна система VM не матиме жодного доступу до хост-операційної системи і абсолютно не знає, що вона працює як віртуальна машина клієнта. Програмне забезпечення, що працює в цій операційній системі, буде ще менш розумним щодо цього.

Саме через прямі відносини між клієнтом і машиною-хостом може існувати шанс заразитися. Це відбувається, якщо ви дозволите клієнту та хосту ділитися папками . Найбільший фрагмент VMware (щоб назвати один популярний продукт) вразливості примітки, що коли-небудь знайдені, були прямо або опосередковано позначені на цій функції. Повна ізоляція досягається вимкненням спільних папок. Будь-яка інша вразливість виявлена ​​на стороні хоста, коли вразливості самого двигуна VM дозволяли б потенційному зловмиснику підключитися через хост-апарат і отримати доступ до будь-яких клієнтів або запустити власний код.

Проблеми з безпекою дійсно можуть бути більш привабливими, якщо використовується велика структура VM, наприклад, запропонована через топології VMware Server. Але якщо запускаються однокомп'ютерні рішення VMware Workstation, проблем підключення до NAT або Bridge немає. Ви безпечні, доки не використовуєте спільні папки.

EDIT: Щоб бути зрозумілим, коли я кажу про NAT або Bridge з'єднання, я кажу лише про можливість VM для спільного доступу до мережевого з'єднання з його клієнтами. Це не дає клієнту доступу до хоста, і він залишається повністю ізольованим, якщо функціональність, подібна до VM Shared Folders, вимкнена. Природно, якщо замість цього користувач вирішив підключити мережу Host і Client, тоді зазначений користувач явно вирішив підключити обидві машини та разом із цим махнути внутрішньою безпекою VM. Тоді це не відрізняється від будь-якого іншого приватного мережевого середовища, і ті самі питання цінних паперів та проблеми повинні бути вирішені.


8
Що ж, якщо у вас з'єднання налагоджено, то гість такий же, як і будь-який інший комп'ютер у вашій мережі. Якщо ви отримали мережевий черв'як (Confickr, Blaster тощо), то ви щойно ввели шкідливий програмний продукт у свою фактичну мережу. Сказати, що спосіб підключення VM до мережі не впливає на ризик - це трохи неправильно. Однак ваша думка про доступ до вузла з віртуального вірту є дійсною.
MDMarra

Майте на увазі, що існує набагато більше способів, як щось може вийти з VM, ніж просто через віртуалізовані мережеві адаптери (наприклад, зрив VMWare за допомогою пристрою віртуального COM-порту ).
Прорив

4

Це залежить.

Якщо ваша віртуальна машина (гість) не має доступу до мережі до вашого хоста, ваш хост не вплине на будь-який вірус у вашій гостьовій операційній системі.


4

Мої 2 копійки ...

Коротше кажучи, зловмисне програмне забезпечення, яке виконується в контексті гостьової ОС, НЕ зможе заразити хост-операційну систему і, ймовірно, навіть не усвідомлює, що існує хост-операційна система (хоча, гіпотетично, можливий вихід з віртуалізованого середовища , я підозрюю, це не стане дуже поширеним на деякий час.

Деякі винятки:

  • У VirtualPC (наприклад,) можна поділитися папкою на гостьовій ОС, яка "бачить" цю папку як лист диска.
  • Залежно від вашої конфігурації, і хост, і гостьова ОС можуть бути в одній мережі, що означає, що вірус, який експлуатує відкриті порти або що не може, може розповсюджуватися, використовуючи вразливі системні служби або через мережеві спільні доступу.
  • Останнє, і, як це зараз існує, найменш вірогідний шлях - це те, що вірус може бути обізнаний у ВМ та здатний вирватися з пісочниці. В даний час це вкрай малоймовірно.
  • Загалом, веб-серфінг в контексті віртуального комп'ютера - це, мабуть, найбезпечніший спосіб серфінгу, руки вниз (зважаючи на слабкий досвід аудіо / відео та інших способів захисту). Насправді, використання окремого обмеженого облікового запису, ймовірно, достатньо, але VM, безумовно, забезпечить додаткову ізоляцію.


    2

    Ні, якщо ви не встановите жодне мережеве з'єднання (наприклад, NAT або Bridge) між хост-сервером і гостьовою ОС. Якщо ви хочете забезпечити повне розділення між двома світами, будь ласка, віддайте перевагу з'єднанню "Bridge" та позначте один NIC на своєму ПК-господарі, а інший NIC - на вашому гості VM-ed.

    Це було б так, як у двох ізольованих мереж, які діляться тільки шиною живлення (дійсно ПК).

    VirtualBox, а також VMWare або Xen або Parallels, можуть легко налаштувати для вас таке середовище


    Вибачте, ZZambia. Але ваша інформація невірна. Я б порадив точніше перевірити це. У середовищі VM не виникає жодних проблем безпеки хостингу, пов’язаних із з'єднаннями NAT та Bridge.
    Гном

    Ще немає, немає. Це вразливість, просто чекаючи, коли хтось зрозуміє, як це використати. Можливо. Краще перестрахуватися, ніж потім шкодувати.
    Phoshi

    Я думаю, що Ззамбія тут використовує слово "мости" в двох різних контекстах. Мені здається, ризик з’єднання хоста і VM нічим не відрізняється від іншого комп’ютера в одній мережі, що зловживає вразливими місцями. (Або, може, ще гірше, коли мости мережі з'єднуються, то брандмауер, який зупиняє атаки з іншого комп'ютера, може бути не налаштований для зупинки атак з VM?) Використання "мостових з'єднань" від NIC до хоста та від іншого NIC до VM здається, щось інше (але: може, не потрібно?). (Якщо я пропускаю суть, тоді просто скажіть так, і я видалю це; не потрібно пояснювати!)
    Ар'ян

    @Poshi, вразливість - це за визначенням щось, що було визначено. Це дуже мало актуальності для обговорення вразливостей, які ще не були знайдені або які неможливо знайти. читайте далі ... @ Арджан, справді. Але з'єднання Bridge або NAT у середовищі VM повністю відбувається між операційною системою хост-машини та двигуном хоста VM. Клієнтська машина працює незалежно від цього моста і повністю від нього ізольована. Аргумент Ззамбії можна порівняти з тим, що ви можете заразитися, оскільки ви підключені до Інтернету, і я щойно завантажив заражений файл.
    Гном

    @Zzambia, ви можете відредагувати свою відповідь, щоб пояснити, до якої частини питання стосується "Ні". :-) Або, звичайно, якщо Гном правий - і я думаю, що він є - тоді просто видаліть свою відповідь ... (Як бічна примітка: у своєму попередньому коментарі я думав, що ви маєте на увазі мости хост ОС і VM OS, а не хост ОС і двигун VM . Отже, я подумав, що ви говорите про додатковий крок після підключення VM до Інтернету, щоб явно з'єднати хост ОС і VM OS. Тепер я розумію це нестача моїх знань щодо термінології, що використовується для віртуальних машин.)
    Ар'ян,

    1

    Так, якщо у вас є спільні папки ...

    Або спільні папки через VM, або стандартні мережі.

    Я не впевнений і не бачив жодного часу вірусів, які поширюються так і редагують файли по мережі, але це можливо.

    Тільки тому, що це ВМ не означає, що він безпечний, потрібно просто ставитися до нього як до іншої фізичної машини у вашій мережі.

    Отже, якщо у вас на хост-машині (та інших у вашій мережі) є антивірус, ви настільки ж безпечні, як і раніше, але знову ж таки ... поводьтеся з будь-якою ВМ як з будь-якою іншою фізичною машиною.

    Єдиний безпечний спосіб запустити VM - це відключити функції мережі (або VLAN відокремити її повністю від вашої мережі ... і не мати якогось інтерфейсу управління на цій VLAN.) Та відключити всю хост / гостьову інтеграцію, яка передбачає обмін файлами .


    1

    Технічно це можна на 100% впевнитись - навіть якщо мережа є ізольованою і не ділиться папками.

    Хоча це малоймовірно, якщо розробник вірусів не знав про недолік у поєднанні вашої хост-ОС та вашої гості VM та не націлив її на сепсис. Якщо ви хочете заразити вірусом, ви хочете зробити такий, який впливає на найбільшу кількість комп'ютерів, і можливо, ви не знайдете недоліків у використанні в деяких рідкісних програмах, що часто використовуються.

    Ця ж відповідь стосується пісочниці або будь-якого шару інтерпретації між ними. Я думаю, якби ти міг запустити 32-бітну гостьову ОС та 64-бітний хост, ти був би найбезпечнішим, оскільки експлуатувати націлену на гостьову ОС переповнення, а потім також запустити переповнення в vm / sandbox було б ще складніше, оскільки ти мені доведеться компілювати корисні навантаження в 4-х комбінаціях - але знову ж таки це те, що зазвичай робиться з зловмисником і єдиним рівнем операційної системи - корисна навантаження готується для ОС або експлуатаційної служби версії та одна для кожного 32 та 64, тоді він просто кидає їх обох у автомат.

    Це точно так само, як попередній коментар щодо BSD - тим рідше ваша установка є найменшою ймовірністю, що вірус буде націлений на неї.

    Якщо ми всі запустили VM для тестування програмного забезпечення, на яке ми підозріли чи переглядати мережу, той факт, що він знаходиться в VM, уже не матиме значення, і щоб бути зрозумілим знову, ви відкриті для вірусної інфекції.

    Крім того, існують спеціальні апаратні міркування щодо новіших технологій віртуалізації, і я, перш за все, говорю про віртуалізацію програмного забезпечення, в якій код гостьової машини працює за допомогою програмного забезпечення в хості, так що переповнення покажчика інструкцій із програмного забезпечення здається мені надзвичайно складним. і марна трата часу. Я зовсім не впевнений, як це змінюється, коли ми маємо справу з підтримкою bios hyper V або Xen і т. Д. - можливо, віртуальні машини є більш ізольованими або це може бути і гірше через vm, який працює з кодом у фактичному апаратному забезпеченні трубопровід - це дійсно залежить від того, як працює «віртуалізація біосу».


    1

    Якщо у VirtualBox у вас немає спільних папок або використовуєте будь-яку з функцій пристрою, і якщо ви хочете бути ще впевненішими, подивіться внизу вікна VirtualBox:

    малюнок праворуч унизу біля значка 2 комп’ютерів перемикає його на не підключений

    Ви повинні мати можливість запускати будь-які віруси, а не отримувати їх на хост-машині, хоча, щоб бути впевненим, продовжуйте працювати антивірусне програмне забезпечення.


    1

    Ви повинні спробувати Sandboxie (або будь-який інший інструмент , пісочниці)

    введіть тут опис зображення

    Це виділить ваш веб-переглядач і видалить все після завершення. Таким чином, навіть якщо ви отримаєте вірус, він не зможе покинути пісочницю.

    Переваги ізольованої пісочниці

    • Безпечний перегляд веб-сторінок: Якщо запустити веб-браузер під захистом Sandboxie, це означає, що все шкідливе програмне забезпечення, завантажене браузером, потрапляє в пісочну скриньку і може бути видалено тривіально.
    • Розширена конфіденційність: історія перегляду, файли cookie та кешовані тимчасові файли, зібрані під час веб-перегляду, залишаються в пісочній скриньці і не просочуються в Windows.
    • Безпечна електронна пошта: віруси та інше шкідливе програмне забезпечення, яке може ховатися у вашій електронній пошті, не може вирватися з пісочної скриньки і не може заразити вашу реальну систему.
    • Windows залишається ощадливим: запобігайте зносу в Windows, встановлюючи програмне забезпечення в ізольовану пісочну скриньку.

    1
    питання було про те, "чи може вірус вийти з цієї спеціальної пісочниці" ... -1
    akira

    Я вважаю, що переваги кажуть: шкідливе програмне забезпечення потрапляє в пісочницю. Якби це не було, у чому би суть?
    Іво Фліпс

    1
    Плюс не потрібно, щоб вся ОС працювала, якщо ви хочете лише пісочницю свого браузера, тепер це?
    Іво Фліпсе

    2
    але ви не відповідали на питання, це так само, як сказати "використовуй bsd, то у тебе немає вірусів". питання полягало не в тому, щоб "запропонувати мені продукти з пісочницею" (vms як дуже великі пісочниці), але "чи може вірус вирватися з пісочниці / віртуальної машини. фотографії), ніж на повній віртуальній машині.
    akira

    Якщо взяти пункт, ви, мабуть, маєте рацію щодо ризику
    Іво Фліпс
    Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
    Licensed under cc by-sa 3.0 with attribution required.