Віртуальна машина та вірус

У мене є вимога, щодо якої я маю вийти в Інтернет без захисту (брандмауер, антивірус). У той же час я не хочу ризикувати зараження вірусами.

Якщо я встановлю віртуальну машину (VirtualBox) для тестування, і вона заразиться вірусами, це також заразить мою хост-систему? Іншими словами, чи можу я використовувати віртуальну машину для тестування, не турбуючись про те, що вірус на віртуальній машині заражає мого хоста?

Якщо я встановлю віртуальну машину (VirtualBox) для тестування, і вона заразиться вірусами, це також заразить мою хост-систему? Іншими словами, чи можу я використовувати віртуальну машину для тестування, не турбуючись про те, що вірус на віртуальній машині заражає мого хоста?

Здається, існують деякі помилки щодо NAT та мостових з'єднань у VM середовищах. Вони не дозволяють заразити вашого господаря. Операційна система VM не матиме жодного доступу до хост-операційної системи і абсолютно не знає, що вона працює як віртуальна машина клієнта. Програмне забезпечення, що працює в цій операційній системі, буде ще менш розумним щодо цього.

Саме через прямі відносини між клієнтом і машиною-хостом може існувати шанс заразитися. Це відбувається, якщо ви дозволите клієнту та хосту ділитися папками . Найбільший фрагмент VMware (щоб назвати один популярний продукт) вразливості примітки, що коли-небудь знайдені, були прямо або опосередковано позначені на цій функції. Повна ізоляція досягається вимкненням спільних папок. Будь-яка інша вразливість виявлена ​​на стороні хоста, коли вразливості самого двигуна VM дозволяли б потенційному зловмиснику підключитися через хост-апарат і отримати доступ до будь-яких клієнтів або запустити власний код.

Проблеми з безпекою дійсно можуть бути більш привабливими, якщо використовується велика структура VM, наприклад, запропонована через топології VMware Server. Але якщо запускаються однокомп'ютерні рішення VMware Workstation, проблем підключення до NAT або Bridge немає. Ви безпечні, доки не використовуєте спільні папки.

EDIT: Щоб бути зрозумілим, коли я кажу про NAT або Bridge з'єднання, я кажу лише про можливість VM для спільного доступу до мережевого з'єднання з його клієнтами. Це не дає клієнту доступу до хоста, і він залишається повністю ізольованим, якщо функціональність, подібна до VM Shared Folders, вимкнена. Природно, якщо замість цього користувач вирішив підключити мережу Host і Client, тоді зазначений користувач явно вирішив підключити обидві машини та разом із цим махнути внутрішньою безпекою VM. Тоді це не відрізняється від будь-якого іншого приватного мережевого середовища, і ті самі питання цінних паперів та проблеми повинні бути вирішені.

Це залежить.

Якщо ваша віртуальна машина (гість) не має доступу до мережі до вашого хоста, ваш хост не вплине на будь-який вірус у вашій гостьовій операційній системі.

Мої 2 копійки ...

Коротше кажучи, зловмисне програмне забезпечення, яке виконується в контексті гостьової ОС, НЕ зможе заразити хост-операційну систему і, ймовірно, навіть не усвідомлює, що існує хост-операційна система (хоча, гіпотетично, можливий вихід з віртуалізованого середовища , я підозрюю, це не стане дуже поширеним на деякий час.

Деякі винятки:

Загалом, веб-серфінг в контексті віртуального комп'ютера - це, мабуть, найбезпечніший спосіб серфінгу, руки вниз (зважаючи на слабкий досвід аудіо / відео та інших способів захисту). Насправді, використання окремого обмеженого облікового запису, ймовірно, достатньо, але VM, безумовно, забезпечить додаткову ізоляцію.

Ні, якщо ви не встановите жодне мережеве з'єднання (наприклад, NAT або Bridge) між хост-сервером і гостьовою ОС. Якщо ви хочете забезпечити повне розділення між двома світами, будь ласка, віддайте перевагу з'єднанню "Bridge" та позначте один NIC на своєму ПК-господарі, а інший NIC - на вашому гості VM-ed.

Це було б так, як у двох ізольованих мереж, які діляться тільки шиною живлення (дійсно ПК).

VirtualBox, а також VMWare або Xen або Parallels, можуть легко налаштувати для вас таке середовище

Так, якщо у вас є спільні папки ...

Або спільні папки через VM, або стандартні мережі.

Я не впевнений і не бачив жодного часу вірусів, які поширюються так і редагують файли по мережі, але це можливо.

Тільки тому, що це ВМ не означає, що він безпечний, потрібно просто ставитися до нього як до іншої фізичної машини у вашій мережі.

Отже, якщо у вас на хост-машині (та інших у вашій мережі) є антивірус, ви настільки ж безпечні, як і раніше, але знову ж таки ... поводьтеся з будь-якою ВМ як з будь-якою іншою фізичною машиною.

Єдиний безпечний спосіб запустити VM - це відключити функції мережі (або VLAN відокремити її повністю від вашої мережі ... і не мати якогось інтерфейсу управління на цій VLAN.) Та відключити всю хост / гостьову інтеграцію, яка передбачає обмін файлами .

Технічно це можна на 100% впевнитись - навіть якщо мережа є ізольованою і не ділиться папками.

Хоча це малоймовірно, якщо розробник вірусів не знав про недолік у поєднанні вашої хост-ОС та вашої гості VM та не націлив її на сепсис. Якщо ви хочете заразити вірусом, ви хочете зробити такий, який впливає на найбільшу кількість комп'ютерів, і можливо, ви не знайдете недоліків у використанні в деяких рідкісних програмах, що часто використовуються.

Ця ж відповідь стосується пісочниці або будь-якого шару інтерпретації між ними. Я думаю, якби ти міг запустити 32-бітну гостьову ОС та 64-бітний хост, ти був би найбезпечнішим, оскільки експлуатувати націлену на гостьову ОС переповнення, а потім також запустити переповнення в vm / sandbox було б ще складніше, оскільки ти мені доведеться компілювати корисні навантаження в 4-х комбінаціях - але знову ж таки це те, що зазвичай робиться з зловмисником і єдиним рівнем операційної системи - корисна навантаження готується для ОС або експлуатаційної служби версії та одна для кожного 32 та 64, тоді він просто кидає їх обох у автомат.

Це точно так само, як попередній коментар щодо BSD - тим рідше ваша установка є найменшою ймовірністю, що вірус буде націлений на неї.

Якщо ми всі запустили VM для тестування програмного забезпечення, на яке ми підозріли чи переглядати мережу, той факт, що він знаходиться в VM, уже не матиме значення, і щоб бути зрозумілим знову, ви відкриті для вірусної інфекції.

Крім того, існують спеціальні апаратні міркування щодо новіших технологій віртуалізації, і я, перш за все, говорю про віртуалізацію програмного забезпечення, в якій код гостьової машини працює за допомогою програмного забезпечення в хості, так що переповнення покажчика інструкцій із програмного забезпечення здається мені надзвичайно складним. і марна трата часу. Я зовсім не впевнений, як це змінюється, коли ми маємо справу з підтримкою bios hyper V або Xen і т. Д. - можливо, віртуальні машини є більш ізольованими або це може бути і гірше через vm, який працює з кодом у фактичному апаратному забезпеченні трубопровід - це дійсно залежить від того, як працює «віртуалізація біосу».

Якщо у VirtualBox у вас немає спільних папок або використовуєте будь-яку з функцій пристрою, і якщо ви хочете бути ще впевненішими, подивіться внизу вікна VirtualBox:

Ви повинні мати можливість запускати будь-які віруси, а не отримувати їх на хост-машині, хоча, щоб бути впевненим, продовжуйте працювати антивірусне програмне забезпечення.

Ви повинні спробувати Sandboxie (або будь-який інший інструмент , пісочниці)

Це виділить ваш веб-переглядач і видалить все після завершення. Таким чином, навіть якщо ви отримаєте вірус, він не зможе покинути пісочницю.

Переваги ізольованої пісочниці

• Безпечний перегляд веб-сторінок: Якщо запустити веб-браузер під захистом Sandboxie, це означає, що все шкідливе програмне забезпечення, завантажене браузером, потрапляє в пісочну скриньку і може бути видалено тривіально.
• Розширена конфіденційність: історія перегляду, файли cookie та кешовані тимчасові файли, зібрані під час веб-перегляду, залишаються в пісочній скриньці і не просочуються в Windows.
• Безпечна електронна пошта: віруси та інше шкідливе програмне забезпечення, яке може ховатися у вашій електронній пошті, не може вирватися з пісочної скриньки і не може заразити вашу реальну систему.
• Windows залишається ощадливим: запобігайте зносу в Windows, встановлюючи програмне забезпечення в ізольовану пісочну скриньку.