¿Existe algún beneficio de seguridad al usar una máquina virtual en el arranque dual?

3

Estaba mirando una pregunta sobre el arranque dual en Superusuario , y lo estaba si existe una protección adicional al usar una VM en el arranque dual. Por lo que me han dicho, una máquina virtual es su propia caja de arena, y todo lo que sucede (o casi todo) solo afectará a la máquina virtual.

Ahora, supongamos que tiene 2 HD, o incluso 1 HD con arranque dual. ¿Existe la misma caja de arena de seguridad en su lugar? Supongo que 2 HD, sería más seguro que 1, en caso de que Malware pueda propagarse a través de la HD de sinlge, ¿y podría ser lo mismo para una máquina virtual?

Así que mis preguntas son.

  1. ¿Existe alguna ventaja de seguridad con respecto al uso de una máquina virtual frente a un arranque dual?

  2. ¿Usar el mismo HD para tu arranque dual / VM causará más riesgos de seguridad debido a que está en el mismo HD que tu arranque regular?

Supongo que el malware avanzado, que podría atacar al hardware, tendría un problema aquí, por lo que supongo que la misma HD podría ser un problema. ¿Sería posible que Malware infecte otro HD que es un arranque por separado?

EDITAR: Parece que VM es el camino a seguir, lo que es divertido porque parece que un arranque dual es más trabajo de configurar, mientras que es menos seguro.

Para agregar a otra parte de la pregunta, ¿hay algunas máquinas virtuales que son mucho más seguras que otras, o todas son prácticamente iguales? Un punto fue que algunas máquinas virtuales usan su propio kernal, mientras que otras usarán los sistemas, por lo que parece ser el primer paso ...

¿Pero hay algo más que deberíamos buscar al encontrar una máquina virtual? Conozco a alguien que usa VMWare actualmente, pero no estoy seguro de lo bueno que es ...

¡Muchas gracias a todos!

    
pregunta XaolingBao 23.10.2016 - 02:31
fuente

5 respuestas

8

Si planea ejecutar malware o al menos binarios no confiables, entonces recomendaría ejecutarlo en VM (o incluso hardware segmentado).

No puedes confiar en lo que el sistema "sucio" está haciendo con otras particiones, sectores de arranque o BIOS cuando se inicia.

La ventaja adicional es que la mayoría del software de virtualización puede proporcionarle algún tipo de instantáneas. Puede utilizar las instantáneas como:

  1. tomar una instantánea
  2. ejecuta software / malware no confiable
  3. revertir el estado del sistema a estado de confianza antes de ejecutar malware

Debe tenerse en cuenta que incluso la ejecución en Máquina Virtual no es 100% segura de problemas. De vez en cuando, se encuentran formas de escapar de la caja de arena de la máquina virtual. Por ejemplo, CVE-2014-0983

    
respondido por el Michal Ambroz 23.10.2016 - 03:23
fuente
0

Además de lo que dijo @Michal Ambroz, sería muy sensato no solo ejecutar en una VM, sino también en una VM que no use directamente el kernel del sistema principal o que tenga acceso para modificar dicho kernel. La virtualización basada en KVM proporciona este tipo de entorno, ya que permite que la máquina virtual use su propio kernel.

La ventaja de seguridad general es que una máquina virtual compartimenta el software que se está ejecutando en su propio entorno, lo que en la mayoría de los casos evitará que el software en la VM acceda al servidor principal.

El arranque dual, por otro lado, involucra particiones separadas, pero no impide que se accedan entre sí y modifiquen archivos.

    
respondido por el Matt Anderson 23.10.2016 - 05:42
fuente
0

si por 'arranque dual' quiere decir un sistema operativo por disco duro, con un disco duro desconectado: eso es más cercano a un espacio de aire, lo que podría ser más seguro que una máquina virtual. sin embargo, como sugiere el otro respondedor, cada sistema operativo tendría acceso al BIOS, lo que podría ser peligroso.

si con 'arranque dual' quiere decir dos sistemas operativos en el mismo disco duro: definitivamente es menos seguro que los discos duros separados. imagine que ambos sistemas operativos estaban completamente encriptados en un disco duro: el sistema operativo incorrecto podía cargar el contenido completo encriptado en un servidor web y luego sobrescribir ese sistema operativo bueno con un cargador de arranque de aspecto equivalente que solicita la contraseña de cifrado, que luego se carga en el servidor web . por lo tanto, un atacante tendría tanto su SO completo encriptado como la contraseña de encriptación, sin haber ejecutado nunca un ejecutable en el SO que intentaba proteger.

en cuanto a máquinas virtuales, no sé mucho!

    
respondido por el infinite-etcetera 24.10.2016 - 13:17
fuente
0

Esta es una gran pregunta:

En mi opinión, hay algunas razones para usar el arranque dual sobre la máquina virtual. El mayor problema con las máquinas virtuales es intentar ejecutar muestras de malware que tienen capacidades para verificar configuraciones de hardware específicas en su dispositivo antes de ejecutar. Por ejemplo:

 Checks for BIOS
 Checks for CD Drive

Nota al margen: Y, en algunos casos, verifican movimientos específicos desde el cursor para asegurarse de que eres humano. Para qué motores de malware, como los híbridos-analsyis, hay contramedidas para.

Si el malware no detecta ambos, no se ejecutará, como una especie de detección de VM. ¡Pero hay maneras de evitar esto!

A las razones de seguridad:

Normalmente hago Malware Analysis dinámicamente, así que me gusta tener un cliente remnux y otro cliente Windows. De esta manera, podría ejecutar fakeDNS en remnux y configurar el DNS para mi máquina con Windows como remnux IP, mientras ejecutaba wirehark en él. Esto me da capacidades de análisis de red robustas. Aquí hay una buena guía para eso:

enlace

Además, como dijo originalmente Michal Ambroz, es extremadamente importante poder tomar instantáneas. No solo para revertir su máquina a un estado limpio, sino que el análisis puede tomar preparación, y me gusta guardar instantáneas en ciertas etapas durante mi análisis.

Su mayor preocupación, cuando se utiliza la configuración de arriba, son dos opciones; en busca de una manera de tener acceso a Internet SAFE y, en segundo lugar, detección de VM de Malware y cómo prevenirla. Si está ejecutando este laboratorio desde su casa, le recomendaría comprar un Internet secundaria barata como precaución.

    
respondido por el Badlarry 23.12.2016 - 14:43
fuente
0

Tienes 3 escenarios:

Arranque dual

Si solo tiene una unidad de disco duro o tiene unidades diferentes para cada sistema operativo pero no desconecta las que no se utilizan, entonces un sistema operativo comprometido puede acceder a los datos en las particiones de los otros sistemas operativos. Supongamos que el SO A está comprometido, entonces un atacante puede montar la partición desde el SO B, modificar el SO B y comprometerlo también (recuerde que la protección sobre los archivos solo la proporciona el SO en ejecución, ya que el OS A no tiene que proteger los archivos del SO). B el atacante puede cambiarlos)

Para protegerse contra esto, puede cifrar ambos volúmenes para que un atacante no pueda montar la otra partición del sistema operativo, pero el atacante podría dañarlo de todos modos

Si tiene una unidad de disco duro por sistema operativo y desconecta físicamente las innecesarias, entonces un atacante necesita algún tipo de malware de firmware para pasar de OS A a OS B. Esto es extremadamente improbable, no solo porque el malware de firmware es muy raro y difícil de desarrollar, además, el atacante debe conocer previamente información sobre el SO B para desarrollar un malware de firmware que pueda comprometerlo con éxito

Máquinas virtuales

Aquí el atacante tiene dos enfoques posibles: Invitado en host o host en guest

Invitado en el host: si su sistema operativo invitado se ve comprometido, le dará un poco de sandbox. El sistema operativo invitado no debe conocer el sistema operativo host ni el hardware subyacente, pero tenga en cuenta que los sistemas como VMware o VirtualBox no están enfocados en la seguridad, están hechos para su conveniencia y, por lo tanto, existen algunas formas de sortear su caja de arena y controlarlos. el sistema operativo host, para hacer esto, el atacante debe ser altamente calificado (asumiendo que no está utilizando una versión de software de virtualización vulnerable conocida)

Host into guest: en este caso, el atacante puede controlar su sistema operativo host y modificar los archivos utilizados por el programa de virtualización, el disco virtualizado directamente o incluso utilizar el programa de virtualización como lo haría. El invitado también se ve comprometido si el host es

Hipervisores tipo 1

No lo mencionaste, pero creo que es algo que debería mencionarse. En su pregunta que habla sobre la virtualización, la forma más utilizada de virtualizar los sistemas operativos es mediante el uso de software como VMware o VirtualBox que se ejecuta en un sistema operativo host y virtualiza los recursos extraídos para ser utilizados por un sistema operativo invitado. En este caso, los recursos administrados por el sistema operativo host se asignan al software de virtualización (a.k.a. hypervisor) que los administra para el sistema operativo invitado que los administra para las aplicaciones que se ejecutan en él

Hay otro tipo de hipervisores que se ejecutan directamente sobre el hardware y lo segmentan para ejecutar múltiples sistemas operativos sobre él. En imágenes es esto:

En este caso, los sistemas operativos deben estar completamente aislados. OS A no sabe nada sobre OS B y no puede acceder a su hardware virtualizado. Existen algunas vulnerabilidades conocidas que pueden permitir que un atacante escape de la caja de arena del hipervisor para corromper la memoria de los otros sistemas operativos, pero para hacerlo para comprometer el OS B del OS A, un atacante debe ser altamente calificado y tener conocimiento de su la configuración y el estado actual de la memoria en OS B para modificarla correctamente sin simplemente bloquearla

    
respondido por el Mr. E 23.12.2016 - 16:20
fuente

Lea otras preguntas en las etiquetas