¿Ejecutar máquinas virtuales dentro de máquinas virtuales sería una forma más segura de estudiar virus, etc.?

Navega tus respuestas
6

Estaba leyendo esta publicación en SuperUser, y me hizo preguntarme acerca de la seguridad. He leído en otra parte que algunos virus / malware / lo que PUEDE se pueden romper fuera de una VM ... y luego infectar el sistema operativo host. PERO, ¿qué pasa si el virus considera a la primera VM como el SO Host? ¿O qué pasaría si tuviera una caja de Windows, una máquina virtual de Linux y una máquina virtual de Windows? Seguramente esta plataforma cruzada sería extremadamente difícil de entender / subvertir. ¿Sería esta una forma ideal para que alguien estudie virus o malware si no pudieran costear las herramientas correctas? Seguramente un cortafuegos y un escáner antivirus en cada "sistema" sería lo suficientemente bueno como para proteger al verdadero host, a menos que fuera un virus bastante bueno.

    
pregunta cutrightjm 07.07.2012 - 22:09
fuente

3 respuestas

9

La respuesta corta es: No, esta no sería una forma ideal o infalible de estudiar un virus.

Si el virus está diseñado para salir de la máquina virtual, no hay razón para creer que se detenga en hacerlo una vez. Por lo que sabe, podría probar si se ejecuta dentro de una segunda máquina virtual y también se puede salir de esa. Eso no requiere mucha más sofisticación que salir de una sola VM.

Si está preocupado por esta amenaza, existen mejores defensas, como correr con una máquina que no utiliza para ningún otro propósito y que borra de forma segura cada cierto tiempo para devolverla a un estado de buena reputación.

    
respondido por el D.W. 08.07.2012 - 02:10
fuente
18

En primer lugar, no hay garantía de que pueda ejecutar una máquina virtual dentro de una máquina virtual. Puede parecer obvio, pero de ninguna manera es seguro que funcionará. Esto se debe a que las máquinas virtuales pueden depender de las características de virtualización de su hardware que no están expuestas dentro de la máquina virtual en sí.

En segundo lugar, por qué dos, por qué no tres, cuatro, cinco, etc ... Existe tal cosa como seguridad excesiva. Si el virus puede "escapar" de la máquina virtual interna, entonces puede escapar fácilmente de la máquina virtual externa y llegar al host. Además, la mayoría de los virus se transmiten a sí mismos a través de la red y no a través de algún agujero en la VM, y en ese caso, simplemente anidan los cambios de la VM, ya que la red host será igualmente visible en todos los niveles.

Si tu virus es lo suficientemente peligroso como para que incluso consideres anidar varias máquinas virtuales, debe ser un infierno de virus, y por lo tanto, deberías agarrar una netbook barata sin capacidad de red / bluetooth y rodar con eso. De lo contrario, una sola máquina virtual debería ser suficiente.

    
respondido por el Thomas 07.07.2012 - 22:25
fuente
0

Puede ejecutar una VM dentro de una VM, pero probablemente no podrá usar la virtualización de hardware. Aún debería funcionar, pero probablemente tendrá que usar diferentes hipervisores (ejemplo: VirtualBox para la primera máquina virtual, VMware para la segunda). Creo que esto es innecesario e inseguro. RHEL y Fedora (y quizás otros) tienen soporte incorporado para ejecutar KVM y usar SElinux para restringir el proceso de VM en el host. SElinux proporciona una amplia protección, pero no contra las vulnerabilidades de los controladores paravirtualizados. Para máxima seguridad, no use controladores paravirtualizados.

enlace

    
respondido por el Matrix 08.07.2012 - 18:50
fuente

Lea otras preguntas en las etiquetas

¿Cuál es la verdadera razón para bloquear los sitios sociales? ¿Incluso sitios legítimos como Twitter que actúa como un repositorio de conocimiento? Packet Checksums