וירוס במכונה וירטואלית

[sub100]

שלום,  כשאני עובד במכונה וירטואלית, אם המכונה נדבקת בוירוס, הוא בהכרח מתפשט למחשב האמיתי? מה הסיכונים באמת?

כי אחרי הכל המכונה הווירטואלית היא בסך הכל קובץ בתוך המחשב,

וקובץ יכול להינגע על ידי וירוס.

אז האם יש יתרון בעניין הזה למכונה וירטואלית או שאין ?

אשמח לתגובות

[multicore]

כדי לענות על השאלה הזאת צריך להבין איזה חולשת מערכת אותו וירוס מנצל. כבר ישנן כמה דרכים "לברוח" מ hypervisor.

זה שהדיסק הוירטואלי הוא קובץ במחשב המארח לא אומר שניתן מעצם העובדה שהוא קיים שם להדביק את מערכת ההפעלה של המחשב המארח. לצורך הדבקה צריך להריץ משהו כדי שיטטען לזכרון ומשם ימשיך בפעולות של הדבקה.

[sub100]

אז החולשה של ה-hypervisor היא חולשה מהותית, ועד כמה היא מצויה? ובא נגיד ברגע שהאקר כן מצליח להדביק את ה-hypervisor אז הפגיעה שיש לי על המערכת עלולה להיות יותר חמורה מאשר אם ההאקר היה משתלט לי על המערכת ישירות ולא דרך ה-hypervisor ? זאת אומרת עד כמה אתגר אבטחה במכונה וירטואלית הוא עולה על האתגר אבטחה במחשב הפיזי
אני יודע שזה נושא אולי מורכב בשביל לענות בהודעה  בפורום אבל בכל זאת
בסופו של דבר השאלה שלי בכללי האם למשתמש רגיל,( לא חברת אבטחה או משהו), שווה בכלל לעשות ניסויים על המכונה הוירטואלית(מתוך סקרנות) בכל הקשור לווירוסים,כגון: בדיקת אנטי-וירוסים שונים, בדיקת באגים  וכדו',.   או שזה לא בטוח להתעסק עם זה?

תודה על ההתיחסות

[etal]

רוב הוירוסים הרגילים שתוקפים מחשבים ביתיים לא מתעסקים עם חולשות של hypervisor ולא ינסו לצאת מהמכונה הוירטואלית. כל אנשי האבטחה שמתעסקים ביום-יום עם וירוסים ונוזקות עושים הרבה שימוש במכונות וירטואליות, בהחלט יותר בטוח להריץ דברים מתוך מכונה כזאת ולא כל כך פשוט לצאת ממנה.

[yotam]

הסיכון העיקרי זה אם המכונה נמצאת על אותה רשת עם מחשבים אחרים (המחשב המארח, מכונות וירטואליות אחרות או מחשבים אחרים ברשת) והוירוס מסוגל להדביק מחשבים ברשת (כשהוא מנצל פרצות אבטחה או למשל מצפין קבצים בתיקיות משותפות)

אם אתה מקפיד לבודד את המכונה מהרשת שלך אז זה בטוח למדי.

[QttP]

ציטוט של yotam

הסיכון העיקרי זה אם המכונה נמצאת על אותה רשת עם מחשבים אחרים (המחשב המארח, מכונות וירטואליות אחרות או מחשבים אחרים ברשת) והוירוס מסוגל להדביק מחשבים ברשת (כשהוא מנצל פרצות אבטחה או למשל מצפין קבצים בתיקיות משותפות)

אם אתה מקפיד לבודד את המכונה מהרשת שלך אז זה בטוח למדי.

זה אכן סיכון משמעותי יותר מהסיכון של "בריחה מhypervisor". כמעט אכלתי קש עם וירוס מצפין וכוננים משותפים ברשת פעם.  מאז עשיתי שינוי בסיסי ופשוט - כונני הרשת משותפים כread only בלבד (אפשר למשוך קבצים מהמחשב המשתף אך לא לדחוף לו קבצים).

[multicore]

פרצות אבטחה בSMB זה לא משהו מיוחד.

כל הפרוטוקול הזה נבנה בצורה לא בדיוק מאובטחת מהתחלה ומייקרוספוט היו צריכים לשמור על תאימות אחורה במשך כמה דורות כמו שהם עושים עם כל דבר אחר. מן הסתם שאם אותו וירוס מנצל חולשה בפרוטוקול של שיתוף קבצים, זה עוד וקטור תקיפה אפשרי שצריך למנוע בבדיקות.

[sub100]

ציטוט של etal

רוב הוירוסים הרגילים שתוקפים מחשבים ביתיים לא מתעסקים עם חולשות של hypervisor ולא ינסו לצאת מהמכונה הוירטואלית. כל אנשי האבטחה שמתעסקים ביום-יום עם וירוסים ונוזקות עושים הרבה שימוש במכונות וירטואליות, בהחלט יותר בטוח להריץ דברים מתוך מכונה כזאת ולא כל כך פשוט לצאת ממנה.

תודה. אז אני מבין שאפשר להסתכן קצת עם המכונה?

 

ציטוט של yotam

הסיכון העיקרי זה אם המכונה נמצאת על אותה רשת עם מחשבים אחרים (המחשב המארח, מכונות וירטואליות אחרות או מחשבים אחרים ברשת) והוירוס מסוגל להדביק מחשבים ברשת (כשהוא מנצל פרצות אבטחה או למשל מצפין קבצים בתיקיות משותפות)

אם אתה מקפיד לבודד את המכונה מהרשת שלך אז זה בטוח למדי.

איך אני מבודד את המכונה ברשת? מה אני בוחר בהגדרות רשת: host only  או bridged?
שאלה נוספת: יש יתרון בנושא הזה מבחינת אבטחה לחברה של VMware על פני virtualBox או שזה תלוי בהגדרת רשת במכונה בלבד? 

[multicore]

תנתק אותה מהרשת בכלל.

אתה יכול לקרוא בדוקומנטציה של התוכנה מה ההבדל בין המצבים הושנים של הכרטיס רשת. זה לא מסובך אם יש לך ידע בסיסי ברשתות תקשורת.

 

אין שום הבדל בין שני (יש עוד הרבה אחרים) מוצרי וירטואליזיצה שציינת למטרה הזאת.

[sub100]

ואם אני רוצה בכל זאת אינטרנט כדי להוריד תוכנות וכדומה מה אני עושה?

[multicore]

אז תנתק אחרי או שתעביר קבצים בשיתוף של הhypervisor.