Blue Pill – приоткрывая вуаль

Выдержка из интервью с Александром Самойленко с ixbt.com.

Blue Pill (имя которого, кстати, взято из фильма «Матрица») представляет собой средство получения контроля над компьютером (руткит), которое основывается на технологиях виртуализации и нацелено на операционную систему Windows Vista. На данный момент Blue Pill использует технологию виртуализации AMD-V (бывшая Pacifica), которая присутствует во всех последних процессорах компании AMD, но не существует препятствий к его портированию на платформы Intel с технологией Intel VT (бывшая Vanderpool). Blue Pill был разработан Джоанной Рутковской (Joanna Rutkowska) и впервые продемонстрирован на Black Hat Briefings 3 августа 2006 года.

Механизм работы руткита выглядит следующим образом:
вредоносный код проникает в целевую систему
затем происходит незаметная виртуализация хостовой системы, которая превращается в гостевую на данном компьютере, а Blue Pill действует как гипервизор, при этом не требуется перезагрузка операционной системы
все необходимые руткиту интерфейсы для взаимодействия с внешней средой «прячутся» за пределами этой системы, а ПО для обнаружения вторжений не может найти руткит, поскольку он расположен вне операционной системы.

Компания Microsoft совместно с Мичиганским университетом (University of Michigan) в прошлом году также разработала руткит SubVirt, поражающий операционные системы Windows и Linux тем же способом, что и Blue Pill. В отличие от Blue Pill, этот руткит может быть более просто обнаружен, поскольку не может быть установлен «на лету» и вносит некоторые изменения в структуру диска, что делает возможным обнаружение руткита при проверке диска на другом компьютере. Также SubVirt эмулирует аппаратные компоненты, отличающиеся от реального «железа», что позволяет просто обнаружить виртуализацию.

Аппаратная виртуализация значительно упрощает написание программного обеспечения с использованием технологий виртуализации, что значительно увеличит в ближайшее время объем подобного вредоносного ПО. Тем не менее, о реальной опасности говорить еще рано, поскольку трудозатраты на его написание все еще достаточно велики. Компания Microsoft, разработавшая SubVirt, неоднократно заявляла, что затраты на его реализацию сравнимы с затратами на создание операционной системы. Тем не менее, эту опасность стоит иметь в виду, а производители антивирусного ПО в ближайшее время должны включить в свои системы возможности обнаружения руткитов, использующих виртуализацию.

Страница проекта – http://bluepillproject.org.

VMsafe – вперед :)

Компания Trend Micro с августа планирует начать продажи продукта Trend Micro Core Protection for Virtual Machines. Данный продукт предназначен для защиты виртуальных машин через VMsafe API.
Еще раз повторюсь – инструментарий VMsafe позволяет вынести анти-вредоносное ПО за пределы виртуальной машины и централизовать защиту на уровне хоста. Это позволяет обезопасить антивирус, брандмауэр, IDS/IPS от всех стандартных атак.
Новость отсюда.

Поддержка VLAN (802.1Q) в ISA Server

В рамках другого проекта для среднего бизнеса, была реализована следующая схема: было спроектировано несколько сетей, находящихся в разных VLAN. Центральным маршрутизатором для них планировалось использовать ISA Server. Мы столкнулись с ограничением – VI3,5 позволяла использовать до четырех виртуальных сетевых адаптеров на виртуальную машину.
Чтение документации позволило узнать, что если указать VLAN ID = 4095, то в виртуальную машину будут “проброшены” все VLAN, которые пойдут на этот порт. Говоря сетевым языком, мы переводим порт виртуального коммутатора в магистральный режим (trunk).
Continue reading “Поддержка VLAN (802.1Q) в ISA Server”

Рекомендации по увеличению безопасности от вендоров виртуализации

Вдогонку к презентации с семинара по инф.безопасности, выкладываю ссылки на документацию от Microsoft и VMware.
Microsoft:
1) Hyper-V Security Guide (тут);
2) Security for System Center Virtual Machine Manager 2008 (тут).
VMware:
1) VMware Infrastructure 3.5 Security Hardening (тут);
2) VMware ESX server 3.x Benchmark (СIS) (тут);
3) Очень много ссылок 🙂 (тут и тут).

За ссылки по VMware спасибо Марии Сидоровой (тут), которая читала доклад по безопасности виртуальной инфраструктуры VMware на встрече VMware User Group Russia в июне. По этой же ссылке можно ознакомиться и с остальными докладами.

Изменение размера виртуального жесткого диска

Встречайте очередной перевод статьи, на сей раз про изменение размера виртуальных дисков машин VMware.
Важное примечание: операции с виртуальным диском проводятся при отсутствии снимков!
Continue reading “Изменение размера виртуального жесткого диска”

Вышли новые продукты от VMware

Сегодня вышло целых три новых продукта от компании VMware:

  • VMware vCenter Lab Manager 4.0 – ПО для автоматизации виртуальных лабораторий, заметки о релизе
  • VMware vCenter Chargeback 1.0 – ПО для подсчет возрата инвестиций ;), заметки о релизе
  • VMware vCenter AppSpeed 1.0 – ПО по управлению производительностью приложений внутри виртуальных машин, заметки о релизе

Установка EMC Storage Viewer для vSphere

Большой друг нашего блога philzy, описал свой опыт установки EMC Storage Viewer 2.0 для vSphere Client. В продактиве используется блейд-шасси Dell M1000e и хранилище EMC CX3-40, на котором нарезано свыше 90 LUN, коими ему очень хочется управлять. Его инструкция: Continue reading “Установка EMC Storage Viewer для vSphere”