Informasi apa tentang host vmware yang tersedia untuk tamu?

9

Di vmware Workstation, informasi apa tentang perangkat lunak dan perangkat keras host disediakan untuk OS tamu.

Untuk keperluan aplikasi saya, saya khawatir tentang proses pada OS tamu mendapatkan informasi tentang perangkat keras fisik di mana tuan rumah sedang berjalan. Ini dapat mencakup detail seperti nomor seri, alamat MAC, atau apa pun yang dapat mengidentifikasi secara fisik komputer sedang dijalankan.

Tuan rumah dan tamu akan menjalankan Ubuntu Linux.

Sunting: vmware-toolsakan dipasang pada tamu

Sunting 2: Menambahkan karunia

Saya telah melakukan banyak penelitian tentang pertanyaan ini, dan sebagian besar jawaban memiliki kata-kata seperti "tidak boleh" di dalamnya. Saya perlu mengetahui dengan pasti, bahwa seorang tamu vmware tidak dapat melihat item berikut (Dalam hal itu, jika hal-hal ini tersedia untuk tamu, itu akan dianggap sebagai pelanggaran keamanan besar-besaran)

  • nomor seri perangkat keras
  • alamat mac dari antarmuka jaringan host
  • nomor seri registrasi perangkat lunak vmware
  • file pada sistem operasi host

Motivasi untuk pertanyaan ini adalah bahwa saya perlu menjalankan beberapa perangkat lunak yang sangat tidak terpercaya dan saya ingin membuangnya dari informasi yang dapat mengungkapkan identitas saya. Misalnya, saya menganggap perangkat lunak ini akan mencoba membaca nomor seri prosesor saya dan melaporkannya kembali ke penciptanya, dan saya menganggap ini dapat menghasilkan jejak kembali ke identitas dunia nyata saya. Sebut paranoid ini jika Anda mau. Sebagian dari situasi saya mengharuskan vmware-tools diinstal.

virtualization  vmware-workstation 
pengguna13137
sumber

Jawaban:

5

Informasi tentang tuan rumah dapat bocor ke tamu dengan sejumlah cara berbeda. VMware (dan produk virtualisasi pada umumnya) memberikan perlindungan terhadap banyak hal. Meskipun tidak mungkin untuk dapat menyediakan lingkungan isolasi yang lengkap, itu mungkin melakukan pekerjaan yang cukup baik. Sebagai contoh, beberapa peneliti virus menggunakan VMware untuk menyediakan lingkungan yang aman untuk mempelajari perilaku malware .

Informasi host dapat bocor ke tamu:

  • jika tamu langsung menjalankan instruksi bahwa lapisan virtualisasi tidak memotong.
  • jika tamu dapat mengamati lalu lintas jaringan secara langsung pada segmen jaringan yang sama dengan tuan rumah.
  • jika tamu dapat berkomunikasi dengan dunia luar dan menyelidiki kembali ke tuan rumah.

Kekhawatiran utama Anda tampaknya tentang metode kebocoran pertama, meskipun Anda harus memastikan untuk melindungi terhadap mekanisme lain juga.

VMware (dan hypervisor lainnya) menyediakan virtualisasi dengan menyadap apa yang dianggap sebagai instruksi sensitif. Instruksi sensitif akan mengungkapkan kepada tamu informasi tentang tuan rumah, atau memungkinkan tamu untuk melarikan diri dari penahanan lapisan virtualisasi. Sebagai contoh, instruksi yang memodifikasi basis tabel halaman (yang mengontrol akses memori) harus dideteksi oleh lapisan virtualisasi, dicegat, dan diganti dengan versi "aman" dari instruksi yang menjaga ilusi virtualisasi.

Untuk memberikan ilusi mesin yang terpisah dari host, instruksi yang mengungkapkan informasi pengidentifikasi tentang host (seperti nomor seri, alamat MAC dll) juga divirtualisasi. Di VMware, hal-hal ini dapat diatur dalam vmxfile. Barang-barang ini dipahami dengan baik dan mungkin aman.

Terkadang, ada trade-off tentang apa yang diekspos, seperti instruksi CPUID, yang mana versi terbaru dari VMware memberikan beberapa "perlindungan" terhadap. (Lihat VMotion dan kompatibilitas CPU untuk banyak detail tentang virtualisasi CPUID.) Ketika dieksekusi sebagai instruksi istimewa, ini dapat terperangkap dan ditiru, tetapi juga dapat dieksekusi sebagai instruksi asli yang dapat mengekspos beberapa (mungkin tidak menarik) informasi kepada tamu .

Namun, tamu juga dapat secara pasif mempelajari informasi lain tentang tuan rumah. Misalnya, dengan memeriksa timing memori, tamu dapat memperoleh informasi ukuran berbagai cache. Kemampuan untuk belajar tentang tamu lain (atau tuan rumah) melalui waktu dan vektor lainnya ("saluran samping") adalah bidang penelitian aktif. Pada Oktober 2012, para peneliti menemukan bahwa sebenarnya mungkin untuk mengekstrak kunci kriptografi dari VM lain . Ini mungkin sangat menakutkan dan batas-batas apa yang dapat ditemukan dan bagaimana melindungi terhadap ini belum sepenuhnya jelas.

Cara terbaik untuk sepenuhnya aman adalah mengisolasi mesin Anda melalui celah udara dari bagian dunia lainnya. Maka tidak masalah apa yang dipelajari perangkat lunak berbahaya karena tidak dapat mengkomunikasikan informasi itu kepada siapa pun. Setelah selesai, bersihkan mesin. Menggunakan alat seperti VMware membuat penghapusan ini dan pemulihan negara lebih mudah karena keadaan mesin dirangkum dalam satu set file.

Emil Sit
sumber
1

Tamu tidak boleh tahu apa-apa tentang pengaturan host seperti jaringannya, karena diberikan virtual hw yang seharusnya berperilaku (hampir) persis seperti fisik hw. Namun beberapa hal seperti cpu harus diketahui oleh tamu, tetapi pengetahuan itu seharusnya tidak membahayakan keamanan.

Jadi jika ada informasi pengaturan kebocoran dari host ke tamu, itu akan menjadi lubang keamanan.

Namun, jika Anda mengaktifkan hgfs (sistem file host-tamu), maka setidaknya sebagian dari sistem file host akan terlihat di dalam tamu dan dimungkinkan untuk memperoleh beberapa informasi tentang host. Anda harus menonaktifkannya jika khawatir.

Semua ini mungkin tidak terlalu penting secara normal, karena dalam banyak kasus workstation digunakan secara pribadi, yaitu, Anda memiliki akses ke host dalam hal apa pun. Kalau tidak, Anda harus melihat ke virtualisasi server (vsphere, xen, kvm).

johnshen64
sumber
1

Artikel Cara mengekstrak informasi host dari dalam VM? menjelaskan utilitas di bawah ESX (i) / vSphere yang dapat digunakan oleh tamu untuk mendapatkan beberapa informasi host. Ini tentu terbatas dalam ruang lingkup karena alasan keamanan.

Utilitas pertama adalah perintah VMware Toolbox. Ini memberikan beberapa informasi tentang ESX (i) dan konfigurasi guestOS termasuk statistik sumber daya dasar.

UNIX/Linux - /usr/bin/vmware-toolbox-cmd
Windows - C:\Program Files\VMware\VMware Tools\VMwareToolboxCmd.exe

Yang kedua adalah utilitas vmtoolsd (VMware Tools Daemon), di mana parameter "info-get" dapat mengatur guestinfo dalam file konfigurasi .vmx mesin virtual atau dalam memori VMX saat mesin virtual sedang berjalan.

UNIX/Linux - /usr/bin/vmtoolsd
Windows - C:\Program Files\VMware\VMware Tools\vmtoolsd.exe
harrymc
sumber
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.