Mesin Virtual dan Virus

23

Saya memiliki persyaratan untuk dapat online tanpa perlindungan (firewall, anti-virus). Pada saat yang sama, saya tidak ingin mengambil risiko terinfeksi virus.

Jika saya menginstal mesin virtual (VirtualBox) untuk menguji, dan ia terinfeksi virus, apakah ia juga akan menginfeksi sistem host saya? Dengan kata lain, dapatkah saya menggunakan mesin virtual untuk pengujian tanpa khawatir tentang virus pada mesin virtual yang menginfeksi host saya?


sumber
Ini akan membantu orang menjawab pertanyaan Anda jika Anda dapat menambahkan mengapa Anda harus online. Apa yang harus Anda lakukan? Apakah menjalankan dari CD langsung merupakan opsi?
DaveParillo

Jawaban:

17

Jika saya menginstal mesin virtual (VirtualBox) untuk menguji, dan ia terinfeksi virus, apakah ia juga akan menginfeksi sistem host saya? Dengan kata lain, dapatkah saya menggunakan mesin virtual untuk pengujian tanpa khawatir tentang virus pada mesin virtual yang menginfeksi host saya?

Tampaknya ada beberapa kesalahpahaman tentang koneksi NAT dan jembatan di lingkungan VM. Ini tidak memungkinkan host Anda terinfeksi. Sistem operasi VM tidak akan memiliki akses apa pun ke sistem operasi host dan sama sekali tidak menyadari bahwa ia beroperasi sebagai Mesin Virtual Klien. Perangkat lunak yang berjalan di dalam sistem operasi itu akan lebih tidak bijaksana lagi.

Melalui hubungan langsung antara klien dan mesin host yang mungkin ada peluang terinfeksi. Ini terjadi jika Anda mengizinkan klien dan host berbagi folder . Sebagian besar kerentanan VMware (untuk menyebutkan satu produk populer) dari catatan yang pernah ditemukan telah ditandai secara langsung atau tidak langsung ke fitur ini. Isolasi lengkap dicapai dengan mematikan folder bersama. Kerentanan lain telah ditemukan di sisi Host ketika kerentanan pada mesin VM itu sendiri akan memungkinkan penyerang potensial untuk terhubung melalui mesin host dan mendapatkan akses ke klien, atau menjalankan kode mereka sendiri.

Masalah keamanan memang mungkin lebih melibatkan jika seseorang menjalankan struktur VM besar seperti yang diusulkan melalui topologi VMware Server. Tetapi jika menjalankan solusi VMware Workstation satu komputer, tidak ada masalah keamanan di bawah koneksi NAT atau Bridge. Anda aman selama Anda tidak menggunakan folder bersama.

EDIT: Agar jelas, ketika saya berbicara tentang koneksi NAT atau Bridge, saya hanya berbicara tentang kemampuan VM untuk berbagi koneksi jaringan host dengan kliennya. Ini tidak memberi klien akses ke tuan rumah dan tetap sepenuhnya terisolasi, asalkan fungsionalitas seperti Folder Bersama VM dimatikan. Tentu, jika bukan pengguna memutuskan untuk host jaringan dan Client, kemudian berkata pengguna secara eksplisit memutuskan untuk menghubungkan kedua mesin, dan dengan itu gelombang keamanan VM intrinsik. Ini kemudian menjadi tidak berbeda dari lingkungan jaringan pribadi lainnya dan masalah sekuritas dan masalah yang sama perlu ditangani.

A Dwarf
sumber
8
Nah, jika Anda memiliki koneksi dijembatani, maka tamu itu sama dengan komputer lain di jaringan Anda. Jika Anda mendapatkan worm yang diaktifkan jaringan (Confickr, Blaster, dll) maka Anda baru saja memperkenalkan perangkat lunak berbahaya ke jaringan Anda yang sebenarnya. Untuk mengatakan bahwa cara VM terhubung ke jaringan tidak berdampak risikonya sedikit salah. Namun, poin Anda tentang akses host dari VM valid.
MDMarra
Perlu diingat bahwa ada lebih banyak cara sesuatu dapat keluar dari VM daripada hanya melalui adapter jaringan tervirtualisasi (misalnya, keluar dari VMWare dengan perangkat port COM virtual ).
Terobosan
4

Tergantung.

Jika mesin virtual Anda (tamu) tidak memiliki akses jaringan ke host Anda, host Anda tidak akan terpengaruh oleh virus apa pun di sistem operasi guest Anda.

Letnan Keersmaekers
sumber
4

2 sen saya ...

Singkatnya, malware yang mengeksekusi dalam konteks OS tamu TIDAK akan dapat menginfeksi OS host, dan kemungkinan besar bahkan tidak akan menyadari bahwa ada OS host (meskipun, secara hipotesis, keluar dari lingkungan tervirtualkan adalah mungkin) , saya kira tidak akan menjadi sangat umum untuk sementara waktu, saya kira).

Beberapa pengecualian:

  • Dalam VirtualPC (misalnya), dimungkinkan untuk membagikan folder ke OS tamu, yang "melihat" folder itu sebagai huruf drive.
  • Bergantung pada konfigurasi Anda, host dan OS tamu mungkin berada di jaringan yang sama, yang berarti bahwa virus yang mengeksploitasi port terbuka atau yang lainnya mungkin dapat diperbanyak dengan mengeksploitasi layanan sistem yang rentan atau melalui jaringan berbagi.
  • Terakhir, dan seperti yang ada sekarang, jalan yang paling tidak mungkin, adalah bahwa virus itu mungkin sadar-VM dan mampu keluar dari kotak pasir. Saat ini, ini sangat tidak mungkin.
  • Secara keseluruhan, berselancar web dalam konteks VM mungkin adalah cara paling aman untuk berselancar, tangan ke bawah (mengingat rekam jejak AV s / w yang buruk dan cara perlindungan lainnya). Faktanya, menggunakan akun terpisah dan dibatasi mungkin cukup, tetapi VM pasti akan memberikan isolasi tambahan.

    Garrett
    sumber
    2

    Tidak, jika Anda tidak mengatur koneksi jaringan apa pun (seperti NAT atau Bridge) antara host dan OS tamu. Jika Anda ingin memastikan pemisahan total antara kedua dunia, silakan pilih koneksi "Bridge" dan petakan satu NIC ke PC Host Anda dan satu lagi NIC ke Guest VM-ed Anda.

    Ini akan seperti memiliki dua jaringan terisolasi yang hanya berbagi bus penggerak (PC Anda yang sebenarnya, memang).

    VirtualBox, tetapi juga VMWare atau Xen atau Parallels, dapat dengan mudah mengatur untuk Anda lingkungan seperti itu


    sumber
    Maafkan aku, ZZambia. Tetapi informasi Anda tidak benar. Saya menyarankan Anda untuk memeriksanya lebih lanjut. Tidak ada masalah keamanan host yang melibatkan NAT dan koneksi jembatan di bawah lingkungan VM.
    A Dwarf
    Belum, belum. Ini adalah kerentanan, hanya menunggu seseorang untuk mengetahui cara mengeksploitasinya. Mungkin. Lebih baik aman daripada menyesal.
    Phoshi
    Saya pikir Zzambia menggunakan kata "bridging" dalam dua konteks berbeda di sini. Sepertinya saya risiko untuk menjembatani host dan VM tidak berbeda dari komputer lain dalam kerentanan penyalahgunaan jaringan yang sama. (Atau, mungkin lebih buruk, ketika jaringan sedang dijembatani maka firewall yang menghentikan serangan dari komputer lain, mungkin tidak dikonfigurasi untuk menghentikan serangan dari VM?) Menggunakan "jembatan koneksi" dari NIC ke host, dan dari NIC lain ke VM tampaknya sesuatu yang berbeda (tetapi: mungkin tidak diperlukan?). (Jika saya hilang titik kemudian hanya berkata begitu dan saya akan menghapus ini, tidak perlu untuk menjelaskan!)
    Arjan
    @ Poshi, kerentanan adalah definisi sesuatu yang telah diidentifikasi. Sangat sedikit relevansinya untuk membahas kerentanan yang belum ditemukan atau yang tidak dapat ditemukan. baca lebih lanjut ... @Arjan, Memang. Tetapi koneksi Bridge atau NAT di bawah lingkungan VM terjadi sepenuhnya antara sistem operasi mesin host dan mesin host VM. Mesin klien berjalan secara independen dari Jembatan ini dan benar-benar terisolasi darinya. Argumen Zzambia sebanding dengan mengatakan bahwa Anda dapat terinfeksi karena Anda terhubung ke internet dan saya baru saja mengunduh file yang terinfeksi.
    A Dwarf
    @Zzambia, Anda mungkin ingin mengedit jawaban Anda untuk menjelaskan bagian mana dari pertanyaan "Tidak" yang berlaku. :-) Atau, tentu saja, jika A Dwarf benar - dan saya kira dia - maka cukup hapus jawaban Anda ... (Sebagai catatan: dalam komentar saya sebelumnya, saya pikir Anda mengacu pada menjembatani OS host dan VM OS, bukan OS host dan VM Engine . Jadi, saya pikir Anda berbicara tentang langkah tambahan, setelah menghubungkan VM ke internet, untuk secara eksplisit menghubungkan host OS dan VM OS. Sekarang saya mengerti itu kurang dalam pengetahuan saya tentang terminologi yang digunakan dengan VM.)
    Arjan
    1

    Ya, jika Anda memiliki folder bersama ...

    Entah folder bersama melalui VM, atau jaringan standar.

    Saya tidak yakin, dan belum melihat virus dalam waktu yang menyebar seperti ini dan mengedit file melalui jaringan, tetapi itu mungkin.

    Hanya karena itu adalah VM bukan berarti itu aman, Anda hanya perlu memperlakukannya seperti mesin fisik lain di jaringan Anda.

    Jadi, jika Anda memiliki anti virus di mesin host Anda (dan yang lainnya di jaringan Anda) Anda aman seperti yang Anda akan lakukan, tapi sekali lagi ... perlakukan VM seperti mesin fisik lainnya.

    Satu-satunya cara aman untuk menjalankan VM adalah dengan menonaktifkan fitur jaringan (atau VLAN memisahkannya sepenuhnya dari jaringan Anda ... dan tidak memiliki antarmuka manajemen apa pun pada VLAN itu.) Dan menonaktifkan semua integrasi host / tamu yang melibatkan berbagi file .

    William Hilsum
    sumber
    1

    Secara teknis 100% dimungkinkan untuk memastikan - bahkan jika jaringan terisolasi dan tidak berbagi folder.

    Meskipun sangat tidak mungkin kecuali pengembang virus mengetahui adanya kesalahan dalam kombinasi OS host Anda dan Guest VM Anda dan menargetkannya secara terpisah. Jika Anda ingin membuat virus, Anda ingin membuatnya yang memengaruhi jumlah komputer sebanyak mungkin dan Anda tidak akan menemukan kekurangan untuk dieksploitasi di beberapa aplikasi yang jarang digunakan.

    Jawaban yang sama berlaku untuk kotak pasir atau lapisan interpretasi antara keduanya. Saya pikir jika Anda dapat menjalankan OS guest 32 bit dan host 64 bit Anda akan menjadi yang paling aman karena exploit untuk menargetkan OS guest overflow dan kemudian juga memicu overflow di vm / sandbox akan lebih menantang karena Anda Saya harus mengkompilasi payload dalam 4 kombinasi - tetapi sekali lagi ini adalah apa yang biasanya dilakukan dengan penyerang dan lapisan sistem operasi tunggal - payload disiapkan untuk OS atau versi layanan yang dapat dieksploitasi dan satu untuk masing-masing 32 dan 64 kemudian dia hanya melempar mereka berdua ke mesin.

    Persis seperti komentar sebelumnya tentang BSD - semakin tidak umum pengaturan Anda adalah kemungkinan virus akan menargetkannya.

    Jika kita semua menjalankan VM untuk menguji perangkat lunak yang kita curigai atau untuk menjelajah internet, fakta bahwa itu ada dalam VM tidak akan menjadi masalah lagi dan untuk menjadi sangat jelas lagi Anda terbuka terhadap infeksi virus.

    Juga, ada pertimbangan perangkat keras khusus dengan teknologi virtualisasi yang lebih baru dan saya terutama berbicara tentang virtualisasi perangkat lunak di mana kode mesin tamu dijalankan oleh perangkat lunak di host sehingga meluap ke penunjuk instruksi perangkat lunak bagi saya terasa sangat menantang. dan buang-buang waktu. Saya sama sekali tidak yakin bagaimana ini berubah ketika kita berurusan dengan hiper diaktifkan V atau Xen dll - mungkin mesin virtual lebih terisolasi atau mungkin juga lebih buruk karena vm menjalankan kode itu di perangkat keras yang sebenarnya pipa - itu benar-benar tergantung pada bagaimana 'virtualisasi bios' bekerja.

    Stephan Unrau
    sumber
    1

    Jika di VirtualBox Anda tidak memiliki folder bersama atau menggunakan salah satu fitur perangkat dan jika Anda ingin lebih yakin, lihat bagian bawah jendela VirtualBox:

    gambar, tepat di bagian bawah dekat ikon 2 komputer beralih ke tidak terhubung

    Anda harus dapat menjalankan virus apa pun dan tidak mendapatkannya di mesin host, walaupun untuk memastikannya, tetap jalankan perangkat lunak antivirus.

    matt
    sumber
    1

    Anda harus mencoba Sandboxie (atau alat sandboxing lainnya)

    masukkan deskripsi gambar di sini

    Ini akan mengisolasi browser Anda dan menghapus semuanya setelah Anda selesai. Dengan begitu, bahkan jika Anda mendapatkan virus, itu tidak akan dapat meninggalkan kotak pasir.

    Manfaat dari Sandbox Terisolasi

    • Penjelajahan Web Aman: Menjalankan browser Web Anda di bawah perlindungan Sandboxie berarti bahwa semua perangkat lunak berbahaya yang diunduh oleh browser terperangkap di kotak pasir dan dapat dibuang secara sepele.
    • Privasi yang Ditingkatkan: Riwayat penjelajahan, cookie, dan file sementara yang di-cache dikumpulkan saat browsing Web tetap berada di kotak pasir dan tidak bocor ke Windows.
    • Email Aman: Virus dan perangkat lunak jahat lainnya yang mungkin bersembunyi di email Anda tidak dapat keluar dari kotak pasir dan tidak dapat menginfeksi sistem Anda yang sebenarnya.
    • Windows Stays Lean: Mencegah keausan pada Windows dengan menginstal perangkat lunak ke dalam kotak pasir yang terisolasi.
    Ivo Flipse
    sumber
    1
    pertanyaannya adalah tentang "dapatkah virus keluar dari kotak pasir khusus ini" ... -1
    akira
    Uhhh saya yakin manfaatnya mengatakan: perangkat lunak berbahaya terjebak di kotak pasir. Jika tidak, apa gunanya?
    Ivo Flipse
    1
    Ditambah tidak perlu memiliki seluruh OS berjalan jika Anda hanya ingin sandbox browser Anda, sekarang sudah ada?
    Ivo Flipse
    2
    tetapi Anda tidak menjawab pertanyaan, itu seperti mengatakan "gunakan bsd, maka Anda tidak memiliki virus". pertanyaannya bukan "menawarkan saya produk sandboxing" (vms sebagai sandbox yang sangat besar), tetapi "dapatkah virus keluar dari mesin sandbox / virtual. dan itu jauh lebih mudah untuk keluar dari program sandboxing semacam itu (pikirkan yang khusus disiapkan gambar) dari mesin virtual penuh.
    akira
    Poin yang diambil, Anda mungkin benar tentang risiko
    Ivo Flipse