Il lato oscuro della virtualizzazione

[Uno]

Volete provate a chiedere a Joanna Rutkowska qual'è?
Vi potrebbe fare un facile esempio bluepill.....

Un rootkit che in un millisecondo (UN MILLISECONDO!!!) crea una macchina virtuale hardware ci ficca dentro il sistema operativo e mantiene il controllo di tutta la macchina fisica.
Il legittimo proprietario della macchina continua ad usare il suo sistema operativo normalmente, può lanciare tutti i controlli che vuole e non troverà mai nulla perchè l'ospite/padrone è al piano di sopra che sghignazza

Anche Dino dai Zovi (sviluppatore/collaboratore di http://matasano.com, forse più famoso per aver violato un mac durante una manifestazione di 3 anni fa) ha scritto un bel giocattolo dall'esoterico nome di Vitriol.


Ci sono anche rootkit basati su virtualizzazione software, ma questi per ovvi motivi non sono pericolosi nella stessa maniera.

[WizOfOz]

mmm così questa è una pillola blu il cui effetto e di "ammosciamento"?

[Kuro]

ecco un motivo per non fare il sistemista

[Uno]

Più che altro un motivo per non farsi bucare....
e un'altro motivo per riformattare tutto se si hanno le prove o si sospetta in maniera pesante di esser stati bucati.

Questo particolare aspetto che ho descritto comunque incide solo un determinato tipo di hardware... anche se ormai questo tipo di hardware è sempre più presente.

[Uno]

C'è una bella intervista alla sgaia ragazzuola, di cui parlavo qua, su Tom's Hardware Contro i veri hacker non c' firewall che tenga - Tom's Hardware.
Leggetela che è interessante anche se sono cose vecchie per chi si interessa di queste problematiche.

Ci sono capitato per caso perchè stavo cercando info su un'ideuzza che mi sta venendo da un pò... e ho scoperto che la tipa mi ha fregato sul tempo
Comunque io farò qualcosa di simile ma diverso.

Sto studiando una sorta di sistema cloud per uso personale, in sostanza "divido" il pc in più vps/vm e su ognuna di questa carico solo determinate applicazioni.
In questa maniera faccio più velocemente i backup (faccio direttamente uno snapshoot, tanto con un sistema tipo xen o openvz volendo posso avere solo pochi mb in più dell'applicazione e dei dati. Inoltre carico solo gli strumenti che mi servono al momento, per esempio su una vm per sviluppo web ci metto apache, php, l'editor di sviluppo etc... e non mi ritrovo apache e mysql sempre attivi, soprattutto non li carico all'avvio del pc. Certo questa cosa si poteva anche fare (e l'avevo fatta) senza virtualizzazione, bastano un paio di script e un'icona sul desk, ma in questo modo posso cambiare pc "portandomi" dietro le vm solite e ritrovare i miei ambienti compresi di tmp etc.... Se il tutto (i dischi virtuali delle vm sensibili) poi lo metto in partizione criptata il sistema è perfetto anche per un portatile che potrei perdere o potrebbero rubarmi.

Non ultima per importanza, la sicurezza navigando.... io sarò pure paranoico ma al pari di Joanna non mi dispiace usare per l'home banking un browser che uso solo per quello in una vm in cui magari c'è solo quel browser.

[Antonio]

Sto studiando una sorta di sistema cloud per uso personale, in sostanza "divido" il pc in più vps/vm e su ognuna di questa carico solo determinate applicazioni.
In questa maniera faccio più velocemente i backup (faccio direttamente uno snapshoot, tanto con un sistema tipo xen o openvz volendo posso avere solo pochi mb in più dell'applicazione e dei dati. Inoltre carico solo gli strumenti che mi servono al momento, per esempio su una vm per sviluppo web ci metto apache, php, l'editor di sviluppo etc... e non mi ritrovo apache e mysql sempre attivi, soprattutto non li carico all'avvio del pc. Certo questa cosa si poteva anche fare (e l'avevo fatta) senza virtualizzazione, bastano un paio di script e un'icona sul desk, ma in questo modo posso cambiare pc "portandomi" dietro le vm solite e ritrovare i miei ambienti compresi di tmp etc.... Se il tutto (i dischi virtuali delle vm sensibili) poi lo metto in partizione criptata il sistema è perfetto anche per un portatile che potrei perdere o potrebbero rubarmi.

Non ultima per importanza, la sicurezza navigando.... io sarò pure paranoico ma al pari di Joanna non mi dispiace usare per l'home banking un browser che uso solo per quello in una vm in cui magari c'è solo quel browser.

Io sul pc da lavoro ho almeno 4-5 vm preparate per diversi scopi: worklab linux, worklab win, usb loader, vm per test di immondizia.

Per l'home banking mi sono preparato una pendrive con puppylinux e volume criptato: quando sono sul portatile la faccio avviare al boot, quando sono a casa uso una VM con una iso che mi permette il boot da pennetta di puppy tramite vmware

[xAnder]

Antonio, sei prudente :-)

[Antonio]

Antonio, sei prudente :-)

Come dicevano alcuni tizi giusto qualche annetto addietro: Dividi et Impera

Per la questione dell'home banking, facendo come ho scritto, se anche hai keylogger o trojan che prendono screenshot periodicamente, al più ti beccano la pwd per aprire il volume criptato, perché altre password (oltre a quelle onetime inserite per eseguire delle operazioni) non le inserisci

[Uno]

Io sul pc da lavoro ho almeno 4-5 vm preparate per diversi scopi: worklab linux, worklab win, usb loader, vm per test di immondizia.

Per l'home banking mi sono preparato una pendrive con puppylinux e volume criptato: quando sono sul portatile la faccio avviare al boot, quando sono a casa uso una VM con una iso che mi permette il boot da pennetta di puppy tramite vmware

Il mio problema e che sto cercando di fare una cosa così su un netbook , su sistemi più grandi uso cose simili da un pezzo, ma senza tante sofisticazioni, virtualbox e truecrypt per comodità.
Su un netbook, che tra l'altro non ha virtualizzazione hardware, la cosa diventa più complicata. Già solo la criptazione mi mangia risorse....
Sto vedendo se riesco usando software con meno impatto, fregandomene dell'estetica (quindi per esempi passando a desktop più leggeri) a configurare un sistema usabile.

Sceglierei dm per criptare e openvz per virtualizzare per l'impatto (che è praticamente quasi zero) però i kernel openvz disponibili non sono gli ultimi, quindi devo valutare se ha comunque tutti i moduli che mi servono (wifi etc....), moduli che su un server di solito non servono.

Altrimenti cripto tutto il disco e amen.... tengo un paio di vm in virtualbox solo per cose critiche... anche se ci mette 2 secondi di più pazienza, tanto non la dovrò usare sempre.

Ah sul net sto pure studiando un sistema a risparmio energetico, da non usare sempre: metto boot e sistema statico su ssd, creo una tmp in ram e stacco l'hard disk. Se sono lontano da una presa elettrica e devo solo navigare o fare cose poco esose (perchè più di 2 gb di ram non posso montare) dovrebbe allungarmi di parecchio il tempo della batteria, che tutto sommato non è già male (6 celle)

[Antonio]

Il mio problema e che sto cercando di fare una cosa così su un netbook , su sistemi più grandi uso cose simili da un pezzo, ma senza tante sofisticazioni, virtualbox e truecrypt per comodità.
Su un netbook, che tra l'altro non ha virtualizzazione hardware, la cosa diventa più complicata. Già solo la criptazione mi mangia risorse....
Sto vedendo se riesco usando software con meno impatto, fregandomene dell'estetica (quindi per esempi passando a desktop più leggeri) a configurare un sistema usabile.

Sceglierei dm per criptare e openvz per virtualizzare per l'impatto (che è praticamente quasi zero) però i kernel openvz disponibili non sono gli ultimi, quindi devo valutare se ha comunque tutti i moduli che mi servono (wifi etc....), moduli che su un server di solito non servono.

Altrimenti cripto tutto il disco e amen.... tengo un paio di vm in virtualbox solo per cose critiche... anche se ci mette 2 secondi di più pazienza, tanto non la dovrò usare sempre.

Ah sul net sto pure studiando un sistema a risparmio energetico, da non usare sempre: metto boot e sistema statico su ssd, creo una tmp in ram e stacco l'hard disk. Se sono lontano da una presa elettrica e devo solo navigare o fare cose poco esose (perchè più di 2 gb di ram non posso montare) dovrebbe allungarmi di parecchio il tempo della batteria, che tutto sommato non è già male (6 celle)

Gli hd in idle non cosumano più di 1W, non è che guadagni chissà quale autonomia staccandolo
Comunque le nuove APU Zacate di AMD hanno anche le lib di virtualizzazione, quindi forse andresti un pochino meglio, oltre a consumare meno di un atom
Con una 6 celle un net con zacate è accreditato di una autonomia di 8h.

[usu]

Ma perché vi fate tutti sti problemi per l'home banking? Non avete la chiavetta token per l'accesso?

[Antonio]

Ma perché vi fate tutti sti problemi per l'home banking? Non avete la chiavetta token per l'accesso?

Per le operazioni, ma vedere estratti conto & Co è possibile anche con le sole credenziali di accesso

Poi sono fatto così io... la sicurezza non è mai troppa

[xAnder]

Quando avevo sanpaolo, la O-KEY serviva anche per loggarsi all'home banking.
Mentre poste e unicredit chiedono il codicino solo per autorizzare i pagamenti

[Antonio]

Quando avevo sanpaolo, la O-KEY serviva anche per loggarsi all'home banking.
Mentre poste e unicredit chiedono il codicino solo per autorizzare i pagamenti

esatto

[andrea.paiola]

beh io devo avere la O-KEY per vedere estratti conto e fare tutto