Máquina virtual e vírus

23

Tenho um requisito para o qual tenho que ficar on-line sem proteção (firewall, antivírus). Ao mesmo tempo, não quero arriscar ser infectado por vírus.

Se eu instalar uma máquina virtual (VirtualBox) para testar e ela for infectada por vírus, ela também infectará meu sistema host? Em outras palavras, posso usar a máquina virtual para testar sem me preocupar com um vírus na máquina virtual que está infectando meu host?

virtualbox  virtual-machine  virus 
Ajudaria as pessoas a responder sua pergunta se você pudesse adicionar por que precisa ficar on-line. O que você tem que fazer? A execução de um CD ao vivo é uma opção?
DaveParillo
Breakthrough

Respostas:

17

Se eu instalar uma máquina virtual (VirtualBox) para testar e ela for infectada por vírus, ela também infectará meu sistema host? Em outras palavras, posso usar a máquina virtual para testar sem me preocupar com um vírus na máquina virtual que está infectando meu host?

Parece haver alguns conceitos errados sobre NAT e conexões de ponte em ambientes de VM. Isso não permite que seu host seja infectado. Um sistema operacional da VM não terá acesso ao sistema operacional host e não saberá que está operando como uma máquina virtual cliente. O software executado dentro desse sistema operacional será ainda menos sábio quanto a isso.

É através de relacionamentos diretos entre o cliente e a máquina host que pode haver uma chance de ser infectado. Isso acontece se você permitir que o cliente e o host compartilhem pastas . A maior parte das vulnerabilidades observadas já encontradas na VMware (para citar um produto popular) foram marcadas direta ou indiretamente para esse recurso. Para obter um isolamento completo, desative as pastas compartilhadas. Qualquer outra vulnerabilidade foi descoberta no lado do host quando as vulnerabilidades no próprio mecanismo da VM permitiriam que um invasor em potencial se conectasse à máquina host e obtivesse acesso a qualquer cliente ou executasse seu próprio código.

Os problemas de segurança podem ser mais envolventes se alguém estiver executando uma grande estrutura de VM, como as propostas pelas topologias do VMware Server. Porém, se estiver executando soluções VMware Workstation de computador único, não haverá problemas de segurança nas conexões NAT ou Bridge. Você está seguro desde que não use pastas compartilhadas.

EDIT: Para ficar claro, quando falo de conexões NAT ou Bridge, estou falando apenas da capacidade da VM de compartilhar a conexão de rede host com seus clientes. Isso não dá ao cliente nenhum acesso ao host e permanece totalmente isolado, desde que funcionalidades como VM Shared Folders estejam desativadas. Naturalmente, se o usuário decidir conectar o Host e o Cliente à rede, o usuário decidirá explicitamente conectar as duas máquinas e, com isso, garantirá segurança intrínseca da VM. Isso se torna diferente de qualquer outro ambiente de rede privada e as mesmas questões e questões de valores mobiliários precisam ser abordadas.

Um anão
fonte
8
Bem, se você tiver a conexão em ponte, o convidado será o mesmo que qualquer outro computador em sua rede. Se você receber um worm habilitado para rede (Confickr, Blaster, etc), acabou de introduzir um software malicioso na sua rede real. Dizer que a maneira como uma VM se conecta a uma rede não afeta o risco está um pouco errado. No entanto, sua opinião sobre o acesso ao host da VM é válida.
MDMarra 30/09/09
Lembre-se de que há muito mais maneiras de sair de uma VM do que apenas através de adaptadores de rede virtualizados (por exemplo, sair do VMWare com um dispositivo de porta COM virtual ).
Breakthrough
4

Depende.

Se a sua máquina virtual (convidado) não tiver acesso à rede, seu host não será afetado por nenhum vírus no sistema operacional convidado.

Lieven Keersmaekers
fonte
4

Meus 2 centavos ...

Em resumo, o malware executado no contexto do sistema operacional convidado NÃO poderá infectar o sistema operacional host e provavelmente nem perceberá que existe um sistema operacional host (embora, hipoteticamente, seja possível romper o ambiente virtualizado) , não se tornará muito comum por um tempo, suspeito).

Algumas exceções:

  • No VirtualPC (por exemplo), é possível compartilhar uma pasta com o sistema operacional convidado, que "vê" essa pasta como uma letra de unidade.
  • Dependendo da sua configuração, o sistema operacional host e convidado pode estar na mesma rede, o que significa que um vírus que explora portas abertas ou outro tipo de coisa pode se propagar explorando serviços vulneráveis ​​do sistema ou através de compartilhamentos de rede.
  • Por último, e como está agora, a avenida menos provável, é que o vírus pode estar ciente de VM e capaz de sair da área restrita. Atualmente, isso é extremamente improvável.

    • No geral, a navegação na Web no contexto de uma VM é provavelmente a maneira mais segura de navegar, sem dúvida (dado o fraco histórico de AV s / we outras vias de proteção). De fato, o uso de uma conta restrita e separada provavelmente é suficiente, mas uma VM certamente fornecerá isolamento adicional.

    Garrett
    fonte
    2

    Não, se você não configurar nenhuma conexão de rede (como NAT ou Bridge) entre o host e o SO convidado. Se você deseja garantir uma separação total entre os dois mundos, prefira as conexões "Bridge" e mapeie uma NIC para o seu PC host e outra NIC para o seu convidado da VM.

    Seria como ter duas redes isoladas compartilhando apenas o barramento de força (seu PC atual).

    O VirtualBox, mas também o VMWare, o Xen ou o Parallels, podem configurar facilmente para você esse ambiente

    Sinto muito, ZZâmbia. Mas suas informações estão incorretas. Eu recomendo que você verifique mais detalhadamente. Não há nenhum problema de segurança do host envolvendo conexões NAT e bridge em um ambiente de VM.
    Um anão
    Ainda não, não há. É uma vulnerabilidade, apenas esperando alguém descobrir como explorá-la. Talvez. Melhor prevenir do que remediar.
    Phoshi
    Eu acho que a Zzâmbia usa a palavra "ponte" em dois contextos diferentes aqui. Parece-me que o risco de fazer uma ponte entre o host e a VM não é diferente de outro computador na mesma rede que está abusando de vulnerabilidades. (Ou, pior ainda, quando as redes estão sendo conectadas em ponte, o firewall que interrompe ataques de outro computador pode não estar configurado para interromper ataques da VM?) Usando "conexões de ponte" da NIC para o host e de outra NIC para a VM parece algo diferente (mas: pode não ser necessário?). (Se eu estou perdendo o ponto, em seguida, é só dizer e eu vou apagar isso, há necessidade de explicar!)
    Arjan
    @Poshi, uma vulnerabilidade é, por definição, algo que foi identificado. É de pouca importância discutir vulnerabilidades que ainda não foram encontradas ou que não podem ser encontradas. leia mais ... @Arjan, De fato. Mas uma conexão Bridge ou NAT em um ambiente de VM ocorre inteiramente entre o sistema operacional da máquina host e o mecanismo host da VM. A máquina cliente é executada independentemente desta Bridge e totalmente isolada dela. O argumento da Zzâmbia é comparável a dizer que você pode ser infectado porque está conectado à Internet e acabei de baixar um arquivo infectado.
    Um anão
    @Zzambia, convém editar sua resposta para explicar a qual parte da pergunta o "Não" se aplica. :-) Ou, é claro, se A Dwarf estiver certo - e eu acho que ele está--, basta excluir sua resposta ... (Como uma observação: no meu comentário anterior, pensei que você estava se referindo a uma ponte o sistema operacional host e o sistema operacional VM, não o sistema operacional host e o mecanismo da VM . Então, pensei que você estava falando de uma etapa adicional, depois de conectar a VM à Internet, para interconectar explicitamente o sistema operacional host e o sistema operacional VM. Agora eu entendo isso é uma falta em meu conhecimento da terminologia usada com VMs).
    Arjan
    1

    Sim, se você possui pastas compartilhadas ...

    Pastas compartilhadas através da VM ou rede padrão.

    Não tenho certeza e não vejo vírus há algum tempo que se espalham assim e editam arquivos em uma rede, mas é possível.

    Só porque é uma VM, não significa que seja segura, você só precisa tratá-la como outra máquina física na sua rede.

    Portanto, se você possui antivírus em sua máquina host (e outras pessoas na sua rede), está tão seguro quanto antes, mas novamente ... trate qualquer VM como qualquer outra máquina física.

    A única maneira segura de executar uma VM é desativar os recursos de rede (ou a VLAN separá-la completamente da sua rede ... e não ter nenhum tipo de interface de gerenciamento nessa VLAN.) E desativar toda a integração host / convidado que envolva o compartilhamento de arquivos .

    William Hilsum
    fonte
    1

    Tecnicamente, é 100% possível ter certeza - mesmo que a rede esteja isolada e não esteja compartilhando pastas.

    Embora seja muito improvável, a menos que o desenvolvedor do vírus tenha conhecimento de uma falha na combinação do SO do host e da VM do convidado e o tenha segmentado de forma pontual. Se você deseja criar um vírus, crie um que afete o maior número de computadores possível e não encontrará uma falha a explorar em alguns aplicativos raros usados ​​com freqüência.

    A mesma resposta vale para uma caixa de areia ou qualquer camada de interpretação entre as duas. Eu acho que se você pudesse executar um SO convidado de 32 bits e um host de 64 bits, você seria o mais seguro, pois a exploração para direcionar o SO convidado para o estouro e, em seguida, também acionar o estouro na vm / sandbox seria ainda mais desafiadora, pois você teria que compilar as cargas úteis em 4 combinações - mas, novamente, isso é o que normalmente é feito com um invasor e uma única camada do sistema operacional - a carga útil é preparada para o SO ou versão de serviço explorável e uma para cada 32 e 64, e então apenas joga os dois na máquina.

    É exatamente como o comentário anterior sobre o BSD - quanto mais incomum a sua configuração, menor a probabilidade de um vírus o atingir.

    Se todos executássemos VMs para testar o software que suspeitávamos ou navegar na rede, o fato de estar em uma VM não importaria mais e para ficar bem claro novamente, você está aberto a uma infecção por vírus.

    Além disso, há considerações especiais de hardware com as tecnologias de virtualização mais recentes, e estou falando principalmente da virtualização de software na qual o código da máquina convidada está sendo executado pelo software no host, de modo que o transbordamento para o ponteiro de instruções do software me parece extremamente desafiador e uma perda de tempo. Eu não tenho certeza de como isso muda quando lidamos com um bios habilitado para hyper V ou Xen, etc. - pode ser que as máquinas virtuais estejam mais isoladas ou também pode ser pior devido a uma VM executando seu código no hardware real pipeline - realmente depende de como a 'virtualização da bios' funciona.

    Stephan Unrau
    fonte
    1

    Se no VirtualBox você não possui pastas compartilhadas ou usa algum dos recursos do dispositivo e se deseja ter ainda mais certeza, consulte a parte inferior da janela do VirtualBox:

    a imagem, na parte inferior próxima ao ícone dos 2 computadores, mude-a para não conectada

    Você deve poder executar qualquer vírus e não ter um na máquina host, embora, com certeza, mantenha o software antivírus em execução.

    mate
    fonte
    1

    Você deve experimentar o Sandboxie (ou qualquer outra ferramenta de sandbox )

    insira a descrição da imagem aqui

    Ele isolará seu navegador e excluirá tudo depois que você terminar. Dessa forma, mesmo se você receber um vírus, ele não poderá sair da caixa de areia.

    Benefícios da sandbox isolada

    • Navegação segura na Web: Executar o navegador da Web sob a proteção do Sandboxie significa que todo software malicioso baixado pelo navegador fica preso na sandbox e pode ser descartado trivialmente.
    • Privacidade aprimorada: histórico de navegação, cookies e arquivos temporários em cache coletados enquanto a navegação na Web permanece na caixa de proteção e não vaza para o Windows.
    • Email seguro: vírus e outros softwares maliciosos que podem estar ocultos no seu email não podem sair da área restrita e não podem infectar o seu sistema real.
    • O Windows permanece enxuto: evite o desgaste no Windows instalando o software em uma caixa de proteção isolada.
    Ivo Flipse
    fonte
    1
    A pergunta era sobre "pode um vírus sair desta caixa de areia especial" ... -1
    akira
    Uhhh, acredito que os benefícios dizem: software malicioso está preso na caixa de areia. Se não, qual seria o objetivo?
    Ivo Flipse 30/09/09
    1
    Além disso, não é necessário ter um sistema operacional inteiro em execução, se você quiser apenas proteger o seu navegador, agora existe?
    Ivo Flipse 30/09/09
    2
    mas você não respondeu à pergunta, é como dizer "use bsd, então você não tem nenhum vírus". a questão não era "ofereça-me produtos para sandbox" (vms como sandboxes muito grandes), mas "pode ​​um vírus sair de uma sandbox / máquina virtual. e é definitivamente muito mais fácil sair desse programa de sandbox (pense em programas especiais preparados fotos) do que em uma máquina virtual completa
    akira
    Ponto tomado, provavelmente você está certo sobre o risco
    Ivo Flipse
    Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
    Licensed under cc by-sa 3.0 with attribution required.