Польская Invisible Things Lab (ITL), специализирующаяся в области защитных технологий, анонсировала первую рабочую версию ОС Qubes, использующей виртуализацию как средство изоляции потенциально уязвимых приложений и системных служб. По словам разработчиков, их финальное детище призвано обеспечить разумный уровень безопасности и ориентировано на продвинутых пользователей.

Qubes 1.0, как и все предыдущие версии, предназначена для использования в настольных ПК и построена на базе гипервизора Xen и стандартного окружения Fedora Linux. В отличие от прочих аналогов, число доверенных компонентов, рассаженных по строгим «песочницам» (виртуальным машинам), в ней сведено до практичного минимума. Пользователю предоставляется возможность разделить свою цифровую жизнь на целевые виртуальные зоны с разным уровнем конфиденциальности ― в терминологии разработчиков, security domains, поля безопасности. Пользователь сам решает, какие привилегии и политики безопасности назначить доменам «Личное», «Работа», «Торговля», «Банк» и т.п. Он может создавать также одноразовые виртуальные окружения (disposable VMs) ― например, для просмотра подозрительного файла, присланного по почте. Для удобства пользователей Qubes осуществляет вывод окон изолированных друг от друга приложений на единый рабочий стол.

Авторы проекта предупреждают, что, несмотря на многочисленные уровни защиты, предусмотренные в Qubes, ее присутствие не повышает безопасность автоматически. Решения по использованию возможностей, предоставляемых новой ОС, принимает сам пользователь. Загрузить установочный образ и ознакомиться с руководством по инсталляции можно на специализированной странице.

Компания VMware, специализирующаяся на поставках ПО для виртуальных сред, подтвердила факт кражи части исходного кода гипервизора ESX, попавшей в открытый доступ.

По свидетельству VMware, файл с комментариями, обнародованный похитителем, был создан в 2003-04 гг. Эксперты не исключают возможность продолжения несанкционированных публикаций и мобилизовали внутренние и внешние ресурсы для проведения тщательного расследования.

Исходники ESX были выложены на файлообменнике хакером, использующим псевдоним Hardcore Charlie. Они могли попасть к нему в результате недавнего взлома сетей пекинского военного подрядчика CEIEC (China Electronics Import & Export Corp.), в котором он признался в интервью агентству Рейтер. Ключи от ресурсов CEIEC, известной широкими бизнес-связями, Charlie нашел в почтовом ящике этой компании, доступ к которому ему помог получить приятель, участник LulzSec.

CEIEC решительно отрицает факт утечки, однако хакер поведал, что все многочисленные документы, которые он опубликовал в апреле, были раздобыты путем взлома серверов именно этой компании. Он собирается также выложить в Сеть код другого вендора «облачных» технологий, ЕМС.

На конференции IDF, завершившейся на прошлой неделе в Калифорнии, Intel и McAfee продемонстрировали новаторскую технологию, позволяющую эффективно отслеживать и нейтрализовать руткиты режима ядра и mbr-инфекторов, которых могут не заметить обычные антивирусы.

DeepSafe частично изолирует код антивируса от операционной системы, используя аппаратную поддержку виртуализации Intel VT, которая присутствует во всех микропроцессорах Core второго поколения (i3/5/7) и серверных Xeon. По словам разработчиков, такая комбинация программных и аппаратных средств защиты позволяет отслеживать активность памяти и процессора, а значит, пригодна также для обнаружения новых угроз.

Новая технология была анонсирована как первая совместная разработка Intel и McAfee, которую лидер полупроводниковой индустрии выкупил в прошлом году. Разработчики планируют воплотить DeepSafe в конкретные решения корпоративной защиты до конца текущего года. McAfee не исключает, что ее можно будет реализовать и на других микропроцессорных платформах.

Немецкая компания Sirrix, выполняя госзаказ, реализовала концепцию безопасного веб-браузера, работающего в виртуальной среде автономно от базовой операционной системы.

Browser in the Box («браузер в коробке», сокращенно BitBox) использует Firefox 4.0.1, который запускается на отдельной виртуальной машине Oracle VirtualBox под собственной ОС ― сокращенным вариантом дистрибутива Debian 6 Linux. В отличие от «песочницы», такой способ изоляции позволяет браузеру выполнять основные задачи, не обращаясь к пользовательской системе. Единственным связующим звеном между ними является совместно используемая папка, в которой хранятся конфигурационные файлы обозревателя и файлы, загружаемые пользователем из интернета, которые после проверки антивирусом оседают в соответствующем каталоге. Доступ к общей папке осуществляется под отдельной учетной записью.

При каждом запуске BitBox возвращается к дефолтному состоянию, заданному при его установке. В результате любая инфекция, пойманная через браузер, не может нанести вреда пользовательской системе и автоматически удаляется с началом нового сеанса. Утечки конфиденциальной информации предотвращает дополнительная мера ― запрет на экспорт данных.

По словам разработчика, в эксплуатации новинка ничем не отличается от обычного Firefox 4. Индивидуальные пользователи Windows XP/Vista/7, а также Debian Linux, Ubuntu, OpenSUSE и Gentoo могут установить BitBox на безвозмездной основе. Расширенная версия для работы в корпоративной сети с централизованным управлением потребует оплаты. Соединение с интернетом она осуществляет через общий шлюз, используя защищенный туннель, а доступ к внутренней сети остается в ведении клиентских приложений.

При всех очевидных достоинствах BitBox, судя по отзывам, все же имеет ряд весьма существенных недостатков. Он не защищает от атак фишеров, основанных на приемах социальной инженерии, ибо не может воспрепятствовать самовольному вводу персональных данных на поддельном веб-сайте. Серьезным ограничением является тот факт, что все версии приложения доступны лишь на немецком языке. Наконец, многих может отпугнуть объемность BitBox: после установки он займет почти 2 Гб.

Исследователи из университета Северной Каролины в содружестве с IBM создали прототип защитной системы, которая измеряет целостность гипервизора в скрытом режиме и в реальном времени.

Кибератаки на уровне гипервизора пока большая редкость, но в случае успеха их последствия могут быть катастрофическими. HyperSentry автономен от гипервизора и собирает данные по протоколу IPMI, используя собственный канал. Для запуска он вызывает обработчик системных прерываний SMI. В отличие от прочих защитных решений, HyperSentry проверяет не только область, выделенную под гипервизор, но и внутреннюю память ЦП, задействованную в его работе. Таким образом, если хитроумный зловред, скрываясь от обнаружения, задумает передислоцировать гипервизор, он а) не заметит слежки и b) не найдет укромного уголка.

Новый инструмент совместим с платформой Xen и будет представлен на 17-й конференции ACM по компьютерной и сетевой безопасности (CCS 2010). Его авторы в настоящее время работают над созданием версии для среды Linux KVM и надеются, что их технология займет достойную нишу на рынке open-source продуктов. В настоящее время ее реализация ограничивается серверными платформами. По словам разработчиков, одной из перспективных областей применения HyperSentry может стать мониторинг корпоративных систем управления.

Академические исследования на данном направлении финансируют Управление НИР сухопутных войск США, фонд NSF и компания IBM. Ранее этой же командой был создан прототип системы, которая блокирует попытки записи любого исполняемого кода на уровне гипервизора и предотвращает несанкционированные модификации кода. Инструмент был назван HyperSafe [PDF 197 Кб] и может теперь использоваться как дополнение к HyperSentry. Первую разработку в этой области университет Северной Каролины представил на суд общественности в прошлом году.

По прогнозам Gartner, к концу 2012 года больше половины рабочей нагрузки в корпоративных дата-центрах перекочует на виртуальные платформы, однако по уровню защищенности 60% виртуальных серверов будут уступать своим физическим собратьям.

Безусловно, средства защиты виртуальной среды со временем усовершенствуются, и, по оценке исследователей, к концу 2015 года количество виртуальных серверов, не отвечающих требованиям безопасности, уменьшится вдвое. Тем не менее, при виртуализации рабочих процессов вопросы защиты от интернет-угроз приобретают особую остроту.

По оценке Gartner, около 40% современных проектов по созданию виртуальных сервисов реализуются без привлечения специалистов по кибербезопасности на начальном этапе разработки. Участники проекта обычно ссылаются на то, что современная индустрия располагает достаточным диапазоном средств и навыков, чтобы обеспечить надежную защиту виртуализованного ресурса на программном, аппаратном и сетевом уровне. Однако они не учитывают риски, привносимые самой концепцией виртуальной среды.

Одновременная работа нескольких виртуальных машин на одном физическом сервере опасна тем, что сбой одной из них неминуемо поставит под удар всех соседей. Кроме того, выполнение задач разной степени конфиденциальности на виртуальной платформе при отсутствии адекватного разделения по уровням доверия чревато серьезными утечками. Отдельная тяжкая проблема — организовать четкое разграничение привилегий доступа в обстановке виртуальной среды.

Для ускорения работы виртуальные машины связываются между собой внутренними виртуальными сетями и коммутаторами. Вопрос их мониторинга и контроля тоже требует отдельного внимания, так как привычные средства сетевой безопасности не пригодны для работы в виртуальных условиях.

Особого отношения с точки зрения безопасности виртуализованного ресурса заслуживает новый и важнейший элемент архитектуры — гипервизор, или менеджер виртуальной машины. Его потенциальные уязвимости пока недостаточно изучены, а любое неавторизованное вмешательство в его работу может привести к катастрофе в масштабах всего виртуального сервиса. Административный доступ к этому инструменту надлежит ограничить самым строгим образом.

Новая операционная система Microsoft — Windows Vista может быть взломана. Сотрудница сингапурской софтверной компании Coseinc Джоанна Рутковска (Joanna Rutkowska) продемонстрировала это в ходе конференции по вопросам информационной безопасности Black Hat. Рутковска продемонстрировала уязвимость нового продукта Microsoft в то время, когда разработчики ОС обсуждали ее безопасность, отмечает сайт News.com.

Рутковска показала, как ей удается обойти средства защиты Windows Vista, которые должны обезопасить систему от запуска кода неизвестного происхождения. В ходе своего выступления эксперт объяснила, каким образом с помощью технологии виртуализации можно сделать вредоносный код незаметным, аналогично тому, как это делается при создании руткитов. Свой вредоносный код Рутковска назвала «Голубой пилюлей» (Blue Pill) (в такой форме выпускают виагру).

«Microsoft изучает решения для окончательного релиза Windows Vista, чтобы защитить систему от показанных атак. Кроме того, мы работаем с нашими партнерами в области аппаратного обеспечения и вместе изучаем пути, которые помогут предотвратить атаки с использованием "Голубой пилюли"», — заявил представитель Microsoft.

В ходе конференции Black Hat Microsoft раздавала участникам копии с ранней версией Windows Vista для тестирования. Разработчики операционной системы все еще собирают мнения тестеров продукта-преемника Windows XP, который должен появиться в широкой продаже в январе.

Для своего исследования Рутковска воспользовалась ранней версией Windows Vista. В качестве одной из мер защиты новой системы разработчики добавляют механизм, который блокирует работу неизвестных Microsoft драйверов на 64-битной версии ОС. Однако Рутковска обошла этот механизм и запустила в системе свой код. Вредоносные драйверы могут представлять серьезную опасность, поскольку работают на низком уровне операционной системы, отметили эксперты.

«То, что этот механизм был обойден, не означает, что Vista совсем небезопасна. Она просто не безопасна настолько, как ее расписывают. Очень трудно внедрить 100-процентную защиту ядра», — отметила Рутковска. Она также добавила, что атака возможна лишь в том случае, когда система работает под правами администратора. В противном случае взлом будет пресечен системой контроля за учетными записями (Microsoft's User Account Control). User Account Control — ключевое средство Microsoft, направленное на снижение ущерба от запуска вредоносного кода.

«Я лишь нажала кнопку "Accept"», — ответила Рутковска на вопрос о том, как ей удалось обойти User Account Control. По ее мнению, из-за большого числа выплывающих окон в Windows многие пользователи сделают то же самое, не понимая, что именно они позволяют сделать системе и приложениям к ней.

Microsoft позиционирует Vista как самую безопасную версию Windows. Эта первая операционная система для рабочих станций, прошедшая цикл Security Development Lifecycle. Этот процесс подразумевает чистку кода и выявление уязвимостей перед выпуском продукта.

Показав, как можно обойти защиту от запуска сторонних драйверов, Рутковска сообщила о методе создания «Голубой пилюли». Вредоносный код использует виртуальную машину Pacifica, разработанную компанией Advanced Micro Devices.

«Голубая пилюля» может быть использована хакерами как бекдор, рассказала Рутковска. Несмотря на то, что «пилюля» была разработана на базе Vista и технологий AMD, она может работать и на других ОС и аппаратных платформах. «Некоторые предположили, что мою работу спонсирует Intel, ведь я сосредоточилась только на технологиях виртуализации AMD», — сказала Рутковска, добавив, что это неправда.