Re: [討論] 雲端與掃毒=掃走機密資訊怎麼辦?!
: Hypervisor 就是掌管了所有共用的硬體, 要讓其上的VM將資訊對
: Hypervisor隱藏是不可能的, 方法之一是要求 Hypervisor 針對操作
: 管理員(Dom0)或租用者(DomU)的記憶體讀寫請求依分權管轄範圍做出
: 該加密或不加密的結果反應.
:
: → Winggy:所以你現在在說的是 rogueware 的防治? 06/05 11:55
惡意軟體可以冒充掃毒軟體掃瞄或掛碼應該就是存在的.
無法掃瞄或偷窺, 應該是基本的保護或隱藏需求.
隱藏與掃毒在使用者不正式授權下是會有所衝突的. 這需要一個管理協調
機制.
: → askeing:關於Hosted與Native可以參考 http://tinyurl.com/2wanyc 06/05 21:58
: → askeing:http://www.mnvaa.com/?p=109 這邊也有一些說明 06/05 22:00
: → askeing:至於Dom0跟DomU的不同,在於起來的時間、權限、還有kernel 06/05 22:00
: → askeing:而且問題在於,如果無法對VMM隱藏資訊,那根本就沒有用 06/05 22:01
: → askeing:因為只要能控制VMM,一切就都被看光了~ 06/05 22:02
: → askeing:而不管是Dom0(Native)還是Host OS(Hosted)都可以控制VMM 06/05 22:02
: → askeing:而且像是以Xen的模式,DomU對外連線好了,封包進進出出 06/05 22:04
: → askeing:是跟front end driver,實際去跟硬體講是back end driver 06/05 22:04
: → askeing:Back end不論放在Dom0還是Driver Domain,都能看到資訊 06/05 22:05
: → askeing:這些一目了然的寫入記憶體之後,再轉過去DomU 06/05 22:06
: → askeing:中間似乎沒有加密的機會? 06/05 22:06
: → askeing:而XenBus跟Event Channel的溝通更不用說了,各自加密就是 06/05 22:07
: → askeing:互相都不能溝通 O_Oa 06/05 22:07
: → askeing:還是老師講的是對雲端公司的一般管理人員隱藏資訊即可? 06/05 22:17
: → askeing:畢竟不對VMM隱藏資訊,只要有權限控制VMM都能進去撈 06/05 22:20
這道題不會是 很容易的. 但也不是完全無先例的. 可是也有新的雲端時代
需求. 不過, 原則應不脫離:
要求 Hypervisor 針對操作管理員(Dom0)或租用者(DomU)的記憶體讀寫請求
依分權管轄範圍, 再依該記憶體的內容是分享還是隔離做出該加密或不加密
的結果反應. 加密也可以解釋為不能接取.
以 XEN 為例, 假如 DomU 對外的封包不想讓 Dom0 分享或是監聽, DomU 存
到 Hypervisor 掌管的 DomU virtual device(front end) 封包可不加密,
移到 Dom0 可接取的 back end 時是加密的, Dom0 os 將封包移到 host
driver 再移到 real ethernet interface 時, 根據 Hypervisor 的原則,
必須要經由 Hypervisor 解譯才能移到網卡(XEN 不是 IBM VM, 並非如此
運作). 此時, Hypervisor 將封包解密後轉給網卡, 就完成 DomU 經其虛擬
網卡到實體網卡的轉換與移動.
Hypervisor 運作於比 kernel mode 更高一層的 Hypervisor mode 是能先
做一些管理工作, 而其核心工作還是用 ROM BIOS 啟動的.
→
06/06 21:19, , 1F
06/06 21:19, 1F
→
06/06 21:20, , 2F
06/06 21:20, 2F
→
06/06 21:20, , 3F
06/06 21:20, 3F
→
06/06 21:21, , 4F
06/06 21:21, 4F
→
06/06 21:22, , 5F
06/06 21:22, 5F
→
06/06 21:23, , 6F
06/06 21:23, 6F
Hypervisor 就是能到其上的 VM/Real memory space 掃瞄與設定任何資訊.
透過對 sensitive instruction 的攔截功能, 理論上就能對任何指令進行
exception break, 所以能追蹤 VM 上面的任何程式在那個點是做甚麼動作.
所以 VM 上的程式要對 Hypervisor 隱藏資訊, 理論上是辦不到的.
但現在的 VM Monitor 或 Hypervisor 不是硬體微碼, 也是個軟體程式, 所
以可以修改她, 使她能隨執行敏感指令程式的使用身份做出不同對應的處理
結果. 換言之, 要求 Hypervisor 遵行一定的規範才是防隱私洩密的必要方
法!
推
06/06 23:39, , 7F
06/06 23:39, 7F
→
06/06 23:39, , 8F
06/06 23:39, 8F
房東把大房子分割了很多小房間出租.
房東交鑰匙給房客, 房客打開門就能拆鎖再換個新鎖, 在租約期房東是進不了
房客的房間. 期滿, 房客拆所加的鎖還原原鎖並還房東原來的鑰匙. 這不涉及
誰遵不遵守規範的問題. 這個範例清楚明白, 房東已授權出去, 有所不能也.
推
06/06 23:45, , 9F
06/06 23:45, 9F
→
06/06 23:45, , 10F
06/06 23:45, 10F
雲端機器的實質擁有者並不是租用者, 何況機器斷電不開就絕對沒了VM.
每個分割的小房間就像可抽換的貨櫃, 租期已過, 房客就無法進出大房間大門,
房客的東東連同貨櫃房間打包清場, 整間移出, 換別的房櫃插入, 一不侵犯其
隱私, 二不怕霸佔不還.
推
06/07 01:08, , 11F
06/07 01:08, 11F
這是機制的問題, 在分割授權下, 於Hypervisor處, 換加密鎖也不用去煩惱OP如何偷窺.
推
06/07 02:20, , 12F
06/07 02:20, 12F
→
06/07 02:21, , 13F
06/07 02:21, 13F
→
06/07 02:21, , 14F
06/07 02:21, 14F
就機器這部份言, VMM 能管所有的硬體, 今因分權授權租用者管理掌控VM的部份
VMM, 所以租用者可要求屬於他的部份VMM對離開該VM至他處的資訊均加密, 所以
op 即使串接任何竊聽器, 聽見的都是密文.
因授權分權, OP無權要求Hypervisor對所有硬體空間無密或不經mapper隔離的讀
取其他vm的實體記憶體. 於租用期間, OP無法改變租用者所轄的Hypervisor對出
入vm的資訊加解密. vm 透過 其Hypervisor 存於機器磁碟上的任何資訊都是加密
的, OP就算檢到也無法讀取密文.
推
06/07 10:56, , 15F
06/07 10:56, 15F
→
06/07 10:58, , 16F
06/07 10:58, 16F
→
06/07 13:58, , 17F
06/07 13:58, 17F
→
06/07 13:59, , 18F
06/07 13:59, 18F
→
06/07 14:00, , 19F
06/07 14:00, 19F
→
06/07 14:02, , 20F
06/07 14:02, 20F
→
06/07 14:02, , 21F
06/07 14:02, 21F
→
06/07 14:03, , 22F
06/07 14:03, 22F
可參考IBM Secure Hypervisor做法, 透過跟 hypervisor 同層的
security policy 指揮, 就可管制 hypervisor 依對象做事.
推
06/07 22:19, , 23F
06/07 22:19, 23F
→
06/07 22:23, , 24F
06/07 22:23, 24F
→
06/07 22:24, , 25F
06/07 22:24, 25F
→
06/07 22:26, , 26F
06/07 22:26, 26F
→
06/07 22:27, , 27F
06/07 22:27, 27F
別急! 只說要管理VMM使之分權, 可以參考 sHype 提的同層 security policy 來
節制. 您要讓惡意軟體佔領這層管理VMM當然是造出大補丸, 那是有力的很. 這也
就證明VMM是可以被設計成能按某種方式依對象角色做反應的.
在Hypervisor層分隔出各區權限, 使用該權限於該區就得有key. 就如將大房間分
割出如小貨櫃隔開的小房間, 房東有所有鑰匙, 房東給鑰匙後租房的就可開門開
鎖換鎖換鑰匙, 房東就無法再進入小房間偷窺或使用該區的權限. 換鎖就是對
hypervisor要轉送/轉換的資料, 使用不同的加解密方法與key. 這是個被設計成
可被分解開成多個小媽媽的大媽媽. 這套講法也重覆太多次啦, 可免囉!
→
06/07 23:57, , 28F
06/07 23:57, 28F
程式就是有前後次序, sHype 進VMM第一件事就是設計成到 security policy 請
示這傢伙該怎麼處理? 若改成第一件事就是 check key, 拿錯就對應不過去, 不就
擋住了? 要堵住 OP 當然得有新設計的 Hypervisor! 當然是不能有漏洞讓租房的
鑽洞變成了大房東.
推
06/08 00:33, , 29F
06/08 00:33, 29F
→
06/08 00:34, , 30F
06/08 00:34, 30F
→
06/08 00:35, , 31F
06/08 00:35, 31F
還有 30 則推文
還有 6 段內文
→
06/09 00:06, , 62F
06/09 00:06, 62F
→
06/09 00:07, , 63F
06/09 00:07, 63F
→
06/09 00:07, , 64F
06/09 00:07, 64F
在記憶體與磁碟裡掃瞄, 不就是偷窺的基本行為? 掃毒不也就是某類惡意軟體
的藉口或途徑? 這些都是已存在的現況, 認清問題去面對解決吧! 不是去消滅
或舉發那類惡意軟體, 不然就是有提供不同的防護途徑或憑證能以資區別! 這
種宣導法完全就是企圖強教,愚弄,那能談上教導? 這不可能是行得通的.
推
06/09 02:00, , 65F
06/09 02:00, 65F
要辯甚麼? 使用 secure hypervisor 的雲端虛擬機就是會考量用戶的機密安
全, 只想做掃瞄的似乎沒這種想法也不知如何避嫌. 有些人不想替客戶考量,
但技術不就已來到眼前? 這種心態, 這行看來是殆.....
→
06/09 23:10, , 66F
06/09 23:10, 66F
→
06/09 23:10, , 67F
06/09 23:10, 67F
→
06/09 23:12, , 68F
06/09 23:12, 68F
→
06/09 23:12, , 69F
06/09 23:12, 69F
→
06/09 23:13, , 70F
06/09 23:13, 70F
從古代就有此故事: 蘇東坡看佛印.
雲端 OP 在 vmm 裝掃毒掃 VM 的記憶體?
不用如此麻煩啦! 若不是 hardware supported Hypervisor, OP 的權限
都能在 kernel mode 執行程式, 那個記憶體區他用工具掃不到? 說防毒
軟體會掃瞄還真抬舉幹這行的, 這還得要OP以其權限誤用惡意掃毒軟體!
這類軟體霸了人家機器, 專幹記憶體與用戶檔案掃瞄的, 還不准人家批評
這種行為是否過當? 這還不夠接近流氓行徑?
反正別人都不懂, 那還害怕甚麼? 急著如此氣急敗壞的悍衛...? 可嘆!
推
06/10 01:41, , 71F
06/10 01:41, 71F
→
06/10 01:41, , 72F
06/10 01:41, 72F
→
06/10 01:43, , 73F
06/10 01:43, 73F
推
06/10 01:50, , 74F
06/10 01:50, 74F
→
06/10 01:51, , 75F
06/10 01:51, 75F
→
06/10 01:51, , 76F
06/10 01:51, 76F
看別人笑話? 這不就是還可以繼續嗎? 您幹嘛還要擔心別人發表意見?! 這太漏餡!
如此關切, 真個是讓人受寵若驚! 您這樣不照鏡不知...的說, 說得更讓人大笑啦!
說不出方案來, 解不了問題. 就別在此題丟...啦! 用這種招也能混! 難怪
這行不太樂觀.
※ 編輯: ggg12345 來自: 140.115.5.45 (06/10 02:24)
→
06/10 02:44, , 77F
06/10 02:44, 77F
→
06/10 02:44, , 78F
06/10 02:44, 78F
→
06/10 02:45, , 79F
06/10 02:45, 79F
→
06/10 02:46, , 80F
06/10 02:46, 80F
→
06/10 02:46, , 81F
06/10 02:46, 81F
→
06/10 02:47, , 82F
06/10 02:47, 82F
→
06/10 02:47, , 83F
06/10 02:47, 83F
→
06/10 02:48, , 84F
06/10 02:48, 84F
→
06/10 02:48, , 85F
06/10 02:48, 85F
→
06/10 02:49, , 86F
06/10 02:49, 86F
→
06/10 02:49, , 87F
06/10 02:49, 87F
→
06/10 02:50, , 88F
06/10 02:50, 88F
→
06/10 02:52, , 89F
06/10 02:52, 89F
→
06/10 02:52, , 90F
06/10 02:52, 90F
→
06/10 02:54, , 91F
06/10 02:54, 91F
→
06/10 02:54, , 92F
06/10 02:54, 92F
→
06/10 02:54, , 93F
06/10 02:54, 93F
→
06/10 02:57, , 94F
06/10 02:57, 94F
→
06/10 02:57, , 95F
06/10 02:57, 95F
→
06/10 02:58, , 96F
06/10 02:58, 96F
→
06/10 02:59, , 97F
06/10 02:59, 97F
討論串 (同標題文章)