Professional Documents
Culture Documents
Virtualisation et ou Scurit
EA D S I N N O V A TI O N W O RK S
Introduction
Virtualisation: De nombreux projets en production Virtualisation et scurit Un sujet trs dbattu Mais jamais tranch
Ou peut-tre que le thermomtre a t cass ?
EA D S I N N O V A TI O N W O RK S
Plan
Introduction Dfinition des virtualisations Principes de fonctionnement (simplifis) Risques pour la scurit Conclusion
EA D S I N N O V A TI O N W O RK S
Dfinition
Comment dfinir la virtualisation ?
"En informatique, on appelle virtualisation l'ensemble des
techniques matrielles et/ou logicielles qui permettent de faire fonctionner sur une seule machine plusieurs systmes d'exploitation et/ou plusieurs applications, sparment les uns des autres, comme s'ils fonctionnaient sur des machines physiques distinctes."
Source: Wikipedia
http://fr.wikipedia.org/wiki/Virtualisation
EA D S I N N O V A TI O N W O RK S
Applicatif/Spcialis Dfinition Ne fonctionne que pour une application donne, analyse en laboratoire Repose en gnral des points de contrle prcis l'intrieur de l'application Ex. "bac sable" pour Internet Explorer Applicatif/Gnrique Fonctionne pour toute application en mode utilisateur Repose en gnral sur une interception des appels systme Ex. Microsoft App-V, fonction native de Vista, Systme/Spcialis "Para" virtualisation Ncessite une adaptation de l'invit Ex. Xen Systme/Gnrique "Full" virtualisation Pas de modification de l'invit ncessaire Ex. VMWare, Hyper-V, Virtual PC/Virtual Server mais aussi Xen, Bochs, KVM, VirtualBox,
EA D S I N N O V A TI O N W O RK S
Dfinition
Google Native Client (NaCl) Ncessite une recompilation des applications Excution de code vrifiable dans un "bac sable" Mme principe qu'une machine Java ou .NET mais pour du code x86 Mode x86 virtuel Les processeurs x86 savent muler des tches en mode 8086 depuis toujours
EA D S I N N O V A TI O N W O RK S
Dfinition
(Non disponible publiquement mais reprise dans LMI) 124 entreprises interroges 78% ont des serveurs de production virtualiss 20% ont uniquement des serveurs de dveloppement virtualiss Parts de march VMWare: 98% Microsoft: 17% Citrix/Xen: 10%
Seul la virtualisation "systme/gnrique" sera traite Exemples donns principalement en environnement VMWare
EA D S I N N O V A TI O N W O RK S
Fonctionnement
L'invit fonctionne un niveau de privilge infrieur celui qu'il imagine Remarque: tous les processeurs modernes supportent au moins 2 niveaux de protection (user/supervisor) Le moniteur de machine virtuelle (VMM) traite les erreurs que cela peut occasionner
Emulation complte de certaines fonctions CPU par le VMM Ex. gestion et protection mmoire
Architecture x86: quelques instructions non virtualisables Ex. LSL, SIDT, L'architecture x86 ne respecte pas les principes de Popek and Goldberg
EA D S I N N O V A TI O N W O RK S
Fonctionnement
Il y a trs peu de "full virtualisation" Les performances seraient inacceptables ! Coopration de l'invit souhaite Echange travers des hypercalls Principe des VMWare Tools, Hyper-V Integration Components, etc. Si le systme invit ne coopre pas Diffrentes techniques pour acclrer la virtualisation Ex. "remplacer" le code privilgi dans l'invit
EA D S I N N O V A TI O N W O RK S
Risques (plan)
Para-virtualisation et/ou traduction la vole "Virtual Machine Interface" (ex. VMWare Tools) Acclrations & optimisations diverses
VMWare ESX: service console base Linux Hyper-V: partition parent Xen: Dom0
CPU Priphriques
EA D S I N N O V A TI O N W O RK S
Risques (humain)
EA D S I N N O V A TI O N W O RK S
Risques (invit)
Risques SSI "classiques"
Intrusion, rebond, etc.
Risque marginal: lvation de privilges dans l'invit Scnario utilisateur administrateur ou noyau Ex. faille dans les composants d'intgration
EA D S I N N O V A TI O N W O RK S
Risques (invit)
Cf. travaux de Joanna Rutkowska sur Xen Cf. avis de scurit VMWare Risque difficile maitriser Complexit technique des attaques
A noter: peu de "preuves de concept" publiques malgr toutes les failles corriges
EA D S I N N O V A TI O N W O RK S
Risques (invit)
Nouveau risque: dni de service sur les autres invits
Mthodes
Surconsommation de ressources Crash de l'hte ou de l'hyperviseur Risque dmontr Cf. travaux de Tavis Ormandy Risque galement difficile maitriser Surtout le deuxime
EA D S I N N O V A TI O N W O RK S
Risques (invit)
Remarque
L'invit peut tre victime de toutes sortes d'attaques si l'hte ou
EA D S I N N O V A TI O N W O RK S
Risques (hte)
La cl de vote de tout le systme Les puristes sparent l'hyperviseur de l'hte Concepts de Thin Hypervisor, Bare-Metal Hypervisor, etc.
Mais en pratique, la compromission de l'hte est quivalente
EA D S I N N O V A TI O N W O RK S
Risques (hte)
Le fond du problme
Les logiciels utiliss ne sont pas adapts aux contraintes de
disponibilit exiges Exemples Avis VMSA-2009-0003: faille dans "ed" affectant VMWare ESX 2.5.5 Presque tous les systmes ont souffert du bogue WxH > 2^32
EA D S I N N O V A TI O N W O RK S
Risques (hyperviseur)
Logiciel (approche VMWare)
Avantages
Inconvnients
EA D S I N N O V A TI O N W O RK S
Risques (hyperviseur)
Inconvnients
Lent, dpendant du matriel, et surtout Encore trs mal dfini dans les architectures x86 !
Spcificits AMD vs. Intel Dj 3 rvisions des spcifications
Rev2 introduit NPT / EPT Rev3 introduit Directed-IO / IOMMU
EA D S I N N O V A TI O N W O RK S
Risques (matriel)
Priphriques
Le matriel peut contourner les scurits logicielles (ex. DMA) Cf. travaux de Loc Duflot Matriel bogu Cf. bogue du chipset Q35 dcouvert par Joanna Rutkowska
CPU
Les bogues CPU, mythe ou ralit ? Tho de Raadt pense que certains bogues sont exploitables Kris Kaspersky galement (mais aucune dmo) Seule parade: la mise jour du microcode
EA D S I N N O V A TI O N W O RK S
Virtualisation et scurit
Duplication Transfert chaud Retour en arrire possible aprs application des correctifs Forensics des invits (mais pas de l'hte) Capture mmoire & disque "parfaite" Environnement d'analyse fiable (si l'hte n'est pas compromis) Malwares Refusent de s'excuter dans les environnements virtuels
EA D S I N N O V A TI O N W O RK S
Conclusion
La virtualisation de systmes Une architecture n'est jamais plus sre aprs avoir t virtualise Il est possible de limiter la casse Mais l'impact d'un bogue logiciel est (et restera) souvent catastrophique Une architecture virtualise ne se gre pas comme une
architecture physique
EA D S I N N O V A TI O N W O RK S
Conclusion
Le futur (ou pas)
Plus de fonctionnalits == plus de failles
EA D S I N N O V A TI O N W O RK S
Conclusion
Qui a parl en premier de "ring -1" ?
Le projet Palladium/NGSCB Avec Intel/TXT et AMD/SVM toutes les technologies sont en place La preuve ?
Spcifications TPM disponible sous NDA uniquement Mots de passe dans les processeurs (SVM_LOCK)
EA D S I N N O V A TI O N W O RK S
Bibliographie
Tavis Ormandy
An Empirical Study into the Security Exposure to Hosts of Hostile Virtualized Environments http://taviso.decsystem.org/virtsec.pdf
Oded Horovitz
DoD
Etude Forrester
http://www.lemondeinformatique.fr/actualites/lire-le-stockage-aucoeur-des-problemes-de-la-virtualisation-selon-forrester-28191.html
EA D S I N N O V A TI O N W O RK S
Bibliographie
HSC / OSSIR
"VMWare et scurit"
http://www.ossir.org/sur/supports/2008/OSSIR_VMware_20080 807.pdf
HSC / CLUSIF
"Scurit et Virtualisation"
http://www.hsc.fr/ressources/presentations/clusifvirtualisation/index.html.fr
http://www.miscmag.com/index.php/2009/03/06/miscn%C2%B042-la-virtualisation-vecteur-de-vulnerabilite-ou-desecurite-marsavril-2009-chez-votre-marchand-de-journaux