Máquina virtual y virus

23

Tengo un requisito para el que tengo que estar en línea sin protección (firewall, antivirus). Al mismo tiempo, no quiero arriesgarme a infectarme con virus.

Si instalo una máquina virtual (VirtualBox) para probar, y se infecta con virus, ¿también infectará mi sistema host? En otras palabras, ¿puedo usar la máquina virtual para realizar pruebas sin preocuparme de que un virus en la máquina virtual infecte a mi host?

virtualbox virtual-machine virus
fuente
Ayudaría a las personas a responder su pregunta si pudiera agregar por qué tiene que conectarse. ¿Que tienes que hacer? ¿Se está ejecutando desde un CD en vivo una opción?
DaveParillo
posible duplicado de ¿Mi máquina host está completamente aislada de una máquina virtual infectada por virus?
Avance

Respuestas:

17

Si instalo una máquina virtual (VirtualBox) para probar, y se infecta con virus, ¿también infectará mi sistema host? En otras palabras, ¿puedo usar la máquina virtual para realizar pruebas sin preocuparme de que un virus en la máquina virtual infecte a mi host?

Parece haber algunas ideas erróneas sobre NAT y las conexiones de puente en entornos VM. Estos no permiten que su host se infecte. Un sistema operativo VM no tendrá acceso alguno al sistema operativo host y no se dará cuenta de que está funcionando como una máquina virtual de cliente. El software que se ejecuta dentro de ese sistema operativo será aún menos sabio al respecto.

Es a través de las relaciones directas entre el cliente y la máquina host que existe la posibilidad de infectarse. Esto sucede si permite que el cliente y el host compartan carpetas . La mayor parte de las vulnerabilidades notables de VMware (por nombrar un producto popular) jamás encontradas se han etiquetado directa o indirectamente a esta función. Se logra un aislamiento completo al desactivar las carpetas compartidas. Se ha descubierto cualquier otra vulnerabilidad en el lado del Host cuando las vulnerabilidades en el propio motor VM permitirían que un atacante potencial se conecte a través de la máquina host y obtenga acceso a cualquier cliente o ejecute su propio código.

De hecho, los problemas de seguridad pueden ser más complicados si se está ejecutando una estructura VM grande, como las propuestas a través de las topologías de VMware Server. Pero si ejecuta soluciones de VMware Workstation para una sola computadora, no hay problemas de seguridad en las conexiones NAT o Bridge. Estás a salvo mientras no uses carpetas compartidas.

EDITAR: Para ser claros, cuando hablo de conexiones NAT o Bridge, solo estoy hablando de la capacidad de VM para compartir la conexión de red del host con sus clientes. Esto no le da al cliente ningún acceso al host y permanece completamente aislado, siempre que la funcionalidad como VM Shared Folders esté desactivada. Naturalmente, si en cambio el usuario decide conectar en red el Host y el Cliente, dicho usuario decidió explícitamente conectar ambas máquinas, y con ello agitar la seguridad intrínseca de la VM. Esto no se diferencia de ningún otro entorno de red privada y deben abordarse los mismos problemas y preocupaciones de valores.

Un enano
fuente
8
Bueno, si tiene la conexión en puente, entonces el invitado es el mismo que cualquier otra computadora en su red. Si obtiene un gusano habilitado para la red (Confickr, Blaster, etc.), entonces acaba de introducir un software malicioso en su red real. Decir que la forma en que una VM se conecta a una red no afecta el riesgo es un poco incorrecto. Sin embargo, su punto sobre el acceso de host desde la VM es válido.
MDMarra
Tenga en cuenta que hay muchas más formas en que algo puede salir de una VM que solo a través de adaptadores de red virtualizados (por ejemplo, romper VMWare con un dispositivo de puerto COM virtual ).
Avance
4

Depende.

Si su máquina virtual (invitado) no tiene acceso de red a su host, su host no se verá afectado por ningún virus en su sistema operativo invitado.

Lieven Keersmaekers
fuente
4

Mis 2 centavos ...

En pocas palabras, el malware que se ejecuta en el contexto del SO huésped NO podrá infectar el SO host, y probablemente ni siquiera se dará cuenta de que hay un SO host (aunque, hipotéticamente, es posible salir del entorno virtualizado) , sospecharé que no será muy común por un tiempo).

Algunas excepciones

  • En VirtualPC (por ejemplo), es posible compartir una carpeta con el SO huésped, que "ve" esa carpeta como una letra de unidad.
  • Dependiendo de su configuración, tanto el sistema operativo host como el invitado pueden estar en la misma red, lo que significa que un virus que explota los puertos abiertos o no puede propagarse mediante la explotación de servicios del sistema vulnerables o mediante recursos compartidos de red.
  • Por último, y tal como está ahora, la vía menos probable es que el virus sea consciente de VM y capaz de salir de la caja de arena. Actualmente, esto es extremadamente improbable.

    • En general, la navegación web en el contexto de una máquina virtual es probablemente la forma más segura de navegar, sin duda (dado el pobre historial de AV s / w y otras vías de protección). De hecho, usar una cuenta separada y restringida probablemente sea suficiente, pero una VM ciertamente proporcionará aislamiento adicional.

    Garrett
    fuente
    2

    No, si no configura ninguna conexión de red (como NAT o Bridge) entre el host y el sistema operativo invitado. Si desea garantizar una separación total entre los dos mundos, prefiera las conexiones "Bridge" y asigne una NIC a su PC host y otra NIC a su invitado VM-ed.

    Sería como tener dos redes aisladas que comparten solo el bus de alimentación (su PC real, de hecho).

    VirtualBox, pero también VMWare o Xen o Parallels, pueden configurar fácilmente un entorno de este tipo


    fuente
    Lo siento, ZZambia. Pero tu información es incorrecta. Te aconsejo que lo revises más a fondo. No hay ningún problema de seguridad del host que implique conexiones NAT y de puente en un entorno VM.
    Un enano
    Todavía no, no hay. Es una vulnerabilidad, solo esperando que alguien descubra cómo explotarla. Tal vez. Más vale prevenir que curar.
    Phoshi
    Creo que Zzambia usa la palabra "puente" en dos contextos diferentes aquí. Me parece que el riesgo de puentear el host y la VM no es diferente de otra computadora dentro de la misma red que abusa de las vulnerabilidades. (O, quizás peor, cuando las redes se están uniendo, entonces el firewall que detiene los ataques desde otra computadora, ¿podría no estar configurado para detener los ataques desde la VM?) Usar "conexiones de puente" desde la NIC al host, y desde otra NIC a la VM Parece algo diferente (pero: ¿podría no ser necesario?). (Si me falta el punto a continuación, sólo dilo y voy a borrar esto, no hay necesidad de explicar!)
    Arjan
    @Poshi, una vulnerabilidad es, por definición, algo que se ha identificado. Es de muy poca relevancia discutir vulnerabilidades que aún no se han encontrado o que no se pueden encontrar. sigue leyendo ... @Arjan, de hecho. Pero una conexión Bridge o NAT en un entorno VM ocurre completamente entre el sistema operativo de la máquina host y el motor host VM. La máquina cliente se ejecuta independientemente de este puente y totalmente aislada de él. El argumento de Zzambia es comparable a decir que puedes infectarte porque estás conectado a Internet y acabo de descargar un archivo infectado.
    Un enano
    @Zzambia, es posible que desee editar su respuesta para explicar a qué parte de la pregunta se aplica el "No". :-) O, por supuesto, si A Dwarf tiene razón, y supongo que lo es, simplemente elimine su respuesta ... (Como nota al margen: en mi comentario anterior, pensé que se refería a un puente el sistema operativo host y el sistema operativo VM, no el sistema operativo host y el motor VM . Entonces, pensé que estaba hablando de un paso adicional, después de conectar la máquina virtual a Internet, para interconectar explícitamente el sistema operativo host y el sistema operativo VM. Ahora entiendo eso es una falta en mi conocimiento de la terminología utilizada con máquinas virtuales).
    Arjan
    1

    Sí, si ha compartido carpetas ...

    Ya sea carpetas compartidas a través de la máquina virtual o redes estándar.

    No estoy seguro, y no he visto ningún virus en mucho tiempo que se propague de esta manera y edite archivos en una red, pero es posible.

    El hecho de que sea una VM no significa que sea seguro, solo debe tratarlo como otra máquina física en su red.

    Por lo tanto, si tiene un antivirus en su máquina host (y otras en su red) está tan seguro como lo estará, pero de nuevo ... trate cualquier VM como cualquier otra máquina física.

    La única forma segura de ejecutar una VM es deshabilitar las funciones de red (o VLAN separarla completamente de su red ... y no tener ningún tipo de interfaz de administración en esa VLAN) y deshabilitar toda la integración de host / invitado que implica compartir archivos .

    William Hilsum
    fuente
    1

    Técnicamente, es 100% posible estar seguro, incluso si la red está aislada y no comparte carpetas.

    Aunque es muy poco probable a menos que el desarrollador del virus supiera de una falla en la combinación de su sistema operativo host y su VM Invitado y lo haya dirigido específicamente. Si desea crear un virus, desea crear uno que afecte la mayor cantidad de computadoras posible y no encontrará una falla que explotar en alguna aplicación poco frecuente.

    La misma respuesta es válida para un sandbox o cualquier capa de interpretación entre los dos. Creo que si pudieras ejecutar un SO invitado de 32 bits y un host de 64 bits, estarías más seguro ya que el exploit para apuntar al SO invitado se desbordaría y luego también desencadenar el desbordamiento en el vm / sandbox sería aún más desafiante ya que Tendría que compilar las cargas útiles en 4 combinaciones, pero, de nuevo, esto es lo que normalmente se hace con un atacante y una sola capa del sistema operativo: la carga útil está preparada para el SO o la versión de servicio explotable y una para cada 32 y 64, luego él solo los arroja a ambos a la máquina.

    Es exactamente como el comentario anterior sobre BSD: cuanto más infrecuente sea su configuración, menos probable será que un virus lo ataque.

    Si todos ejecutamos máquinas virtuales para probar el software del que sospechábamos o para navegar por la red, el hecho de que esté en una máquina virtual ya no importaría y, para ser claros nuevamente, está abierto a una infección de virus.

    Además, hay consideraciones especiales de hardware con las tecnologías de virtualización más nuevas y estoy hablando principalmente de la virtualización de software en la que el código de máquina invitado está siendo ejecutado por el software en el host, por lo que el desbordamiento al puntero de instrucciones del software me parece extremadamente desafiante. y una pérdida de tiempo No estoy del todo seguro de cómo cambia esto cuando tratamos con un Hyper V o Xen habilitado para BIOS, etc., puede ser que las máquinas virtuales estén más aisladas o también puede ser peor debido a que un VM ejecuta su código en el hardware real canalización: realmente depende de cómo funciona la 'virtualización de BIOS'.

    Stephan Unrau
    fuente
    1

    Si en VirtualBox no tiene carpetas compartidas o utiliza alguna de las funciones del dispositivo y desea estar aún más seguro, mire la parte inferior de la ventana de VirtualBox:

    la imagen, justo en la parte inferior cerca del ícono de 2 computadoras, cambie a no conectado

    Debería poder ejecutar cualquier virus y no tener uno en la máquina host, aunque para estar seguro, mantenga el software antivirus en ejecución.

    mate
    fuente
    1

    Deberías probar Sandboxie (o cualquier otra herramienta de sandboxing)

    ingrese la descripción de la imagen aquí

    Aislará su navegador y eliminará todo después de que haya terminado. De esa manera, incluso si tienes un virus, no podrá salir del sandbox.

    Beneficios de la caja de arena aislada

    • Navegación web segura: ejecutar su navegador web bajo la protección de Sandboxie significa que todo el software malicioso descargado por el navegador queda atrapado en la caja de arena y puede descartarse de manera trivial.
    • Privacidad mejorada: el historial de navegación, las cookies y los archivos temporales almacenados en caché recopilados durante la navegación web permanecen en el entorno limitado y no se filtran a Windows.
    • Correo electrónico seguro: los virus y otro software malicioso que podría estar oculto en su correo electrónico no pueden salir de la caja de arena y no pueden infectar su sistema real.
    • Windows Stays Lean: evite el desgaste en Windows instalando software en un entorno aislado.
    Ivo Flipse
    fuente
    1
    la pregunta era sobre "¿puede salir un virus de esta caja de arena especial" ... -1
    akira
    Uhhh, creo que los beneficios dicen: el software malicioso está atrapado en la caja de arena. Si no fuera así, ¿cuál sería el punto?
    Ivo Flipse
    1
    Además, no es necesario tener un sistema operativo completo ejecutándose si solo desea proteger su navegador, ¿ahora está ahí?
    Ivo Flipse
    2
    pero no respondiste la pregunta, es como decir "usa bsd, entonces no tienes virus". la pregunta no era "ofrecerme productos de sandboxing" (vms como sandboxes muy grandes), sino "puede salir un virus de un sandbox / máquina virtual. Y definitivamente es mucho más fácil salir de un programa de sandboxing (piense en un preparado especial fotos) que de una máquina virtual completa.
    akira
    Punto de toma, probablemente tienes razón sobre el riesgo
    Ivo Flipse