→ askeing:似乎我跟老師說的東西似乎不太一樣 06/06 21:19
→ askeing:我是認為Hypervisor掌握在別人手中時,如果你VM跑在上面 06/06 21:20
→ askeing:只要不能對Hypervisor隱藏重要資訊,對方就可以進去撈資料 06/06 21:20
→ askeing:因為你跑的VM仍然運作在別人手中的平台上 06/06 21:21
→ askeing:所以我想問的是有沒有方式可以對Hyperviosr隱藏資訊 06/06 21:22
→ askeing:除非Hyperviosr無懈可擊,連擁有他的管理者都進不去(!?) 06/06 21:23
Hypervisor 就是能到其上的 VM/Real memory space 掃瞄與設定任何資訊.
透過對 sensitive instruction 的攔截功能, 理論上就能對任何指令進行
exception break, 所以能追蹤 VM 上面的任何程式在那個點是做甚麼動作.
所以 VM 上的程式要對 Hypervisor 隱藏資訊, 理論上是辦不到的.
但現在的 VM Monitor 或 Hypervisor 不是硬體微碼, 也是個軟體程式, 所
以可以修改她, 使她能隨執行敏感指令程式的使用身份做出不同對應的處理
結果. 換言之, 要求 Hypervisor 遵行一定的規範才是防隱私洩密的必要方
法!
推 luciferii:嗯,設定掃毒的人不能遵守規範,但是設定這種新品種VMM 06/06 23:39
→ luciferii:的人就一定能夠遵守規範。 06/06 23:39
房東把大房子分割了很多小房間出租.
房東交鑰匙給房客, 房客打開門就能拆鎖再換個新鎖, 在租約期房東是進不了
房客的房間. 期滿, 房客拆所加的鎖還原原鎖並還房東原來的鑰匙. 這不涉及
誰遵不遵守規範的問題. 這個範例清楚明白, 房東已授權出去, 有所不能也.
推 luciferii:而且新品種的VMM是沒有最高管理者的,允許任何已租用的 06/06 23:45
→ luciferii:客戶賴帳,因為沒有人有權限去動把權限租出去的VM... 06/06 23:45
雲端機器的實質擁有者並不是租用者, 何況機器斷電不開就絕對沒了VM.
每個分割的小房間就像可抽換的貨櫃, 租期已過, 房客就無法進出大房間大門,
房客的東東連同貨櫃房間打包清場, 整間移出, 換別的房櫃插入, 一不侵犯其
隱私, 二不怕霸佔不還.
推 luciferii:現在租機櫃的人家都已經有人懷疑機房OP的操守了 06/07 01:08
這是機制的問題, 在分割授權下, 於Hypervisor處, 換加密鎖也不用去煩惱OP如何偷窺.
推 luciferii:你還是搞不懂,實體機怕OP是因為OP人在機器前他可以作 06/07 02:20
→ luciferii:很多事,包含插新設備偷接硬體。VMM你想允許管理者可以 06/07 02:21
→ luciferii:動VM本身,就沒有什麼保證裏頭資料不能被看到的方式。 06/07 02:21
就機器這部份言, VMM 能管所有的硬體, 今因分權授權租用者管理掌控VM的部份
VMM, 所以租用者可要求屬於他的部份VMM對離開該VM至他處的資訊均加密, 所以
op 即使串接任何竊聽器, 聽見的都是密文.
因授權分權, OP無權要求Hypervisor對所有硬體空間無密或不經mapper隔離的讀
取其他vm的實體記憶體. 於租用期間, OP無法改變租用者所轄的Hypervisor對出
入vm的資訊加解密. vm 透過 其Hypervisor 存於機器磁碟上的任何資訊都是加密
的, OP就算檢到也無法讀取密文.
推 luciferii:不知道你的VM要離開到哪去才不在VMM掌握下... 06/07 10:56
→ luciferii:也不知道你的VMM要怎麼分租出一個OP管不到的子VMM (?) 06/07 10:58
→ askeing:重點就是Hypervisor掌握在雲端那邊,租用者沒有自己管轄的 06/07 13:58
→ askeing:Hypervisor,其上的VM怎樣都逃不出Hypervisor手掌心 06/07 13:59
→ askeing:如果租用者自己弄Hypervisor,就是租機器而不是VM了… 06/07 14:00
→ askeing:而所謂的防OP只防從Dom0走的路嗎? 06/07 14:02
→ askeing:但是 Hypervisor 也在他們掌握中喔~ 06/07 14:02
→ askeing:結果還是會回到原來遵守規範的信任機制了… 06/07 14:03
可參考IBM Secure Hypervisor做法, 透過跟 hypervisor 同層的
security policy 指揮, 就可管制 hypervisor 依對象做事.
推 luciferii:IBM的sHype還是VMM在負責好嗎? 會有那種研究是因為大家 06/07 22:19
→ luciferii:一直怕有人找到方法可以從VM跳出來互打,果然不久後就出 06/07 22:23
→ luciferii:現 Blue Pill...老東西不要亂兜一通 06/07 22:24
→ luciferii:簡單給你一個比喻,虛擬防火牆只能管VM之間,但是VFW還 06/07 22:26
→ luciferii:VMM在管。媽媽是壞人你就別想作啥 06/07 22:27
別急! 只說要管理VMM使之分權, 可以參考 sHype 提的同層 security policy 來
節制. 您要讓惡意軟體佔領這層管理VMM當然是造出大補丸, 那是有力的很. 這也
就證明VMM是可以被設計成能按某種方式依對象角色做反應的.
在Hypervisor層分隔出各區權限, 使用該權限於該區就得有key. 就如將大房間分
割出如小貨櫃隔開的小房間, 房東有所有鑰匙, 房東給鑰匙後租房的就可開門開
鎖換鎖換鑰匙, 房東就無法再進入小房間偷窺或使用該區的權限. 換鎖就是對
hypervisor要轉送/轉換的資料, 使用不同的加解密方法與key. 這是個被設計成
可被分解開成多個小媽媽的大媽媽. 這套講法也重覆太多次啦, 可免囉!
→ askeing:sHype還是在VMM裡面做事,到頭來還是要信任VMM 06/07 23:57
程式就是有前後次序, sHype 進VMM第一件事就是設計成到 security policy 請
示這傢伙該怎麼處理? 若改成第一件事就是 check key, 拿錯就對應不過去, 不就
擋住了? 要堵住 OP 當然得有新設計的 Hypervisor! 當然是不能有漏洞讓租房的
鑽洞變成了大房東.
推 luciferii:你實體虛擬硬體都是人家的,別亂類比什麼房東幻想.... 06/08 00:33
→ luciferii:VM對VMM"要轉送/轉換的資料"都加密是要怎麼作事? 06/08 00:34
→ luciferii:你真的有搞懂VMM或Hypervisor是什麼嗎? 06/08 00:35
是分區權限的VMM在做隔離用的加解密, 以維護 Hypervisor 各授權區的隔離!
→ askeing:老師您的說法似乎有點問題,前提都建立在不信任雲端公司了 06/08 00:51
→ askeing:怎麼會信任VMM其中那塊模組不能進去動手動腳呢? 06/08 00:52
推 luciferii:"分區權限的VMM" 難道不是OP在控制在設定? 06/08 00:53
→ askeing:簡單說,VM活在虛擬中,所有的資訊基本上VMM都能攔到 06/08 00:54
→ askeing:要解也不是沒有,可以自我偵測是否在虛擬環境, 06/08 00:55
→ luciferii:而且VMM是可以這樣亂切來切去嗎?硬體同一套VM資源是VMM 06/08 00:55
→ askeing:然後自我動手腳,但是這樣OS就要改,此外也會慢 06/08 00:55
→ luciferii:在切分,難道你還有個VVMM在負責管VMM? 06/08 00:55
這就是設計成要有這樣的"機制", 是否可信任? 當然就是要可以被檢驗查核與證實.
如果您信上帝教那就免談這事了.
推 luciferii:用加密造成不會被竊取,和可稽核是否有人竊取,是兩種不 06/08 02:06
→ luciferii:同的概念和機制,不要亂混一起然後最後瞎扯上帝教 06/08 02:06
→ luciferii:Trusted有很多意義,但是請多去看點研究討論,不是看英 06/08 02:08
→ luciferii:文就自己空想什麼是Trusted.... 06/08 02:08
需要某種機制時, 設計出的機制就需證明"機制"算法的正確性合乎需求, 常用的
是邏輯分析推論. 若要用事跡記錄進行交叉比對稽核也是一種對程式被執行時的
實況的分析, 但就是要錄得到該要有的重要資訊, 這就接近窮舉的測試了.
實現 trusted computing 有其條件, 當然不會是像宗教信仰的不可質疑, 只有
信與不信.
"前提都建立在不信任雲端怎麼會信任VMM其中那塊模組不能進去動手動腳呢?"
若動了手腳就是破壞了完整的一體性, 是要能被檢核出來的.
推 luciferii:你的神奇VMM不是保證OP什麼都看不到動不了不怕偷窺? 06/08 12:37
→ luciferii:怎麼又要回頭靠檢核?這不就是整串人家一開始就告訴你的? 06/08 12:37
算法是事前就證明驗證是正確合乎需求, 稽核是事後追蹤查核有無發生.
兩者都是事件的可能發生與邏輯推論, 但事前的驗證依據的是邏輯的分
析推論.
假如房東先藏了竊聽器在房內, 再將房子出租, 租房的當然要求這個分
割的貨櫃小屋內是清潔可受檢核的. 這種技術是軟體一體性的查驗, 不
是事後稽核. 但若被鑽了小洞進來動手腳, 那就得靠追蹤稽核, 那是事
後的可追查性.
兩者適用的時機不同.
推 luciferii:前面有談到事先裝嗎?VMM就是人家管的,簡單講你加密時是 06/08 15:26
→ luciferii:跑在人家記憶體裏的,VM不可能去偵測VMM有沒有在作壞事 06/08 15:26
→ luciferii:(如果可以,那才叫虛擬資安的大漏洞) 06/08 15:26
→ luciferii:你要搬一個連OS都加密的VM上去(假設有這種東西)也是可以 06/08 15:27
→ luciferii:問題你這種沒法跟VMM溝通的東西要怎麼用到雲端資源我很 06/08 15:28
→ luciferii:好奇 06/08 15:28
怎麼又繞回去了? 繞太多次囉?!
談的是一個可分權授權給租用者使用其專用 key 對進出該虛擬機範圍(含
其對應的實體)資訊做加解密的VMM, 不跑的VM guest OS 是加密或可查核
一體性方式存儲的檔案, 出實體磁碟 進租用者VMM 就被核查解密, 從 VM
裝載開機跑起來. 此時的 guest os, VM 都受租用者vmm的小貨櫃房管轄,
幹嘛要加密? VMM 只要對因存取對象引發vmm trap的來源做適當的判別,
就能得到是否該對存取對象作加解密的處理. 在 租用者VMM 之上的VM 本
就無權也無能力偵查 VMM.
→ luciferii:繞來繞去的是你,還一直把VMM當成單純的VM在看... 06/08 22:56
推 luciferii:整台機器含整套VMM租人家都還是有信任問題了 06/08 23:09
→ luciferii:不知道在異想天開什麼... 06/08 23:10
→ luciferii:從一開始亂扯雲端掃毒掃license...聽別人一點一滴教你 06/08 23:11
→ luciferii:什麼是雲端,學到東西就好好去唸,不要聽多少就一知半解 06/08 23:12
→ luciferii:畫出更奇怪的大餅... 06/08 23:12
那要好好謝謝您一點一滴在教我了. 不過, 很可惜, 很愚鈍沒學到甚麼重要
結論. 不知是否可再提示您的開示?
TPM, IBM vTPM sHype, Intel TXT, Trusted Computing, Secure Migration
及現在的雲端安全也都提到 remote operator's interference, 相關的做法
就是 Secure Hypervisor.雲端 operator 掃走 license key, 這問題一點都
不是我劃的大餅. 雲端就是已有這類解答提案, 一切也就在往前走了.
推 luciferii:別把自己跟人家扯在一塊,要防OP這塊本來就是雲端安全 06/09 00:03
→ luciferii:討論的一部分,但是沒人會去提過"怕掃毒軟體偷licence" 06/09 00:04
→ luciferii:這種狀況外問題,Secure Hypervisor我也早跟你講過用途 06/09 00:05
→ luciferii:從一個錯誤前提開始的蠢問題,到一問到雲端就連基本概念 06/09 00:06
→ luciferii:都不懂的回應,不要東拉西扯到最後講到好像人家雲端安 06/09 00:06
→ luciferii:全的研究就跟你考量的一樣...自己看看你討論串裏扯了哪 06/09 00:07
→ luciferii:些不著邊際的東西.... 06/09 00:07
在記憶體與磁碟裡掃瞄, 不就是偷窺的基本行為? 掃毒不也就是某類惡意軟體
的藉口或途徑? 這些都是已存在的現況, 認清問題去面對解決吧! 不是去消滅
或舉發那類惡意軟體, 不然就是有提供不同的防護途徑或憑證能以資區別! 這
種宣導法完全就是企圖強教,愚弄,那能談上教導? 這不可能是行得通的.
推 luciferii:你先搞懂自己在寫些什麼再繼續辯吧... 06/09 02:00
要辯甚麼? 使用 secure hypervisor 的雲端虛擬機就是會考量用戶的機密安
全, 只想做掃瞄的似乎沒這種想法也不知如何避嫌. 有些人不想替客戶考量,
但技術不就已來到眼前? 這種心態, 這行看來是殆.....
→ luciferii:你還在以為雲端有個OP在VMM上裝個掃毒掃VM的記憶體和hdd 06/09 23:10
→ luciferii:不懂又不去了解還想批評的心態才是最可笑的.... 06/09 23:10
→ luciferii:我覺得你第一件事先別搞懂什麼是 雲端掃毒和在雲端掃毒 06/09 23:12
→ luciferii:更惶論老提那個你也搞不懂還一直掛嘴上的security Hyper 06/09 23:12
→ luciferii:你先搞懂什麼叫 Hypervisor 和它倒底在作啥,再慢慢嘴砲 06/09 23:13
從古代就有此故事: 蘇東坡看佛印.
雲端 OP 在 vmm 裝掃毒掃 VM 的記憶體?
不用如此麻煩啦! 若不是 hardware supported Hypervisor, OP 的權限
都能在 kernel mode 執行程式, 那個記憶體區他用工具掃不到? 說防毒
軟體會掃瞄還真抬舉幹這行的, 這還得要OP以其權限誤用惡意掃毒軟體!
這類軟體霸了人家機器, 專幹記憶體與用戶檔案掃瞄的, 還不准人家批評
這種行為是否過當? 這還不夠接近流氓行徑?
反正別人都不懂, 那還害怕甚麼? 急著如此氣急敗壞的悍衛...? 可嘆!
推 luciferii:悍衛? 不會啊...從頭到尾都只是來看老師的笑話而已... 06/10 01:41
→ luciferii:看你最後一段還真是自曝對 Hypervisor 真的一無所知.lol 06/10 01:41
→ luciferii:只有你以為這整串有人在悍衛防毒... 06/10 01:43
推 luciferii:你應該自己回去看這串你自己的第一個問題,再對照你學到 06/10 01:50
→ luciferii:的基本雲端知識...如果你看了還是不會自己笑出來...我勸 06/10 01:51
→ luciferii:你以後還是別對雲端或掃毒發表意見了...... 06/10 01:51
看別人笑話? 這不就是還可以繼續嗎? 您幹嘛還要擔心別人發表意見?! 這太漏餡!
如此關切, 真個是讓人受寵若驚! 您這樣不照鏡不知...的說, 說得更讓人大笑啦!
說不出方案來, 解不了問題. 就別在此題丟...啦! 用這種招也能混! 難怪
這行不太樂觀.
※ 編輯: ggg12345 來自: 140.115.5.45 (06/10 02:24)
→ askeing:到後面已經不懂老師到底是在什麼基礎下、信任什麼的狀況下 06/10 02:44
→ askeing:提出要防止雲端公司的偷看了!? 06/10 02:44
→ askeing:簡單說,現在的雲端安全,通常都是保證同硬體、同VMM上的 06/10 02:45
→ askeing:VM,能設定成互相切開獨立而不會被影響,已這樣的方式讓 06/10 02:46
→ askeing:用戶安心,因為租用VM同時,不知道跑在哪裡,也許有其他人 06/10 02:46
→ askeing:租用的機器想要竊聽資訊等等~都可以透過這方式擋掉 06/10 02:47
→ askeing:至於磁碟加密,這是可行的。 06/10 02:47
→ askeing:然而run起來的時候的記憶體加密,似乎則不可行 06/10 02:48
→ askeing:理由如前所述,即使在VMM上弄出所謂的驗證查核機制 06/10 02:48
→ askeing:這時候又回到了,到底信不信任提供VMM的雲端公司這個議題 06/10 02:49
→ askeing:對於一個已經不信任的公司,他們提供一個機制供人檢查 06/10 02:49
→ askeing:然而機制真的是正常運行嗎?還是模組可能會被抽換或更動? 06/10 02:50
→ askeing:VMM和硬體整個都在別人那邊,到底要怎樣才能真的讓人信任 06/10 02:52
→ askeing:根本就是一個大問題,而不是單純說說就可以說服客戶 06/10 02:52
→ askeing:何況光是老師上面回的DomU不想讓Dom0看封包的例子就可看出 06/10 02:54
→ askeing:DomU不加密,轉手給Dom0加密,要送出時讓VMM解密 06/10 02:54
→ askeing:許多重要操作都跑去VMM了,這時候VMM要怎樣讓人信任? 06/10 02:54
→ askeing:且真的這樣加密解密,封包一多掉的速度應該很可觀 06/10 02:57
→ askeing:加上多吃的額外負擔,一台伺服器上面能跑的VM會降低 06/10 02:57
→ askeing:這只是封包部份,當所有VM的記憶體都加上一堆機制來加密… 06/10 02:58
→ askeing:我想老師您的想法立意良好,但似乎有點太理想化了 ^^a 06/10 02:59