Virtualização e segurança: Phoeninx e OpenBSD

A Darkreading anunciou hoje que a Phoenix (aquela que, provavelmente, fez a BIOS do seu computador...), vai estar trabalhando junto com Joanna Rutkowska, uma expert de segurança e desenvolvedora do Blue Pill (um prova de conceito de um rootkit que utiliza técnicas de virtualização para se esconder), para criar um novo supervisor que, pelo que eu entendi, vai "substituir" a BIOS de alguns computadores. Com isso os usuários poderiam rodar nativamente o Windows Vista e outro sistema operacional mais seguro, no qual eles podiam fazer suas transações bancárias, por exemplo. A troca entre os sistemas seria feita através de teclas de atalho, e tudo seria o mais transparente possível para o usuário.

O objetivo do trabalho em conjunto é fazer o supervisor de máquinas virtuais o menor possível, já que, segundo Joanna, um dos problemas com as soluções de virtualização atuais é que elas são extremamente complexas, e portando sujeitas a bugs e falhas de segurança.

Falando de falhas de segurança em virtualização,
Theo de Raadt, criador do Open BSD, postou um ponto de vista interessante em uma lista de discussão do OpenBSD. Segundo ele a idéia de que virtualização vai aumentar segurança é simplesmente estúpida. A explicação é que o hardware do x86 simplesmente não oferece recursos suficiente para garantir um perfeito isolamento entre os sistemas operacionais (um dos pontos mais comentados sobre virtualização). No posto ele diz:

"Virtualização em X86 consiste basicamente colocar outro kernel, cheio de novos bugs, para rodar sobre uma a terrível arquitetura do x86, que mal tem um esquema de proteção de páginas bom. Você então roda seu sistema operacional sobre essa nova pilha de merda. Você está completamente enganado, ou então é um estúpido, se pensa que tantos engenheiros de software ao redor do mundo, que não conseguem nem escrever um sistema operacional ou uma aplicação sem uma falha de segurança, podem magicamente escrever camadas de virtualização sem falhas de segurança."


Matérias originais: http://www.darkreading.com/document.asp?doc_id=137368 e http://kerneltrap.org/OpenBSD/Virtualization_Security

Marcadores: