アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ研究家
度々言われる事ですが (スコア:5, すばらしい洞察)
ついでに、それらを運用するのは人間だし、問題が起きるとしたらまずはこっちからですよね。
で、結局は色々と金を動かす為のプロジェクトにしか見えん訳で。
Re:度々言われる事ですが (スコア:5, すばらしい洞察)
こういう機構を使うとたとえば企業のWindows PCに
ありがちなUSBメモリーにデータを保存出来ないように
するという機構は作れますよね。
また、情報漏洩の兆候を発見するとVMがその機能である
セキュアな通信経路を使って管理者に通知するという
ことも出来るでしょう。
これにはVMのレイヤーから情報漏洩を正確に
判定できるかという問題があるとは思います。
個人的にはVMでは低レベル過ぎて逆にこういう検出は
難しいのではないかと思うのですよね。
例えば、ゲストOSから外に出す情報を全て暗号化
してしまえば単純にパターンマッチで不正を検出
するというのは難しくなるでしょうから。
#身内に関係者が居ることが判明したのでAC
Re:度々言われる事ですが (スコア:0)
この点についてどなたかちょっと教えていただきたいのですが、将来、たとえばウルトラUSB といった規格ができて、ゲスト OS にはそのドライバが装備されたとして、VM ではそれから情報が漏洩するかどうかの検出がちゃんとできるのでしょうか?
それとも、知らない I/O のアクセスは全部トラップしちゃう?
Re:度々言われる事ですが (スコア:5, 参考になる)
知っていても知らなくても全てのI/OはVMにより管理
されています。ウルトラUSBという規格があったとしても
これを逃れることは出来ません。Xen 3.0風のアプローチ
をするとすると、VMが扱いを知らない機器をゲストOSに
扱わせる場合には仮想PCIデバイスを見せて、これ経由で
実際のデバイスに触らせ、実際のデバイスに直に
触らせることは無いと思います。
ただ、前の投稿でも書いた通り、通信する内容を
暗号化することでチェックを逃れようとすることは
可能でしょう。これに対応する簡単なアプローチは、
暗号化したデータの扱いを禁止することです。
しかし、これをするとSSLなんかの通信も出来
なくなりますし、機密データが暗号化されずに
ディスクに入ることになるので本末転倒ですね。
なお、VMとOSの関係はOSとアプリケーションの関係に
近いので、これで理解すると良いかと思います。OSは
アプリケーションが自由にファイルアクセスするのを
調停する仕事をしますが、この時OSはアプリケーション
がどういうアクセスをしたかを全て把握しています。
VMとOSの関係としても同じで、全てのデバイスは
ゲストOSから見ればVMが管理、制御しており、
VMの監視を逃れてそれらを操作することはできません。
(VMをクラックすれば別ですが...)
Re:度々言われる事ですが (スコア:0)
Re:度々言われる事ですが (スコア:0)
> 暗号化することでチェックを逃れようとすることは
> 可能でしょう。
VMだとレイヤが低すぎて問題だというのはそのあたりですね。これを監視するにはOSと同じレベルでWinInetをフックした方が簡単です。
# それ何てrootkit?
Re:度々言われる事ですが (スコア:0)
では、I/O それ自体はいいとして、その上につくられるファイルシステムは知らなくてもいいのでしょうか?
OS とアプリケーションとの関係の例ですと、ファイルシステムを扱っているのは OS ですが、VM とゲスト OS だとゲスト OS が扱っているので VM がファイルシステムを知らないと内容をチェックできないのではないでしょうか?
(たとえば FAT32 は理解できるけど HFS+ は理解できない VM の上で動くゲスト OS が HFS+ のファイルシステムに書き込むような場合)