Security by Virtualization - A novel antivirus for

Università degli Studi di Bergamo
Virtualization by Security
A novel antivirus for personal computers
Corso di Laurea Specialistica
In Ingegneria Informatica
Balduzzi Marco
Sessione straordinaria, 2 Marzo 2007
Sicurezza Informatica
Descritta in letteratura dal paradigma C.I.D.
 Confidenzialità: offrire l’accesso ai dati e alle risorse e soltanto a chi ne ha
l'autorità;
 Integrità: permettere la modifica dei dati e delle risorse alle persone
autorizzate e in modo consistente;
 Disponibilità: garantire l’accesso assicurato e tempestivo ai dati e alle
risorse di cui si dispone il permesso.
2 Marzo 2007 – Facoltà di Ingegneria, Dalmine (BG)
Slide 2
Le ragioni della sfida
 I convenzionali meccanismi di protezione vengono alterati ed
evasi da:
• gli stessi utenti del sistema (anche involontariamente,
» personal firewall e antivirus / wireless hot-spot)
• intrusi esterni
• software pericoloso (virus e malware)
 … sono talvolta inefficaci (VPN)
 Furti e perdite compromettono la confidenzialità delle
informazioni
2 Marzo 2007 – Facoltà di Ingegneria, Dalmine (BG)
Slide 3
Il concetto di Virtualizzazione
 Creazione di una versione “virtuale” dell’hardware per poter
eseguire contemporaneamente più sistemi operativi su uno
stesso sistema
 Applicazioni
• riduzione dei costi attraverso l’aggregazione delle risorse
(mainframe server consolidation)
• test di software particolare (driver, firmware, kernel)
• implementazione di sistemi esca (honeypot)
• …
2 Marzo 2007 – Facoltà di Ingegneria, Dalmine (BG)
Slide 4
Server consolidation – L’approccio tradizionale
App. C
Sistema
Ospite
System
#2
App. B
App. A
App. C
App. B
App. A
App. C
App. B
App. A
Sistema
Guest
OS
Ospite
# 1 System
#1
Sistema
Ospite
System
#3
Applicazione
Indipendente
Macchina Virtuale
Sistema Operativo
Ospitante
PC Hardware
2 Marzo 2007 – Facoltà di Ingegneria, Dalmine (BG)
Slide 5
La soluzione
 Uso della virtualizzazione per separare i meccanismi di sicurezza dal
sistema utente in un sottosistema isolato
 Protezione e amministrazione sicura delle funzionalità di sicurezza
 Applicazione rigida delle politiche di sicurezza
 Sicurezza trasparente al sistema utente
 Miglioramento delle soluzioni di protezione convenzionali (disk
encryption)
 Ulteriori servizi di sicurezza (controllo dei dispositivi rimuovili)
 Infrastruttura di gestione omogenea e integrata
2 Marzo 2007 – Facoltà di Ingegneria, Dalmine (BG)
Slide 6
Security by Virtualization – Il nuovo paradigma
Amministrazione
OS Utente
Sistema
Operativo dell’Utente
User Operating
Macchina Virtuale
“SecureOS”
Security
Shell (secureOS)
Amministrazione
servizi
Amministrazione
secureOS
“SecureOS”
Centro di
User Control
Controllo
per
Center
l’Utente
Controllo
Network
Connessioni
di
Connection
rete
Control
Crittografia
Disc del
Disco
Backup
Backup
Encryption
Interfaccia di amministrazione
Antivirus
Antivirus
Gestione
Hot- plug
Dispositivi
Device
Rimuovibili
Control
Servizi di sicurezza
PC Hardware
2 Marzo 2007 – Facoltà di Ingegneria, Dalmine (BG)
Slide 7
Security by virtualization – Decentralizzazione
Personal Computers
Client 1
Client 2
Client 3
Client n
VMM
VMM
VMM
VMM
SecOS
SecOS
SecOS
SecOS
Management
Center
Centro
di Amministrazione
Management
Management
Center
Center
Amministratore
di Sistema
Packaging
Packaging
Mantenimento
software
Software
Software
Deployment
Deployment
2 Marzo 2007 – Facoltà di Ingegneria, Dalmine (BG)
Packaging
Packaging
Monitoring
Software
Software
Gestione
Security
Security
sicurezza
Management
Management
Amministratore
della Sicurezza
Slide 8
Mettiamo in sicurezza l’Antivirus
Applicazione
Applicazione
Native Windows
Applicazione
Applicazione
Sistema Operativo
dell’Utente
Personal
Personal
Antivirus
Antivirus
Librerie di Windows
Driver dell’Antivirus
File-system (FAT / NTFS)
Hard-disk fisico
Sistema operativo Utente
Applicazione
Applicazione
Virtualizzato
Librerie di Windows
File-system (FAT / NTFS)
Macchina Virtuale
Antivirus Driver
Hard-disk virtuale
Network scan
2 Marzo 2007 – Facoltà di Ingegneria, Dalmine (BG)
Image scan
Antivirus
On-access
scan
Slide 9
Tre tipologie di Antivirus
 On-access scan: scansione in tempo reale dei file acceduti
 Network scan: scansione automatica delle connessioni di rete;
comprese le VPN, alcuni protocolli crittografici (https) e su
dispositivi rimuovibili (wireless, UMTS..)
 Image scan: scansione del sistema utente e protezione copie di
backup
2 Marzo 2007 – Facoltà di Ingegneria, Dalmine (BG)
Slide 10
On-access scan
Security
SecureOS
Shell
Security
SecureOS
Shell
Sistema
Operativo
Windows
Windows
Utente
User
User system
system
Informazione
sui Settori
Macchina
Virtuale
VMM
VMM
Sector
Agente
dell’
Antivirus
Antivirus
Antivirus
agent
Amministrazione
Configuration
Management
Monitoring
On-access
OnOn-access
access
scan
scan
scan
Immagine
VMM Image
Hard-disk
NTFSNTFS
driver
Driver
Virus-scan
Interazione
con l’Utente
Scan
Cache
cache
Antivirus
Antivirus
Antivirus
Antivirus
Engine
engine
engine
ScanScan
and Feedback
e Feedback
Centro di Amministrazione
2 Marzo 2007 – Facoltà di Ingegneria, Dalmine (BG)
Slide 11
Problematiche affrontate (1)
 Efficiente sincronizzazione tra cache dell’antivirus, file-system
sistema-utente e contenuto del disco
 Cache veloce: struttura dati ad albero bilanciato (AVL).
Sovraccarico di bilanciamento compensato da un miglioramento
del 70% nella gestione di dati non casuali (accessi ripetitivi e
sequenziali)
2 Marzo 2007 – Facoltà di Ingegneria, Dalmine (BG)
Slide 12
Problematiche affrontate (2)
 Algoritmo veloce: flag di modifica dei file / singoli blocchi,
“preload” della cache con strutture dati ricorrenti (file di avvio),
scansione di file significativi per estensione (no metadata) o
sorgente (dispositivi)
 Cache efficiente: ricostruzione del contenuto solo quando
necessario (reverse engineering dell’NTFS)
 Antivirus efficiente in termini di memoria e affidabilità
2 Marzo 2007 – Facoltà di Ingegneria, Dalmine (BG)
Slide 13
Network scan
Sistema Operativo dell’Utente
Macchina Virtuale
VM Net
Configura
Feedback
#1 Ethernet
Motore di
scansione
Filtro x
Antivirus
VM Net
SecureOS
Kernel
#2 Wireless
(PCMCIA rimuovibile)
#3 UMTS
( USB rimuovibile)
Tabella di routing
Centro di Controllo per l’Utente
Antivirus
Dispositivi
rimuovibili
VPN
#4 VPN
Agente
Network-scan
Configura
Database
delle
policy
Interfaccia n-esima
Interfacce di rete
Database
driver
dispositivi
e vpn
2 Marzo 2007 – Facoltà di Ingegneria, Dalmine (BG)
Configura
Slide 14
Image scan
 Il sistema operativo dell’utente è un file immagine (ISO) della
macchina virtuale
 In formato semplice corrisponde alla struttura di un normale harddisk (partizione C: inizia al 63° settore)
 Accesso al contenuto in lettura e scrittura per mezzo dei driver
LINUX Fat32 e NTFS-3G
 Scansione offline evita problemi quali
• incompletezza di scansione (contenuto desincronizzato)
• corruzione file-system durante scrittura
2 Marzo 2007 – Facoltà di Ingegneria, Dalmine (BG)
Slide 15
Disk encryption (1)
 Impedire il furto di informazioni in caso di furti e smarrimenti
 Protezione globale: “secureOS” e Sistemi Utente
 Crittografia trasparente al Sistema Utente
 Crittografia forte: AES128 in modalità CBC-ESSIV
 Autenticazione pre-boot: password, token hardware
 Gestione centralizzata delle credenziali (recupero facile)
2 Marzo 2007 – Facoltà di Ingegneria, Dalmine (BG)
Slide 16
Disk encryption (2)
Utente
Decripta
la chiave USB
Semplicemente
un file vuoto
Token
amministratore
bar
Unlock
bar
zoo
Partizione di Avvio
Utente
ID dei Computer e relative
Password
Dati crittografati
Password
File
Decripta
Il disco
Disco dati
zoo
zoo
2 Marzo 2007 – Facoltà di Ingegneria, Dalmine (BG)
Slide 17
Conclusioni
 Virtualizzazione quale approccio innovativo alle sfide della
sicurezza informatica
 Un nuovo modello di antivirus garantisce una più efficiente e
affidabile protezione contro le crescenti minacce di virus e
malware
 Le convenzionali soluzioni di sicurezza traggono evidenti
vantaggi dal proposto modello di virtualizzazione
 Nuovi efficaci
sviluppati.
meccanismi
2 Marzo 2007 – Facoltà di Ingegneria, Dalmine (BG)
possono
essere
rapidamente
Slide 18