Università degli Studi di Bergamo Virtualization by Security A novel antivirus for personal computers Corso di Laurea Specialistica In Ingegneria Informatica Balduzzi Marco Sessione straordinaria, 2 Marzo 2007 Sicurezza Informatica Descritta in letteratura dal paradigma C.I.D. Confidenzialità: offrire l’accesso ai dati e alle risorse e soltanto a chi ne ha l'autorità; Integrità: permettere la modifica dei dati e delle risorse alle persone autorizzate e in modo consistente; Disponibilità: garantire l’accesso assicurato e tempestivo ai dati e alle risorse di cui si dispone il permesso. 2 Marzo 2007 – Facoltà di Ingegneria, Dalmine (BG) Slide 2 Le ragioni della sfida I convenzionali meccanismi di protezione vengono alterati ed evasi da: • gli stessi utenti del sistema (anche involontariamente, » personal firewall e antivirus / wireless hot-spot) • intrusi esterni • software pericoloso (virus e malware) … sono talvolta inefficaci (VPN) Furti e perdite compromettono la confidenzialità delle informazioni 2 Marzo 2007 – Facoltà di Ingegneria, Dalmine (BG) Slide 3 Il concetto di Virtualizzazione Creazione di una versione “virtuale” dell’hardware per poter eseguire contemporaneamente più sistemi operativi su uno stesso sistema Applicazioni • riduzione dei costi attraverso l’aggregazione delle risorse (mainframe server consolidation) • test di software particolare (driver, firmware, kernel) • implementazione di sistemi esca (honeypot) • … 2 Marzo 2007 – Facoltà di Ingegneria, Dalmine (BG) Slide 4 Server consolidation – L’approccio tradizionale App. C Sistema Ospite System #2 App. B App. A App. C App. B App. A App. C App. B App. A Sistema Guest OS Ospite # 1 System #1 Sistema Ospite System #3 Applicazione Indipendente Macchina Virtuale Sistema Operativo Ospitante PC Hardware 2 Marzo 2007 – Facoltà di Ingegneria, Dalmine (BG) Slide 5 La soluzione Uso della virtualizzazione per separare i meccanismi di sicurezza dal sistema utente in un sottosistema isolato Protezione e amministrazione sicura delle funzionalità di sicurezza Applicazione rigida delle politiche di sicurezza Sicurezza trasparente al sistema utente Miglioramento delle soluzioni di protezione convenzionali (disk encryption) Ulteriori servizi di sicurezza (controllo dei dispositivi rimuovili) Infrastruttura di gestione omogenea e integrata 2 Marzo 2007 – Facoltà di Ingegneria, Dalmine (BG) Slide 6 Security by Virtualization – Il nuovo paradigma Amministrazione OS Utente Sistema Operativo dell’Utente User Operating Macchina Virtuale “SecureOS” Security Shell (secureOS) Amministrazione servizi Amministrazione secureOS “SecureOS” Centro di User Control Controllo per Center l’Utente Controllo Network Connessioni di Connection rete Control Crittografia Disc del Disco Backup Backup Encryption Interfaccia di amministrazione Antivirus Antivirus Gestione Hot- plug Dispositivi Device Rimuovibili Control Servizi di sicurezza PC Hardware 2 Marzo 2007 – Facoltà di Ingegneria, Dalmine (BG) Slide 7 Security by virtualization – Decentralizzazione Personal Computers Client 1 Client 2 Client 3 Client n VMM VMM VMM VMM SecOS SecOS SecOS SecOS Management Center Centro di Amministrazione Management Management Center Center Amministratore di Sistema Packaging Packaging Mantenimento software Software Software Deployment Deployment 2 Marzo 2007 – Facoltà di Ingegneria, Dalmine (BG) Packaging Packaging Monitoring Software Software Gestione Security Security sicurezza Management Management Amministratore della Sicurezza Slide 8 Mettiamo in sicurezza l’Antivirus Applicazione Applicazione Native Windows Applicazione Applicazione Sistema Operativo dell’Utente Personal Personal Antivirus Antivirus Librerie di Windows Driver dell’Antivirus File-system (FAT / NTFS) Hard-disk fisico Sistema operativo Utente Applicazione Applicazione Virtualizzato Librerie di Windows File-system (FAT / NTFS) Macchina Virtuale Antivirus Driver Hard-disk virtuale Network scan 2 Marzo 2007 – Facoltà di Ingegneria, Dalmine (BG) Image scan Antivirus On-access scan Slide 9 Tre tipologie di Antivirus On-access scan: scansione in tempo reale dei file acceduti Network scan: scansione automatica delle connessioni di rete; comprese le VPN, alcuni protocolli crittografici (https) e su dispositivi rimuovibili (wireless, UMTS..) Image scan: scansione del sistema utente e protezione copie di backup 2 Marzo 2007 – Facoltà di Ingegneria, Dalmine (BG) Slide 10 On-access scan Security SecureOS Shell Security SecureOS Shell Sistema Operativo Windows Windows Utente User User system system Informazione sui Settori Macchina Virtuale VMM VMM Sector Agente dell’ Antivirus Antivirus Antivirus agent Amministrazione Configuration Management Monitoring On-access OnOn-access access scan scan scan Immagine VMM Image Hard-disk NTFSNTFS driver Driver Virus-scan Interazione con l’Utente Scan Cache cache Antivirus Antivirus Antivirus Antivirus Engine engine engine ScanScan and Feedback e Feedback Centro di Amministrazione 2 Marzo 2007 – Facoltà di Ingegneria, Dalmine (BG) Slide 11 Problematiche affrontate (1) Efficiente sincronizzazione tra cache dell’antivirus, file-system sistema-utente e contenuto del disco Cache veloce: struttura dati ad albero bilanciato (AVL). Sovraccarico di bilanciamento compensato da un miglioramento del 70% nella gestione di dati non casuali (accessi ripetitivi e sequenziali) 2 Marzo 2007 – Facoltà di Ingegneria, Dalmine (BG) Slide 12 Problematiche affrontate (2) Algoritmo veloce: flag di modifica dei file / singoli blocchi, “preload” della cache con strutture dati ricorrenti (file di avvio), scansione di file significativi per estensione (no metadata) o sorgente (dispositivi) Cache efficiente: ricostruzione del contenuto solo quando necessario (reverse engineering dell’NTFS) Antivirus efficiente in termini di memoria e affidabilità 2 Marzo 2007 – Facoltà di Ingegneria, Dalmine (BG) Slide 13 Network scan Sistema Operativo dell’Utente Macchina Virtuale VM Net Configura Feedback #1 Ethernet Motore di scansione Filtro x Antivirus VM Net SecureOS Kernel #2 Wireless (PCMCIA rimuovibile) #3 UMTS ( USB rimuovibile) Tabella di routing Centro di Controllo per l’Utente Antivirus Dispositivi rimuovibili VPN #4 VPN Agente Network-scan Configura Database delle policy Interfaccia n-esima Interfacce di rete Database driver dispositivi e vpn 2 Marzo 2007 – Facoltà di Ingegneria, Dalmine (BG) Configura Slide 14 Image scan Il sistema operativo dell’utente è un file immagine (ISO) della macchina virtuale In formato semplice corrisponde alla struttura di un normale harddisk (partizione C: inizia al 63° settore) Accesso al contenuto in lettura e scrittura per mezzo dei driver LINUX Fat32 e NTFS-3G Scansione offline evita problemi quali • incompletezza di scansione (contenuto desincronizzato) • corruzione file-system durante scrittura 2 Marzo 2007 – Facoltà di Ingegneria, Dalmine (BG) Slide 15 Disk encryption (1) Impedire il furto di informazioni in caso di furti e smarrimenti Protezione globale: “secureOS” e Sistemi Utente Crittografia trasparente al Sistema Utente Crittografia forte: AES128 in modalità CBC-ESSIV Autenticazione pre-boot: password, token hardware Gestione centralizzata delle credenziali (recupero facile) 2 Marzo 2007 – Facoltà di Ingegneria, Dalmine (BG) Slide 16 Disk encryption (2) Utente Decripta la chiave USB Semplicemente un file vuoto Token amministratore bar Unlock bar zoo Partizione di Avvio Utente ID dei Computer e relative Password Dati crittografati Password File Decripta Il disco Disco dati zoo zoo 2 Marzo 2007 – Facoltà di Ingegneria, Dalmine (BG) Slide 17 Conclusioni Virtualizzazione quale approccio innovativo alle sfide della sicurezza informatica Un nuovo modello di antivirus garantisce una più efficiente e affidabile protezione contro le crescenti minacce di virus e malware Le convenzionali soluzioni di sicurezza traggono evidenti vantaggi dal proposto modello di virtualizzazione Nuovi efficaci sviluppati. meccanismi 2 Marzo 2007 – Facoltà di Ingegneria, Dalmine (BG) possono essere rapidamente Slide 18