Virtualization by Security A novel antivirus for personal computers Università degli Studi di...

Virtualization by Security

A novel antivirus for personal computers

Università degli Studi di Bergamo

Corso di Laurea SpecialisticaIn Ingegneria Informatica

Balduzzi Marco

Sessione straordinaria, 2 Marzo 2007

2 Marzo 2007 – Facoltà di Ingegneria, Dalmine (BG) Slide 2

Descritta in letteratura dal paradigma C.I.D.

Confidenzialità: offrire l’accesso ai dati e alle risorse e soltanto a chi ne ha l'autorità;

Integrità: permettere la modifica dei dati e delle risorse alle persone autorizzate e in modo consistente;

Disponibilità: garantire l’accesso assicurato e tempestivo ai dati e alle risorse di cui si dispone il permesso.

Sicurezza Informatica


I convenzionali meccanismi di protezione vengono alterati ed evasi da:

• gli stessi utenti del sistema (anche involontariamente,

» personal firewall e antivirus / wireless hot-spot)

• intrusi esterni

• software pericoloso (virus e malware)

… sono talvolta inefficaci (VPN)

Furti e perdite compromettono la confidenzialità delle informazioni

Le ragioni della sfida


Creazione di una versione “virtuale” dell’hardware per poter eseguire contemporaneamente più sistemi operativi su uno stesso sistema

Applicazioni

• riduzione dei costi attraverso l’aggregazione delle risorse (mainframe server consolidation)

• test di software particolare (driver, firmware, kernel)

• implementazione di sistemi esca (honeypot)

• …

Il concetto di Virtualizzazione


Server consolidation – L’approccio tradizionale

Guest OS# 1

PC Hardware

Sistema Operativo Ospitante

System

Ap

p. A

Macchina Virtuale

Ap

p. B

Ap

p. C

SystemSistemaOspite

# 2

Ap

p. A

Ap

p. B

Ap

p. C

System

Ap

p. A

Ap

p. B

Ap

p. C

SistemaOspite

#3 ApplicazioneIndipendente

SistemaOspite

# 1


La soluzione

Uso della virtualizzazione per separare i meccanismi di sicurezza dal sistema utente in un sottosistema isolato

Protezione e amministrazione sicura delle funzionalità di sicurezza

Applicazione rigida delle politiche di sicurezza

Sicurezza trasparente al sistema utente

Miglioramento delle soluzioni di protezione convenzionali (disk encryption)

Ulteriori servizi di sicurezza (controllo dei dispositivi rimuovili)

Infrastruttura di gestione omogenea e integrata


Security by Virtualization – Il nuovo paradigma

Security Shell (secureOS)“SecureOS”

Network Connection

Control

ControlloConnessioni di

reteAntivirusAntivirus

BackupBackupDisc Encryption

Crittografia del Disco

Amministrazioneservizi

Hot-plugDevice Control

GestioneDispositivi Rimuovibili

Interfaccia di amministrazione Servizi di sicurezza

User ControlCenter

Centro di Controllo per

l’Utente

User OperatingSistema Operativo dell’Utente

secureOSAmministrazione “SecureOS”

PC Hardware

Macchina Virtuale

Amministrazione OS Utente


Security by virtualization – Decentralizzazione

Management CenterManagement Center

Security Management

Security Management

Packaging

Software Deployment

Packaging

Software Deployment

Amministratore di Sistema

Amministratore della Sicurezza

Management CenterManagement Center

Security Management

Security Management

Packaging

Software Deployment

Packaging

Software

Management CenterCentro di Amministrazione

Security Gestionesicurezza

Mantenimento software

Packaging

Software

Packaging

Software

Packaging

Software

Packaging

Software Software Monitoring

Client 1

SecOS

VMM

Client 2

SecOS

VMM

Client 3

SecOS

VMM

Client n

SecOS

VMM

Personal Computers


Hard-disk fisico

Native Windows Sistema Operativo

dell’Utente

Librerie di Windows

Applicazione

File-system (FAT / NTFS)

Driver dell’Antivirus

PersonalAntivirus

Personal Antivirus

Applicazione

Applicazione

Applicazione

Sistema operativo Utente

Librerie di Windows

Applicazione

File-system (FAT / NTFS)

Applicazione

Macchina Virtuale

Hard-disk virtuale

Antivirus Driver

Network scan AntivirusImage scan On-accessscan

Virtualizzato

Mettiamo in sicurezza l’Antivirus


Tre tipologie di Antivirus

On-access scan: scansione in tempo reale dei file acceduti

Network scan: scansione automatica delle connessioni di rete; comprese le VPN, alcuni protocolli crittografici (https) e su dispositivi rimuovibili (wireless, UMTS..)

Image scan: scansione del sistema utente e protezione copie di backup


On-access scan

Security ShellSecurity Shell

Windows User systemWindows

User system

VMMVMM

On- accessscan

On- accessscan

Antivirusagent

Antivirus

Sector

Scan

cacheAntivirus engine

Antivirus engine

NTFS driver

VMM Image

Scan and Feedback

Centro di Amministrazione

Configuration

Management

SecureOSSecureOS

Windows User system

Sistema OperativoUtente

On- accessscan

On-accessscan

Antivirusagent

Info

rma

zio

ne

su

i Se

tto

ri

Vir

us-

sca

n

Interazionecon l’Utente

CacheAntivirus

Antivirus engine

Antivirus Engine

Driver NTFS

ImmagineHard-disk

Scan e Feedback

Amministrazione

Monitoring

Macchina Virtuale

Agente dell’Antivirus


Problematiche affrontate (1)

Efficiente sincronizzazione tra cache dell’antivirus,

file-system sistema-utente e contenuto del disco

Cache veloce: struttura dati ad albero bilanciato

(AVL). Sovraccarico di bilanciamento compensato da

un miglioramento del 70% nella gestione di dati non

casuali (accessi ripetitivi e sequenziali)


Problematiche affrontate (2)

Algoritmo veloce: flag di modifica dei file / singoli

blocchi, “preload” della cache con strutture dati

ricorrenti (file di avvio), scansione di file significativi

per estensione (no metadata) o sorgente (dispositivi)

Cache efficiente: ricostruzione del contenuto solo quando necessario (reverse engineering dell’NTFS)

Antivirus efficiente in termini di memoria e affidabilità


VM Net

Filtro x Antivirus

Sistema Operativo dell’Utente

Tabella di routing

Motore discansione

SecureOSKernel

Macchina Virtuale

AgenteNetwork-scan

Databasedriver

dispositivie vpn

Interfacce di rete

#1 Ethernet

#2 Wireless(PCMCIA rimuovibile)

#3 UMTS( USB rimuovibile)

Interfaccia n-esima

Configura

Configura

Co

nfi

gu

raF

eed

bac

k

#4 VPNCentro di Controllo per l’Utente

Databasedelle

policy

VPNAntivirus

Dispositivirimuovibili

VM Net

Network scan


Image scan

Il sistema operativo dell’utente è un file immagine (ISO) della macchina virtuale

In formato semplice corrisponde alla struttura di un normale hard-disk (partizione C: inizia al 63° settore)

Accesso al contenuto in lettura e scrittura per mezzo dei driver LINUX Fat32 e NTFS-3G

Scansione offline evita problemi quali

• incompletezza di scansione (contenuto desincronizzato)

• corruzione file-system durante scrittura


Disk encryption (1)

Impedire il furto di informazioni in caso di furti e smarrimenti

Protezione globale: “secureOS” e Sistemi Utente

Crittografia trasparente al Sistema Utente

Crittografia forte: AES128 in modalità CBC-ESSIV

Autenticazione pre-boot: password, token hardware

Gestione centralizzata delle credenziali (recupero

facile)


Disk encryption (2)

Disco dati

Partizione di Avvio

Tokenamministratore

Decriptala chiave USB

Utente

Utente

zoobar

bar

zoo

zoo

DecriptaIl disco

Semplicemente un file vuoto

Unlock

ID dei Computer e relative Password Dati crittografati

Password

File


Conclusioni

Virtualizzazione quale approccio innovativo alle sfide della sicurezza informatica

Un nuovo modello di antivirus garantisce una più efficiente e affidabile protezione contro le crescenti minacce di virus e malware

Le convenzionali soluzioni di sicurezza traggono evidenti vantaggi dal proposto modello di virtualizzazione

Nuovi efficaci meccanismi possono essere rapidamente sviluppati.

Virtualization by Security A novel antivirus for personal computers Università degli Studi di...

Documents

Transcript of Virtualization by Security A novel antivirus for personal computers Università degli Studi di...