НовостиСобытияКонференцииФорумыIT@Work
Безопасность:

Блог

Не нужно верить в неуязвимость гипервизоров

Валерий Васильев
18.10.2013 12:52:52

Даже там, где собираются ИБ-специалисты, часто можно слышать заявления о практической неуязвимости гипервизоров.

Я согласен с тем, что крупные разработчики ПО стали уделять гораздо больше внимания ИБ своих продуктов. Особенно заметно это в последние года три. Это касается и платформ виртуализации (см. заметку по результатам конференции, которую недавно провела "Лаборатория Касперского", где об этом было проговорено в очередной раз).

Но на той же конференции прозвучало напоминание о том, что дыры в гипервизорах все же есть. Боле того, есть, увы, примеры их использования.

Так, Сергей Яремчук, в прошлом году в своих публикациях напомнил о том, что название специфической атаки на гипервизор hyperjacking утвердилось после того, как в ходе атаки, использовавшей уязвимость в гипервизоре HyperVM, в 2009г. было уничтожено более 100 тыс. сайтов хостера LXLabs.

Рафал Вайджук (Rafal Wojtczuk) и Ян Бейлих (Jan Beulich) обнаружили в 2012г. уязвимость (CVE-2012-0217), которой подвержен гипервизор Xen, а Йордан Грушковняк (Jordan Gruskovnjak) опубликовал результаты анализа возможностей ее эксплуатации.

Комментариев: 6

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии

18.10.2013 20:13:25

Никогда не слышал тезиса о "неуязвимости гипервизоров". Уязвим в той же степени, что и обычное ПО.

18.10.2013 20:20:56

почаще ходи на тусовки ИБшников - тогда услышишь

18.10.2013 20:26:07

Потому и не хожу, чтобы не слушать подобное smile:)

18.10.2013 20:30:09

напрасно манкируешь мнением целого направления в ИКТ (которое, кстати, принимает там все большее значение)

18.10.2013 20:42:25

У меня почему ИБешники стойко ассоциируются в ГАИшниками... Причем, как это ни странно, западные ИБешники - с западной полицией, а наши местные - с нашими местными....
А разница между полицейскими на дорогах известна очень хорошо: там - обеспечивают движение и безопасность, у нас - как бы "срубить"....

18.10.2013 20:49:25

вот пусть российские ИБшники, начиная с тех, кто их регулирует, с такой оценкой своей работы и ознакомятся

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии