Re: I: [ml] sicurezza dei sistemi operativi in ambienti virtualizzati

La cosa interessante e' sapere cosa ci si puo' eventualmente trovare in
queste aree di memoria "condivise".
Chissa' se vengono attivamente pulite o se per questioni di performance
il contenuto non viene toccato.

L'accesso ad aree di memoria non consentito e' ovviamente operato dalla
CPU come avviene normalmente per ogni applicazione, la differenza e' che
prima di passare questo segnale al kernel della macchina virtuale viene
intercettato anche dal motore di virtualizzazione di vmware che decide
che fare.

L'emulazione e' tale che le macchine virtuali non posso sapere se stanno
girando su hardware vero o meno, diversamente non sarebbe possibile
installare un comune sistema operativo senza modificarlo.

Che poi l'emulazione sia perfetta o meno e' un altro paio di maniche e
quindi ci sono potenzialmente buchi sfruttabili per verificare o
addirittura interagire con l'hardware vero, si tratta solo di trovarli.

Simo.

On Tue, 2006-07-25 at 21:46 +0200, Mailing List Manager wrote:
> ----- Forwarded message from Rissone Ruggero <ruggero.rissone(at)telecomitalia.it> -----
> Subject: R: I: [ml] sicurezza dei sistemi operativi in ambienti virtualizzati
> From: Rissone Ruggero <ruggero.rissone(at)telecomitalia.it>
> To: ml(at)sikurezza.org
> 
> Per quanto riguarda la memoria, la funzionalita' di Idle Memory Tax
> permette il rilascio di memoria riservata da una VM scarica ad una VM
> sotto carico.
> Si ha quindi la possibilita' di sfruttare al meglio le risorse di
> memoria a disposizione.  Tipico esempio : 16 GB di RAM a disposizione, e
> hai 10 Server 2K3 con 2 GB l'uno (20 GB richiesti). Il sistema non
> collassa e ti lascia attivi i 10 server in quanto l'Idle Memory Tax
> sicuramente libera RAM da server che non sfruttano tutti i 2 GB.
> 
> Le singole VM non possono pero' indirizzare piu' di 2 GB di RAM, ma al
> momento non ho visto articoli su come vengono definiti (ed eventualmente
> bloccati) i puntatori della base.
> 
> Ruggero
> 
> -----Messaggio originale-----
> Da: ml-bounces(at)sikurezza.org [mailto:ml-bounces(at)sikurezza.org] Per conto di ego(at)olografix.org
> Inviato: marted? 25 luglio 2006 9.14
> A: ml(at)sikurezza.org
> Oggetto: Re: I: [ml] sicurezza dei sistemi operativi in ambienti virtualizzati
> 
> Comunque, io non ho ancora trovato risposta al discorso dell'interazione
> reale fra macchina ospitata ed ospitante per quel che concerne l'accesso
> alla RAM e/o drivers specifici. Oppure nessuno dell'engeneering di EMC
> (vmware) mi ha detto "quello che dici non ? possibile perch?". Ci? mi fa
> pensare che in realt? ci stiano ancora lavorando...
> 
> 
> Federico
> --------------------------------------------------------------------
> 
> CONFIDENTIALITY NOTICE
> 
> This message and its attachments are addressed solely to the persons above and may contain confidential information. If you have received the message in error, be informed that any use of the content hereof is prohibited. Please return it immediately to the sender and delete the message. Should you have any questions, please contact us by replying to webmaster(at)telecomitalia.it.
> 
>         Thank you
> 
>                                         www.telecomitalia.it
> 
> --------------------------------------------------------------------
>                         
> 
> ----- End forwarded message -----
> ________________________________________________________
> http://www.sikurezza.org - Italian Security Mailing List