OS X kan crackes igennem Windows i VMware

På et eller andet plan, kommer det ikke bag på mig.
Let the flame war begin...

Men da fejlen er rettet, har det vel ikke betydning? Skal vi opdateres for hver fejl, der findes, og ikke længere eksisterer?

Da jeg læste overskriften fik jeg det indtryk, at Vmware officielt havde tilladt, at man kører Mac OS X i Vmware under Windows.
Brug dog crack, hvis der menes ondsindet hacking (har indsendt rettelse).

Det ser ud til at Theo de Raadt, fra OpenBSD, får mere og mere ret i han udtalelse:
"You are absolutely deluded, if not stupid, if you think that a worldwide collection of software engineers who can't write operating systems or applications without security holes, can then turn around and suddenly write virtualization layers without security holes."

Synd at flere ikke forstår at selv om virtualisering kan være et rart værktøj, så øger det ikke sikkerheden, i dette tilfælde tvært imod.

Det er ikke kun VMware Fusion det er galt med.

http://www.vmware.com/security/advisories/VMSA-2009-0006.html

#4

Hvem vaelger virtualisering for sikkerheden? o.O

#4

Hvem vaelger virtualisering for sikkerheden? o.Ofidomuh (#6)

Hvor mange tror du har sikkerheden med i overvejelserne når man vælger at virtualisere?

i dette tilfælde tvært imodMr.Weasel (#4)

Skulle vi nu ikke lige klappe hesten, Einstein?

#7

Hvor mange tror du har sikkerheden med i overvejelserne når man vælger at virtualisere?

"Alle" ville jeg da haabe, men da ikke mere end man normalt har naar man vaelger at bygge et system ovenpaa et andet.

"Hvor mange har sikkerheden i tankerne naar de vaelger platform?", fristes jeg til at spoerge.
Forhaabentligt er svaret det samme: "Alle" :D

#7

"Alle" ville jeg da haabe, men da ikke mere end man normalt har naar man vaelger at bygge et system ovenpaa et andet.

"Hvor mange har sikkerheden i tankerne naar de vaelger platform?", fristes jeg til at spoerge.
Forhaabentligt er svaret det samme: "Alle" :Dfidomuh (#9)

Du ved lige så godt som jeg gør at du taler om ønske tænkning.
Sikkerheden er et af de første steder der bliver nedprioriteret når budgettet skal beskæres. Du ved det her med at man ikke kan hvad pengene går til. Lydet det som dig som om man har de fornødne sikkerhedsmæssige overvejelser?

Så er det jo superfedt lige at have uploadet og et image med 2.0.3 på og hentet det ned til en 100 maskiner XD

Skal så bare lige gøres for EN fucking lille spasser update der bare er vildt vigtig...
AAAAAARRRGH!!

Undrede mig sku også at der kom en så hurtigt efter 2.0.3'eren...

#11 Det er vel forhåbentlig ikke noget du gør manuelt?

#6 Jeg har mere end en enkelt gang hørt sikkerhed præsenteret som et af hovedargumenterne for valget af virtualisering og praktisk talt aldrig hørt "Bedre hardware udnyttelse" som hovedårsag. Det værste jeg endnu har hørt er ideen om at snapshots af virtualiserede maskiner til rollback i tilfælde af f.eks. virus eller andre ubudende gæster.

Det kan da godt være at det lugter af "Security by Obscurity", men et hullet OS på en hullet virtualisering på et andet hullet OS er helt sikkert totalt set mindre hullet end den enkelte de.
Lidt ligesom når man putter 2 lettere utætte plastposer inden i hinanden. Resultatet er at der løber mindre vand ud.

I dette tilfælde skal vi altså have et hullet Windows OS. Det er måske ikke så svært at finde, men du skal stadig have noget maliciøst software der finder hullet.
Derfra skal softwaren så finde ud af at det kører på en hullet virtualisering, og derefter finde ud af hvilke huller i det omkringliggende OS der kan udnyttes. Altsammen i en enkelt lille pakke.

Men selvfølgelig er det smartere at have 3 spamsendende softwarestumper end kun 1: 1 spamgenerator i det inderste OS, 1 i virtualiseringslaget. (Ja, indrøm at VmWare med det rette haxx0r software vil kunne være en glimragende mailsender), og endelig et værts-OS, som kan arbejde for os. Dejligt.

Rent bortset fra det, så findes der masser af valide strategier for virtualisering, som ikke nødvendigvis tager udgangspunkt i sikkerhed.

<MS fanboi>
MWUAHAHAHA!!!! SÅ OSX ER JO SKOD!!!

BWUAAAHAHAHA hvor er OSX skod, der det beviser at Windows er bedre fordi.... hvis... man kører... Windows igennem OSX... så kan man cracke Xp, og igennem det også OSX... erhmm... HAHA... erhhh... pis.
</MS fanboi>

Men her snakker vi vel i princippet ikke om at cracke OSX, men nok nærmere om at udnytte en fejl i VMWARE, som OSX åbenbart har givet nærmest direkte adgang til hardwaren.... Så nyheden er vel nærmere at VMWARE havde en fejl?

#15 Men hvis det var nyheden så er der jo ikke mulighed for at folk ville bruge 200 indlæg på at lege flamewar => færre hits => færre reklame penge. :-)

Jeg synes beskrivelsen er meget uklar.

Overskriften lyder som om der er et sikkerhedshul i OS X, og at for at udnytte det skal angrebet udføres fra en maskine der kører Windows under VMware. (Det giver selvfølgelig ingen mening, så jeg ved godt det ikke er sådan den skal forstås).

Det næste problem er så hvad det her overhovedet har med OS X sikkerhed at gøre. Ikke ret meget så vidt jeg kan se.

Kører VMware under OS X i user mode, eller kræver det noget specielt kode i kernen? Det vil gøre en forskel for, hvor alvorligt et hul i VMware kan blive.

Hvad jeg overhovedet ikke forstår i den her nyhed er, hvorfor den påstår hullet kun kan udnyttes hvis guest OS er Windows. Det burde jo være den samme VMware der kører uanset hvad guest OS er. Hvis man opnår fuld kontrol over guest OS må man da kunne udnytte hullet uanset hvad guest OS er. (Hvis alt andet glipper kan man jo reboote guest systemet for at få det til at køre Windows, men jeg er sikker på at mindre må kunne gøre det).

[update]Efter at have læst artiklen kan jeg se, at det ikke skal forstås sådan, at angrebet kun kan udnyttes hvis guest OS er Windows. De har blot kun implementeret angrebet til Windows som guest OS, men de overvejer at også implementere det til Linux. Computerworld artiklen er dog heller ikke specielt klar.[/update]

Synd at flere ikke forstår at selv om virtualisering kan være et rart værktøj, så øger det ikke sikkerheden, i dette tilfælde tvært imod.Mr.Weasel (#4)

Hvis du kun snakker virtualisering, så har du nok desværre ret. Det skyldes primært at virtualisering bliver så kompliceret, til dels fordi arkitekturen ikke er designet til at kunne virtualiseres.

Snakker man derimod om paravirtualisering, så er det meget simplere, og dermed mindre risiko for fejl. Man må ikke glemme at adskillelsen mellem kerne og user mode på mange punkter ligner en virtualisering. Forskellen er blot, at interfaces fra user mode til kerne er meget forskellige fra dem fra OS til hardware.

#10

Du ved lige så godt som jeg gør at du taler om ønske tænkning.

Jada, men det var nu mere for at stille det i en slags kontrast.
Jeg tror at stort set alle taenker paa sikkerheden, uanset hvilken loesning de kigger paa.

Om den bliver nedprioriteret fremfor andre fordele, er individuelt, men alligevel 100% forstaaeligt.

Sikkerheden er et af de første steder der bliver nedprioriteret når budgettet skal beskæres.

Selvfoelgelig.
En konsulent jeg snakkede med igaar havde et sjovt eksempel:
"Naar du tager seler paa, har du saa altid seler, h-seler, livrem og en faldskaerm paa? - Eller kan du noejes med det der passer til lejligheden?"

Det er et spoergsmaal om praktikalitet og formaal, i mine oejne.
Penge skal man jo altid taenke paa, men umiddelbart ser jeg "sikkerhed" som en "gratis" investering, da unix/linux ikke koster licenspenge ;)

Du ved det her med at man ikke kan hvad pengene går til. Lydet det som dig som om man har de fornødne sikkerhedsmæssige overvejelser?

"Fornoedne" er meget subjektivt for formaalet og implementeringen, men umiddelbart, ja.
Hvis ikke, saa boer den it-ansvarlige nok revurdere om han er kompetent nok til opgaven.

Men det var lidt mere uddybet end det burde have vaeret, generelt boer man have sikkerhed med i alle overvejelser, virtualisering helt specifikt da man bygger et system ovenpaa et andet system = ~2 muligheder for sikkerhedsbrister :)