Телохранитель для гипервизора

Исследователи из университета Северной Каролины в содружестве с IBM создали прототип защитной системы, которая измеряет целостность гипервизора в скрытом режиме и в реальном времени.

Кибератаки на уровне гипервизора пока большая редкость, но в случае успеха их последствия могут быть катастрофическими. HyperSentry автономен от гипервизора и собирает данные по протоколу IPMI, используя собственный канал. Для запуска он вызывает обработчик системных прерываний SMI. В отличие от прочих защитных решений, HyperSentry проверяет не только область, выделенную под гипервизор, но и внутреннюю память ЦП, задействованную в его работе. Таким образом, если хитроумный зловред, скрываясь от обнаружения, задумает передислоцировать гипервизор, он а) не заметит слежки и b) не найдет укромного уголка.

Новый инструмент совместим с платформой Xen и будет представлен на 17-й конференции ACM по компьютерной и сетевой безопасности (CCS 2010). Его авторы в настоящее время работают над созданием версии для среды Linux KVM и надеются, что их технология займет достойную нишу на рынке open-source продуктов. В настоящее время ее реализация ограничивается серверными платформами. По словам разработчиков, одной из перспективных областей применения HyperSentry может стать мониторинг корпоративных систем управления.

Академические исследования на данном направлении финансируют Управление НИР сухопутных войск США, фонд NSF и компания IBM. Ранее этой же командой был создан прототип системы, которая блокирует попытки записи любого исполняемого кода на уровне гипервизора и предотвращает несанкционированные модификации кода. Инструмент был назван HyperSafe [PDF 197 Кб] и может теперь использоваться как дополнение к HyperSentry. Первую разработку в этой области университет Северной Каролины представил на суд общественности в прошлом году.