Cerca nel blog

2009/10/23

Virtualizzatevi!

Macchine virtuali gratis con VirtualBox e VMWare


Una delle soluzioni di sicurezza informatica suggerita da un recente rapporto del SANS Technology Institute per evitare gran parte degli attacchi ai servizi online, già segnalato in quest'articolo, è la virtualizzazione. In pratica si tratta di creare, all'interno del vostro computer, un ambiente nel quale gira un altro sistema operativo, da usare esclusivamente per le transazioni sicure.

Terminata la transazione, l'ambiente viene sterilizzato e ricreato da zero la volta successiva, per cui qualunque infezione informatica viene annullata.

Per creare quest'ambiente si installa un programma apposito che genera una "macchina virtuale", ossia un computer simulato tramite software. E' su questa macchina che viene installato il sistema operativo alternativo, che viene ospitato dal sistema operativo primario. Per semplificare: immaginate una finestra di Windows nella quale gira un altro Windows o Linux. Quella è la virtualizzazione.

Oltre a consentire transazioni online meno insicure, la virtualizzazione offre un altro vantaggio: permette di provare un sistema operativo o un programma senza contaminare il sistema operativo principale del computer o di mantenere in vita i vecchi programmi facendoli girare nel loro sistema operativo su un computer dotato di un sistema più recente.

Ovviamente far girare due sistemi operativi contemporaneamente richiede un computer vivace (soprattutto molta memoria RAM). Oltre che in alcune versioni di Windows 7, il software necessario è disponibile in forma gratuita presso siti come Virtualbox.org e Vmware.com per tutti i principali sistemi operativi; se volete una lista più estesa di software per virtualizzazione, date un'occhiata a Wikipedia in inglese o alla versione italiana un po' più esile.

36 commenti:

Luigi Rosa ha detto...

Sul PC di casa ho da 2,5 anni vmware workstation dentro cui girano, inconsapevoli, un po' di windows di test per vari progetti. Ovviamente il sistema ospitante deve essere solido, altrimenti non si va da nessuna parte.

Sempre da un paio d'anni ho iniziato a rendere consapevoli i clienti dell'esistenza della tecnologia, che può far risparmiare un sacco di soldi di energia elettrica.

Potrei citare moltissimi esempi a supporto di questa tecnologia, che val veramente la pena di adottare, non solamente per la funzione di auto-rollback che hai citato.

Willy ha detto...

È bene ricordare che per virtualizzare legalmente un sistema Windows occorre averne la licenza.

John Stalky ha detto...

Io ho cominciato ad usare VirtualBox da qualche mese per ricreare macchine oramai obsolete ma che mi servono per fare assistenza ad alcuni clienti e devo dire che mi si è aperto un mondo.

Certo che però resettare una macchina virtuale per ogni connessione alla banca non è comunque il massimo della vita. X esempio scaricare e salvare l'estratto conto significa salvarlo e poi copiarlo sulla tua macchina "reale"... si fa me che palle!

Luigi Rosa ha detto...

@John Stalky: vale sempre la legge del lucchetto e della bicicletta. Comunque anche io prima di fare operazioni dubbie sulle VM creo un checkpoint della VM, faccio l'operazione dubbia e poi faccio un rollback della VM.

Tra l'altro per vSphere 4 (AKA vmware ESX[i] 4.0) sono già disponibili dei prodotti che usano delle API pubbliche di vSphere che permettono di fare scansione antimalware dall'"esterno" dalla VM. In questo modo nemmeno un rootkit dentro la VM può intercettare quel tipo di scansioni.

UnoGrigio ha detto...

Alternativa alla VM, per la sicurezza: un bel Live CD.

dgrossato ha detto...

Se a qualcuno interessa ho fatto una serie di lucidi su cos'è la virtualizzazione e i relativi benefici.

Cos'è la virtualizzazione

Grazie

Davide

Nico Timeo ha detto...

@UnoGrigio
Il Live CD può andar bene fino ad un certo punto. A volte la versione del browser che ci ritrovi sopra non è aggiornata, quindi mancano tutte le patch di sicurezza che spesso vengono rilasciate proprio per evitare problemi di questo genere!

Lejak ha detto...

Il problema sarà sempre l'utente medio, chi conosce il mondo dell'informatica (Anche a livello base) sa di dover prendere delle precauzioni, siano esse virtualizzare, usare determinati browser o direttamente altri SO. Ma l'utente "da facebook" non lo farà mai (A meno che non gli dite che WLM o Facebook girano solo su macchine virtuali :D)

dgrossato ha detto...

@Lejak: Se partiamo da questo assunto non c'è speranza allora. Io preferisco pensare che l'utente medio non sia stupido e tentare di trasmettere qualcosa che possa aiutarlo. Non cambierò il mondo certo, ma almeno farò qualcosa tipo dirgli "Fa più figo usare WLM e Facebook su una macchina virtuale" :D

Federico ha detto...

ne parla anche da tempo Joanna Rutkowska nel suo blog, come ad esempio nella pagina:

http://theinvisiblethings.blogspot.com/2008/09/three-approaches-to-computer-security.html

oppure in questa intervista:

http://www.tomshardware.com/reviews/joanna-rutkowska-rootkit,2356-6.html

molto interessante, ma molto tecnico - purtroppo non sono certamente consigli validi per tutti!

Pax ha detto...

Uso vmware e virtualbox per i test.
La virtualizzazione e' fantastica! Specialmente per i test di programmi per i clienti. Prepari la machina virtuale, la setti, fai la snapshot, esegui il test, ripristini la snapshot e hai la macchina pronta per un altro test. Riportata alle condizioni iniziali. Tropo bello.

Emanuele Ciriachi ha detto...

E' molto comodo - lo usiamo in ufficio per testare il sito della compagnia con versioni differenti di browser che non possono coesistere sulla stessa installazione: Internet Explorer 8, 7 e... ancora il 6, purtroppo.

angros ha detto...

Io una volta usavo Bochs, adesso QEMU (che, tra l' altro, permette addirittura di emulare i 64 bit su processori a 32).

Sapevate che QEMU, con alcuni trucchetti, si può usare anche da DOS?

Van Fanel ha detto...

Una volta pensavo che le macchine virtuali fossero la cosa più inutile dell'universo... oggi non potrei vivere senza i miei numerosi snapshot! :)

Robert ha detto...

io non sono ancora riuscito a convertire il mio "Vista" (regolarmente licenziato con l'acquisto del pc) in virtual machine.

vmware mette a disposizione un tool di conversione, ma la macchina virtuale generata non mi funziona.

Siccome oramai vivo su linux, mi piacerebbe avere vista virtualizzato per le poche cose per cui mi è ancora necessario.

ehm.. si.. ok.. io faccio il contrario dell'articolo, voglio partire da linux per andare a windows.. :D

keaton ha detto...

Attenzione: forse ho capito male, ma leggendo l'articolo mi sembra che si consigli di virtualizzare l'ambiente "per transazioni finanziarie", ma la cosa giusta da fare -che come ovvio consiglia anche il SANS- è di virtualizzare l'ambiente da usarsi per uso "standard".

Da un punto di vista teorico, se è compromesso l'ambiente "che ospita" neanche quello ospitato è -a rigore- più sicuro. Il viceversa è molto più "improbabile", poichè dipende in primis dall'esistenza di vulnerabilità sfruttabili nell'infrastruttura di virtualizzazione (eg: isolamento non perfetto).

Certo, visto che le transazioni finanziare rappresentano una minor parte dell'uso on-line di un PC, è più pratico virtualizzare l'ambiente "finanziario", ma è anche appunto molto ma molto meno sicuro.

Federico ha detto...

Le macchine virtuali ormai sono indispensabili per fare dei test. Ma sono anche utilizzate abitualmente dalle grandi aziende in sostituzione dell'hardware fisico.

Il senso dell'articolo però è un po' diverso.

Tramite prodotti di virtualizzazione è possibile avere tra i propri programmi in esecuzione svariati programmi, che vengono visualizzati come se fossero eseguiti "localmente", ma che sono invece eseguiti ognuno su di una macchina virtuale diversa.

Siccome ogni macchina virtuale è isolata dalle altre (bug del sistema di virtualizzazione esclusi) ogni programma non può in alcun modo fare danni ad alcun altro.

Ovviamente non sono risolti tutti i problemi di sicurezza della terra, bisogna valutare come sono configurate le macchine virtuali, se i programmi da virtualizzare sono aggiornati, etc. etc.
Però è una strategia molto furba e - se utilizzata bene - molto vantaggiosa.

Andrea B. ha detto...

In uffico da noi il capo si è innamorato del MAC e pian piano stiamo pensionando i PC.

Problemino: Entourage (il programma di posta che ora usiamo sul MAC) non legge i file archivio di Outlook ( .PST ) così ci siamo dovuti creare un ambiente virtuale con Windows dove facciamo girare il vecchio Outlook.

L' unico problema è che lo spazio assegnato a questo ambiente virtuale non è enorme e quel che è peggio non espandibile (sembra).

Nick ha detto...

LiveCD, macchine virtuali, Linux... ma non è mica semplice.

Vallo a spiegare a una persona "normale" non pratica di tecnologia ... cioè al 99% della gente (perché bisogna includere anche quelli che CREDONO di essere competenti). Va cambiato radicalmente l'intera tecnologia [dici poco... :( ]

ps ormai a livello aziendale la virtualizzazione ha smesso di essere un tool ed è pienamente in produzione.

Mone ha detto...

microsoft mette a disposizione delle immagini di windows con scadenza. In teoria le da per testare i vari IE ma sono a tutti gli effetti dei windows funzionanti: le trovate qui

Paolo Attivissimo ha detto...

Keaton,

la cosa giusta da fare -che come ovvio consiglia anche il SANS- è di virtualizzare l'ambiente da usarsi per uso "standard".

In realtà propone le due cose: virtualizzare l'ambiente standard o quello finanziario.

Marco Casati ha detto...

per Andrea B

Prova "Outlook to Mac" (10$ a quanto ricordo)
Forse risolve il problema

(e usa mail al posto di Entourage)

Pax ha detto...

@Andrea b

se usi virtualbox c'e' un opzione al momento della creazione del harddisk virtuale che ti permette di crearlo a dimensione fissa o espandibile automaticamente.

Se hai bisogno ti faccio avere le schermate e i passi per farlo.

theDRaKKaR ha detto...

@Andrea B e Marco Casati

questo dovrebbe fungere anche per Entourage 2008

http://www.microsoft.com/Downloads/details.aspx?displaylang=it&FamilyID=9b95cfe2-ea2b-4088-af2c-2fd497e2a6f8

theDRaKKaR ha detto...

segnalo che, per testare eseguili sospetti in Windows, esiste un software opensource che riesce a creare attorno all'exe un spazio di Windows fittizio SENZA usare una virtualizzazione vera e propria

si chiama Sandboxie

http://www.sandboxie.com/

Anonimo ha detto...

Io invece proporrei di farsi tutti furbi e se si vuole usare un pc, magari prima farsi un bel corso e leggersi qualche libro.
Troppa gente si fa usare dal pc, mentre dovrebbe essere il contrario!!

CtRiX ha detto...

La virtualizzazione con la sicurezza ha poo a che vedere.

Se mi installano un keylogger, non c'è macchina virtuale che tenga: possono sniffare quello che scrivo.

La virtualizzazione può aiutare per rendere più sicuro qualche aspetto, ma non può assolutamente sostituire un utente smaliziato e, soprattutto, un buon sistema operativo.

Nick ha detto...

A tutti quelli che dicono che "bisogna imparare a usare il PC" chiedo: avete idea di quanto TEMPO ha una persona "normale", con figli da gestire, lavoro lontano, genitori da aiutare...
Quando si è giovani di tempo ce n'è, ma poi evapora. Manca il tempo per cose più importanti, figuriamoci stare chini su manuali e tastiere. Deve cambiare la tecnologia. Dipendere da un computer, un OS, un software, un antivirus, un firewall... è un castello esagerato.

Federico ha detto...

La virtualizzazione con la sicurezza ha poo a che vedere.

da un lato hai perfettamente ragione: non è che ad esempio Windows virtualizzato è, così per magia, più sicuro di Windows "normale".

però tramite la virtualizzazione puoi isolare le applicazioni, e questo può essere un notevole valore aggiunto ad un sistema già protetto.

ad esempio puoi utilizzare un browser virtualizzato su di una macchina virtuale per la navigazione normale, ed un secondo browser su di una seconda macchina virtuale per le transazioni finanziarie. Magari questa seconda macchina la configuri per andare in HTTPS solo ed esclusivamente sul sito della tua banca.

Con VMWare Fusion, o con Virtual PC o altro, tu non vedi nemmeno la macchina virtuale sottostante: puoi richiamare le applicazioni dal menù start o dal finder. E sei ragionevolmente certo che il browser per la navigazione normale non possa in alcun modo interagire con il browser per le transazioni finanziarie.

Chiaro che la tua macchina reale e le tue macchine virtuali devono essere configurate come si deve, altrimenti questo sistema è solo una complicazione che non risolve praticamente nulla!

Magari un giorno non scaricheremo più FireFox... ma scaricheremo l'applicativo virtualizzato.
Ovviamente i problemi di sicurezza si ripresenteranno quando faremo interagire l'applicativo con il resto del sistema (copia file, clipboard, etc.).

Domenico ha detto...

Nuove notizie apparentemente assurde sulla luna:
http://www.corriere.it/scienze_e_tecnologie/09_ottobre_23/scoperto-buco-luna_6b9c18d0-bfd3-11de-856b-00144f02aabc.shtml

qualcuno conferma, tipo Paolo che è molto "lunatico"?

Paolo Attivissimo ha detto...

qualcuno conferma, tipo Paolo che è molto "lunatico"?

Confermo. Molto interessante.

dexedra ha detto...

Ciao a tutti,
è possibile con qualche accorgimento creare queste fatidiche macchine virtuali che funzionino come una piccola prigione.
Ad esempio è possibile installare Windows 7 (anche la versione di prova gratuita) in una virtual machine di VirtualBox o VMware Server che sono entrambi gratuiti: installare un programma in un ambiente isolato

Mousse ha detto...

Buona l'idea della virtualizzazione, attenzione però che essendo la macchina virtuale visibile dalla rete, un eventuale malware/virus/altrocosobrutto presente sul pc che ospita la VM potrebbe infilarcisi nel tempo in cui la macchina virtuale è attiva ed in uso per la transazione.

Quindi anche se su una VM, temo che abbiate bisogno di un antimalware/antivirus seri. Se invece usate un liveCD potete stare decisamente più tranquilli ma è necessario un riavvio della macchina e potrebbe essere scomodo dover riavviare due volte solo per controllare il vostro conto corrente.

A quanto so, esistono altre alternative: programmi che usano il sistema della "sandbox" per isolare le applicazioni tra loro e rispetto al sistema operativo: il vantaggio è che non richiedono l'installazione di un OS "intero" diciamo così. Per Windows, ad esempio c'è sandbboxie. Per linux, il sistema operativo è già sandbox-abile (scusate il neologismo) di suo con un pò di trick.
Per Mac lascio l'onore e l'onere della ricerca ai creden.. ehm ai mac-user :p

Riguarlo la licenza, è necessaria per tutti gli OS commerciali (Mac, Windows in primis) oppure potete virtualizzare il vostro CD d'installazione. Resettando la VM allo stato del primo avvio non dovete nemmeno attivare Windows XP.

Ultima cosa, per chi ha un Sony VAIO recente: aggiornate il BIOS tramite il sito del produttore perchè le estensioni per la virtualizzazione dei processori Intel sono disattivate nella versione originale e le prestazioni delle VM sono un pò ridotte.

Pax ha detto...

Beh come sempre vale la regola, porta aperta verso l'esterno = porta aperto anche verso l'interno e come amava dire un mio ex-collega: Un computer sicuro e' un computer SPENTO. :-D

Quindi alla fine, come sempre. si possono solo limitare i danni...

:-D

La quest per la sicurezza non finira' mai, purtroppo (sigh)

Pax ha detto...

Ah ci sarebbe un modo per limitare i danni ma e' un po' complicatuccio...

Sarebbe attrezzarsi con un computer connesso ad internet solo per gli acquisti online assolutamente tagliato fuori dalla rete locale di casa vostra. Si puo' fare connettendolo tramite i modem usb.

Su quello ci navigate e ci fate le porcate che volete e lo usate anche per gli acquisti on-line

Dotarsi di carta di debito ricaricabile e ricaricarla allo sportello (no transazioni via internet) ed usare quella carta di debito per gli acquisti on-line.

Benefici

1) Carta di debito a cui non possono rubare piu' soldi di quanti ce ne sono sopra (e magari tenere sopra appena abbastanza soldi per gli acquisti programmati)

2) Computer "boxato" su cui ci fate quello che volete e tanto, visto che non e' sulla rete di casa vostra, i vari morbi di morgellons informatici non si propagano.

Contro

1) Dover sempre fare affidamento allo spoertello bancario/postale per ricaricare la vostrta carta di debito

2) Altri che non mi vengono in mente ma di sicuro ci sono.

Che ne dite? Fatemi sapere

Ciro ha detto...

Ciao ragazzi,prima di fare certe operazioni in tutta sicurezza,dovete imparare a BLINDARE IL VOSTRO COMPUTER NEL VERO SENSO DELLA PAROLA!

Questo non significa che basta virtualizzarlo,ma dovete modificare anche alcuni comportamenti mentre fate certe operazioni.

http://www.facebook.com/topic.php?uid=11171618175&topic=8091

Se poi pensate che basta un solo antivirus per stare tranquilli,BE ILLUDETEVI PURE!