Навигация

Популярные статьи

Авторские и переводные статьи

Пресс-релизы

Регистрация на сайте


Опрос
Какие телеканалы вы смотрите чаще?







Новая технология SICE позволяет кардинально защищить виртуальные машины от взлома


9 октября 2011 | IT-новости / На русском языке / Мир | Добавил: Ольга Кравцова
Группа исследователей разработала способ создания изолированных доверенных сред на виртуальных машинах. Новая разработка под названием Strongly Isolated Computing Enviroment (SICE) позволяет совмещать на одном компьютере как обычные виртуальные машины, так и машины требующие высокой степени безопасности, ввиду работы с конфиденциальной информацией. SICE была разработана совместными усилиями группы исследователей из Государственного университета Северной Каролины и корпорации IBM. Авторы проекта говорят, что сейчас разработка находится в стадии прототипа.

Авторы проекта говорят, что SICE в случае доведения этой технологии до стадии коммерческого проекта, позволит решить одну из самых серьезных сложностей, с которыми сталкиваются современные коммерческие пользователи, работающие с виртуализацией, - вероятность взлома гипервизора и автоматическое получение доступа к виртуальным ОС и их данным.

Хотя SICE тоже использует гипервизор для связи с сетью и другими узлами, эта технология использует низкоуровневую функциональность чипов x86 для проведения расчетов и напрямую взаимодействует с контроллером памяти. Говоря более точно, SICE использует технологию SMM (Systems Management Mode), присутствующую в x86-чипах, для "запирания" определенных регионов в памяти сервера таким образом, что даже гипервизор не может получить к ним доступ.

"Несмотря на то, что это всего лишь один компьютер, он может быть разделен на две или более совершенно изолированных друг от друга среды. SICE использует чрезвычайно малое количество кода для создания системной изоляции - около 300 строк кода, но они делают систему гораздо безопаснее", - говорит Пэн Нинг, программист из Государственного университета Северной Каролины в США.

По его словам, для того, чтобы SICE была распространена шире, требуется дополнительная работа, в частности совершенствование алгоритма по запиранию блоков в памяти компьютера. "Нынешняя версия использует функциональность, которая изначально была создана в расчете на функции, связанные с управлением компьютером, а не с его безопасностью", - говорит он.

Впервые SMM была представлена в чипах 386SL для управления рядом системных событий независимо от операционной системы. К таким функциям относится, в частности, режим сна. Однако в современных условиях, SMM также можно адаптировать и для блокировки так называемых буткитов - вредоносного ПО, активируемого до загрузки операционной системы.

На современных многоядерных процессорах, система позволяет командовать одним ядром чипа, создавая для него выделенный сегмент памяти в ОЗУ. Кроме того, авторы разработки говорят, что существующая сейчас версия технологии работает только под SMM процессоры AMD. Сами авторы системы спроектировали первую версию SICE под связку чипов AMD, операционную систему Ubuntu и виртуализатор KVM. Для подключения к KVM необходим специальный драйвер, реализованный разработчиками SICE.

Источник: CyberSecurity
Комментарии (0) | Распечатать | | Добавить в закладки:  

Другие новости по теме:


 



Телепрограммы для газет и сайтов.
25-ть лет стабильной работы: телепрограммы, анонсы, сканворды, кроссворды, головоломки, гороскопы, подборки новостей и другие дополнительные материалы. Качественная работа с 1997 года. Разумная цена.

Форум

Фоторепортажи

Авторская музыка

Погода

Афиша

Кастинги и контакты ТВ шоу

On-line TV

Партнеры

Друзья

Реклама

Статистика
Главная страница  |  Регистрация  |  Добавить новость Copyright © 2002-2012 Все о ТВ и телекоммуникациях. Все права защищены.