安全问题成虚拟化技术发展双刃剑

    虚拟化技术正在成为市场关注的热点。但什么是虚拟化技术，虚拟化技术到底可以给企业应用方面带来哪些便利，虚拟化技术能够给企业创造多少价值、带来多大的投资回报率。甚至于虚拟化技术的安全可靠性到底怎么样，在市场上都还没有形成一个定论。

　　早在几年前，许多安全顾问就使用一台或者多台“测试机”（Crash-and-Burn Machine），把对可能有危害的程序进行试验，譬如间谍软件、特洛伊木马和计算机病毒放到一台虚拟机里。这个时候发现虚拟机的使用可以明显节省磁盘空间和电源功耗外，还可以比较容易地弄清楚某个间谍软件对虚拟机造成了什么破坏，比在物理机器上进行分析来得更为容易。

　　如果要使用物理服务器做“测试机”，需要把操作系统安装到多个硬盘驱动器上、为这些硬盘驱动器制作镜像、间谍软件造成破坏后恢复镜像等。这个时候，你可能需要一个9GB驱动器中安装上了Windows 2000，在另一个9GB驱动器上安装上了Linux，还有多个9GB驱动器上装有多个版本的这些系统，而这些系统处于不同的破坏和攻击状态。笔者完成了对一个新的间谍软件进行试验后，就会把参考硬盘逐个数据块拷回到工作硬盘上。这样可以确保安装了干净的操作系统，可以准备另一次试验。这个过程非常得枯燥也非常得繁琐。 但如果使用虚拟机就使这个过程简单了很多，你只需要把被攻击过的虚拟机直接释放掉可以了。

　　然而，虚拟化也在另一方面增加了安全隐患。因为Cookie和浏览器缓存文件连同其他各种内容保存在虚拟机里面，所以使用VMware的Browser Appliance浏览互联网的坏人不会在他的PC上留下任何这些可以作为证据的痕迹。这样一来，要证明某个人使用计算机从事非法活动（如下载儿童色情内容），难度就会大大增加。笔者在近期出席的一次技术取证大会上，就听说有些手段高明的攻击者如今就在这么做，他们闯入其他机器后不会留下任何痕迹。

　　黑客还可以利用虚拟化技术来隐藏病毒、特洛伊木马及其他各种恶意软件的踪迹，不过目前这种攻击主要局限于概念证明阶段。理论上，恶意软件可以成为虚拟服务器本身，受害的操作系统会作为客户机运行。

　　2006年8月，在微软组织的本年度拉斯维加斯黑帽大会上，就有黑客在支持“Pacifica”虚拟化技术的AMD 处理系统上成功地演示了这种攻击的可能性，并且被攻入的系统中所安装的安全工具完全没有察觉该攻击。当时微软公司很有信心地发放了三千份Vista，邀请他们寻找安全漏洞。果然，这个挑战没有难倒参加黑帽大会的各路高手。8月4日，就在大会的最后一天，一位波兰女黑客就演示了如何利用Vista操作系统的两个漏洞攻击系统。
　　
　　这位安全女高手来自波兰，名叫乔安娜·鲁特克丝卡（Joanna Rutkowska），现在效力于新加坡的安全公司Coseinc。当天，鲁特克丝卡在拉斯维加斯的凯撒王宫大酒店的舞厅演示了如果利用Vista操作系统中的两个漏洞展开攻击。其中的一个漏洞发生在Vista对非签名驱动程序的研制上，另外一个则涉及AMD研发的一种虚拟化技术（Vista硬件平台）。

　　其中，鲁特克丝卡发现的第二个漏洞就和虚拟化技术有关。该技术为AMD公司开发的“安全虚拟机”Pacifica。这位高手甚至创建了一个名为“Blue Pill”的恶意程序。她可以绕过Pacifica的审核，安装到系统中，并充当黑客的后门工具。

　　看来，安全问题已经成了制约虚拟化发展的双刃剑。