Alles is te maken, alles is te kraken. de vraag is, hoeveel tijd kost het en welke kennis heb je nodig? ;)

Heb gekeken naar een document/artikel dat zo heet, maar of ik heb m'n dag niet en kijk er finaal overheen of dat document lijkt er niet (meer) te staan.
Tussen twee haakjes: wat me overigens ook opviel is de spreuk What Intel doesn't want you to know". Juistem, maar wel op de site/weblog van een Nvidia medewerker.
Nou hebben deze twee bedrijven een overeenkomst: http://webwereld.nl/nieuws/105344/intel-en-nvidia-roken-vredespijp-van-1-5-miljard.html maar dat is nog niet zo gek lang.
(t is een zijstapje, maar voor mij speelt dat wel een rol als je kijkt naar de 'neutraliteit' van de bron) :)

En zonder het bijdehand te bedoelen: je hebt ook een ander forum-topic gestart Dev_Null, zoek je een bepaald gebruik van virtualisatie-software? Wil je een systeem waarmee een VM gedraaid kan worden, en in de 'spreekwoordelijke' bijzondere situatie een soort van achterdeur wilt hebben? (van het positieve uitgaande: bijv. een 'virusuitbraak' op een netwerk oid)

de gerechtvaardigde vraag is welke hardware boer nog te vertrouwen is.
zodra de dikke unixdozen wegvallen blijkt alleen intel platform.
dat voelt niet prettig met het amerikaanse trackrecord.
zoals met alles blijft de vraag hoe para moet je zijn.

Alle drie je vragen zijn met ja te beantwoorden,
en behoren tot de (aankomende) praktijk van
hackers.

Daarom is het ook zo van belang om ook in virtueele
omgevingen de juiste scheidingen aan te brengen,
zaken al dan niet in DMZ te plaatsen, en wat niet in de
DMZ hoeft eventueel op andere hardware te laten lopen.

Ik zou ten alle tijden informatie of systemen met een verschillende classificatie niet op dezelfde hardware laten draaien.
Het is bijvoorbeeld niet echt een goed idee om prod en test op hetzelfde chassis te laten draaien. Security is meestal lager op een testmachine en zou bovenstaande aanvallen makkelijker kunnen maken
Dit alles klinkt misschien raar in de tijd van [X]aaS maar denk maar eens na over de volgende:

- Werkgeheugen is gedeeld tussen VMs and wordt volgens mij niet gewiped/gescrubbed voordat het aan een andere VM gegeven wordt.
- Hypervisor is altijd bereikbaar via een soort API, fouten in zo'n API zijn zo gemaakt (1000en regels source code)
- Welke CPU commands worden gefilterd of doorgelaten naar de echte hardware
*** Zou je een HDD naar een andere (lokale) HDD partitie kunnen laten kijken?
*** Zou je een NIC kunnen aansturen om naar alle VLANs te kunnen luisteren?
- CPUs hebben meerdere operating levels, maar huidige OSs gebruiken er maar 2: user and privileged (toegang tot alle registers and IO), een voorbeeld van misbruik is een driver te gebruiken die de firmware van een NIC aanpast: http://esec-lab.sogeti.com/dotclear/public/publications/10-hack.lu-nicreverse_slides.pdf

Hmmm, we kunnen deze discussie voortzetten op LinkedIn zo te zien, maar dan in het Engels:

http://www.linkedin.com/answers/technology/information-technology/information-security/TCH_ITS_ISC/782840-6582799

Nope, ik ben zelf eens onbevooroordeeld na gaan denken over zogeheten "security oplossingen" en ik kwam toen op dit inzicht. Ik weet (ja ben al een dinosaurus in de ict, vanuit het msdos tijdperk) vanuit de komst van de INTEL 80386 processor. Dit 80386 beestje kan draaien in verschillende modes, standen, te weten:
- "REAL mode"............................................. (alle geheugen toegangelijk voor 1 of meerdere residente applicaties)
http://en.wikipedia.org/wiki/Real_mode
- "PROTECTED (multitasking) mode"...... (geheugen opgedeelt in "afgeschermde segmenten" bewaakt door processor,
waardoor de ene applicatie niet in het geheugen gebied van de andere kan komen.)
http://en.wikipedia.org/wiki/Protected_mode

Om dit voor elkaar te krijgen kan die processor dus (via een speciale opcode, instructie) geswitched worden tussen Real mode en Protected mode., voordat ie een (of meerdere) applicaties aan de gang gaat.

Er word ook intern gewerkt met "Processor Ringen" om ervoor te zorgen dat verschillende stukken computer code elkaar niet konden "corrupten" "overschrijven".
Ring 0 - Kernel_space
Ring 1 - Device drivers
Ring 2 - Device drivers
Ring 4 - Application /User space
http://en.wikipedia.org/wiki/Ring_(computer_security)

Dit is wat INTEL - de maker ervarn - je vertelt m.b.t. deze processor architectuur... (en dat je van hun mag weten erover)
Nu laat de informatie op de Intel secrets websites zien, dat er ook UNDOCUMENTED INSTRUCTIES zijn gevonden.
die dingen mogelijk maken, die INTEL niet wil dat je ze te weten komt. Een van die hidden instructies geeft een programmeur toegang tot ANDERE GEHEUGENSEGMENTEN in zogenaamd PROTECTED MODE...
M.a.w. je lost hiermee in 1 klap de protectedmode beveiliging BEWUST van BINNEN UIT DE PROCESSOR OP!

Dit maakt het dus mogelijk om - via een hardware backdoor - binnen in de processor zelf - allerhande andere (software, hardware) beveiligings mechanismes te omzeilen. Denk je eens in wat voor een potentieel dit "ingebakken hardware-hackje" je kan opleveren als processor-fabrikant, of gebruiker van deze undocumented kennis...


Nee dus... ik vroeg me dus af, wat (software, hardware) virtualisatie dan nog (wel) kan toevoegen aan "de illusie van security" op welke vorm van CPU dan ook....als dit al ingebakken zit in je CPU?