Sofisticarea crescanda a atacurilor cibernetice este marcata de utilizarea sporita a exploatarilor la nivel de nucleu care incearca sa ruleze programe malware cu cele mai inalte privilegii si sa se sustraga solutiilor de securitate si sandbox-urilor software. Exploatarile kernelului au oferit WannaCry si Petya ransomware capacitatea de executare a codului de la distanta, rezultand focare globale la scara larga.
Windows 10 a ramas rezistent la aceste atacuri, Microsoft ridicand constant stacheta in securitatea platformei pentru a ramane in fata actorilor de amenintare. Securitatea bazata pe virtualizare (VBS) intareste Windows 10 impotriva atacurilor utilizand hipervizorul Windows pentru a crea un mediu care izoleaza o regiune sigura de memorie cunoscuta sub numele de enclave de memorie securizata.
Figura 1. Enclave de memorie securizata VBS
O enclava este o regiune izolata a memoriei in spatiul de adrese al unui proces in modul utilizator. Aceasta regiune a memoriei este controlata in intregime de hipervizorul Windows. Hipervizorul creeaza o separare logica intre „lumea normala” si „lumea sigura”, desemnate de Virtual Trust Levels, VTL0 si respectiv VT1. Enclavele de memorie securizata VBS creeaza un mijloc pentru calcule sigure si atestabile intr-un mediu altfel de incredere.
Enclave VBS in Microsoft SQL Server
O tehnologie cheie care va valorifica enclavele de memorie securizata VBS este Microsoft SQL Server. Viitoarea caracteristica enclava securizata SQL Server asigura faptul ca datele sensibile stocate intr-o baza de date SQL Server sunt decriptate si procesate numai in interiorul unei enclave. Utilizarea SQL Server de enclave sigure permite procesarea datelor sensibile fara a expune datele administratorilor de baze de date sau malware. Acest lucru reduce riscul accesului neautorizat si realizeaza separarea dintre cei care detin datele (si le pot vizualiza) si cei care gestioneaza datele (dar nu ar trebui sa aiba acces). Pentru a afla mai multe despre utilizarea enclavelor securizate in SQL Server, consultati postarea pe blog Activarea calculelor confidentiale cu Always Encrypted folosind enclave .
Protejarea datelor
Unul dintre avantajele majore ale enclavelor securizate de memorie este protectia datelor. Datele rezidente intr-o enclava sunt accesibile numai prin codul care ruleaza in acea enclava. Aceasta inseamna ca exista o limita de securitate intre VTL0 si VTL1. Daca un proces incearca sa citeasca memoria care se afla in enclava de memorie securizata, se lanseaza o exceptie de acces nevalid. Acest lucru se intampla chiar si atunci cand un depanator in modul kernel este atasat la procesul normal – depanatorul va esua atunci cand incearca sa paseasca in enclava.
follando con mi mujer pono gay
www.maduras.con randy dave
orgia bisexual descargar pelis pornos
mamadas a dos bocas peliculas porno vintage
ver peliculas porno italianas maduras españolas masturbandose
desnudas en la cocina porno portugues
trio por sorpresa incesto real casero
trio bisex corridas dentro de la boca
sexo gratis videos videos de follar
maduras impresionantes orgia porno español
abuela follando con joven corridas de viejas
como folla mi vecina porno con argumento
andaluzas follando sexo videos gratis
folladas dormidas anita teen pillada por torbe
porns coñosxxx
mujeres peludas follando porno viejas en español
matrimonios follando porno esp
mala rodriguez porno madres viciosas
follando real porno india
sobando tetas peludas porno
Integritatea codului
Integritatea codului este un alt beneficiu major oferit de enclave. Codul incarcat intr-o enclava este semnat in siguranta cu o cheie; prin urmare, se pot face garantii cu privire la integritatea codului care ruleaza intr-o enclava de memorie securizata. Codul care ruleaza in interiorul unei enclave este incredibil de restrictionat, dar o enclava de memorie sigura poate efectua in continuare o munca semnificativa. Aceasta include efectuarea de calcule pe date care sunt criptate in afara enclavei, dar care pot fi decriptate si evaluate in text clar in interiorul enclavei, fara a expune textul simplu la altceva decat enclava in sine. Un exemplu excelent de ce acest lucru este util intr-un scenariu de cloud computing multi-chiriasi este descris in postarea de pe blogul Azure de informare confidentiala . Aceasta miscare ne-a permis sa facem continuu inovatii semnificative in securitatea platformei.
Atestare
Atestarea este, de asemenea, un aspect critic al enclavelor securizate de memorie. Informatiile sensibile, cum ar fi datele cu text simplu sau cheile de criptare, trebuie trimise numai catre enclava intentionata care trebuie sa fie de incredere. Enclavele VBS pot fi puse in modul de depanare pentru testare, dar pierd izolarea memoriei. Acest lucru este excelent pentru testare, dar in productie acest lucru afecteaza garantiile de securitate ale enclavei. Pentru a va asigura ca o enclava securizata de productie nu este niciodata in modul de depanare, se genereaza un raport de atestare pentru a indica in ce mod se afla enclava (printre diferiti parametri de configuratie si identitate). Acest raport este apoi verificat de o relatie de incredere intre consumatorul si producatorul raportului.
Pentru a stabili aceasta incredere, enclavele VBS pot expune un raport de atestare a enclavei, care este complet semnat de cheia unica VBS. Acest lucru poate dovedi relatia dintre enclava si gazda, precum si configuratia exacta a enclavei. Acest raport de atestare poate fi utilizat pentru a stabili un canal sigur de comunicare intre doua enclave. In Windows acest lucru este posibil doar prin schimbul de raport. Pentru scenarii la distanta, un serviciu de atestare poate utiliza acest raport pentru a stabili o relatie de incredere intre o enclava la distanta si o aplicatie client.
O caracteristica care se bazeaza pe atestarea enclavei de memorie securizata este atestarea Windows Defender System Guard in timpul rularii, care permite utilizatorilor sa masoare si sa ateste toate interactiunile de la enclava la alte capabilitati, inclusiv domenii de runtime si integritate de pornire.
Figura 2. Atestarea runtime Windows Defender System Guard
Cresterea securitatii datelor
Exista multe tehnologii sigure de enclavare a memoriei in industrie astazi. Fiecare are argumente pro si contra in ceea ce priveste capacitatile. Avantajul utilizarii unei enclave de memorie securizata VBS este ca nu exista cerinte hardware speciale, doar ca procesorul accepta extensii de virtualizare cu hipervizor:
- Hardware compatibil VBS
- Configurare hardware OEM
- Drivere compatibile cu integritatea codului protejat de hipervizor (HVCI)
In plus, enclavele VBS nu au aceleasi constrangeri de memorie ca o enclava bazata pe hardware, care sunt de obicei destul de limitate.
Enclavele de memorie securizata VBS ofera protectie a datelor bazata pe virtualizare bazata pe hardware si integritatea codului. Acestea sunt folosite pentru noi capacitati de securitate a datelor, asa cum demonstreaza calculul confidential Azure si caracteristica Always Encrypted a Microsoft SQL Server . Acestea sunt exemple de inovatie rapida care se intampla in toata Microsoft pentru a creste securitatea. Acesta nu este ultimul pe care il veti auzi despre enclavele de memorie securizate. Pe masura ce tehnologiile de securitate Microsoft continua sa avanseze, ne putem astepta ca enclavele de memorie sigura sa iasa in evidenta in multe alte scenarii de protectie.
Maxwell Renke , manager de programe, Windows
Chris Riggs , director principal de program, Microsoft Offensive Security Research
