No longer will a device under the control of one VM be able to access another VM's memory space because the IOMMU knows which regions of physical memory correspond to which VM, and it can block or grant access to those regions based on the source of the I/O request.
DRM: El control de lo que puedes ejecutar en tu propia plataforma
¿Y que tiene que ver todo esta tecnología con el control de lo que puedes ejecutar en el PC?. Pues supongamos que tengamos un hypervisor que sólo se arranca si puede comprobarse que no ha sido modificado. El chip TPM puede hacer que toda la cadena de programas que se ejecuten, desde la BIOS hasta el reproductor de vídeo esté protegido por una firma criptográfica, ejecutándose todo el sistema en un entorno en el que se pueda confiar.Ahora, si le añadimos las extensiones virtuales, pueden protegerse estas zonas de memoria de cualquier otro tipo de acceso, ya sea por otras máquinas virtuales, ya sea por binarios modificados del sistema.La IOMMU puede proteger el acceso a nivel de página de esta información y de borrar la información de la memoria usada una vez que ha sido liberada. Aunque se vende como un sistema de gestión ideal para la empresa, hay que tener esta cara oculta que presenta la tecnología.
Por cierto, ya hay IDS implementados como hypervisores como el Virtual Security Solution de Syamantec.
Por último este párrafo del artículo:
the NSA and the U.S. Army now rely on technology from the Trusted Computing Group, with the Army mandating the same TPM v1.2 modules that form the basis of vPro in all of its computers for network security reasons. This being the case, many folks, myself included, look at "trusted computing" technologies and wonder how the federal government allows them to proceed to market absent the export controls that are typical of strong encryption and so-called "dual-use" technologies that could have potential military applications. But that's a topic for another day.A lo mejor, hay alguna puerta trasera que desconocemos ....
No hay comentarios:
Publicar un comentario