Bitdefender s’attaque à l’inspection de la mémoire des VM
Bitdefender vient de présenter une solution de protection des environnements virtualisés basées sur l’inspection de la mémoire vive.
Bitdefender vient de revendiquer le développement « d’une technologie exclusive d’introspection de la mémoire basée sur l’hyperviseur ». Dans un communiqué, l’éditeur assure que sa technologie fournit une « vision complète des machines virtuelles », sans y laisser d’empreinte.
Et de revendiquer pour cela le recours aux capacités matérielles des processeurs pour l’exécution de processus avec un niveau de privilège supérieur à celui de l’hyperviseur : on parle là de ring -1 alors que l’hyperviseur s’exécute au niveau du ring 0. Bitdefender assure en outre proposer « une méthode unique d’injection des outils de nettoyage » au sein des machines virtuelles compromises.
Avec cette annonce, l’éditeur revendique la réponse à un problème connu : celui de l’écart sémantique entre machines virtuelles. Dans un billet de blog, Simon Crosby, ancien directeur technique de Xen Server chez Citrix, et depuis fondateur de Bromium, expliquait fin 2012 les difficultés recouvertes par ce concept : « une machine virtuelle contient un OS complet et une ou plusieurs applications, générant plusieurs processus ou threads. Cela laisse à l’hyperviseur une tâche ardue lorsqu’il s’agit d’associer certains changements au sein de l’OS avec des applications, codes ou causes précises ». En somme, l’hyperviseur n’a pas connaissance du contexte dans lequel surviennent certains changements et ne peut pas faire la différence entre un événement légitime et un autre.
Bitdefender n’entre pas dans les détails techniques de son approche. Peut-être s’inspire-t-il de celle d’Intel Security, avec DeepSafe. Ou pas. En tout cas, un chercheur a récemment montré, comme l’indique sa thèse, publiée en mai dernier, que la question clé des performances pour l’inspection de la mémoire peut trouver des solutions. Et cela même avec des outils qui n’ont rien de particulièrement neuf, à commencer par LibVMI.
En attendant d’en savoir plus la nouvelle technologie de Bifdefender, les esprits chagrins ne pourront s’empêcher de relever que le recours aux technologies d’assistance à la virtualisation n’offre pas de remède miracle : Rafal Woftczuk, de Bromium, avait justement présenté comment s’attaquer à DeepSafe, l’an passé, à l’occasion de l’édition américaine de la conférence Black Hat.