Hlavní navigace

Názor k článku Rozbor malware od Hacking Teamu: jak se používá? od Vít Šesták - "Do virtuálu můžu přehodit USB řadič, ale to...

  • Článek je starý, nové názory již nelze přidávat.
  • 24. 7. 2015 21:59

    Vít Šesták

    "Do virtuálu můžu přehodit USB řadič, ale to mi asi přestane fungovat USB klávesnice, ne?"

    Tady situace není úplně ideální, ale dá se s tím v některých případech pracovat. Tady je pár mých poznámek, trošku nesetříděných:
    * K VM se dá přiřadit jen celý řadič (PCI zařízení), ne samotný port. Já mám ale na notebooku více řadičů.
    * Technické omezení: jakmile virtuálnímu stroji přiřadím PCI zařízení, musím mu paměť přiřadit fixně. Pokud mu RAM přestane stačit nebo pokud bych naopak chtěl část RAM předat jinému stroji, neobejde se to bez restartu. U ostatních Linuxových PVM se RAM standardně přiděluje a odebírá automaticky – bez zásahu uživatele.
    * Na druhou stranu, většina notebooků má klávesnici i touchpad připojené přes PS/2. Horší je to na MacBoocích a stolních počítačích, ale více různých řadičů ten problém může vyřešit.
    * BTW, mít více řadičů je bezpečnostní výhoda tak jako tak. Řadič funguje jako hub, takže nedůvěryhodná zařízení mohou odposlouchávat část komunikace (nebo celou komunikaci) s jiným zařízením na stejném hubu.
    * Flashky apod. lze řešit přes virtuální stroj, který má připojený řadič. Z tohoto stroje lze snadno přeřadit blokové zařízení (dokonce i jen jednu partition) jinému stroji.
    * Ostatní USB zařízení by asi šlo řešit přes nějaké síťové USB řešení. (Ne však klávesnice a myš` tu člověk potřebuje v dom0 (privilegovaná VM), která nemá přístup k síti – a i kdyby se to vyřešilo jinak (např. přes Qubes RPC), fakticky bychom tím povýšili naši USBVM na důvěryhodný stroj). Zatím jsem to moc neřešil a mám spuštěnou jen jednu VM s přiřazeným USB řadičem. Když potřebuju připojit jiné USB zařízení, tak ji vypnu a spustím jinou VM.

    „Je tam nějaká alespoň elementární akcelerace videa (XVideo, OpenGL…) nebo to posílá škálované pixmapy (a je to použitelné?)“

    AFAIK to posílá škálované pixmapy, ale je to použitelné i na 1600×900 fullscreen. Resp. pokud tu je nějaká akcelerace videa, tak leda nějaké specializované instrukce v procesoru. AppVM do dom0 ale už posílá obsah okna jen jako RGB data.

    (Mimochodem, fullscreen je v Qubesu potřeba vyžádat od správce oken. To není problém (defaultně v KWinu: Win+Space, More actions, Fullscreen; s mým nastavením: Win+F), jen to může být trošku překvapení. Virtuální stroj si totiž nemůže jen tak přivlastnit celou obrazovku, aby nemohl podvrhnout třeba dialog pro zadávání hesla.)