GPU 패스 스루를 사용할 때 게스트 가상 머신의 OS에서 호스트 운영 체제가 얼마나 안전합니까 ( 여기 )?
게스트가 손상된 경우 GPU와 펌웨어를 영구적으로 감염시킬 수 있습니까? 가능하다면 손상된 GPU가 무엇을 할 수 있습니까?
- VT-d / IOMMU가 가상 머신에 대한 장치를 안전하게 포함하도록 설계되었지만 게스트가 GPU를 사용하여 호스트 (OS 또는 기타 장치)를 손상시킬 수 있습니까?
-
GPU가 손상되었다고 의심되는 경우 이상적인 조치는 무엇입니까? 컴퓨터의 호스트 OS를 재설치하면 GPU가이를 공격하고 감염시킬 수 있습니까?
( 별도 질문 으로 이동)
일반적인 답변을 찾고 있지만 관련이있는 경우 KVM 및 Windows 게스트가있는 Linux 호스트를 가정합니다.
댓글
- Github에는 개념 증명 GPU 루트킷 해파리 가 있습니다. 재부팅은 유지되지만 종료되지는 않습니다.
답변
-
손상되면 GPU와 펌웨어를 영구적으로 감염시킬 수 있습니까?
OpenStack에 따르면 문서 , 예 .
많은 하이퍼 바이저가 PCI 패스 스루라는 기능을 제공합니다.이를 통해 인스턴스가 노드의 하드웨어에 직접 액세스 할 수 있습니다. 예 : th 인스턴스가 고성능 컴퓨팅을 위해 CUDA (컴퓨팅 통합 장치 아키텍처)를 제공하는 비디오 카드 또는 GPU에 액세스하도록 허용하는 데 사용할 수 있습니다.
이 기능은 직접 메모리 액세스와 하드웨어 감염 의 두 가지 유형의 보안 위험을 수반합니다.
직접 메모리 액세스는 IOMMU를 사용하지 않는 기기 패스 스루에만 관련됩니다.
-
VT-d / IOMMU가 가상 머신에 안전하게 장치를 포함하도록 설계되었지만 게스트가 GPU를 사용하여 호스트 (OS 또는 기타 장치)를 손상시킬 수 있습니까?
호스트에서 기기를 사용하는 경우 가능합니다.
하드웨어 감염 인스턴스가 펌웨어 또는 기기의 다른 부분을 악의적으로 수정할 때 발생합니다. 이 기기는 다른 인스턴스 또는 호스트 OS에서 사용되므로 악성 코드가 해당 시스템으로 확산 될 수 있습니다. 최종 결과는 한 인스턴스가 보안 도메인 외부에서 코드를 실행할 수 있습니다. 이는 가상 하드웨어보다 물리적 하드웨어의 상태를 재설정하기가 더 어렵고 관리 네트워크에 대한 액세스와 같은 추가 노출로 이어질 수 있으므로 심각한 위반입니다.
댓글
- 호스트가 " 기기를 " 사용 했습니까? VM 종료 후? 아니면 다른 시간에?
- 적어도 장치는 BIOS에서 " 사용 " 호스트 컴퓨터는 다음에 재부팅되고 시스템에 어떤 장치가 있는지 알아 내려고합니다.
- 하드웨어 감염에는 PCI 구성 공간에 대한 액세스 (옵션 ROM 쓰기)가 필요하다고 생각합니다. 저는 ' CUDA가 실제로 GPU를 지속적으로 " 감염 "하기에 충분하다고 생각하지 않습니다. 코드.