e-Gov

Windows e OS X più sicuri con le macchine virtuali Bromium

Salvaguardare i dati isolando il nucleo del sistema operativo, invece di ostinarsi a proteggere l'intero computer: è questa l'idea a cui sta lavorando la startup Bromium. Il progetto dovrebbe concludersi entro la fine di quest'anno e ruota attorno al software proprietario Microvisor, che sfrutta funzioni di virtualizzazione hardware nell'architettura Intel x86, senza creare una macchina virtuale unica difficile da gestire.

Secondo Bromium infatti le virtual machine degradano l'esperienza utente e non consentono comunque di risovere il problema della sicurezza. Microvisor crea ciò che la startup ha definito Micro-VM, deputata a eseguire un solo compito, invece che gestire un'istanza con l'intero sistema operativo. Risulta evidente che la piccola azienda stia tentando un approccio alla sicurezza completamente differente da quelli finora usati, come ha confermato il cofondatore Simon Crosby.

La protezione a vari livelli tutela il sistema operativo senza appesantire le prestazioni

Il punto centrale della teoria di Bromium è che cercare di proteggere gli utenti da qualsiasi potenziale minaccia esterna, anche sconosciuta, danneggia la produttività. Crosby sostiene che finora "si sono alzati muri sempre più alti a protezione del sistema, come nell'antica città di Troia", ma è una battaglia senza fine perché inevitabilmente gli utenti finiranno per scaricare codice dannoso o difettoso. La verità è che "siamo ingenui, e i programmatori non sono infallibili".

L'approccio di Bromium è quindi quello di spostare il campo di battaglia all'interno del sistema, senza ripercussioni sulle prestazioni del computer e con maggiori garanzie di protezione. All'atto pratico, quando un utente naviga in un sito web o avvia il download di un'applicazione, Microvisor crea una Micro-VM in cui deposita il codice. La tecnologia consente di creare anche 100 Micro-VM al secondo, una per ogni attività che si tenta di eseguire e per ciascuna scheda aperta del browser, in modo da evitare contagi al sistema nel caso in cui il codice fosse davvero dannoso.

Lo stesso sistema vale anche per proteggere i dati sensibili. Per esempio, Microvisor può creare una Micro-VM specifica per la sessione Web in cui si accede all'home banking, in modo da isolarla rispetto al resto del sistema e renderla immune da eventuali keylogger che potrebbero risiedere sul PC.

Le Micro-VM sono invisibili all'utente, e offrono l'ulteriore vantaggio di isolare le applicazioni in modo che non pesino sulle prestazioni del resto del sistema. Crosby ha fatto in tal proposito l'esempio di Angry Birds: si potrebbe installarlo anche su un PC aziendale facendolo funzionare permanentemente all'interno di una Micro-VM, in modo che non influisca sulle prestazioni.

Il nucleo del sistema è inespugnabile per qualsiasi attacco

La Micro-VM infatti assorbe solo le risorse necessarie allo svolgimento del compito per il quale è stata creata, come per esempio la gestione di un foglio di calcolo o di un cookie di Facebook. Il codice non attendibile non ha accesso a nessuna delle altre applicazioni o dei file presenti sul sistema, né tanto meno al nucleo centrale del sistema operativo. Se un programma richiede una modifica di qualsiasi parte del sistema operativo, Microvisor provvede a fare una copia di quella parte all'interno di una Micro-VM prima di autorizzarne la modifica.

Mantenendo il codice inaffidabile lontano dal nucleo del sistema operativo, Bromium ha anche l'importante ruolo di ridurre la quantità di codice che gli hacker possono sfruttare per l'attacco. Per fare un esempio pratico, se un sistema operativo è composto di oltre cento milioni di righe di codice, Microvisor lo riduce a 10mila righe accessibili, ovviamente non cruciali per il funzionamento del computer.

Crosby ha spiegato infine che la sua tecnologia può essere impiegata su qualsiasi sistema basato su piattaforma x86 e potrebbe essere applicato anche ai server. Quanto ai sistemi ARM, la capacità di virtualizzazione dovrebbe essere disponibile alla fine di quest'anno, quindi potrebbe esserci a breve un ampliamento anche in quel settore, aprendo potenzialità per tutto il settore dei dispositivi mobile.