Bitdefender lance son offre de protection des VM par introspection de la mémoire

Bitdefender va lancer officiellement sa solution Hypervisor Introspection à l’occasion de la prochaine édition de Synergy, la grand messe annuelle de Citrix, qui se déroulera fin mai à Las Vegas.

C’est en juillet dernier que Bitdefender a levé le voile sur cette technologie permettant de profiter des capacités matérielles des processeurs pour exécuter un processus de supervision de la mémoire vive avec un niveau de privilège supérieur à celui de l’hyperviseur, en ring -1. Avec cette annonce, l’éditeur revendiquait la réponse au problème de l’écart sémantique entre machines virtuelles : l’hyperviseur n’a pas connaissance du contexte dans lequel surviennent certains changements et ne peut pas faire la différence entre un événement légitime et un autre.

A l’occasion d’un entretien avec la rédaction, Rares Stefan, directeur de la division Solutions d’entreprise de Bitdefender, expliquait qu’il s’agissait là du fruit de cinq ans d’efforts pour Mihai Dontu et Andrei Lutas, « les deux chercheurs au cœur de ce projet » chez Bitdefender.

Andrei Lutas avait alors donné un aperçu des travaux de l’éditeur : « Il y a beaucoup de recherche académiques sur l’écart sémantique. Dans notre cas, nous utilisons principalement la connaissance du système d’exploitation et la couplons avec la logique d’introspection. Nous utilisons des signatures invariables pour identifier des structures clés des systèmes d’exploitation, ce qui revient à modéliser des structures spécifiques au système d’exploitation ». Tout cela pour « transposer certains aspects du système d’exploitation au sein de la logique d’introspection ». Et si d’autres, relevait alors Andrei Lutas, préfèrent se reposer sur des éléments de code injectés dans la machine virtuelle, comme des pilotes par exemple, Bitdefender a fait le choix de ne pas interférer avec la VM.

L’un des points clés de l’approche de l’éditeur réside dans les extensions du sous-système de gestion des événements de la VM, VM events, développées par l’équipe de Mihai Dontu : « cette couche est utilisée pour communiquer avec l’hyperviseur », explique Andrei Lutas, « et pour accéder à des fonctions de bas niveau comme cartographier la mémoire, interroger l’état du CPU et de ses registres, etc. »

Pour aboutir à cela, les équipes de Bitdefender ont apporté, avec d’autres, d’importantes contributions à Xen. Et celles-ci se retrouvent justement dans la version 4.6 de l’hyperviseur libre, disponible depuis la mi-octobre dernier. Depuis lors, Xen supporte en effet un framework alternatif, proposé par Intel, de translation entre la mémoire pseudo-physique – celle que voit la VM – et la mémoire physique sous-jacente, qui le dote de capacités d’introspection avec jusqu’à 10 machines virtuelles pouvant accéder à la mémoire physique allouée à un domaine invité spécifique : l’une des technologies clés permettant l’introspection de machines virtuelles sans empreinte.