Virtualisierung und Risiken



Themen dieses Berichts (was Sie erwartet):



Grundlagen:

Virtualisierungstechniken nehmen immer mehr zu und finden gerade in Spezialbereichen schon seit längerer Zeit ihren Einsatz!

So z.B. bei Anti-Virenlabors, um Malware zu analysieren, die Vorgehensweise zu erforschen und natürlich um Signaturen zur Erkennung zu entwickeln.

Aus diesem Grund versuchen Malware-Schreiber natürlich virtuelle Systeme durch entsprechende Routinen zu erkennen. So entsteht immer mehr Malware, die sich entweder überhaupt nicht in Gastsystemen (virtuelle Maschinen) installieren lässt, oder wichtige Eigenschaften oder Funktionen in einem Gastsystem nicht installiert, um die Erkennung zu verschleiern.

Aber auch Software-Hersteller gehen langsam dazu über, dass sich ihre Programme in Gastsystemen nicht installieren lassen, weil sie wohl Lizenzverletzungen befürchten.

Doch wie sehen die Techniken zur Erkennung von solchen Gastsystemen aus?



Lokale Erkennung virtueller Maschinen:

Ein Gastsystem hinterlässt Spuren, welche mit den nötigen Tools relativ sicher erkannt werden können.

Dabei werden folgende Bereiche durchsucht:



Die Geheimnisse in den Besonderheiten von virtuellen Maschinen sind mittlerweile so gut gelüftet, das unter anderem folgende Erkenntnisse gewonnen werden können:

Doch wie sieht es mit der Analyse entfernter Systeme über das Netzwerk aus?



Erkennung entfernter virtueller Maschinen:

Auch dieser Punkt der Analyse ist weit vorangeschritten! So lässt sich teilweise mit 80 prozentiger Sicherheit erkennen, ob es sich bei dem untersuchten entfernten System um ein lokales- oder virtuelles System handelt!

So werden folgende Paketanalysen durchgeführt um entfernte virtuelle Systeme zu erkennen:



Sicherheitsbedenken:

Doch nun und abschliessend zum wichtigsten Punkt!

Es wird immer wieder betont, die virtuelle Maschine sei getrennt vom Host-System. Auch sei bisher keine Malware bekannt, die sich vom Gast- auf das Host-System übertragen kann.

Dies habe ich schon länger bezweifelt, gibt es doch so tolle Funktionen wie:

Es gibt also "Schnittstellen" der Kommunikation zwischen dem virtuellen- und dem Host-System.

Dies kann auch von Malware genutzt werden! Wie dann allerdings die genauen Möglichkeiten aussehen (nur einfaches Dublizieren der Malware - oder auch selbständiges Aktivieren) wird uns die Zukunft zeigen!



Schwachstellen:

Zumindest hat man es geschafft zwischen ZWEI!! virtuellen Maschinen Informationen auszutauschen!

Ausserdem ist am 02.05.2007 eine Schwachstelle in der VMware Workstation 5.5 entdeckt worden, welche es einem Angreifer erlaubt beliebige Daten eines Gastsystems an beliebige Orte des Hostsystems zu schreiben!

Dies geschieht über das „Backdoor I/O Port Interface“. Nähere Informationen dazu finden Sie unter --> „Externe Links“.

Es sollte also keiner mehr behaupten, das die Virtualisierungstechnik so sicher sei und auch eine Sensibilisierung zu diesem Thema ist wichtig!

Dies ist natürlich gänzlich unabhängig von Soft- oder Hardwarevirtualisierung und den priorisierten Virtualisierungslösungen!



Der Redaktion sind Techniken und Tools zu dieser Thematik bekannt. Auf Grund unserem „Full Disclosure“ –Vorsatz werden wir diese aber nicht benennen! Sehen Sie dazu auch --> http://www.security-dome.eu/Full_Disclosure_Grundsatz.html .



Externe Links:

Shared Folder Schwachstelle: http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=521



Weitere Informationen bzw. zur Diskussion dieses Beitrags besuchen Sie unser Forum unter --> http://www.security-dome.eu/forum/pA/




Autor: Frank Richter

Copyright: Frank Richter – securITy-dome.eu

Erstellungsdatum: 03.05.07

Letzte Aktualisierung: 03.05.07



<-- Zurück zu den News