Betriebssysteme in virtuellen Umgebungen wie die von Vmware und Xen gelten allgemein als sicher. Doch auch in einer Sandbox kann ein OS Opfer von Angriffen werden. ZDNet gibt einen Überblick über Schwachstellen und Schutzmaßnahmen.
Schwachstellen gibt es in so gut wie allen Systemen und Anwendungen - auch in den allgemein als sicher geltenden virtuellen Umgebungen. Bereits 2006 wurden auf der Black-Hat-Konferenz[1] drei Proof-of-Concept[2]-Rootkits[3] präsentiert, die Schutzmechanismen virtueller Technologien effektiv aushebelten: das Virtual-Machine-Rootkit Subvirt[4] (PDF), das Intel-VT-x/Vanderpool-Rootkit Vitriol[5] (PDF) sowie Joanna Rutkowskas Virtualiserungs-Rootkit Blue Pill[6].
Den Quellcode von Blue Pill hat die Stealth-Malware-Spezialistin Rutkowska in diesem Sommer in einer komplett neu geschriebenen Version veröffentlicht. Die aktuelle Version bietet neue Funktionen und setzt laut Beschreibung auf die Unterstützung moderner Prozessoren bei der Hardwarevirtualisierung. Damit können moderne Schädlinge zum einen ein laufendes Windows unbemerkt in eine virtuelle Umgebung verschieben, ohne dass dies der Anwender bemerkt.
Des Weiteren soll es aus dem System heraus unmöglich sein, die verborgenen Schädlinge mit bisher bekannten Methoden aufzuspüren. Blue Pill unterstütze dabei vor allem AMDs Virtualisierungslösung SVM/Pacifica[7], um Windows während des Betriebs in den so genannten Virtual Machine Monitor (Hypervisor) zu schieben. Intels Lösung VT-x stellt hingegen nach Einschätzung von Experten noch kein leicht einnehmbares Angriffsziel für Blue Pill dar.
Einerseits sind derartige Proofs-of-Concept über mögliche Schwachstellen in den virtuellen Maschinen (VM) generell umstritten. Andererseits lässt sich kaum mehr die Behauptung aufrecht erhalten, dass die Steuerung von Soft- und Hardwareressourcen sowie der komplexe Netzwerkbetrieb quasi automatisch reibungslos und besser funktionieren.
"Der Einsatz von Virtualisierungslösungen ist nicht risikofrei", sagt deshalb Stefan Gora, IT-Berater beim Sicherheitsspezialisten Secorvo Security Consulting GmbH[8] in Karlsruhe. Denn das Risiko verlagere sich im Zuge der Servervirtualisierung lediglich stärker von der Ebene der Hardware auf die Software, oder im Falle der Speichernetzwerke (Storage) auf die lokalen Festplatten (SAN).
"Sicherheitskonzepte fehlen hingegen oftmals", moniert der Experte. Schon einfache Maßnahmen wie die Einführung einer Netzwerksegmentierung brächten indes einen kleinen Zugewinn an Sicherheit. Ein probates Mittel stelle etwa die Vereinheitlichung von Hard- und Softwaresystemen in einer gemeinsamen "VM-Bibliothek" dar.
Weitere Anforderungen lassen sich etwa in der Behebung von Ressourcenengpässen ausmachen oder in der Sicherstellung einer kostengünstigen Hochverfügbarkeit. "Wichtig für die Risikominimierung sind auch kurze Wiederherstellungszeiten bei fehlenden Patches oder Konfigurationsänderungen", so Gora.
Jedoch lässt sich mit Hilfe von einigen lose angegangenen Basismaßnahmen nicht jegliche Gefahr ausschalten. Insbesondere gibt es zahlreiche Schwachstellen auf der Anwendungsebene. "Virtualisierung ist also kein Allheilmittel, um Sicherheit zu schaffen", sagt der Sicherheitsexperte. Sprich: Ein zügig, aber möglicherweise schlampig implementiertes Konzept ist auf Dauer keine gute Lösung.Wer sich nicht allein auf Virtualisierung als Schutzmaßnahme verlässt, kann die Vorteile nutzen, die sich mit einer Umstellung auf die virtuelle Systemwelt ergeben. Die Hardwarekonsolidierung ermöglicht nicht nur eine Kosteneinsparung, sie kann auch eine geringere Störanfälligkeit durch die Vereinheitlichung nach sich ziehen.
Die positiven Folgeerscheinungen sind in diesem Fall kürzere Reaktionszeiten, die sich bei kurzfristigen Anforderungen ergeben. Eine zentrale Verwaltung ermöglicht den besseren Überblick. Auch das Patch-Management lässt sich mit einfachen Mechanismen besser steuern. Insgesamt kann man so also eine bessere Labor- und Testinfrastruktur zusammenstellen.
Doch dies ist eben nur die eine Seite der Medaille. Aus der wirtschaftlichen Betrachtung heraus ist der zusätzliche Aufwand für die Sicherheitskonzeption von Servern, der Netzwerkinfrastruktur oder dem Speichernetzwerk (SAN) meist gar nicht in der Kostenbilanz erfasst.
So haben die Spezialisten einen schweren Stand im Unternehmen, wenn sie sich mit den Fachabteilungen über entsprechende Details abstimmen. Aus der nachgelagerten Betreuung ergeben sich nicht nur erhöhte Anforderungen an die administrativen Mitarbeiter und deren Konzepte, es ergibt sich auch ein Mehraufwand bei jeder Form von sicherheitskritischen Änderungen.
Im Klartext wirkt sich dies etwa auf das "Vier-Augen-Prinzip" aus. Eine Trennung von Umsetzung und Abnahme der Prüfvorgänge ist ein Muss, um grobe Planungsfehler zu vermeiden. Nach der Etablierung gilt es, zusätzliche Hard- und Software sicherheitskritisch einzupflegen und neue Risiken zu bewerten.
Auf Anwenderebene ist es erforderlich, Einflussfaktoren vom "Gast" auf das Hostsystem und umgekehrt zu berücksichtigen. "Im Extremfall könnte ein gestörtes System weitere Systeme in Mitleidenschaft ziehen", so Gora. Nicht nur Probleme in der Virtualisierungssoftware könnten das System tangieren, Bugs und Software-Schwachstellen könnten auch Denial-of-Service-Attacken sowie die Übernahme von Systemen nach sich ziehen.Eine allzu große Sorglosigkeit ist auch dann kaum angebracht, wenn man Lösungen etablierter Hersteller einsetzt. So führt Vmware zwar aus, der Einsatz des Betriebssystemkerns (Mikrokernels) erhöhe die IT-Sicherheit. Da das Hostsystem jedoch virtuelle Interfaces steuert, ist prinzipiell eine Schwachstelle für die Interaktion gegeben.
Ein denkbares Angriffsszenario wäre laut Gora etwa ein Angriff auf das Snort-IDS-System, eine Art "lauschende Netzwerkkarte". Ein weiteres Beispiel könnte ein klassischer Buffer-Overflow sein, der es auf die NAT-Funktion der Vmware Workstation abgesehen hätte. Hintergrundinfos zu diesen Schwachstellen finden sich etwa auf den Seiten des amerikanischen Department of Homeland Security[9] (MITRE) oder des National Institute of Standards and Technology[10]. Zudem hält die National Cyber Security Division[11] des Department of Homeland Security (MITRE) eine Datenbank zu den wichtigsten Schwachstellen bereit.
"Vmware legt zwar hohen Wert auf die Sicherheit, einige Aussagen stammen aber aus dem Marketing", sagt Gora. Einsehbar sei insbesondere der Open-Source-basierte Kerneltreiber. Dieser ermögliche unter Umständen sogar gezielte Angriffe, anstatt Schwachstellen offen zu legen, analog etwa zur Übernahme von Systemen durch Schwachstellen im WLAN-Treiber.
Auch beim Open-Source-Pendant Xen sieht es systembedingt durchaus vergleichbar aus. Aufgrund nicht hundertprozentig fehlerfreier Software erfordert diese nach Auffassung von Gora vor allem ein aufmerksames Patch-Management. "Ein durchdachtes Sicherheitskonzept bedeutet, alle Anforderungen vorher zu klären, inklusive der kostenaufwändigen Schulungen für die Betreiber neuer Infrastrukturen".Der Schutzbedarf erstreckt sich prinzipiell auf die drei üblichen Aspekte Vertraulichkeit, Integrität und Verfügbarkeit. Die Konzepte sollten nach Einschätzung von Experten exakt auf die Zielvorgaben abgestimmt sein, wie die Erhöhung der Ressourcenausnutzung, eine größere Flexibilität der Abläufe, niedrigere Betriebs- und Wartungskosten sowie ein effizienteres System- und Sicherheitsmanagement durch Standardisierung und Automatisierung.
"Virtualisierung erhöht zeitweilig die Komplexität der IT-Infrastrukturen", sagt Sicherheitsexperte Ralph Grieser von der SHE Informationstechnologie AG[12]. Der IT-Dienstleister kooperiert eng mit Vmware. Wieser zufolge gilt es, zahlreiche Punkte in das Sicherheitskonzept zu integrieren, von Hochverfügbarkeit und Disaster Recovery bis hin zum Sandboxing für kontrollierte Umgebungen oder Honeypots, um die Potenziale des Gegners auszuloten.
Das Spektrum reicht bis zur digitalen Beweissicherung bei besonders raffinierten Varianten (Forensik). "Der Betrieb einer separaten netzwerkbasierten Sicherheitstechnik kann problematisch sein", bilanziert Grieser. Die fehlerhafte Implementierung und Konfiguration stellt nach Auffassung des Experten weiterhin das größte Risiko dar. Auch die Marktforscher von Gartner bilanzieren, Virtualisierung sei alles andere als eine per se sichere Technologie. Damit Unternehmen mit der Flut an neuen Lösungen umgehen können, empfehlen die Auguren einige Sicherheitsregeln.
Zunächst sollten die betroffenen Unternehmen ihre administrativen Zuständigkeiten sinnvoll aufteilen. Es gilt Aspekte wie das Patching, Aktualisieren von Signaturen und die Sabotage-Sicherung für den Offline-Betrieb der virtuellen Maschinen zu regeln.
Das Patching sowie das "Confirmation Management" der VMs auf die unterliegenden Betriebssysteme sollten eine hohe Eintrittsbarriere bilden. Die Rechteverwaltung gelte es mit einer begrenzten Einsicht in die Host-Betriebssysteme und virtuellen Netzwerke auszustatten, um eventuelle Schwachstellen rechtzeitig aufzuspüren.
Auch die eingeschränkte Sicht auf den Datenfluss zwischen den VMs während der Inspektion durch Intrusion-Prevention-Systeme gilt es nach Auffassung von Gartner zu berücksichtigen. Und schließlich gehörten zu den Aufgaben beim Absichern auch gesonderte Sicherheitsrichtlinien für mobile virtuelle Maschinen.
Eine Standardbeschreibung der Security-Anforderungen[13] aus dem vergangenen Jahr findet sich auf der Internet-Plattform virtualization.info, die regelmäßig über die neuesten Trends in der Industrie informiert. Noch aktueller ist das Whitepaper mit Guidelines zur Virtual Machine Security[14] vom September 2007. Wertvolle Tipps zur Absicherung virtueller Vmware-Maschinen gibt zudem ein aktueller Benchmark[15] des Centers for Internet Security, einer amerikanischen Non-Profit-Organisation.
URLs in diesem Artikel:[1] = http:/
[2] = http:/
[3] = http:/
[4] = http:/
[5] = http:/
[6] = http:/
[7] = http:/
[8] = http:/
[9] = http:/
[10] = http:/
[11] = http:/
[12] = http:/
[13] = http:/
[14] = http:/
[15] = http:/