Virtualisierung ist kein Sicherheits-Allheilmittel
Tavis Ormandy vom Google Security Team hat einen neuen Beitrag zum Thema Virtualisierung und Sicherheit im Goolge Security Blog gepostet. Darin stellt er die Sicherheit von Virtuellen Maschinen in Frage.
Virtuelle Maschinen gelten gemeinhin als undurchdringbare Barrieren zwischen Host und Gastsystem. Aus diesem Grund werden sie oft in Sicherheitsumgebungen eingesetzt, um Malware wie Viren, Würmer etc. in einer Sandbox analysieren zu können.
Virtuelle Maschinen sind komplexe Anwendungen mit einer riesigen Codebasis. Genau hier setzt Tavis Ormandy an und unterstellt, dass komplexe Systeme niemals fehlerfrei sein können. Leider sind das keine bloßen Behauptungen, sondern er belegt diese These in seiner Studie zum Thema Sicherheit von Virtuellen Machinen (An Empirical Study into the Security Exposure to Hosts of Hostile Virtualized Environments), die er auf der CanSecWest in Frühjahr 2007 präsentierte.
In dieser Studie führt er einige Schwachstellen von Virtuellen Maschinen auf, die Angreifer dazu nutzen könnten aus Gastsystem auszubrechen und in das Host-System einzudringen.
Anhand eines einfachen Tools (iofuzz) konnte nachgewiesen werden, dass die meisten, wenn nicht alle zur Zeit verfügbaren Virtuellen Maschinen Sicherheitsmängel aufweisen.
Die Ergebnisse seiner Untersuchung können als Proof-of-Concept betrachtet werden und zeigen in jedem Fall, dass weitere Forschung, wenn nicht sogar ein Überdenken des Sicherheitsmodells von Virtualisierungs-Architekturen angebracht sind.
In der Zwischenzeit ist man gut beraten grundlegende Sicherheitsrichtlinien zu befolgen. Um die Angriffsfläche für Hacker & Malware so klein wie möglich zu machen, sollten Features, Dienste und emulierte Devices die nicht gebraucht werden, deaktiviert werden. Alle Software sollte aktuell gehalten werden und möglichst wenig sollte mit root/admin Rechten ausgeführt werden.
Auf alle Fälle sollte man sich vor Augen führen, dass Virtuelle Maschinen kompromittierbar sind. Ein bewusster Umgang ist der Schlüssel zu mehr Sicherheit. Diese goldene Regel gilt auch für die Virtualisierung.
Original posting "Virtualisation Is No Security Panacea!" auf OpenSecurityCLUB. Der zugrundeliegende Artikel wurde ursprünglich unter dem Titel "Google Online Security Blog: On virtualisation" veröffentlicht.
Virtuelle Maschinen gelten gemeinhin als undurchdringbare Barrieren zwischen Host und Gastsystem. Aus diesem Grund werden sie oft in Sicherheitsumgebungen eingesetzt, um Malware wie Viren, Würmer etc. in einer Sandbox analysieren zu können.
Virtuelle Maschinen sind komplexe Anwendungen mit einer riesigen Codebasis. Genau hier setzt Tavis Ormandy an und unterstellt, dass komplexe Systeme niemals fehlerfrei sein können. Leider sind das keine bloßen Behauptungen, sondern er belegt diese These in seiner Studie zum Thema Sicherheit von Virtuellen Machinen (An Empirical Study into the Security Exposure to Hosts of Hostile Virtualized Environments), die er auf der CanSecWest in Frühjahr 2007 präsentierte.
In dieser Studie führt er einige Schwachstellen von Virtuellen Maschinen auf, die Angreifer dazu nutzen könnten aus Gastsystem auszubrechen und in das Host-System einzudringen.
Anhand eines einfachen Tools (iofuzz) konnte nachgewiesen werden, dass die meisten, wenn nicht alle zur Zeit verfügbaren Virtuellen Maschinen Sicherheitsmängel aufweisen.
Die Ergebnisse seiner Untersuchung können als Proof-of-Concept betrachtet werden und zeigen in jedem Fall, dass weitere Forschung, wenn nicht sogar ein Überdenken des Sicherheitsmodells von Virtualisierungs-Architekturen angebracht sind.
In der Zwischenzeit ist man gut beraten grundlegende Sicherheitsrichtlinien zu befolgen. Um die Angriffsfläche für Hacker & Malware so klein wie möglich zu machen, sollten Features, Dienste und emulierte Devices die nicht gebraucht werden, deaktiviert werden. Alle Software sollte aktuell gehalten werden und möglichst wenig sollte mit root/admin Rechten ausgeführt werden.
Auf alle Fälle sollte man sich vor Augen führen, dass Virtuelle Maschinen kompromittierbar sind. Ein bewusster Umgang ist der Schlüssel zu mehr Sicherheit. Diese goldene Regel gilt auch für die Virtualisierung.
Original posting "Virtualisation Is No Security Panacea!" auf OpenSecurityCLUB. Der zugrundeliegende Artikel wurde ursprünglich unter dem Titel "Google Online Security Blog: On virtualisation" veröffentlicht.
Labels: security, sicherheit, virtual machines, Virtualisierung, Virtuelle Maschinen
Eingestellt von Sly Dog @ 22:54
<< Startseite