Web Cyberfahnder
über Suchmaschinen und -strategien
  Cybercrime    Ermittlungen    TK & Internet    Literatur    intern    Impressum 
März 2009
08.03.2009 Virtualisierung
     
zurück zum Verweis zur nächsten Überschrift Abwehr und Angriff mit virtuellen Maschinen
 

 
Das derzeit häufig verwendete Schlagwort umschreibt jedoch in der Regel den parallelen Einsatz mehrerer Betriebssysteme. Erledigt wird dies über unterschiedliche Ansätze: von der Emulation eines kompletten PCs - inklusive virtueller CPU und Festplatte - bis zur Aufteilung vorhandener Ressourcen, bei denen die Betriebssysteminstanzen auf der Host-Hardware laufen. (1)
 

 
Mit dem seit einigen Jahren gebräuchlichen Begriff der Virtualisierung tun sich die Erklärer schwer. Golem [siehe links und (1)] und das Heise-Glossar versuchen sich an einfachen Erklärungen: Auf virtuellen Maschinen können unabhängig voneinander Web- oder File-Server arbeiten (2). Die hinterlässt mehr Fragen als sie beantwortet (3).

Mit meinen Worten: Virtualisierung ist die Schaffung einer Laufumgebung für gekapselte Programme, ohne dass sie unmittelbar auf die Systemumgebung zugreifen können. Ihr Zugriff auf die Hardware oder auf die tiefe Systemumgebung erfolgt nur in einer vorgetäuschten (emulierten) Umgebung und unter der Kontrolle der Virtualisierungssoftware. Die Kontrollinstanz dafür heißt Hypervisor (4).

Mit dem Für und Wider der Virtualisierung setzt sich ein Whitepaper von McAfee auseinander (5), das zunächst dieselben Definitionsschwierigkeiten hat (S. 3), dann aber spannende Details offenbart.

Virtuelle Umgebungen können eine Momentaufnahme eines kompletten Gastsystems inklusive des Speichers und des Dateisystem-Status festhalten. Für forensische Ermittler ist dies eine unbezahlbare Eigenschaft. Eine weitere wichtige Eigenschaft für die forensische Untersuchung ist die Replay-Funktion von VMware, die den Status des Gastsystems über eine bestimmte Zeitdauer aufzeichnen und dann wiedergeben kann (S. 8). Dasselbe gilt für die Analyse von Malware, die in einer gesicherten Umgebung beobachtet werden kann (ebd.).
 

 
Die Allmacht des Hypervisors kann sich aber auch umkehren, dann nämlich, wenn die Malware das angegriffene System einkapselt: Malware kann das gesamte Betriebssystem auf einer VM einhüllen und als ihr Hypervisor fungieren. Die Malware wird für das Betriebssystem unsichtbar (da sich kein bösartiger Code im Speicher oder Dateisystem befinden wird), während sie jedoch die vollständige Kontrolle über die Systemaktivitäten beibehält (S. 9). Die Autoren nennen Beispiele für dermaßen getarnte VM-Rootkits, dass sie nahezu unentdeckbar bleiben. Die Details im übrigen erspare ich mir (und Ihnen).

Sie kommen zu dem Ergebnis: Die derzeitigen virtuellen Umgebungen weisen Schwachstellen auf. Sie sind aus sehr viel Code aufgebaut und öffnen potenziell böswilligen Gästen zahlreiche Möglichkeiten, um mit der VM-Überwachung (dem „Hypervisor“) Daten auszutauschen. Dies macht die Hypervisor anfällig für Angriffe. Bisher gibt es noch nicht allzu viele bekannte Schwachstellen, die einem böswilligen Gast das Umgehen der VM-Steuerung ermöglichen, aber das wird sich wahrscheinlich bald ändern ... (S. 14)

zurück zum Verweis Anmerkungen
 


(1) Golem, Virtualisierung

(2) Glossar: Virtuelle Maschinen - VM

(3) Virtualisierung

(4) Hypervisor

(5) Zheng Bu, Rahul Kashyap, Ahmed Sallam, Joel Spurlock, Rafal Wojtczuk, Virtualisierung und Sicherheit, McAfee 31.10.2008
 

 

zurück zum Verweis Cyberfahnder
© Dieter Kochheim, 10.01.2011