Hi,

da man sich heute in 0,nix eine Addware/Trojaner und co. auch beim surfen auf "normalen" Seiten einfangen kann ist meine Idee folgende:

In einer VMWare ein XP Image, welches Sicherheitstechnisch auf dem neusten Stand ist. Dann den Unity-Modus (http://www.golem.de/0712/56602.html)aktivieren und den Internetbrowser aus der VMWare als normales Fenster auf dem Wirtsrechner betreiben. Und falls sich die VMware doch was fängt, sollte sie so eingestellt sein, dass sie keine Änderungen speichert und beim Neustart quasi wieder sauber ist.

Dank Unity kann der Browser auf dem normalen System "ganz normal benutzt werden. Natürlich auch erweiterbar auf den Instantmessenger und Co. alles was nach draußen will.

Inspiriert von



MASSENANGRIFF DER VIRENMAFIA

Nepper, Schlepper, Computer-Fänger (http://www.spiegel.de/netzwelt/tech/0,1518,585811,00.html)

Eine mächtige Virenwelle peitscht durchs Netz. Die Schad-Software ist perfider denn je, sie kann jeden erwischen. Betrüger kassieren mit falschen Software-Updates ab, kapern Rechner, verlangen Lösegeld für persönliche Daten - und die Betriebssysteme versagen beim Nutzer-Schutz komplett



Für die "bösen" Jungs (soll es ja geben) die sich einen Keygen oder ähnliches ziehen: einfach in der vmware machen, der keygen spuckt den key aus (danke ;D) und verseucht dann die VM...aber auch nur bis zum restart ;)



Noch perverser: in der letzten ct stand ein Tipp: zwei Router hintereinanderschalten. Dann hat man eine DMZ. Alles was am zweiter Router hängt ist in der DMZ, auf das Netzwerk wird der PC konfiguriert und die VMware Instanz bekommt das Netzwerk vom Router1 und hängt "normal" am Internet ;)

.

schreib mal ein tut wie man das genau macht xD
Die Idee ist zumindest nicht schlecht aber sobald das Echte System am i-net hängt dann wird das doch dennoch befallen oder nicht?

Die Idee ist zumindest nicht schlecht aber sobald das Echte System am i-net hängt dann wird das doch dennoch befallen oder nicht?
Lese dir erstmal durch, was eine VM (Virtual Machine) macht.
Die läuft in sich geschlossen und schreibt keine Daten auf das eigentliche System, weswegen sich das eigene System auch nicht infizieren kann.
Der Trojaner merkt dagegen nicht, dass er gerade nur eine VM befallen hat und kein echtes System.
Das Prinzip ist einfach, kannst dir einfach mal Virtual PC herunterladen. (von Microsoft)

Edit: Das ist keine Aufforderung zu illegalen Handlungen.

Und was machst du gegen Sachen, die nicht in der VM laufen? Z.B. eine gezogene Spiele-Demo?
Außerdem gab es schon Sicherheitslücken, womit Programme in der VM mehr oder weniger Zugriff auf den Wirtsrechner bekommen konnten. Dazu dann noch eine Sicherheitslücke im RPC-Dienst und schon wars das.
Alles ziemlich unwahrscheinlich aber nicht unmöglich.

Also eine Spieledemo wird natürlich vom in der vmware installierten Virenscanner vorher gescannt, dann kann man auch ein Verzeichnis freigeben, das man auf dem Wirtrechner mountet und von mir aus da die Datei nochmal scannen ehe man sie ausführt.

Das Problem ist ja eher nicht, dass die demos die man von den großen Seiten zieht verseucht sind, sondern dass man durch das drummherum im Browser oder von der Webseite sich den Kram einfängt.

.

naja, wirklich neu ist die idee nicht und in vielen fällen auch recht wirkungsvoll, ganz ausschließen kann man einen befall aber trotzdem nicht.

eine VM ist im prinzip wie ein anderer rechner im lokalen netzwerk und viren könnten sich auch darüber verbreiten, zwar ziemlich unwahrscheinlich, aber durchaus möglich.

mich reizt das ganze halt besonders, seit dem vmware auf windows auch den Unity Modus bietet. Den (z.B.) Browser in einem VMWare Fenster zu bedienen ist halt umständlich. Und jetzt können VMWare Anwendungen/Fenster auf dem echten Desktop laufen gelassen werden. Ich denke, das hat was ;)

.

vmware server gibt es ja for free mitsamt key da kann man dann schön auch mit linux und osx fuhrwerken(PAE-Mode)

btw: wo stellt man in VMWare ein, dass bei jedem (vmware) reboot alle Änderungen verworfen werden :D ?

.

wenn man sowieso mit VMware arbeitet is das ja ganz nett...

...aber wenns nur ums browsen geht dürfte z.b http://www.sandboxie.com wohl die "schlankere" alternative sein

Also wenn ich schon in einer VM surfen, chatten und was weiß ich alles im Internet machen will, installiere ich mir doch da nicht nochmal Windows hinein. Bezüglich der angestrebten Sicherheit vor Trojanern, Viren und Co. gibts wesentlich bessere Alternativen wie beispielsweise Linux oder BSD.

mfg.

Sonyfreak

Und jetzt können VMWare Anwendungen/Fenster auf dem echten Desktop laufen gelassen werden.

virtualbox kann das schon lange.

virtualbox kann das schon lange.
Ja, ich präferiere aber vmware :)

Also wenn ich schon in einer VM surfen, chatten und was weiß ich alles im Internet machen will, installiere ich mir doch da nicht nochmal Windows hinein. Bezüglich der angestrebten Sicherheit vor Trojanern, Viren und Co. gibts wesentlich bessere Alternativen wie beispielsweise Linux oder BSD.

mfg.

Sonyfreak

Mein Vorschlag zielt auf den Windows Anwender ab, der seine altbekannten Anwendungen dann einfach weiter bedienen kann. Das Sandiebox sieht auch sehr nett aus :)

.

Das Sandiebox sieht auch sehr nett aus :)



funktioniert mit 64bit allerdings nicht.

naja, wirklich neu ist die idee nicht und in vielen fällen auch recht wirkungsvoll, ganz ausschließen kann man einen befall aber trotzdem nicht.

eine VM ist im prinzip wie ein anderer rechner im lokalen netzwerk und viren könnten sich auch darüber verbreiten, zwar ziemlich unwahrscheinlich, aber durchaus möglich.mmm...

Nicht nur das, das Problem ist auch, dass der Host immernoch auf dem ursprünglichen System läuft und es auch schon Lücken gefunden wurden, wie man aus einer VMWare ausbrechen und so auf das Hostsystem zugreifen konnte.
http://www.heise.de/security/VMware-Luecke-ermoeglicht-Ausbruch-aus-dem-Gastsystem--/news/meldung/104018
http://www.virenschutz.info/beitrag-Luecken-bei-VMware-geschlossen-2544.html

http://www.heise.de/security/suche/?q=vmware&search_submit=los&rm=search

virtualbox kann das schon lange.
wie?

wie?
[CrtlRight] + [L] oder im Menü Maschine unter Nathloser Modus

Ich halte übrigens auch Betriebssysteme wie OpenSolaris besser geeignet für das surfen in der VM, da es dort auch keine Viren gibt. Und Firefox/Opera, Thunderbird, Flash, Java und Instant Messager gibt es dort auch.

btw: wo stellt man in VMWare ein, dass bei jedem (vmware) reboot alle Änderungen verworfen werden :D ?
Beim Server in den Eigenschaften der entspr. Harddisk -> nonpersistent.

mich reizt das ganze halt besonders, seit dem vmware auf windows auch den Unity Modus bietet.
Und das findest Du 'sicher abgeschottet'?

mich würde interessieren, ob ihr solche sachen wie sandboxie oder euren browser in einer vw laufen zu lassen in der praxis wirklich benutzt? oder wie schützt ihr euch? standart-sachen wie virenscanner und adblocker?

danke im voraus


gruß

..::mcpaschetnik::..

an mcpaschetnik

Ich bin gerade dabei auf Linux als Internetmaschine in einer VM umzusteigen.

Standardsachen wie Virusjäger, Firewalls usw. habe ich nie auch Windows verwendet.
Wenn man sein System aktuell hält und "Das Gehirn 1.0" einschaltet, dann braucht man auch keinen zusätzlichen Müll (Fehlalarme ahoi !) wie Antivirus auf seinem PC.
Dafür amüsiere ich mich köstlich, wenn es bei heise.de wieder mal heisst "Das Antivirenprogramm soundoso hat mal wieder Windows zerschossen, weil es wichtige Windows Dateien für digitale Schädlinge hielt." :D

jaja les ich immer wieder diese überheblichen Aussagen. Bis dann jemand doch von einer 0815 Standard Webseite eine verpasst bekommt, bzw. es schon wurde aber einfach nicht mitbekommt das seine Maschine seit Monaten spam verschickt (im harmloseren Fall).

;)

@mcpaschetnik: Bis (jetzt) Browser in einer eigenen VM (blos ohne Unity), FW+AV und TC6.0 ;) + ner Hardwarefirewall und noch nen paar Spielerein ;)

.

jaja les ich immer wieder diese überheblichen Aussagen. Bis dann jemand doch von einer 0815 Standard Webseite eine verpasst bekommt, bzw. es schon wurde aber einfach nicht mitbekommt das seine Maschine seit Monaten spam verschickt (im harmloseren Fall).

;)

@mcpaschetnik: Bis (jetzt) Browser in einer eigenen VM (blos ohne Unity), FW+AV und TC6.0 ;) + ner Hardwarefirewall und noch nen paar Spielerein ;)

.

könntest du kurz schreiben, was FW, AV (antivirus?) und TC6.0 ist? ich kann da irgendwie nichts mit anfangen. :redface:
ist es also so, dass du extra fürs surfen die vm anschmeißt, d.h. das virtuelle system erst booten lassen musst, bevor du auch nur kurz z.b. hier etwas lesen gehst? hörst sich nach aufwand an (der einem wohl lieb ist, so lange das sys virenfrei bleibt oder?)
ich frage nämlich, weil ich mir vielleicht auch so eine vm einrichten will.

gruß

..::mcpaschetnik::..

vor allem ist nun natürlich auch die frage wie man nun daten aus der VM bringt, wenn man die daten dort nicht speichert (was imo sinnlos ist, wenn man die VM installiert macht man davon eine sicherung, sollte das VM-system kompromiertiert werden spielt man diese zurück und fertig)

schließlich willst du ja mal was downloaden, diese daten musst du dann ja irgendwie ins hostsystem bringen und noch viel wichtiger, diese daten könnten schädlinge enthalten.

wenn man den zustand der VM nicht speichern lässt gibt es auch keine bookmarks, browser-history und ähnliches, komfortfunktionen die zwar nicht zwingend notwendig sind, aber wohl die wenigsten vermissen möchten.

ist es also so, dass du extra fürs surfen die vm anschmeißt, d.h. das virtuelle system erst booten lassen musst, bevor du auch nur kurz z.b. hier etwas lesen gehst? hörst sich nach aufwand an (der einem wohl lieb ist, so lange das sys virenfrei bleibt oder?)

wenn du willst kannst du den aktuellen zustand der VM festhalten, musst sie also nicht herunterfahren, nach dem neustart bist du an genau der selben position.
wenn du auch noch vista als host benutzt und eine halbwegs ordentliche RAM-menge hast und die VM öfters benutzt ist die wahrscheinlichkeit auch ziemlich hoch, dass superfetch das ganze schon im voraus in den RAM geladen hat, damit startet die VM rasend schnell.

Und genau hier - beim Übertragen von vermeintlich als sicher in der VM getesteten Dateien kommen die echten Probleme ins Spiel: es gibt Parasiten, die sich in einer VM anders verhalten als auf einem echten System.
Es scheint relativ problemlos möglich zu sein, den Betriebszustand abzufragen. Genauers entzieht sich meines Wissens. Die Werte bestimmter CPU-Register scheinen aber unter virtuellen Systeme generell anders zu sein als unter nichtvirtualisierten Umgebungen.

Insofern würde ich so eine VM - wenn schon - tatsächlich nur als Wegwerf-Lösung betreiben, die nach einem Neustart in einen genau definierten Zustand bootet. Als Testumgebung für verdächtige Dateien ist sowas in vielen Fällen nicht besser geeignet als ein Realsystem.

reicht doch schon die graka oder irgend ein mainboard chip abzufragen
unter vmware wird immer nen amd standard hostchip installiert usw.

Also "sicher" ist niemand, habe mir selbst schon zwei Dinge eingefangen, obwohl aktuellste Updates installiert und Virenscanner (AntiVir kannte den noch nicht einmal, andere scanner schon).
Kam entweder vom surfen oder online sein und das, obwohl alles dicht ist.

Die Idee einer vm ist nicht neu. Zum Teil wird sowas auch genutzt, um virtuelle server bereitzustellen. Aber 100% Sicherheit gibts auch hier nicht, scheint es doch auch schon möglichkeit zu geben, die vm komplett zu umgehen, was aber natürlich nicht jeder zustande bringt.
Die richtig nervigen Schädlinge kommen noch (schiebt das komplette vm/host system in eine vm und arbeitet daher auf einer ebene, wo selbst normale hilfsprogramme nicht suchen).
Das gute ist auf jeden Fall, das sich das system leicht zurücksetzen lässt. Das Image was auf der Platte liegt, lässt sich einfach neu laden, dadurch besteht die möglichkeit, das system so oft wie man will zu schrotten =)

andererseits ists ein heidenaufwand zwei systeme zu betreiben und aktuell zu halten (vorallem das konfigurieren).
Ich würds gleich mit etwas nützliches verbinden: Kompatibilität durch ein ältere Betriebssystem.
Beispielsweise kauft ihr auch Vista64 und haut ein XP32/XP64/2000 in die VM (Win98SE geht auch, taugt aber nicht zum surfen;D).

... (Win98SE geht auch, taugt aber nicht zum surfen;D).

Gibts dafür eig immer noch Viren?
Sterben die nicht irgendwann zusammen mit dem OS? :biggrin:

Noch perverser: in der letzten ct stand ein Tipp: zwei Router hintereinanderschalten. Dann hat man eine DMZ. Alles was am zweiter Router hängt ist in der DMZ, auf das Netzwerk wird der PC konfiguriert und die VMware Instanz bekommt das Netzwerk vom Router1 und hängt "normal" am Internet ;)

.

DMZ ? Kleines Tut hierzu ware angebracht! :o)

Nat. habe ich das ausprobiert[VMware], nur laufen viele Programme nicht 100%. Das Image-OS bekommt eine andere IP und ich krieg das nicht gebacken, allways yellow. :)

Ich erachte die Gesamtheit von einer VM mit einem Unix-Derivat als Gastsystem +klüges Köpfchen des Anwenders fürs Internet als sicherer als Windows + Antivirus.

Denn schließlich produzieren die ganzen Schutzpakete ziemlich viele Fehlalarme wie wieder mal gerade in der aktuellen c't nachzulesen ist und da darfst du als Benutzer nur auswerfen, ob das jetzt was Echtes ist oder nicht.

Klar ist es ein Aufwand noch ein zweites System hochzufahren und zu pflegen, andererseits musst du wenigstens ein System hochfahren, wenn du ins Internet willst.
Schließlich ist wohl noch niemand so weit , dass man direkt mit dem Gehirn ins Internet verbunden ist. ;D
Ob es sich lohnt, muss man selbst entscheiden. Der Austausch zwischen den Systemen ist auch kein Problem.

ist es also so, dass du extra fürs surfen die vm anschmeißt, d.h. das virtuelle system erst booten lassen musst, bevor du auch nur kurz z.b. hier etwas lesen gehst?

ne :)

Bei mir läuft Vmware permanent.

Bisher war es eben ein VMware Fenster mit einem Browser drinn, nur muss man dann eben erst in das VMWare Fenster klicken und kann dann denn Browser bedienen, was aber mit dem Unity entfällt, da läuft auf einem der Monitore eben ein "ganz normaler" Browser ;)

.

PS: Antivirussoft, Firewall und Truecrypt waren die Abkürzungen die du wissen wolltest.

.

Ist zwar ein bisschen komplex, aber für alle die es gern so haben wollen:

VMware läuft gleich vom Start weg wenn ihr das wollt. Nutzt ihr nun einen Surf PC in der VM und habt genügend RAM? Dann packt das Host-Image in eine RAM-Disk (die bei jedem start das image einmal lädt), da so das Virtuelle BS aus dem RAM heraus operiert und extrem flink ist.

hm wie kriegt ich den unity modus jetzt eigentlich bei einem windows host os zum laufen? sollte doch gehen oder? find dazu keinen menüeintrag

geht ab VMware 6.5 erst. Dann sollte das oben mit den Icons gehen, wo du auch Vollbild machen kannst.

.

Moin,

ich nutze z.B. Ubuntu@VirtualBox@Host WinXp. Wie soll Malware z.B. beim surfen da ausbrechen? Erst müsste der FF gelöchert werden, dann das Guestsys(Ubuntu), dann müsste ein Weg zum Host gefunden werden, dann müsste der Host(WinXP) gelöchert werden!?!

Welches Script soll das schaffen?

geht ab VMware 6.5 erst. Dann sollte das oben mit den Icons gehen, wo du auch Vollbild machen kannst.

.

hm daanke für den tipp aber da kommt nur: The virtual machine cannot enter Unity mode. Check that Unity is supported for this guest operating system and that the latest version of VMware Tools is installed.

Host os ist windows xp x64
gast os ist windows xp x32
beide mit aktuellsten patches
vmware tools sind installiert

kurz erscheint sogar das fesnter der vm im host system nur dann kommt sofort die fehlermeldung

die vmware homepage meint dazu
Unity mode — Integrate your favorite guest applications with your host. Open the application window, enter Unity mode, and the Workstation window is automatically minimized. The guest application windows look just like host application windows, but with color-coded borders. You can access the virtual machine's Start menu (for Windows virtual machines) or Applications menu (for Linux virtual machines) by placing the mouse pointer over the host's Start or Applications menu, or by using a key combination.
Note: Unity mode is supported only experimentally for Linux guests.

bei mir:

- Host Vista 64bit
- Gast XP32bit SP2

ohne Probleme.

VMware ist die aktuellste version.

.

jaja les ich immer wieder diese überheblichen Aussagen. Bis dann jemand doch von einer 0815 Standard Webseite eine verpasst bekommt, bzw. es schon wurde aber einfach nicht mitbekommt das seine Maschine seit Monaten spam verschickt (im harmloseren Fall).
.

ich warte schon seit jahren drauf, zur verfügung stehen 2x winxp und 1x vista, jeweils hinter einem normalen nat setup mit virusscanner ondemand. wenn heutzutage ein rechner massenspams verschickt ist der account schneller dicht als man denkt wenn es ein seriöser provider ist. dieser hat nämlich keine lust das seine subnetze auf blacklists stehen das dann weitreichende folgen hat.

falls ich auch mal überparanoid werden sollte stelle ich mir ne linux kiste als router hin die von mir aus jeden einzelnen byte mitloggt und mir täglich dazu ne statistik generiert, layer7 daten werden natürlich auch genau analysiert. ports werden natürlich nur durch knocking geöffnet, ausgehend sowohl eingehend. ein script analysiert vielleicht noch das nutzungsverhalten der letzten zeit und wendet bei größerer abweichung ein "stonith" ähnliches verfahren beim router an.

sicher habe ich noch etwas vergessen, aber bin gerade nicht auf den trip, sorry. :D

mfg

bei mir:

- Host Vista 64bit
- Gast XP32bit SP2

ohne Probleme.

VMware ist die aktuellste version.

.


So wollte ich das auch realisieren. Nur für VMware wäre mir eine kostenlose x64 kompatible Lösung lieber. Ich kann doch auf dem Virtuellen System auch Truecrypt einsetzten oder?

Nur für VMware wäre mir eine kostenlose x64 kompatible Lösung lieber.

wie wäre es mit virtualbox?

Ok, wenn das gut läuft, habe damit noch gar nicht gearbeitet. Kann man trotz des Unity-Modus auch ein Downloadverzeichnis anlegen, welches nicht zurückgesetzt wird und zB. gecryptet ist?

an drmaniac

Tja, und ich habe es wieder getan : http://winfuture.de/news,43504.html

;D

nette idee aber wenn die vm mit einem trojaner infiziert ist, der im netzwerk aktiv ist, besteht dann nicht auch die wahrscheinlichkeit, dass auch der host infiziert wird? selbst wenn man nur nat verwendet? schliesslich sind ja diverse dienste im intranet vorhanden.

nette idee aber wenn die vm mit einem trojaner infiziert ist, der im netzwerk aktiv ist, besteht dann nicht auch die wahrscheinlichkeit, dass auch der host infiziert wird? selbst wenn man nur nat verwendet? schliesslich sind ja diverse dienste im intranet vorhanden.

Das könnte man umgehen, in dem man einen VLAN-fähigen Router nimmt, 2 Netzwerkports am PC hat und die VMware in ein eigenes VLAN steckt, welches keinen Zugriff auf den Rest des Netzes hat.

nette idee aber wenn die vm mit einem trojaner infiziert ist, der im netzwerk aktiv ist, besteht dann nicht auch die wahrscheinlichkeit, dass auch der host infiziert wird? selbst wenn man nur nat verwendet? schliesslich sind ja diverse dienste im intranet vorhanden.


das halte ich für verdammt unwahrscheinlich.

die frage ist allerdings viel mehr, wie du deine daten zwischen host und vm austauschen willst. darüber können dann prinzipiell immer schädlinge durchkommen.