Ich habe eine Frage zu virtuellen Maschinen. Wenn ich dort ein Gastsystem aufsetze und da irgendwelche Software installiere, die möglicherweise Schadcode enthält, kann dieser Code dann auch möglicherweise aus der virtuellen Maschine ausbrechen und auf das Hostsystem zugreifen, bzw. dort etwas verändern? Oder ist das absolut sicher?

Ich verwende als Virtualisierungsprogramm momentan Virtualbox und habe die Intel VT Technologie eingeschaltet.
Außerdem hat das Gastsystem Zugriff auf das Internet (was ist da eigentlich die sicherste Konfiguration, also dass das Gastsystem nicht auf das lokale Netzwerk zugreifen kann?)

klar ist es möglich wenn die virtuelle maschine entsprechende schwachstellen hat. ist ja auch nur ein stück software.

mfg

Außerdem hat das Gastsystem Zugriff auf das Internet (was ist da eigentlich die sicherste Konfiguration, also dass das Gastsystem nicht auf das lokale Netzwerk zugreifen kann?)

Dann kann man von deinem Gastsystem Kipos, Raubkopieren und ähnliches Zeug downloaden und verbreiten wenn man darauf remote Zugriff hat.

Jedes Stück Software mehr auf deinem PC erhöht die Wahrscheinlichkeit einer Lücke die ein Hacker ausnutzen kann. The_Invisible hat ja bereits klar gestellt das eine VM auch nur ein Stück Software ist.
Sie kann natürlich Lücken haben die einen Ausbruch aus der VM ermöglichen.
Hier 2 Links für dich:
Heise News: "VMware-Lücke ermöglicht Ausbruch aus dem Gastsystem" (http://www.heise.de/security/VMware-Luecke-ermoeglicht-Ausbruch-aus-dem-Gastsystem--/news/meldung/104018)
Heise News: "Reale Löcher in virtuellen Maschinen" (http://www.heise.de/newsticker/meldung/88662)

Am besten kann man hier eine Virtuelle Maschine mit einem Bildbearbeitungsprogramm vergleichen.


Die VM läd eine Gastimagedatei und führt dieses Gastsystem aus.
Ein Bildbearbeitungsprogramm läd eine Bilddatei und verarbeitet es.

Wenn nun in beiden Anwendungen ein Pufferüberlauf ausnutzbar ist,
dann kann sowogl die Bilddatei, als auch das Gastsystem fremden bösen Code in das Hostsystem einschleusen und dort dann ausführen.

Dabei gilt, das es völlig unerheblich ist, ob die emulierte HW für das Gastsystem eine völlig andere Architektur (C64, Apple, Amiga) oder ein völlig anderes Betriebssystem (auf dem Host z.B. Windows, auf dem Gastsystem OS/2) aufweist.


Entscheident ist nur, wie der Pufferüberlauf stattfindet.
Wenn der Pufferüberlauf z.B. in einer emulierten Grafikkarte steckt, dann ist diese emulierte Grafikkarte auf dem Gastsystem nur über das Betriebssystem ansprechbar, wenn es sich nicht um ein altes DOS oder ähnliches handelt.
D.h. Schadcode der auf einem Gastsystem wie Windows oder Linux läuft, müßte da erstmal am Kernel vorbei, um überhaupt einen Pufferüberlauf in die emulierte Grafikkarte einschleusen zu können.

Und das erscheint mir nicht trivial.
Man kann also davon ausgehen, das hier mehrere Hürden zu überwinden sind.

So exotisch wie die emulierte Hardware muss es nicht einmal unbedingt sein. Es gibt ja meist auch explizit vorgesehene Schnittstellen, über die Host und Gast kommunizieren dürfen, um z. B. Datenaustausch über Shared Folders, Zugriff auf die Zwischenablage oder Drag & Drop umzusetzen. Das geht vermutlich in der VM auch mit Benutzerrechten über ein paar API-Calls und dort können natürlich auch Lücken auftreten.

Außerdem gibt es ja (wie vom TS eigentlich schon genannt) noch den Weg über das Netzwerkinterface. Da hat die VM ggf. noch einen Vorteil gegenüber einem Rechner im Internet, weil sie sich meist im selben Netzwerk befindet.

So exotisch wie die emulierte Hardware muss es nicht einmal unbedingt sein. Es gibt ja meist auch explizit vorgesehene Schnittstellen, über die Host und Gast kommunizieren dürfen, um z. B. Datenaustausch über Shared Folders, Zugriff auf die Zwischenablage oder Drag & Drop umzusetzen. Das geht vermutlich in der VM auch mit Benutzerrechten über ein paar API-Calls und dort können natürlich auch Lücken auftreten.

Außerdem gibt es ja (wie vom TS eigentlich schon genannt) noch den Weg über das Netzwerkinterface. Da hat die VM ggf. noch einen Vorteil gegenüber einem Rechner im Internet, weil sie sich meist im selben Netzwerk befindet.

Ja.

Allerdings sollte man nicht vergessen, dass diese Angriffe derzeit theoretischer Natur sind.

In der Praxis hat sich noch keiner die Mühe gemacht, einen Angriff auf eine VM unter Windows in die freie Wildbahn zu stellen. Es gibt einfach nicht genügend Leute, die ein solches Szenario nutzen, wo der Angriff also sinnvoll einsetzbar wäre. Da gibt es viel viel einfachere Angriffspunkte.

Deswegen ist eine VM heute noch recht sicher um bestimmte Tests durchzuführen.

Richtig Angst :| hat mir eher Rutkowska gemacht, als ich mir keine Gedanken gemacht habe, daß etwas aus der VM ausbricht, sondern daß ich mich selbst dadrin finde =)

Okay danke für die vielen Infos. Ich hatte gedacht, dass vielleicht die Virtualisierungsfunktion des Prozessors irgendwie davor schützen könnte.

Allerdings sollte man nicht vergessen, dass diese Angriffe derzeit theoretischer Natur sind.

In der Praxis hat sich noch keiner die Mühe gemacht, einen Angriff auf eine VM unter Windows in die freie Wildbahn zu stellen. Es gibt einfach nicht genügend Leute, die ein solches Szenario nutzen, wo der Angriff also sinnvoll einsetzbar wäre. Da gibt es viel viel einfachere Angriffspunkte.

Deswegen ist eine VM heute noch recht sicher um bestimmte Tests durchzuführen.

So ein Quatsch!

Schonmal von Virtuellen Servern gehört die in einer VM laufen?

Die Dinger hängen 24 h 7 Tage die Woche 365 Tage im Jahr am Internet und deren Hostrechner sind ein unglaublich wertvolles Ziel.

deren Hostrechner sind ein unglaublich wertvolles Ziel.

Warum die Hostrechner? Da nehm ich doch gleich die nebenan liegenden VMs auf dem Host und klaue da die Daten. Für den Hostrechner interessiert sich keine Sau, dafür sind zu viele Admins drum herum und kümmern sich um den Rechner wenn er nicht mehr tut was er tun soll. Aber ein paar Daten klauen? Womöglich noch Kreditkartendaten? Jackpot baby.

Jedes Stück Software mehr auf deinem PC erhöht die Wahrscheinlichkeit einer Lücke die ein Hacker ausnutzen kann. The_Invisible hat ja bereits klar gestellt das eine VM auch nur ein Stück Software ist.
Sie kann natürlich Lücken haben die einen Ausbruch aus der VM ermöglichen.
Hier 2 Links für dich:
Heise News: "VMware-Lücke ermöglicht Ausbruch aus dem Gastsystem" (http://www.heise.de/security/VMware-Luecke-ermoeglicht-Ausbruch-aus-dem-Gastsystem--/news/meldung/104018)
Heise News: "Reale Löcher in virtuellen Maschinen" (http://www.heise.de/newsticker/meldung/88662)

Zusätzliche Software soll die Sicherheit per se verkleinern? :freak:
Ein Virenscanner zum Beispiel?

Die VM ist doch eine zusätzliche Barriere, die ist sicher nicht wasserdicht aber es ist ein Mehraufwand nötig. Evtl. sogar ein gezielter Schädling für VMs.
IMHO also eine Stufe sicherer, da sind 2 bzw. 3 Jahre alte Berichte zu Sicherheitsproblemen auch wenig überzeugend.

Zusätzliche Software soll die Sicherheit per se verkleinern? :freak:
Ein Virenscanner zum Beispiel?

Korrekt. Der Virenscanner selbst kann wieder Schwachstellen haben, genauso wie jede andere Software auch. Da kannst du mit Smilies um dich werfen so viel du willst, so sieht es nunmal aus.

Zusätzliche Software soll die Sicherheit per se verkleinern? :freak:
Ein Virenscanner zum Beispiel?

http://www.fefe.de/antivirus/42.zip

LG,
TC

http://www.fefe.de/antivirus/42.zip

LG,
TC

Wäre gut zu wissen ob es immer noch einen Scanner gibt der die Zip melden :)

Mein Avast Freeware Scanner findet ihn..

McAfee VS 8.7 macht auch gleich Alarm :)

...Avira auch...:)

So ein Quatsch!

Schonmal von Virtuellen Servern gehört die in einer VM laufen?

Natürlich. Deswegen habe ich auch geschrieben "VM unter Windows". Lern lesen! Dass VMs auf Servern ein lohnenswertes Ziel ist, weiß ich durchaus, aber das war in diesem Thread schlicht nicht die Frage.

Leute wie Du nerven einfach ohne Ende.

Ich vermute mal, dass keiner der Spezialisten weiß, was The Cell mit dieser 42.zip Sache eigentlich ausdrücken will.
Aber Gott sei Danke erkennen eure Tools "ein Problem".

Erkennen Sie aber auch das logische Problem an dieser Demo?

Kann das jemand aufklären?

Eine komprimierte Datei, die vollständig entpackt 4 Petabyte belegt ... mit Dateien, die nur Nullen enthalten.
http://blog.fefe.de/?ts=b6cea88d
http://www.gulli.com/news/laut-yahoo-ist-fefes-blog-ein-2008-05-19/

Um die vollständig zu scannen müsste sie aber entpackt werden. Schon eine entpackte Datei (.dll, nicht die Teilarchive darin) belegt 4 GiB. Virenscanner brechen bei zu großen Dateien ab, weil der Vorgang zu lange dauern würde und u.U. auch gar nicht genug Platz auf der Platte vorhanden ist. Je nach Scanner wird die Datei dann als bösartig klassifiziert (Vorsichtprinzip) oder nicht.

Was The Cell damit letztlich sagen wollte: auch Virenscanner haben Schwachstellen.
Zusätzliche Software soll die Sicherheit per se verkleinern? :freak:
Ein Virenscanner zum Beispiel?