Sicherheit in virtuellen Systemen

Betriebssysteme in virtuellen Umgebungen gelten als sichere Möglichkeit, sich vor Angreifern und Viren zu schützen. Doch genauso wie bei physischen ist bei virtuellen Umgebungen grosse, möglicherweise sogar noch grössere Vorsicht geboten und ein passendes Sicherheits- konzept unabdingbar.

Artikel erschienen in Swiss IT Magazine 2008/13

     

Schwachstellen gibt es in allen Betriebsystemen und Anwendungen, doch eine virtuelle Anwendung stellt hier zusätzlich sehr hohe Anforderungen an die Hersteller und auch an die Sicherheitsindustrie. Generell sind die Schädlinge wie Rootkits und moderne Viren so intelligent programmiert, dass sie virtuelle Umgebungen erkennen und sich dementsprechend verhalten, um nicht erkannt zu werden. Ein Rootkit nützt die Schwachstellen des virtuellen Betriebsystems zu seinen Gunsten aus, und ein intelligenter Virus wird sich gar nicht erst selbst ausführen oder installieren.




Bereits vor zwei Jahren wurden auf der Black-Hat-Konferenz 2006 in Las Vegas drei Proof-of-Concept-Rootkits vorgestellt, welche die Schutzmechanismen von virtuellen Umgebungen effektiv aushebeln können. Es handelt sich dabei um SubVirt, Vitriol sowie das Virtualisierungs-Rootkit Blue Pill.


VM-Rootkit-Technik

An der Universität Michigan haben zahlreiche Forscher in Zusammenarbeit mit dem Microsoft Research Institute diesen Rootkit zu Demonstrationszwecken sowohl für Windows als auch für Linux-Systeme entwickelt. Mit SubVirt wird als Proof-of-Concept-Programm gezeigt, wie sich ein Schadprogramm unter Ausnutzung der neuen virtualisierten Techniken unsichtbar installiert. Die Forscher nennen diese Technik «Virtual Machine Based Rootkit» (VMBR).



Der Ansatz von SubVirt, Vitriol und Blue Pill basiert darauf, den bestehenden Boot-Loader so zu manipulieren, dass das bisherige Betriebssystem nach einem Neustart in einer zweiten virtuellen Instanz unbemerkt gestartet wird und Schadroutinen ausführen kann. Das virtuell gekapselte Betriebssystem lässt sich dabei weder beenden noch deinstallieren. Danach können jegliche Schutzmassnahmen eines Betriebssystems ausgehebelt werden, ohne dass Schwachstellen im System gefunden und ausgenutzt werden müssen.


Viren unterscheiden reale und virtuelle Umgebungen

Für Viren-Analysten gehörten bislang virtuelle Maschinen zu den wichtigsten Werkzeugen. Damit sie sich über mögliche Folgen einer Infektion keine Sorgen machen mussten, wurden sämtliche Viren in virtuellen Umgebungen ausgeführt und untersucht. Der Analyst kann hierdurch die Viren im Labor auf ihr Verhalten hin detailliert studieren. Da es nicht möglich ist, den Virus einfach zu disassemblieren und so seine Bauanleitung zu studieren, ist ein praktischer Test unumgänglich.


Zahlreiche Malware-Programme sind heute aber in der Lage, zwischen realen und virtuellen Umgebungen zu unterscheiden. Merkt ein Virus, dass er sich in einer virtuellen Umgebung befindet, dann stellt er sich komplett tot, um so dem Analysten keinerlei Anhaltspunkte zu geben. Die Programmier der Viren sehen es quasi als einen Wettbewerb, dem Anti-Viren-Fachmann einen Schritt voraus zu sein, und setzen sehr viel daran, diesen auszutricksen.



Es kommt hinzu, dass die Schwelle für ein Virus, eine virtuelle Umgebung zu detektieren, sehr tief ist. Die virtuelle Umgebung lässt sich sehr leicht anhand zahlreicher spezifischer Registry Keys ermitteln. Auch wenn ein cleverer Viren-Analyst diese wohlbekannten Keys aus der Registry löscht, wird ein moderner Virus nicht einfach darauf reinfallen, sondern ein System anhand der Hardwareausstattung, welche in virtuellen Umgebungen mehr oder weniger immer dem gleichen Schema entspricht, identifizieren.


Gezielte Angriffe werden bald Tatsache sein

Es ist eine Tatsache, dass immer mehr Malware diesen Schutzmechanismus beinhaltet, andererseits wird heute in der IT-Welt immer mehr und schneller virtualisiert, da ein hoher Kostendruck vorhanden ist. Man darf daher davon ausgehen, dass bald eine Trendwende einkehrt und sich die Malware dann nicht mehr vor virtuellen Umgebungen tarnen, sondern diese gezielt angreifen wird; ein Umstand der sich positiv auswirkt, da sich die Antiviren-Hersteller etwas einfallen lassen müssen.



Das SANS Internet Storm Center schlug diesbezüglich sogar schon vor, den umgekehrten Weg zu gehen: Anstatt virtuelle Systeme real aussehen zu lassen, sollte man reale Systeme als virtuell maskieren, so dass eventuell zur Ausführung gelangte Malware doch passiv bleibt.


Sicherheit ist eine der grössten Herausforderungen

Leider gehen viele Administratoren fahrlässig mit der Sicherheit in virtuellen Umgebungen um, obwohl dort noch ein höheres Sicherheitskonzept wie in herkömmlichen Umgebungen anzustreben ist. Man muss sich bewusst sein, dass nur einige der herkömmlichen Sicherheitsmethoden für Server auch in einer virtualisierten Umgebung angewendet werden können. Die Administratoren sind auf ein durchdachtes, sicheres virtuelles Betriebssystem (Host) angewiesen. Die Hersteller haben hier sicher noch einiges an Potential, sich zu verbessern. Andererseits müssen auch die darauf laufenden Sessions (wie beispielsweise Windows Server, Linux Server usw.) wie ein herkömmliches Betriebssystem punkto Sicherheit behandelt werden.



Hersteller von Virtualisierungslösungen geben nach langem Schweigen endlich auch zu, dass man diverse Sicherheitsfirmen mit Details über einige Programmierschnittstellen versorgt, um virtuelle Maschinen wesentlich sicherer zu machen. Bislang hatten die Hersteller den Zugang zu ihren Codes stark eingeschränkt und auch keine offiziellen Angaben über das Sharing der eingesetzten APIs gemacht. Doch nun gäbe es bereits intensive Kooperationen mit Mc­Afee und Symantec, um die Vision von sicheren virtuellen Plattformen zu realisieren.


Nützliche Empfehlungen für Planung und Betrieb

Damit die Unternehmen mit Sicherheit in virtuellen Umgebungen richtig umgehen können, gibt es ein paar Sicherheitsregeln zu beachten.


Als Basis gilt für die Unternehmen, ihre administrativen Zuständigkeiten sinnvoll aufzuteilen. Dabei sind Aspekte wie das Patching, die Aktualisierung von Virensignaturen und die Sabotage-Sicherung für den Offline-Betrieb der virtuellen Maschinen zu regeln und zu gewährleisten.



Ein regelmässiges Patching der virtuellen Maschinen auf dem darunterliegenden Betriebssystem (Host) bietet eine hohe Eintrittsbarriere. Eine sinnvolle Rechteverwaltung auf der Host-Ebene mit einer begrenzten Einsicht sowie der Einsatz von virtuellen Netzwerken gewährleisten einen weiteren einfachen, aber guten Schutz.


Um die Sicherheit wesentlich zu erhöhen, ist nach Möglichkeit jedem virtuellen Server eine dedizierte Netzwerkkarte zuzuordnen, welche nicht in das interne Netzwerk geroutet wird, sondern den Netzwerkverkehr direkt in eine DMZ leitet. Die Zuordnung von physischen Netzwerkkarten zu jeweils einer virtuellen Maschine verhindert, dass Verkehr aus anderen virtuellen Systemen, welcher am gleichen Netzwerk-Interface anliegt, gesniffed oder anderweitig manipuliert wird. Auch das Hopping zwischen virtuellen Systemen und den zugehörigen Subnetzen auf der gleichen Netzwerkkarte wird so verhindert.


Die dedizierte physische Zuordnung macht bei Webservern wie auch bei Mail-Servern, welche sehr nahe am Internet stehen, einen Sinn. Ein Angreifer kann dann allenfalls höchstens den virtuellen Server attackieren und hacken, erhält aber dennoch keinen Zugriff auf das interne oder ein anderes Netzwerk, um darin noch weitaus grösseren Schaden anzurichten.


Die Hersteller haben die Probleme erkannt

VMware bietet in ihrer neuen Intel-Server-Version neu auch ein paar einfach handzuhabende Schutzmechanismen an. Einerseits besteht nun die Möglichkeit, mit der Konsole verschlüsselt per SSL zu kommunizieren. Andererseits kann jede VMware-Session in einem privaten Modus laufen und einem dedizierten User-Konto zugeordnet werden. Damit wird verhindert, dass jemand unbefugt die Session herunterfahren oder auch starten kann.


Solche einfachen, aber bereits implementierten Schutzmechanismen sollten unbedingt verwendet werden. Auch Kleinigkeiten, die nicht einer Standard-Installation entsprechen, machen es einem potentiellen Angreifer immer schwerer, ein System zu penetrieren. Er wird im ersten Schritt immer versuchen, über den herkömmlichen Weg in ein System einzudringen. Eine solch einfache Barriere kann ihn auch davon abbringen, hier noch weiterzumachen, und ihn veranlassen, sich ein neues Opfer zu suchen.



Die professionelle Vmware Version ESX bietet sicherheitstechnisch noch einiges mehr an nützlichen Features an. Zum Beispiel ist es möglich, den Netzwerkverkehr auf die Konsole mittels SSH mit 256 Bit oder 128-Bit-AES zu verschlüsseln. Aus Sicherheitsgründen wird kein Root-Zugriff mehr in der aktuellen ESX-Version als Remote-User erlaubt. Daneben werden über ein Rollen-/Zugriffskonzept die Privilegien (Virtual Machine User) auf dem Host in die Tiefe geregelt.


Es versteht sich von selbst bei virtuellen Systemen, die Services im Internet anbieten (Web, FTP,
E-Mail etc.), dass diese durch Hardware-Firewalls und IPS-Systeme geschützt werden müssen. Auch hier gilt der Grundsatz: Nur die wirklich zwingend nötigen Ports von der Firewall auf den Host zulassen.


Somit lässt sich final sagen, dass virtuelle Systeme zwar Kosteneinsparungen und Effizienzsteigerungen bringen können, jedoch nicht gleichzeitig höhere Sicherheit bedeuten. Eher der Umkehrschluss wäre hier zutreffend. Sicherheit ist und bleibt ein Thema, das oft auf finanzielle Aspekte reduziert wird, ohne die Auswirkungen genau zu betrachten. Marketing-Folien und oberflächliche ROI-Rechnungen seitens der Hersteller unterstützen diese Situation wesentlich.


Als Integrator müssen wir diesen Bestrebungen immer entgegenwirken und darauf bedacht sein, die für den Kunden passende Lösung zu finden. Diese muss eingehend geplant werden, wie auch das Proof of concept sicherzustellen ist. Nur so kann man auch bei der Verwendung von virtuellen Systemen jetzt und in Zukunft die Stabilität aller Systeme gewährleisten. Und nur so lässt sich letztlich der Unternehmenserfolg sicherstellen.


Der Autor

Michael Fritz ist Director Competence Center Security bei Nextiraone Schweiz GmbH.




Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Wie hiess im Märchen die Schwester von Hänsel?
GOLD SPONSOREN
SPONSOREN & PARTNER