computerwoche.de

Security

IT-Security

Sicher virtualisiert oder nur virtuell sicher?

30.09.2008
Von 
Uli Ries ist freier Journalist in München.
Alle Posts des Autors

Mehr Softwaresicherheit durch verstärkten Hardwareeinsatz

Ein weiteres, schon seit geraumer Zeit diskutiertes Angriffsszenario ist der Austausch eines Hypervisors durch Malware. Die viel zitierte - und selbst vom Virtualisierungs-Skeptiker Hoff als unrealistisch erachtete - Attacke durch Malware wie BluePill basiert auf der Idee, dass der bösartige Hypervisor vor dem gutartigen Hypervisor geladen wird und Letzteren somit ins Aus manövriert. Oder: Blue Pill ist der einzige Hypervisor und kontrolliert somit alles, was im plötzlich virtualisierten Betriebssystem läuft. Unabhängig davon, dass bislang kein funktionierender Weg bekannt ist, wie Blue Pill das Rennen mit dem legitimen Hypervisor gewinnen könnte, haben manche Hersteller bereits eine Abwehrstrategie parat. Ganz unmöglich dürfte diese Angriffsmethode werden, wenn das Server-Bios die Integrität des Hypervisors mittels eines Hash-Wertes sicherstellt, wie ihn beispielsweise ein Trusted Platform Module (TPM) errechnen und speichern kann. Der Xenserver von Xensource greift bereits auf ein eventuell vorhandenes TPM zurück. VMwares ESX ist dazu noch nicht in der Lage, soll aber in Kürze ebenfalls so weit sein. Das diesbezügliche Bemühen auf Seiten VMwares lässt darauf schließen, dass die Firma Lücken in ESX nicht ausschließen kann. Trotz Härtung von ESX diskutieren Hacker schon seit langem darüber, wie sich ein erfolgreicher Angriff beispielsweise auf den Netzkartentreiber von ESX auf die Sicherheit des Gesamtsystems auswirken könnte.

Auch andere Firmen wie IBM arbeiten an der Absicherung von Hypervisoren. Unter dem Codenamen "Phantom" laufen bei Big Blue verschiedene Projekte, die neben hauseigenen eventuell auch Hypervisoren anderer Hersteller sicherer machen sollen. Besonderes Augenmerk legt IBM dabei auf Intrusion-Prevention-Mechanismen, die unerwünschte und potenziell schadhafte Datenströme zwischen den VMs unterbinden sollen. Darüber hinaus soll Phantom anhand des Verhaltens einer VM erkennen, ob diese kompromittiert wurde. Wann Phantom zu fertigen Produkten führen wird, steht noch nicht fest. (kf)