ZDNet: Bisher nutzen die „Guten“ virtuelle Maschinen intensiv, um Malware aufzuspüren. Das ändert sich gerade.
Benzmüller: Ja, und zwar grundlegend. Wir setzen sehr viele virtuelle Maschinen ein, um nach Malware zu suchen, machen das aber inzwischen nicht mehr. Der Grund dafür ist einfach, dass immer mehr Malware prüft, ob sie in einer virtuellen Umgebung läuft. Ist dies der Fall, wird sie gar nicht ausgeführt. Dieses Verhalten soll dafür sorgen, dass sie länger unentdeckt bleibt.
ZDNet: Also ist es derzeit vorteilhaft, wenn in einem Unternehmen viele Rechner virtualisiert sind, weil sich dadurch die Gefahr einer Attacke verringert?
Benzmüller: Zur Zeit ist das noch so. Gegen ganz bestimmte Arten von Malware lässt sich mit durchgehend virtualisierten Infrastrukturen ein recht guter Schutz aufbauen. Außerdem bringt Virtualisierung einige Funktionen mit, die für mehr Sicherheit sorgen. So lassen sich beispielsweise bei Vmware unterschiedliche Wiederherstellungspunkte setzen. Dadurch kann zum Beispiel nach dem Surfen der Rechner automatisiert wieder auf einen Standard zurückgesetzt werden. Veränderungen, die etwa durch ein Schadprogramm vorgenommen worden sind, werden dadurch ungeschehen gemacht.
ZDNet: Das klingt zunächst verlockend. Gibt es keine Nachteile?
Benzmüller: Kaum. Einer ist, dass dabei auch Virensignaturen wieder zurückgesetzt würden. Das lässt sich aber lösen, indem diese in einem speziellen Verzeichnis gespeichert werden, das nicht zurückgesetzt wird.
ZDNet: Welche Alternativen zu virtuellen Maschinen gibt es, um die neuen Malwaregenerationen aufzuspüren?
Benzmüller: Eine gute Alternative ist das Sandbox-Konzept, wie es etwa bei Vista zum Betriebssystem dazugehört. Damit wird ein eigener Raum für Anwendungen geschaffen, in dem diese sozusagen einen Probelauf machen. Wird dabei schädlicher Code festgestellt, kann ihm der Zugriff auf das echte System verweigert werden.
ZDNet: Ist das nicht recht aufwändig?
Benzmüller: Es gibt zwar Einbußen bei der Performance des Rechners, sie sind aber so gering, dass sie sich zwar messen lasen, aber vom Anwender in der Regel nicht bemerkt werden.
ZDNet: Dann bringt Virtualisierung bisher eigentlich nur Vorteile.
Benzmüller: Bisher ja. Es existiert aber ein Proof-of-concept, dass sich Virtualisierungsfunktionen auch missbrauchen lassen. Anhand der Malware, die virtuelle Maschinen anhand von Hardware oder Timestamps erkennt, sehen wir, dass sich Hacker mit dem Thema beschäftigen. Die Zahl der Rechner, die mit Prozessoren der neueren Generationen ausgestattet sind , bei denen Virtualisierung von Haus aus integriert ist, steigt kontinuierlich. Aus der Erfahrung der G-Data-Security-Labs bei der Beobachtung früher neu aufgetretener Bedrohungen schließen wir, dass es nicht mehr lange dauert, bis die ersten ernsthaften Probleme mit Malware auftreten, die sich Eigenschaften der Virtualisierung zunutze macht. Ich denke sogar, das wird noch dieses Jahr passieren.
Ralf Benzmüller, Leiter der G-Data-Security-Labs: „Wir sehen, dass sich Hacker mit dem Thema beschäftigen“. |
Neueste Kommentare
Noch keine Kommentare zu Virtualisierung als Sicherheitstool und Sicherheitslücke
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.