Virtualisierung als Sicherheitstool und Sicherheitslücke

Es ist fast eine Gesetzmäßigkeit: Jede neue Möglichkeit, die mittels Informationstechnologie geschaffen wird, nutzen früher oder später Personen mit unlauteren Absichten für ihre Zwecke aus. Bei der gerade sehr modernen Virtualisierung ist das nicht anders. Die russische IT-Security-Spezialistin Joanna Rutkowska hatte bereits 2006 mit ihrem Rootkit Blue Pill diesbezüglich für Aufsehen gesorgt: Es verbirgt sich in einer Virtualisierung von Windows Vista .

Solche Virtual Machine Based Rootkits verschieben ein vorhandenes Betriebssystem in eine virtuelle Umgebung. Das Betriebssystem merkt nichts davon und kann zwischen realer und virtueller Umgebung nicht unterscheiden. Vergleichbar wäre das mit der Situation der Menschen in der Filmtrilogie Matrix – was auch der Grund für Rutkowska war, ihrem Projekt den Namen Blue Pill Project zu geben.

Rutkowska behauptet, mit einer solchen Virtualisierung lasse sich Schadcode entwickeln, der innerhalb der virtuellen Umgebung nicht mehr erkennbar ist. Stimmt das, wären die Möglichkeiten erschreckend: Der Hypervisor könnte dann, ohne eine Entdeckung zu befürchten zu müssen, das innen laufende System kontrollieren, Tastatureingaben überwachen und sogar den Netzwerkverkehr filtern. Eingeschleust würde so ein Virtual Machine Based Rootkit über die Virtualisierungsfunktionen des Prozessors.

Der Aufwand dafür war bisher recht hoch, die Zahl der Rechner mit den neuen, von Haus aus virtualisierten Prozessoren vergleichsweise gering, und Cyberkriminellen standen bisher ausreichen andere, wesentlich einfachere, aber ebenfalls effektive Methoden zur Verfügung, um ihre Ziele zu erreichen. Solche Konzepte waren daher nicht viel mehr als nette technische Spielereien und Anlass zu gelehrter Diskussion in Expertenkreisen. Das aber könnte sich noch dieses Jahr ändern, wie Ralf Benzmüller, Leiter der G-Data-Security-Labs, befürchtet.