Hallo,
es war mir die Mühe nicht wert, jetzt die Artikel alle herauszusuchen, in denen berichtet wird, wie Software aus einer virtualisierten Umgebung ausgebrochen ist, um sich auf dem Hostsystem zu bewegen.
dass dies möglich ist, habe ich nie bezweifelt, obwohl ich von derartigen Fällen bisher noch nicht gehört oder gelesen hatte. Allerdings braucht es, wie der verlinkte Beitrag zeigt, sehr viel mehr detailliertes Wissen über das Hostsystem bzw. sehr viel Aufwand von seiten des Angreifers. So viel, dass ich hier durchaus von einem höheren Maß an Sicherheit sprechen würde.
Diese Vorfälle sind aber die Basis der Aussage, dass Virtualisierung kein Sicherheitskonzept sei.
Nein, aber sie kann ein wesentlicher Beitrag dazu sein. Wie gesagt: Natürlich nicht, wenn man die Sicherheit des virtuellen Systems im Blick hat; da ändert sich gar nichts. Aber das Hostsystem hinter dem Schutzwall ist deutlich besser abgeschirmt, auch wenn es 100% Sicherheit niemals gibt.
Oftmals verführt die Virtualisierung dazu zu glauben, dass man einen undurchdringlichen Schutzschild aufgebaut hätte, der das Host-System allein durch den Umstand der Virtualisierung vor Malware oder Angriffen schützt.
Das stimmt ja auch weitgehend, wenn auch -zugegeben- nicht vollständig. Es gibt immer irgendwo Mittel und Wege. Und gegen Layer-8-Probleme ist man von der technischen Seite her sowieso machtlos.
Es sind Programme, die in einer Sandbox laufen. Im Prinzip (lies: virtualisierte Anwendungen) sind das für mich sehr ähnliche Szenarien.
Ja, aber der im verlinkten Artikel genannte Sandbox-Modus innerhalb eines Browsers (hier Chrome) vermutlich nicht. Da werden für die "sandboxed tabs" wahrscheinlich eigene Verzeichnisse und Speicherbereiche für Cache, Cookies, Plugins usw. eingerichtet, aber der ausgeführte Code dürfte derselbe sein (nb: nicht nur der gleiche, sondern derselbe).
Alle fatalen Bugs des Browsers schlagen also direkt bis ins Betriebssystem des Hosts durch und nicht zunächst ins Betriebssystem des virtuellen Systems und dann noch in die Virtualisierungssoftware selbst. Ich sehe da also noch mindestens zwei zusätzliche Barrieren, die es in einer virtualisierten Umgebung (im Vergleich zur Sandbox im Browser) zu überwinden gilt.
So long,
Martin