Virtuelle Schädlinge
Windows unterwandert
Lebenstraum von Spyware-Autoren?
Virtuelle Schädlinge
Virtualisierung ist der IT-Trend schlechthin. Wenn sich Highend-Prozessoren oder andere Systemkomponenten im Betrieb langweilen, installiert man einfach mehrere Betriebssysteme: Die liegen parallel auf einer virtuellen Zwischenschicht, dem VMM (Virtual Machine Monitor). Der VMM gaukelt den Betriebssystemen vor, dass sie direkt auf die Hardware zugreifen in Wirklichkeit nimmt er aber die Anfragen selbst entgegen und reicht sie dann an die »richtige Hardware« weiter (Multiplexing).
Ob man mit dieser Technik Spyware-Autoren nicht einen Lebenstraum erfüllt, wird gerade heiß diskutiert. Was passiert, wenn sich ein Schädling als VMM tarnt oder eine Sicherheitslücke in einem bestehenden VMM ausnutzt? An dieser Frage beißen sich auch gestandene Sicherheitsexperten die Zähne aus.
Perfekte Spione
Virtuelle Schädlinge
Um das Problem zu verstehen, ist ein kurzer Exkurs in die Welt der Spyware nötig. Die perfekte Spionage-Software spioniert nicht nur, sondern verwischt auch alle Spuren. Für den zweiten Part sorgen neuerdings so genannte Rootkits: Software, die sich im System einnistet und die Arbeiten der eigentlichen Schadroutinen versteckt. Rootkits gibt es in den verschiedensten Ausprägungen, die alle an anderen Stellen versuchen, sich im System zu verstecken.
Doch mit einigem Know-how und den richtigen Tools kommt man ihnen auf die Schliche. Wie bei Viren liefern sich Rootkit-Entwickler auf der einen und Security-Firmen auf der anderen Seite ein Rennen. Werkelt ein Rootkit auf einer bestimmten Ebene des Betriebssystems, dann kann es nur entdeckt werden, wenn die Security-Software auf einer darunter liegenden Ebene ansetzt.
Ein völlig anderes Bild ergibt sich, wenn sich Schädlinge an einem Ort einrichten, auf den das Betriebssystem und somit die Schutzprogramme keinen Zugriff haben. Aktuell geht es um Malware, die sich im VMM versteckt, im Fachjargon Virtual Machine Based Rootkit (VMBR) genannt.
Microsoft-Projekt SubVirt
Virtuelle Schädlinge
Um zu zeigen, wie akut die Gefahr durch VMBR ist, haben die Microsoft-Forscher im Projekt SubVirt zwei Proof-of-Concept-Schädlinge entwickelt. Diese befallen Windows und Linux, richten sich selbst als VMM ein und betreiben das Betriebssystem als virtuellen Rechner. Anschließend werden unter dem Schutz des Rootkits vier verschiedene »böse Dienste« installiert, etwa ein Phishing-Webserver oder ein Keylogger. Beim Angriff auf ein Windows-System richtet sich der virtuelle Schädling auf einem ungenutzten Bereich der aktiven Partition ein. Wird Linux unterwandert, klinkt sich die Schad-Software in eine vorhandene SWAP-Partition ein.
Wer schon einmal mit einer Virtualisierungs-Software wie Virtual PC oder VMware gearbeitet hat, wird einwenden, dass der Nutzer den Eingriff merken müsste, denn der PC arbeitet in der virtuellen Maschine deutlich langsamer. Die Tests des Microsoft-Teams haben aber ergeben, dass es bei einem effizient gebauten VMM nur geringe Leistungseinbrüche gibt, zumindest im laufenden Betrieb. Einzig beim Start braucht das System fast doppelt so lange. Im Betrieb knapst sich der VMM lediglich rund 3 Prozent vom Hauptspeicher ab, was bei aktuellen Maschinen mit 1 GByte und mehr nicht weiter ins Gewicht fällt.
Rootkits von Microsoft
Virtuelle Schädlinge
Stellt sich die Frage, warum ausgerechnet ein Forschungsteam des Betriebssystem-Monopolisten diese Superschädlinge entwickelt? Böse Zungen behaupten, man habe die Forscher gezielt darauf angesetzt, um Angst zu schüren und so leichter eigene Sicherheitslösungen mit TPM-Chip auf dem Markt platzieren zu können. Dagegen spricht, dass Microsoft Research recht unabhängig vom Mutterkonzern arbeitet und immer wieder nützliche Sicherheitslösungen entwickelt, etwa das Anti-Spyware-Tool Windows-Defender. Außerdem schlagen die Forscher ganz pragmatisch verschiedene Lösungsansätze vor, wie man den virtuellen Schädlingen zu Leibe rücken kann.
Die einfachste Idee ist, zu versuchen sich tiefer ins System einzuklinken als das VMBR. Da bietet sich vor allem eine Hardware-Lösung an, also etwa ein TPM-Chip auf dem Mainboard, der neben der Hardware-Authentifizierung auch den VMM prüft. Preiswerter wäre ein externes Boot-Medium, also etwa eine CD, DVD oder auch ein USB-Stick, das den Rechner prüft. Das Research-Team entwickelt gerade so eine Lösung unter dem Namen Strider Ghostbuster.
Wettrennen zwischen Rootkit-Schreiber und Security-Software
Virtuelle Schädlinge
Eine interessante Frage ist, ob gängige Security-Software wie Virenscanner oder Intrusion-Detection-Systeme so angepasst werden können, dass sie auch gegen virtuelle Schädlinge schützen. Prinzipiell gehe das, meinen zumindest die Microsoft-Experten. Jedoch kann Security-Software, die im angegriffenen System läuft, immer irgendwie vom VMBR manipuliert werden. Das bedeutet, die Sicherheits-Software kann eigentlich nie der eigenen Sicht vertrauen.
So wird es auch in diesem Bereich wieder ein Wettrennen geben: Rootkit-Schreiber entwickeln Tricks um Security-Software zu täuschen, und die Security-Hersteller analysieren die Tricks. Letztere müssen dann wie bei Virenscannern üblich ständig Updates nachschieben. Mit den verschiedenen Lösungsideen für sichere VMMs wird bereits experimentiert, richtig fertig und benutzbar ist aber heute keine.