Topic: Sandbox, AV und Co.: Damit bin ich nun sicher, oder? (Sicherheits-Sammelthread) - page 2. (Read 2268 times)

AV Heuristik mit "Halteproblem" abzufertigen ist ungefähr so sinnvoll wie einem Grundschüler der die Grundrechenarten lernt davon abzuraten wegen "Gödel I und II".

Der einzige der hier Bullshitbingo (deine Worte) spielt bist du.

Hi nochmal,

VT-X Boards + CPUs kosten quasi nixmehr. Bei AMD bekommst den Kram schon fuer kleine 3-Stellige Euro Betraege hinterhergeworfen.
Intel ist auch nicht wirklich teurer.

Ich gebe dir grundsaetzlich Recht, das es weiterhin Angriffsflaeche gibt - auch beim Virtualisieren.
Aber es ist bedeutend schwieriger ein Hostsystem ueber ein Gastsystem zu infizieren.
Sofern beide Systeme Patchmaeßig aktuell sind.

Ausm Geschaeft sehe ich zumindest das VMWare mit den Patches nicht pennt. Sehr regelmaeßig wird geliefert.
Kann's allerdings nur aus 'Consumer'-Sicht betrachten. Bin kein Guru der in Adress- und -Treiberebene damit hantiert

Grueße

Hey sQueeZer,


VT-x (also sprich Codenamen "Vanderpool" und "Pacifica") sind ein alter Hut. Darüberhinaus werden dabei nur Guest-Maschinen-Operationen direkt auf der CPU ausgeführt. Wird kein Hypervisor gestartet, so gibt es die theoretische Option für einen Angreifer diese Funktionalität für eine Blue-Pill zu nutzen. MS hatte damals auch eine Studie angefertigt (einfach mal die 2006er Trends abgrasen, bin jetzt zu faul zum Suchen).

Was nicht virtualisiert wird, das ist die Hardware darunter. Die wird auch weiterhin vom Hypervisor abstrahiert. Es sei denn du nennst ein Board inkl. CPU mit VT-d-Unterstützung dein eigen (also der IOMMU-Kram).

Sollte der vorhanden sein, so wird dieser dennoch über den Hypervisor aufgerufen. Nur dass dann die CPU nichtmehr irgendwelche Hardware und deren interne Adressen emuliert sondern direkt an die entsprechenden Bereiche in der realen Hosthardware weiterverweist. Der Unterschied ist dann nur, dass der Hypervisor keine CPU-Zyklen mehr mit der Emulation und Auswertung der Hardware und ihrer Sprungadressen verschwendet, sondern direkt auf die vom Host bereitgestellte Hardware verweisen kann.

Alles in Allem fällt bei jeder Virtualisierung ein Hypervisor an, welcher die Jobs irgendwie auf die mehr oder weniger potente Hardware rüberkarrt.
Der Schwachpunkt bleibt also bestehen und das unabhängig, ob du jetzt Virtualbox, Xen, KVM, VMware oder den Microsoft-Müll meinst.

Gruss
Bill

Edith sagt: Das war missverständlich ausgedrückt.

Hi Bill,

da die aktuelle Hardware mittlerweile VT-x unterstuetzt und spricht (Und auch von Virtualisierungssoftware genutzt wird),
muss nichtmehr zwingend ueber das Host-OS mit der HW Kommuniziert werden.

d.h. Treiber werden nicht 'in einer Wurst'  durchgeschleift. Die VM Kann direkt auf die HW zugreifen.

Natuerlich ist ne VM kein Allheilmittel, aber es erschwert die Sache aus Angreifersicht ENORM an Schrauben zu drehen,
die er normalerweise nicht anfassen sollte

Wenn man jetz auch noch den Guest isoliert, Copy/Paste verhindert und das Netzwerk nicht NAT-ted sollte man relativ safe sein.
Logo wuerde ich trotzdem keine 100% igen Viren/Trojaner oder sonstwas ausfuehren..
Auch nehm ich besser keinen 'wichtigen' Rechner als Host..

Damit fahre ich sehr sicher, das weiß ich.

Grueße

Hey giletto,


Woher weißt du, dass du nie Schadsoftware auf die Rechner bekommen hast? Haben dir das Virenscanner gesagt?
Die haben doch immernoch keine bessere Schutzwirkung, als in den 1990ern. Seit Aho-Corasick (1975 veröffentlicht, irgendwann während der 90er in AV-Programmen implementiert) wurde zwar immer weiter an der Signaturspeicherung und der Erkennung der Signatur gefeilt (optimiert wurden Speicherbedarf und Scangeschwindigkeit), aber der zentrale Schwachpunkt ist und bleibt die ursprüngliche Virensignatur selbst. Das alleine bietet einfach keinen Schutz mehr.
Ach, und das Bullshitbingo wie z.B. "Heuristik" kannst du aufgrund des damit verbundenen Halteproblems vergessen.
D.h. sich auf Virenscanner zu verlassen, bietet heute keine echte Schutzwirkung mehr. Zwar sind diese noch hilfreich, wenn bekannte Schädlinge aufgespürt werden sollen, aber das Verhältnis von bekannten zu unbekannten Schädlingen dürfte eher im Bereich 1:10000 oder schlechter zu vermuten sein.

Was vor fünf oder zehn Jahren wenigstens halbwegs Sicherheit versprach, bietet heute keinerlei verlässlichen Schutz mehr. Das liegt einfach in der Tatsache begründet, dass sich seit dem Jahrtausendwechsel eine komplett eigene Industrie um die Programmierung und den Vertrieb von Schadsoftware gebildet hat. Die Sicherheitsforscher kämpfen seitdem auf verlorenen Posten, weil diese nicht im Ansatz die paradiesischen Bedingungen haben, welche die Ganoven den Programmierern mit Moraldefiziten anbieten. Auch hier werden wieder die Falschen vom globalen Gesamtsystem belohnt.

War für einen guten Angriff mit entsprechender Software um 2000 herum noch Expertenwissen notwendig, um auf den Ergebnissen von Aleph One aufzubauen und mit hohem Zeitaufwand eigene Software zu schaffen. So hat sich der Wind gedreht: Heutzutage wird lediglich ein Budget von ca. 50 bis 500 USD benötigt und die Fähigkeit, eine Maus zu benutzen.

Die sog. "Virus Construction Toolkits" (bekanntes aber veraltetes Beispiel: "ZeuS") gibt es heute in einer Qualität, die noch vor zehn Jahren undenkbar war. Inklusive der Garantie, dass die damit erstellten Module von verschiedenen Virenscannern mit mehr als 70% Wahrscheinlichkeit nicht erkannt werden können.

Es gibt sogar Patches, Zusatzfeatures, regelmäßige Bugfixes, Kundenwünsche und Support für den mittleren Geldbeutel (ca. 500 bis 1000 USD pro Jahreslizenz, bevorzugt Bitcoin oder Western Union). Die einschlägigen Foren dafür verlinke ich mit Absicht nicht, weil ich das nicht weiterverbreiten und damit Kriminellen die Arbeit erleichtern will. Dazu kommt, dass auch schonmal in solchen Foren Schadsoftware verbreitet wurde.

Metasploit sammelt nur den frei erhältlichen Teil in der bekannten Exploit-Kollektion. Man kann aber davon ausgehen, dass die zahlende Kundschaft deutlich bessere Exploits als Schadsoftware-Modul erhält.

Gruss
Bill

Hey sQueeZer,


Dein Ansatz ist von der erreichten Sicherheit besser (wegen der vollständigen Isolation des Betriebssystems). Zumal einige Schadsoftware eine VM-Erkennung mitliefert und diese sich nur dann aktiviert, wenn keine VM vorhanden ist.
Wird das Konzept streng durchgesetzt, kann auch nicht aus dem Guest in den Host kopiert werden (und umgekehrt). Das bedeutet z.B. dass auch Kopieren per Strg-C im Guest und Einfügen per Strg-V im Host nicht möglich sein darf. Die Benutzbarkeit leidet also darunter.

Was die Angreifbarkeit angeht: Es ist grundsätzlich denkbar, dass ein im Guest genutzter Treiber für die Interaktion mit dem Host ausgenutzt werden kannt (der offensichtliche Angriffsablauf wäre dann: Guest, Treiber, Hypervisor). Vom Hypervisor aus wäre dann der Weg frei in das Hostsystem oder schlimmer auf die Hardware.

Festzuhalten bleibt also, dass auch VMs kein Allheilmittel darstellen. Als Testumgebung sind sie deshalb nur solange empfehlenswert, wie der Verbreitungsgrad niedrig ist und darüberhinaus auch die VMs selbst nicht ins Visier der Virenindustrie geraten sind. Ob sie auch über diesen Punkt hinaus Schutzwirkung bieten, werden wir wohl erst wissen, wenn wir diesen Punkt erreicht haben.

Xen könnte hierbei ein bisschen bessere Karten haben, weil der Hypervisor sehr kompakt und damit die Softwarequalität etwas leichter auditierbar ist.
Das ist auch der Grund, warum Qubes-OS (Serverstandort: Irland) auf Xen setzt. Es würde sich dabei auch um eine sehr gute Lösung handeln, wenn es keinerlei Schwachpunkte (Golem, Serverstandort: Deutschland) gäbe.

Gruss
Bill

Fuer sowas hab ich nen VM-Template was ich mir einfach kopiere. Darauf starte ich dann diesen 'Dreck' und fertig.
Danach loesche ich die VM und erstelle mir aus dem Template ne neue.

Sandboxkram und co. halte ich fuer Muell und grob fahrlaessig.

Hey giletto,


An dieser Stelle ein klares "Jein" für deine allgemeine Aussage.

Geht es darum, dass Daten unerlaubt überschrieben werden könnten, so ist eine Sandbox wie z.B. Sandboxie (SandboxIE, Serverstandort: Amerika) durchaus sinnvoll. Also z.B. das Installieren eines Toolbars als Firefox-Plugin wird in den Sandbox-verwalteten Festplattenbereich umgelenkt (sofern Firefox in der Sandbox lief). D.h. die ursprünglichen Firefox-Dateien bleiben in diesem Fall unangetastet und dementsprechend ist es leicht, die ungeliebte Toolbar rückstandsfrei zu beseitigen. Dasselbe gilt für viele Versionen des BKA-/GVU-Trojaners.

Jedoch gibt es drei Dinge zu bedenken.
Erstens, auch die besten Sandboxen (z.B. Chrome) von den besten Programmierern können Bugs enthalten (Pwn2Own, Serverstandort: Amerika).
Zweitens, die darunterliegenden Bibliotheken werden in der Regel nicht isoliert. D.h. ein böswilliger Mensch, welcher mit einer Sandbox rechnet, könnte es mal mit Return Oriented Programming (kurz: ROP) versuchen (deutsche Wikipedia, Serverstandort: Amerika).
Gegen ROP hilft wiederum Address Space Layout Randomization (kurz: ASLR), welche unter Windows XP nicht vorhanden und auch nicht nachrüstbar ist. Unter Windows Vista/7 (vielleicht auch 8.x) ist das Konzept jedoch so kaputt umgesetzt worden, dass das Enhanced Mitigation Experience Toolkit (kurz: EMET, Microsoft, Serverstandort: Amerika) nachgereicht werden musste.
Drittens, eine Sandbox verhindert nicht, dass ein Windowsaccount ausgelesen und einfach mal an ein paar Server geschickt wird. Das war auch nicht das Ziel einer Sandbox.

Abschließend bleibt festzuhalten: Jegliche Software, welche nicht benötigt wird und/oder gegebenenfalls aus einer fragwürdigen Quelle stammt, sollte auf keinen Fall gestartet werden. Nicht in einer Sandbox und vor Allem nicht auf einem System, welches du für deine alltäglichen Aufgaben und auch wichtigen Dinge nutzen willst. Hingegen solltest du dennoch so oft wie nur möglich auf Sandboxen aus vertrauenswürdigen Quellen zurückgreifen. Die Sandboxen sollten wiederum durch EMET überwacht werden.
Alternativ hierzu kannst du auch für jeden Zweck auf dem Betriebssystem einen eigenen Useraccount anlegen und diesen nur für den geplanten Zweck nutzen. Jedoch hast du dabei Einbußen in der Nutzbarkeit zu erwarten. Einfach mal so aus einer eMail zitieren geht dann z.B. nicht, wenn du Surfen und eMail-Korrespondenz getrennt hast. Dafür kann ein Programm dann auch nur das nach außen leiten, was in dem aktuellen Account liegt.

Gruss
Bill