Juicy Fruit Geschrieben 19. Juli 2011 Geschrieben 19. Juli 2011 Hallo, ich bin Auszubildender im 1. LJ als Fachinformatiker Anwendungsentwicklung und ich interessierte mich schon immer besonders für IT Security. Meine Frage geht in die Richtung der Sicherheit von physikalisch - nicht getrennten - IT Systemen. Geht so etwas technisch überhaupt oder gilt wirklich der (traurige) Grundsatz, wenn jemand unbedingt will, dann kommt er überall rein? Virtuelle Maschinen schotten das Host- und das Gastsystem ja eigentlich voneinander ab. Ich weiß aber, dass Exploits existieren die das Hostsystem trotzdem kompromittieren könnten. Wenn mich allerdings stattdessen jemand fragen würde ob ein OS, dass mit z.B. mit einer Unix Live CD gebootet wurde für OnlineBanking _100%ig_ sicher ist, dann wäre ich versucht "Ja" zu sagen. Außer in dem (flüchtigen) RAM werden ja schließlich keine Daten geschrieben (?!) Allerdings ist es mit root Rechten halt auch recht simpel möglich eine HDD zu mounten und diese Rechte könnte man (ja, ich weiß dass Unix vergleichsweise sicher ist) z.B. durch eine Lücke im Browser doch bestimmt ebenfalls erlangen und schon ist das Host System gefährdet. There is no safety as long as u run 1 physical machine, right? /discuss Zitieren
bigvic Geschrieben 19. Juli 2011 Geschrieben 19. Juli 2011 Wenn mich allerdings stattdessen jemand fragen würde ob ein OS, dass mit z.B. mit einer Unix Live CD gebootet wurde für OnlineBanking _100%ig_ sicher ist, dann wäre ich versucht "Ja" zu sagen. Außer in dem (flüchtigen) RAM werden ja schließlich keine Daten geschrieben (?!) Und beim reboot/Stromausfall ist dein Guthaben weg ... also ich fänd das Konzept nicht so super als Kunde Zitieren
Eye-Q Geschrieben 19. Juli 2011 Geschrieben 19. Juli 2011 Virtuelle Maschinen schotten das Host- und das Gastsystem ja eigentlich voneinander ab. Ich weiß aber, dass Exploits existieren die das Hostsystem trotzdem kompromittieren könnten. Prinzipiell kann Software immer kompromittiert werden, das stimmt, selbst eine "Hello World"-Ausgabe kann im Hintergrund ein System übernehmen, wenn sie die Sicherheitslücken des Systems anspricht. Bei Bare-Metal-Hypervisoren, die speziell dafür geschrieben wurden, nur das zu bieten, ist die Angriffsfläche jedoch wesentlich kleiner, wenn es keine Servicekonsole gibt (z.B. VMWare ESXi im Gegensatz zum ESX). Da gibt es dann nur wenige Funktionen, die sich überhaupt irgendwie kompromittieren lassen, es ist aber natürlich nie ausgeschlossen, dass eine Funktion nicht das macht, was sie soll. Wenn mich allerdings stattdessen jemand fragen würde ob ein OS, dass mit z.B. mit einer Unix Live CD gebootet wurde für OnlineBanking _100%ig_ sicher ist, dann wäre ich versucht "Ja" zu sagen. Außer in dem (flüchtigen) RAM werden ja schließlich keine Daten geschrieben (?!) Allerdings ist es mit root Rechten halt auch recht simpel möglich eine HDD zu mounten und diese Rechte könnte man (ja, ich weiß dass Unix vergleichsweise sicher ist) z.B. durch eine Lücke im Browser doch bestimmt ebenfalls erlangen und schon ist das Host System gefährdet. Auch in den Programmen einer Live-CD kann es Sicherheitslücken geben, die ausgenutzt werden können, oder man kann die CD irgendwo heruntergeladen haben, wo schon das Image mit Schadsoftware ausgestattet wurde. Wenn man die Live-CD aber selbst gebaut hat und wirklich nur startet, dann die Onlinebanking-Website aufruft, dort sein Onlinebanking durchführt und anschließend das System wieder neu startet, ist es wirklich so gut wie unmöglich, das System zu kompromittieren. P.S.: bitte bitte gewöhne dir gleich wieder ab, mitten in einem Satz einen Zeilenvorschub zu setzen, das macht das Forum von selbst und es stört ziemlich im Lesefluss, wenn ein Satz unnötigerweise auf vier oder fünf Zeilen verteilt ist. Und beim reboot/Stromausfall ist dein Guthaben weg ... also ich fänd das Konzept nicht so super als Kunde Ich glaube nicht, dass das System der Bank gemeint ist, sondern eine Live-CD, die man als Kunde startet, um die Onlinebanking-Website der Bank aufzurufen. Zitieren
bigvic Geschrieben 19. Juli 2011 Geschrieben 19. Juli 2011 Ich glaube nicht, dass das System der Bank gemeint ist, sondern eine Live-CD, die man als Kunde startet, um die Onlinebanking-Website der Bank aufzurufen. Ahh, ok. Zitieren
Juicy Fruit Geschrieben 19. Juli 2011 Autor Geschrieben 19. Juli 2011 P.S.: bitte bitte gewöhne dir gleich wieder ab, mitten in einem Satz einen Zeilenvorschub zu setzen, das macht das Forum von selbst und es stört ziemlich im Lesefluss, wenn ein Satz unnötigerweise auf vier oder fünf Zeilen verteilt ist. Sorry, das war meiner Faulheit geschuldet. Ich lehn mich gerne in meinem Stuhl zurück und zoom dabei ein bisschen Bei Bare-Metal-Hypervisoren, die speziell dafür geschrieben wurden, nur das zu bieten, ist die Angriffsfläche jedoch wesentlich kleiner, wenn es keine Servicekonsole gibt (z.B. VMWare ESXi im Gegensatz zum ESX). Interessant, so ein ESXi Ding hab ich schonmal gesehen und jetzt macht der Begriff Bare-Metal-Hypervisor auch viel mehr Sinn für mich Von außen vermutlich alles andere als sicher, alleine schon weil darauf ein WebServer läuft. Aber das war ja genau genommen gar nicht meine Frage. Die Aussage, dass jede Software kompromittierbar ist würde ich so unterschreiben, bedeutet doch aber das Todesurteil für jede Virtualisierung. Wie sieht es bei einem DualBoot System aus? Auch wenn dies komprommitiert ist könnte man doch Volumes mounten und Daten darauf schreiben?! There is no safety as long as u run 1 physical machine, right? @bigvic: hehe, ich auch nicht Zitieren
Guybrush Threepwood Geschrieben 20. Juli 2011 Geschrieben 20. Juli 2011 Ja solange System irgendwie miteinader verbundnen sind gibt es keine 100%ige Sicherheit das von dem einen System das andere nicht kompromitiert wird. Wenn man die Live-CD aber selbst gebaut hat und wirklich nur startet, dann die Onlinebanking-Website aufruft, dort sein Onlinebanking durchführt und anschließend das System wieder neu startet, ist es wirklich so gut wie unmöglich, das System zu kompromittieren. -Leider war das Repository wo du dir die Live-CD Sourcen runtergeladen hast kompromitiert -Leider war das System mit dem du gebaut hast kompromitiert und hat entsprechenden Schadcode in die Live-CD miteingebaut -Leider ist dein Router kompromitiert und hat dich auf eine gefakte Bankseite geschickt -Leider war der Bankserver kompromitiert und hat dir Schadsoftware untergeschoben Das sind natürlich alles keine Szenarien die jeden Tag vorkommen, aber unmöglich würde ich nichts nennen wenn es um sowas geht, nichtmal nahezu unmöglich Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.