Zum Inhalt springen

Sichere Alternativen zu physisch getrennten Systemen


Empfohlene Beiträge

Geschrieben

Hallo,

ich bin Auszubildender im 1. LJ als Fachinformatiker

Anwendungsentwicklung und ich interessierte mich schon immer besonders für IT Security.

Meine Frage geht in die Richtung der Sicherheit von physikalisch -

nicht getrennten - IT Systemen.

Geht so etwas technisch überhaupt oder gilt wirklich der (traurige)

Grundsatz, wenn jemand unbedingt will, dann kommt er überall rein?

Virtuelle Maschinen schotten das Host- und das Gastsystem ja

eigentlich voneinander ab. Ich weiß aber, dass Exploits existieren

die das Hostsystem trotzdem kompromittieren könnten.

Wenn mich allerdings stattdessen jemand fragen würde ob ein OS, dass

mit z.B. mit einer Unix Live CD gebootet wurde für OnlineBanking

_100%ig_ sicher ist, dann wäre ich versucht "Ja" zu sagen.

Außer in dem (flüchtigen) RAM werden ja schließlich keine Daten

geschrieben (?!)

Allerdings ist es mit root Rechten halt auch recht simpel möglich

eine HDD zu mounten und diese Rechte könnte man (ja, ich weiß dass

Unix vergleichsweise sicher ist) z.B. durch eine Lücke im Browser

doch bestimmt ebenfalls erlangen und schon ist das Host System

gefährdet.

There is no safety as long as u run 1 physical machine, right?

/discuss

Geschrieben

Wenn mich allerdings stattdessen jemand fragen würde ob ein OS, dass

mit z.B. mit einer Unix Live CD gebootet wurde für OnlineBanking

_100%ig_ sicher ist, dann wäre ich versucht "Ja" zu sagen.

Außer in dem (flüchtigen) RAM werden ja schließlich keine Daten

geschrieben (?!)

Und beim reboot/Stromausfall ist dein Guthaben weg ... also ich fänd das Konzept nicht so super als Kunde ;)

Geschrieben
Virtuelle Maschinen schotten das Host- und das Gastsystem ja eigentlich voneinander ab. Ich weiß aber, dass Exploits existieren die das Hostsystem trotzdem kompromittieren könnten.

Prinzipiell kann Software immer kompromittiert werden, das stimmt, selbst eine "Hello World"-Ausgabe kann im Hintergrund ein System übernehmen, wenn sie die Sicherheitslücken des Systems anspricht.

Bei Bare-Metal-Hypervisoren, die speziell dafür geschrieben wurden, nur das zu bieten, ist die Angriffsfläche jedoch wesentlich kleiner, wenn es keine Servicekonsole gibt (z.B. VMWare ESXi im Gegensatz zum ESX). Da gibt es dann nur wenige Funktionen, die sich überhaupt irgendwie kompromittieren lassen, es ist aber natürlich nie ausgeschlossen, dass eine Funktion nicht das macht, was sie soll.

Wenn mich allerdings stattdessen jemand fragen würde ob ein OS, dass mit z.B. mit einer Unix Live CD gebootet wurde für OnlineBanking _100%ig_ sicher ist, dann wäre ich versucht "Ja" zu sagen.

Außer in dem (flüchtigen) RAM werden ja schließlich keine Daten geschrieben (?!)

Allerdings ist es mit root Rechten halt auch recht simpel möglich eine HDD zu mounten und diese Rechte könnte man (ja, ich weiß dass Unix vergleichsweise sicher ist) z.B. durch eine Lücke im Browser doch bestimmt ebenfalls erlangen und schon ist das Host System gefährdet.

Auch in den Programmen einer Live-CD kann es Sicherheitslücken geben, die ausgenutzt werden können, oder man kann die CD irgendwo heruntergeladen haben, wo schon das Image mit Schadsoftware ausgestattet wurde.

Wenn man die Live-CD aber selbst gebaut hat und wirklich nur startet, dann die Onlinebanking-Website aufruft, dort sein Onlinebanking durchführt und anschließend das System wieder neu startet, ist es wirklich so gut wie unmöglich, das System zu kompromittieren.

P.S.: bitte bitte gewöhne dir gleich wieder ab, mitten in einem Satz einen Zeilenvorschub zu setzen, das macht das Forum von selbst und es stört ziemlich im Lesefluss, wenn ein Satz unnötigerweise auf vier oder fünf Zeilen verteilt ist.

Und beim reboot/Stromausfall ist dein Guthaben weg ... also ich fänd das Konzept nicht so super als Kunde ;)

Ich glaube nicht, dass das System der Bank gemeint ist, sondern eine Live-CD, die man als Kunde startet, um die Onlinebanking-Website der Bank aufzurufen. ;)

Geschrieben

P.S.: bitte bitte gewöhne dir gleich wieder ab, mitten in einem Satz einen Zeilenvorschub zu setzen, das macht das Forum von selbst und es stört ziemlich im Lesefluss, wenn ein Satz unnötigerweise auf vier oder fünf Zeilen verteilt ist.

Sorry, das war meiner Faulheit geschuldet.

Ich lehn mich gerne in meinem Stuhl zurück und zoom dabei ein bisschen :D

Bei Bare-Metal-Hypervisoren, die speziell dafür geschrieben wurden, nur das zu bieten, ist die Angriffsfläche jedoch wesentlich kleiner, wenn es keine Servicekonsole gibt (z.B. VMWare ESXi im Gegensatz zum ESX).

Interessant, so ein ESXi Ding hab ich schonmal gesehen und jetzt macht der Begriff Bare-Metal-Hypervisor auch viel mehr Sinn für mich :)

Von außen vermutlich alles andere als sicher, alleine schon weil darauf ein WebServer läuft. Aber das war ja genau genommen gar nicht meine Frage.

Die Aussage, dass jede Software kompromittierbar ist würde ich so unterschreiben, bedeutet doch aber das Todesurteil für jede Virtualisierung.

Wie sieht es bei einem DualBoot System aus?

Auch wenn dies komprommitiert ist könnte man doch Volumes mounten und Daten darauf schreiben?!

There is no safety as long as u run 1 physical machine, right?

@bigvic: hehe, ich auch nicht ;)

Geschrieben

Ja solange System irgendwie miteinader verbundnen sind gibt es keine 100%ige Sicherheit das von dem einen System das andere nicht kompromitiert wird.

Wenn man die Live-CD aber selbst gebaut hat und wirklich nur startet, dann die Onlinebanking-Website aufruft, dort sein Onlinebanking durchführt und anschließend das System wieder neu startet, ist es wirklich so gut wie unmöglich, das System zu kompromittieren.

-Leider war das Repository wo du dir die Live-CD Sourcen runtergeladen hast kompromitiert

-Leider war das System mit dem du gebaut hast kompromitiert und hat entsprechenden Schadcode in die Live-CD miteingebaut

-Leider ist dein Router kompromitiert und hat dich auf eine gefakte Bankseite geschickt

-Leider war der Bankserver kompromitiert und hat dir Schadsoftware untergeschoben

:P

Das sind natürlich alles keine Szenarien die jeden Tag vorkommen, aber unmöglich würde ich nichts nennen wenn es um sowas geht, nichtmal nahezu unmöglich :)

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...