Universitäten geben Entwarnung
Virtualisierung ist keine Tarnkappe für Rootkits
Gefahren durch transparente VMMs (Virtual Machine Monitors) sind offenbar nur ein Mythos. Als "transparente VMMs" bezeichnet man Rootkits, die sich in einem virtuellen System einnisten und dieses wie eine Tarnkappe ausnutzen. Wissenschaftler der Carnegie Mellon University (CMU) und der Stanford University haben jetzt herausgefunden, dass die absolute Transparenz, die hier befürchtet wurde, praktisch nicht herzustellen ist.
"Kompatibilität ist nicht gleich Unsichtbarkeit. VMMs aufspüren: Mythos und Realität" heißt der Bericht der Wissenschaftler über ihre Untersuchung, bei der sie Testläufe mit den Virtualisierungstechniken von Vmware und Xensource durchgeführt haben. Darin kommen die Forscher zu dem Ergebnis, dass sich schädliche Rootkits auch dann aufspüren lassen, wenn sie mit Hypervisor-Technik versteckt wurden. "Gleichgültig, wie minimal schädlich ein bösartiger VMM ist, er muss in jedem Fall gewisse physische Ressourcen benutzen. Und damit ist das Schadprogramm letztendlich immer zu finden", heißt es in dem Forschungsbericht.
Ausgangspunkt waren die von vielen Sicherheitsexperten vorgetragenen Bedenken, dass ein in einer virtuellen Umgebung verpacktes Rootkit eine überaus große Bedrohung darstelle, da es niemals erkannt werden könne. Im vergangenen Jahr hatte die Malware-Forscherin Joanna Rutkowska behauptet, ein absolut unauffindbares Hypervisor-Rootkit namens "Blue Pill" entwickelt zu haben. Diese Behauptung wurde jedoch von den IT-Sicherheitsfirmen Root Labs und Symantec angefochten.
Jetzt ist den zitierten Wissenschaftlern zufolge bewiesen, dass die Gefahr praktisch nicht existiert. Derartig bösartige VMMs schaffen gefährliche Anomalien in dem infizierten System, anhand derer sie dann entdeckt werden können. Vor allem logische Diskrepanzen zwischen den Schnittstellen der echten und der virtuellen Hardware sind verräterische Hinweise bei diesem Versteckspiel.
So liefern auch Unterschiede zwischen den Konfigurationen der virtuellen und realen Hardware wichtige Informationen. Darüber hinaus teilen VMMs physische Ressourcen mit ihren Gästen und hinterlassen durch den Gebrauch von Prozessorleistung und physischen Speicher nachweisbare Spuren. Vor allem Unregelmäßigkeiten in der Verfügbarkeit dieser Ressourcen können die Präsenz eines VMM verraten.
Schließlich differieren virtuelle und physische Umgebungen auch in ihren Timing-Charakteristiken. Bemerkbar machen sich diese in der Variation der Latenzzeiten, der relativen Differenz in der Latenzzeit zwischen zwei Vorgängen und der Entwicklung der Latenzzeiten über einen gewissen Zeitraum.
Katharina Guderian/wj
Lesen Sie mehr zum Thema
