[linux-l] Virtueller Server - Mal wieder

Steffen Schulz pepe_ml at gmx.net
Di Mär 13 02:23:01 CET 2007 

On 070311 at 20:20, Wilhelm Dolle wrote:
> Steffen Schulz schrieb:
> >>   http://theinvisiblethings.blogspot.com/2006/06/introducing-blue-pill.html
> > 
> > http://www.matasano.com/log/680/detecting-virtualized-rootkits/
> > 
> > Das ist aber momentan noch so halb-akademischer Bereich. Wer sich um
> > sowas kuemmert hat auf jeden Fall sowas wie GRSec oder SELinux laufen.
> 
> Und das würde speziell bei den in den oben genannten Links genannten
> Techniken / Rootkits genau was an Mehrwert bringen?

Also erstmal meinte ich das so, dass man schon ordentlich Paranoia an
den Tag legen muss bevor man sich ueber die oben genannten Dinge sorgen
macht. Dh man hat vorher schon all die ueblichen und paranoiden Sachen
umgesetzt, die es sonst noch so gibt. Danach kann man sich ueber sowas
oder ueber Quantencomputer bei der NSA Gedanken machen.

Diese Einschaetzung verschiebt sich leicht, sobald sowas tatsaechlich 'in
the wild' eingesetzt wird. Die CPU-Extensionen die das moeglich machen
sind ja inzwischen default.

Aber Hand aufs Herz: Wie oft im Monat bootest du deine Rechner von
CD und untersuchst sie auf Manipulation? Und wenn du nichtmal diesen
ganz grundlegenden Schritt gegen rootkits unternimmst, wieso dann ueber
Sachen nachdenken, die noch mindestens eine Liga hoeher liegen?

Die 'Erwiderung' von Oliver klang fuer mich auch als sollte es ein
Argument gegen Virtualisierung sein. Meines Wissens setzt ein
hypervisor-root-kit aber lediglich vorraus, dass die entsprechenden
CPU-Extensions existieren. Und ich glaube es funktioniert nicht mehr,
wenn man selbst schon einen Hypervisor einsetzt. Aber da bin ich nicht
sicher.

> Meine Meinung: Nichts (wenn man mal davon absieht das man seine Rechner
> allgemein sicher betreiben sollte), aber ich lerne gerne dazu.

Ein solches installiertes Rootkit setzt vorraus, dass Schadsoftware mit
entsprechenden Rechten ausgefuehrt wurde. Sie selbst auszufuehren ist
keines meiner Hobbies, aber ich hoere oefter davon das andere sowas
machen. Wenn du zu den Leuten gehoerst, die sowas nicht machen, bleibt
noch Code-Injection und Rechte-Eskalation durch Bugs in Software, Bugs
in Konfigurationen, Bugs in Konzepten.

In diesem Sinne ist GRSec oder SELinux durchaus eine Moeglichkeit,
(auch) solche Sachen abzuwenden/einzudaemmen, oder nicht?


Gruesse,
pepe
-- 
Zeit ist das, was man an der Uhr abliest.	-- Albert Einstein

Mehr Informationen über die Mailingliste linux-l