In wenigen Monaten kam das neue Betriebssystem Windows 7 von der Microsoft Corporation auf den Markt, und es ist höchste Eisenbahn uns einmal ein paar Gedanken um seine Sicherheit, speziell was den virtualisierten Teil angeht, zu machen.
Die eigentlichen (neuen) Sicherheitsfeatures möchte ich nicht im Detail darstellen. Diese findet man ausreichend im Netz und hier bei der CW unter:
http://wiki.computerwoche.de/doku.php/windows/windows_7/neue_sicherheits-features
Mir geht es vorwiegend um die Perspektive der Sicherheit, die man auf Windows 7 werfen sollte, wenn man den Aspekt der maschinenbasierenden Virtualisierung miteinbezieht. Was hat sich wirklich zu Vista und XP verbessert?
Schwachstellen in Anwendungen können bestehende Sicherheitslücken nicht mehr so einfach nutzen, um den Computer zu gefährden. Durch die mittlerweile seit mehreren Jahren bestehenden Speicherschutzfunktionen ASLR und DEP in Windows, können risikobehaftete Anwendungen wie z.B. IE und Firefox und die dazugehörigen Plug-ins (z.B. QuickTime, Flash, Acrobat) auf diese Schutzfunktionen zurückgreifen. Kombiniert mit den neusten Bypass Fixes von Microsoft, sollte eine erfolgreiche Ausnutzung von Schwachstellen nicht mehr möglich sein. Längerfristig bedeutet dies aber auch ein Wechsel in den Bedrohungen, da sich Angreifer nicht mehr auf die rein technischen Angriffe fokussieren werden, sondern immer mehr zu prozessorientierten bzw. sozialen Angriffen übergehen werden.
Es wird in Windows 7 schwieriger sein maschinenbasierende Rootkits wie zum Beispiel SubVirt oder Blue Pill einzusetzen. Rootkits, die Maschinenvirtualisierung verwenden, laufen außerhalb des Host Betriebssystems, und setzen als Erstes einen speziellen Privilegienstatus namens VMX Root Modus voraus. Geht man weiterhin davon aus, dass Windows 7 den Windows XP Modus (XPM) integriert, der Maschinen-Virtualisierungserweiterungen verwendet, werden hardwarebasierende Rootkit Installationen enorm erschwert und darüber hinaus komplexerer Natur sein, und müssen in diesem Fall hohe technische Barrieren überwinden, damit der Angriff nicht das Betriebssystem zum Abschmieren bringt, bzw. der Benutzer nicht durch Meldungen benachrichtigt – und davon in Kenntnis gesetzt wird.
Jegliche bösartige Software wird es in Zukunft schwerer haben die derzeit mit Windows 7 modernste Form einer dynamischen Analyse aus dem Hause Microsoft zu umgehen. Zukünftige Versionen einer Malware-Analyse werden derart gestaltet sein, dass in einer Art Selbstprüfung das Verhalten von bösartiger Software unter Einfluss von Hardware Virtualisierungserweiterungen stattfindet. Viele Entwickler von bösartigem Code entwickeln nur noch solchen Code, der sich nicht ausführt, sollte er den Hardware Virtualisierungserweiterungen ausgesetzt sein. In der Kenntnis, dass Windows 7 maschinenbasierende Virtualisierung mittels XPM einsetzt, wird bösartiger Code, der eine derartige simple Erkennungsmethode integriert, in jedem Fall schon einmal sein beabsichtigtes Ziel, den Benutzer zu schädigen, nicht so einfach erreichen.
So gesehen ist Windows 7 in jedem Fall für alle und im speziellen für den Benutzer ein Sicherheitsgewinn.
27.07.2010
Alexander Tsolkas
Weitere Artikel
Haftung und Penalties für Softwarehersteller oder…durchstarten mit Thread Modeling und Fuzzing – Teil 2
Reverse Engineering – Netzwerkkarten Rootkit stellt gute Tarnung dar
Ist Ihr Heim-PC schon sicherheitszertifziert? Besitzen Sie einen Internetführerschein?
Informationssicherheit in deutschen Unternehmen