Virtuelle Maschine und Virus

23

Ich habe eine Anforderung, für die ich ohne Schutz online gehen muss (Firewall, Antivirus). Gleichzeitig möchte ich nicht riskieren, mich mit Viren anzustecken.

Wenn ich eine zu testende virtuelle Maschine (VirtualBox) installiere und diese mit Viren infiziert wird, infiziert sie dann auch mein Hostsystem? Mit anderen Worten, kann ich die virtuelle Maschine zum Testen verwenden, ohne mir Gedanken über einen Virus auf der virtuellen Maschine zu machen, der meinen Host infiziert?


quelle
Es würde den Leuten helfen, Ihre Frage zu beantworten, wenn Sie hinzufügen könnten, warum Sie online gehen müssen. Was hast du zu tun? Ist das Ausführen von einer Live-CD eine Option?
DaveParillo

Antworten:

17

Wenn ich eine zu testende virtuelle Maschine (VirtualBox) installiere und diese mit Viren infiziert wird, infiziert sie dann auch mein Hostsystem? Mit anderen Worten, kann ich die virtuelle Maschine zum Testen verwenden, ohne mir Gedanken über einen Virus auf der virtuellen Maschine zu machen, der meinen Host infiziert?

Es scheint einige Missverständnisse über NAT- und Bridge-Verbindungen in VM-Umgebungen zu geben. Dadurch kann Ihr Host nicht infiziert werden. Ein VM-Betriebssystem hat keinerlei Zugriff auf das Host-Betriebssystem und weiß überhaupt nicht, dass es als virtuelle Client-Maschine ausgeführt wird. Software, die in diesem Betriebssystem ausgeführt wird, ist in dieser Hinsicht noch weniger weise.

Durch direkte Beziehungen zwischen dem Client und dem Host-Computer besteht möglicherweise die Möglichkeit, dass er infiziert wird. Dies passiert, wenn Sie dem Client und dem Host erlauben, Ordner freizugeben . Die größte Schwachstelle von VMware (um nur ein beliebtes Produkt zu nennen), die jemals entdeckt wurde, wurde direkt oder indirekt mit dieser Funktion versehen. Eine vollständige Isolation wird erreicht, indem freigegebene Ordner deaktiviert werden. Auf der Host-Seite wurde eine andere Sicherheitsanfälligkeit entdeckt, die es einem potenziellen Angreifer ermöglicht, sich über den Host-Computer anzumelden und auf Clients zuzugreifen oder eigenen Code auszuführen.

Sicherheitsprobleme können in der Tat eine größere Rolle spielen, wenn eine große VM-Struktur ausgeführt wird, wie sie beispielsweise in VMware Server-Topologien vorgeschlagen wird. Wenn Sie jedoch VMware Workstation-Lösungen für einen einzelnen Computer ausführen, besteht bei NAT- oder Bridge-Verbindungen kein Sicherheitsproblem. Sie sind sicher, solange Sie keine freigegebenen Ordner verwenden.

EDIT: Um klar zu sein, wenn ich von NAT- oder Bridge-Verbindungen spreche, spreche ich nur von der VM-Fähigkeit, die Host-Netzwerkverbindung mit ihren Clients zu teilen. Dies gibt dem Client keinen Zugriff auf den Host und bleibt vollständig isoliert, sofern Funktionen wie VM Shared Folders deaktiviert sind. Wenn sich der Benutzer stattdessen für das Netzwerk von Host und Client entscheidet, hat er sich natürlich ausdrücklich dafür entschieden, beide Maschinen zu verbinden und damit die intrinsische VM-Sicherheit zu erhöhen. Dies unterscheidet sich dann nicht von anderen privaten Netzwerkumgebungen, und es müssen die gleichen Sicherheitsaspekte und -bedenken berücksichtigt werden.

Ein Zwerg
quelle
8
Nun, wenn Sie die Verbindung überbrückt haben, ist der Gast derselbe wie jeder andere Computer in Ihrem Netzwerk. Wenn Sie einen netzwerkfähigen Wurm (Confickr, Blaster usw.) erhalten, haben Sie Ihrem Netzwerk gerade eine bösartige Software hinzugefügt. Zu sagen, dass die Art und Weise, wie sich eine VM mit einem Netzwerk verbindet, sich nicht auf das Risiko auswirkt, ist ein wenig falsch. Ihr Hinweis zum Hostzugriff von der VM aus ist jedoch gültig.
MDMarra
Denken Sie daran, dass es wesentlich mehr Möglichkeiten gibt, aus einer VM auszubrechen, als nur durch virtualisierte Netzwerkadapter (z. B. das Ausschalten von VMWare mit einem virtuellen COM-Port-Gerät ).
Durchbruch
4

Es hängt davon ab, ob.

Wenn Ihre virtuelle Maschine (Gast) keinen Netzwerkzugriff auf Ihren Host hat, wird Ihr Host nicht von Viren in Ihrem Gastbetriebssystem befallen.

Lieven Keersmaekers
quelle
4

Meine 2 Cent ...

Kurz gesagt, Malware, die im Kontext des Gastbetriebssystems ausgeführt wird, kann das Hostbetriebssystem NICHT infizieren und wird wahrscheinlich nicht einmal wissen, dass es ein Hostbetriebssystem gibt (obwohl hypothetisch ein Ausbruch aus der virtualisierten Umgebung möglich ist) Ich vermute, es wird für eine Weile nicht mehr alltäglich.

Einige Ausnahmen:

  • In VirtualPC (zum Beispiel) ist es möglich, einen Ordner für das Gastbetriebssystem freizugeben, das diesen Ordner als Laufwerksbuchstaben "sieht".
  • Abhängig von Ihrer Konfiguration befinden sich das Host- und das Gastbetriebssystem möglicherweise im selben Netzwerk. Dies bedeutet, dass ein Virus, der offene Ports ausnutzt oder nicht in der Lage ist, sich über anfällige Systemdienste oder über Netzwerkfreigaben zu verbreiten.
  • Zuletzt und in der jetzigen Form am wenigsten wahrscheinliche Weg ist, dass der Virus VM-fähig und in der Lage ist, aus der Sandbox auszubrechen. Derzeit ist dies äußerst unwahrscheinlich.
  • Insgesamt ist das Surfen im Internet im Kontext einer virtuellen Maschine wahrscheinlich die sicherste Methode zum Surfen (vor dem Hintergrund der schlechten Erfolgsbilanz von AV-S / W und anderer Schutzmechanismen). In der Tat ist die Verwendung eines separaten, eingeschränkten Kontos wahrscheinlich ausreichend, eine VM bietet jedoch mit Sicherheit eine zusätzliche Isolation.

    Garrett
    quelle
    2

    Nein, wenn Sie keine Netzwerkverbindung (wie NAT oder Bridge) zwischen Host- und Gastbetriebssystem einrichten. Wenn Sie eine vollständige Trennung zwischen den beiden Welten sicherstellen möchten, ziehen Sie "Bridge" -Verbindungen vor und ordnen Sie Ihrem Host-PC eine Netzwerkkarte und Ihrem VM-ed-Gast eine weitere Netzwerkkarte zu.

    Es wäre, als hätten Sie zwei isolierte Netzwerke, die sich nur den Stromversorgungsbus teilen (in der Tat Ihren tatsächlichen PC).

    VirtualBox, aber auch VMWare oder Xen oder Parallels können eine solche Umgebung problemlos für Sie einrichten


    quelle
    Es tut mir leid, Sambia. Ihre Angaben sind jedoch falsch. Ich rate Ihnen, dies genauer zu prüfen. Es gibt keine Host-Sicherheitsprobleme, die NAT- und Bridge-Verbindungen in einer VM-Umgebung betreffen.
    Ein Zwerg
    Noch nicht, gibt es nicht. Es ist eine Schwachstelle, die nur darauf wartet, dass jemand herausfindet, wie man sie ausnutzt. Vielleicht. Sicher ist sicher.
    Phoshi
    Ich denke, Sambia verwendet das Wort "Überbrückung" in zwei verschiedenen Zusammenhängen. Es scheint mir, dass sich das Risiko, Host und VM zu verbinden, nicht von einem anderen Computer innerhalb desselben Netzwerks unterscheidet, der Schwachstellen ausnutzt. (Oder, vielleicht noch schlimmer, wenn die Netzwerke überbrückt werden, ist die Firewall, die Angriffe von einem anderen Computer abhält, möglicherweise nicht so konfiguriert, dass Angriffe von der VM abgebrochen werden?) Verwenden von "Brückenverbindungen" von der Netzwerkkarte zum Host und von einer anderen Netzwerkkarte zur VM scheint etwas anderes (aber: könnte nicht erforderlich sein?). (Wenn ich den Punkt nicht verstehe, dann sag es einfach und ich werde es löschen; keine Notwendigkeit zu erklären!)
    Arjan
    @Poshi, eine Schwachstelle ist per definitionem etwas, das identifiziert wurde. Es ist von sehr geringer Bedeutung, Schwachstellen zu erörtern, die noch nicht gefunden wurden oder nicht gefunden werden können. Lesen Sie weiter ... @Arjan, in der Tat. Eine Bridge- oder NAT-Verbindung in einer VM-Umgebung findet jedoch ausschließlich zwischen dem Betriebssystem des Hostcomputers und der VM-Host-Engine statt. Der Client-Computer wird unabhängig von dieser Bridge ausgeführt und ist vollständig von ihr isoliert. Das Zzambia-Argument ist vergleichbar mit der Aussage, dass Sie infiziert werden können, weil Sie mit dem Internet verbunden sind und ich gerade eine infizierte Datei heruntergeladen habe.
    Ein Zwerg
    @Zzambia, möglicherweise möchten Sie Ihre Antwort bearbeiten, um zu erklären, für welchen Teil der Frage das "Nein" gilt. :-) Oder natürlich, wenn ein Zwerg Recht hat - und ich denke, er hat -, dann löschen Sie einfach Ihre Antwort ... (Als Randnotiz: In meinem früheren Kommentar dachte ich, Sie beziehen sich auf Überbrückung Das Host-Betriebssystem und das VM-Betriebssystem, nicht das Host-Betriebssystem und die VM- Engine . Nachdem Sie die VM mit dem Internet verbunden haben, haben Sie über einen weiteren Schritt gesprochen, um das Host-Betriebssystem und das VM-Betriebssystem explizit miteinander zu verbinden Das ist ein Mangel an meinem Wissen über die Terminologie mit VMs.)
    Arjan
    1

    Ja, wenn Sie freigegebene Ordner haben ...

    Entweder freigegebene Ordner über die VM oder Standardnetzwerk.

    Ich bin mir nicht sicher und habe seit einiger Zeit keine Viren mehr gesehen, die sich so ausbreiten und Dateien über ein Netzwerk bearbeiten, aber es ist möglich.

    Nur weil es sich um eine VM handelt, bedeutet dies nicht, dass sie sicher ist. Sie müssen sie lediglich wie eine andere physische Maschine in Ihrem Netzwerk behandeln.

    Wenn sich auf Ihrem Host-Computer (und auf anderen in Ihrem Netzwerk) Antiviren-Programme befinden, sind Sie so sicher wie Sie es auch sein werden, aber behandeln Sie jede VM wie jeden anderen physischen Computer.

    Die einzige sichere Möglichkeit, eine VM auszuführen, besteht darin, die Netzwerkfunktionen zu deaktivieren (oder das VLAN vollständig von Ihrem Netzwerk zu trennen ... und keine Verwaltungsschnittstelle in diesem VLAN zu haben.) Und die gesamte Host- / Gast-Integration zu deaktivieren, bei der Dateien gemeinsam genutzt werden .

    William Hilsum
    quelle
    1

    Technisch ist es zu 100% möglich, sicher zu sein - auch wenn das Netzwerk isoliert ist und keine Ordner freigegeben werden.

    Obwohl es sehr unwahrscheinlich ist, wenn der Virenentwickler nicht von einem Fehler in der Kombination Ihres Host-Betriebssystems und Ihrer Gast-VM wusste und diese gezielt anging. Wenn Sie einen Virus erstellen möchten, möchten Sie einen Virus erstellen, der die größtmögliche Anzahl von Computern betrifft, und Sie werden keinen Fehler finden, den Sie in einer seltenen, häufig verwendeten Anwendung ausnutzen können.

    Die gleiche Antwort gilt für eine Sandbox oder eine beliebige Interpretationsebene zwischen den beiden. Ich denke, wenn Sie ein 32-Bit-Gastbetriebssystem und einen 64-Bit-Host ausführen könnten, wären Sie am sichersten, da der Exploit, das Gastbetriebssystem zum Überlaufen zu bringen und dann auch den Überlauf in der VM / Sandbox auszulösen, noch schwieriger wäre, da Sie müsste die payloads in 4 kombinationen kompilieren - aber genau das wird normalerweise mit einem angreifer und einer einzigen betriebssystemschicht gemacht - die payload wird für das betriebssystem oder die ausnutzbare service version vorbereitet und eine für jeweils 32 und 64 dann er wirft sie beide einfach auf die Maschine.

    Es ist genau wie der vorherige Kommentar zu BSD - je seltener Ihr Setup ist, desto unwahrscheinlicher ist es, dass ein Virus es angreift.

    Wenn wir alle VMs ausführen, um Software zu testen, die uns verdächtig war, oder um im Internet zu surfen, spielt es keine Rolle mehr, ob es sich um eine VM handelt, und um ganz klar zu sein, dass Sie für eine Virusinfektion anfällig sind.

    Außerdem gibt es bei den neueren Virtualisierungstechnologien spezielle Hardwareüberlegungen, und ich spreche hauptsächlich von Softwarevirtualisierung, bei der der Code des Gastcomputers von der Software auf dem Host ausgeführt wird, sodass das Überlaufen des Softwareanweisungszeigers für mich eine große Herausforderung darstellt und Zeitverschwendung. Ich bin mir nicht sicher, wie sich dies ändert, wenn wir mit einem Bios-fähigen Hyper-V oder Xen usw. umgehen - es kann sein, dass die virtuellen Maschinen isolierter sind oder es kann auch schlimmer sein, weil ein VM seinen Code in der tatsächlichen Hardware ausführt Pipeline - es kommt wirklich darauf an, wie die "BIOS-Virtualisierung" funktioniert.

    Stephan Unrau
    quelle
    1

    Wenn Sie in VirtualBox keine freigegebenen Ordner haben oder eine der Gerätefunktionen verwenden und noch sicherer sein möchten, sehen Sie sich den unteren Bereich des VirtualBox-Fensters an:

    Das Bild rechts unten neben dem Symbol für 2 Computer zeigt an, dass keine Verbindung besteht

    Sie sollten in der Lage sein, Viren auszuführen und keine Viren auf dem Host-Computer zu bekommen. Um jedoch sicherzugehen, sollten Sie weiterhin Antivirensoftware ausführen.

    matt
    quelle
    1

    Sie sollten Sandboxie (oder ein anderes Sandbox-Tool) ausprobieren.

    Bildbeschreibung hier eingeben

    Es wird Ihren Browser isolieren und alles löschen, nachdem Sie fertig sind. Auf diese Weise kann die Sandbox auch dann nicht verlassen, wenn Sie einen Virus erhalten.

    Vorteile der isolierten Sandbox

    • Sicheres Surfen im Internet: Wenn Sie Ihren Webbrowser unter dem Schutz von Sandboxie ausführen, wird alle vom Browser heruntergeladene schädliche Software in der Sandbox gespeichert und kann unbedeutend verworfen werden.
    • Verbesserter Datenschutz: Browserverlauf, Cookies und zwischengespeicherte temporäre Dateien, die beim Surfen im Internet gesammelt wurden, bleiben in der Sandbox und gelangen nicht nach Windows.
    • Sichere E-Mails: Viren und andere schädliche Software, die möglicherweise in Ihrer E-Mail versteckt sind, können nicht aus der Sandbox ausbrechen und Ihr reales System nicht infizieren.
    • Windows bleibt schlank: Verhindern Sie Abnutzungserscheinungen in Windows, indem Sie Software in einer isolierten Sandbox installieren.
    Ivo Flipse
    quelle
    1
    Die Frage lautete: "Kann ein Virus aus dieser speziellen Sandbox
    austreten?
    Ich glaube, die Vorteile besagen: Schadsoftware ist in der Sandbox eingeschlossen. Wenn nicht, worum geht es dann?
    Ivo Flipse
    1
    Außerdem muss kein komplettes Betriebssystem ausgeführt werden, wenn Sie nur Ihren Browser sandboxen möchten.
    Ivo Flipse
    2
    aber du hast die frage nicht beantwortet, es ist wie gesagt "benutze bsd, dann hast du keine viren". Die Frage war nicht "Biete mir Sandbox-Produkte an" (VMS als sehr große Sandbox), sondern "Kann ein Virus aus einer Sandbox / virtuellen Maschine ausbrechen. Und es ist definitiv viel einfacher, aus einem solchen Sandbox-Programm auszubrechen." Bilder) als von einer vollständigen virtuellen Maschine.
    Akira
    Punkt genommen, Sie haben wahrscheinlich Recht mit dem Risiko
    Ivo Flipse