Virtual Box - Wie sicher?

Hallo zusammen,

nach meinem wissensstand ist es eine gute Idee über eine VM, in
diesem Beispiel Virtual Box ins Internet zu gehen, da dieses System
gegenüber dem Wirtsystem abgeschottet ist.

Nun möchte ich aber wissen wie sicher ist die Virtual Box wirklich?

Sollte in der Virtual Box ein Virenscanner und andere Software die
bereits auf dem Wirtsystem installiert ist installiert werden, bzw.
macht das Sinn?

Ich denke dass nur die Software die für das Internet benutzt wird
auch in der Virtual Box installiert werden sollte und Programme wie
Office sollten in diesem Fall nicht nocheinmal in der Virtual Box
installiert werden.

Was meint Ihr dazu?

Danke und Grüße Alex

Hi Alex!

In der Regel ist eine VMWare sicher. Denoch solltest du auch dort einen Virenscanner installiern, damit deine virtuelle Maschine hinterher nicht verseucht und damit sehr langsam wird.
Außerdem kannst du ja auch Daten zwischen der VM und dem Host tauschen, was dann wieder ein Sicherheitsrisiko darstellen würde.

Viele Grüße
André

Generell brauche ich eine Virtuelle Maschine eher, wenn ich Services auf einem Rechner sauber voneinander trennen will oder muß, oder auf einem Rechner verschiedene Betriebsysteme handhaben muß. Zwar ist es vollkommen richtig, sich über Sicherheitskonzepte gedanken zu machen, wenn ein Rechner mit dem Internet in Kontakt steht, aber der Einsatzt einer VM nur zum Surfen ist meiner Meinung nach nicht praktikabel.
Vor allen Dingen hilft der Einsatz einer VM nicht gegen Botnetze oder ähnliches, also Schädlinge, die Deinen Rechner nutzen um anderen zu schaden. Da ist es egal ob sie es vom realen Rechner oder der virtuellen Maschine aus tun.

Hallo,

Nun möchte ich aber wissen wie sicher ist die Virtual Box
wirklich?

Die Wahrscheinlichkeit, dass Malware die Grenzen von VirtualBox überwindet ist eher gering. Bei VMWare gibt es ein „proof of concept“, dass das geht, aber VirtualBox ist ja nicht VMWare.

Wie wäre es, wenn Du Dir einfach eine Surfmaschine einrichtest, die z.B. einfach ein Linux ISO als Bootmedium nimmt und keine Festplatte zugeteilt bekommt. Dann hast Du ein „read only“ Medium, auf dem sich keine Malware breit machen kann und kannst in aller Ruhe im Internet rumklicken.

Das Projekt „Bankix“ bietet z.B. so ein Linux:

http://www.heise.de/ct/projekte/Sicheres-Online-Bank…

Virenscanner etc. kannst Du Dir dann sparen.

Gruß

Fritze

Virenscanner etc. kannst Du Dir dann sparen.

Zur Laufzeit kann man Deinen Rechner dann immer noch entführen. Außerdem frage ich mich gerade, wohin ich etwas runterlade, mir ein Bookmark hinschreibe oder meinen Verlauf hinmale, wenn ich keine Möglichkeit habe, über die Laufzeit der Maschine hinaus Dinge wegzuschreiben.

Hallo,

Zur Laufzeit kann man Deinen Rechner dann immer noch
entführen.

Die Laufzeit ist extrem begrenzt und nach dem nächsten Neustart ist wieder alles auf „los“. Für Hacker kein besonders lohnenswertes Ziel. Das Verhältnis von Aufwand zu Ergebnis ist viel zu groß.

Außerdem frage ich mich gerade, wohin ich etwas
runterlade, mir ein Bookmark hinschreibe oder meinen Verlauf
hinmale, wenn ich keine Möglichkeit habe, über die Laufzeit
der Maschine hinaus Dinge wegzuschreiben.

Du könntest einen USB Stick als Medium nehmen und dort eine kleine schreibbare Partition nutzen. Für das sichere online Banking braucht man aber keine Bookmarks und auch keinen nicht flüchtigen Speicher. Belege werden direkt ausgedruckt, der Rest passiert online.

Gruß

Fritze

Ich möchte mit meiner Virtual Box nicht nur surfen, sondern mein Win7 dauerhaft testen, d.h. sämtliche online-Tätigkeiten wie z.B. Online-Banking, Recherchen, Mail-Verkehr via. Mailprogramm…, also alles was für Tätigkeiten anfallen, ausser Office-Tätigkeiten.

Da ich vor kurzem erst mein Rechner neu installiert habe und Win7 hier liegt möchte ich das neue BS gerne dauerhaft in Betrieb nehmen / testen.

Ich entnehme Deiner Antwort, dass es sehrwohl sinnvoll ist ein dieselben Schutzmaßnahmen wie ich sie im Wirtsystem ahbe auch in der VirtualBox zu installieren - richtig?

Grüße Alex

Hallo,

Hallo,

Nun möchte ich aber wissen wie sicher ist die Virtual Box
wirklich?

Die Wahrscheinlichkeit, dass Malware die Grenzen von
VirtualBox überwindet ist eher gering. Bei VMWare gibt es ein
„proof of concept“, dass das geht, aber VirtualBox ist ja
nicht VMWare.

Wie wäre es, wenn Du Dir einfach eine Surfmaschine
einrichtest, die z.B. einfach ein Linux ISO als Bootmedium
nimmt und keine Festplatte zugeteilt bekommt. Dann hast Du ein
„read only“ Medium, auf dem sich keine Malware breit machen
kann und kannst in aller Ruhe im Internet rumklicken.

ich habe in meiner VirtualBox Linux (schulisch bedingt) und Win7, allerdings arbeite ich nicht gerne mit Linux und möchte Win7 über die Virtual Box dauerhaft in Betrieb nehmen, um unter Win7 sämtliche Arbeiten, ausser Office-Anwendungen auszuführen, quasi soll Win7 dort nicht nur getestet werden. Das alles soll auch gleich im Rahmen einer sichereren Administration geschehen.

Das Projekt „Bankix“ bietet z.B. so ein Linux:

http://www.heise.de/ct/projekte/Sicheres-Online-Bank…

Virenscanner etc. kannst Du Dir dann sparen.

Gruß

Grüße

Fritze

Alex

Ich möchte mit meiner Virtual Box nicht nur surfen, sondern
mein Win7 dauerhaft testen, d.h. sämtliche online-Tätigkeiten
wie z.B. Online-Banking, Recherchen, Mail-Verkehr via.
Mailprogramm…, also alles was für Tätigkeiten anfallen,
ausser Office-Tätigkeiten.

Das ist ne andere Anforderung. Bevor man das bestehende System abreißt, ist es selbstverständlich sinnig, das neue Os erstmal in einer virtuellen Umgebung zu testen.

Da ich vor kurzem erst mein Rechner neu installiert habe und
Win7 hier liegt möchte ich das neue BS gerne dauerhaft in
Betrieb nehmen / testen.

Siehe oben.

Ich entnehme Deiner Antwort, dass es sehrwohl sinnvoll ist ein
dieselben Schutzmaßnahmen wie ich sie im Wirtsystem ahbe auch
in der VirtualBox zu installieren - richtig?

Ja aber sowas von. Insbesondere wenn Du Onlinebanking damit machen willst!

Die Laufzeit ist extrem begrenzt und nach dem nächsten
Neustart ist wieder alles auf „los“. Für Hacker kein besonders
lohnenswertes Ziel. Das Verhältnis von Aufwand zu Ergebnis ist
viel zu groß.
[…]
Für das sichere online
Banking braucht man aber keine Bookmarks und auch keinen nicht
flüchtigen Speicher. Belege werden direkt ausgedruckt, der
Rest passiert online.

Das ist leider völliger Quatsch, und bei Deiner Argumentation kommt mir das Blut aus den Ohren. Wenn ich DEINE VERBINDUNG ZUR BANK ABFANGE, UND DEIN KONTO LERRÄUME, ist es mir völlig egal, ob Dein System ein vituelles oder reales ist. Der Sicherheitsaspekt liegt hier in der SICHEREN VERSCHLÜSSELTEN ÜBERTRAGUNG, und darauf hat die virtuelle Maschine KEINERLEI EINFLUß. Und es ist insbesondere in sofern schädlich, daß die gesammte Diskussion in diesem Thread einem unerfahrenen Benutzer unter Umständen den Eindruck vermittelt, sein online Banking würde durch den Einsatz der virtuellen Maschine sicherer werden, WAS IN KEINER WEISE DER FALL IST!

Das System, daß mit der Außenwelt redet muß sich IMMER um eigene Sicherheit bemühen, egal ob ein virtuelles oder reales System. Einzige Ausnahme, ist daß sich das virtuelle schneller und einfacher wiederherstellen läßt.

Hallo,

Das ist leider völliger Quatsch, und bei Deiner Argumentation
kommt mir das Blut aus den Ohren.

Das liegt daran, dass Du offensichtlich die Frage des Ursprungsposters nicht verstanden hast.

Wenn ich DEINE VERBINDUNG ZUR BANK ABFANGE, UND DEIN KONTO LERRÄUME,
ist es mir völlig egal, ob Dein System ein vituelles oder reales :ist.

Das ist soweit richtig. Hier ging es aber um etwas anderes. Der Fragesteller möchte gerne zum Herumsurfen ein virtuelles System einsetzen, da er – vollkommen richtig – der Meinung ist, dieses sei vom Hostsystem getrennt. D.h. er muss sich über Viren, Trojaner, Keylogger, etc. in dieser VM keine Gedanken machen, wenn er sie *nicht* für das Onlinebanking nutzt. Mit anderen Worten: Ein auf einer VM eingenisteter Schädling breitet sich *nicht* auf andere VM oder den Host aus, wenn man die Trennung nicht beispielsweise durch gemeinsam genutzte Medien aufhebt.

Der Sicherheitsaspekt liegt hier in der SICHEREN VERSCHLÜSSELTEN
ÜBERTRAGUNG, und darauf hat die virtuelle Maschine KEINERLEI
EINFLUß.

Wenn ich ein ß in Versalien sehe, bekomme ich das kalte Kotzen. Das nur am Rande.

Und es ist insbesondere in sofern schädlich, daß die
gesammte Diskussion in diesem Thread einem unerfahrenen
Benutzer unter Umständen den Eindruck vermittelt, sein online
Banking würde durch den Einsatz der virtuellen Maschine
sicherer werden, WAS IN KEINER WEISE DER FALL IST!

Und ob das der Fall ist. Nämlich genau dann, wenn der Angreifer keinen MITM Angriff fährt, sondern auf lokal installierte Malware, umgeleitete DNS Anfragen, keylogger, was-auch-immer, zurückgreift. Die ist dann nämlich in einem anderen System installiert und wartet vergeblich auf Eingaben bezüglich online Banking.

Wenn man natürlich mit der Banking-VM auch nur irgend etwas anderes macht, als Banking, dann ist dieser Sicherheitsgewinn dahin. Darum ja auch der Tipp, ein Read Only Medium für das Onlinebanking zu nutzen, z.B. Bankix

http://www.heise.de/ct/projekte/Sicheres-Online-Bank…

Im übrigen bedeutet „sicherer“ nicht „sicher“.

Das System, daß mit der Außenwelt redet muß sich IMMER um
eigene Sicherheit bemühen, egal ob ein virtuelles oder reales
System. Einzige Ausnahme, ist daß sich das virtuelle schneller
und einfacher wiederherstellen läßt.

Die schnellere Wiederherstellung hat damit nichts zu tun. Es geht um die Trennung von „ich surfe sonstwo rum“ und „ich mache online Banking“. Es ist derzeit meines Wissens bei keiner einzigen deutschen Bank möglich, unverschlüsseltes Homebanking zu machen. Bei Fehlermeldungen bezüglich abgelaufener Zertifikate oder sonstigen Ungereimtheiten bei der Verschlüsselung muss man natürlich immer aufpassen.

Gruß

Fritze

Das ist soweit richtig. Hier ging es aber um etwas anderes.
Der Fragesteller möchte gerne zum Herumsurfen ein virtuelles
System einsetzen, da er – vollkommen richtig – der Meinung
ist, dieses sei vom Hostsystem getrennt. D.h. er muss sich
über Viren, Trojaner, Keylogger, etc. in dieser VM keine
Gedanken machen, wenn er sie *nicht* für das Onlinebanking
nutzt. Mit anderen Worten: Ein auf einer VM eingenisteter
Schädling breitet sich *nicht* auf andere VM oder den Host
aus, wenn man die Trennung nicht beispielsweise durch
gemeinsam genutzte Medien aufhebt.

Aha…also wird er niemals Daten zwischen dem Hostsystem und der virtuellen Maschine hin und her schicken. Er wird auch das LAN Device mit der Gastmaschine niemals Teilen und trennt jedesmal auf der Gastmaschine die Verbindung zu allen anderen Rechnern. Das ist blauäugig.

Wenn ich ein ß in Versalien sehe, bekomme ich das kalte
Kotzen. Das nur am Rande.

Wenn Typen auf Rechtschreibfehlern rumreiten und den Inhalt der zitierten Äußerung komplett ignorieren, geht mir das so zielich genau so.

Und ob das der Fall ist. Nämlich genau dann, wenn der
Angreifer keinen MITM Angriff fährt, sondern auf lokal
installierte Malware, umgeleitete DNS Anfragen, keylogger,
was-auch-immer, zurückgreift. Die ist dann nämlich in einem
anderen System installiert und wartet vergeblich auf Eingaben
bezüglich online Banking.

Du behälst also eine verseuchte virtuelle Maschine in Deinem LAN. Ach ja, die redet ja mit niemadem sonst. Niemand würde sich z.B. zwei Computer kaufen, den einen mit entsprechender anti-Virensoftware und ähnlichem ausstatten und den zweiten völlig unberührt ins Netzt lassen mit der Begründung ‚Der macht ja nur online Banking.‘ Aber bei ner virtuellen Maschine ist das ja alles kein Problem, natürlich *schulterzuck*.

Wenn man natürlich mit der Banking-VM auch nur irgend etwas
anderes macht, als Banking, dann ist dieser Sicherheitsgewinn
dahin.

Und genau das wird über kurz oder lang passieren.

Die schnellere Wiederherstellung hat damit nichts zu tun. Es
geht um die Trennung von „ich surfe sonstwo rum“ und „ich
mache online Banking“. Es ist derzeit meines Wissens bei
keiner einzigen deutschen Bank möglich, unverschlüsseltes
Homebanking zu machen. Bei Fehlermeldungen bezüglich
abgelaufener Zertifikate oder sonstigen Ungereimtheiten bei
der Verschlüsselung muss man natürlich immer aufpassen.

Dennoch ist es unsinnig, die virtuelle Maschine völlig Schutzlos zu lassen. Schädlinge verbreiten sich auch im LAN. Und über kurz oder lang, reden virtuelle und Gastmaschine über das LAN mit einander, zur Not über den Umweg eines USB-Sticks.