Ninjastic
PostEdited versionsQuotes to this post
Post
Topic
Board Off-Topic (Deutsch)
Re: Sandbox, AV und Co.: Damit bin ich nun sicher, oder? (Sicherheits-Sammelthread)
by
bill86
on 07/04/2014, 21:17:35 UTC
Hey kneim,

Quote from: kneim on April 07, 2014, 08:38:17 PM
Das Copy-and-Paste zwischen den VMs habe ich eingeschaltet. Ich muss ab und zu Text, längliche URLs oder Public Keys zwischen den VMs kopieren, sonst wird der Aufwand einfach zu hoch. Inwieweit kann das ein Sicherheitsproblem sein?

Virtualbox verwende ich nicht mehr, weil die Systemisolierung mir nicht weit genug ging. D.h. es war für mich ein Unding, dass einfach mal alle Treiber für sämtliche Hardware geladen wird, ohne dass diese in der VM zur Verfügung gestellt werden sollte.

Dafür habe ich damals Benutzbarkeit opfern müssen (ich bin auf einen angepassten Kernel mit KVM gewechselt).

Beim Copy-and-Paste kann ich dir nur raten, dass du aufmerksam bleibst, was du kopierst. Ich kriege das Beispiel im Augenblick nicht mehr reproduziert, aber ich hatte mal die Situation, dass ich einen Text in Unicode per Copy-And-Paste rüberholte und damit beinahe auf die Nase fiel. Vielleicht fällt mir das Beispiel irgendwann wieder ein. Es sah auf jeden Fall harmlos aus und war dann für mich so einer dieser "Oha!"-Momente.

Die andere Gefahr ist eher eine theoretische Erwägung, als eine praktische Erfahrung. Deshalb weiß ich auch nicht, ob es eine reale Bedrohung ist.

Wenn du einen gemeinsamen Speicherbereich zwischen Host und Guest hast, dann liegt dieser wo genau? Meine Vermutung ist (ich kann es momentan nicht nachprüfen), dass dieser beim Hypervisor abgelegt wird (das Stückchen Programm, welches mit SUID laufen muss). D.h. dass eine Schwachstelle im Speichermanagement potenziell den Weg zu einer Privilege-Escalation ebnen könnte (also Aufruf einer Rootshell mit SUID über den Hypervisor). Dabei wäre diese Schwachstelle ebenfalls vom Guest aus erreichbar bzw. könnte vom Guest aus befüllt werden. Allerdings halte ich persönlich das Risiko für sehr gering, weil deine Zusammenstellung nicht weit verbreitet ist und weil da jemand ganz genau wissen müsste, wie es bei dir aussieht. Die Guests zu exploiten kann man eben auch nicht einfach mal so aus dem Ärmel schütteln.

Mal eine Frage an dich.

Was sagt eigentlich: "scanelf -e " bei dir?

Die folgende Ausgabe sollte zurückkommen:

TYPE        STK/REL/PTL    FILE
ET_DYN   RW- R-- RW-     

Darüberhinaus sollte dich auch mal

cat /proc/sys/kernel/randomize_va_space

interessieren.
Als Rückgabe sollte im Idealfall eine 2 kommen.
0 bedeutet, dass es abgeschaltet ist und sollte so nicht eingesetzt werden. Ach, das hatte ich noch nicht erwähnt. Es geht hierbei um die ASLR in Linux per grsecurity.

Gruss
Bill