Wie kann man sich (als Anbieter und Kunde) bei gebrauchter Hardware, die schon einmal von einem Kunden genutzt wurde, eigentlich noch sicher sein, dass die Firmware von diversen Komponenten bzw. das Bios nicht dauerhaft modifiziert wurden und somit für zukünftige Kunden eine Gefahr darstellt? Mittlerweile weiß man ja, dass nahezu nichts mehr unmöglich ist.
Zumindest in Bezug auf die von dir angesprochenen BIOS-/Firmware-Manipulationen wäre ein vServer dann ja wieder sicher(er).
Jede aktuelle VM-Technologie hat mehrere Möglichkeiten Speicherinhalte der VMs gegenseitig zu lesen und zu schreiben
Das will ich im Kern nicht bezweifeln, aber Risiko ist ja bekanntlich Schaden * Wahrscheinlichkeit. Solche Exploits sind nur für sehr wenige Menschen überhaupt ausnutzbar und erfordern in der Regel eine Verkettung von begünstigenden Umständen, bis man mal wirklich in einer Nachbar-VM drin ist. Selbst Spectre ist auf einem gut beschäftigten Host mit viel Entropie vermutlich nicht sinnvoll ausnutzbar (ja, man kann so lange Daten abgreifen, bis man mal was Relevantes gefunden hat, aber das ist ein ziemlicher Akt und man sollte wissen, wonach man sucht). Bitte nicht falsch verstehen, Spectre sollte man trotzdem patchen (also längst gepatcht haben) und ich war überrascht, wie viele Mitbewerber sich dafür Monate Zeit gelassen haben oder bis heute ungepatchte Systeme weiterlaufen lassen. Am domainfactory-Hack sieht man auf der einen Seite die Auswirkungen veralteter Kernel / Software gut, aber auf der anderen Seite auch die erschreckend lange Zeit, bis eine Lücke wie die dort angewandte DirtyCow tatsächlich exploited wird. DirtyCow war im Oktober 2016 gefixt und wurde ein knappes Jahr später ausgenutzt bei DF; eigentlich Zeit genug, das zu fixen. Aber ich schweife ab
Man muss sich hinsichtlich der Risikoabwägung fragen, wie interessant man als Ziel ist. Meine persönliche Einschätzung: Komplexe (Zero-Day-)Exploits auszunutzen, "lohnt" sich bei uns und den allermeisten Mitbewerbern nicht. Schließlich kann man sehr viel Geld damit verdienen, solche Exploits z.B. an Geheimdienste zu verkaufen.
Ob es sich bei den Kunden lohnt, steht auf einem anderen Blatt, aber mal davon abgesehen, dass das für die überwiegende Mehrheit nicht der Fall sein wird, denke ich, dass man als extrem interessantes Ziel ohnehin nicht "sicher" ist - ob nun auf dedizierter oder virtueller Hardware dürfte dann die kleinere Hürde sein.
Ach ja, so eine Speicherzugriffsdiskussion hatten wir hier
schon mal - ein interessanter Thread.
Mal noch ein Aspekt
für die Ausnutzbarkeit von Lücken in Virtualisierungslösungen: Es wird oft gesagt, es sei praktisch nicht möglich, herauszufinden, ob man überhaupt auf demselben Blech liegt wie das Opfer. Daran zu glauben, ist Security by obscurity. Auf eine ausreichende Menge Hosts zu kommen, ist nicht so schwierig, man muss nur genügend VMs ordern, und ab dann gibt es genügend Möglichkeiten. Angefangen bei offensichtlichen Szenarien wie Wartungsarbeiten und Ausfällen am Host (Opfer auch betroffen = höchstwahrscheinlich gleiches Blech) kann man die Diagnose auch selbst in die Hand nehmen und - mit geeigneten Methoden, ich möchte niemanden anleiern
- beispielsweise kurzen Paketverlust am Host erzeugen. Ebenso ist es durchaus möglich, Latenzabweichungen bei Festplattenzugriffen zu messen, während man bei seinem Opfer - mit geeigneten Methoden
- entsprechende Festplattenlast erzeugt. Sowas ist auch bei gutem Ressourcenmanagement durchaus
messbar, auch wenn es nicht unmittelbar im Betrieb auffällt. Und das waren noch die simpleren Ideen
Viele Grüße
Tim
