Dr. Norbert Schirmer!"#$ 11. Mai 2011 Bonn
Überblick Motivation (zitiert aus BSI Vortrag) Sicherheitsziele VirtualBox Design von Browser in the Box Features Ausblick 2
Nutzung des PC Privat: Schreiben an Versicherung, Arzt, Finanzamt, Onlinebanking,..., E-Mails, Surfen im Internet Behörden: Industrie: Entwicklung von Gesetzestexten, Richtlinien, Verarbeitung von personenbezogenen Daten,..., E-Mails, Surfen im Internet Entwicklung neuer Produkte, Strategien, Gehaltsabrechnung,..., E-Mails, Surfen im Internet Sicherheitsziel Schutz der vertraulichen Daten auf dem PC und dem Intranet vor Browser basierten Angriffen aus dem Internet 3
Aktuelle Gefahren im Web Aktive Inhalte Eines der Haupteinfallstore für Schadsoftware Drive-by-Download Auch vertrauenswürdige Seiten sind betroffen Können ohne Wissen der Betreiber Schadsoftware verbreiten Vermietete Reklameflächen Cross-Site-Scripting Manipulierte Webseiten 4
Server basierte Lösung Ansatz Dedizierter Server für den Zugriff auf das Internet auf dem alle Web-Browser laufen Benutzer surfen remote Sicherheit: hoch Physikalische Trennung der Rechner Komfort: eingeschränkt Serverüberlastung durch viele Browserinstanzen Einbußen bei der Darstellung von Multimediainhalten Recover bei einmal infiziertem Server Kosten / Administrationsaufwand: hoch Bereitstellen der Serverhardware 5
BitBox Grundidee Host (Windows / Linux) Anwendung VirtualBox Firefox Internet Anwendung Intranet 6
BitBox Sicherheit Kapselung in virtuelle Maschine (VM) Gehärtetes Linux als Gastsystem Startet immer von einem sauberen Snapshot Trennung des Datenverkehrs auf Netzwerkebene 7
BitBox Sicherheit Kapselung in virtuelle Maschine (VM) Gehärtetes Linux als Gastsystem Startet immer von einem sauberen Snapshot Trennung des Datenverkehrs auf Netzwerkebene Benutzerkomfort Hohe Transparenz durch Seamless-Mode Weitgehende Unterstützung von Aktiven Inhalten Plugins, Persistente Lesezeichen, Drucken und Download möglich Leicht zu installieren und zu warten 7
BitBox 7 Sicherheit Kapselung in virtuelle Maschine (VM) Gehärtetes Linux als Gastsystem Startet immer von einem sauberen Snapshot Trennung des Datenverkehrs auf Netzwerkebene Benutzerkomfort Hohe Transparenz durch Seamless-Mode Weitgehende Unterstützung von Aktiven Inhalten Plugins, Persistente Lesezeichen, Drucken und Download möglich Leicht zu installieren und zu warten Leichte Integrierbarkeit in Behördennetze Konfiguration hauptsächlich auf dem Arbeitsplatz PC Nur geringe Anpassung an unterschiedliche Netze nötig Keine eigenen Hardwarekomponenten Keine Eingriffe in vorhandene Server Nutzung des vorhandenen Patchmanagements
VirtualBox Open Source Virtualisierungslösung von Oracle Verfügbar für zahlreiche Plattformen Seamless Mode Analysen im Rahmen des Projektes VirtualBox Design und Schnittstellen Sicherheitsanalyse 8
Angriffsszenarien Externe Angriffe Internet Browser Gast VM Host Lösung: Virtualisierung isoliert Hostplattform von dem Internet 9
Angriffsszenarien Externe Angriffe Internet Browser Gast VM Host Lösung: Virtualisierung isoliert Hostplattform von dem Internet Interne Angriffe Unautorisierter Zugriff auf VirtualBox Management Schnittstellen Keine zusätzlichen virtuellen Maschinen starten Lösung: Ausführung unter anderem Benutzer (BitBox) isoliert VirtualBox/ Hostplattform von dem Benutzer 9
Angriffsszenarien Externe Angriffe Internet Browser Gast VM Host Lösung: Virtualisierung isoliert Hostplattform von dem Internet Interne Angriffe Unautorisierter Zugriff auf VirtualBox Management Schnittstellen Keine zusätzlichen virtuellen Maschinen starten Lösung: Ausführung unter anderem Benutzer (BitBox) isoliert VirtualBox/ Hostplattform von dem Benutzer Annahme Die Hostplattform ist bestmöglich abgesichert 9
BitBox Isolationsmechanismen Extra Benutzerkonto Benutzerkonto VirtualBox Firefox 10
Persistente Lesezeichen / Konfiguration Idee Das Konfigurationsverzeichnis wird in einer extra Partition im Gast gespeichert Diese Partition wird beim Neustart der BitBox nicht zurückgesetzt: persistente Konfiguration Flexibilität Administrator kann dies optional auch auf einzelne Dateien / Unterverzeichnisse beschränken Das komplette Gast Image kann dem Installer beigelegt werden 11
Sicherer Download 12
Sicherer Download Extra Benutzerkonto Benutzerkonto VirtualBox Firefox 12
Sicherer Download Extra Benutzerkonto Benutzerkonto VirtualBox Firefox herunterladen Download-Ordner 12
Sicherer Download Extra Benutzerkonto Benutzerkonto VirtualBox Firefox Download Überwachung herunter- laden prüfen Download-Ordner 12
Sicherer Download Extra Benutzerkonto Benutzerkonto VirtualBox Firefox herunter- laden prüfen Download-Ordner Download Überwachung verschieben Benutzer Download-Ordner 12
Drucken 13
Drucken Extra Benutzerkonto Benutzerkonto VirtualBox Firefox 13
Drucken Extra Benutzerkonto Benutzerkonto VirtualBox Firefox drucken in Datei Druck-Ordner 13
Drucken Extra Benutzerkonto Benutzerkonto VirtualBox Firefox Druck Überwachung drucken in Datei prüfen Druck-Ordner 13
Drucken Extra Benutzerkonto Benutzerkonto VirtualBox Firefox Druck Überwachung drucken in Datei prüfen Druck-Ordner verschieben Benutzer Druck-Ordner 13
Drucken Extra Benutzerkonto Benutzerkonto VirtualBox Firefox Druck Überwachung aufrufen Druck Dialog drucken in Datei prüfen Druck-Ordner verschieben Benutzer Druck-Ordner lesen 13
Sichere Zwischenablage Uni- oder Bidirektionaler Informationsfluss Host Gast Gast Host Gast Host Optional Bestätigung durch den Benutzer beim Einfügen Kein unbemerkter Informationsfluss z.b. durch Schadsoftware im Gast die die Zwischenablage ausliest 14
BitBox Einzelplatzversion (Open Source) Host - Plattformen Windows (XP, Vista, Windows 7) Linux Features Persistente Lesezeichen Plugins (Flash, AdobeReader) Installer mit konfigurierbarem Gast-Image Sicherheits - Features Start von sauberem Snapshot Sicherer Download Sicheres Drucken Sicheres Clipboard Sicheres Update (nur signierte Images) 15
2011. Classification: RESTRICTED BitBox 2: Isoliertes Internet - Netzgrenze bis Client Mittwoch, 16 11. Mai 2011
2011. Classification: RESTRICTED BitBox 2: Isoliertes Internet - Netzgrenze bis Client Direkte Verbindung Internes Netz Mittwoch, 16 11. Mai 2011
2011. Classification: RESTRICTED BitBox 2: Isoliertes Internet - Netzgrenze bis Client Direkte Verbindung Internes Netz Mittwoch, 16 11. Mai 2011
2011. Classification: RESTRICTED BitBox 2: Isoliertes Internet - Netzgrenze bis Client Direkte Verbindung Internes Netz Gesicherter Tunnel Mittwoch, 16 11. Mai 2011
2011. Classification: RESTRICTED BitBox 2: Isoliertes Internet - Netzgrenze bis Client Internet Direkte Verbindung Internes Netz Gesicherter Tunnel Mittwoch, 16 11. Mai 2011
2011. Classification: RESTRICTED BitBox 2 (Management und Gateway) Internet im Gast, Isolierung bis Netzgrenze Sicherer VPN-Tunnel bis zum Gateway Zentrale Sicherheitsanforderung: Nur Daten aus BitBox werden ins Internet geleitet Zentrales Konfigurationsmanagement Gateway-Management Information-Flow Policies, organisationsweit Zentrales Provisioning Remote- Administration, Installation und Update Sichere Bereitstellung und Updates von Images (signierte Images) Geplantes Release-Datum Q3/2011 Mittwoch, 17 11. Mai 2011
Version 0.9 am Stand der Sirrix AG erhältlich Download unter: http://www.sirrix.com/content/pages/bitbox Sirrix AG Norbert Schirmer Lise Meitner Allee 4 44801 Bochum, Germany Phone +49-(0)234-610071-128 Fax +49-(0)234-610071-528 n.schirmer@sirrix.com http://www.sirrix.com 18
Anhang 19
Ziele von BitBox Hohe Sicherheit Möglichst transparent für den Anwender Plattformunabhängig Leicht zu installieren und zu warten Niedrige Hürden für den Einsatz Auch im Behördenumfeld einsetzbar 20
Herangehensweise des BSI 1999 - BSI-Pressemitteilung zur Gefährdung durch Aktive Inhalte 2002 - Start des ReCoBS-Projekts 2004 - Empfehlungen für Nutzer 2005 - Empfehlungen für Inhalteanbieter 2008 - Veröffentlichung der Surf-CD 2009 - Projektstart Virtuelle Surfumgebung / Browser in the Box (BITB) 2010 - Auftragsvergabe BITB an Sirrix 03.2011-2 Monatige Pilotphase mit ausgewählten Behörden 05.2011 - geplanter Release 21
SurfCD Neustart des Systems von der SurfCD zum Surfen Sicherheit Starten des Systems von LiveCD Automatisches Recover nach Infektion durch Neustart von CD Kein Zugriff auf die Festplatte Datenaustausch nur über USB Stick Komfort: eingeschränkt Unterbrechen der Arbeit durch Neustart Datenaustausch schwierig Kosten / Administrationsaufwand: niedrig 22
VirtualBox Schnittstellen Frontends VirtualBox (GUI) VBoxManage (Konsole) Python Anbindung (Scripting) Webservice Main API über (XP)COM Management von VMs Steuerung / Konfiguration von VMs Konfigurationsdateien XML Dateien für globale und VM spezifische Konfiguration (auch GUI) Disk-Images Snapshot Dateien 23
VirtualBox Architektur 24
BitBox auf Linux Host Anzeige auf Joeʼs Desktop mit xhost für virtual freigeschaltet 25
Hürden in Windows Kein sudo Kein xhost Ab Windows Vista können Windows-Dienste keine GUI auf dem Benutzerdesktop anzeigen 26
sudo vs. runas Linux: sudo In Datei sudoers kann festgelegt werden welcher Benutzer welches Programm unter welchem Zielaccount ausführen darf Legitimierung mit / ohne Benutzerpasswort Hintergrund: Root Prozess kann sich zu beliebigem Benutzer downgraden Windows: runas Beim Aufruf von runas wird das Programm und der Zielaccount eingegeben Legitimierung durch Eingabe des Zielaccount-Passwortes Hintergrund: Root Prozess kann sich nicht ohne weiteres zu einem Benutzer downgraden 27
sudo / xhost+ in Windows 28
sudo / xhost+ in Windows 1) BITB-Systemdienst hat Zugriff auf BitBox Passwort 28
sudo / xhost+ in Windows 1) BITB-Systemdienst hat Zugriff auf BitBox Passwort 2) Benutzer Joe fordert Dienst auf, BITB zu starten 28
sudo / xhost+ in Windows 1) BITB-Systemdienst hat Zugriff auf BitBox Passwort 2) Benutzer Joe fordert Dienst auf, BITB zu starten 3) Der Dienst meldet Nutzer BitBox an und schaltet ihm den Zugriff auf den Desktop von Joe frei 28
sudo / xhost+ in Windows 1) BITB-Systemdienst hat Zugriff auf BitBox Passwort 2) Benutzer Joe fordert Dienst auf, BITB zu starten 3) Der Dienst meldet Nutzer BitBox an und schaltet ihm den Zugriff auf den Desktop von Joe frei 4) Dienst startet BITB als Nutzer BitBox mit Anzeige auf Desktop von Joe 28
Sicheres Update Nur zertifizierte Images / Shared Folder können installiert werden Signaturalgorithmus: RSA 2048 Hash: SHA 256 29
BITB Gesamtarchitektur 30
BITB Gesamtarchitektur Extra Benutzerkonto Browser Überwachung beenden beobachten VirtualBox sudo steuert Benutzerkonto Link anklicken Firefox 30
BITB Gesamtarchitektur Extra Benutzerkonto Browser Überwachung beenden beobachten VirtualBox sudo steuert Benutzerkonto Link anklicken Firefox speichern Lesezeichen,... 30
BITB Gesamtarchitektur Extra Benutzerkonto Browser Überwachung beenden beobachten VirtualBox sudo steuert Benutzerkonto Link anklicken Firefox speichern drucken in Datei prüfen Druck Überwachung verschieben aufrufen lesen Druck Dialog Druck-Ordner Benutzer Druck-Ordner Lesezeichen,... 30
BITB Gesamtarchitektur Browser Überwachung beenden beobachten VirtualBox Extra Benutzerkonto herunterladen prüfen Download-Ordner Download Überwachung verschieben sudo steuert Benutzer Download-Ordner Benutzerkonto Link anklicken Firefox speichern drucken in Datei prüfen Druck Überwachung verschieben aufrufen lesen Druck Dialog Druck-Ordner Benutzer Druck-Ordner Lesezeichen,... 30