Virtuelle Maschinen: Weihwasser gegen Malware

Aus beruflichen Gründen arbeite ich täglich mit bzw. in einer virtuellen Maschine. Lenny Zeltser berichtet auf der SANS Homepage von einem weiteren Vorteil dieser Arbeitsweise: Drei von zwölf kürzlich in einem Honeypot gefangenen Schädlingen haben den Start in einer VM verweigert.

Virtual machine detection is a self-defensive property of many malware specimens. It is aimed at making it harder to examine the malicious program, because virtualization software, such as VMware, is a very popular tool among malware analysts.

Infos zu Vmware Workstation 6

Ein paar Infos zur nächsten Workstation-Version von Vmware:

# Record/replay – which allows you to record entire the runtime state of the VM as it changes, and then play it back for debugging purposes
# Support for Vista as host and guest, and for Solaris 10 as a guest
# Virtual battery for laptops that shows battery life
# Easy virtual disk mounting for Windows so you can mount a VM disk file as a drive
# New virtual hardware to include USB2 and a 64-bit sound driver
# Max RAM moves from 4GB to 8GB
# Improved and more flexible shared folders
# Cross-platform drag and drop and copy/paste operations
# Improved inter-operability with remote control software such as VNC
# Support for multiple displays
# Experimental support for quad-core machines and more virtual PCI slots

Quelle.

Multibrowser Appliance

Vor ein paar Tagen hat Vmware damit begonnen, die für die Ultimate Virtual Appliance Challenge eingereichten virtuellen Maschinen zu veröffentlichen. Mitte August will das Unternehmen dann die Gewinner benennen. Ich habe bereits eine Handvoll der neuen VMs ausprobiert und stelle im folgenden die Multibrowser Appliance von Rainer Finck kurz vor.

Zur Verbreitung der Appliances setzt Vmware auf das Bittorent-Protocol. Man benötigt also einen BT-Client wie zum Beispiel den schlanken Utorrent. Die Download-Datei der Browser Appliance ist 342 MByte groß (direkter Link zum Torrent). Nach dem Auspacken ist die VM etwa 740 MByte groß.

Das Besondere an der Multibrowser Appliance ist, dass alle wichtigen Windows- und Linux-Browser bereits enthalten sind beziehungsweise sich mit wenigen Klicks nachinstallieren lassen. Nach dem Booten präsentiert Rainer Finck ein Skript-Fenster, indem man die Auflösung, das Tastaturlayout und anschließend die Netzwerkeinstellungen konfigurieren kann. Als Zielgruppe nennt Finck, Web-Entwickler, die ihre Seiten in mehreren Browsern testen wollen. Ich denke aber, dass die VM sich auch für normale Internetnutzer eignet, die einfach nur sicher Surfen wollen.

Nach der Basiskonfiguration hat der Anwender die Wahl zwischen den zwei Text-basierten Browsern Elinks und Lynx, Firefox, Konqueror, drei Varianten des Internet Explorers (in Wine) und Opera. Internet Explorer und Opera sind nicht enthalten, sondern lassen sich mit wenigen Klicks Skript-gesteuert nachinstallieren.

Mit den beiden IE5-Versionen konnte ich nicht auf Anhieb im Internet surfen. Es hat erst funktioniert, nachdem ich die automatische Internet-Konfiguration in beiden Browsern abgeschaltet habe: Tools -> Internet Options… -> Connections -> LAN Settings -> Häkchen vor Automatically detect settings entfernen.

Insgesamt ist die Browser Appliance eine schöne Idee, die auch gut umgesetzt wurde. Allerdings hatte ich mehrmals Probleme mit dem DHCP-Client, der keine IP-Adresse beziehen konnte. Woran das liegt, kann ich leider nicht beurteilen. Meist hat es geholfen, zuerst eine Seite mit dem Konqueror und anschließend erst mit dem IE aufzurufen.

Vmware Server beschleunigen

Die aktuelle Beta 2 von Vmware Server ist nicht unbedingt die schnellste. Auch bei eigentlich ausreichend vorhandenem RAM ruckeln immer wieder virtuelle Maschinen. Abhilfe verspricht das Hinzufügen folgender Zeilen in die entsprechende VMX-Datei:

debug = „FALSE“
logging = „FALSE“
mainMem.partialLazySave = „FALSE“
mainMem.partialLazyRestore = „FALSE“
mainMem.useNamedFile = „FALSE“

Virtuelle Appliances selbst erstellen bzw. downloaden

In der gerade erschienenen com! 05/06 befindet sich ein Artikel („1000 neue PCs – gratis!“, ab Seite 34), der das Anlegen neuer virtueller Maschinen für den Vmware Player beschreibt. Das momentan beste Tool dafür ist der VMX-Builder von Robert Petruska. Robert hat eine ganze Reihe interessanter Werkzeuge für Virtualisierungsenthusiasten entwickelt.

Wer keine eigenen VMs erstellen will, der kann sich aus einem Fundus von zehn vorinstallierten Systemen bedienen, zum Beispiel Open Suse 10, Fedora Core 4 oder Exoten wie Syllable und Reactos. Auf der com!-Ausgabe mit DVD sind alle beschriebenen VMs enthalten, alternativ finden sich hier die Download-Links.

Kostenlos: Virtual Server 2005 R2 Enterprise Edition

Nun fährt auch Microsoft auf der kostenlosen Virtualisierungs-Schiene: Seit ein paar Tagen steht die Virtual Server 2005 R2 Enterprise Edition zum kostenlosen Download bereit. In einem Interview begründet Zane Adam, Director of Product Parketing in the Windows Server Division bei Microsoft, die Entscheidung:

We see virtualization technology as a key stepping stone toward the vision of self-managing dynamic systems. […] Toward that end, we want to make virtualization more broadly accessible and affordable so our customers can realize benefits in areas like server consolidation, disaster recovery, application re-hosting, and software test and development.

Ein kurzer Test der Virtual Server 2005 R2 Enterprise Edition war ernüchternd. Der Vmware Server ist deutlich einfacher zu bedienen. Das Microsoft-Produkt erfordert dagegen Windows XP Pro oder höher und lässt sich nur verwalten, wenn der Internet Information Server auf dem System installiert ist. Mir ist das zu umständlich, vielen Dank.

Im Trend: Vorgefertigte virtuelle Appliances

Sehr gespannt bin ich auf die Ergebnisse der Ultimate Virtual Appliance Challenge, bei der Vmware herausragende virtuelle Appliances prämiert. Ich nenne diese virtuellen Geräte jetzt mal abgekürzt VA, angelehnt an VM für virtuelle Maschinen.

VAs sind für mich einer der interessantesten Trends der vergangenen Monate. Wie oft habe ich mich für einen bestimmten Applikationsserver interessiert und dann in letzter Minute die umständliche Installation gescheut? Damit ist es nun vorbei.

Sofern die jeweiligen Entwickler diesen neuen Trend bereits mitbekommen haben (einige haben das noch verschlafen), lädt man einfach eine fertig vorkonfigurierte VA herunter und startet sie mit dem kostenlosen Vmware Player beziehungsweise mit dem Vmware Server. So lässt sich ohne großen Aufwand herausfinden, ob die jeweilige Appliance für einen interessant ist oder eben nicht.

Ein paar fertige VAs gibt es schon zum Download. Besonders gut gefallen hat mir das virtuelle Twiki, das sich sogar sofort nach dem Start nahtlos in eine Windows-Netzwerkumgebung einbindet. Auch von der Kollaborationssuite Zimbra gibt es mittlerweile eine virtuelle Variante, die auf Fedora Core 4 basiert, und dem interessierten Anwender viel Mühe mit der Installation erspart.

Noch fehlen in dieser Miniauflistung aber viele Applikationsserver. Ich hoffe sehr, dass in den nächsten Wochen und Monaten viele neue VAs zum kostenlosen Download bereitstehen.

Vorkonfigurierte Linux-Maschine für den VMware-Player

Ich habe ein virtuelles Linux-System für den VMware-Player erstellt, das jetzt zum Download (330 MByte, selbstextrahierende Exe-Datei) bereitsteht. Die VM basiert auf Pocketlinux 1.3.1 und bietet neben Firefox 1.5 und einigen Office-Anwendungen auch einen vorinstallierten Samba-Server zum Datenaustausch mit dem Windows-Host.

Kurzanleitung:

  1. Den kostenlosen VMware-Player herunterladen und installieren.
  2. Linux-VM herunterladen, auspacken in einen beliebigen Ordner auf der Festplatte.
  3. Doppelklick auf „Pocket Linux.vmx“. Das System startet jetzt, in das Fenster klicken und einmal [Eingabe] drücken, wenn das Boot-Fenster erscheint.
  4. Das Passwort für den root-Account lautet „leser“.

Tipp: Mit [Strg Alt] verlässt man das Fenster wieder.

Eine ausführliche Anleitung findet sich in der com! 02/06, die heute erschienen ist.

Kostenloser VMware-Player

VMware bietet jetzt einen kostenlosen Player für Windows und Linux an, mit dem sich virtuelle Maschinen nutzen lassen. Zur Erstellung dieser Maschinen wird allerdings immer noch eine der kostenpflichtigen Versionen benötigt. VMware bietet jedoch auch mehrere fertige virtuelle Maschinen zum Download an.

Eine ein Jahr lauffähige Version der VMware Workstation 4.5 lag übrigens vor mehreren Wochen der c’t bei. Damit lassen sich virtuelle Maschinen erstellen, die dann mit dem Player auch länger als zwölf Monate genutzt werden können.

Eine schnelle Suche nach alternativen Download-Quellen für VMs hat nichts ergeben. Da mich dieser Punkt interessiert hat, habe ich bei VMware nachgefragt, ob beispielsweise eine fertige virtuelle Maschine mit einem Debian-System von einem Anwender selbst zum Download angeboten werden darf. Hier die Antwort:

Ein Anwender darf eine mit VMware Workstaton, GSX Server oder ESX Server erstellte virtuelle Maschine zum Download anbieten, solange die Lizenzbestimmungen des Betriebssystemanbieters und der Applikationsanbieter, deren Software in der virtuellen Maschine installiert ist, nicht verletzt werden. In dem von Ihnen geschilderten Fall lautet die Antwort also: Ja, er darf.

Das ist interessant. Ich hoffe, das einige User in die Bresche springen und bald fertig konfigurierte virtuelle Maschinen zum freien Download anbieten. Hier bieten sich ganz neue Möglichkeiten …

Antwort auf eine weitere Frage, welche VMware-Versionen der Player unterstützt?

VMware Player unterstützt alle aktuellen virtuellen Maschinen von VMware (und Microsoft), also auch VMs der Versionen 4.5 und 5.

Und noch eine interessante Information:

Ein Punkt ist noch wichtig: VMware Player kann nicht parallel mit einem anderen aktuellen Produkt von VMware auf einer physischen Maschine installiert werden. Das wird sich mit VMware Workstation 5.5 ändern.

Gut, ich denke letzteres lässt sich verschmerzen. Wer eine der kommerziellen VMware-Versionen besitzt, braucht den Player ja nicht auf demselben PC.