Intel hat zu vPro ein paar lustige Werbespots gemacht, die sich auf PEBCAK (problem exists between chair and keyboard) beziehen. Sehr schön:
Support: „IT, this is Matt.“
PEBCAK: „My Computer is having a major problem right now!“
Support: „Ok, what were you doing right before this happened?“
PEBCAK: „I opened an attachment to see if it had a virus.“
Eigentlich ist das ja ein älteres Thema aber es passt mir gerade gut, das hier jetzt aufzugreifen.
Intel hat sich eine richtig clevere Idee ausgedacht, um PCs vor diversen Problemen und Sicherheitsrisiken zu schützen: vPro. Das ist jetzt nicht ironisch gemeint. Ich halte das Modell wirklich für gut, wenn es richtig umgesetzt wird. Bei vPro läuft das Betriebssystem nicht direkt auf der Hardware sondern in einem leichtgewichtigen hardware-unterstützten Hypervisor. Der Hypervisor unterstützt mehrere virtuelle Systeme gleichzeitig, die dann für verschieden Funktionen verwendet werden können. Eine Idee ist, in so einem virtuellen System parallel zum normalen Windows Betriebssystem diverse Sicherheitsfunktionen ablaufen zu lassen. Intel nennt das „Virtuelle Appliances“.
In der Praxis würde das z.B. bedeuten, neben dem Betriebssystem gibt es eine virtualisierte leichtgewichtige „Appliance“, in der eine Firewall mit integriertem Intrusion Detection/Prevention System abläuft, die zwischen Hauptbetriebssystem und Netzwerk geschaltet wird. Dieses Konzept hat den wichtigen Vorteil, dass alle Funktionen in diesem virtuellen System vor dem Hauptbetriebssystem geschützt sind. Das Abschalten der Firewall-Funktion oder des Virenscanners durch einen Trojaner ist daher keine direkte Gefahr mehr. Ebenso könnte man in der virtuelle Appliance VPN-Gateways z.B. zum Sicheren Zugriff auf das Firmennetz einrichten. Ich kann mir hier unzählige spannende Möglichkeiten vorstellen.
Symantec hat diese Ideen offensichtlich fertig implementiert, es nennt sich VSS, Virtual Security Solution. Leider hat Symantec dabei einen bösen Fehler begangen. Nach dieser Meldung von Heise ist die Lösung auf Microsoft Windows CE implementiert (wohl eher XP Embedded, macht aber keinen Unterschied), ein leichtgewichtigeres Betriebssystem als ein komplettes Windows XP. Die VSS läuft und funktioniert, aber Symantec wird sich mit Microsoft bezüglich der Lizenzen nicht einig. Am Preis kann es eher nicht scheitern, nach Informationen der Seite Windowsfordevices kostet eine CE-Lizenz gerade mal drei (3) US-$. Ich würde daher vermuten, Microsoft sieht z.B. einen VPN-Gateway als „Server“ und lässt es daher nicht zu, diese Software auf Windows CE laufen zu lassen. Statt dessen ist die volle Lizenz für einen Windows Server fällig. Natürlich ist das Konzept dann finanziell nicht mehr attraktiv. CNet schreibt, dass Symantec nun daran arbeitet, VSS auf ein Open Source Betriebssystem zu portieren.
Und an der Stelle verstehe ich Symantec ja gleich gar nicht mehr. Gibt es da überhaupt ein Management, das kompetente Entscheidungen trifft? Oder nach Marty McFly: „Hallooo“ klopf auf den Kopf „irgendjemand zu Hause?“
Andererseits hatte Symantec bis zur Abkündigung alle Funktionen bereits auf einem Open Source Betriebssystem am Laufen: die Symantec Gateway Security (SGS) als Firewall mit VPN, Intrusion Prevention, SSL Gateway und Antivirus, auf einem gehärteten Red Hat Betriebssystem. Meinetwegen wechselt man noch schnell zu CentOS (dann braucht man Red Hat nichts mehr bezahlen) oder nimmt ein Embedded Linux. Wenn die Software unter Linux mal läuft, ist die Anpassung einfach. Aber nein, man will ja den Monopolisten Marktführer unterstützen.
Das Traurige daran: ich könnte mir vorstellen, dass VSS eine echt zukunftsweisende Technologie mit wichtigen Sicherheitsfunktionen sein könnte und jetzt halt zwei oder drei Jahre später erscheint. Allerdings hätte die Episode auch was gutes, wenn andere Hersteller davon lernen würden. Wird nur leider wohl eher nicht passieren. Andere Hersteller, z.B. hier RSA mit der SecurID-Appliance verwenden jetzt schon Windows Server 2003 in einer Appliance. Da würde ich doch niemals eine Appliance kaufen, wenn sowieso Windows drin ist.
Falls zufällig ein Hersteller einer tollen innovativen Appliance hier mitliest: nehmt ein Open Source Betriebssystem, meinetwegen auch FreeBSD oder OpenBSD anstatt Linux (dann müssen die Änderungen nicht veröffentlicht und an die Community zurückgegeben werden) aber Finger weg von Microsoft.