Intel plant Sicherheitsfunktionen mit Vanderpool
Bereits in seiner Eröffnungsrede hatte Intel-CEO Paul Otellini mit einer kleinen Demonstration mit Hilfe von IBM/Lenovo für offene Münder gesorgt. Dem Rechner war per E-Mail ein Wurm untergeschoben worden und er begann für einige Momente, den Schädling wüst zu verbreiten - dann zeigte der Netzwerkmonitor des gemanagten Switches keine Pakete der befallenen Maschine mehr an.
Auf dem infizierten System erschien nur die Meldung, der Rechner sei temporär vom Netz genommen worden. Der Benutzer solle warten, bis seine IT-Abteilung das Problem behoben hat. Wie das geht, hatte Intel bereits mit dem inzwischen lieferbaren AMT gezeigt .
Wie sich aber der Rechner selbst vom Netz nahm, erklärte Otellini nur mit dem Verweis auf eine zweite Partition des Rechners, die per VT realisiert wurde. Mit diesem Kürzel bezeichnet Intel jetzt die "Virtualisierungstechnologie", die bisher als "Vanderpool" bekannt war. Auf dem infizierten Rechner waren beim Blick in den Taskmanager keinerlei Firewall- oder Antivirenprogramme zu finden.
Während des IDF erklärte dann Intels Chef für die Entwicklung von Office-PCs, Gregory M. Bryant, vor Journalisten, wie IBM den kleinen Zaubertrick realisiert hatte. In der Tat lief neben Windows XP in einer zweiten VT-Partition eine nur 2 MByte große, Linux-basierte Software von IBM. Diese "IT-Services Partition" hatte exklusiven Zugriff auf die Hardware der Netzwerkkarte. Die XP-Partition sah nur einen virtuellen Gerätetreiber. Als der Wurm wie wild Pakete ausspuckte, trennte die IT-Partition Windows XP vom Netz.
Eleganter als dutzendfach vorinstallierte Windows-Software ist das Konzept allemal. Die IT-Partition kann sich selbst aktualisieren, was freilich Fragen nach dem Datenschutz aufwirft. Bryant empfahl dafür offene Quelltexte, welche die Support-Abteilungen von Unternehmen vorher prüfen können. Außer dem exklusiven Zugriff und der Auto-Updates lässt sich eine derartige Sicherheitsfunktion auch nicht durch Windows-Schadsoftware abschießen, wie dies einige Würmer bereits mit veralteten Virenscannern zustande bringen.
Die Sicherheitsmöglichkeiten dank virtueller Gerätetreiber sind so vielfältig, dass Bryant seine Entwickler bisher bremsen musste. Denkbar seien nicht nur Paketfilter, sondern auch vollständige Firewalls und Virenscanner. Letztere scheinen besonders interessant, wenn Intel im nächsten Schritt auch den Zugriff auf Laufwerke virtualisiert. Die Überprüfung von Datenintegrität oder einen automatischen Defragmentierer kann man sich dann ebenfalls vorstellen. Das alles zehrt natürlich an der Rechenleistung - aber, so Greg Bryant, dank der Dual-Core-Prozessoren, die allesamt mit VT ausgestattet werden, könne man die Zugriffe recht gut verteilen, so dass im Vordergrund laufende Anwendungen kaum in Mitleidenschaft gezogen werden würden.
Die ersten Prozessoren mit VT werden noch 2005 erwartet, zuerst steht eine neue Ausgabe der 600er-Serie des Pentium 4 auf dem Programm. Dann dürften auch die ersten PC-Hersteller von der Funktion Gebrauch machen. Alle danach erscheinenden Dual-Core-Prozessoren wie der neue Xeon "Paxville" oder die neuen für 2006 geplanten Prozessoren "Woodcrest" (Server), "Conroe" (Desktop) und "Merom" (Notebooks) werden VT enthalten. [von Nico Ernst]