Druckversion des Themas

Hier klicken um das Topic im Orginalformat anzusehen

Rokop Security _ Schutzprogramme _ Sandbox "SafeSpace"

Geschrieben von: Peter 123 08.08.2008, 15:25

Ich bin beim Surfen im Internet zufällig auf eine (kostenlose) Sandbox gestoßen, die mir eine interessante Alternative zur populären "Sandboxie" zu sein scheint, obwohl sie nur wenig bekannt sein dürfte. Daher hier ein paar allgemeine Informationen samt weiterführender Links für etwaige Interessierte.

Die Sandbox heißt "SafeSpace" und kann an dieser Adresse heruntergeladen werden:
http://www.artificialdynamics.com/content/products/personal-edition.aspx

Ich muss vorausschicken, dass ich SafeSpace nicht selbst installiert und daher auch nicht in der Praxis ausprobiert habe. Aber der im wahrsten Sinn des Wortes augenfälligste Vorteil gegenüber Sandboxie scheint mir darin zu liegen, dass SafeSpace über eine weitaus ansprechendere, übersichtlichere und verständlichere Benutzeroberfläche verfügt als Sandboxie, und dass es außerdem bereits standardmäßig über einige Sicherheitseinstellungen verfügt, die man bei Sandboxie erst relativ mühsam selbst konfigurieren muss. (Details zu Sandboxie siehe in http://www.rokop-security.de/index.php?showtopic=16824 )

Wenn man mit Sandboxie arbeitet, und dann im Vergleich dazu z.B. folgende Benutzeroberfläche bei SafeSpace sieht, dann wird man schon neidisch laugh.gif :



Technisch scheint SafeSpace keineswegs schlechter zu sein als Sandboxie (wenn man z.B. den unten verlinkten Beiträgen im Wilders Security Forum Glauben schenken darf). Die Versuchung für mich war daher groß, es einmal mit SafeSpace zu probieren.

Dass ich es letztlich doch nicht getan habe, liegt an folgenden Nachteilen, die SafeSpace (für mich) mit sich bringt:

- Die Entwicklung von SafeSpace wurde bzw. wird in diesem Sommer eingestellt (die aktuelle Version bleibt allerdings weiterhin verfügbar). Details dazu, gepostet direkt von einem der Entwickler: http://www.wilderssecurity.com/showthread.php?t=213792

- SafeSpace ist nur auf englisch verfügbar.

- Es nimmt beträchtlich mehr Speicherplatz auf der Festplatte in Anspruch als Sandboxie.

- Um SafeSpace überhaupt installieren zu können, benötigt man - als Windows-XP-Benutzer - noch zusätzliche Software, und zwar "Microsoft .Net Framework Version 2.0". (Wer mit Vista arbeitet, hat das offenbar schon integriert.)

Aus diesen Gründen werde ich also höchstwahrscheinlich bei Sandboxie bleiben.

Wer sich aber für SafeSpace interessiert, kann sich die folgenden Links ansehen (alles englisch):

- die offizielle Benutzeranleitung (pdf-Datei):
http://www.artificialdynamics.com/assets/pdf/Artificial%20Dynamics%20SafeSpace%20User%20Guide.pdf

- eine illustrierte Beschreibung und Kommentierung des Produkts:
http://www.wilderssecurity.com/showthread.php?t=199167

- weitere Meinungen zu SafeSpace und Vergleiche mit Sandboxie:
http://www.wilderssecurity.com/showthread.php?t=202989

- eine Kurzbeschreibung von Sandboxie und SafeSpace:
http://www.techsupportalert.com/best-free-browser-protection-utility.htm

Geschrieben von: Peter 123 27.08.2008, 11:30

Zunächst noch ein Link zu einer informativen Kurzbeschreibung von SafeSpace, den ich erst vor kurzem entdeckt habe:
http://www.ghacks.net/2008/08/07/software-virtualization-with-safespace/

Der optische Charme, der von SafeSpace (SSP) ausgeht, hat mir keine Ruhe gelassen, und ich habe das Programm jetzt mal probeweise auf einem Zweitrechner installiert. biggrin.gif Zum Browsen habe ich es noch nicht verwendet, aber mein erster Eindruck ist sehr positiv.

Die Funktionsweise von SafeSpace ist ja jener von Sandboxie (SBIE) sehr ähnlich. (Zu SBIE siehe ausführlich http://www.rokop-security.de/index.php?showtopic=16824)

Daher dachte ich mir, ich mache Folgendes: Ich poste hier die Standardkonfiguration, die bei SSP bereits vorgegeben ist. Es wäre schön, wenn sich subset oder sonst jemand, der sich mit SBIE gut auskennt, im Vergleich dazu diese SSP-Konfiguration einmal kritisch ansehen könnte. Wenn er meint, dass diese Standardeinstellungen (unter Sicherheitsgesichtspunkten) in Ordnung sind (oder nur leichter Modifikationen bedürfen), dann würde einer Verwendung von SSP fast nichts mehr im Wege stehen. smile.gif

Die folgenden Weisheiten stammen nicht von mir, sondern großteils aus der (englischsprachigen) Benutzeranleitung für SSP (der Link steht im vorangegangenen Posting). Übrigens verwende ich der Einfachheit halber weiterhin den Ausdruck "Sandbox", auch wenn ihn der SSP-Hersteller meines Wissens nirgends für sein Produkt gebraucht.

In der Benutzeranleitung heißt es, dass SSP keiner manuellen Konfiguration bedarf – der Schutz der privaten Ordner werde automatisch durchgeführt. Und das klingt schon einmal sehr verlockend. rolleyes.gif

Ob und gegebenenfalls wie jene Programme, die in der SSP-Sandbox laufen (also typischerweise ein Browser oder ein Messenger), auf Dateien bzw. Ordner zugreifen können, dafür unterscheidet SSP vier Kategorien (Ordner) als Schutzebenen:

1. "Private":
Auf Dateien, die dieser Katgeorie zugeordnet sind, haben Programme aus der Sandbox heraus keinerlei Zugriff – weder Lesezugriff noch Schreib(Veränderungs-)Zugriff.

2. "Read-Only":
Dateien in dieser Schutzebene können von Programmen aus der Sandbox heraus gelesen, aber nicht verändert werden.

3. "Virtual":
Dateien dieser Kategorie können gelesen und verändert werden; Letzteres aber nur "virtuell", d.h. nur, solange sich die Dateien (bzw. genauer gesagt: ihre Kopien) in der Sandbox befinden. Wird diese geleert (gesäubert), werden auch die Änderungen "rückgängig" gemacht. Alles findet in der Sandbox statt - die tatsächlichen Dateien bleiben unangetastet.

4. "Full Control":
Auf Dateien dieser Gruppe haben Programme aus der Sandbox heraus vollen Zugriff: sie können sie lesen sowie (dauerhaft) ändern und löschen.

Wenn ich alles richtig verstanden habe, entspricht das folgenden Kategorien bei SBIE:

- "Private" (bei SSP) = "Dateizugriff verweigern (ClosedFilePath)" (bei SBIE)
- "Read-Only" = "Nur-Lese-Dateizugriff (ReadFilePath)"
- "Virtual" = ?? (bei SBIE vermutlich nicht eigens bezeichnet)
- "Full Control = "Direkter Dateizugriff (OpenFilePath)"


Bei SSP ist nun folgende Konfiguration als Standard voreingestellt:

A) Alle Ordner bzw. Dateien, für die nichts anderes festgelegt ist, gehören zur Gruppe "Private". Auf sie gibt es also standardmäßig keinerlei Zugriff aus der Sandbox heraus.

B) Anderes festgelegt ist nur für folgende Ordner:

- C:\Dokumente und Einstellungen\AllUsers: Virtual
- C:\Dokumente und Einstellungen\...[Benutzername]\Anwendungsdaten: Virtual
- C:\Dokumente und Einstellungen\...[Benutzername]\Favoriten: Read Only
- C:\Programme: Virtual *
- C:\WINDOWS: Virtual *

*) "Programme" und "Windows" sind "Virtual and locked", d.h. hinsichtlich dieser Ordner kann die Konfiguration nicht abgeändert werden. Davon abgesehen ist das frei möglich.

Diese Ordner, die nicht zur Kategorie "Private" zählen, werden auf der Benutzeroberfläche aufgelistet. Das sieht folgendermaßen aus:



Wie schon erwähnt: Diese vorgegebenen Einstellungen sollten laut SSP bereits vollen Schutz gewähren.

Hilfreich für das Verständnis sind die allgemeinen Erläuterungen, die dazu im Handbuch gegeben werden:

- Die Option "Virtual" sollte demnach für jene Ordner gewählt werden, die nur Programm- und Betriebssystem-Dateien enthalten. Dazu werden in der Standardeinstellung auch die "Anwendungsdaten"-Ordner gezählt, weil sich in ihnen typischerweise nur Programmdateien und Konfigurationseinstellungen befänden.

- Die Kategorie "Private" wird für Ordner empfohlen, die persönliche oder heikle Daten enthalten. Als Beispiel werden der Ordner "Eigene Dateien" und der Desktop genannt. (Auch dieser wird also standardmäßig von jedem Zugriff ausgeschlossen.)

- Als Beispiel für einen Ordner, der in die Kategorie "Read-Only" passt, werden die Favoriten des Internet Explorers erwähnt.

- "Full Control" sollte auf Ordner mit solchen Dateien Anwendung finden, die man ständig modifizieren möchte.

Noch ein Wort zu den Keyloggern:
Sie werden bei SSP durch eine entsprechende Funktion (die man auch deaktivieren kann, aber nicht soll) angeblich automatisch geblockt.

Das wären die wesentlichsten Punkte zur Konfiguration von SSP. Wenn diese Einstellungen prinzipiell "passen", so hätte man bei SSP also manuell nichts zu konfigurieren. Daher wäre es interessant, Expertenmeinungen dazu zu hören.

Unterstützt von Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)