Sandboxie Free, zur Browser Selbstreinigung Einstellungen

[markus17]

Es geht doch auch nicht darum etwas aus der Sandbox zu lassen , ich sagte eine aktive Malware in der Sandbox kann problemlos Daten auf dem Host auslesen und stehlen.

Voyager hat vollkommen recht, eine Sandbox schützt nicht gegen Malware.

Mir fällt auf, dass in letzter Zeit Sandboxen immer öfter als "Virenschutz" bezeichnet werden. Diesen Test hier http://www.rokop-security.de/index.php?showtopic=18236 verstehe ich z.B. auch nicht wirklich. Das reale System wurde zwar nicht infiziert, aber in der Sandbox ist die Malware trotzdem aktiv. Wenn eine Sandbox nach jeder Nutzung geleert wird, dann kann man natürlich eine dauerhafte Infektion vermeiden, trotzdem wurde Malware aktiv und genau das sollte ja schließlich unterbunden werden.

[Gast_Nightwatch_*]

Massentauglichkeit sehe ich da noch nicht.

Korrekt. Vielleicht kommt das ja noch.

Das reale System wurde zwar nicht infiziert, aber in der Sandbox ist die Malware trotzdem aktiv.

Das macht nichts, da die Malware in der Sandbox gar nichts anrichten kann, wenn man sie entsprechend konfiguriert. Es werden entgegen einiger Vermutungen hier weder Daten, Hosts noch sonstige Files ausgelesen und schon gar nicht verschickt.
Was diese Tests anbelangt, so weiß ich auch oft nicht, was da genau getestet werden sollte.

Gruß,
Nightwatch

Der Beitrag wurde von Nightwatch bearbeitet: 19.05.2009, 16:24

[subset]

Wenn eine Sandbox nach jeder Nutzung geleert wird, dann kann man natürlich eine dauerhafte Infektion vermeiden, trotzdem wurde Malware aktiv und genau das sollte ja schließlich unterbunden werden.

Das Malware aktiv wird, kann man mit SBIE sehr einfach unterbinden, indem man sie in der Sandbox einfach nicht starten lässt.
Nebenbei lassen Anti-Viren Programme zumindest jedes unbekannte Schadprogramm starten und das echte System verseuchen, kurioserweise wird das da aber nie als Problem erkannt.

MfG

[Voyager]

Nebenbei lassen Anti-Viren Programme zumindest jedes unbekannte Schadprogramm starten und das echte System verseuchen, kurioserweise wird das da aber nie als Problem erkannt.

Der AV kann eine Malware aber erkennen und löschen , eine Sandbox hat diese Aufgabe garnicht . Von daher sind auch die Vergleiche von Peter absurd.

[Peter 123]

Voyager hat vollkommen recht, eine Sandbox schützt nicht gegen Malware.

Was denn sonst macht sie?

Wenn eine Sandbox nach jeder Nutzung geleert wird, dann kann man natürlich eine dauerhafte Infektion vermeiden, trotzdem wurde Malware aktiv und genau das sollte ja schließlich unterbunden werden.

Du stellst ja auch nicht die Wirksamkeit eines Mülleimers in Frage, wenn es darum geht, dich damit vor dem Herumliegen von Abfällen in der Wohnung zu schützen. Und ähnlich funktioniert eine Sandbox. Leeren solltest du beide regelmäßig. Aber wenn du das machst, hast du Ruhe vor dem Müll in der Wohnung bzw. auf deinem realen System. Und darauf kommt es doch an. Ein Stück schimmeliges Brot im Mülleimer wird dich ja auch nicht beunruhigen. Ebensowenig muss das allfällige Malware in der Sandbox tun (noch dazu, wenn man sie entsprechend restriktiv konfiguriert hat*).

*) (Wie ich sehe, hat subset diesen Aspekt gerade angesprochen.)

[Peter 123]

Der AV kann eine Malware aber erkennen und löschen , eine Sandbox hat diese Aufgabe garnicht .

Da gebe ich dir völlig Recht. Aber das braucht sie auch nicht, weil sie auf eine ganz andere Weise schützt.

Von daher sind auch die Vergleiche von Peter absurd.

Keine Ahnung, welche Vergleiche du konkret meinst.

[Julian]

Eine Sandbox im normalen Einsatz macht nur gegen Exploits Sinn und auch dafür sollte man sie anpassen oder ein HIPS hinzu nehmen. Find das gar nicht lustig, dass bei Sandboxie Programme standardmäßig Global Hooks setzen können

[Gast_Nightwatch_*]

Find das gar nicht lustig, dass bei Sandboxie Programme standardmäßig Global Hooks setzen können

Hi
Womit hast Du getestet? Bei mir funktioniert das nicht. Testet ihr alle mit Standard-Einstellungen? Wenn nicht, dann verwundern mich hier so einige Statements. Wie ich bereits schon mehrfach hier schrieb, ist es bei entsprechender Konfig überhaupt nicht möglich, Lese- und Schreibrecht zu erhalten und eigene Prozesse zu starten.

Gruß,
Nightwatch

Der Beitrag wurde von Nightwatch bearbeitet: 19.05.2009, 17:15

[subset]

Hier geht's weiter.
http://www.rokop-security.de/index.php?s=&...st&p=274260

MfG

[markus17]

Was denn sonst macht sie?


Du stellst ja auch nicht die Wirksamkeit eines Mülleimers in Frage, wenn es darum geht, dich damit vor dem Herumliegen von Abfällen in der Wohnung zu schützen. Und ähnlich funktioniert eine Sandbox. Leeren solltest du beide regelmäßig. Aber wenn du das machst, hast du Ruhe vor dem Müll in der Wohnung bzw. auf deinem realen System. Und darauf kommt es doch an. Ein Stück schimmeliges Brot im Mülleimer wird dich ja auch nicht beunruhigen. Ebensowenig muss das allfällige Malware in der Sandbox tun (noch dazu, wenn man sie entsprechend restriktiv konfiguriert hat*).

*) (Wie ich sehe, hat subset diesen Aspekt gerade angesprochen.)

Wenn du den Deckel der Mülltonne öffnest, damit du auf sie Zugriff bekommst, dann stinkt es trotzdem heraus. Natürlich kann eine Sandbox Malware isolieren, aber nicht erkennen und komplett entfernen (nicht die Tonne räumt den Mist aus dem Weg, sondern die Müllabfuhr ^^).

Unerfahrene User können eine Sandbox nicht richtig konfigurieren. Durch Tests, wo Sandboxen einen Malwareangriff "bestehen", können Unerfahrene den Eindruck bekommen, dass sie mit einer Sandbox sicher sind und ganz so einfach ist es eben nicht.

[Julian]

Hi
Womit hast Du getestet? Bei mir funktioniert das nicht. Testet ihr alle mit Standard-Einstellungen? Wenn nicht, dann verwundern mich hier so einige Statements. Wie ich bereits schon mehrfach hier schrieb, ist es bei entsprechender Konfig überhaupt nicht möglich, Lese- und Schreibrecht zu erhalten und eigene Prozesse zu starten.

Gruß,
Nightwatch

Versuch mal den AKLT-Test, Methode "LowLevel Hook" (Standardeinstellungen). Und selbst auf der Sandboxie-HP steht, dass Windows Messages nicht geblockt werden können, sofern ich mich richtig entsinne.
 AKLT.zip ( 104.89KB ) Anzahl der Downloads: 9


Aha, subset. Weil zwei Irgendwer Sandboxie nicht umgehen können, zählt dies solange, bis jemand das Gegenteil bewiesen hat?
Mit dieser Mentalität wär das mit der Aufklärung sicherlich nichts geworden...

[Voyager]

http://microsite.computerzeitung.de/articl...23-2cfdf022aee5

Vll. ist das eine praktikablere Lösung wo gleich 3 verschiedene Sicherheitslevel in 3 Sandboxen automatisch vorgegeben werden je nachdem wie die aufgerufene URL eingestuft wird, Datenbanken sind dafür bei Symantec schon ausreichend vorhanden .

[subset]

Aha, subset. Weil zwei Irgendwer Sandboxie nicht umgehen können, zählt dies solange, bis jemand das Gegenteil bewiesen hat?
Mit dieser Mentalität wär das mit der Aufklärung sicherlich nichts geworden...

Sandboxie hat dann versagt, wenn es einem Programm (das in der Sandbox läuft) gelingt, aus der Isolierung durch Sandboxie auszubrechen und sich im echten System festzusetzen.
Festsetzen heißt - in die echte Registrierung zu schreiben, im echten System Dateien zu platzieren usw., also das echte System dauerhaft zu verändern und das alles gegen die Einstellungen von Sandboxie.

Nach dem Beenden der Programme in der Sandbox bzw. nach dem Löschen der Sandbox müssten also ungewollte Veränderungen am echten System erfolgt sein - dann hätte Sandboxie versagt.
Auf einen solchen Beweis warte ich die ganze Zeit, bloß der kommt nie.

Alles was kommt sind nur so HIPS Gschichterln - Prozess hat dies gemacht... Prozess hat das gemacht.
Und wann wurde das echte System dadurch dauerhaft verändert... nie.

MfG

PS: FYIO Pssst... Sandboxie ist kein HIPS.

[Peter 123]

Kurze Zwischenfrage an Nightwatch zum Folgenden:

Des Weiteren ist es möglich, nur der Prozess-ID des Browsers Internet-Zugang zu gewähren, so dass selbst eingefangene Malware keine Möglichkeit hat, auch nur irgendwelche Dateien abzugreifen und zu verschicken.

Nur um sicherzugehen, dass ich bei der Konfiguration das Richtige eingetragen habe:
Was ist denn die "Prozess-ID des Browsers"? Ich nehme an, die betreffende exe-Datei, also "iexplore.exe", "firefox.exe", "opera.exe" usw.

[Julian]

Sandboxie hat dann versagt, wenn es einem Programm (das in der Sandbox läuft) gelingt, aus der Isolierung durch Sandboxie auszubrechen und sich im echten System festzusetzen.

Richtig. Genau so wie ein HIPS erst dann versagt hat, wenn Malware das System (dauerhaft) verändert oder beschädigt hat.

Nach dem Beenden der Programme in der Sandbox bzw. nach dem Löschen der Sandbox müssten also ungewollte Veränderungen am echten System erfolgt sein - dann hätte Sandboxie versagt.

Das hast du ja nun bereits in etwa gesagt

Auf einen solchen Beweis warte ich die ganze Zeit, bloß der kommt nie.

Das ist eine nicht ganz angemessende Erwartungshaltung. Sonst bist du doch immer dafür, dass ein HIPS so viele Leaktests wie möglich blocken soll, auch wenn die Malware-Erkennung in der Realität vermutlich nicht wirklich besser wird. Bei einer Sandbox ist das dann anders

Alles was kommt sind nur so HIPS Gschichterln - Prozess hat dies gemacht... Prozess hat das gemacht.

Genau, Prozess hat anderen, nicht gesandboxten Prozess verändert. In wie fern vermag ich natürlich nicht zu sagen, aber wenn der AKLT Global Hook mit Keylogger-Parametern nicht erkannt wird, wieso sollte dies dann mit anderen auf einmal der Fall sein?

Und wann wurde das echte System dadurch dauerhaft verändert... nie.

Genau, weil die Leaktests ja auch nicht das Bypassen einer Sandbox, sondern das von HIPSen demonstrieren sollen, also bei diesen es nur um die Speicherveränderungen ansich geht und nicht darum, mit diesen dauerhaft etwas aus einer Sandbox heraus auf dem Host zu verändern. Dass es solche Demonstrationsprogramme nicht gibt, liegt vermutlich zum einen daran, dass Sandboxen noch nicht sonderlich verbreitet sind und daher die Attraktivität für so ein Vorhaben nicht sehr hoch ist, die darin investierten Mühen zahlen sich dann wohl kaum aus. Der andere Grund ist wohl, dass es vermutlich wesentlich aufwendiger und komplizierter ist, so ein Demonstrationsprogramm zu basteln, als es bei solchen für HIPSe der Fall ist. Immerhin muss ja viel mehr gemacht werden.

PS: FYIO Pssst... Sandboxie ist kein HIPS.

Sollte es aber haben, um Keylogger und Co blocken zu können. Ansonsten ist das Konzept anscheinend löchrig.

Der Beitrag wurde von Julian bearbeitet: 19.05.2009, 21:17

[Voyager]

Ich denke es geht doch eher um Peters überschäumendes Verkaufsmarketing für Sandboxie Die Sandbox kann den Virenscanner nicht gänzlich ersetzen und damit Punkt.

[Peter 123]

Ich denke es geht doch eher um Peters überschäumendes Verkaufsmarketing für Sandboxie Die Sandbox kann den Virenscanner nicht gänzlich ersetzen und damit Punkt.

Es sollte eigentlich (nur) um Sachargumente gehen. Aber da kommt - jedenfalls von dir - nichts Überzeugendes. (Eher schon von Julian, aber da gibt es dann auch wieder Gegenstandpunkte von subset.)

Das Folgende wurde dir bereits von Anderen widerlegt:

[...], ich sagte eine aktive Malware in der Sandbox kann problemlos Daten auf dem Host auslesen und stehlen.

Und was das betrifft:

Wer diese Sandboxie erst konfugurieren muss der muss sich erstmal belesen was man unter den ganzen Aktionsbeschreibungen überhaupt meint , so eindeutig klar ist das auf Anhieb nicht. Die Deutsch Übersetzer hätten hier nicht nur ein Wörterbuch bemühen sollen .
Massentauglichkeit sehe ich da noch nicht.

Das spricht allenfalls gegen die Benutzerfreundlichkeit des konkreten Produkts (was ich allerdings auch nicht so krass sehe wie du), aber nicht gegen das Konzept einer Sandbox als solches und gegen dessen Zuverlässigkeit.
Es gibt ja auch Alternativen zum Produkt "Sandboxie", wie etwa "SafeSpace" (s. dazu diesen diesen Thread). Diese Sandbox wäre optisch um einiges gefälliger als Sandboxie, und sie wäre (meines Erachtens) auch übersichtlicher aufgebaut, was die Konfiguration betrifft. Nur wird diese Software leider nicht mehr weiterentwickelt, und deshalb steht man als Benützer eher allein da. Bei "Sandboxie" ist man hingegen Teil einer größeren Gemeinde von Benutzern, und das hat praktische und psychologische Vorteile.

Und dazu:

Die Sandbox kann den Virenscanner nicht gänzlich ersetzen und damit Punkt.

... hatte ich mich bisher ja gar nicht geäußert. (Obwohl mir ein solcher Ersatz gar nicht so abwegig erschiene. )

Das, was man sich von den Sandboxie-Gegnern oder -Skeptikern bisher als Lehre tatsächlich zu Herzen nehmen sollte, scheint mir Folgendes zu sein:

Eine "strenge", restriktive Konfiguration von Sandboxie, die über die Standardeinstellungen hinausgeht, ist aus Sicherheitsgründen sinnvoll, wichtig, ja vielleicht sogar dringend geboten (Stichwort: Keylogger). Das sollte vielleicht in Zukunft von allen, die eine Verwendung von Sandboxie propagieren, noch stärker hervorgehoben und entsprechend erläutert werden.

[subset]

Das ist eine nicht ganz angemessende Erwartungshaltung.

Wenn man die Funktionsweise einer Sandbox mit der eines HIPS verwechselt, dann mag das vielleicht so wirken.
Lies einfach das Sandboxie FAQ.
Oder begib dich mit deinen gesammelten Weisheiten ins Sandboxie Forum oder poste sie bei Wilders.
Da wünsche ich dann viel Vergnügen dabei.

MfG

Der Beitrag wurde von subset bearbeitet: 20.05.2009, 01:50

[Julian]

Wenn man die Funktionsweise einer Sandbox mit der eines HIPS verwechselt, dann mag das vielleicht so wirken.

Gar nicht, denn...

Lies einfach das Sandboxie FAQ.

...du schlägst wohl vor, das Starten von allen unbekannten Programmen in einer Sandbox zu verbieten, sodass nur der Browser laufen kann. Deiner Logik nach könnte ich dann mit einem HIPS einfach das Starten von Malware blockieren, dann erkennt es eh 100%
Du willst aber immer noch suggerieren, dass das Konzept von Sandboxie umfehlbar ist. Ich habe gerade noch mal spaßeshalber SSTS kill3f in Sandboxie gestartet, es konnte einfach den Explorer-Prozess auf dem Host killen. Vielleicht deshalb, weil es laut Kaspersky-HIPS mit Windows Messages arbeitet, die laut Sandboxie-FAQ, auf das du ja rechthaberisch verwiesen hast, nicht von Sandboxie blockiert werden können. Wer sagt dir denn, dass nicht ähnlicher Schadcode von Browserexploits im Browser-Prozess ausgeführt werden kann? Dadurch erscheint dein Konzept des nur den Browser in der Sandbox laufen zu lassen nicht mehr so super-sicher.
 winmes.png ( 56.24KB ) Anzahl der Downloads: 12

Oder begib dich mit deinen gesammelten Weisheiten ins Sandboxie Forum oder poste sie bei Wilders.
Da wünsche ich dann viel Vergnügen dabei.

Du hast hier noch nicht eine Diskussion ernsthaft zu Ende geführt: Entweder, du postest einfach nicht mehr, oder du artest in Polemik aus. Du hast offenbar nie Interesse an einer wirklichen Diskussion gehabt, du würdigst nur andere oberlehrerhaft herab. Billig und boshaft...

[subset]

Du hast hier noch nicht eine Diskussion ernsthaft zu Ende geführt: Entweder, du postest einfach nicht mehr, oder du artest in Polemik aus. Du hast offenbar nie Interesse an einer wirklichen Diskussion gehabt, du würdigst nur andere oberlehrerhaft herab. Billig und boshaft...

Du willst mit jemandem ernsthaft diskutieren, der deiner Ansicht nach einfach nicht mehr postet oder polemisiert, oberlehrerhaft, billig und boshaft ist?
Also entweder bist ein Troll oder sonstwie desorientiert.

MfG