Sandboxie Free, zur Browser Selbstreinigung Einstellungen

[Voyager]

Ich finde Julian hatte ein interessantes Argument wo Sandboxie offenbar ein gravierenden Design Fehler hat auf den sich Malwareschreiber sicher mit Vergnügen stürzen würden. Das Argument mit persönlichen Angriffen wegzuwischen ist nicht gerade seriös.

Der Beitrag wurde von Voyager bearbeitet: 20.05.2009, 18:34

[subset]

Ich finde Julian hatte ein interessantes Argument wo Sandboxie offenbar ein gravierenden Design Fehler hat auf den sich Malwareschreiber sicher mit Vergnügen stürzen würden.

Wo soll der gravierende Designfehler sein?
Wie wurde das System dadurch dauerhaft beeinträchtigt?
Wurde dadurch das Dateisystem oder die Registrierung verändert?
Warum sollte sich ein Mawareschreiber darauf stürzen?

Ein Moderator von Wilders Security hat ähnliche Tests gemacht wie Julian und kommt zum gleichen Ergebnis wie ich.

I think one of the problems when one reads of "tests" is the tester may well not really what a program like Sandboxie is supposed to do and not do, and also what the tested program is really supposed to do.
...
Bottom Line Sandboxie worked as advertised and protected the system.

http://www.wilderssecurity.com/showpost.ph...mp;postcount=77

MfG

[Voyager]

Na offensichtlich bist du garnicht daran interessiert der Sache auf den Grund zu gehen was Julian getestet hat und zwar den Ausbruch eines Prozesses aus der Sandbox aufgrund des beschriebenen Designfehlers. Auf dem Niveau brauchen wir dann aber auch nicht weitermachen wenn du alle begründeten Zweifel einfach so ordinär wegwischst .

[Peter 123]

Du [Anm.: = subset] willst aber immer noch suggerieren, dass das Konzept von Sandboxie umfehlbar ist. Ich habe gerade noch mal spaßeshalber SSTS kill3f in Sandboxie gestartet, es konnte einfach den Explorer-Prozess auf dem Host killen. Vielleicht deshalb, weil es laut Kaspersky-HIPS mit Windows Messages arbeitet, die laut Sandboxie-FAQ, auf das du ja rechthaberisch verwiesen hast, nicht von Sandboxie blockiert werden können. Wer sagt dir denn, dass nicht ähnlicher Schadcode von Browserexploits im Browser-Prozess ausgeführt werden kann? Dadurch erscheint dein Konzept des nur den Browser in der Sandbox laufen zu lassen nicht mehr so super-sicher.

@ Julian:
Die Frage, die sich da stellt, ist folgende:
Spricht das deiner Meinung nach gegen das Sandbox(ie)-Konzept überhaupt, oder gäbe es technisch die Möglichkeit, dieses Risikopotential* auszuschalten, indem man an Sandboxie etwas verändert (nicht von Seiten des Benützers im Rahmen der Konfiguration, sondern von Seiten des Entwicklers)?

Insbesondere, wenn Letzteres der Fall sein sollte, wäre doch zu überlegen, deine Bedenken einmal direkt im Forum von Sandboxie vorzubringen. Dort liest und wirkt der Sandboxie-Entwickler (tzuk) bekanntlich selbst mit. Du argumentierst ja sachlich (inwieweit deine Argumente wirklich stichhaltig sind, kann ich als Laie nicht beurteilen), und du stützt dich auch auf konkrete Tests, die du durchgeführt hast. Dem würde sich doch tzuk wohl nicht verschließen. Es ist nur etwas mühsam, weil man dort alles in englischer Sprache abwickeln muss.

Hier im Rokop-Forum herrscht ja offenbar so eine Art Patt-Stellung zwischen dir und subset. Da steht Aussage gegen Aussage. Da wäre es also schon interessant, tzuk selbst mit den Bedenken zu konfrontieren.
_______
*) Ich spreche bewusst nicht von einer "Sicherheitslücke", um möglichst neutral in der Formulierung zu bleiben.

[subset]

Ich finde Julian hatte ein interessantes Argument wo Sandboxie offenbar ein gravierenden Design Fehler hat auf den sich Malwareschreiber sicher mit Vergnügen stürzen würden.

Dann wohl eher auf NIS, das diesen von dir kritisierten "gravierenden Designfehler" auch hat.
Norton Internet Security 2009 - Kill3f - 0 % - FAILED.
http://www.matousec.com/projects/proactive...level.php?num=3

Wie auch immer, der Kill3f ist ohnehin nicht so der Bringer, systemkritische Prozesse lassen sich damit auch ohne Sandboxie gar nicht beenden.
Es funktionierte weder mit dem Gatewaydienst auf Anwendungsebene, noch mit dem Avira AntiVir Guard oder dem Sandboxie Service.



Es muss schon ein Fensterl da sein, damit der Test überhaupt funktioniert, an wen sollen sonst auch die Windows Messages gesendet werden...

Sandboxie ist keine VM, es kann beim Browserstart nicht das ganze System in die Sandbox kopiert werden.
Deswegen kann auch nicht jede Kommunikation mit dem echten System in den Grundeinstellungen komplett unterbunden werden, schließlich soll sich mit diesem Einstellungen fast jedes Programm starten lassen.

Wenn sämtliche Windows Messages per Default verboten wären, dann wäre z.B. auch kein Kopieren (WM_COPY) und Einfügen (WM_PASTE) möglich.

Jedenfalls kann der Kill3f Test per Design keinen echten Schaden anrichten, somit eignet er sich eigentlich nur mehr als Funktionstest für HIPS, ob sie möglichst viele WM_ Anweisungen abfangen können - und dafür wurde er ja von Matousec auch entwickelt.

MfG

[Julian]

Wie auch immer, der Kill3f ist ohnehin nicht so der Bringer, systemkritische Prozesse lassen sich damit auch ohne Sandboxie gar nicht beenden.
Es funktionierte weder mit dem Gatewaydienst auf Anwendungsebene, noch mit dem Avira AntiVir Guard oder dem Sandboxie Service.



Es muss schon ein Fensterl da sein, damit der Test überhaupt funktioniert, an wen sollen sonst auch die Windows Messages gesendet werden...

Ist doch egal, zum Explorer-Fernsteuern scheint es offenbar zu reichen.

Deswegen kann auch nicht jede Kommunikation mit dem echten System in den Grundeinstellungen komplett unterbunden werden, schließlich soll sich mit diesem Einstellungen fast jedes Programm starten lassen.

Die Schwäche mit den Windows Messages hat aber nichts mit den Grundeinstellungen zu tun
Sie werden mit egal welchen Einstellungen von Sandboxie nicht geblockt.

Wenn sämtliche Windows Messages per Default verboten wären, dann wäre z.B. auch kein Kopieren (WM_COPY) und Einfügen (WM_PASTE) möglich.

Komisch, dass dann nicht alle HIPSe, die Windows Messages abfangen können, dieses erkennen.

Jedenfalls kann der Kill3f Test per Design keinen echten Schaden anrichten, somit eignet er sich eigentlich nur mehr als Funktionstest für HIPS, ob sie möglichst viele WM_ Anweisungen abfangen können - und dafür wurde er ja von Matousec auch entwickelt.

Genau, der Test an sich beschränkt sich aufs Beenden von Prozessen mit Fenstern. Aber wer sagt denn, dass nicht auch mit Windows Messages, die Sandboxie ja nicht blocken kann, z.B. der Explorer zum Nachladen oder Wegsenden von Inhalten gebracht werden kann?

Und dann sind da ja immer noch Global Hooks, die ja standardmäßig blockiert werden sollten, aber irgendwie ist das nicht der Fall

@Peter 123:
Werde ich bei Gelegenheit machen.

[subset]

Aber wer sagt denn, dass nicht auch mit Windows Messages, die Sandboxie ja nicht blocken kann, z.B. der Explorer zum Nachladen oder Wegsenden von Inhalten gebracht werden kann?

Bloße Spekulationen... möglicherweise kann dadurch auch der 3. Weltkrieg ausgelöst werden.

Und dann sind da ja immer noch Global Hooks, die ja standardmäßig blockiert werden sollten, aber irgendwie ist das nicht der Fall

Vom Sandboxie Entwickler aus dem Jahr 2007...

Version 3 introduced sandboxing on global Windows hooks. This means that a sandboxed program can ask to install a global hook that should be injected into every process running in your desktop, but in effect Sandboxie will only apply this to sandboxed processes.

http://sandboxie.com/phpbb/viewtopic.php?p=13335#13335

Du benutzt Sanboxie nicht, hast keine Ahnung davon, willst auch nichts zu seiner Verbesserung beitragen, aber ergehst dich in immer neuen Aufdeckungen, Vorwürfen und Spekulation.
Was soll das noch werden... die klassische Hater/Stalker Nummer.

KfG

[Gast_Nightwatch_*]

Hi!
Gibt es eigentlich eine Möglichkeit, die Einstellungen von Sandboxie mit einem Passwort (oder anderweitig) zu schützen? Meine vor allem die Konfiguration der "forced programs".
Benutze die Vollversion.

Gruß,
Nightwatch

[Julian]

Bloße Spekulationen...

Und was tust du? Spekulatius backen...

Vom Sandboxie Entwickler aus dem Jahr 2007...
"Version 3 introduced sandboxing on global Windows hooks. This means that a sandboxed program can ask to install a global hook that should be injected into every process running in your desktop, but in effect Sandboxie will only apply this to sandboxed processes."

http://sandboxie.com/phpbb/viewtopic.php?p=13335#13335

Genau, und passend im Sandboxie FAQ steht:

Windows Hook Key-Loggers

These key-loggers don't masquerade as hardware drivers, but they still have to ask the operating system to load them (or hook them) into every program executing on the desktop.

It is not uncommon for applications to install such hooks as part of normal operation, and blocking all of them would prevent some programs from running successfully inside the sandbox.

The approach Sandboxie takes is to honor the hook request partially, by applying the hook only to applications in the same sandbox as the requesting application.

The BlockWinHooks setting (see also Sandbox Settings > Restrictions > Low-Level Access) may be used to explicitly disable this protection.
Windows Message Key-Loggers

Indirekte Quelle
Widerspricht sich erstmal nicht. Aber erklär mir doch mal, warum beim Start von AKLT LowLevel Hook keine Nachfrage von Sandboxie kommt, ob der Hook für alle ungesandboxten Prozesse gesetzt werden darf?
Laut dem FAQ müsste dies ja in Standardeinstellungen geschehen. Aber Pustekuchen, der Hook gilt für alle Prozesse und Sandboxie findet das nicht anstößig.
Schon in meinem verlinkten Post habe ich gefragt, ob ich etwas falsch mache. Komisch, dass du da keine Antwort parat hattest...

Du benutzt Sanboxie nicht, hast keine Ahnung davon, willst auch nichts zu seiner Verbesserung beitragen, aber ergehst dich in immer neuen Aufdeckungen, Vorwürfen und Spekulation.
Was soll das noch werden... die klassische Hater/Stalker Nummer.

KfG

Der krönende Abschluss?

Ebenfalls keine freundlichen Grüße

[subset]

Gibt es eigentlich eine Möglichkeit, die Einstellungen von Sandboxie mit einem Passwort (oder anderweitig) zu schützen?

Einen richtigen Passwortschutz gibt es nicht, aber man kann den Zugriff auf Einstellungen für alle nicht Admins damit einschränken:
[GlobalSettings]
EditAdminOnly=yes

Also mit einem normalen Benutzerkonto kann man dann die "forced programs" nicht mehr verändern.
Prinzipiell gelten die Einstellungen für alles, was in der Sandboxie.ini unter [GlobalSettings] und den Sandboxen steht, wie z.B. [DefaultBox].
Persönliche Einstellungen unter [UserSettings_...] können aber dennoch verändert werden.

MfG

[Solution-Design]

Du benutzt Sanboxie nicht, hast keine Ahnung davon, willst auch nichts zu seiner Verbesserung beitragen, aber ergehst dich in immer neuen Aufdeckungen, Vorwürfen und Spekulation.
Was soll das noch werden... die klassische Hater/Stalker Nummer.

KfG

Ein paar wenige Sätze, welche sicherlich dazu beitragen, weiterhin gehaltvoll über die manigfaltigen Möglichkeiten und auch dessen eventuellen Schwächen in gesunder Basis zu diskutieren.

[Voyager]

Nicht ganz Vistatauglich ?


http://www.abload.de/img/1pbas.jpg


http://www.abload.de/img/2oalg.jpg

[subset]

Ein paar wenige Sätze, welche sicherlich dazu beitragen, weiterhin gehaltvoll über die manigfaltigen Möglichkeiten und auch dessen eventuellen Schwächen in gesunder Basis zu diskutieren.

Oh, wie edel, hilfreich und gut.
Ich versuche mir gerade deine Reaktion vorzustellen, wenn er mit seinen HIPS Tests im a-squared aufkreuzt.

MfG

[Gast_Nightwatch_*]

Einen richtigen Passwortschutz gibt es nicht, aber man kann den Zugriff auf Einstellungen für alle nicht Admins damit einschränken:
[GlobalSettings]
EditAdminOnly=yes

Danke! Funktioniert

Nicht ganz Vistatauglich ?

Mhh, sowas hatte ich unter Vista noch nicht. Wann kam denn diese Meldung bzw. nach welcher Aktion?

Gruß,
Nightwatch

[Solution-Design]

Oh, wie edel, hilfreich und gut.
Ich versuche mir gerade deine Reaktion vorzustellen, wenn er mit seinen HIPS Tests im a-squared aufkreuzt.

Ich werde versuchen, gehaltvoll zu antworten. Nee, komm manno. Dein Fachwissen dieses Programmes in allen Ehren, aber musst immer drauf hauen? Ich weiß ja, dass man manchmal gerne schnell schießen möchte... aber man muss nicht. Und gerade du hast bezüglich SandBoxie genügend Erfahrung und kannst diese auch dementsprechend vermitteln. Ohne "Auf den Kopf hau"- und "Stirnklatsch"-Smiley. Wenn man nämlich die - leider oft pers. Angriffe - in aus diesem Thread herausextrahiert, ist er, der Thread extrem informativ und interessant. Logischerweise sollte man auch spekulativ vorgehen dürfen. Allerdings wird der Beweis und dementsprechend der Gegenbeweis ausbleiben. Aber rumspinnen sollte dennoch erlaubt sein. Überleg mal, ich nutze a-squared jetzt über fünf Jahre, zerlege es auch nicht immer mit den schönsten Beschreibungen der vorhandenen Bugs. Aber Christian hat mich deshalb noch nie persönlich angegriffen. OK, in diesem Falle nicht ganz fair, da er auch was verkaufen möchte, aber ein anderer hätte es tun können. Also, bleibt soweit als möglich alle sachlich, auch bei und mit eventuellen Herumspinnereien.

[Voyager]

@Nightwatch

Mhh, sowas hatte ich unter Vista noch nicht. Wann kam denn diese Meldung bzw. nach welcher Aktion?

Beim Runterfahren bzw. Abmelden , für mich siehts aus wie ein eingefrohrener Sandboxie Prozess

[Gast_Nightwatch_*]

Beim Runterfahren bzw. Abmelden , für mich siehts aus wie ein eingefrohrener Sandboxie Prozess

Ja, könnte durchaus sein. Schade, dass die Meldung auf diesem Wege kam. Ansonsten hätte man es vielleicht reproduzieren können. Bislang hatte ich das Problem (seit Dezmber 2008) zum Glück noch nicht.

Gruß,
Nightwatch

Der Beitrag wurde von Nightwatch bearbeitet: 25.05.2009, 00:15

[subset]

Logischerweise sollte man auch spekulativ vorgehen dürfen. Allerdings wird der Beweis und dementsprechend der Gegenbeweis ausbleiben. Aber rumspinnen sollte dennoch erlaubt sein.

Ne, spekulieren kann jeder wie er will, hier geht es aber nur um FUD, also um Panikmache mit Fehlinformationen bzw. Halbwahrheiten.
Peter und ich haben ihn mehrfach darauf hingewiesen, dass sich diese Fragen nur im Sandboxie Forum klären lassen.
Julian ist ja Gold Beta Tester bei Kaspersky und bei der Malware Research Group von Comodo, also sollte er eigentlich wissen, dass sich seine Fragen nur vom Entwickler beantworten lassen.

Überleg mal, ich nutze a-squared jetzt über fünf Jahre, zerlege es auch nicht immer mit den schönsten Beschreibungen der vorhandenen Bugs. Aber Christian hat mich deshalb noch nie persönlich angegriffen.

Siehe oben, hier gibt es keinen wie Christian für Sandboxie, wenn mich Julian dafür hält, dann irrt er sich.
Wenn er also Antworten auf seine Fragen will, dann wird er sie wohl bei Ronen Tzur suchen müssen.
Wenn er an Antworten nicht interessiert ist, sondern nur an FUD, dann macht er weiter wie bisher.

MfG

[Julian]

Ne, spekulieren kann jeder wie er will, hier geht es aber nur um FUD, also um Panikmache mit Fehlinformationen bzw. Halbwahrheiten.

Dann benenne sie doch mal, bitte angefangen bei meinen letzten Argumenten.

Peter und ich haben ihn mehrfach darauf hingewiesen, dass sich diese Fragen nur im Sandboxie Forum klären lassen.

Du hast nie gesagt, dass du die Antwort nicht weißt. Du hast das Phänomen, was ich als eventuelle Lücke bezeichnet habe (Globak Hook), nicht entsprechend aufgegriffen, sondern nur mit Polemik abgelenkt. Sag doch einfach, dass du nicht weißt, warum Sandboxie den Global Hook zulässt, und dass ich im Sandboxie-Forum fragen sollte. Das hast du nämlich bisher nicht getan, versuchst das allerdings zu suggerieren.

Julian ist ja Gold Beta Tester bei Kaspersky und bei der Malware Research Group von Comodo, also sollte er eigentlich wissen, dass sich seine Fragen nur vom Entwickler beantworten lassen.

Die Ahnungslos-Tour ist wohl immer gut, um sich bei wachsender Kritik rauszureden.

Wenn er an Antworten nicht interessiert ist, sondern nur an FUD, dann macht er weiter wie bisher.

So so, Kritik an eventuellen Lücken in einem deiner offenbaren Lieblingsprogramm ist also nur Panikmache, wohl besonders wenn sie von mir stammt...

Und ich habe auch schon gesagt, dass ich im Sandboxie-Forum nachfragen werde. Du versuchst den Eindruck aufzubauen, dass dem nicht so sei.
Ich fühle mich an dein Hütchenspieler-Beispiel von einst erinnert, nur dass du jetzt der Zinker bist...

[subset]

Und ich habe auch schon gesagt, dass ich im Sandboxie-Forum nachfragen werde.

Na, dann mach mal. Hier gibt's sogar schon einen passenden Thread dafür:
Suspected Vulnerability in Sandboxie
http://www.sandboxie.com/phpbb/viewtopic.php?t=4665