Sandboxie Free, zur Browser Selbstreinigung Einstellungen

[Gast_Solaris_*]

Nur dann, wenn sie auch in der Sandbox drinnen sind, oder auch solche (Keylogger), die sich im realen System festgesetzt haben?

Wenn Du einen Keylogger im Real-System hast, bringt Dir die Browser-Sandbox nichts mehr, weil die Daten in der Regel nicht über den Browser-Prozess gesendet werden. Der Logger kann extern auf die virtualisierte Umgebung zugreifen, ähnlich wie ein Http-Scanner (aber nicht verwechseln mit Browser-Plugins, die (außer explizit eingearbeitet) nicht laufen sollten).

[...]dann kan man auch mal eben die Sandboxen leeren bzw. sollte das eh Standard für eine Browser-Sandbox sein, und dann ruft man eben direkt, ohne Umwege, die Bankseite auf.

Jepp, so geht es auch. Man kann darüber hinaus bei Sandboxie paid ja einzelne, unterschiedlich konfigurierte Sandboxen für verschiedene Prozesse, deren Start in der Sandbox erzwungen werden, erstellen. Damit wird die Sache noch einfacher.

Gruß,
Solaris

[Peter 123]

Wenn Du einen Keylogger im Real-System hast, bringt Dir die Browser-Sandbox nichts mehr, weil die Daten in der Regel nicht über den Browser-Prozess gesendet werden. Der Logger kann extern auf die virtualisierte Umgebung zugreifen, ähnlich wie ein Http-Scanner (aber nicht verwechseln mit Browser-Plugins, die (außer explizit eingearbeitet) nicht laufen sollten).

Aha, danke. Das wäre dann der von SebastianLE angesprochene und offenbar von Habakuck befürchtete Fall.
Aber wie erwähnt: Wenn ich befürchten muss, einen Keylogger am realen System zu haben, dann würde ich auf dem betroffenen Rechner ohnedies kein Online-Banking mehr betreiben - egal ob innerhalb oder außerhalb einer Sandbox.

[Julian]

Wenn Du einen Keylogger im Real-System hast, bringt Dir die Browser-Sandbox nichts mehr, weil die Daten in der Regel nicht über den Browser-Prozess gesendet werden.

Meiner Beobachtung nach telefoniert Malware entweder über den Standardbrowser, den IE oder andere Windows-Prozesse nach draußen. Man kann wahrscheinlich keinen Regelfall festmachen, ob es hilft, wenn der Browser in der Sandbox läuft, auf den von außerhalb dieser von Malware zugegriffen wird. Theoretisch wird das bestimmt irgendwie gehen, denn die Prozessisolierung findet ja nur von innen nach außen statt, nicht umgekehrt. Allerdings funktioniert z.B. mein Lingoes ohne entsprechende Kompatibilitätseinstellung (Ausnahme) nicht mit Programmen in der Sandbox. Malware könnte da in der Praxis also auch vielleicht Probleme haben, aber wohl eher nicht, weil der Browser geschützt wäre, sondern eher, weil da was wegen der Kompatibilität nicht hinhaut.

Jepp, so geht es auch. Man kann darüber hinaus bei Sandboxie paid ja einzelne, unterschiedlich konfigurierte Sandboxen für verschiedene Prozesse, deren Start in der Sandbox erzwungen werden, erstellen. Damit wird die Sache noch einfacher.

Das hab ich sowieso gemacht, bei x64 Sandboxie ist Drop my rights (Das schreib ich jetzt mal groß, weil es ein eigener Begriff ist.) standardmäßig aktiviert. Das ist bei den derzeit wahrscheinlich noch nur theoretischen Schwachstellen von SB x64 aufgrund der Limitierungen von Patchguard bestimmt noch nicht nötig, aber für meine Browser-Sandbox hab ich es aktiv. Wozu brauchen Browser und PDF auch Adminrechte?
Nur kann man so natürlich kaum Programme in der Sandbox installieren, weshalb ich noch eine Sandbox ohne diese Option habe. Zum Rumspielen mit Programmen und Malware.
Das KIS-HIPS ist ja auch noch da, was hoffentlich nicht mit Sandboxie zusammen so einfach umgangen werden kann.

[Gast_Solaris_*]

Ich habe mal ein wenig rumgespielt und mir den Zemana-Logger heruntergeladen (Test-Tool).

Der Firefox-Browser läuft mit Sandboxie (in den bereits genannten Einstellungen), die keyboard.exe in der Avast V5-Sandbox

Wenn ich nun in Google eintippe, wird fleißig mitprotokolliert:


Funktioniert ohne Probleme.

Meiner Beobachtung nach telefoniert Malware entweder über den Standardbrowser, den IE oder andere Windows-Prozesse nach draußen.

Ja, das ist halt die einfachste Methode, da sich diese Prozesse in den Ausnahmelisten von der Sicherheitssoftware (Firewall/Hips/IDS etc.) befinden. Jetzt wäre es spannend, wie sich so eine Code-Injektion auf die Sandbox auswirkt. Geht aber nur mit der paid-Version, da sich ansonsten die firefox.exe auch außerhalb der Sandbox öffnen lässt. Kann auch im Hintergrund und nicht sichtbar gestartet werden.
Allerdings sehe ich auch viel Malware, die über ihre eigenen Prozesse telefoniert. Kommt imo einfach drauf an.

Gruß,
Solaris

Der Beitrag wurde von Solaris bearbeitet: 28.01.2010, 21:38

[SLE]

Edit: Nettes Technikgespräch, Spielkinners unter sich.

Spielkinners im Sandkasten.

Aber wie erwähnt: Wenn ich befürchten muss, einen Keylogger am realen System zu haben, dann würde ich auf dem betroffenen Rechner ohnedies kein Online-Banking mehr betreiben - egal ob innerhalb oder außerhalb einer Sandbox.

Richtig. Und wenn ich vorhabe in der Sandbox Online Banking zu betreiben, dann mache ich vorher nicht irgendwelche Sachen, die dazu führen könnten, dass ein Keylogger in DIESE Sandbox kommen könnte.

Nur kann man so natürlich kaum Programme in der Sandbox installieren, weshalb ich noch eine Sandbox ohne diese Option habe. Zum Rumspielen mit Programmen und Malware. Das KIS-HIPS ist ja auch noch da, was hoffentlich nicht mit Sandboxie zusammen so einfach umgangen werden kann.

Dito - habe auch mehrere Sandkisten. Gerade für Tests (Malware (zusätzlich mit Shadow Defender) und normale SW-Installationstests) verwende ich nie die meine Browser SB.
Daneben ist bei solchen Tests (zumindest unter x86) auch Busters Sandbox Analyzer ganz gut zu gebrauchen und die Registry Hives lassen sich z.B. mit Windows Registry Recovery herrlich untersuchen.

[Peter 123]

Und wenn ich vorhabe in der Sandbox Online Banking zu betreiben, dann mache ich vorher nicht irgendwelche Sachen, die dazu führen könnten, dass ein Keylogger in DIESE Sandbox kommen könnte.

Ganz genau. Ich persönlich öffne daher für Online Banking (bzw. ähnliche Transaktionen) die Sandbox immer neu; leer ist sie dann sowieso (weil ich sie so eingestellt habe, dass ihr Inhalt bei jedem Schließen automatisch gelöscht wird); und restriktiv konfiguriert ist sie auch. Insofern halte - ich für meine Situation - die Einrichtung einer eigenen Sandbox für Online Banking für nicht erforderlich. Aber wenn das eben jemand tun will: Sandboxie bietet die Möglichkeit dazu.

Übrigens nebenbei noch etwas dazu:

Aber wenn man sowieso schon darauf bedacht ist, dass dann keine weiteren Programme als der Browser in der Banking-Sandbox laufen, also auch keine in einer anderen, was für die wasserdichte Sicherheit dieses Konzepts notwendig wäre (Schwachstelle: menschliches Versagen), [...]

Das ist der Grund, warum ich die Gratisversion von Sandboxie gegenüber der Bezahlversion bevorzuge. Bei Letzterer kann man mehrere Sandboxen gleichzeitig geöffnet haben, und da hätte ich Befürchtungen, möglicherweise einmal den Überblick zu verlieren bzw. zu vergessen, eine Sandbox zu schließen, obwohl das aus Sicherheitsgründen vielleicht angebracht wäre. Bei der kostenlosen Version kann ich sicher sein, dass immer nur eine einzige Sandbox gerade geöffnet ist. Die Sparvariante nimmt mir also Denkarbeit ab.

Der Beitrag wurde von Peter 123 bearbeitet: 28.01.2010, 22:14

[Firefox 1947]

Hallo...

Ich benutze eine separate Sandbox nur fürs Online-Banking mit den Einstellungen von " Subset " für eine Online-Banking Sandbox, ich glaube, dass ich so ganz gut geschützt bin. Zusätzlich kommt bestimmtes System der Bank zum Einsatz, welches eine weitere Sicherung darstellt, das sollte doch wohl reichen, lasse mich aber gern eines besseren belehren.

Gruss Firefox.

[Gast_Solaris_*]

Die Sparvariante nimmt mir also Denkarbeit ab.

Imo hat die Paid-Versionen sehr viele Vorteile. Es ist ja nicht nur die Möglichkeit verschiedene Sandboxen einzurichten, sondern der erzwungene Start von Programm-Prozessen, Ordnern, Dateien und Laufwerken. Ich habe aktuell vier Sandboxen, die sich in entsprechender Konfiguration immer mit den Prozessen selbst starten und nicht miteinander interagieren können: 1x für das Browsen im Netz, 1x für alle Endgeräte (USB/Wechseldatenträger), 1x für´s Mail-Programm und eine spezielle für Malware.

Was komfortableres gibt´s nicht. Alle Boxen sind passwortgeschützt und müssen nur einmalig konfiguriert werden.

Gruß,
Solaris

Der Beitrag wurde von Solaris bearbeitet: 28.01.2010, 22:32

[Peter 123]

Ich benutze eine separate Sandbox nur fürs Online-Banking mit den Einstellungen von " Subset " für eine Online-Banking Sandbox, ich glaube, dass ich so ganz gut geschützt bin. Zusätzlich kommt bestimmtes System der Bank zum Einsatz, welches eine weitere Sicherung darstellt, das sollte doch wohl reichen, [...]

Meines Erachtens: ja.

Imo hat die Paid-Versionen sehr viele Vorteile.

Klar. Aber ich benutze die Sandbox nur für Browser und Messenger-Programme bzw. Skype, und da finde ich mit der einfachen Version mein Auslangen. Der einzige (kleine) Nachteil für mich, den ich bisher feststellen konnte: den erzwungenen Start in der Sandbox gibt es in der Gratisversion nur für den Standard-Browser (in meinem Fall: Firefox). Wenn ich Opera in der Sandbox starten möchte, muss ich das immer manuell (durch Rechtsklick ---> "In der Sandbox starten") machen. Darauf kann man leicht vergessen. Und bei den Messenger-Programmen etc. ist es ähnlich.
Aber dennoch: Die Gewissheit, garantiert immer nur eine einzige Sandbox geöffnet zu haben, wiegt das auf.

[Gast_Solaris_*]

Aber dennoch: Die Gewissheit, garantiert immer nur eine einzige Sandbox geöffnet zu haben, wiegt das auf.

Was ist denn so schlimm daran, wenn mehrere Boxen gleichzeitig auf sind?

Zu den erzwungenen Programmen: Klar, die öffnest Du manuell je nach Belieben. Malware aber auch . Das ist der springende Punkt.

Gruß,
Solaris

[Habakuck]

O.k. ihr bestätigt mir das was ich auch angenommen habe: Sandboxie schützt nicht von außen nach innen. Soll sie ja auch nicht.
Kennt jemand ein Prog was das kann?

Ich denke ich werde auf dem PC SafeOnline so einstellen, dass es nur bei der einen Bank Seite auf höchsten Settings läuft.

Die Person die an dem Rechner sitzt ist nämlich nicht unbedingt in der Lage zu beurteilen ob ihr System sauber ist oder nicht... (Ich nutze ohnehin kein online Banking. )
Daher möchte ich, dass im Fall der Fälle wenigstens das Konto sicher ist.

SafeOnline ist eigentlich echt nett aber es nervt in den standard settings weil dann alle https Seiten voll geschützt werden was letztens dazu geführt hat, dass bei einer e-Bay Transaktion die Bestätigunsseite nicht ausgedruckt werden konnte. Um das dann frei zu schalten muss man den Browser schließen, SafeOnline ausmachen und die Seite wieder aufrufen (wenn das überhaupt geht).
Voll nervig.

Auf maß24 das gleiche wenn man die settings für http Seiten auf standard lässt ist kein ausdrucken möglich.
Das kann bei mir sogar nur durch einen reboot des PCs behoben werden! *kotz*

So nicht!

Also wird SafeOnline jetzt auf Low gefahren und auf dem anderen PC nur für die Bank Seiten hochgeschraubt.

Jedenfalls wenn keiner ne tolle Alternative hat...

PS: Wehe es kommt einer mit dem Banking Browser.!.

[Peter 123]

Was ist denn so schlimm daran, wenn mehrere Boxen gleichzeitig auf sind?

Da könnte ja möglicherweise Malware "überspringen". Ich weiß nicht, wie groß die Gefahr in der Realität ist. Aber ein gewisses Risiko soll angeblich bestehen. Und wenn dann womöglich die Sandboxen auch noch unterschiedlich konfiguriert sind, wird es überhaupt schwierig, den Überblick zu behalten. (Für mich wäre es auf jeden Fall so. Ich habe gerne möglichst klare Verhältnisse am Computer. )

Zu den erzwungenen Programmen: Klar, die öffnest Du manuell je nach Belieben. Malware aber auch . Das ist der springende Punkt.

Das verstehe ich nicht ganz: Du meinst die Gefahr, dass man sich Malware einhandeln könnte, weil man vergisst, ein Programm (manuell) in der Sandbox zu öffnen? Das Risiko besteht natürlich. Aber erstens liegt das Schwergewicht der Benützung in meinem Fall beim Standardbrowser, und für den gibt es ja zum Glück den erzwungenen Sandbox-Start. Und zweitens bin ich ohnedies wachsam und kontrolliere so ungefähr alle 5 Minuten, ob ich mit dem jeweiligen Programm auch tatsächlich in der Sandbox bin.

Der Beitrag wurde von Peter 123 bearbeitet: 28.01.2010, 23:02

[Gast_Solaris_*]

Da könnte ja möglicherweise Malware "überspringen". Ich weiß nicht, wie groß die Gefahr in der Realität ist.

Ich denke, die Gefahr ist genauso groß, wie die, dass Malware aus einer einzigen Sandbox gelangen kann.

Das verstehe ich nicht ganz: Du meinst die Gefahr, dass man sich Malware einhandeln könnte, weil man vergisst, ein Programm (manuell) in der Sandbox zu öffnen?

Nein, ich meine, dass Malware Prozesse startet, die Du manuell in der Sandbox starten würdest (quasi hijacked). Dann entscheidest nämlich leider nicht Du, ob die in der Sandbox ausgeführt werden sollen.

Gruß,
Solaris

[Peter 123]

Nein, ich meine, dass Malware Prozesse startet, die Du manuell in der Sandbox starten würdest (quasi hijacked). Dann entscheidest nämlich leider nicht Du, ob die in der Sandbox ausgeführt werden sollen.

Das verstehe ich nicht. Vor allem auch nicht den Zusammenhang mit dem Unterschied zwischen Gratisversion und Kaufversion von Sandboxie.

[SLE]

Die Person die an dem Rechner sitzt ist nämlich nicht unbedingt in der Lage zu beurteilen ob ihr System sauber ist oder nicht...

Sorry - aber dann PREVX und SafeOnline zumuten?
Kaufe Starmoney 7, dass hat auch ein paar Schutzmechanismen an Bord und es sind keine jährlichen Gebühren fällig.

[Gast_Solaris_*]

@Peter
Nehmen wir mal an, Du bekommst einen infizierten USB-Stick. Dein AV-Programm sagt aber: Alles prima, keine Infektion.
Du führst die infizierte Datei aus, die sich widerum die firefox.exe catched. Die Firefox.exe wird ohne Sandbox-Umgebung gestartet und alles, was jetzt passiert, geschieht auf dem realen System.
Nun zur Paid-Version: Du gibst an, dass die firefox.exe immer in der Sandbox gestartet werden soll. Alles was jetzt passiert, wird simuliert. Natürlich findet es in der Sandbox statt, aber nach dem Löschen nicht mehr.

Hatte schon einige Fälle solcher Injektionen.

EDIT: Und es können keine Prozesse dubliziert werden, die auch Internetzugriff erhalten wollen.


Gruß,
Solaris

Der Beitrag wurde von Solaris bearbeitet: 28.01.2010, 23:12

[subset]

Dann entscheidest nämlich leider nicht Du, ob die in der Sandbox ausgeführt werden sollen.

Das ist nur bei der Vollversion mit den erzwungenen Programmen lösbar.
Den IE Start in der Sandbox erzwingen und den Internetzugriff für alle Programme in der IE Sandbox sperren.

Grundsätzlich ist das Erzwingen die sicherste Lösung.
Malware wird kaum nachfragen, ob sie den IE ohne Fenster für Datenübertragung benutzen darf.
Durch das Erzwingen landet der Prozess aber immer in der Sandbox.

MfG

[Gast_Solaris_*]

@Subset
Hi
Ja, genau das meinte ich!

Gruß,
Solaris

[Peter 123]

Danke für das Beispiel, Solaris. Jetzt durchschaue ich besser, was du meinst. Aber ein solches Szenario setzt offenbar voraus, dass "von außen" - typischerweise via USB-Stick - ein entsprechender Schädling auf den Rechner gelangt. Und das ist bei mir ohnedies ausgeschlossen, weil ich fremde USB-Sticks etc. gar nicht an meinen Rechner lasse.

Der Beitrag wurde von Peter 123 bearbeitet: 28.01.2010, 23:24

[subset]

Ich benutze eine separate Sandbox nur fürs Online-Banking mit den Einstellungen von " Subset " für eine Online-Banking Sandbox, ich glaube, dass ich so ganz gut geschützt bin.

Dabei ging es darum, welche Vorsichtsmaßnahmen man treffen kann, wenn der Browser in der Sandbox läuft.
Was Prozesse außerhalb der Sandbox veranstalten, dafür ist Sandboxie nicht verantwortlich (zu machen).

Wenn ein Keylogger im System läuft, dann kann der natürlich auch die Eingaben beim Browser aufzeichnen, wenn dieser in der Sandbox läuft.
Mit Sandboxie kann man aber verhindern, dass ein solcher Keylogger z.B. über einen Drive-By-Download beim Surfen ins System gelangt bzw. in der Sandbox überhaupt starten darf.

Kurzum, Sandboxie schützt alles was in der Sandbox läuft.
Für Dinge außerhalb der Sandbox gilt das nicht. Sandboxie schützt z.B. nicht gegen Wasserschäden beim PC.

MfG