Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Sandboxing

09-05-2010, 09:08 door djondjeems, 32 reacties
Ik gebruik nu al een tijdje SandboxIE en na wat surfen kwam ik erachter dat ik toch heel weinig alternatieven voor dit programma kon vinden. Om de slimmeriken voor te zijn met de vraag: waarom een alternatief, SandboxIE werkt toch goed? Welnu, ik ben nu eenmaal een nieuwsgierig persoon en altijd op zoek naar nieuwe dingen.

Kortom ik wil graag een lijstje samenstellen met Sandbox software. Als het even kan freeware natuurlijk want om nu software te kopen voor alleen wat testwerk is ook jammer van het geld.
VirtualPC van Microsoft en VMware heb reeds bekeken.
Reacties (32)
09-05-2010, 10:27 door Anoniem
Heb je VirtualBox ook al geprobeerd? Werkt super!
09-05-2010, 12:19 door Anoniem
Ik gebruik zelf GESwall, dit is geen sandbox volgens de makers, maar isoleert een programma van de rest van het systeem, niet alleen browsers maar ook andere programma's (naar keuze). Ook handig als je iets download en niet helemaal vertrouwd dus. GESWall is gratis en te vinden op http://www.gentlesecurity.com/.

Ook mooi is dat je GESWall kunt bijsturen dmv policies, net zoals je dat in een firewall kunt en dus de werking kunt beïnvloeden (ik heb hier nog niets mee gedaan echter).

Succes met je onderzoekje,
m.vr.gr
Sebastiaan
09-05-2010, 16:34 door Sith Warrior
Ik gebruik ook al tijdje sandboxie, ben er helemaal gek van ook. Ik heb ook nog niet echt wat beters kunnen vinden, wat er op lijkt en net zo goed werkt.
09-05-2010, 19:47 door Anoniem
Sandbox software is natuurlijk wat anders dan virtualiseringssoftware waarin je een heel OS installed. Maar veel Antivirus aanbieders voegen tegenwoordig ook een sandbox aan hun product toe. De nieuwe Kaspersky 2011(net een RC gereleased) heeft zelfs combinatie tussen sandbox en virtualisering.
09-05-2010, 20:25 door Mazzaroth
Heb zelf GesWall professional en Defensewall, gebruik momenteel Defensewall en die is te vinden op http://www.softsphere.com/. Comodo IS heeft ook een sandboxing functie
09-05-2010, 21:14 door MrTre
VirtualPC van Microsoft en VMware zijn geen échte sandbox programma's. Dit is OS virtualisatie software. Maar een goed alternatief.

De SandBox functie in Comodo Firewall is erg goed, ik ben er zelf tevreden over. je kunt tevens de restricties per app. instellen.
10-05-2010, 09:56 door Anoniem
We moeten denk ik een onderscheid maken tussen virtual machines, en sandboxes. Er is namelijk een groot verschil.

Een sandbox gebruikt de resources van de host computer, terwijl een virtual machine een volledig nieuwe computer is (met eigen licentie voor het OS! a $$).
Nog een probleem van een virtual machine is dat een eventuele besmetting gewoon blijft bestaan. Een sandbox is een kwestie van de zandbak leegscheppen en je hebt weer een volledig verse (en malware vrije) omgeving.
Een virtual machine is dat ook geen oplossing voor het draaien van 'vreemde' software of het bestuderen hiervan. Een virtual machine geeft ook geen weergave van wat er gebeurt. Nog erger is dat wanneer je een virtual machine INTERNET RECHTEN moet geven om de applicatie te laten draaien, je HOST machine gewoon geinfecteert kan worden via eventuele exploits of netwerk shares (en alle andere computers en servers in je netwerk). Bij een sandbox draait de app op de host en geen enkele malware infecteert zichzelf nog een keer, dus in ieder geval is je eigen host een stuk veiliger.

Mogelijk wil je dezelfde functionaliteit als ik hebben.

* draaien van apps in een afschermde omgeving zonder dat deze de host kunnen 'beschadigen'.
* het kunnen analyseren van de 'ellende' die eventueel achter gelaten is.
* het kunnen beperken van rechten van apps, zoals toegang tot drives, internet etc
* het 'real-time' kunnen bekijken van activiteiten van apps.

Virtual Machines:

Virtual PC / XP mode (op Windows 7) heeft als voordeel dat je eigen PC schoon houdt. Echter, het is bijzonder traag en op Windows 7 moet je vaak virtual-cpu ondersteuning aanzetten in je bios voordat het werkt wat soms minder handig is bij dual/multi boot systemen. Ook installeert het drivers die traag zijn en niet altijd compatible met bestaande software

Parallels heeft een VM/Sandbox functie en is supersnel (maar kost wel $$$). Mijn ervaring is zelfs dat Windows 7 sneller draait op een virtuele parallels desktop dan windows 7 als dual boot draait. Dat zegt natuurlijk wel wat.

VMWARE heeft een player wat handig is voor reset-after-play VM's zodat deze weer 'schoon' zijn na afsluiten van systemen. Workstation is wat zwaarder en $$, player is gratis. Bovendien is player sneller in virtual machines draaien dan Windows 7 zelf. Nadeel is wel dat er extra netwerk drivers geinstalleerd worden, die net als bij VPC/XPM niet altijd compatible zijn met bestaande software of netwerkdrivers en nogal vertagend zijn en soms bijten met AV software.
VMWARE heeft wel een bijzonder uitgebreide set van ondersteuning, zowel software als technisch gezien. Met Vcenter converter kun je je bestaande PC's virtualiseren (p2v) en vervolgens draaien als virtual machine. scheelt weer herinstallatie van al je software).

Sandboxes:

Sandboxie - werkt maar heeft een vervelende user interface gemaakt door een kleuter (waarom zou je in hemelsnaam elke aanpassing in het menu moeten apply-en voordat je naar een nieuwe tab kunt?) en het nag-screen dat je 5 seconden moet wachten op de start van een applicatie is ook vervelend wat je krijgt na 30 dagen gebruik en bovendien is het crippleware wat pas na betaling van 26 euro exclusief btw volledige functionaliteit heeft, zoals het verplicht laten draaien van applicaties in een zandbak. Nu is de prijs niet hoog en kun je via paypal betalen maar om een of andere reden voelt het niet goed.

returnil - werkt maar is in freeware/shareware mode niet zo uitgebreidt. Betaalde versie is in tegenstelling tot sandboxie niet lifetime maar 1 tot 3 jaar en kost al 28.53 euro voor 1 jaar inc btw.

grtz,
ASL
10-05-2010, 13:30 door Anoniem
Nog klein stukje aanvullen op de txt van Anoniem bboven mij, Vmware Player kan alleen de virtuele machines "afpspelen"
Om zelf te maken moet je Workstation of Server hebben. Workstation kost geld zoals gezegt, maar de Server versie is GRATIS.
10-05-2010, 13:59 door Anoniem
De bovenstaande reactie is niet waar, sinds de nieuwe versie van VMware Player is het mogelijk om daarin ook virtuele machines aan te maken.
10-05-2010, 14:04 door MrTre
Door Anoniem:
Een sandbox gebruikt de resources van de host computer, terwijl een virtual machine een volledig nieuwe computer is (met eigen licentie voor het OS! a $$).

Je verhaal klopt. In bovenstaand stukje laat je blijken dat een de sandbox recources van je pc gebruikt, en een VM niet.

Echter gebruikt een VM meer recources. (maar dit kun je aanpassen.)

Tevens, Als je een Linux Bak viritualizeert kost dit geen extra licentie(Linux is gratis). Tevens, op het moment dat je je security hebt toegepast, kun je een snapshot maken en als het fout gaat deze terugzetten. (werkt hetzelfde als 'sandbox leegscheppen')
10-05-2010, 15:25 door Erwtensoep
+ er is altijd een activatie periode, als je je VM vaak reinstalled is OS kopen dus helemaal niet nodig als je Windows wilt

Bovendien is het soms ook mogelijk om uit de sandbox te breken, Sandboxie had een tijd geleden een vulnerability daarvoor gefixed. Ook kan Sandboxie op 64-bit zelfs helemaal niet garanderen dat er iets uit de Sandbox breekt.
10-05-2010, 18:56 door djondjeems
Dank jullie voor de reacties. Ik weet trouwens dat VirtualPC van Microsoft en VMware geen 'echte' sandboxen zijn maar dit terzijde. Ik noemde ze even omdat ze toch enige overlap hebben qua functionaliteit maar voor mij weinig waarde als sandbox.
Resumé, we hebben Virtualbox (verder nog ervaringen hiermee?)
en GESwall, volgens anoniem mag deze zich officieel niet onder de sandboxen scharen, officieus wellicht wel. Iemand hier goede/slechte ervaringen mee?
Comodo schijnt dus een goede sandbox te hebben maar ik vermoed dat dit in een pakket zit waarvoor betaald moet worden?
Mochten er nog meer mensen ideeën of tips hebben, ik hoor het graag.
10-05-2010, 21:01 door r00t
@ASL

Waarom staat Sun VirtualBox niet in je lijstje met Virtual Machines?
10-05-2010, 21:02 door r00t
Door MrTre:
Door Anoniem:
Een sandbox gebruikt de resources van de host computer, terwijl een virtual machine een volledig nieuwe computer is (met eigen licentie voor het OS! a $$).

Je verhaal klopt. In bovenstaand stukje laat je blijken dat een de sandbox recources van je pc gebruikt, en een VM niet.

Echter gebruikt een VM meer recources. (maar dit kun je aanpassen.)

Tevens, Als je een Linux Bak viritualizeert kost dit geen extra licentie(Linux is gratis). Tevens, op het moment dat je je security hebt toegepast, kun je een snapshot maken en als het fout gaat deze terugzetten. (werkt hetzelfde als 'sandbox leegscheppen')

GNU/Linux is gratis? Waar haal je dat vandaan?

Vrij als in vrijheid, niet als in gratis.
10-05-2010, 23:07 door Anoniem
ik gebruik zelf comdo firewall met sandbox(defense+). kan GESwall netjes draaien daarnaast, of bijten ze elkaar?

Marc
11-05-2010, 01:23 door [Account Verwijderd]
[Verwijderd]
11-05-2010, 04:19 door Anoniem
Ik gebruik Sun VirtualBox voor mn testomgeving (virtual machines)
En Comodo IIS die overigens sandbox tech geintegreerd heeft, en in die zandbak spelen de browsers en pdf-viewer
prima oplossing, naar mijn behoeven
11-05-2010, 12:28 door Anoniem
Deze werkt erg goed Altiris Software Virtualization Solution en is gratis voor thuis gebruik

meer info hier
http://www.mydigitallife.info/2008/07/30/symantec-altiris-software-virtualization-solution-svs-client-free-download-with-license-key/

Groeten,
Dennis
11-05-2010, 23:21 door MrTre
Door r00t:

GNU/Linux is gratis? Waar haal je dat vandaan?

Vrij als in vrijheid, niet als in gratis.


op Debian.org staan letteterlijk: "Debian is a free operating system"
Op Ubuntu.org staat letterlijk op de homepage: Ubuntu will always be free of charge"

Ik weet heus wel wat de GNU betekend, maar maar free betekend gratis. en Free of Charge ook.

Als je er niet voor hoeft te betalen, is dat in de volksmond GRATIS.
12-05-2010, 09:23 door Dev_Null
Effu een gedachten delen "outside of the sand-box"

1. Als je echt veilig(er) wilt surfen op een bestaande pc, download dan een LiveCd en gebruik deze.
Booten vanaf cd-rom, dvd en gaan, zonder het gevaar dat er iets door je "surfapparaat" heen lekt op je systeem.
http://www.livecdlist.com/

2. Wil je helemaal "veilig voelen" tijdens het surfen, richt dan een apparte, losse "surf pc" in.


Ergens blijft me het gevoel bekruipen dat "een blablabla-merk virtual machine en/of sandbox dingus" ook maar bestaat uit een reeks gelijkwaardige assembler opdrachten die door dezelfde cpu afgehandeld worden als je host-operating system. Dus als er een backdoor ingebouwd zit, breekt een goed geschreven 'virtual applicatie" dwars door je "virtual machine" heen, recht het onderliggende operating system in.
12-05-2010, 09:28 door Dev_Null
Wat "SandboxIE" betreft..Internet Explorer is GEEN losse applicatie, maar zit diep verweven tot in het Hart van het Windows Operating System.

Mijn vraag aan djondjeems is dan ook:
Hoe denk dat SandboxIE (iets op APPLICATIE_NIVO) kan "sandboxen (zogenaamd afschermen van de rest van het os) wat zelf diep doordringt tot in het OPERATING SYSTEM?

Just my 2 virtual cents on SandBoxIE
12-05-2010, 10:56 door SirDice
Door MrTre:
Door r00t:

GNU/Linux is gratis? Waar haal je dat vandaan?

Vrij als in vrijheid, niet als in gratis.


op Debian.org staan letteterlijk: "Debian is a free operating system"
Op Ubuntu.org staat letterlijk op de homepage: Ubuntu will always be free of charge"

Ik weet heus wel wat de GNU betekend, maar maar free betekend gratis. en Free of Charge ook.

Als je er niet voor hoeft te betalen, is dat in de volksmond GRATIS.
Dan heb je het toch niet goed begrepen vriendelijke vrind.

Free software is a matter of freedom, not price. But proprietary software companies typically use the term “free software” to refer to price. Sometimes they mean that you can obtain a binary copy at no charge; sometimes they mean that a copy is bundled with a computer that you are buying, and the price includes both. Either way, it has nothing to do with what we mean by free software in the GNU project.
http://www.gnu.org/philosophy/categories.html
12-05-2010, 18:29 door djondjeems
Mijn vraag aan djondjeems is dan ook:
Hoe denk dat SandboxIE (iets op APPLICATIE_NIVO) kan "sandboxen (zogenaamd afschermen van de rest van het os) wat zelf diep doordringt tot in het OPERATING SYSTEM?


@ DEV NULL

Bovenstaande vraag stel je mij maar waarom? Ten eerste is de vraagstelling mij, door de zinsopbouw, niet geheel duidelijk maar dit terzijde.
Ik ben alleen een lijstje aan het maken van sandbox programma's. De technische werking hoef ik dan ook niet te weten.

Ik ben blij met de vele reacties waarvoor nogmaals dank en ben druk bezig met uitproberen en testen.
13-05-2010, 10:37 door Dev_Null
De technische werking hoef ik dan ook niet te weten.
Oke helder. sorry voor de onduidelijke vraag. Test ze :-)
13-05-2010, 13:54 door cowboysec
Ik ken de meeste van bovengenoemde tools en gebruik ze op basis van ervaring in situaties afhankelijk van de geschatte risico's, impact en het doel van mijn acties.

Ik mis nog: InmunOS. Automatisch Linux draaiend onder VMPlayer. Werkt snel, vriendelijk en heel leuk voor veilig browsen met name. Uiteraard ohne gewaehr tegen hackers en zo. Ik weet niet of dit op zich een veilig product / oplossing is . Moetenjullie zelf maar bepalen.

Link: http://www.pentest.es/inmunos.php

Snel een geisoleerde Firefox-browser opstarten en beeindigen na gebruik

Citaat: InmunOS is a security platform that will provide to you a safe Internet experience. It works on Windows, It's free and, It is Open Source.

» It has been designed to allow the end users to surf the web -along other activities- with a virus bulletproof solution. OK, formally speaking, it is not perfect, but you will have a security similar to military or aeronautic systems.
13-05-2010, 13:55 door cowboysec
ik hoor graag reacties
16-05-2010, 10:36 door Dev_Null
InumunOS is a completely virtual browser in the sense that it is never installed on your computer.
The software will load completely into memory and never write anything to the hard disk or interact with Windows in any way.
Hoe valt dit te bewijzen?
This makes it so that if a user were to enter a malicious website and the website attempts to download a virus, the virus will never make its way on to the users computer. What's even more amazing is that the software can be run inside of Windows.
Inside Windows...woaw... Windows zelf is zo lek als een gieter, en dan zal dit OS geen interactie ermee hebben? Alles wat als een applicatie zal worden opgestart heeft interactie met (onderdelen van) het host operatings system

InmunOS will essentially load a Linux operating system into memory which runs completely independent of anything on the home computer.
Software blijft software dat draait op een en dezelfde processor, binnen het zelfde computersysteem.
Het verleden heeft al bewezen dat "memory protection" gebypassed kan worden door undocumented instructies ;-)

1. Load all instructie op Intel processoren
http://nl.wikipedia.org/wiki/LOADALL

2. Secret opcodes in hardware
http://www.moyogo.com/blog/2005/09/secret-opcodes.html

3. Intel Secret - undocumented instruction set and bugs
http://www.rcollins.org/secrets/

When the browsing session is complete everything is deleted from memory. When the computer is restarted or shutdown, nothing will be saved from the web browsing experience. This type of antivirus or anti malware technology is truly amazing for a home computer.
Dat valt nog te bezien, mijn inziens een te complexe oplossing.. en hoe meer variabelen in een systeem zitten, des te eerder het systeem stuk kan gaan
As the website states, this type of browsing is usually used in military computing environments. Essentially, if you want the safest most private browsing experience try InmunOS. Viruses may eventually be out of luck with this technology.

Ik blijf erbij, doe mij maar een bootable LiveCdrommetje.
16-05-2010, 12:06 door cowboysec
Dev Null,

dank voor je reactie.

Ik kan het er alleen maar mee eens zijn. Echt veilig surfen doe ik dan ook in voorkomende gevallen middels bootCD op basis van Open Source software zoals Ubuntu of Knoppix, en dan maar hopen dat daar geen verborgen code /achterdeuren inzitten.

Dat van die undocumented features/instructies wist ik wel in zijn algemeenheid maar niet zo specifiek.
16-05-2010, 13:18 door Anoniem
jongens neem linux dan heb je al dat gelazer niet!
16-05-2010, 15:29 door Anoniem
Door r00t:

Vrij als in vrijheid, niet als in gratis.

Dat is een walgelijk misbruik van een kostbaar woord. Linux software is helemaal niet vrij, integendeel, het is restrictief. De term is wel van toepasing op echte public domain software.
17-05-2010, 15:23 door Anoniem
Ik bekijk de laatste dagen ReturNil maar hoe dit nu werkt en of het echt een soort sandbox is...?
17-05-2010, 19:46 door Dev_Null
@anomien_n-1
Kijk hier eens : http://www.returnilvirtualsystem.com/rvs-home-lux

RVS 2010 uses an advanced anti-malware and virtualization technology. It clones (copies) your operating system and creates a virtual environment for your PC. Instead of loading the native operating system, a clone is loaded that allows you to run your applications and perform your online activities in an entirely isolated environment.
In this manner, your actual operating system is never affected by viruses, Trojans, malware and other malicious threats.
To return to the actual operating system environment, you just need to restart your PC. While working in the virtual environment, you have the option of saving documents and files so that your data will not be lost when the system is restarted.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.