Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Browser in the box

07-05-2014, 17:45 door tur88, 8 reacties
In een pc tijdschrift las ik over Browser in the box van het Duitse bedrijf Sirrix ( http://www.sirrix.de/content/pages/BitBox.htm )

Een kant en klare oplossing om snel een VM te installeren met daarin draaiend Firefox ESR onder Linux.

Echter, het blijkt niet mogelijk om na installatie de VirtualBox versie, Firefox ESR of Linux te updaten naar de laatste versies. Volgens mij Secunia scan is er voor zowel VirtualBox als voor Firefox ESR ondertussen een update beschikbaar.

Het wachten is dus op een nieuwe versie van Browser in the box. Hoe erg is dit nu? Firefox ESR is toch iets anders dan een gewone Firefox dacht ik en wellicht zijn de updfates hier iets minder van belang? En is het kwalijk dat er niet de allernieuwste VirtualBox wordt gedraaid? Is dit kwetsbare software?

Waarschijnlijk is jullie advies om zelf VirtualBox e.d. te installeren (tenminste als je een browser onder Linux in eenVM wil laten draaien..)

Ik ben benieuwd naar meningen en eventueel ervaringen met/over Browser in the box. Het schijnt in Duitsland veel te worden gebruikt en lijkt een hele handige oplossing om snel een VM te installeren.
Reacties (8)
08-05-2014, 20:05 door tur88
uhh, niemand...?
09-05-2014, 07:30 door Anoniem
Virtual Box is net zoals praktisch alle andere software kwetsbaar voor exploits(anders zouden er geen updates nodig zijn(met uitzondering van bugfixes en venieuwde gui, etc)) zelf heb ik geen ervaring met browser in the boxik heb er zwlfs nooit iemand over horen praten) dus ik kan je daar niet verder mee helpen, eigenlijk zou ik niet weten waarom je zoiets nodig heb. Een virtual machine opzetten vraagt toch niet zoveel tijd ?
09-05-2014, 11:19 door Anoniem
Door tur88: uhh, niemand...?

Door tur88: Waarschijnlijk is jullie advies om zelf VirtualBox e.d. te installeren (tenminste als je een browser onder Linux in eenVM wil laten draaien..)

... Niets aan toe te voegen ;)
09-05-2014, 14:21 door Anoniem
Even anders denken is nodig. Er is minder reden om die browser tot de laatste versie bij te moeten werken.
De risico's en mitigatie:
- Gebruik voor elke internet sessie die je maakt b.v. banken een verse opstart.
Dat kans dat wat doorkomt van een malafide site naar die sessie verminder je.
- Gegevens van de virtual machine en je browser worden, als het goed is niet bewaard.
Daarmee sluit je ook so veel mogelijk uit van kwalijke bronnen achtegebleven uit die hoek.

De nieuwe mogelijke kwetsbaarheden zitten in:
- een versie van zo'n browser in the box waar alle narigheid in zit.
- gaten in de vritualisatie software zoals de VMplayer. De opensll bug zat toevallig ook hier.

Als dit zo eenvoudig te bouwen is, waarom bieden onze banken dat dan niet als standaard aan hun klanten voor internetbankieren? Kunnen ze zelfs veel meer mee aanbieden wat ze maar handig vinden.
09-05-2014, 16:12 door Anoniem
Door Anoniem: Als dit zo eenvoudig te bouwen is, waarom bieden onze banken dat dan niet als standaard aan hun klanten voor internetbankieren? Kunnen ze zelfs veel meer mee aanbieden wat ze maar handig vinden.
Centjes.
Niet eens de ontwikkelingskosten, die zijn peanuts. De verantwoordelijkheid, dát zou ze geld kosten.
13-05-2014, 13:05 door tur88
Wel, ik heb mijn vraag vandaag nog even gemaild naar Sirrix en kreeg tot mijn verbazing binnen 2 uurtjes al een uitgebreid antwoord:


thank you for your request.

The security of the host is realized by several facts of the application:

1) Strict isolation from HOST and Browser-VM. Nothing can break out of the VM and infect the host. (Exception: Downloads, but even this can be deactivated).
So malware remains only in the insecure VM.

2) SELinux is active, Firefox in the VM has only a few permissions. The small and hardened Linux VM cannot easily be infected.

3) Read-Only VM
After every restart of the application the VM is restarted in a clean and safe state. (Exception: Installed malicious Firefox extensions, but even this can be deactivated though installation).

All this facts do not make it necessary to always have the latest components. Your host is always secure. Even an infected VM instead ifs not critical.

We update all components regularly, but since we use different external applications we cannot provide all always a new version if some package is updated.

We hope that this response is useful.


Nou, wat vinden jullie; is dit een goed verhaal en is Browser in the box dus veilig te gebruiken ondanks een verouderde versie van Virtual Box en Firefox?
13-05-2014, 16:54 door Anoniem
In een pc tijdschrift las ik over Browser in the box van het Duitse bedrijf Sirrix

Welk magazine en wat stond er geschreven? ^^

Tot nu toe doet het me een beetje denken aan het Aviator verhaal, ook een bedrijf dat een eigen browser variant op de markt heeft gebracht. Mooi extraatje voor de marketing van je bedrijfsnaam niet?
Het ziet er strak uit allemaal
http://www.sirrix.de/content/pages/unternehmen.htm

Ten aanzien van je vragen

Wat heb je nu gelezen over die browser?
Wat is nu precies je doel?
Waar wil je deze browser nuttig voor gaan gebruiken?

Wat mis je bij je huidige up to date browser (Firefox?).
Wat verwacht je, wat hoop je erop vooruit te gaan door een relatief onbekende browser met deze constructie te gaan installeren?
Is het netto resultaat van alle extra moeite die je hier insteekt het echt allemaal waard?

Anders gezegd, kost het niet heel veel meer moeite om relatief weinig te bereiken? Is het het waard om de ene onzekerheid voor een andere onzekerheid in te ruilen?


^^ Niet onaardig bedoeld, maar ik mag hopen dat je niet per ongelijk een advertorial hebt zitten lezen?
https://nl.wikipedia.org/wiki/Advertorial
13-05-2014, 19:41 door TruthSeeker - Bijgewerkt: 13-05-2014, 19:41
Voordat ik sandboxie leerde kennen gebruikte ik Browser in de box ook.
https://thepiratebay.se/torrent/8154031/Browser_in_the_Box
https://thepiratebay.se/torrent/8154353/Bitbox_Sirrix_how_to_install_pdf
Maar tegenwoordig gaat mijn voorkeur uit naar sandboxie :)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.