Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Web browser in een virtual machine?

30-10-2017, 10:48 door Anoniem, 43 reacties
Hallo,

Gebruikt hier iemand een web browser in een VM?
Ik ben van plan dit te gaan doen voor extra beveiliging, als ik dan geinfecteerd zou worden met malware zou dit dan in principe alleen de VM infecteren en niet de host.

Ik weet niet of dit overkill is sinds zowel Firefox and Chrome al sandbox beveiliging hebben.
Reacties (43)
30-10-2017, 15:23 door [Account Verwijderd] - Bijgewerkt: 30-10-2017, 15:24
[Verwijderd]
30-10-2017, 15:56 door Anoniem
Door Neb Poorten: Er zijn geruchten dat malware uit de VM kan breken! Het veiligst is dus om een VM binnen een VM te gebruiken, zodat wanneer de malware uit de VM breekt en denkt het moedersysteem te kunnen besmetten, er nog steeds niets aan de hand is omdat er nog een VM tussen zit. In de toekomst zal nieuwe malware hier ongetwijfeld lucht van krijgen en er rekening mee gaan houden. Dan zal je nog een VM moeten tussenvoegen. En daarna nog meer VM's omdat de malware ook daar lucht van zal krijgen. Je zou denken dat het erg traag wordt, die stapel VM's maar dat zal tegen die tijd geen probleem meer zijn omdat computers steeds sneller worden.
Daarentegen is e rook malware, die zichzelf de-activeert in een VM, omdat die vaak worden gebruikt voor het vinden van malware.

Dus "alles heb z'n voordelen en z'n nadelen"
30-10-2017, 16:23 door abj61
Je zou ook FireJail kunnen installeren. Werkt niet alleen met FireFox maar bv ook met Thunderbird
30-10-2017, 16:36 door Anoniem
je kunt ook eens naar qubes os kijken
30-10-2017, 16:38 door Anoniem
Door abj61: Je zou ook FireJail kunnen installeren. Werkt niet alleen met FireFox maar bv ook met Thunderbird
en hoezo dan niet? ik werk hier momenteel met tor browser(dat gebaseerd is op firefox ESR) in een qubes os Disposiable VM met apparmor en heel strikt firejail profile. loopt als een zonnetje
30-10-2017, 18:26 door Anoniem
Probeer deze 'VM' is

https://tails.boum.org/
Vergeet voor je begint niet netjes even een admin wachtwoord in te stellen, dan is de restomgeving afgeschermd met een adminpassword.

Voordeel boven qubes os hier genoemd is dat TAILS op computers met weinig geheugen en weinig processorkracht kan draaien.
Qubo vereist daarentegen een bijzonder krachtige computer.
30-10-2017, 18:57 door Anoniem
Browser in een VM (maar dan wel een echte VM!)? Werkt prima. Zeker als dat op een snapshot omgeving draait. Besmet? Hup terug naar voor de besmetting. ZFS is geweldig.
31-10-2017, 03:47 door Anoniem
Doe dit al een tijdje. vm met linux en dan ook nog firejail. Loopt het in de soep -> snapshot.
31-10-2017, 07:35 door [Account Verwijderd] - Bijgewerkt: 31-10-2017, 08:17
[Verwijderd]
31-10-2017, 09:52 door MathFox
Zowel de browser sandbox als een VM leveren een barriere tegen besmetting. De vraag is "Heb jij die extra barriere nodig?", want een VM komt met een beetje performance-verlies.
31-10-2017, 11:36 door abj61
Door Anoniem:
Door abj61: Je zou ook FireJail kunnen installeren. Werkt niet alleen met FireFox maar bv ook met Thunderbird
en hoezo dan niet? ik werk hier momenteel met tor browser(dat gebaseerd is op firefox ESR) in een qubes os Disposiable VM met apparmor en heel strikt firejail profile. loopt als een zonnetje
Goed lezen. Ik schrijf NIET ALLEEN MET FIREFOX MAAR OOK MET BV THUNDERBIRD
31-10-2017, 11:48 door [Account Verwijderd]
[Verwijderd]
31-10-2017, 12:10 door Anoniem
Er zijn geruchten dat malware uit de VM kan breken! Het veiligst is dus om een VM binnen een VM te gebruiken, zodat wanneer de malware uit de VM breekt en denkt het moedersysteem te kunnen besmetten, er nog steeds niets aan de hand is omdat er nog een VM tussen zit.

Of je gebruikt pakketten als VMCloak, om de VM te verbergen voor de malware. Verder kan je je VM ook enkel toestaan om connectie te maken met systemen buiten je lokale netwerk. Immers hoeft je VM niet te kunnen communiceren met je fysieke systemen.

Een VM in een VM is een beetje een raar lapmiddel, en biedt geen daadwerkelijke bescherming. Waarom zou de malware als je zaken niet goed isoleert immers niet uit je 2e VM kunnen komen, net zoals deze vanuit je 1e VM je 2e VM zou kunnen besmetten ?
31-10-2017, 12:12 door Anoniem
Goed lezen. Ik schrijf NIET ALLEEN MET FIREFOX MAAR OOK MET BV THUNDERBIRD

Niet schreeuwen s.v.p. schrijven in hoofdletters heeft geen enkele toegevoegde waarde.
31-10-2017, 12:14 door Anoniem
Daarentegen is e rook malware, die zichzelf de-activeert in een VM, omdat die vaak worden gebruikt voor het vinden van malware.
Zie https://github.com/jbremer/vmcloak
31-10-2017, 12:19 door Anoniem
Door Neb Poorten: Er zijn geruchten dat malware uit de VM kan breken! Het veiligst is dus om een VM binnen een VM te gebruiken, zodat wanneer de malware uit de VM breekt en denkt het moedersysteem te kunnen besmetten, er nog steeds niets aan de hand is omdat er nog een VM tussen zit. In de toekomst zal nieuwe malware hier ongetwijfeld lucht van krijgen en er rekening mee gaan houden. Dan zal je nog een VM moeten tussenvoegen. En daarna nog meer VM's omdat de malware ook daar lucht van zal krijgen. Je zou denken dat het erg traag wordt, die stapel VM's maar dat zal tegen die tijd geen probleem meer zijn omdat computers steeds sneller worden.
Hahahaha. Als malware uit een VM kan breken, maakt het niet uit dat je 3 VM's binnen elkaar draait.
De malware breekt uit de VM, installeert zichzelf, en doet opnieuw zijn truukje, ook al zit je 10 VM's diep. Maargoed, het is Noob P.
OP, een veilig alternatief is een Live-boot Tails gebruiken op een PC of laptop die je verder niet gebruikt voor andere zaken, en buiten je eigen netwerk is aangesloten op het internet.
31-10-2017, 12:52 door Anoniem
Er zijn geruchten dat malware uit de VM kan breken! Het veiligst is dus om een VM binnen een VM te gebruiken

Indien een inbreker het slot van jouw voordeur kan openen. Zet je als extra beveiliging daarachter dan net zo'n deur met net zo'n slot, als ''veiligste oplossing'' ? Je veilige oplossing klinkt erg onveilig, en onlogisch.
31-10-2017, 13:04 door Anoniem
Je zou ook een remote browser oplossing kunnen implementeren.
31-10-2017, 13:10 door Anoniem
Voor iedereen die Firejail gebruikt : https://www.reddit.com/r/linux/comments/79mmzk/sandbox_your_applications_with_firejail/dp37pga/

Verder als je VMs wilt draaien zou ik mooi qemu/kvm gebruiken met eventueel libvirt en virt-manager als je Linux gebruikt.
Daar kan je het qemu process ook mooi confinen met Seccomp en SELinux of Apparmor.
Als je de kernel attack surface wilt verminderen dan zou ik je eigen kernel compilen en veel oude rommel en dingen uitschakelen : http://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings
31-10-2017, 13:11 door Anoniem
Door Neb Poorten: Voor ZFS heb je een heel krachtige computer met heel veel geheugen nodig.
Niet waar. Ik heb een G3258 (Dual-core) gebaseerd systeem, met 16GB memory. Daar draait een ZFS systeem met 2 VDEV's van 6 disks. De pool draait RAIDZ2, 30TB raw storage. Ik haal sustained transfer snelheden van 1GB/s, dankzij 10Gbps nics.
31-10-2017, 13:19 door Anoniem
Door Neb Poorten: Er zijn geruchten dat malware uit de VM kan breken! Het veiligst is dus om een VM binnen een VM te gebruiken, zodat wanneer de malware uit de VM breekt en denkt het moedersysteem te kunnen besmetten, er nog steeds niets aan de hand is omdat er nog een VM tussen zit. In de toekomst zal nieuwe malware hier ongetwijfeld lucht van krijgen en er rekening mee gaan houden. Dan zal je nog een VM moeten tussenvoegen. En daarna nog meer VM's omdat de malware ook daar lucht van zal krijgen. Je zou denken dat het erg traag wordt, die stapel VM's maar dat zal tegen die tijd geen probleem meer zijn omdat computers steeds sneller worden.
Dan ook nog verschillende merkjes VMs gebruiken. Zodat malware die door een laagje komt, niet persee ook door het volgende laag je komt.
31-10-2017, 13:40 door Anoniem
Ik moet wel toegeven dat de kans dat je een hypervisor escape gebonden met een privilegde escalation tegen komt in het wild praktisch gezien 0 is, al helemaal als.je dingen als vm tools niet gebruikt
31-10-2017, 13:49 door sjonniev
Als je wilt overdrijven gebruik je een guest VM met een host-only netwerk, en een virtuele UTM, met host-only en NAT, en laat je al het netwerkverkeer van de guest door de virtuele UTM lopen.
31-10-2017, 14:00 door Anoniem
Ooit gehoord van Sandboxie? Is zeker aan te raden. Ik gebruik het al jaren bij het testen van virussen.
31-10-2017, 14:38 door Anoniem
Wel eens gewerkt met malzilla?
Zie: http://malzilla.sourceforge.net/downloads.html

Is een sandbox browser voor het onderzoeken van kwaadaardige uri's.

Er is ook een linux versie...

luntrus
31-10-2017, 14:56 door Anoniem
Door Neb Poorten:
Door Anoniem: Browser in een VM (maar dan wel een echte VM!)? Werkt prima. Zeker als dat op een snapshot omgeving draait. Besmet? Hup terug naar voor de besmetting. ZFS is geweldig.

Het bestandssysteem btrfs ondersteunt ook snapshots en heeft veel minder geheugen nodig. Voor ZFS heb je een heel krachtige computer met heel veel geheugen nodig.

Btrfs is daarentegen niet stabiel, is nog onvolwassen en heeft niet dezelfde mogelijkheden als ZFS heeft. Integendeel. Kijk ook eens bij sanoid en syncoid. Filesystem backups (alleen de delta's over het hele filesystem worden verstuurd) in secondes. Hoe zit het met features zoals raidz1, raidz2 of raidz3 op btrfs? Al aanwezig? Hoe zit het met bescherming tegen bitrot op btrfs? Op zfs is dat een volwassen feature.

Mijn backup fileserver draait met 4 GB ram op een AMD turion (HP microserver) en doet dat prima (>100 MB/s).Ook het argument van 'veel geheugen' is onzin. En ja, je moet geen deduplicatie gaan doen. dat vreet geheugen inderdaad en levert eigenlijk weinig op.

Btrfs en heel vervelende bugs: https://nl.hardware.info/nieuws/48916/synology-thecus-en-netgear-reageren-op-btrfs-bug
31-10-2017, 16:53 door abj61
Door Anoniem:
Goed lezen. Ik schrijf NIET ALLEEN MET FIREFOX MAAR OOK MET BV THUNDERBIRD

Niet schreeuwen s.v.p. schrijven in hoofdletters heeft geen enkele toegevoegde waarde.
Sommige mensen kunnen zo te zien de normale letters niet lezen, dan maar wat groter
31-10-2017, 18:33 door Anoniem
Door Anoniem:
Door Neb Poorten: Er zijn geruchten dat malware uit de VM kan breken! Het veiligst is dus om een VM binnen een VM te gebruiken, zodat wanneer de malware uit de VM breekt en denkt het moedersysteem te kunnen besmetten, er nog steeds niets aan de hand is omdat er nog een VM tussen zit. In de toekomst zal nieuwe malware hier ongetwijfeld lucht van krijgen en er rekening mee gaan houden. Dan zal je nog een VM moeten tussenvoegen. En daarna nog meer VM's omdat de malware ook daar lucht van zal krijgen. Je zou denken dat het erg traag wordt, die stapel VM's maar dat zal tegen die tijd geen probleem meer zijn omdat computers steeds sneller worden.
Hahahaha. Als malware uit een VM kan breken, maakt het niet uit dat je 3 VM's binnen elkaar draait.
De malware breekt uit de VM, installeert zichzelf, en doet opnieuw zijn truukje, ook al zit je 10 VM's diep. Maargoed, het is Noob P.
OP, een veilig alternatief is een Live-boot Tails gebruiken op een PC of laptop die je verder niet gebruikt voor andere zaken, en buiten je eigen netwerk is aangesloten op het internet.
Dit. Op meerdere fronten, haha!
31-10-2017, 18:57 door Anoniem
Door sjonniev: Als je wilt overdrijven gebruik je een guest VM met een host-only netwerk, en een virtuele UTM, met host-only en NAT, en laat je al het netwerkverkeer van de guest door de virtuele UTM lopen.

Valt mee, een VM een eigen netwerk PCI adapter geven zodat het geisoleerd is van de host dit kan je doen met Xen, KVM
en nog meer hypervisors door middel van IOMMU ( AMD-Vi, VT-d ).
https://en.wikipedia.org/wiki/DMA_attack
31-10-2017, 19:20 door [Account Verwijderd]
[Verwijderd]
31-10-2017, 20:08 door Anoniem
Door Neb Poorten:
Door Anoniem:
Door Neb Poorten: Er zijn geruchten dat malware uit de VM kan breken! ...
Hahahaha. Als malware uit een VM kan breken, maakt het niet uit dat je 3 VM's binnen elkaar draait.
De malware breekt uit de VM, installeert zichzelf, en doet opnieuw zijn truukje, ook al zit je 10 VM's diep. Maargoed, het is Noob P.
OP, een veilig alternatief is een Live-boot Tails gebruiken op een PC of laptop die je verder niet gebruikt voor andere zaken, en buiten je eigen netwerk is aangesloten op het internet.

Nee, dat is later pas. De hedendaagse malware is nog niet zo ver en die houd je hier goed mee tegen! Zeker wel!

Door Anoniem:
Door Neb Poorten:
Door Anoniem: Browser in een VM (maar dan wel een echte VM!)? Werkt prima. Zeker als dat op een snapshot omgeving draait. Besmet? Hup terug naar voor de besmetting. ZFS is geweldig.

Het bestandssysteem btrfs ondersteunt ook snapshots en heeft veel minder geheugen nodig. Voor ZFS heb je een heel krachtige computer met heel veel geheugen nodig.

Btrfs is daarentegen niet stabiel, is nog onvolwassen en heeft niet dezelfde mogelijkheden als ZFS heeft.

Btrfs wordt in openSUSE als standaard bestandssysteem ingesteld. Dat zouden ze echt niet doen als het niet allang stabiel was.

Suse is zo goed als dood. Ik ken geen bedrijf dat dat gebruikt, dus ze kunnen prima met btrfs spelen. Redhat durft het niet aan, en terecht. Je eigen opmerking onderaan zegt genoeg (geen raid5 of raid6 gebruiken). Niet geschikt voor echt werk dus. En hoe zit het met de bitrot beveiliging? Raidz1, raidz2, raidz3 in zfs termen.


Door Anoniem: Integendeel. Kijk ook eens bij sanoid en syncoid. Filesystem backups (alleen de delta's over het hele filesystem worden verstuurd) in secondes. Hoe zit het met features zoals raidz1, raidz2 of raidz3 op btrfs? Al aanwezig? Hoe zit het met bescherming tegen bitrot op btrfs? Op zfs is dat een volwassen feature.

Al die features kosten veel geheugen. Dat zeg ik toch!

4 GB is NIET veel.


Door Anoniem: Mijn backup fileserver draait met 4 GB ram op een AMD turion (HP microserver) en doet dat prima (>100 MB/s).Ook het argument van 'veel geheugen' is onzin. En ja, je moet geen deduplicatie gaan doen. dat vreet geheugen inderdaad en levert eigenlijk weinig op.

Op een normaal systeem wil je natuurlijk meer kunnen doen dan alleen backuppen.

Op een fileserver werk ik normaal niet. Dat is een fileserver...
Mijn werkstation heeft 8 GB ram. Daar ga ik geen geheugen uithalen om te bewijzen dat het werkt. (Dat doet het namelijk). Daarnaast: als je virtualiseert heb je sowieso geheugen nodig. Met 8 GB ram totaal voor zowel OS met zfs en vm's werkt dat prima. Hoezo veel geheugen voor zfs nodig? Het is een fabel. Zfs werkt al prima op linux met 2 GB ram.

Op mijn grote KVM server werkt het meer dan prima met momenteel 12 vm's en 140 GB ram. ;) Maar dat is niet zo gek. ;)


Door Anoniem: Btrfs en heel vervelende bugs: https://nl.hardware.info/nieuws/48916/synology-thecus-en-netgear-reageren-op-btrfs-bug

Geen RAID5 of RAID6 gebruiken met Btrfs!

Proest. Onvolwassen en onbruikbaar dus.
01-11-2017, 00:00 door Anoniem
Door Anoniem:
Door sjonniev: Als je wilt overdrijven gebruik je een guest VM met een host-only netwerk, en een virtuele UTM, met host-only en NAT, en laat je al het netwerkverkeer van de guest door de virtuele UTM lopen.

Valt mee, een VM een eigen netwerk PCI adapter geven zodat het geisoleerd is van de host dit kan je doen met Xen, KVM
en nog meer hypervisors door middel van IOMMU ( AMD-Vi, VT-d ).
https://en.wikipedia.org/wiki/DMA_attack
qubes os much? ;)
01-11-2017, 14:29 door [Account Verwijderd]
[Verwijderd]
01-11-2017, 14:56 door Anoniem
ZFS zou zo maar toch in linux base terecht kunnen komen:
https://www.phoronix.com/scan.php?page=news_item&px=Oracle-ZFS-2017-Possibility

Er is altijd nog ZoL. Dat heeft geen patent issues. Tevens is FreeBSD standaard voorzien van ZFS. Ook geen patent issues.

Btrfs is nog ver, ver verwijderd van productierijp, zeker als het geen raid ondersteuning biedt.

Enne, wie zegt dat Suse de basis is van de London Stock Exchange? Een hosanna bericht van 2010/2011 zegt helemaal niets over de huidige situatie. Wie weet wordt het wel gebruikt als beheer van de deur van de bezemkast....
01-11-2017, 16:19 door [Account Verwijderd]
[Verwijderd]
01-11-2017, 17:29 door Anoniem
@ Anoniem 20:08

Oh jij kent vast meerdere bedrijven die SUSE gebruiken, de SLES variant dan met name.
Dat jij er geen weet van hebt wil niet zeggen dat het niet gebruikt wordt. VMware namelijk heeft Appliances waar een groot deel allemaal SLES is, o.a. de vcenter appliance die het management hart van VMware is.
01-11-2017, 17:51 door Anoniem
Zucht. Dat zeg je zelf.



Door Anoniem: Btrfs en heel vervelende bugs: https://nl.hardware.info/nieuws/48916/synology-thecus-en-netgear-reageren-op-btrfs-bug
Geen RAID5 of RAID6 gebruiken met Btrfs!

En ik zeg nergens dat FreeBSD Linux is. Ik zeg wel (en daar lees je heel comfortabel voor jezelf) overheen: er is geen patent issue met zowel Linux als FreeBSD met zfs.

En je verhaal van google is van 2011, en zegt niets over de huidige, daadwerkelijke inzet van Suse. Je leest wel heel erg selectief.
02-11-2017, 09:14 door [Account Verwijderd] - Bijgewerkt: 02-11-2017, 09:16
[Verwijderd]
02-11-2017, 09:23 door Anoniem
Door Neb Poorten:
Door Anoniem: Ik zeg wel (en daar lees je heel comfortabel voor jezelf) overheen: er is geen patent issue met zowel Linux als FreeBSD met zfs.

ZFS on Linux hierover (https://github.com/zfsonlinux/zfs/wiki/FAQ#licensing):
Dat gaat over de incompatibiliteit van twee licenties, niet over patenten. Als je het verschil tussen licenties en patenten niet kent heb je nog wat huiswerk te doen.
https://nl.wikipedia.org/wiki/Octrooi
https://nl.wikipedia.org/wiki/Licentie
02-11-2017, 10:19 door [Account Verwijderd]
[Verwijderd]
02-11-2017, 10:41 door Anoniem
Door Neb Poorten:
Door Anoniem:
Door Neb Poorten:
Door Anoniem: Ik zeg wel (en daar lees je heel comfortabel voor jezelf) overheen: er is geen patent issue met zowel Linux als FreeBSD met zfs.

ZFS on Linux hierover (https://github.com/zfsonlinux/zfs/wiki/FAQ#licensing):
Dat gaat over de incompatibiliteit van twee licenties, niet over patenten. Als je het verschil tussen licenties en patenten niet kent heb je nog wat huiswerk te doen.
https://nl.wikipedia.org/wiki/Octrooi
https://nl.wikipedia.org/wiki/Licentie

Ik ken het verschil maar ZFS is zo marginaal dat ik niet de moeite had genomen om mijn vage herinnering te verifiëren. Er zijn wel degelijk ook problemen met patenten:

https://opensource.stackexchange.com/questions/5245/what-are-the-zfs-patents-and-when-do-they-expire

En nu neem je wel de moeite om je gelijk te halen.

Patenten kunnen onder bepaalde licentievoorwaarden vrijgegeven worden en dat is precies wat er aan de hand is.
FreeBSD accepteerd die voorwaarden wel en Linux niet (even gesimplificeerd in Jip en Janneke taal).
02-11-2017, 13:41 door [Account Verwijderd]
[Verwijderd]
03-11-2017, 16:21 door Anoniem
Dan ook nog verschillende merkjes VMs gebruiken. Zodat malware die door een laagje komt, niet persee ook door het volgende laag je komt.

Je VM goed beveiligen / configureren is ietsje effectiever dan een VM binnen een VM draaien, en dan hopen dat de malware er niet uit komt. Deze werkwijze heeft meer te maken met wishful thinking, dan met daadwerkelijk zaken beveiligen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.