Sandboxen gut fürs Surfen im Netz?
 

Hi!

Ich bin in einer Zeitung über BufferZone Pro v3.41 Free gestolpert und hab mir dann auch mal gedacht ich teste die mal auf VM....

Das Programm scheint den IE in einer Sandbox auszuführen...es ist ein Roter Rahmen drum...hab mir dann mal gedacht, das ich mal versuche mit FakeAVs mache und diese FakeAVs haben sich zwar installiert und auch schön seine Meldungen gebracht...zwischendurch gingen dann noch paar Merkwürdige Seiten auf...

Nach einem Neustart war dieser FakeAV aber wieder komplett weg...er scheint nur in einer Untrusted Umgebung installiert worden zu sein!

Ansich find ich dieses Programm garnicht mal schlecht...wenn man sich ja jetzt diesen FBI Trojaner sogar beim normalen Surfen einfagen kann...leider habe ich keine Site oder Sample von dem FBI Trojaner. Würde den Dropper gerne mal in Aktion sehen und dann mal schauen, ob Sandboxen ihn abhalten können sich dauerhaft im System einzunisten...

Man muss aber jetzt noch dazu sagen, das eine AV Software + eine Sandbox sicherlich noch etwas besser sind...

Wollt euch nur mal darüber berichten!

Hm, bisher kannte ich nur sandboxie. Hab das aber eher nur zum Testen immer verwendet, nie zum regelmäßigen Surfen.

Wenn ich mit einem ungepatchen Browser surfe und ich eine Seite ansteuere die Lücken meines Browsers ausnützen würde, aber den Browser mit Sandboxie gestartet habe, kann sich die Maleware nicht installieren? Da kein zugriff auf Windows besteht?

Ist das korrekt?

Das überrascht mich ein wenig, daß ein Profi nicht permanent in einer Sandbox suft, darf ich fragen, warum? Gibt es da spezielle Gründe?

Weil es andere Sicherheitsmaßnahmen gibt, die eine Sandbox nicht notwendig machen.
Würde ich mich unter Windows selbst grobfahrlässig auf gefährliches Terrain begeben, ja dann würde ich vllt eine Sandbox nutzen. :applaus:

Stimmt...

Das mit der Sandbox ist halt ne gute Idee...Wenn Sachen verändert werden, dann ja eigendlich nur in der Sandbox oberfläche! Das sollte auch mit Exe Files gehen...ich sag mal sollte!

Ich weiss allerdings nicht, wie sich manche Schädlinge durch die Sandbox ins laufende System hängen sollen...

Das muss man weiter Testen...also mit FakeAVs hats mal geklappt! Das Dingen war nach nem Reboot nicht mehr aktiv...

Ein Profi surft zum Beispiel um sich bzw. vorallem für seine Kunden oder verwalteten Computer Updates, Treiber u.ä. herunterzuladen.
Da ist die Sinnhaftigkeit einer Sandbox doch eher gering.
Ansonsten hilft durchaus ein streng eingestellter Browser (macht MS übrigens bei IE auf Servern heute automatisch so - allerdings eher minder sinnvoll) und ein bisserl Hirn beim browsen. Also bekannt unsicheres Terain einfach gar nicht ansurfen. (siehe cosinus bzgl. grobfahrlässig und gefährliches Terrain, wobei ich eher von Vorsatz sprechen würde.)

Jetzt muss ich aber wegen dem "unsicheren terrain" mal kurz wiedersprechen!

Es gibt immer noch haufenweise User, die Surfen sich durch I-net und Klicken lustig so alles an, was ihnen unter die Maus kommt...Mein Bruder (fast 50) z.b.! Der Surft ja eigendlich nur auf den bekannten AutoSuchSeiten oder google, aber wenn er dann mal was wichtiges Sucht, dann Klickt er sich da durch Seiten, die hab ich im Leben nicht gesehen...und da kommt man dann auch wieder auf Seiten, usw., das kennen wir ja! Und ich Schätze mal, das er sich da seine Mühle so zugevirt hat, das die Kiste schon Monate nicht mehr Richtig geht, wenn der PC überhaupt mal das Windows Bootet!

Vieleicht wäre es bei solchen Usern wirklich nicht schlecht Ihnen mal eine Sandbox ans Herz zu legen...da können se dann Klicken und Drücken...

Ich hab mir noch nie was über Java oder infizierte Websites eingefangen...die Seiten, die ich ansurfe, die sind zu 99,9% Clean...da würde schon rumgeheult, wenn der AV mal ne dubiose Meldung bringt...und das Schreibt sich dann schnell rum und alle sind noch vorsichtiger...

Brain.exe ist aber immer noch ganz Wichtig im Netz...

Was ihr schreibt, hört sich stimmmig an und wird wohl in vielen Fällen auch stimmen, nur was mir z.B. große Sorgen bereitet, sind die Drive-by-Downloads, die ja bereits durch Werbebanner auf selbst seriösen Seiten passieren können.

Gerade auch erlebe ich in einem anderen, recht bekanntem Foto-Forum einen massiven Angriff von aussen, wo ständig ein Iframe mit Javascript mit eingebunden wird. Da ist brain.exe einfach nur noch wirkungslos.

Aktuelle Software plus Erweiterungen wie noscript können da äußert nützlich sein.
Aber welcher Laie achtet da schon drauf? Ich hab schon uralte Konfigurationen gesehen, nebenbei wird dann auch als Admin gesurft. Wen wundert da noch eine Infektion?

Wem musst du da widersprechen?

Hat doch niemand was anderes behauptet.

Wer sollte sowas denn auf seriösen Seiten machen? :headbang:
Nein, erstens "NoScript" (siehe cosinus) und zweitens brain.exe.
Denn "iframe" ist seit langem ein normaler HTML-Bestandteil, eine Seite die iframe mit JavaScript einbindet, ist per se schon höchstwahrscheinlich suspekt. Aber u. U. meinst du gar nicht wirklich "iframe", sondern einfach per JavaScript sonstwie eingebundenen Seiteninhalt?
Und auch bzw. gerade hier würde brain + NoScript (wie auch immer gelöst) greifen.
Solange eine Site nicht seriös zu sein scheint UND JavaScript nicht unbedingt nötig ist, solange ist JavaScript i.d.R. deaktiviert.

finde das richig Klasse! Einfach weil es so einfach ist: 2 Klicks, und man hat ne komplette virtuelle Umgebung drauf, in der auch noch Linux läuft, und der Foxy mit version 4 startet.

Wenn das Ding jetzt noch portabel wäre..
aber man kann ja nicht auf die Krone noch eine draufsetzen :)

Viele Grüße

Wobei man bein Windows Vista auch dauernd bestätigen muss. Ich surf auf PC und Laptop nurnoch als eingeschränkter User und fluche jedesmal, wenn ich mein PW eingeben muss. Sehr verlockend wieder umzustellen :kaffee:

Ich würde gern mit SandboxIE durchs Netz surfen allerdings scheinen sich Firefox und SandboxIE bei mir nicht zu mögen.

ach ja: brain.exe ist immer hilfreich! Selbst wenn du TB aufsuchst hast du es schon benutzt ;)

Bin ich eigentlich der einzige der lieber Returnil System Safe benutzt? :pfeiff:

Anscheinend ja. => http://www.chip.de/downloads/Returni..._40662873.html

Liegt es an der schlechten Bewertung wie zB bei chip.de? :pfeiff:

Fragt sich nur, warum Chip selber die eher gut bewertet ("erster Eindruck") :rolleyes:
Gab's Geld? Hat der Chips-Redakteur keine Ahnung oder haben die Chip-Leser keine Ahnung? :pfeiff:
Oder trifft alles zu? :lach:

Versteh grad echt nicht was an Returnil so schlecht sein soll? :balla:

Könnte aber auch daran liegen das ich es nur beim Surfen wegen der Virtualisierung verwende als Antivirus ist mir da NOD32 lieber.

Scheint nur auf Chip so mies bewertet zu sein
hxxp://www.pcmag.com/article2/0,2817,2363909,00.asp
hxxp://download.cnet.com/Returnil-System-Safe-Free-2011/3000-2239_4-10704691.html

Ich auch nicht, ich höre von diesem Tool zum ersten Mal :confused:
Eigentlich muss ich ja sowas selbst testen bzw. objektive ausführliche Testberichte lesen, aber die Bewertung der chip-user war tendienziell erfahrungsgemäß immer ein gute Gradmesser

Also ist diese Sandbox von vorteil?!

Die Sandbox kann die Sicherheit erhöhen, v.a. wenn man sich auf unbekanntes oder gefährliches Terrain (absichtlich) begibt.
Wenn man aber allgemein die empohlenen Maßnahmen einhält passiert weder mit Sandbox oder ohne etwas. Aber wohlgemerkt: 100% Sicherheit gibt es nicht :pfeiff:

Richtig, wobei ich hier eher virtuelle und sofort reproduzierbare Maschinen bevorzuge:Boogie:
Davon raten wir doch ONV generell ab:kloppen:
:daumenhoc

Ich surfe schon seit Jahren mit Sandboxie und Firefox, bei mir gab es noch nie Probleme. Der Entwickler tzuk ist sehr bemüht um seine Nutzer. Wenn Du Fehlermeldungen hast oder andere Probleme, schreib mal in das Sandboxie-Forum, Du wirst überrascht sein, wie schnell er sich darum kümmern wird. Entweder den Fehler bei Dir lokalisiert oder das Programm kompatibel schreibt.

Meiner Erfahrung nach ist für jemanden, der brain.exe nicht genügend beherrscht, gerade bei generationsbedingtem PC-Fremdeln, auch Sandboxie nur ein nerviger Störfaktor. "Macht ja manchmal so komische Meldungen. Und der Start dauert länger. Und man kann sich ja nix runterladen, da kommen dann auch so Fenster, und wenn ich was installiere, dann ist das gar nicht da", etc ;) Und dann wird doch wieder außerhalb gesurft. Auch NoScript ist schwierig für viele. "Immer erst dieses Erlauben, die viele kleine Schrift da oben, was soll denn davon jetzt erlaubt werden, was nicht? Nix geht mehr, seit dem das drauf ist. Mach das wieder weg" Aber NoScript hat in meinem Kreis doch noch bei mehr Leuten überlebt als die Sandbox. Finde ich auch wichtiger.


Da gabs schon einige Fälle von Software, die ausbrechen konnte. Manche probieren allerlei aus, also auch Schadfreies, und wenn sie entdecken, dass es die Sandbox verlassen kann, schreiben sie es tzuk ins Forum und er sucht dann die Lücke. Komplett sicher ist man also nicht! Um zu verstehen, wie das abläuft, habe ich zu wenig Ahnung, aber auch das wird dort im Forum diskutiert.

Und zum Überprüfen als Testlauf für Verdächtiges ist Sandboxie auch nur bedingt geeignet: Selbst die Script-Kiddies-Hackertools bieten seit einiger Zeit eine aktivierbare Anti-Sandboxie-Funktion zur Auswahl an, die dafür sorgt, dass das Programm schaut, ob es sich in einer virtuellen Umgebung befindet, und wenn ja, dann entfaltet es nicht seine ganze Schadwirkung und bleibt trügerisch harmlos.

Dachte schon ich bin der einzige, der sich mit sowas rumschlagen muss. Ich muss schon zugeben: anfangs ist es doch recht verwirrend und man muss viel Geduld mitbringen. Aber mittlerweile erkennt man sofort, welche Scripts man zulassen muss, um bestimmte Inhalte sehen zu können. Vllt kann man sich auch einiges sparen, indem man manche Scripts allgemein erlaubt? Ich erlaube bis auf eine Handvoll alles immer nur temporär.


Benutzt ihr zusätzlich noch einen Werbe-Blocker? Ich nutze ABP, frage mich aber grade ob das nötig ist, wenn ich No-Script schon habe. Seht ihr denn Werbung? Ich sehe zB absolut keine mehr, deswegen gibts da auch keine Banner, Popups, etc. die man anklicken könnte.

Diese Sandbox werd ich wohl mal testen. Sollte man eigentlich generell über eine virtuelle Maschine surfen? Und wie handhabt man das dann mit seinen Downloads? Die sollte man dann ja erst in das "normale" System überführen, wenn man sicher ist, dass die nicht infiziert sind. Wie geht man da vor?

Skripte allgemein erlauben ist ja Unsinn, weil NoScript dann keinen Unterschied mehr zwischen den Domains macht. Wenn Du meinst "erlauben" statt "tempörär erlauben": Klar kann man sich da viel sparen. Gerade, wenn es ganz normale Seiten sind, die ich öfter besuche, brächte es keinen Sicherheitsvorteil, sie jedes Mal von Neuem temporär zu erlauben. Erlaubt ist erlaubt.
Ich finde ABP auch gut und nutze es parallel. Wenn ich einer Domain das ok durch Noscript gebe und über die Domain ein Werbescript leider mit geladen wird, wird es dann immer noch durch ABP geblockt. Ich finde, sie ergänzen sich gut.
Mit virtuellen Maschinen kenne ich mich nicht aus. Zu Überführendes lasse ich im Zweifel vorher entweder bei virustotal prüfen oder wenn es zu groß ist (Archive, Installer), lasse ich sie evtl in der Sandbox los und rödel dann einzelne entstandene Dateien bei virustotal durch. Was aber eigentlich selten und wohl nicht nötig ist, wenn man die Downloadquelle kennt und einschätzen kann.