SANDBOXIE 3.XX (che browser sarebbe senza...)

[riazzituoi]

.

[k@rletto]

Salve,
innanzi tutto ringrazio tutti per le vostre risposte e il vostro interessamento,
e in particolare Kohai x avermi risposto anke nel thread di Returnil.
Per il momento cmunque ho deciso di rimanere con Sandboxie anche per quanto
concerne le installazioni di programmi,.... alla faccia del vostro scetticismo!.....
Scherzo! naturalmente!!!!!
Per i programmi che riusciranno a girare sandboxati bene!... per quelli che invece
non gireranno.... pazienza, tanto non succede niente di grave!!!

Quello che invece non sono ancora riuscito a capire, nonostante l'abbia chiesto
in piu occasioni (e che voi avete puntualmente "dribblato") è quale sia realmente
il grado di sicurezza offerto da Sandboxie..... ossia, 100%?...99.9%?... 90%?
oppure 70%?.... cioè quanto è robusto il recinto di Sandboxie??

Chiedo questo perchè memore del fatto del famoso gioco Angry Birds, il quale
dopo averlo fatto girare sandboxato, si è rifiutato di funzionare nel sistema
reale.... per cui il sospetto che qualke chiave di registro sia scappata fuori
rimane tuttora l'ipotesi piu plausibile!

Riguardo le considerazioni di TheQ saranno pure contorte ed espresse
male, però non sono affatto sbagliate!.... infatti anke un trojan o altro software
malevolo può tranquillamente funzionare in Sandboxie come qualsiasi altro
software, e quindi se si è connessi in internet l'hacker di turno può tranquillamente
svolgere le sue azioni..... sandboxate fin che si vuole, ma le puo svolgere!
Per cui se l'obiettivo dell'hacker è quello di rubare password o codici, può
farlo senza problemi anche in ambiente sandboxato o virtuale..... questo
almeno mi sembra il succo della considerazione di TheQ

[nV 25]

state facendo cmq più caos della grandine...


Sandboxie offre un livello di protezione attorno al 100%.

Questo, xò, non significa che non esisterà mai un malware capace di bypassarlo.

Il trucco, dunque, stà (da parte dei programmatori di questi software) nel chiudere le nuove falle non appena vengono rese pubbliche (= incorporate nei malware stessi) e, a tal fine, è richiesto uno sviluppo continuo del programma perchè questo sia sempre adeguato (in termini di protezione) a quella che è la dinamica delle cose...


Sandboxie, inoltre, e al pari di altri software simili, non si limita a "porre nel recinto" le alterazioni al FS/Registro per quanto in questa sede si continui a parlare sempre e solo di questi 2 elementi come se fossero gli unici accadimenti che si generano lanciando un eseguibile.

Esistono infatti un'altra marea di "accessi" che vengono preclusi all'elemento sandboxato proprio per isolarlo dai processi (di sistema e non) posti al di fuori di sandboxie stesso (ma di questi accessi, per forza di cose, nessuno parla per ignoranza [legittima])...

Ad es, il caricamento di un driver che non può essere "simulato" dal programma ma solo castrato (da qui, come dicevo anche nel mio thread specifico sugli hips/sandbox, la natura policy based anche di questo software)...


Se alcuni elementi vengono dunque inibiti per ragioni di sicurezza, se ne ricava che un programma come questo (o defensewall, sarebbe identico il ragionamento) non potrà essere mai utilizzato come sostituto naturale di una VM che, per definizione, simula realmente l'intero OS se pur anche in questo caso con dei limiti...

Per queste ragioni + il fatto che sono inibite una marea di altri accessi alle risorse di sistema ne discende che non sempre questi software possono essere impiegati per provare altri software.

Il loro compito, infatti, non è questo bensi' quello di proteggere il + possibile il PC da interferenze esterne.



Capitolo keyogger & Sadboxie:
certo, come diceva anche Riazzituoi, se il keylogger riesce a funzionare sotto sandboxie (perchè non è detto che questo sia sempre vero: alcuni tipi infatti non possono funzionare sandboxati poichè richiedono dei privilegi che il Sandbox provvede a togliere in automatico, come nel caso dei kernel mode keylogger..), a subire l'intercettazione saranno solo i programmi che girano all'interno del sandbox stesso.

In questo senso, IMO, defensewall è superiore perchè offre subito la possibilità di "spengere" il keylogger, ma questo è un altro discorso...


Capitolo backdoor:
anche qui, di default DW 3 è superiore perchè implementa un (simple) firewall...

Nel caso di Sandboxie, invece, se si è connessi ad internet e nel sandbox "gira" una backdoor, questa sarà tranquillamente in grado di aprire comunicazioni con l'esterno.
Peccato, xò, che al 99% più che questo non potrà fare specie se si procede alla chiusura del sandbox stesso..

Nella v. a pagamento, cmq, è possibile imporre restrizioni per avere ragione di questi "fenomeni"...

[RRR1]

Quote:

Originariamente inviato da nV 25

da parte dei programmatori di questi software da parte dei programmatori di questi software

A prescindere dall'argomento, potresti evitare di scrivere eccessivamente in piccolo ? Ho serie difficoltà a leggerti.

Grazie
Rik

[nV 25]

ok, risolto..

[nV 25]

non lo dico perchè l'ho scritto io e dunque perchè voglia imbellettarmi di qualcosa ma consiglio di prendere visione del mio thread (in particolare il 1° post) che, per quanto zeppo di errori, da cmq un'infarinatura su questi meccanismi di protezione preventiva...

[nV 25]

Quote:

Originariamente inviato da k@rletto

Riguardo le considerazioni di TheQ saranno pure contorte ed espresse
male, però non sono affatto sbagliate!...

mi ha colpito solo ora questa parte del discorso.

Beh, ci tengo a chiarire che non ho mai pensato che fossero sbagliate:
semplicemente ho avuto difficoltà a capirle ma ciò non toglie che TheQ sia il benvenuto ad integrare ulteriormente il suo pensiero, ci mancherebbe...

Il mio intento, infatti, non è zittire gli altri qui sul forum...

[RRR1]

Quote:

Originariamente inviato da nV 25

ok, risolto..

Grazie e scusa dell'appunto. Seguo sempre i tuoi interventi perchè li ritengo molto competenti e non riuscire a leggerli bene mi dispiaceva. Mi ricordo di quando oltre a postare in piccolo/grande, postavi anche con tutti i colori dell'arcobaleno.

[Chill-Out]

Onde evitare domande cicliche sarebbe opportuno leggere

http://www.sandboxie.com/index.php?F...AskedQuestions

[TheQ.]

errare humanum est: se sbaglio qualcosa dietemelo, non mi faccio mica problemi. Anzi lo considero un miglioramento delle mie conoscenze.

Se posso, credo siano da aggiungere fra i programmi che hanno serie difficoltà in sandboxie, quelli che usano servizi gestori di licenza per l'avvio.
Qualche esempio: archicad con il WIBU-key, i prodotti autodesk con flexlm, ecc...

Le macchine virtuali sono indubbiamente più complete per sperimentare software, ma ti dimezzano le risorse hardware dedicate. Magari questo può dare fastidio rispetto software come sandboxie (o defence wall) che non pesa minimamente neanche in pc vecchi.
Inoltre la protezione delle macchine virtuali migliora se si configura al meglio il firewall per la gestione della rete fra SO virtuale e SO base (es: VMWare Network Adapter).
Però credo che un SO virtuale infettato resta un SO infettato ad ogni avvio (a meno che non lo si reinstalli ogni volta...o non si usi linux ); inoltre se nel SO virtuale uno non ha installato AV-FW, come ci si rende conto dell'infezione? In teoria solo se il firewall e l'antivirus sul SO di base rilevano qualcosa che esce dalla connessione di rete (la VMWare Network adapter per esempio).
Ovvero oggi solo chi ha conoscenze approfondite riconosce un software malware senza la segnalazione di un programma AV-FW (antivirus e firewall).

Invece nella sandbox infettata, si può andare a vedere cosa è stato scritto e dove nella directory contenitore, si possono avere segnalazioni di errore, si può osservare la console per vedere se rimangono processi attivi e quali (file sempre inviabili a virustotal), ma soprattutto al riavvio non ha più processi malevoli attivi.
Come scrivono sul sito sandboxie per i keylogger:

Quote:

Sandboxie is not designed to detect or disable key-loggers, but it is designed to make sure that sandboxed software stays in the sandbox, that such software can't integrate into Windows, and that it can be completely discarded when you delete the sandbox.

Forse per tutti questi software il concetto importante è: separare la sessione in cui si "sperimenta software" con la sessione in cui si naviga nella propria banca, si inseriscono login e password, ecc...
Ovvero l'esistenza di due "contenitori" separati, avviabili in modo incompatibile, o l'uno o l'altro, costituisce la vera sicurezza.

bbye

[nV 25]

Quote:

Originariamente inviato da TheQ.

Le macchine virtuali sono indubbiamente più complete per sperimentare software, ma ti dimezzano le risorse hardware dedicate.

a meno di non dedicargli risorse spaventose, è indubbio (un certo impatto, checchè ne dicano, lo noto ad es. anch'io con l'i7 2600 e 4GB di ram)...

Quote:

Originariamente inviato da TheQ.

Però credo che un SO virtuale infettato resta un SO infettato ad ogni avvio .... inoltre se nel SO virtuale uno non ha installato AV-FW, come ci si rende conto dell'infezione? In teoria solo se il firewall e l'antivirus sul SO di base rilevano qualcosa che esce dalla connessione di rete (la VMWare Network adapter per esempio).
Ovvero oggi solo chi ha conoscenze approfondite riconosce un software malware senza la segnalazione di un programma AV-FW (antivirus e firewall).

identificare anomalie non è sicuramente alla portata della massa...

Preso atto di questo, sull'OS virtuale uno può cmq benissimo installare un AV o un HIPS e vedere cosa succede in presenza dell'esecuzione:
nel caso dell'HIPS, se si conoscono infatti anche solo un minimo quelle che sono le "azioni anomale" che vengono utilizzate più comunemente nei virus (controllo di processi,...), risulta relativamente facile capire se quello che si ha di fronte può essere potenzialmente pericoloso o meno...

Altrimenti esistono sempre servizi di analisi dinamica come CIMA, Anubis ecc, anche se neppure questi risultano sempre di facilissima interpretazione...

Quote:

Originariamente inviato da TheQ.

Invece nella sandbox infettata, si può andare a vedere cosa è stato scritto e dove nella directory contenitore, si possono avere segnalazioni di errore, si può osservare la console per vedere se rimangono processi attivi e quali (file sempre inviabili a virustotal), ma soprattutto al riavvio non ha più processi malevoli attivi.

l'ultima parte del discorso è sicuramente vera.
La 1°, invece, non la trovo assolutamente pratica per un programma come Sandboxie che non vive attorno ad un log come quello vantato ad es. in altri programmi.
L'immagine che si ricava dall'esecuzione di un qualcosa in sandboxie, a meno di non utilizzare tool di terze parti come Buster Sandbox Analizer, è appunto limita alle sole alterazioni al FS/Registro di sistema ma nulla si sa di tutte le altre "azioni" scartate di default e prodottesi a seguito dell'esecuzione a meno che non siano di tipo particolarissimo (driver loading, poi?)...

Quote:

Originariamente inviato da TheQ.

Forse per tutti questi software il concetto importante è: separare la sessione in cui si "sperimenta software" con la sessione in cui si naviga nella propria banca, si inseriscono login e password, ecc...
Ovvero l'esistenza di due "contenitori" separati, avviabili in modo incompatibile, o l'uno o l'altro, costituisce la vera sicurezza.

certo, anche a buon senso...

Meglio ancora se le sperimentazioni vengono fatte con tutto il resto dei lavori temporaneamente sospesi...

IMO...

[TheQ.]

Quote:

Originariamente inviato da nV 25

a meno di non dedicargli risorse spaventose, è indubbio (un certo impatto, checchè ne dicano, lo noto ad es. anch'io con l'i7 2600 e 4GB di ram)...

Oddio, averli 4 Gb.
Comunque il concetto del programma di Virtual Machine è di preddisporre tot risorse per un sistema e tot per l'altro.
Quindi comunque non si usufruirà del pieno delle risorse nella simulazione, come avviene per altri programmi sandbox o simili (returnill, DW, ...).

Quote:

Originariamente inviato da nV 25

La 1°, invece, non la trovo assolutamente pratica per un programma come Sandboxie che non vive attorno ad un log come quello vantato ad es. in altri programmi.

umm però ha sempre il "monitor di accesso alle risorse".
Certo, poi bisogna capire cosa vi scrive lanciando una sandbox

Es:

questi messaggi andrebbero migliorati per essere più comprensibili

[Kohai]

Di mio posso dire che non lascio le mie difese alla sola sandboxie, ma naturalmente (e specie su xp) son dotato di antivirus e firewal con hips integrato.
Va da se' che (naturalmente) quando devo connettermi alla mia banca non mi interessa la protezione di sandboxie, ma piu' che altro quella di altri software attivi, come per l'appunto l'antivirus, in primis l'hips ed anche un antikeylogger.
Secondo me la protezione deve essere globale e con diverse sfaccettature

[Draven94]

Sandboxie 3.58 is out

Quote:

Version 3.58

Released on 27 August 2011.

These are the changes to Sandboxie since version 3.56.
Usability
Several common dialog windows in Sandboxie Control windows can be minimized: Sandbox Settings, Delete Contents, Quick Recovery, Immediate Recovery, Messages from Sandboxie.
Reduced flickering in the main Sandboxie Control view.
Restored support for the Finnish and French languages.
Changes in Quick and Immediate Recovery:
Multiple files can be selected for recovery in a Quick Recovery window.
New button to select all files in Quick or Immediate Recovery.
New "Yes to All" button can replace multiple files when recovering.
Immediate Recovery can open the folder for the recovered file, or run the file directly.
Recovery Log (in Sandboxie Control View menu) displays a log of recently recovered files.
The Messages from Sandboxie window can optionally adjust some settings:
Turn off Drop Rights when message SBIE2219 appears.
Permit programs to start (for message SBIE1308) or access the Internet (for message SBIE1307).
Adjust File Migration limit when message SBIE2102 appears.
Changes in the border feature:
The border around sandboxed windows can be set to appear only when the cursor is in the title area of the window.
This border mode, with the border color set to yellow, is now the default setting for new sandboxes.
The border rectangle is adjusted to wrap around the Windows Aero thick window frame.
The border is temporarily hidden when any part of it would be obscured by another window.
Compatibility
Firefox places.sqlite file is excluded from file migration limits.
Windows Explorer thumbcache_*.db files are excluded from file migration limits.
When running under Sandboxie, Microsoft Office Outlook 2010 correctly displays embedded preview.
When running under Sandboxie, Microsoft Excel and PowerPoint will not create superfluous buttons on the taskbar.
Improved compatibility with security software: avast! pro 6 SafeZone browser, BitDefender Anti-Phishing toolbar, and iolo System Mechanic.
Improved compatibility with web proxy software: Easy Hide IP, HMA! Pro VPN, VPNTunnel Anonymous Internet.
Improved compatibility with third-party utilities: Eraser 6, Google Japanese IME tool, RoboForm sync, Sothink Web Video Downloader Stand-alone.

[sampei.nihira]

Grazie.

[Anthonylm]

Aggiornato

[Kohai]

Quote:

Originariamente inviato da [Claudio]

Una domanda terrena (almeno per ora): utilizzo Chrome come browser predefinito, quando lancio SB non vedo il simbolo [#]..[#] nella tab aperta.

Se apro Sandboxie Control la pagina aperta (nello specifico, quella del forum) risulta sotto SB [#]Hardware Upgrade Forum - Reply to topic - Google Chrome[#]

E' normale? ..... c'è modo di ovviare al problema?

Se non erro chrome ha una sua sandbox, quindi vanno in conflitto.
Se ricordo bene puoi usare solo quella di chrome, a meno di smentite e comunque o una oppure l'altra.
Ma siccome chrome l'ha implementata al suo interno, credo che dovrai fare a meno di sandboxie con quel browser.

[nV 25]

?


Ti sei scolato una boccia intera di Vodka?

[nV 25]

Quote:

Originariamente inviato da [Claudio]

...

ma non è mica che hai flaggato questa voce?

[nV 25]

Quote:

Originariamente inviato da [Claudio]

Quindi ci sarebbe la possibilità di disabilitare (o abilitare) la SB di Chrome ed utilizzare, regolarmente, Sandboxie? (questo solo per curiosità).

Chrome funziona tranquillamente sotto Sdbxie:
il tuo problema (che cmq sembra essere "visivo") è sicuramente riconducibile ad altro.


Per tua > sicurezza (psicologica), disponi 1 colore attorno alle pagine sandboxate (sempre dalla scheda "appearance")...