SANDBOXIE 3.XX (che browser sarebbe senza...)

[Kohai]

Quote:

Originariamente inviato da luis fernandez

Potresti anche fare cosi:
Impostazioni- integrazione in windows- aggiungi altri collegamenti - seleziona l'area virtuale in cui avviare il programma- ok- si apre una piccola finestrella e qui ti scegli il browser....verrà creata l'icona del browser sandboxato e te la trascini sulla barra.


Spulciando tra le opzioni ho visto che è possible cambiare il percorso delle aree virtuali. Conviene cambiare percorso magari spostandolo su un hard disk dati oppure no (anche dal punto di vista della sicurezza)?

Grazie tantissime per le preziose info, cerchero' di fare quest'ultima per maggior praticita' d'uso
Per quanto riguarda il percorso dell'area virtuale, era un dubbio che mi ero proposto anche io, piu' che altro riguardante la sicurezza, e cioe':
A) se sposto l'area virtuale in un'altra partizione, in caso questa fosse bucata, non infetterebbe il S.O. Ma riguardo a cio' non ho mai avuto conferme o smentite.
Forse il nostro buon NV potrebbe illuminarci un attimino
Di contro, perderei forse in velocita' o comunque la testina del pc dovrebbe andare a scrivere in un'altra partizione quindi con maggior spostamento (mi scuso per i termini terra terra )
B) se lascio nella stessa partizione del sistema operativo, la testina dovrebbe far meno fatica a trascrivere il tutto e comunque non cambierebbe nulla.

Tempo addietro avevo fatto una domanda del genere ma si e' persa nei meandri del topic

Chissa' se qualcuno potrebbe dirci qualcosa

[Kohai]

@ Luis fernandez
L'ultimo consiglio era proprio quello che cercavo, grazie

[nV 25]

forse sono io che invece di chiarire sortisco solo l'effetto di complicare.


Proviamo di nuovo a riassumere.

A) il mio sistema operativo è a 32bit?
Si, quindi del capitolo "protezione sperimentale" non me ne può importare di meno visto che riguarda altri.

B) la mia copia di Windows è a 64bit?
Si, volendo posso abilitare la protezione sperimentale.

B1) Se opto per l'abilitazione, la robustezza di SB diviene di fatto equivalente alla versione @ 32bit.

B2) Se preferisco farne a meno, SB è meno sicuro.
Come mi copro contro questo rischio?
Assicurandomi di aver abilitata la funzione che limita i diritti (drop rights).


Il solo caso B2, pertanto, impone (secondo me) che *per sicurezza* si attivi necessariamente la limitazione dei diritti.

Nel caso A/B1, invece, l'abilitazione della funzionalità drop-rights è facoltativa.



Abbiamo visto, inoltre, che rinunciare alla funzionalità drop-rights espone cmq ad un margine di rischio indipendentemente dal fatto che si sia nell'ipotesi A/B1/B2 quindi, dal punto di vista della sicurezza pura, potrebbe essere sconsigliabile.

Ora:
quanto è grande questo rischio?
Quanto si è fissati?
[...]

Facendo 2 rapidi conti, ritengo che la > flessibilità che ne deriva sia tale da giustificare il minuscolo rischio in più, pertanto:
siccome rientro nel caso B1, tengo disattivata l'opzione "limitazione diritti".

[nV 25]

Quote:

Originariamente inviato da Kohai

A) se sposto l'area virtuale in un'altra partizione, in caso questa fosse bucata, non infetterebbe il S.O. Ma riguardo a cio' non ho mai avuto conferme o smentite.
Forse il nostro buon NV potrebbe illuminarci un attimino

nel caso in cui ci si imbatta in qualcosa capace di superare le restrizioni di SBxie, non credo che l'aver spostata la zona virtuale in una locazione diversa da quella di default faccia una qualche differenza.

Se il malware buca il sandbox, lo buca e basta!

[nV 25]

@ luis fernandez:
ma scusa, ma non ti contraddici con questo post? cliccami

Cioè, sei o non sei su un OS @ 32bit?
Se si, rientri nel caso A e quindi staresti parlando del nulla.

Inoltre, vorresti usare SB esclusivamente come preservativo del browser perchè tanto l'uso che fai di IE, Firefox ecc è esclusivamente quello di uno strumento che ti deve servire per leggere/scrivere?

Beh, in effetti puoi tenere attiva l'opzione che limita i diritti visto che non ti troverai mai nel bisogno di dover lanciare nessun eseguibile...

[luis fernandez]

Quote:

Originariamente inviato da Kohai

@ Luis fernandez
L'ultimo consiglio era proprio quello che cercavo, grazie

Di nulla figurati

Quote:

Originariamente inviato da nV 25

@ luis fernandez:
ma scusa, ma non ti contraddici con questo post? cliccami

Cioè, sei o non sei su un OS @ 32bit?
Se si, rientri nel caso A e quindi staresti parlando del nulla.

Ho 2 pc (un fisso "muletto" con 7 x32 e un nb con 7 x64) e prima di installare un nuovo software sul notebook lo testo sul muletto
Per questo ero curioso circa la protezione sperimentale proprio perché sul x32 non la trovavo ma poi ho capito che riguarda solo la x64 (mentre fino a ieri credevo fosse una feature della versione beta sia per 32 che 64)
Quindi rientro sia nel caso A che in quello B

Quote:

Originariamente inviato da nV 25

Inoltre, vorresti usare SB esclusivamente come preservativo del browser perchè tanto l'uso che fai di IE, Firefox ecc è esclusivamente quello di uno strumento che ti deve servire per leggere/scrivere?

Beh, in effetti puoi tenere attiva l'opzione che limita i diritti visto che non ti troverai mai nel bisogno di dover lanciare nessun eseguibile...

Si sul notebook (con win 7 x64) vorrei utilizzarlo solo come protezione per chrome e firefox quando navigo su siti sconosciuti mentre sul fisso (x32) per provare programmi (ma qui non si pone il problema in quando la protezione sperimentale non esiste.
Quindi per questo avevo chiesto se sul notebook, usandolo solo x la navigazione, era possibile tenere entrambi attivati (sia prot sperimentale che drop rights) e se questa scelta aumenta ancor di più la sicurezza.

[enigmista63]

Ciao , vorrei porre una domanda sulla SANDBOXIE, per chi utilizza la home banking, puo' essere utile questa applicazione aprendo il browser in modalita' sandboxie(protetta) ed effettuare transazioni bancarie o di pagaento? Grazie.

[marcos86]

No. Un eventuale malware non sarebbe in grado di danneggiare il pc, ma potrebbe ugualmente leggerne i dati e trasmetterli altrove.
Quindi nel caso ad es di un keylogger non cambierebbe nulla.

[gyonny]

Concordo con ciò che è stato appena detto. Anche se ci si imbatte in un sito di phishing in questo caso Sandboxie è vulnerabile...

Per quanto riguarda l'home banking o transazioni on-line in generale è un argomento delicato. In questo caso è opportuno seguire alcune semplici regole es. accertarsi che le transazioni vengano effettuatete tramite protocollo Https e non rispondere mai a mail sospette in cui ti chiedono il reinserimento di dati di accesso.

Io ho ricevuto un paio di volte una mail di phishing che ho trovato sulla casella "antispam" in cui mi chiedono di fare urgentemente una verifica dei dati per evitare la sospensione dell'account utente sul sito Poste.it. Questo è più che ovvio che si tratta di una mail di phishing perchè le banche o posta che siano non chiedono mai il reinserimento dei dati di accesso tramite mail, e su questo discorso Sandoboxie è vulnerabile così come sono anche vulnerabili le Internet Security.

Secondo me al giorno d'oggi il il phishing è pericoloso a pari merito dei malwares in generale.

[nV 25]

Quote:

Originariamente inviato da enigmista63

[...]per chi utilizza la home banking, puo' essere utile questa applicazione aprendo il browser in modalita' sandboxie(protetta) ed effettuare transazioni bancarie o di pagaento? Grazie.

Quote:

Originariamente inviato da marcos86

No. Un eventuale malware non sarebbe in grado di danneggiare il pc, ma potrebbe ugualmente leggerne i dati e trasmetterli altrove.
Quindi nel caso ad es di un keylogger non cambierebbe nulla.

Giusto, marcos!

Provo a riassumere.

Ipotesi di base:
si parte da un PC pulito.

Inizio la "navigazione" sotto la protezione di SBxie.
Senza che mi accorga di nulla (ma non è questo il punto visto che porto questo esempio solo per ragioni di spiegazione) mi imbatto in un keylogger che inizia a registrare tutte le operazioni.

Dopo un certo tot di minuti decido di andare sul mio sito di home banking.

Ecco, sono fregato!

Il sistema reale sarà anche intatto da qualsiasi alterazione che è rimasta confinata dentro l'area virtuale, ma il danno è fatto ugualmente:
i dati (PIN, PASSWORD) saranno già a casa di qualcun'altro.


Se invece uso l'accortezza di CHIUDERE SEMPRE la sessione sandboxata PRIMA DI andare sul mio sito di home banking, cambia il ragionamento.

Il sandbox infatti si svuota, e con lui l'eventuale keylogger...

[nV 25]

Sotto questo profilo, DefenseWall è di gran lunga più efficiente visto che avverte con un popup circa l'esistenza di un processo che stà cercando di sfruttare certi meccanismi tipici del keylogger dando al contempo all'utente la possibilità di terminarlo...

In sostanza, nel 2° caso l'utente è informato dell'esistenza di un keylogger mentre nel 1° (SBxie) no.

[nV 25]

Quote:

Originariamente inviato da gyonny

In questo caso è opportuno seguire alcune semplici regole es. accertarsi che le transazioni vengano effettuatete tramite protocollo Https e non rispondere mai a mail sospette in cui ti chiedono il reinserimento di dati di accesso.

Giusto!

Anche se numericamente tanti e anche se qualcuno l'ho conosciuto di persona, ci abboccano cmq giusto loro.

Eppure la differenza tra me e loro non è certo il fatto che abbia aperto qualche thread su questo forum, semplicemente ho applicato (applico) un pò di buon senso anche nel mondo del Computer e tento di far funzionare almeno 1 neurone.

[gyonny]

Quote:

Originariamente inviato da nV 25

...Se invece uso l'accortezza di CHIUDERE SEMPRE la sessione sandboxata PRIMA DI andare sul mio sito di home banking, cambia il ragionamento.

Il sandbox infatti si svuota, e con lui l'eventuale keylogger...

Esatto, una pulizia periodica dell'area virtuale è fondamentale, sopratutto prima di effettuare operazioni delicate tipo home banking

[marcoesse]

Quote:

Originariamente inviato da gyonny

una pulizia periodica dell'area virtuale è fondamentale

da quanto ne so' la maggior parte di noi lo fa' fare automaticamente sempre

[marcoesse]

Quote:

Originariamente inviato da marcos86

....Quindi nel caso ad es di un keylogger non cambierebbe nulla.

un keylogger
ma non dovrebbe essere intercettato dall'AV
mettiamo un bel Avira12 Premium


e L'UAC al max non potrebbe intervenire? a chiedere qualcosa (Win7 64bit)


grazie

[nV 25]

Quote:

Originariamente inviato da marcoesse

un keylogger
ma non dovrebbe essere intercettato dall'AV
mettiamo un bel Avira12 Premium


e L'UAC al max non potrebbe intervenire? a chiedere qualcosa (Win7 64bit)


grazie

se tutti avessimo la sicurezza matematica che gli AV riescono ad intercettare il 100% dei malware, allora non ci sarebbe bisogno nè di un Sandbox nè di altro.

Il problema, invece, è che gli AV (specie con i malware freschi-freschi) possono poco perchè "non li conoscono".

Partendo dunque dal presupposto per cui "non è detto" che un malware sia necessariamente riconosciuto, allora...


Sull'UAC:
al 99% non può nulla visto che molte tecniche utilizzate dai keylogger funzionano tranquillamente in LUA/SUA...

[enigmista63]

Ciao, grazie per le risposte molto esaudienti e chiare, infatti confermo che le varie sandbox e modalita' protette delle varie suite di protezione sono pagliativi , non servono a nulla purtroppo sul portatile di mia moglie 2 di questi software con la safezone sono stati fregati , grazie a Dio il danno è stato misero.

[marcoesse]

Quote:

Originariamente inviato da nV 25

se tutti avessimo la sicurezza matematica che gli AV riescono ad intercettare il 100% dei malware, allora non ci sarebbe bisogno nè di un Sandbox nè di altro.
Il problema, invece, è che gli AV (specie con i malware freschi-freschi) possano poco perchè "non li conoscono".
Partendo dunque dal presupposto per cui "non è detto" che un malware sia necessariamente riconosciuto, allora...

si ok pero' beccarsi un keylogger zero day
ci vuole un bel colpo di

Quote:

Originariamente inviato da nV 25

Sull'UAC:
al 99% non può nulla visto che molte tecniche utilizzate dai keylogger funzionano tranquillamente in LUA/SUA...

ok grazie per l'info
(in ogni caso io NON ho nessun home banking)
grazie
marco

[Kohai]

Quote:

Originariamente inviato da nV 25

nel caso in cui ci si imbatta in qualcosa capace di superare le restrizioni di SBxie, non credo che l'aver spostata la zona virtuale in una locazione diversa da quella di default faccia una qualche differenza.

Se il malware buca il sandbox, lo buca e basta!

Grazie per la risposta

[TheQ.]

Riprendendo un po' la spiegazione di nV 25, una piccola variante sul tema: Sandboxie Vs Firewall

Ipotesi di base:
si parte da un PC pulito.
Voglio provare un'applicazione con rischio malware o keylogger ... il firewall mi avverte che c'è qualcosa di strano e mi chiede come comportarsi, dò il consenso perchè so che sto eseguendo l'exe dentro Sandboxie e poi pulirò tutto.
Apparentemente non mi accorgo di nulla per l'avvio in sandboxie e non appaiono malware.
Decido quindi di avviare il file exe di cui non ero sicuro anche fuori da sandboxie.

Ecco, sono fregato!

Niente più protezione sandbox, perchè apparentemente non ho rilevato problemi o segnalazioni dell'antivirus (che magari fa solo da hahare in rilevamento) nell'esecuzione in sandboxie e firewall che non mi avverte più di niente, poichè ho dato consenti nella sua finestra popup quando il file era eseguito in sandboxie

Il miglior malware per sandboxie è il malware che sta buono in sandboxie
Sarà l'utente stesso a liberarlo dalla sandbox (ovviamente procedimento valido per iniezioni di codice malevolo o forse rootkit e non per attacchi hacker o software che si installa navigando in pagine internet infette).


Usare con cautela