Sicherer Browser - BitBox oder normaler Browser im Sandbox-Modus?
 

Hiho liebe Freunde,
Ich habe gerade eben diesen Artikel hier gelesen und mich gefragt, ob es eigentlich nicht dassselbe ist, wenn man seinen Lieblingsbrowser in einer Sandbox (Software hierfür - Sandboxie) startet?

Ich mein, seitdem ich mein System neu aufgesetzt habe, versuche ich, etwas Sicherer unterwegs zu sein und denke mir, dass ich das somit bin =D

Was denkt ihr? Sollte man sich die BitBox-Software genauer anschauen?
Wie macht ihr das so? Legt ihr überhaupt einen großen Wert auf Sicherheit?

AW: Sicherer Browser - BitBox oder normaler Browser im Sandbox-Modus?
 

Es handelt sich dabei um eine VirtulaBox-VM mit Debian und FireFox

AW: Sicherer Browser - BitBox oder normaler Browser im Sandbox-Modus?
 

Ähm, das ist mir schon klar.
Letztendlich ist es eine gesicherte Zone, eine virtuelle Maschine, was im Prinzip auch eine Sandbox ist.
Was ist aber sicherer?

:P

AW: Sicherer Browser - BitBox oder normaler Browser im Sandbox-Modus?
 

Ich hab eine Zeitlang eine VM nur für's Online-Banking gehabt. Irgendwann war mir das aber zu umständlich (das online-Banking via Browser mein ich) und ich hab jetzt ein Programm von der Bank dafür.

AW: Sicherer Browser - BitBox oder normaler Browser im Sandbox-Modus?
 

Am Sicherersten :lol: ist ein eigenständiger PC, welcher keine Verbindung zu deinem anderem PC besitzt.

Nja, vermutlich ist die VM-Variante sicherer.
> für Linux soll's ja wenig Viren und Schadprogramme geben
> in der VM ist alles etwas mehr von deinem Hostsystem getrennt

> bei einer SandBox werden auch "nur" bekannte APIs abgefangen/umgeleitet/gefiltert ... wenn dort also etwas nicht abgefangen wird, dann kommt es dennoch direkt in den Hostsystem.

Am Sichersten ist es immernoch, wenn man alles Unsichere abschaltet
- JavaScript
- Java
- ActiveX
- Flash
- alle Bilder (abgesehn von Bitmap und GIF), welche irgendwelche "unsicheren" Komprimierungen und andere "scriptähnliche" Inhalte besitzt, worüber man Befehle einschleisen kann
- und am Ende auch noch vom HTML-Text nur noch den Text darstellt, ohne irgendwelche Formatierungen

AW: Sicherer Browser - BitBox oder normaler Browser im Sandbox-Modus?
 

Alles hat Vor- und Nachteile.
Hier mal meine Einschätzung:

AW: Sicherer Browser - BitBox oder normaler Browser im Sandbox-Modus?
 

Dieses BitBox-dinges soll mich doch vor schädlichem Mist schützen?
Und Spamm zählt für mich auch dazu ...

Also warum um Himmels willen wollen die dann soviele persönliche Daten von mir?
http://download.sirrix.com/content/pages/bbdl.htm
Hab das kaum sichtbare "Ohne Registrierung herunterladen." übersehn :oops:

AW: Sicherer Browser - BitBox oder normaler Browser im Sandbox-Modus?
 

Nun, ein abgesonderter Bereich dient ja hauptsächlich dafür, dass das Hauptsystem keine Schäden bei einem etwaigen Angriffsversuch davonträgt.
Ein drive-by Download ginge zB. unter diesen Umständen in die Hose.
Spam hat nichts mit dem Betriebssystem per se zu tun!

Einer muss immer die Standardsprüche schreiben :roll:

AW: Sicherer Browser - BitBox oder normaler Browser im Sandbox-Modus?
 

Naja, ist eben so ;) Selbst ein Live-System ist nicht sicherer, da es Zugriff auf die HDDs haben kann.

Sicher ist aber immer sehr relativ! Wenn du nur auf qualitativen Seiten surfst und deinen PC aktuell hälst, dann sehe ich da absolut keine Probleme, Sandbox hin oder her. Klar, wenn dann mal der Server der DP gehackt wird und dann noch ein Virus installiert wird und dann noch dies und dann noch das... Es müssen schon sehr viele Faktoren zusammen kommen, dass ein System unsicher wird -- vor allem spielt auch noch die Unwissenheit des Users eine große Rolle!

Ich persönlich gehe jedenfalls *immer* davon aus, dass ein System Lücken hat! Es wurde schließlich auch von Menschen entwickelt. 100% Sicherheit gibt es nicht. Und jedes mal eine VM zu starten für 0.0005% "mehr" Sicherheit? Hm... :gruebel:

AW: Sicherer Browser - BitBox oder normaler Browser im Sandbox-Modus?
 

Allein schon die Kombination von Windows, VM, Unix und Firefox ist ja schon fast unschlagbar. Grund: Man braucht einen Virus, der bei Firefox für Linux funktioniert und der dann über die VM auf das Host-System kommt. Das würde ich als viel zu schwer einschätzen, als dass es wirklich praktikabel ist. Somit würde diese Version von mir das Siegel "absolut sicher" bekommen.
Allerdings lässt sich die Sicherheit noch ein wenig optimieren. Und zwar, indem man das Firefox-AppArmor-Profil aktiviert und mal drüber schaut, ob da alles korrekt eingestellt ist. Außerdem sollte man dann noch den Befehl "chmod" so einstellen, dass nur Root diesen ausführen kann und dann sollte dies auch wirklich absolut sicher sein.

Als negativ-Aspekt bei dieser Lösung sehe ich vor allem die mangelnde Performance jeder VM und die miese Performance von Unix-Systemen in VMs. Außerdem dauert das immer wieder bis die VM aktiv ist und Downloads muss man doch irgendwie aufs Host-System bringen.

Bernhard

AW: Sicherer Browser - BitBox oder normaler Browser im Sandbox-Modus?
 

@s.h.a.r.k

Das ist mir schon klar. Ich beschäftige mich ja nicht umsonst so oft mit dieser Materie in meiner Freizeit...

Dass jedes System Lücken aufweist, gerechtfertigt ja nicht, dass man sich nicht schützen sollte!

Deshalb ist es mir diese Aussage eig. relativ egal geworden mit ein bisschen Einsicht und Zeit. Wenn jemand bei dir einbrechen will, wirst du es ja nicht einfach so hinnehmen und wirst hoffentlich Vorkehrungen treffen!

@rollstuhlfahrer

Deshalb bin ich auch auf die Sandbox Lösung ausgewichen. Damit bin ich at least gegen die von mir verabscheuten Drive-By Exploits gesichert.
(Sofern die eben nicht genau auf Sandbox ausgerichtet sind. Klar, falls solch ne Lücke auftaucht, kann man da auch Daten/Code durchschmuggeln aber das ist wieder so ein Grenzfall (Sicherheit ist relativ blabla - Gespräch, das nichts bringt))

AW: Sicherer Browser - BitBox oder normaler Browser im Sandbox-Modus?
 

An und für sich ist das wohl die gleiche grundlegende Idee, die sich Google für Chrome ausgedacht hat, nur mit dem Vorschlaghammer. (Kein Child-Prozess ohne lokal Privs, sondern gleich ein ganzes 2. OS :shock:)

Ich bin mir nicht sicher wie sinnvoll solche plumpen Versuche auf Dauer wirklich sind.
Dieser "Browser in einer VM" verhält sich sicherlich NICHT wie man es auf dem jeweiligen Linux, Windows oder Mac Desktop erwarten würde. Würden da die jeweiligen Alleinstellungsmerkmale des jeweiligen Desktops nicht brutal weggebügelt werden?

Ich denke der jeweilige OS-Hersteller muss einfach sicherstellen, dass ein Prozess ohne lokale Rechte auch lokal nix darf. Dann klappt das auch mit Chrome, ohne extra Linux in einer VM zu starten. :freak:
Da andere Browser ebenfalls das Prinzip von Extra-Prozessen pro Tab/Plugin/Extension angenommen haben, finde ich diese Entwicklung viel spannender als solche Vorschlaghämmer.

AW: Sicherer Browser - BitBox oder normaler Browser im Sandbox-Modus?
 

Also das System fürs Online-Banking in einer VM?
Dann kann der Keylogger also im Hostsystem oder in der VM stecken und hat beides mal Glück. Das Einzige was man dadurch gewinnen könnte ist die Möglichkeit zum schnellen zurücksetzten der VM, was dir nichts bringt wenn der Host infiziert ist.

AW: Sicherer Browser - BitBox oder normaler Browser im Sandbox-Modus?
 

Das kommt von unserer Regierung ... was hast du denn erwartet?

Entweder reagieren die nicht oder sie übertreiben mal wieder und in ein paar Tagen/Monaten is alles wieder vergessen.

AW: Sicherer Browser - BitBox oder normaler Browser im Sandbox-Modus?
 

Also ich fühle mich sicher:

• sowieso mein komplettes System in Linux; macht zwei Vorteile
• • deutlich weniger Schädlinge dafür ausgelegt
  • sowieso viel ausgeprägteres Rechtesystem als (vor allem älterem) Windows (in Vista+7 wurde das ja auchverbessert), solange man nicht gerade als root surft ...
• Chromium - führt alle Skripte sowieso in einer Sandbox aus

Höchstwahrscheinlich auch nicht unknackbar, aber mehr halte ich für übertrieben.

AW: Sicherer Browser - BitBox oder normaler Browser im Sandbox-Modus?
 

Ich will dir bei diesem Argument nicht den Wind aus den Segeln nehmen, aber aktivierst du, wenn du schlafen gehst, Selbstschussanlagen in deinem Haus? :mrgreen: Ich habe einmal einen Schlüsseldienst beim Knacken eines Schlosses zugeschaut und war überrascht, dass der Herr innerhalb von weniger als 10 Sekunden das Schloss offen hatte -- von der anderen Seite hatte der Schlüssel noch gesteckt, daher kein normales Reinkommen :stupid: Sollte jemand, der das nicht kann, es auf dein Haus abgesehen haben, dann gibt es auch noch anderes Werkzeug. Fakt ist, man kommt IMMER rein und von schwer ist hier meist keine Rede!

So verhält es sich imho auch mit der Sicherheit von PCs. Da es immer Sicherheitslücken gibt muss ich davon ausgehen, dass jemand auf meinem PC einbrechen kann -- es könnte btw auch der Staat sein! Ist jemand mal eingebrochen, muss ich das nicht wirklich mitbekommen und er kann die Situation analysieren, in der er sich befindet. Es gibt ja scheinbar auch Mittel und Wege um zu prüfen, ob man sich in einer VM befindet oder nicht. Und selbst eine VM hat, wie wir wissen, Lücken. Naja, den Rest kann sich eben jeder Denken.

Klar, sind die Hürden dabei wesentlich höher, aber drehen wir mal den Spieß um. Wenn du in der Lage wärst gewisse Lücken sinnvoll auszunutzen, glaubst du nicht, dass du am Schluss auch noch in der Lage wärst dann passend zu agieren, wenn du in einer VM steckst?

Klar sollte man sich schützen, aber es kommt eben immer darauf an, um welchen Preis! Wie man es nicht machen sollte, zeigt Sony im Moment ja gerade... naja, hat bewiesen, die Damen und Herren sind ja schlauer geworden.

Zudem: glaubst du, dass du ein attraktives Ziel für einen Angreifer bist? Dieser Angreifer muss auch Geld verdienen und wird nur sehr unwahrscheinlich einen Nachmittag damit verbringen, sich nur zum Spass auf deinem Rechner einzunisten, auf dem es eigentlich nichts zu holen gibt.

AW: Sicherer Browser - BitBox oder normaler Browser im Sandbox-Modus?
 

Ich denke nicht, dass es ne optimale Lösung ist, ein anderes System zu benutzen, nur weil es dafür weniger Schädlinge gibt.
Du "weichst aus", du verteidigst dich nicht wirklich.
Im Grunde mache ichs aber auch nicht ganz anders...

Edit:
@Shark
Ja du hast im Grunde recht. Aufwand/Preis Verhältnis ist mir klar.
Du klingst so, als ob es einem eig. rel. egal sein sollte, ob man angegriffen wird oder nicht - zumindest in meinen Ohren - und genau das finde ich falsch.
Ganz egal ob ich eine Zielscheibe für Angreife BIN oder NICHT BIN.
Ich habe doch das Verlangen und das Recht darauf, mich sicher zu fühlen!

AW: Sicherer Browser - BitBox oder normaler Browser im Sandbox-Modus?
 

Ist das nicht auch gerade für unerfahrene User gefährlich/gefährlicher?

Man sperrt seinen Browser in einen virtuellen PC und freut sich, das u.U. eingefangene Trojaner ebenfalls eingesperrt sind. Nur wollen die oft garnicht den ganzen PC entern, sondern sind gerade mit dem Browser besonders glücklich (Online-Banking, Kreditkarten-Bezahlung, Shopping etc.). Der virtuelle PC ist dann auch noch schlecht gewartet und hat keinen Virenscanner am laufen, weil man sich ja sicher fühlt.

AW: Sicherer Browser - BitBox oder normaler Browser im Sandbox-Modus?
 

Das Warten muss die Software selbst übernehmen. Und bis auf ClamAV gibt es keinen Virenscanner für *nix, weil zu wenig Viren existieren.

Bernhard

AW: Sicherer Browser - BitBox oder normaler Browser im Sandbox-Modus?
 

Nein, das sage ich auch gar nicht. Nur musst du immer darauf vertrauen, dass die Software, die du nutzt sicher genug für alle Aktivitäten ist! Und alleine aufgrund der Nachrichten die ich immer wieder lese, kann ich dir sagen und wirst du mir auch glauben müssen, dass das nicht der Fall ist -- selbst wenn jede Software Up-To-Date ist, d.h. das Gefühl der Sicherheit kann einem nur "vorgegaukelt" werden, aber zu 100% wirst du nie sicher sein. Ich habe mich mit diesem Gedanken abgefunden, da es einfach so ist.

Aber um auf meine verwendeten Techniken zu kommen: Ich werfe einem Angreifer möglichst viele, für mich maximal sinnvolle Steine in den Weg: mein PC sitz hinter einem Router mit Firewall, habe Windows 7 mit allen Updates installiert, dazu noch die Windows Firewall und MSE2. Zudem schaue ich mindestens wöchentlich, dass ich alle möglichen Updates installiert habe, viele Nutzer halten das gar nicht für nötig, da es wahrlich dermaßen komplex sein kann und somit meist nur abschreckt.

Nun aber die Frage: reicht das aus? Ganze klare Antwort: Nein! Für jemanden, der eindringen will, sind die Hürden durchaus zu nehmen, selbst eine Sandbox, selbst eine VM -- Beispiele gibts im Netz genug, wenn man sich mal auf die Suche begibt. Wenn jemand will, kann er in so ziemlich jedes System eindringen, wenn nur genug Aufwand betrieben wird.

Und hier liegt eben der Knackpunkt, warum ich mich eigentlich sicher fühle, denn für einen Angreifer sind wohl so 99,9% der Systeme überhaupt nicht relevant -- darunter zähle ich auch meine --, da das Verhältnis Aufwand zu Ertrag derart schlecht wäre, dass es sich schlicht nicht lohnen würde, für niemanden.

AW: Sicherer Browser - BitBox oder normaler Browser im Sandbox-Modus?
 

Von avast! gibt's auch eine Linux-Version.

AW: Sicherer Browser - BitBox oder normaler Browser im Sandbox-Modus?
 

Warum nennt sich "Browser in the Box" eigentlich BitBox und nicht BroBox?

Wieso kennt das Schrottteil eigentlich nicht Microsoft Security Essentials? (der meint es wäre kein Virenscanner installiert und somit gibt es auch keine direkte Virenprüfung durch BitBox)
Obwohl ich mich sowieso frage warum, da die exportieren Dateien sowieso automatisch geprüft werden sollten und dann wollen die nochmal nachprüfen lassen?

Die FF-Linux-Version find ich häßlich.
Die Farben von dem Teil sind ja sowas von Win9x
Wo ist mein Aero und meine schönen Mauszeiger?

Das VBox-Zeugs lastet den Rechner fast komplett aus :shock:

Der Bildaufbau ist wesentlich langsamer.
Sanftes scrollen kam mir noch nie so ruckelig vor.

Zum Starten braucht das Teil "etwas" länger.

Wie soll man eigentlich seine, über Jahre liebevoll/mühsam vorgenommenen Einstellungen und Favoriten das komische Teil reinbekommen?

Und was ist das für eine kranke Fensterverwaltung?
Wann wie wo Alt+Tab reagiert ist für mich noch relativ unverständlich unintuitiv.
Vorhin dachte ich mir, daß schrottteil hat einfach ein paar tabs geschlossen ... inzwischen glaub ich, der hatte nur ein neues fenster aufgemacht und das alte Fenster war dadurch nirgends mehr erkennbar.
Geht mal ein neues Browserfenster auf, bekommt man das nicht mit und der Wechsel ist nicht sehr praktikabel.



Für'n (größeres) Netbook ist das Teil vollkommen ungeeignet und häßlich sowieso. :stupid:

Und ich bin mir fast sicher, daß sich Viele sowas nicht täglich antun wöllten.

AW: Sicherer Browser - BitBox oder normaler Browser im Sandbox-Modus?
 

Wenn es um das Thema Sicherheit geht, schliesse ich mich dem an, 'Gibt es Nicht'
siehe http://www.heise.de/newsticker/meldu...s-1242127.html
Wie schon erwähnt wurde, Software wird von Menschen gemacht und Das andere auch, leider.

Gruss alfold

AW: Sicherer Browser - BitBox oder normaler Browser im Sandbox-Modus?
 

Dabei muß man das .exe nichtmal verstecken, da diese bekannten Dateendungen per Standard sowieso ausgeblendet sind.
Sowas läßt sich boch bestimmt auch mit einer URL machen.

statt
http://derböse.de/www.deine-bank.de
wird dann
http://www.deine-bank.de/dseörebed.
angezeigt :shock:

AW: Sicherer Browser - BitBox oder normaler Browser im Sandbox-Modus?
 

Browser:

Die Idee den Browser in eine VM zu stecken ist ja nicht neu und ich finde es eine gute Idee, dass das jetzt Laien zugänglich gemacht wird.
Eine (auf gut getesteten und gewarteten Komponenten aufbauende) durchdachte Selbstbaulösung ist im Fall eines ungezielten Angriffes bestimmt besser, aber darum muss man sich dann auch kümmern.

Unicode:

Das mit den Unicodezeichen ist schon ärgerlich, zumal es kaum eine schöne Lösung dafür gibt. Wenn man die Unterstützung dafür streicht, gucken die nach links schreibenden in die Röhre. Eventuell sollte man Endung und Name "getrennt" hintereinander schreiben, dann könnte man den Namen sortieren wie man will.

Abgesehen davon: ist das nicht schon ewig bekannt? Ich dachte, das sei längst irgendwie gefixt.

@himitsu: Dafür müsste die URL mit den Steuerzeichen eine gültige URL ergeben, oder?

AW: Sicherer Browser - BitBox oder normaler Browser im Sandbox-Modus?
 

@BUG:
Bekannt ja, ernst genommen nicht. Jetzt die richtige Lösung finden, ist schwer.
Da es ja nicht nur Windows(.exe) betrifft.

@himitsu
Genau erfasst!

Da kommt noch eine riesen Welle.
Da müssen alle noch mal richtig handanlegen an ihren Browsern

Gruss

AW: Sicherer Browser - BitBox oder normaler Browser im Sandbox-Modus?
 

Man müßte die LTR/RTL-Zeugs ja nicht abschaffen ... solche Steuerzeichen sollten einfach nur in URLs und Dateinamen gesperrt werden und aus is die Maus.

Wer war denn eigentlich auf die Idee mit den ausgeblendeten Dateierweiterungen gekommen?

PS: In dem Artikel hieß es, daß Linux und Mac nicht von solchen Dateierweiterungsgeschichten betroffen wären
(abgesehn von der Umleitung zum Wine), aber das stimmt nicht so ganz ... dort ist es noch schlimmer. :twisted:
Denn dort wird z.B. über den Dateiinhalt der Dateityp bestimmt und es ist total egal wie die Dateien heißen.

Da fand ich die Windowsvariante ja noch angenehmer, da man dort von außen sieht, was drin sein soll. :roll:
(man gätte nur noch konsequenter sein müssen ... also wenn .bmp draußen drann steht, dann muß BMP drin sein, sonst knallt's)

AW: Sicherer Browser - BitBox oder normaler Browser im Sandbox-Modus?
 

Also mein einfach zusammengeschustertes Beispiel wird in Firefox mit URL-Encode zerstört, der IE scheint die URL nichtmal zu verfolgen.
Wenn das in Browsern funktionieren würde, würde das vermutlich schon länger genutzt.