“Wer auf das falsche OS setzt hat selber schuld”
Eigentlich ist die Aussage nur zu unterstreichen, auf meinem 2. Rechner läuft Ubuntu und wer schon einmal auf beiden OS Systemen Xampp installiert hat, weiß welches System den Gesichtspunkt Sicherheit besser vetritt.
Auf der anderen Seite ist Windows ein Kampf an vorderster Front, nur wenn Du selber knietief in der Scheiße steckst, weißt Du was Krieg bedeutet XD.
Vor 2 Tagen mein Rechner neu aufgesetzt und natürlich ist gerade jetzt das Thema eigene PC Sicherheit besonders wichtig.
Virenscanner drauf, Spybot weils unter Windows leider nötig ist.
Im Router alles gecheckt sollte eigentlich reichen, oder?
Über Desktopfirewalls kann man geteilter Meinung sein und so hatte ich gestern mit 8BitNerd eine Skypeunterhaltung mit dem Themenschwerpunkt PC Sicherheit.
Nachdem wir stundenlang unseren Netzwerkverkehr ausgewertet und uns über die komischen Loginmethoden unterhalten haben (wir haben den Verdacht, dass evtl. Skype als Tür zum Bundestrojaner dient – aber das nur so nebenbei), gings ans eingemachte.
8BitNerd hat mir die kostenlose Desktopfirewall Comodo empfohlen, weniger als Systemschutz sondern weil diese schön den Netzwerktraffic (gesendete Pakete pro IP) mitsnifft.
Nettes Feature finde ich, werde diese die nächsten Tage einmal ausgiebig testen.
Als nächstes haben wir uns über Schadcodeprävention unterhalten, während ich bisher die These vertreten habe – unsichere Dateien nur in VMware zu starten wurde mir die kostenlose Freeware Sandboxie empfohlen.
Auf den ersten Blick ein geniales Teil, jede Systemsoftware ist verfügbar, kann in einer abgeschotteten Sandbox ausgeführt werden, angstfreies und sicheres surfen.
Systemresourcen werden so gut wie keine benötigt und die Dateien sind nicht wie unter VMware in einem vorher festgelegten Speicherbereich, sondern werden einfach in einem Windowsordner gesteckt.
8BitNerd hatte aber schon bedenken, ob Sandboxie wirklich so sicher ist und ich habe nach einigen Versuchen auch gleich die erste Sache gefunden, die dieses Programm gar nicht mehr so sicher machen.
Im Skype Dialog (als ich meinte, dass evtl. eine gravierende Lücke besteht) wurde natürlich sofort angemerkt, warum das noch niemand gefunden hat.
Antwort: Ich weiß es nicht, vielleicht hat einfach noch niemand nachgeschaut.
Meine Erkenntnis, Sandboxie hat eine gefährliche Schwachstelle, den Resourcenloader.
Wenn eine Schadcode.exe das nachladen einer Resource in Sandboxie veranlasst, dann können Daten aus der Resource ausgelesen werden – leichtes Spiel also für alle Passwortstealer etc..
In meinem Beispiel habe ich einfach einmal den Firefox in die leere Sandbox geladen, Benutzerkonto und den Firefoxcodierten Ordner ausgelesen und dann die cookies geklaut.
Das ganze nur als Demo um zu zeigen, dass man sich auf die Software nicht unbedingt verlassen sollte.
Hier nochmals ein Update zum Thema
Morgen hoo, gut geschriebener Beitrag und nettes Video, tut mir leid das ich gestern so früh offline ging.
Und genau so habe ich mir einen richtig guten Blog vorgestellt.
Sicherheitstipps, Erfahrungsberichte und Anschauungsvideos.
Viel besser als der alte “Hacker-Mist”. Der war zwar lustig, aber das jetzt, das wird interessant und lehrreich.
Viel Erfolg weiterhin und auf gute Lehrvideos
Andi1888
Hab ich mir schon irgendwie gedacht … Hatte frueher auch mehrere Tutos zu diesen Thema gefunden …
und WB Hoo
hab dein Blog vermisst.
Hey Hoo, dein Bericht ist sehr interessant.
Hab mir auch mal Comodo angeschaut, vielleicht stellst du über die software auch nochmal ein bericht online.
HoosArea Rockz
Das leidige Thema Sicherheit, das mit Skype ist sehr interessant
Von sandboxie halt ich nicht viel, daher lass ich da die finger von. Zudem hast du auch noch eindrucksvoll die Schwachstelle gezeigt.
Windows kann man net sicher machen, man kann das risiko nur minimieren indem mann sein Gehirn beim surfen im inet einschaltet.
Und nicht immer auf jede pr0n Seite gehen…. O_o
Guter text Hoo, mfg Payne
first!
or not?
ich selber hatte auch schon sanboxi fand es aber ansich schon nicht so berauschend, wenn ich files ausführen will nur auf der Vbox und nebenbei immer noch Wireshark
hoo finde den einstand für den blog sehr gelungen
weiter so
cu
Also ich empfehl Nod32 + Comodo Pro
hat bissher immer am besten gewirkt^^
schade…ich bin doch nur wegen videos hier…*großes X anklickt*….ich schau trotzdem hin und wieder hier vorbei…danke Hoo für alles
zum thema bundestrojaner denke ich das sie es ueber mehrere programe versuchen ist der rotkit einmal drauf
wirds schwer in zufinden.
mein tip ich denke in jedem vista ist er bereits mit drinn
alle messenger auch wahrscheinlich.
Ich verstehe das in diesem Kontext nicht. Die Daten die Du da mit Deinem PoC ausliest sind doch alles Daten die von Firefox selbst, bzw. seinem Parent-Prozess der Sandbox, angelegt werden…
Wenn Du Firefox in einer Sandbox startest und damit eine Internetseite ansteuerst die Cookies anlegt, dann speichert der Firefox- bzw. der Sandbox-Parent-Prozess die Daten auf der Festplatte. Ist es dann nicht logisch das ein anderer Child-Prozess der Sandbox auf genau diese Daten die er eben erzeugt hat auch wieder zugreifen kann?
hoohead: Szenario – Du surfst mit Deinem Parent Firefox und loggst Dich in einem Forum ein.
Dein Browser speichert cookies (oder noch besser, Du speicherst Passwörter im FF).
In Sandboxie wird egal wie der Aufruf firefox.exe starten gestartet.
Jetzt sind in dem Sanboxiefirefox die cookies und pw vom Parentbrowser enthalten, ohne dass Du surfen warst oder Passwörter eingegeben hast. Neue Veränderungen im Sandboxiebrowser wirken sich zwar nicht auf den Parentbrowser aus – aber da einige der Meinung waren, Sandboxie sei eine alternative zu VMware wollte ich die Erkenntnisse hier darlegen.
[...] von Hoohead’s Blog Eintrag wollte ich euch nun einige meiner Methoden vorstellen bzw. euch meine Trickkiste [...]
Ähm,
Zitat:
…In Sandboxie wird egal wie der Aufruf firefox.exe starten gestartet…
Und genau das ist es ja! Es git bis her in the wild keine Schadsoftware die auch nur ansatzweise die Sandboxie umgehen kann.
Das Video war / ist weder Informativ noch ist ersichtlich das es sich dabei um eine Schwachstelle handelt.
Das eindringen aus der Sandbox btw. in die Sandbox ist IMO nicht möglich!
Und zu eurer Verschwörungstheorie zum Thema Bund.Tr.: Albern, werdet erwachsen
hoohead: Erwachsen werden ist doch langweilig, da kann man sich gleich ne Kugel in den Kopf jagen und sterben gehen.
Zum Thema Sandboxie – schon mal was von Passwort Stealern gehört?
Das sind Programme die Dir Deine Passwörter klauen.
Wenn Du jetzt meinst, dass Du mit Deiner Sandbox sicher vor solchen pw-stealern bist, unterliegst Du einem Irrglauben.
Jede Resource die ich mit “schadcode.exe” in die Sandbox lade, kann anschließend von schadcode.exe auch ausgewertet werden.
Also alle Passwörter von Chatclienten, Passwörter die im Browser gespeichert sind, Deine Onlinegames Zugänge (steam etc.).
Scheint so als ob Du das Video nicht verstanden hast, weil cookies gehören zu den Dingen die man nicht unbdingt “Bösen Menschen” in die Hand geben soll.
Schau mal auf Wikipedia zum Thema xss nach.
danke für Deine guten Tipps. Hier und im CBR-Forum.
Vieles von hier nutze ich selber auch schon.
CNQ 4 all,.. weiter so und gruß auch an Nerd
Wisst ihr es gibt nix was wir nicht wirklich schaffen würden. Sandbox hin Sandbox her. Wenn wir was möchten dann bekommen wir das auch. Das Problem liegt eher an der Hardware und deren Logik die noch nicht komplett verstanden wurde, was da eigentlich konzipiert wurde. somit ist es ein Kindersiel für uns gewisse Dinge einfach zu tun ohne das ihr davon etwas mitbekommen würdet.
“In meinem Beispiel habe ich einfach einmal den Firefox in die leere Sandbox geladen, Benutzerkonto und den Firefoxcodierten Ordner ausgelesen und dann die cookies geklaut.”
verstehe ich das richtig: du speicherst das passwort in firefox ab und dieses kann dann ausgelesen werden (kann das video gerade nicht laden)?
hast du die aktuelle sandboxie-version mal getestet bzw. dem entwickler auf die schwachstelle hingewiesen?
die idee hinter sandbox finde ich sehr interessant und weniger aufwendig als eine vm (wobei das jeder für sich selbst entscheiden muss).
hoohead: Die aktuelle Version habe ich nicht getestet, werde ich aber umgehend nachholen und hier berichten. Ansonsten hast Du das richtig verstanden – auch mit den Passwörter auslesen.
[...] Artikel über eine mögliche Sicherheitslücke [...]
Wenn ich das richtig verstehe, dann entspricht das immernoch dem Konzept einer Sandbox. Das Programm xy , was ich in der Sandbox ausführe, dessen Bestandteile/Rescource sind auch von diesem Programm xy zugreifbar (z.B. werden die Daten alle vor der Ausführung des Programms xy in die sandbox kopiert). Wenn dann Schadcode von bzw. innerhalb von Programm xy ausgeführt wird, kann er ebenso darauf zugreifen, aber nicht darüber hinaus. Es ist auch sinnfrei PW zu speichern… In der Sandbox soll sicherheitsbedenklicher Code und nicht sicherheitsrelevanter Code/Daten gekapselt werden. Es ist ein Gefängnis und keine Festung.
hoohead: Genau das ist das was die meisten denken und das Gegenteil beweise ich in dem Video. Es ist so, dass die kompletten Systemresourcen, alle Programme, Files, Registry Einträge usw. ausgelesen werden können. Sprich sämtliche Passwörter die irgendwo gespeichert sind, lassen sich durch ein einziges Programm (Schadcode) welches ich ALLEINE innerhalb der Sandbox ausführe auslesen.
Die Sandbox verhindert nur, dass ich ich auf diese Bereich schreibend zugreife.
Sprich, wenn ich einen Passwortstealer habe, der “nur” die Funktion hat, das System zu durchsuchen und alle Funde (Passwörter) nach Hause zu schicken (ohne dabei Systemänderungen vorzunehmen), dann ist es vollkommen egal, ob ich diesen Stealer innerhalb oder außerhalb der Sandbox starte – das Ergebnis ist das selbe.
Ok, alles klar. Ich habe mir das Video noch nicht ansehen können und aus dem Text, war es mir nicht sofort klar geworden.
Ich schaue mir Sandboxie mal an. Es müsste möglich sein explizite Lese-Freigaben, ggf. auf Anfrage des Programms, zu erteilen. Vielleicht, wenn noch nicht geschehen, wäre das ein Tip für den Entwickler. PS: meine ersten Erfahrungen mit Sandboxie liegen mind. 5 Jahre zurück und damals war es mir nicht ausgereift genug.
Danke nochmal an dieser Stelle für Deine Untersuchung und Hinweise hier.
Zunächst, dem “Danke!” meines Vorgängers ARKTIK schließe ich mich gerne an.
Dann, auch ich finde SBIE “nicht schlecht”, wie Du Dich im Video ausdrückst: “Grundsätzlich” sei dieses Prog von “großem Vorteil”… und das angesichts/trotz Deiner ent- und aufgedeckten “Lücke”!
Unter einem ganz bestimmten Szenario (!) seien ja unangenehme Nebenwirkungen nicht auszuschließen… übrigens, ganz gegenteiliger Aussagen auf der SBIE-Homepage selbst, welche die von Dir zurecht kritisierten falschen Vorstellungen über solche Programme gerade provozieren bzw. befördern.
Dennoch, das Gute “könnte” man durchaus “vielleicht” noch ein “bißchen besser machen”, sagst Du in Deiner Botschaft.
Von daher, würde mich schon mal interessieren, wie und inwiefern das aus Deiner Sicht zu realisieren wäre, diesen entdeckten “absoluten Müll” aus der kleinen SBIE zu schaffen? Außerdem, vielleicht hast Du in konstruktiver Absicht “Truk” mittlerweilen selbst mal auf seinen “absoluten Müll” hin angesprochen?
Allerdings, wenn man die Changelogs der einzelnen Upgrades der vergangenen gut drei Jahre seit Erscheinen Deines Videos durchschaut, dann kann ich allerdings nichts darin entdecken, was in Richtung der Beseitigung dieses “Bug” geht. Oder vertu’ ich mich?
In dem genannten Zeitraum sind insgesamt fünf SBIE-Versionen erschienen… zuletzt Ende November letzten Jahres die v3.62.
Von daher, ein Jahr nach JODAs Comment, da könnte es vielleicht mal möglich (gewesen) sein, einen “aktuellen Test” dieses prinzipell schönen Virtualisierers “umgehend nachzuholen und hier zu berichten” und ein kleines Versprechen einzulösen?
Ich bitte darum!
Und könnte mir vorstellen, auch andere wären dankbar.
Gruß
zk