1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Malvertising: US-Nutzer mit Angler…

Isolation via Sandbox

  1. Thema

Neues Thema Ansicht wechseln


  1. Isolation via Sandbox

    Autor: Wallbreaker 16.03.16 - 14:29

    Es sollte an sich Jedem einleuchten, dass Software generell Lücken hat. Ganz gleich was auch genutzt wird, es besteht über den Browser immer ein erhöhtes Potenzial für Infektionen.
    Nur anstatt ewig immer alles deinstallieren zu müssen, wozu ich zwar auch gerne rate, wäre es doch eigentlich nützlicher solche Anwendungen schlicht zu isolieren.
    Sprich in VMs oder auch Sandboxen zu betreiben, damit nicht jede winzige Lücke in Browser-Technologien unmittelbar das System gefährdet.

    Aus Erfahrungen heraus ist das unter Windows eine recht lästige Angelegenheit, auch wenn Ansätze wie Sandboxie z.B. durchaus zu gebrauchen wenn auch umständlich waren. Und laufend mit VMs zu arbeiten ist auch nicht gerade komfortabel noch besonders schnell.
    Doch unter Linux gibt es seit einiger Zeit ein Programm, genannt Firejail, was so gesehen als eine Art Frontend für Kernelfunktionen dient die bereits existieren, aber nicht gerade einfach zu handhaben sind. Das bemerkenswerte daran ist die überaus einfache und fast schon idiotensichere Handhabung, was so ziemlich jeder Anfänger bedienen kann.
    Und es stellt auch eine lohnenswerte Alternative zu VMs, SELinux und AppArmor dar, ohne effektiv weniger sicher zu sein. Gerade weil es auf Funktionen basiert die es quasi unter jeder Distribution gibt, ist es auch überaus gut integriert.
    Kann also nahezu ohne erkennbaren Overhead Anwendungen aller Art sicher isolieren, ohne dabei in irgendeiner Weise lästig zu sein oder den Betrieb zu stören.

    Bei Interesse hier gibt es Infomaterial dazu:

    https://github.com/netblue30/firejail/

    In der Wirkungsweise ist diese Lösung auch Chroot-Jails und LXC Containern überlegen. Letzteres kommt unter Anderem auch bei Docker zum Einsatz.
    Ein netter Nebeneffekt ist auch, dass Firejail parallel zu bereits angegebenen Lösungen genutzt werden kann. Sogar VMs wie Qemu lassen sich darin problemlos starten, und macht diese so gesehen noch sicherer.



    2 mal bearbeitet, zuletzt am 16.03.16 14:32 durch Wallbreaker.

  2. Re: Isolation via Sandbox

    Autor: Menplant 16.03.16 - 15:12

    Wallbreaker schrieb:
    --------------------------------------------------------------------------------
    > Es sollte an sich Jedem einleuchten, dass Software generell Lücken hat.
    > Ganz gleich was auch genutzt wird, es besteht über den Browser immer ein
    > erhöhtes Potenzial für Infektionen.
    mit Haskell/Linux/... wäre das nicht passiert :^)

    > Nur anstatt ewig immer alles deinstallieren zu müssen, wozu ich zwar auch
    > gerne rate, wäre es doch eigentlich nützlicher solche Anwendungen schlicht
    > zu isolieren.
    > Sprich in VMs oder auch Sandboxen zu betreiben, damit nicht jede winzige
    > Lücke in Browser-Technologien unmittelbar das System gefährdet.

    Wenn jeder Sandboxes nutzt, wirst du ganz schnell feststellen, dass die auch nur "Software" sind. Es geht hier auch um ein gewisses Maß an Komfortabilität. Eine Sandbox geht zu kosten von Performance. Natürlich kann man sich auch einen 2. Rechner nur zum Surfen hinstellen. Sobald ich aber irgendwas von meinem 2. Rechner auf den ersten übertragen will, ist aber wieder ein potenzielles Sicherheitsloch geschaffen. Du bist nie 100% sicher egal in wie viele Schichten Luftpolsterfolie du dich einwickelst.

  3. Re: Isolation via Sandbox

    Autor: Wallbreaker 16.03.16 - 15:48

    Menplant schrieb:
    --------------------------------------------------------------------------------
    > mit Haskell/Linux/... wäre das nicht passiert :^)

    Eigentlich schon wenn der Browser so gar nicht geschützt wird. Das Home-Verzeichnis steht immer zur Verfügung, sofern man von Standardinstallationen ausgeht.

    > Wenn jeder Sandboxes nutzt, wirst du ganz schnell feststellen, dass die
    > auch nur "Software" sind.

    Das wäre traumhaft wenn der Browser an sich somit Gefahrenpotenzial verliert.
    Wo wurde denn das Gegenteil behauptet? Ich nehme mal an es geht konkret um Lücken in Software und unvorhersehbare Auswirkungen. Das ist zwar prinzipiell richtig, auch eine Sandbox kann Lücken haben, nur muss hier schon Einiges sehr übel mitspielen damit das funktioniert. Nicht unmöglich aber auch nicht sehr wahrscheinlich.

    > Eine Sandbox geht zu kosten von Performance.

    Diese nicht und das liegt in der Natur der Sache selbst. Es geht hier explizit nicht um Virtualisierung, sondern um wirksame Einschränkungen seitens des Kernels.
    Sprich Restriktionen via Cgroups, Seccomp, Namespaces und weiterer Maßnahmen, die es verdammt schwer machen etwas zu nutzen was nicht gestattet ist.
    Es geht ja nahezu bei allem immer nur um das Erschweren, auch wenn 100% Sicherheit wohl ein Traum bleiben wird. Aber dennoch kein Traum bleiben muss, wenn man mit Einschränkungen kein Problem hat, was einen sehr nahe an die 100% heran kommen lässt.

    > Natürlich kann man sich auch einen 2. Rechner nur zum Surfen hinstellen. Sobald ich
    > aber irgendwas von meinem 2. Rechner auf den ersten übertragen will, ist
    > aber wieder ein potenzielles Sicherheitsloch geschaffen. Du bist nie 100%
    > sicher egal in wie viele Schichten Luftpolsterfolie du dich einwickelst.

    Das wäre wieder sehr lästig. Zwar nie völlig sicher aber man kann viele wirksame Steine in den Weg legen, um den Aufwand vielfach endlos zu steigern.
    Man muss aber auch realistisch bleiben, denn je nach Einschränkung ist auch mal Feierabend mit Angriffsfläche. Und wenn es schon bequeme Lösungen gibt nach denen immer geschrien wird, dann kann man sich diese auch zunutze machen. ;)

  4. Re: Isolation via Sandbox

    Autor: Menplant 16.03.16 - 17:12

    Wallbreaker schrieb:
    --------------------------------------------------------------------------------
    > Menplant schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > mit Haskell/Linux/... wäre das nicht passiert :^)
    >
    > Eigentlich schon wenn der Browser so gar nicht geschützt wird. Das
    > Home-Verzeichnis steht immer zur Verfügung, sofern man von
    > Standardinstallationen ausgeht.
    war auch nur als Scherz gemeint
    http://www.xkcd.com/1312/
    > > Wenn jeder Sandboxes nutzt, wirst du ganz schnell feststellen, dass die
    > > auch nur "Software" sind.
    >
    > Das wäre traumhaft wenn der Browser an sich somit Gefahrenpotenzial
    > verliert.
    > Wo wurde denn das Gegenteil behauptet? Ich nehme mal an es geht konkret um
    > Lücken in Software und unvorhersehbare Auswirkungen. Das ist zwar
    > prinzipiell richtig, auch eine Sandbox kann Lücken haben, nur muss hier
    > schon Einiges sehr übel mitspielen damit das funktioniert. Nicht unmöglich
    > aber auch nicht sehr wahrscheinlich.
    richtig, ich sag auch nicht das Sandbox keinen großen Sicherheitsgewinn mit sich bringt. Allerdings, sollte jeder Browser in einer Sandbox laufen, werden logischerweise alle Viren darauf angepasst. Die Viren könnten prüfen ob sie in einer Sandbox laufen und alternative Wege für Infektion des eigentlichen Systems nutzen. Außerdem ist der Browser in der Sandbox selbst schon ein eventuelles Angriffsziel.

  5. Re: Isolation via Sandbox

    Autor: 0xDEADC0DE 16.03.16 - 17:15

    Auch Sandboxes sind nicht vollständig abgekapselt, dazu gab es auch schon Artikel. Es ist Illusion zu glauben ein weit verbreitetes, standardisiertes System lässt sich nicht überwinden.

  6. Re: Isolation via Sandbox

    Autor: Stebs 17.03.16 - 05:55

    Wallbreaker schrieb:
    --------------------------------------------------------------------------------

    > Doch unter Linux gibt es seit einiger Zeit ein Programm, genannt Firejail,
    > was so gesehen als eine Art Frontend für Kernelfunktionen dient die bereits
    > existieren, aber nicht gerade einfach zu handhaben sind. Das bemerkenswerte
    > daran ist die überaus einfache und fast schon idiotensichere Handhabung,
    > was so ziemlich jeder Anfänger bedienen kann.
    Kurz angeschaut, das nutzt Linux namespaces und seccomp-bpf, beides nutzt Firefox aber mittlerweile schon selber (einfach mal ganz unten bei about:support nachschauen), wenn es die Distribution rsp. der Kernel anbietet.
    Keine Ahnung ob dieses doppelt-gemoppelt dann wirklich sicherer ist, oder sich gar ins Gehege kommen kann...
    Die Linux namespaces sollten übrigens noch nicht so richtig tolle funktionieren und noch so einige Probleme haben.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. HUK-COBURG Versicherungsgruppe, Coburg
  2. finanzen.de, Berlin
  3. LPKF Laser & Electronics AG, Garbsen bei Hannover
  4. Beckhoff Automation GmbH & Co. KG, Verl

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Support-Ende von Windows 7: Für wen Linux eine Alternative zu Windows 10 ist
Support-Ende von Windows 7
Für wen Linux eine Alternative zu Windows 10 ist

Windows 7 erreicht sein Lebensende (End of Life) und wird von Microsoft künftig nicht mehr mit Updates versorgt. Lohnt sich ein Umstieg auf Linux statt auf Windows 10? Wir finden: in den meisten Fällen schon.
Von Martin Loschwitz

  1. Lutris EA verbannt offenbar Linux-Gamer aus Battlefield 5
  2. Linux-Rechner System 76 will eigene Laptops bauen
  3. Grafiktreiber Nvidia will weiter einheitliches Speicher-API für Linux

Kailh-Box-Switches im Test: Besser und lauter geht ein klickender Switch kaum
Kailh-Box-Switches im Test
Besser und lauter geht ein klickender Switch kaum

Wer klickende Tastatur-Switches mag, wird die dunkelblauen Kailh-Box-Schalter lieben: Eine eingebaute Stahlfeder sorgt für zwei satte Klicks pro Anschlag. Im Test merken unsere Finger aber schnell den hohen taktilen Widerstand.
Ein Test von Tobias Költzsch

  1. Keychron K6 Kompakte drahtlose Tastatur mit austauschbaren Switches
  2. Charachorder Schneller tippen als die Tastatur erlaubt
  3. Brydge+ iPad-Tastatur mit Multi-Touch-Trackpad

Shitrix: Das Citrix-Desaster
Shitrix
Das Citrix-Desaster

Eine Sicherheitslücke in Geräten der Firma Citrix zeigt in erschreckender Weise, wie schlecht es um die IT-Sicherheit in Behörden steht. Es fehlt an den absoluten Grundlagen.
Ein IMHO von Hanno Böck

  1. Perl-Injection Citrix-Geräte mit schwerer Sicherheitslücke und ohne Update

  1. Vodafone: Kabelfernsehkunden sterben in Zukunft aus
    Vodafone
    Kabelfernsehkunden sterben in Zukunft aus

    Vodafone sieht bei jungen Menschen wenig Interesse, Kabelfernsehen zu abonnieren. Ein deutscher Netflix-Manager sprach über den Streaminganbieter.

  2. FBI-Wunsch: Apple verzichtete auf iCloud-Verschlüsselung
    FBI-Wunsch
    Apple verzichtete auf iCloud-Verschlüsselung

    Apple war einer Bitte des FBI laut der Nachrichtenagentur Reuters nachgekommen und verzichtete auf die Einführung verschlüsselter iPhone-Backups in der iCloud. Apple habe einem Streit mit Beamten aus dem Weg gehen wollen, erklärte eine Reuters-Quelle - geholfen hat es indes nicht.

  3. Rainbow Six Siege: Ubisoft verklagt DDoS-Anbieter
    Rainbow Six Siege
    Ubisoft verklagt DDoS-Anbieter

    Seit Monaten gibt es DDOS-Angriffe gegen Rainbow Six Siege, nun klagt Ubisoft gegen einen Anbieter. Der offeriert das Lahmlegen der Server ab 150 Euro, offenbar stecken auch Deutsche hinter den Attacken.


  1. 19:21

  2. 18:24

  3. 17:16

  4. 17:01

  5. 16:47

  6. 16:33

  7. 15:24

  8. 15:09