[def]

Zunächst: Es ist mir klar, dass man von dubioser Software möglichst die Finger lassen sollte. Davon braucht mich niemand zu überzeugen.

Dennoch - das muss ich zugeben - kommt es gelegentlich vor, dass ich die eine oder andere Software doch ganz gerne mal ausprobieren möchte, aber nicht weiß, wie vertrauenswürdig der Anbieter ist. Gibt es praktikable und sichere Möglichkeiten, eine Software z.B. in eine Sandbox oder so zu verbannen, um sie abgeschottet laufen zu lassen, ohne die Systemsicherheit zu gefährden? Oder auch einen ganz anderen Ansatz?

Konkret benutze ich momentan WinXP (32 Bit) Home Edition, aber natürlich wären auch andere Windows-Versionen in dieser Hinsicht interessant.

[Mr. Floppy]

Hm, das Problem an Sandboxen oder VMs ist, daß die darin laufende Software herauskriegen kann, daß sie eingesperrt ist (z.B. über Timer). Ein schlauer Schädling geht nur ans Werk, wenn er auch tatsächlich auf dem Hostsystem läuft. Im schlimmsten Fall testet man die dubiose Software in einer Sandbox und befindet sie für harmlos. Dann läßt man sie auf das echte System los und da geht es dann rund. Die Gefahr ist zwar ziemlich überschaubar, an so einen Schädling zu geraten, geben tut es sie aber. Solange ein VM-Check nicht in den Malware-Baukästen enthalten ist, sollte eine Sandbox aber für die 0815-Scriptkiddie-Schädlinge ausreichen.

[def]

@Mr. Floppy:

Gut, mit der Einschränkung könnt ich ja leben (dann wird die Software eben nur in der Sandbox genutzt).

Aber (@Mr. Floppy und @MagicAndre1981):

Gibt es denn Erfahrungswerte, wie sicher diese Sandbox-Systeme und VMs wirklich sind? Sind VMs überhaupt auf diesen Anwendungszweck ausgelegt? Ich rede ja hier nicht von vertrauenswürdiger Software, sondern potenzieller Schadsoftware.

Dieser Beitrag wurde von def bearbeitet: 07. April 2011 - 17:02

[Mr. Floppy]

Zitat

Gibt es denn Erfahrungswerte, wie sicher diese Sandbox-Systeme und VMs wirklich sind?

Du mußt halt immer damit rechnen, daß der Schädling aus dem Gastsystem ausbricht. Ich hab mich vor ein paar Jahren mal näher damit beschäftigt. Wie es aktuell aussieht, weiß ich nicht. Hin und wieder ließt man bei heise von solchen Ausbrüchen (klick). Um welche Sandbox es sich dabei handelt, ist ziemlich egal. Fakt ist, man kommt raus, wenn man es drauf anlegt.

Zitat

Sind VMs überhaupt auf diesen Anwendungszweck ausgelegt?

Ich finde sie sind dazu förmlich prädestiniert. Was kümmert es mich, wenn ein Schädling in einer VM wütet? Solange er da nicht raus kommt, kann er von mir aus machen was er will. Vom reiner Bauchgefühl würde ich sagen, daß es schwieriger ist, einer VM als einer Sandbox zu entkommen. Die Sandbox legt dem Prozeß mehr oder weniger nur noch mehr Restriktionen auf, laufen tut er aber auf dem Hostsystem. Bei einer VM ist immerhin noch das Gastsystem dazwischen.

Dieser Beitrag wurde von Mr. Floppy bearbeitet: 07. April 2011 - 17:24

[def]

Zitat (def: 07.04.2011, 18:01)

Sind VMs überhaupt auf diesen Anwendungszweck ausgelegt? Ich rede ja hier nicht von vertrauenswürdiger Software, sondern potenzieller Schadsoftware.

Zitat (Mr. Floppy: 07.04.2011, 18:19)

Ich finde sie dazu gerade prädestiniert. Was kümmert es mich, wenn ein Schädling in einer VM wütet? Solange er da nicht raus kommt, kann er von mir aus machen was er will.

Was ich meinte, war, ob normale VMs überhaupt von den Herstellern auf Sicherheit ausgelegt sind. Sandboxie ist offenbar direkt für solche Zwecke gedacht, aber wenn der Hersteller einer normalen VM diesen Fall, dass man potenziell gefährliche Software in der VM laufen lässt, gar nicht vorsieht, kann man ihm keinen Vorwurf machen, wenn die Schadsoftware aus der VM ausbricht - man muss sogar damit rechnen.

Aber offenbar spielt es keine (große) Rolle, was der Hersteller vorgesehen hat - "ausbruchsicher" ist wohl keine VM und keine Sandbox.

[Mr. Floppy]

Zitat

Aber offenbar spielt es keine (große) Rolle, was der Hersteller vorgesehen hat - "ausbruchsicher" ist wohl keine VM und keine Sandbox.

Genau, die Software befindet sich quasi in der Matrix. Um da raus zu kommen, muß man sich dessen erst mal bewußt werden. Wenn man weiß, daß man schläft, muß man aber zusätzlich noch herausfinden in wessen Bett (Xen, KVM, VMWare, Sandboxie, etc.), um einen Ansatzpunkt zu haben. Die Hürden sind schon recht hoch. Ich wollte ja nur sagen, daß es trotzdem möglich ist. Die überwiegende Mehrheit der Schadprogramme wird einfach auf das System losgehen, auf dem sie ausgeführt werden. Die Hersteller von Virenscannern machen es ja auch nicht anders. Wenn denen ständig die Hostsysteme für ihre Honeypots um die Ohren fliegen würden, hätte man bestimmt schon davon gehört.

Dieser Beitrag wurde von Mr. Floppy bearbeitet: 07. April 2011 - 17:53

[XiLeeN2004]

In der VM läuft ja immer noch ein OS, welches nach den gleichen Kriterien wie der Host, sicher konfiguriert sein sollte. Wenn dann für Host- und Gastsystem noch unterschiedliche Betriebssysteme zum Einsatz kommen, dann ist man schon recht sicher unterwegs. Sollte also ein Schädling bemerken in einer VM zu sein und ausbrechen, dann ist er auf dem Host mit großer Wahrscheinlichjkeit nicht mehr "lebensfähig". Mr. Floppy hat's ja schon gesagt, die meisten Schädlinge greifen spontan das System an. Die Wahrscheinlichkeit in einer VM zu landen ist derzeit zu gering, als das es sich lohnen würde, da großartig zu prüfen. Wobei es dann a) etliche verschiedene VMs gibt, b) etliche Hostsysteme, c) zu wenige Sicherheitslücken die in Kombination noch zum Erfolg führen. Alles zu viel Aufwand...

[def]

@Mr. Floppy & @XiLeeN2004: Vielen Dank für Eure Einschätzungen und Erklärungen.

Wenn jemand noch weitere Anmerkungen zum Thema hat - ich bin natürlich weiterhin ganz Ohr.