Primena Sandbox koncepta kroz aplikacije

• 11Ovo se svidja korisnicima: higuy, Brok, acikabig, NIx Car, TwinHeadedEagle, mcrule, Brano, nemanja066, dr_Bora, code381, vasa.93
  
  Registruj se da bi pohvalio/la poruku!

Primena Sandbox koncepta kroz aplikacije






[0] Uvod





Možda ne tako davne 2006. godine, bobby je objavio članak o sandboxu. Ovaj članak ima za cilj da neke teorijske koncepte, koji su izneseni u tom članku, --> više približi krajnjim korisnicima kroz praktične funkcionalnosti nekih aplikacija koje su dostupne na tržištu. Preporučujem, za početak, čitanje bobby-jevog članka za upoznavanje sa konceptom sandboxa.

Iz tog članka može se videti da postoje dve glavne grane primene sandbox aplikacija:

a) "Per-file sandboxing" - u ovom slučaju se, dakle, prave virtuelne kopije samo onih datoteka koje kreiraju i menjaju sandboxovane aplikacije. Aplikacije ovog tipa su Sandboxie, BufferZone, GesWall i drugi. Princip rada ovih aplikacija će biti objašnjen na primeru aplikacije Sandboxie.

b) "freeze sandboxing" - ovaj (improvizovani) termin se odnosi na one aplikacije koje se baziraju na zamrzavanju postojećeg stanja i keširanju promena nad sistemom. Keširane promene se najčešće mogu potvrditi ili odbaciti u aplikacijama. Princip rada je objašnjen na primeru aplikacije Toolwiz Time Freeze.






[1] Sandboxie





Citat:Preuzimanje: DOWNLOAD
Veličina: ~2.2 MB
Licenca: "nagware", tj. posle 30 dana upotrebe iskaču razni prozori (nag screens) da se kupi softver

Sandboxie pokreće aplikacije u izolovanom prostoru, koji se zove sandbox. Aplikacije unutar sandboxa funkcionišu na normalan, uobičajen način, bez umanjivanja njihovih performansi. Promene koje čine ove aplikacije se ne odražavaju permamentno na operativni sistem, već se izvršavaju kontrolisano, u ograničenom (izolovanom) prostoru.






Najvažnija komponenta Sandboxie-a je njegov low level drajver koji je zadužen za kreiranje izolovanog prostora i izvršavanje aplikacija u tom prostoru. Prilikom instalacije ovog softvera, preporučuje se isključivanje zaštitnog softvera, jer može poremetiti instalaciju ovog drajvera. Prilikom instalacije softvera, prikazaće se ovaj prozor:




Manipulacija i konfiguracija Sandboxie-ja vrši se kroz komponentu Sandboxie Control (Start --> All Programs --> Sandboxie --> Sandboxie Control). Pri pokretanju ove komponente, uočite i žutu ikonicu u System Tray-u, koja daje pristup najčešće korištenim opcijama ove komponente.




Može se primetiti da postoji Sandbox DefaultBox. U pitanju je podrazumevani sandbox, koji je omogućen za upotrebu odmah po instalaciji Sandboxie-a. Naravno, moguće je kreirati i korisničke (custom) box-ove sa odgovarajućim parametrima.

Na Desktopu se može videti ikonica na kojoj piše: Sandboxed Web Browser; dvostrukim klikom miša na ovu ikonicu otvara se podrazumevani Web browser (u mom slučaju Opera) koji je sandboxovan. Uočimo karaktere #, koji nagoveštavaju da Operu sada Sandboxie drži pod kontrolom:




Programi se mogu pokretati i iz System Tray-a, preko žute Sandboxie ikonice. Na primer, umesto da pokrenemo podrazumevani Web browser preko ikonice sa Desktopa, može se uraditi sledeće:
Desni klik na žutu ikonicu --> DefaultBox --> Run Web Browser. Videti sledeću sliku:



Sa slike se vidi i prozor Sandboxie Control, gde se vidi da je Opera sandboxovana.

Pored Opere, u ovom prozoru se mogu pojaviti i još neki programi, koji omogućavaju pravilno funkcionisanje Opere (odnosno, nekog programa) u izolovanom prostoru.


~~TEST~~


Na osnovu ovog testa možete na najbolji način videti kako sandbox tehnike mogu pomoći da se zaštitite vaš Web Browser i računar.

Najpre sam otvorio sandboxovani Internet Explorer 8, kliknuo na Tools i odabrao Manage Add-Ons.
- Unutar Toolbars and Extensions sam onemogućio (disable) sve ekstenzije,
- Unutar Search Providers sam uklonio sve providere (osim Binga),
- Unutar Accelerators sam uklonio sve akceleratore i dodao jedan novi - Youtube

Nakon gašenja Internet Explorera i pokretanja u normalnom režimu rada, navedenih promena nije bilo (kao da se ništa nije desilo), dakle:
- sve ekstenzije su omogućene (enabled)
- provideri su ostali netaknuti
- akceleratori su ostali tu, a novog (Youtube) nije bilo.


Onda sam otvorio sandboxovani Mozilla Firefox 3.6 i rešio da se zarazim sa uzorkom maliciozne ekstenzije za Firefox. Dosta korisnika sa ovim problemom se obratilo Ambulanti foruma za pomoć.

Kao što se vidi sa sledeće slike, još jedna od indikacija da je aplikacija sandboxovana je žuti okvir oko njenog prozora kada se preko istog prevuče strelica miša.

Maliciozna Youtube ekstenzija zahteva restart Firefoxa.




Dakle, Firefox se automatski pokreće u sandboxovanom režimu (što je bitno). Sa slike se vidi da je maliciozna ekstenzija uspešno instalirana (instalirao sam i jedan legitimni plugin pride). Da sam se kojim slučajem logovao na Facebook sa ovakvim browserom, desila bi se neželjena ponašanja (pisanje po zidu, pecanje ostalih korisnika i slično, zavisno od uzorka).




Kada sam ugasio sandboxovni Firefox i pokrenuo ga u "normalnom" režimu, ovih ekstenzija nije bilo



U ovome testu je pokazano da na ovaj način možete da se zaštitite od malware-a koristeći sandbox tehnike.

Preko sandboxovanog Web browsera se mogu preuzeti datoteke. Bitno je pomenuti 3 stvari:

a) Sve kreirane i modifikovane datoteke se nalaze u izolovanom području,
b) datoteke u sandboxu nisu vidljive van izolovanog područja,
c) datotekama u izolovanom području je moguće pristupiti samo preko Sandboxie-a, i o tome se stara njegov low level drajver.

Preuzeo sam, preko sandboxovane Opere, McShiled v2 i sačuvao u folder C:\CLANAK . Uočimo na koji način možemo da vratimo datoteku koja sa nalazi u izolovanom prostoru:

Preko opcije Explore Contents pregledava se sadržaj izolovanog prostora:




Brži način prebacivanja podataka (u ovom kontekstu - recover), može se ostvariti i preko opcije Quick Recovery. Potrebno je dodati folder: C:\CLANAK u listu i povratiti datoteku u neki folder (može se vratiti i u stvarni folder C:\CLANAK).





Aplikacije koje imaju slično ponašanje:


- BufferZone, o kome je pisao Goran9888, u ovom članku,

- GesWall, postoji freeware i komercijalna verzija; LINK






[2] Toolwiz Time Freeze




Citat:Preuzimanje: DOWNLOAD
Veličina: ~1.1 MB
Licenca: freeware


Za razliku od Sandboxie-a koji nije tražio restart računara da bi dovršio instalaciju, za instaliranje ovog softvera je neophodno restartovanje, kako bi isti instalirao svoj drajver.

Takođe, kako smo rekli u uvodu, i koncept je drugačiji. Ovaj softver klikom na dugme Start TimeFreeze zamrzava računar u smislu da se sve promene nad računarom keširaju u izolovanom prostoru na disku.




Dok sam pisao članak baš sam se nasmejao kod ovoga programa iz razloga, što kada sam hvatao screenshotove sistem je bio pod freezom, tako da je ostao samo ovaj screenshot pre pokretanja Freeza

Dakle, kada je sistem zamrznut i dalje možete na uobičajen način da koristite računar: surfujete internetom, instalirate programe, drajvere, aplikacije ili se inficirate Inficirao sam se sa par crva, malo surfovao i instalirao par programa. Kada započne freeze, rekli smo, sve promene se keširaju na posebnom mestu, a veličina tog keša maksimalno može da iznosi 4 GB. Nakon što završite sa radom, treba da kliknete na Stop TimeFreeze, usled čega će vas softver upitati da li želite da potvrdite sve promene koje su keširane ili da odbacite promene. Ja sam odbacio sve promene, odmah nakon toga se sistem restartovao, a time su nestali i ostali screenshotovi koje sam kreirao.

Prednost ovog softvera je što se ne mora restartovati računar da bi se ušlo u neki posebni Freeze način rada.

Mana ovog softvera je ta:
- što se može osetiti pad performansi računara, nastao usled keširanja sadržaja,
- što nije moguće ući u izolovani prostor i preuzeti neke datoteke (moguće je samo potvrditi sve promene ili odbaciti iste). Tako da su i kreirani screenshotovi nestali.
- nije moguće odložiti potvrdu promena (da se promene potvrde nakon par restartovanja sistema, na primer)



Aplikacije koje imaju slično ponašanje:


- Wondershare Time Freeze, freeware REVIEW ,

- Shadow Defender, komercijalan REVIEW

- Windows SteadyState, razvoj je obustavljen za ovaj softver 2008. godine, ali ga pominjem jer sam kod njega video opciju "Persist mode", koja keširane promene može da zadrži nakon više pokretanja računara. Ova opcija ne postoji kod pomenutih prethodnika u ovoj kategoriji. više informacija

- DeepFreeze, koja "dubinski zamrzava" operativni sistem i takvo stanje vraća nakon restarta sistema. LINK . U novim verzijama, je ipak moguće kreirati i "raskravljenu zonu" (thawed area) koja neće biti "dubinski zamrznuta". Ovo je idealno za igraonice i/ili Internet kafee.

- Ovom prilikom ću pomenuti i Returnil System Safe 2011 Free, jer pored standardnih feature-a (koji se očekuju od ovih programa), uključuje i Virus Guard, real time monitoring modul. Odmah po instalaciji nudi Quick Scan.




Ovaj modul se nije baš dobro pokazao, na osnovu mog iskustva, jer je detektovao i legitimne aplikacije kao malware....


- Besplatna verzija je, u najmanju ruku obogaljena. (aka "plati pa se klati" )




Keširani sadržaj je moguće pregledati preko specijalnog file managera (što je dobar feature jer vam pruža kontrolu nad keširanim sadržajem), ali u komercijalnoj verziji...

Iz Virtualnog moda (zamrznutog moda) je moguće pristupiti realnom hard disku, ali se i to plaća.

Takođe i uključuje koncept Virtualnog diska, podrazumevano "Z", na kome je moguće skladištiti bitne podatke nastale u toku virtualnog režima (videti sliku).


Napomena
Proširenu verziju članka sam objavio ovde:
na srpskom: [Link mogu videti samo ulogovani korisnici]
na engleskom: [Link mogu videti samo ulogovani korisnici]

• 6Ovo se svidja korisnicima: TwinHeadedEagle, mcrule, Brano, dr_Bora, ThePhilosopher, code381
  
  Registruj se da bi pohvalio/la poruku!

Mislim da je bitno napomenuti jednu razliku izmedju Sandboxie i "File system virtualization"/"Freeze sandboxing" aplikacija kao sto su Shadow defender, Toolwiz Time Freeze etc.:
-Sandboxie ne dozvoljava aplikaciji u sandbox-u da dobije kernel mode privilegije: instalacija low-level drivera je onemogucena.
Na primer: [Link mogu videti samo ulogovani korisnici]



Ovo osigurava da malware nema previse privilegija na sistemu, samim tim sanse da se realni sistem inficira su mnogo manje.
File system virtualization radi na principu File system filter drajvera koji belezi write operacije na disku, dok kernel-mode privilegije programa koji se pokrecu u "frozen state-u" nisu bitne.

Returnil i jos neki ne uspevaju da vrate promene nastale na pr. TDL infekcijom i sl. naprednim rootkit/MBR/VBR malicioznim programima.
(Jedino Shadow defender nije ranjiv na TDL i slicne po mojim testovima, ali s obzirom da je jedini/glavni programer nestao, Sahadow defender je abandonware)

Edit: tek sad videh da je bobby pomenuo ovo u clanku iz 2006. sry

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

puno hvala ali to meni puno komplikovano neznam ja to uraditi ja imam avast anti virus kolko on stiti

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Avast je dobar antivirus, ali uzalud su svi programi za zaštitu ako ne paziš šta radiš.
Obavezno pročitaj ovaj članak: [Link mogu videti samo ulogovani korisnici]

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Definitivno najbolji alati, a najlepse kad odrade svoj posao jednostavno i efikasno bez mnogo resursa
1. MCShield - ovi momci stvarno znaju znanje is prakse, ekstra
2. Sandboxie - forsirani folderi i programi, "drop right", restrikcije
3. Returnil - Lite omogucava autostart u LUA