27/7/2013
Ciekawe badanie zostało opublikowane przez Bromium Labs. Na tapetę wzięto sandboksy Google Chrome, Adobe Reader, Sandboxie, BufferZone Pro i Dell Protected Workspace, a następnie porównano ich bezpieczeństwo, głównie pod kątem znanych ataków i publicznie dostępnych exploitów.
Cały, bardzo ciekawy raport dostępny jest w PDF — dobry materiał na weekendową lekturę, zwłaszcza że porusza także zasadę działania wewnętrznych mechanizmów systemu Windows. Poniżej krótkie podsumowanie wyników:
Na liście nie ma vSentry, czyli produktu Bromium Labs, bo firma uważa, że to mikro-wirtualizacja a nie sandboksing. Wyniki testów vSentry można jednak zobaczyć tutaj.
brakuje sandboksów z comodo av i avasta. może to trochę
inna klasa, niemniej – brak
No to ale mi sandboxy… A się człowiek zabezpieczony czuł… Idź pan w p***u ;]
Z tego co rozumiem, to musi być atak wymierzony w dany sandbox?
Czyli jak używam sandboxie to i tak mam jakąś tam ochronę?
“Migrating to another process that runs outside of the
Sandboxie container, before continuing the attack. We chose the
second method, because it is more generic and could possibly bypass
other sandboxes in Type A.”
Na Linuksie niedługo pojawi się sandbox dla twórców
programów zwany Capsicium, dzięki któremu deweloperzy programów na
Linuksa będą mogli w łatwy sposób stworzyć bezpieczne środowisko z
którego w razie zaatakowania ich programów będzie bardzo trudno
uciec. Będzie ograniczenie dla programu dotyczące z jakich syscall
może korzystać, z jakich wywołań API dostarczanych przez demony w
user space może korzystać, do jakich plików może mieć dostęp, z
jakimi programami może w ogóle w jakikolwiek sposób się poprzez
jakikolwiek mechanizm IPC komunikować. Jeżeli chodzi o izolację GUI
to w Waylandzie (zastąpi on X serwer) jak najbardziej będzie miała
miejsce podstawowa, a za pomocą pluginów będzie można wprowadzić
pełnoprawne ACL. Jak zwykle w kwestii bezpieczeństwa Linux będzie
wieki przed Windowsem, chociaż nie chcę się oszukiwać – też
prawdopodobnie da się do niego włamać nawet jeśli użyje się
wszelkich zabezpieczeń.
We FreeBSD capsicum jest juz od jakiegos czasu.
A gdzie jest “EMET 3.0” od Microsoftu? Czemu nie
przetestowali jego skuteczności?
Bo nikt już nie pamięta, czym był Microsoft.
Pozostaje używać VirtualBox’a, a Sanboxie uruchamiać tylko gdy nie chce się zaśmiecać dysku (ja używam go przy np. Facebook Messenger, bo nie chcę nawet patrzeć, co robi za plecami).
Znów “na tapetę”? Uczepiliście się tapety, a to bez sensu i żenada.
http://pl.wikipedia.org/wiki/Tapet
Warto zauważyć, że autorem publikacji jest m.in. Rafał Wojtczuk. Wcześniej pracował on razem z Joanną Rutkowską przy projekcie QubesOS. Samo Bromium oferuje zabezpieczenie koncepcyjnie dość podobne do tego, na czym opiera się QubesOS.
Odnośnie Capsicium to można to już testować na FreeBSD (cały projekt w znacznym stopniu rozwija Paweł Dawidek, więc również polski akcent). Wersja dla linuksa jest rozwijana przez Google, ale będzie to port z FreeBSD.
Z testu wynika że np. Chrome uruchomione pod kontrolą Sandboxie to dobre combo. Szkoda że nie sprawdzili innych typów programów zabezpieczających tj.: Anti-Exploit (EMET, Malwarebytes Anti-Exploit itp.), Lekkich Wirtualizacji (Shadow Defender, Toolwiz Time Freeze itp.), HIPSów (SpyShelter, Outpost, Online Armor, Privatefirewall, Comodo itp.), Anty-Executable (NoVirusThanks EXE Radar Pro, VoodooShield, Faronics Anti-Executable itp.) itd.;P