[HaBo]

Break

Sandboxie is dreck. Einfach nur unsicher und unnütz. Wenn ihr was sicheres wollt dan benutzt VirtualBox oder VMWare.


Zur Prävention:
- Als AV reicht Avira Free und als Firewall die von Windows
- generell gilt: .exe .scr .cmd .bat
sind erstmal als potentiell gefährlich einzustufen. Also lades solche Dateien wenn ich nicht sicher seid vorher bei Virustotal oder Novirusthanks hoch.
- Wenn ihr Programme laded dann bitte guckt erst ob es sie bei Chip.de oder Computerbild.de gibt. Dort sind die Downloads clean.
- Programme oder Cracks von Youtube sind generell infiziert (99%)
- Die meißten anderen Cracks auch
- Vergesst diese ganze Keygens und Hack usw. scheiße. Ihr braucht euch nicht wundern wenn euer PC dann langsam wird. (Wenn ihr sowas laded checkt vorher auf Virustotal)
- Wenn ihr euch ein bisschen besser auskennt, installiert euch VirtualBox und checkt die Programme da mit Wireshark
- Emails die Dateien mit den oben genannten Endungen enthalten sind einfach zu löschen ( außer ihr kennt die Person, seid aber dann auch vorsichtig und checkt bei Virustotal. Die Person kann ja den Virus auch unbewusst mitgeschickt haben.)

- Noch ne wichige Ergänzung. Aktiviert die Anzeige von Dateiendungen. Es gibt besonders raffinierte Hacker die nennen ihren Virus zb. urlaub.jpg.exe nennen und machen als Icon einfach das Icon einer Bilddatei. - Also Wichtig, da ihr sonst sowas nicht seht

PS: Denkt daran das auch Virustotal kein 100%iges Ergebnis liefert.

lightsaver

Man merkt, dass die Sommerferien begonnen haben

Begründung? Quellen für die Begründung?

Kann genauso unsicher sein und hebt zusätzlich noch die Hardwareanforderungen an. Außerdem ist es in meinen Augen umständlicher. Es mag gegenüber einer Sandbox einen Sicherheitsgewinn geben, aber die Einschränkungen werden nicht wirklich dadurch wieder ausgeglichen.


Und was ist mit anderen Dateitypen, die zwar vielleicht nicht direkt ausführbar sind, dennoch aber häufig anfällig sind? Da wäre z.B. pdf, was nicht nur durch den Acrobat Reader gefährlich ist, aber auch Designschwächen hat, was bewirkt, dass man aus der Datei direkt ausführbare Dateien starten lassen kann? Und das war jetzt nur ein einziges Beispiel, es lassen sich noch mehr Sachen finden

Es ist schon häufig genug vorgekommen, dass selbst große Firmen Schädlinge verteilt haben, es ist also nur eine Frage der Zeit, bis das auch auf Chip und ähnlichen Seiten passiert. Mal abgesehen davon sollte man dann doch eher beim Hersteller selber herunterladen.

Wo kannst du bei Youtube bitte Programme und Cracks herunterladen?

Ich hoffe mal, das war auf besonders raffinierte Hacker im Zusammenhang mit den Dateiendungen stehen
Es stimmt aber natürlich, dass diese Einstellung gesetzt werden sollte.

serpent

Zunächst mal, habe ich bisher noch nicht erlebt, dass bei Sandboxie ein Schädling überlebt hat. Deine behauptungen (@break) sind völlig aus der Luft gegriffen und nicht haltbar.

Ein Virenscanner reicht völlig aus um das System präventiv zu überprüfen. Viele sind der Meinung das eine Firewall nichts taugt. Liegt wahrscheinlich daran, dass viele Nutzer aus bequemlichkeit alles auf "Automatisch" stellen und sich so beim Surfen einen vermeidlich sicheren Schutz denken. Dem ist aber nicht so, eine FW ist ein komplexes stück Software mit dem man sich eingehend beschäftigen muss. Ich bevorzuge die ZoneAlarm Pro und bisher hatte ich auch damit keine probleme.

Wer noch nachträglich auf weitere Tools zugreifen möchte bitte:

Emsisoft's HijackFree
Usec's Radix Anti-Rootkit und Systemshiels

Für ADS eignet sich der Stream Explorer von rekenwonder.

Für eine Bereinigung des ADS kann man Microsoft's NTFSext.exe runterladen. Es enthält ein vbs-script "Rwstream.vbs" womit man den Datenstrom überschreiben kann.

Wer manuell herausfinden will was auf sein System los ist sollte folgenden Schritte durchführen:

1. Konsole Starten
2. In das C: Verzeichnis wechseln
3. Befehle dir /s /a > C:\scandir.txt eingeben.
4. Mit einer Boot-CD starten und im Offline-Modus die oben gennanten Befehle die C-Festplatte scannen z.b. dir /s /a C:\scandir2.txt .
5. Die beiden dateien mit Windiff C:\scandir.txt C:\scandir2.txt vergleichen. Unterschiede können dabei schnell herausgefunden werden.

Virenscanner die ich empfehlen würde:
- Avira
- Avast
- eScan
- Kaspersky
- Nod32

Abgesehen davon gibt es auch 'ne Menge weiterer Tools wie z.B Gmer, Sysinternals etc. die auch sehr gut für die Erkennung von Schädlingen geeignet sind.

Gruß,
serpent

Break

Sanboxie ist schlecht.
1. Ist sie so vorkonfiguriert das die Programme Internetzugriff haben -> schlecht.
2. Funktionieren Stealer ( Programm das gespeicherte Passwörter klaut) trozdem wenn (wie bei 1.) der Internetzugriff aktiviert ist. (Also eure evtl. in Firefox gespeicherten PWs usw.)
3. Funktionieren sogar Trojaner in der Sanbox solange bis man diese leert

@serpent
Die Behauptungen sind überhauptnicht aus der Luft gegriffen, sondern alles von mir selber getestet. Wieso sollte ich grundlos ein Programm schlecht reden? Es würde mich freuen wenn Sandboxie gut wäre, dem ist aber leider nicht so.

@lightsaver
Also zu VirtualBox kann ich nur sagen das die ziemlich sicher ist, und eig. gegen alles übliche auchschon von mir getestet ist. Nur sollte man die funktion mir den "Gemeinsamen Odner" auf "nur lesen" stellen.



Ja hast recht.


Hatte selbst schonmal ne halbwegs infectete Version von Qip dort geladen, aber zu 99% ist es da clean. Und für Leute die sich nicht so auskennen leichter als immer die "richtige" Herstelleiseite zu finden.

http://www.youtube.com/watch?v=FcIQWt49GUg

Sowas in der Art meine ich. Der Download ist zwar nicht direkt von Youtube, aber ich glaub du weißt wie ich das meine.

rami

Trojaner in der VirtualBox laufen auch, bis man die VirtualBox beendet. Und bei mir zumindest ist auch in der VirtualBox Internetzugriff vorkonfiguriert.

__________________

lightsaver

Richtig und ich nehme mal an, der Browser soll dann ja mit Sicherheit auch in der VM laufen, wäre sonst ja witzlos. Wenn ich da dann nun aber die Passwörter speichere, ist das Problem doch wieder exakt das gleiche.

Wo ich Break zustimme, ist, dass manche Konfigurationen vielleicht nicht so gut sind, allerdings möchte ich da im Bezug auf Sandboxie doch mal meine Erfahrung einfließen lassen:

Es muss eingestellt werden, welche Programme in der Sandbox laufen sollen. Es werden mit der Installation von Sandboxie nicht einfach Programme plötzlich in dieser ausgeführt. Man muss sich also selber damit erstmal beschäftigen. An dieser Stelle ist dann aber wieder ein Punkt wichtig, der auch bei anderen Sicherheitsprogrammen zutrifft:
Wenn ich nicht weiß, was ich da mache, dann muss ich das jemand machen lassen, der es tut. Man kann auch Sandboxie so einstellen, dass im Prinzip Vollzugriff auf das System besteht.

Richtig ist, dass Programme, die durch ein Programm in der Sandbox aufgerufen wurden, ebenfalls in der Sandbox ausgeführt werden und das soll ja auch so sein. Dass diese dann in der Standardkonfiguration Internetzugriff haben ist richtig, lässt sich aber umkonfigurieren, womit wir wieder bei dem vorher genannten Punkt sind, wenn man nicht weiß was man tut...

Gleiches gilt aber auch für Antivirenprogramme und Firewalls. Auch diese kann man so einstellen, dass sie nicht mehr wirklich schützen.



Da das Thema Personal Firewalls ja auch nochmal aufgekommen ist. Für viele Sachen mögen die ja funktionieren, letztendlich bieten sie aber nur eine trügerische Sicherheit. Dazu bietet die Forensuche hier auch andere Threads. Sicher wäre hier nur eine Firewall auf einem anderen System, aber auch diese muss wieder von jemandem eingestellt werden, der sich auskennt.

Letztendlich wird man, wie man sieht, in jedem Konzept für den Heimbereich Schwachstellen finden und man muss einen Kompromiss zwischen Sicherheit und relativ komfortabler Nutzung finden. Genau da sind meiner Meinung nach VMs eher ungeeigneter.

xrayn

Für die richtig Paranoiden unter euch eignet sich http://qubes-os.org/Home.html. Hier läuft jedes Programm in einer eigenen VM.

gucky

An den Threadstarter:
Für 5€ gibt es bei 3-2-1 Pc-Wächter Karten, die sind sehr einfach zu installieren und geben dir den maximal möglichen Schutz, da sie das System beim Bootvorgang immer zurücksetzen. Ein einfacher Virenscanner reicht dann.

xrayn

Das bringt dir aber nichts, wenn du dich infizierst, dann dich iwo anmeldest und saemtliche Eingaben mitgelesen/weitergeschickt werden.

ChiefWiggum

Aber nur für den Zeitraum bis zum nächsten Reboot. Und ich glaube die meisten Keylogger sind nicht eingestellt, dauerhaft die Daten zu übertragen, aber im Prinzip hast du Recht, da bringt dir die Wächter-Karte erstmal nix.
Ich lade verdächtige Dateien @ anubis (http://anubis.iseclab.org) hoch und schau mir den Report an.
Sich beendende Dateien schau ich mir dann gar nicht mehr genauer an ;-)
Ansonsten könnte (der "erfahrenere" User) noch mit PEiD nach möglichen Signaturen / Packern suchen, ggf auch nach Strings in der Exe ( FileExplorer oder wie das Prog heißt, ist vom gleichen Hersteller (?) wie Spybot Search & Destroy ) suchen und halt die Import-Einträge.
Je nachdem kann man dann einstufen, ob die Datei verdächtig ist oder nicht, notfalls halt in ner Sandbox den guten alten Olly anschmeißen und selbst was rumschnüffeln ;-)
Oder aber bei .NET Anwendungen hilft der Reflector gerne.
[Hab damit letztens ne undetected Botnet-Anwendung gefunden.. Jetzt ist sie nicht mehr ud (schön bei Avira + Virustotal hochgeladen)]
Für meine Methode spricht, dass ich ein halbes Jahr ohne AV unterwechs war und keinen Virus o.Ä. eingefangen hab. Jetzt hab ich wieder ein AV drauf, da ich mir ein paar verdächtige Dateien gezogen hab und erstmal das AV drüberlaufen lassen wollte und generell ist das eg nicht so schlecht.
[Bei uns @ Schule ist z.Z. (komischerweise) der Conficker unterwechs. Ich desinfizier die Rechner jedes mal wenn ich da bin aber dummerweise isser immer wieder neu da, und vor dem dummen Autorun der auf die Sticks geschrieben wird vom Virus hilft das AV ja ziemlich gut (wenn der Virus denn erkannt wurde)


so far,

__________________
Be the source always with you.

xrayn

@AlterHacker: Jedes mal die Datei hochzuladen ist nichts für eine Produktivumgebung, außerdem kann der 0815-Benutzer herzlich wenig mit den Resultaten von Anubis anfangen, mal ganz davon abgesehen, dass die meiste Malware mittlerweile mit "Sandboxerkennungsroutinen", sodass sie in solchen ein anderes Verhalten an den Tag legen. Virustotal hilft auch nur gegen bekannte Schaedlinge. Und jedes mal die Datei mit Olly/IDA durch zu gucken verschlingt auch zu viel Zeit. Außerdem was machst du bei PDFs, die Exploits, Websiten, die Browserexploits enthalten usw. Ich denke, dass der Ansatz der Isolation schon der sinnvollste ist.

Latias

Heißt das wenn ich etwas installiert habe ist es nach dem nächsten Boot wieder weg, also ist das dann wie ein Image von dem immer wieder geladen wird?

ChiefWiggum

Natürlich, da hast du recht. Aber ich habe ja geschrieben was ich mache ^^.
Klar gegen exploits oder sowas ist man damit Machtlos, bei Arbeitsplätzen würd ich auch eine ordentliche Firewall installieren (ich glaub bei der Comodo-Firewall muss man alles einstellen, die Erkennt auch Prozess-Injections etc.)
Exploits werden ja auch immer weiter erschwert (siehe Stack-Cookies etc. ) aber allgemein gibt es ja kein "sicher".
Wie heißt es so schön - Auch der Rechner der ausgeschaltet ist, ist nicht sicher, denn der Social Engineer bringt jemanden dazu, diesen Rechner einzuschalten.
Für 0815-User ist es generell schwer, sich zu schützen, viele verlassen sich dann auch auf ihr Antivir / möglicherweise noch ne Firewall, werden aber trotzdem dann infiziert weil sie denken, dass sie sicher sind.

Ja, soweit ich weiß, stimmt das.

__________________
Be the source always with you.

Break

Warum nehmt ihr nicht einfach VirtualBox fürs Internet, und für den Rest den Host-PC? Die VirtualBox einfach so einstellen das sie sich jedesmal nach dem beenden zurücksetzt.

Und so Ressourcenanfordernd ist das auchnicht. Ich hab nen 4j. alten PC mit 2GB RAM und ich kann VirtualBox und meinen Host PC parallel völlig flüssig nutzen. Beide XP.

ChiefWiggum

Mach ich teilweise auch, aber nicht zum Surfen. Wenn ich Windows/Linux gleichzeitig brauche, hab ich immer noch mein ArchLinux-Box am laufen.(hat halt den vorteil brauch nicht so viel Speicher^^).
Aber um da zu surfen, da vermiss ich einfach den Komfort. Und ich schätze mal langfristig ist es den Usern einfach zu aufwendig, das zu trennen und immer die Box an/aus zu machen (okay Autostart wäre eine Abhilfe aber trotzdem umständlich)

__________________
Be the source always with you.