No sandbox что это

Содержание

Используем Sandboxie для безопасного веб-серфинга, загрузки и установки программ

No sandbox что это

Как использовать песочницу Sandboxie для безопасного посещения Интернета, загрузки файлов и их восстановления, а также для изолированной установки и запуска программ

Sandboxie – отличный инструмент, который заслуживает место в любой коллекции программ безопасности. Он создает изолированное пространство или песочницу в которой вы можете исполнять файлы без ущерба для основной системы.

Действия, выполняемые в песочнице, не влияют на систему Windows и другие файлы и программы. Все что произошло в Sandboxie, остается в Sandboxie.

Собственник Sandboxie менялся несколько раз. Сначала компания Invincea выкупила программу у первого разработчика, а затем она была в свою очередь приобретена Sophos. Недавно компания Sophos объявила, что программу Sandboxie можно использовать бесплатно, а в будущем планируется раскрытие исходного кода.

Скачать Sandboxie

В данной статье разберемся, как использовать программу Sandboxie для безопасного посещения Интернета, загрузки файлов и их восстановления, а также для установки и запуска программ.

Чтобы приступить к использованию программы даже не нужно отдельно знакомиться с интерфейсом. Новичкам рекомендуется пользоваться иконкой в системном трее.

Безопасный серфинг

Любую программу, установленную в Windows, можно запустить внутри Sandboxie. Это касается в том числе портативным приложений и обычных файлов (которые открываются в других программах). Некоторые приложения могут не работать в Sandboxie, если вы пытаетесь установить их в песочницу.

Если вы установили Sandboxie, то вы увидите иконку программы на рабочем столе, в меню Пуск и в системном трее. Вы можете использовать любой из данных вариантов для запуска программ в песочнице.

Чаще всего в изолированной среде запускают браузер. Кликните по иконки в системном трее и выберите Default box > Запустить Web-браузер. Будет запущен браузер по умолчанию.

Это может быть Firefox, Chrome, Edge или любой другой браузер, который вы выбрали.

Запущенный браузер будет иметь желтую рамку (показывается при наведении курсора на границу окна). Кроме того, заголовок окна программы будет заключен в два символа [#], например [#] … Google Chrome [#]. Это индикаторы того, что программа работает внутри Sandboxie.

Вы можете использовать изолированный браузер в обычном режиме. Вы сможете отправлять электронные письма, проверять социальные сети и посещать Comss.one.

Одно из основных отличий заключается в том, что в случае заражения браузера вредоносным ПО, его действие ограничиться песочницей. Например, вы посетили сайт с вредоносной рекламой.

Пока браузер будет работать, угроза не сможет распространиться на основную систему из-за использования песочницы.

Песочница также ограничивает возможности отслеживания файлов cookie и другие нежелательные действия.

Вы можете использовать опцию Default box > Удалить содержимое, чтобы удалить всю песочницу и начать новый сеанс. Рекомендуется время от времени выполнять данную процедуру.

Примечание: песочница не обеспечивает анонимный серфинг, который вы получаете при использовании VPN или Tor.

Вы также можете открывать ссылки из любого приложения (почтового приложения, мессенджера и др.) в браузере в песочнице, хотя для этого вам нужно будет изменить настройки программы.

Загрузка и восстановление файлов

Предположим, что вы хотите загрузить исполняемый файл или любой другой файл в Sandboxie. Он не будет отображаться в папке «Загрузки» в проводнике Windows, потому что загрузка в песочнице тоже изолирована.

Вам нужно восстановить загрузку. Для этого выберите Default box > Быстрое восстановление. Используйте параметр Восстановить в ту же папку, чтобы файл появился в папке загрузок (и был готов к использованию в среде без песочницы). Вы также можете запустить файл сначала в песочнице, отложив его восстановление.

Если доступных объектов для восстановления нет вы можете выбрать опцию Default box > Просмотреть содержимое (которая открывает Проводник), чтобы вручную исследовать песочницу и восстановить содержимое. Данная функция особо актуальна, если вы используете пользовательскую папку загрузки вместо папки по умолчанию Windows.

Установка и удаление программ

Запуская подозрительную программу в Sandboxie, вы исключаете риски повреждения вашей основной системы. В песочнице можно запускать даже вредоносные программы, но обычно для этого все же используют виртуальные среды.

В случае с портативными приложениями, извлеките содержимое в папку drive в DefaultBox (Default box > Просмотреть содержимое) и запустите исполняемый файл. Чтобы выполнить установку программы в защищенной среде Sandboxie, откройте Проводник и щелкните правой кнопкой мыши по файлу установщика.

Выберите опцию Запустить в песочнице.

Примечание. При необходимости вы можете предоставить права администратора для установщика, поставив галочку для Запустить как UAC Administrator.

Вы увидите желтую рамку у окна установщика и знакомые нам символы [#] в названии. Это значит, что установка программы выполняется в песочнице.

Запустить установленную программу нужно вручную из папки Defaultbox.

По материалам Ghacks

Источник: https://www.comss.ru/page.php?id=6623

Вредонос под наблюдением. Как работают сендбоксы и как их обойти

No sandbox что это

Один из способов детектировать малварь — запустить ее в «песочнице», то есть изолированной среде, где можно следить за поведением вредоноса. В этой статье мы посмотрим, как устроены сендбоксы, и изучим приемы уклонения от детекта — и широко освещенные в интернете, и принципиально новые, упоминания о которых не удалось найти ни в специализированной литературе, ни на просторах Сети.

Борьба вирусописателей и производителей антивирусов — это борьба технологий: с появлением новых методов защиты сразу же появляются методы противодействия. Поэтому многие вредоносные программы первым делом проверяют, не запущены ли они в виртуальной машине или песочнице. Если вредоносу кажется, что он выполняется не на реальном «железе», то он, скорее всего, завершит работу.

Технику обхода песочниц часто называют термином Sandbox Evasion. Эту технику используют многие кибергруппировки, например PlugX или Cozy Bear (APT29). Так, нашумевшая группировка Anunak (авторы известного трояна Carbanak) использовала встроенное в документ изображение, которое активирует полезную нагрузку, когда пользователь дважды щелкает по нему.

Проще всего понять, как работают механизмы обнаружения виртуальных сред, с использованием возможностей PowerShell и WMI.

Традиционный враг любого вируса — специально подготовленная виртуальная машина, в которой исследователь запускает образец вредоносного ПО. Иногда вирусные аналитики используют сложные автоматизированные системы для анализа объектов в изолированной среде на потоке с минимальным участием человека.

Такого рода ПО или программно-аппаратные комплексы поставляют разные компании, в частности FireEye (Network/Email Security), McAfee (Advanced Threat Defense), Palo Alto (Wildfire), Check Point (SandBlast), Kaspersky (Anti-Targeted Attack Platform), Group-IB, TDS.

Также существуют опенсорсные песочницы, например Cuckoo Sandbox.

В России этот сегмент рынка относительно молод и начал активно развиваться примерно в 2016 году. Технологии песочницы, как ты видишь, используют практически все топовые производители средств информационной безопасности.

Начнем с базы и кратко пробежимся по внутреннему устройству виртуальной машины (ВМ). Для начала запомни, что ВМ — это абстракция от физического железа (аппаратной составляющей). Этот тезис понадобится, чтобы понимать, откуда у нас, собственно, возникли некоторые из приемов обнаружения изолированных сред.

Сердце ВМ — это гипервизор. Гипервизор сам по себе в некотором роде минимальная операционная система (микроядро или наноядро).

Он предоставляет запущенным под его управлением операционным системам сервис виртуальной машины, то есть виртуализирует или эмулирует реальное (физическое) аппаратное обеспечение.

Гипервизор также управляет этими виртуальными машинами, выделяет и освобождает ресурсы для них.

Схема работы виртуалки

Напомним некоторые особенности виртуальных машин. Во-первых, центральный процессор гипервизора никогда не виртуализируется, а распределяет свои ресурсы между виртуальными машинами.

То есть гипервизор не может выделить, например, половинку от ядра для какой-либо ВМ.

Во-вторых, аппаратные компоненты при виртуализации фактически представляют собой файлы и не могут обладать физическими характеристиками HDD, такими, например, как износ секторов диска и другие параметры из SMART.

Как правило, виртуальные машины внутри песочниц разворачиваются чистыми (без специализированных средств анализа вредоносных программ внутри ВМ).

Весь анализ выполняется гипервизором, в противоположность «ручным» исследовательским лабораториям, где на виртуальную машину уже установлен весь джентельменский набор программ для отслеживания активности вредоноса (OllyDbg, IDA, Wireshark, RegShot, Mon, Ripper, Process Monitor/Explorer и прочие). В этих прогах каждый созданный вирусописателями модуль защиты или проверка на наличие виртуального окружения обходится правкой кода вируса в дизассемблированном виде. Ниже схематически изображен анализ в одной из коммерческих песочниц — данные взяты из патента на продукт. Название мы нарочно оставим за кадром, так как нам интересен не конкретный производитель, а сама идея и подход к решению задачи.
Работа песочницы

Большинство коммерческих систем динамического анализа объектов построены по схожей схеме. Кратко поясним идею алгоритма.

  1. Файлы, поступающие на анализ, попадают в очередь на проверку.
  2. Приложение, отвечающее за безопасность, вместе с анализатором выполняет предварительные операции: сигнатурную, эвристическую и иные проверки. Проверка объекта в ВМ сама по себе очень затратна по времени и ресурсам. В итоге определяется, нужно ли отправлять образец на анализ в песочницу, и конкретные параметры виртуальной машины (включая версию и разрядность ОС), а также метод анализа объекта.
  3. Объект помещается в ВМ и исполняется. В ВМ нет никакого специализированного ПО — только стандартный набор программ обычного офисного сотрудника типичной компании; также имеется доступ в интернет (выявить сетевую активность вредоноса).
  4. Все действия исследуемой программы внутри ВМ через гипервизор попадают в анализатор, который должен понять, происходит что-то вредоносное или нет, опираясь на вшитые в него шаблоны поведения.
  5. Контекст и результаты анализа заносятся в базу данных для хранения, дальнейшего использования и обучения анализатора.Отсюда становится ясной основная фишка автоматизированных систем анализа объектов. Они действуют за областью виртуальной машины — на стороне гипервизора — и анализируют всю поступающую на него информацию. Именно поэтому вредоносной программе нецелесообразно искать специальные инструменты анализа на стороне ВМ, но мы в статье будем это делать, чтобы более широко охватить тему.

На основе каких гипервизоров строятся песочницы? Обычно это Open Source и коммерческие гипервизоры на основе KVM. У того и у другого подхода есть свои плюсы и минусы, которые мы свели в табличку.

Плюсы и минусы гипервизоров

Очень часто, чтобы скрыть, что программа работает в виртуальной среде, в гипервизорах с открытым исходным кодом используется метод под названием харденинг. В этом случае часть доступных для определения параметров (например, идентификаторы производителей устройств) пробрасывается в виртуальную машину или заглушается сгенерированными данными.

Исследуя программу в песочнице, эмулируют действия пользователя (движение мыши, запуск приложений, работа в интернет-браузере). Проверяют работу образца с правами администратора, а также сдвигают время, чтобы выявить специфические условия активации вредоносной составляющей (некоторые из них начинают действовать после определенного периода «сна») и логических бомб.

Мы написали небольшую программку на Python с использованием PowerShell, оценивающую «реальность» машины, на которой она запущена. В зависимости от условий большинству использованных в программе методов достаточно прав пользователя, однако некоторым для достоверного результата нужны привилегии администратора.

Сразу оговоримся, что тесты мы проводили на Windows-платформах — они популярнее всего, и их чаще заражают. Для простоты мы использовали запросы к WMI (Windows Management Instrumentation, инструментарий управления Windows, то есть технология для обращения к объектам в системе).

Запросы к WMI для унификации и наглядности мы выполняли с использованием PowerShell.

Исследовав в общей сложности порядка 70 машин, мы выделили ряд методов, позволяющих выявить средства виртуализации. Условно все методы определения работы в виртуальной среде мы разделили на четыре уровня, начиная с простого поиска строковых признаков виртуализации и заканчивая определением физических параметров системы, от которых будет сложно избавиться на виртуальной машине.

Самое простое, что может сделать программа, запустившись на новой машине, — проверить, что это за компьютер. Если название модели (или производителя некоторых составляющих) содержит virt либо где-то присутствуют ссылки на известных вендоров технологий виртуализации, это уже первый тревожный звоночек.

Параметры производителя и модель компьютера (Manufacturer и Model) легко поддаются правке, поэтому их значения остаются на совести создателей песочниц. Вот как можно отправить запрос к WMI через командную строку:

wmic computersystem get model,manufacturer

А вот так выглядит запрос в PowerShell:

Get-WmiObject Win32_ComputerSystem | Select-Object -Property Model,Manufacturer

В результате обработки запроса мы получим следующий отчет — сравни первые три вывода команды для виртуальных машин с показаниями реальной:

Manufacturer: innotek GmbHModel: VirtualBox

Manufacturer: Parallels Software International Inc.Model: Parallels Virtual Platform

Manufacturer: VMware, Inc.Model: VMware Virtual Platform

Manufacturer: ASUSTeK Computer Inc.Model: K53SV (реальная машина. — Прим. авт.)

В официальной документации к гипервизору может встречаться указание на список доступных для подмены параметров. Так, для гипервизора VirtualBox можно поменять ряд параметров. Перечислим некоторые:

  • DmiBIOSVendor (производитель BIOS’a);
  • DmiBIOSVersion (его версия);
  • DmiBIOSReleaseDate (и его дата релиза);
  • DmiSystemVendor (производитель ОС);
  • DmiSystemProduct (название ОС);
  • DmiSystemVersion (версия ОС);
  • DmiSystemSerial (серийный номер установки ОС);
  • DmiSystemFamily (семейство ОС);
  • Disk SerialNumber (серийник HDD);
  • Disk FirmwareRevision (его номер прошивки);
  • Disk ModelNumber (модель HDD).

Для начала можно проверить серийный номер BIOS.

Это срабатывает часто, поскольку при создании ВМ никого не волнует тонкая настройка базовой подсистемы ввода-вывода, поэтому, если нам удастся получить правдоподобные сведения, скорее всего, машина реальная.

Попробуй набить данную команду в PowerShell или даже PowerShell ISE (кстати, дальше мы развлекаемся только на PowerShell и не понимаем, почему ты еще не вошел в консоль):

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.

Я уже участник «Xakep.ru»

Источник: https://xakep.ru/2020/06/08/malware-sandbox/

Что такое Windows Sandbox и как ее включить?

No sandbox что это

Windows Sandbox – это облегченная функция, используется для безопасного изолированного запуска приложений. Такой функционал поставляется в версиях Windows 10 Pro и Enterprise. Песочницу Windows можно включить с помощью добавления/удаления компонентов Windows, доступного из Панели управления.

С чего начать?

эта функция под названием гипервизор (виртуальная машина), созданная microsoft для изолированного запуска совершенно другой ос поверх текущей операционной системы. поскольку использование виртуальных машин требуют большей скорости обработки, а также ресурсов, которые потребляются в текущей ос windows желательно использовать быстрый диск и большой объем оперативной памяти.

аппаратные и программные требования для использования windows sandbox:

  • windows 10 pro или enterprise версии
  • 4 gb озу (желательно от 8 gb)
  • процессор x64 разрядный, поддерживающий аппаратную виртуализацию
  • 1gb на жестком диске свободного места

windows sandbox

из-за небольших требований и возникла концепция создания windows sandbox. песочница позволяет запускать небольшие приложения изолированно. он действует как контейнер для запуска приложения поверх текущей ос, не потребляя много ресурсов по сравнению с гипервизором.

зачем использовать песочницу или почему это хорошо для домашнего пользователя?

использование sandbox позволяет конечному пользователю без страха запускать любое приложение на компьютере. если хотите установить новое приложение, понять, как оно работает, или стоит выбор между несколькими однотипными приложениями. и вы скептически относитесь к тому, как это может повлиять на вашу текущую ос. sandbox позволяет установить и протестировать программу.

windows sandbox загружается быстро, имеет встроенную графическую оболочку и не требует дополнительных действий и настроек для запуска.

кроме того, при каждом запуске она будет запускаться как новая версия windows 10.

и как только окно песочницы закрывается, система удаляет все связанные файлы этой программы, а также удаляет все сохраненные для нее данные. следовательно, это никак не повлияет на основную операционную систему.

как включить windows sandbox в windows 10?

этот компонент доступен для установки только в windows 10 pro или enterprise версии 1903 и новее. поэтому, чтобы начать использовать sandbox, убедитесь, что используете актуальную версию windows 10, иначе, предварительно обновите систему до новейшей версии через центр обновления.

если у вас версия windows 10 pro 1903 или enterprise, для активации песочницы нужно выполнить следующие шаги:

  • нажмите «старт» -> введите «включение или отключение компонентов windows» -> нажмите «enter»
  • откроется окно «компоненты windows»
  • найдите в списке и отметьте галочкой «песочница windows»
  • нажмите «ok»
  • система выполнит поиск необходимых файлов и применит их, по завершении процесса попросит перезагрузить компьютер.

компоненты windows

после перезагрузки в меню «пуск» появится песочница windows

как использовать windows sandbox?

в меню «пуск» найдите «песочница windows», запустите ее. добавить тестовое приложение в песочницу можно двумя способами. в виртуальном окружении (песочнице) открыть браузер и скачать программу из интернета и установить. второй вариант – скопировать программу с основной системы и вставить в виртуальную.

windows sandbox

после того, как среда window sandbox будет закрыта, система удалит все загруженные программы и ее данные.

как работает песочница в windows 10

Windows Sandbox – это более легкая версия Hyper-V. Поскольку гипервизор работает под управлением ОС следовательно, Sandbox требует наличия собственной ОС для запуска и выполнения различных задач. Ключевое преимущество использования Windows Sandbox по сравнению с виртуальной машиной заключается в том, что новая копия ОС запускается каждый раз при открытии Песочницы.

Копия образа Windows 10 сохраняется как «Базовый динамический образ» и используется, когда включена функция Windows Sandbox.

Базовый динамический образ

Динамическое базовый образ сохраняет новую копию Windows 10 и загружается всякий раз, когда окно песочницы закрывается и снова открывается.

Любое приложение можно установить или протестировать в Windows Sandbox. Приложения с тяжелой графикой могут также проверять в реальном времени, не влияя на текущую ОС.

Источник: https://zen.yandex.ru/media/merion_networks/chto-takoe-windows-sandbox-i-kak-ee-vkliuchit-5fad73c94278375e7e5b458c

Что такое песочница (sandbox) и почему вы должны в ней играть

No sandbox что это

Взгляните на те приложения, что вы наиболее часто используете на своём ПК. Скорее всего, большинство из них, начиная от веб-браузера и заканчивая более специализированным софтом, имеют возможность соединения с интернетом. Эти программы, оснащённые доступом к глобальной сети могут быть как очень полезными, так и являться легкой мишенью для хакеров, способных нанести по ним удар.

Для успешного предотвращения хакерских атак, разработчики должны самостоятельно обнаруживать и закрывать все без исключения дыры в своем коде, а это, как показывает многолетний опыт, практически невозможно. Поэтому для того чтобы защитить должным образом свои приложения их создатели в последнее время всё чаще используют особые защитные механизмы.

Наиболее эффективным и распространенным решением среди них является – sandbox (песочница).

В песочнице не песок?

Нет, это не детская песочница в парке развлечений, а специальная песочница для программного обеспечения. Ключевая цель такой песочницы: предотвратить распространение хакерских атак.

Как мы говорили выше: опытные программисты знают, что их код не является совершенным и продукт может быть взломан, т.е. через него может быть совершена успешная атака.

Для того чтобы защитить пользователя от возможных угроз, разработчики создают песочницы, которые изолируют отдельные части их программ. Фактически, все, что происходит в песочнице, там же и остается.

Песочница в действии

Для того чтобы объяснить действие песочницы мы будем использовать в качестве основного примера Google Chrome. Браузер Chrome – один из самых известных продуктов, в котором реализованы функции песочницы. Именно их компания Google с гордостью рекламирует, как уникальные особенности безопасности, которых нет у других браузеров.

Инженеры Google взяли Chrome и по сути разделили его на три различных компонента: основной процесс, связывающий все воедино, процессы вкладок, удерживающие страницы и включающие визуализацию, а также процессы плагинов, таких, как, например, Adobe Flash.

Все эти компоненты имеют разные уровни доступа и те, возможности которых ограничены, оказываются буквально изолированными от всего остального. Помимо этого, различные процессы не могут взаимодействовать между собой и просто совместно сосуществуют.

К примеру, Flash-контент из соответствующего плагина может быть представлен на открытой вкладке браузера, однако их процессы (вкладки и плагина) разделены и не имеют ничего общего.

Функция визуализации только оставит зарезервированное место на странице, в котором будет отображаться процесс. Отсутствие взаимодействия очень важно, ведь если вкладка совершила критическое действие или ее взломали, она не сможет повлиять на другие вкладки и, тем более, не сможет навредить всей вашей системе.

Firefox также имеет некоторые функции песочницы

В браузере Firefox имеется своя песочница, правда, с некоторыми ограничениями. Она отделяет только сторонние плагины, такие, как Flash и Silverlight, но все вкладки браузера по-прежнему объединены в единый процесс.

Получается, что Firefox больше доверяет своему собственному коду, в отличие от компании Google с ее браузером Chrome, и возлагает вину за все нестандартные ситуации полностью на сторонние плагины. Поэтому, если с плагином произошла какая-либо нештатная ситуация, то она не повлияет на браузер и на открытые в нём вкладки.

Существование вне песочницы

Внедрять в программный код функции песочницы – отличная стратегия, но существует огромное количество программ, не имеющих этой замечательной функции. К счастью, вы можете использовать виртуальную песочницу, в которой сможете запускать любые программы, потенциально опасные для вашей системы.

Такая технология часто применяется для тестирования программного обеспечения, однако это неплохой вариант для запуска веб-браузера или практически любого программного обеспечения. Самой популярной программой для создания виртуальной песочницы является Sandboxie, но существуют и другие варианты как платные, так и бесплатные, обладающие примерно одинаковыми возможностями.

Заключение

В настоящее время песочница (sandbox) является одной из самых обсуждаемых тем, особенно, когда речь заходит о компьютерной безопасности, и это правильно, ведь технология определенно справляется со своими обязанностями.

Конечно, разработчики по-прежнему должны уделять особое внимание своему коду и доводить его до совершенства, но это нелегкая задача и не у всех получается ее достигнуть.

Имейте в виду, что песочницы все еще не идеальны, например, песочница Chrome всё-таки была однажды сломана на хакерском конкурсе Pwn2Own 2012 после нескольких чрезвычайно трудных хаков.

Однако, согласитесь, такой защитный механизм все-равно лучше, чем ничего.

Источник: https://www.softrew.ru/obzory/bezopasnost/310-chto-takoe-pesochnica-sandbox-i-pochemu-vy-dolzhny-v-ney-igrat.html

Запуск Firefox в песочнице

No sandbox что это

Запуск Firefox в песочнице — полное руководство для специалиста.

Введение

В августе 2015 года исследователь безопасности Mozilla Cody Crews уведомил Mozilla о том, что вредоносная реклама на российском новостном сайте использует уязвимость в Firefox PDF Viewer.

Эксплойт искала конфиденциальные файлы в локальной файловой системе пользователя и, как сообщается, загружал их на сервер злоумышленника. Конфигурация Firejail по умолчанию блокировала доступ к .ssh, .gnupg и .

filezilla во всех каталогах, находящихся в /home. А более продвинутые конфигурации песочницы блокируют все остальные угрозы.

В этой статье вы познакомитесь с некоторыми из наиболее распространенных настроек песочницы Firefox. Начнем с настроек по умолчанию, рекомендуемых для ежедневного использования.

Запуск в Firefox

Самый простой способ запустить песочницу — это указать как префикс команды «firejail»:

$ firejail firefox

Если песочница уже интегрирована с вашим менеджером рабочего стола, запустив «sudo firecfg».

Примечание: по умолчанию один экземпляр процесса Firefox обрабатывает несколько окон браузера. Если у вас уже запущен Firefox, вам нужно будет использовать параметр командной строки -no-remote, в противном случае вы получите новую вкладку или новое окно, присоединенное к существующему процессу Firefox:

$ firejail firefox -no-remote

Описание песочницы

Контейнер файловой системы создается, когда песочница запускается, и уничтожается, когда песочница закрывается. Он основан на текущей файловой системе, установленной на компьютерах пользователей.

Мы настоятельно рекомендуем регулярно обновлять операционную систему. Песочница позволяет Firefox получать доступ только к небольшому набору файлов и каталогов.

Вся личная информация пользователя была удалена из домашнего каталога:

Примечание. Реальными являются только каталоги ~/Downloads и ~/.mozilla, все остальные каталоги создаются только для Firefox.

Firejail устанавливает одинаковую структуру домашних каталогов для всех поддерживаемых браузеров и клиентов BitTorrent.

Пожалуйста, убедитесь, что вы сохранили все загруженные файлы в каталоге ~/Downloads.

Вот как выглядит остальная часть файловой системы:

  • /boot — в черном списке
  • /bin — только для чтения
  • /dev — только для чтения; присутствует небольшое подмножество драйверов, все остальное удалено
  • /etc — только для чтения; /etc/passwd и /etc/group были изменены, чтобы ссылаться только на текущего пользователя; вы можете включить подмножество файлов, отредактировав /etc/firejail/firefox-common.profile (раскомментируйте строку private-etc в этом файле)
  • /home — виден только текущий пользователь
  • /lib, /lib32, /lib64 — только для чтения
  • /proc, /sys — перемонтируется для отображения нового пространства имен PID; видны только процессы, запущенные браузером
  • /sbin — в черном списке
  • /selinux — в черном списке
  • /usr — только для чтения; /usr/sbin в черном списке
  • /var — только для чтения; аналогично домашнему каталогу, доступна только основная файловая система
  • /tmp — присутствуют только каталоги X11

Файлы паролей, ключи шифрования и средства разработки удаляются из песочницы. Если Firefox пытается получить доступ к помещенному в черный список файлу, сообщения журнала отправляются в системный журнал. Пример:

Dec 3 11:43:25 debian firejail[70]: blacklist violation – sandbox 26370, exe firefox, syscall open64, path /etc/shadow Dec 3 11:46:17 debian firejail[70]: blacklist violation – sandbox 26370, exe firefox, syscall opendir, path /boot

Следующие фильтры безопасности включены по умолчанию. Назначение этих фильтров — уменьшить поверхность атаки ядра и защитить контейнер файловой системы:

  • seccomp-bpf — мы используем большой фильтр seccomp. Это одновременно двойной 32-битный и 64-битный фильтр.
  • protocol — этот фильтр на основе seccomp проверяет первый аргумент системного вызова сокета. Это позволяет пользоваться IPv4, IPv6, UNIX и netlink.
  • noroot user namespace — устанавливает пространство имен только с текущим пользователем.
  • capabilities — песочница отключает все возможности Linux, ограничивая возможности пользователя root в песочнице.
  • AppArmor — начиная с Firejail версии 0.9.53, если AppArmor в системе активен и /etc/apparmor.d/firejail-default включен, профиль будет активирован по умолчанию для около 140 приложений, включая браузеры, клиенты BitTorrent и мультимедиа.

Конфигурация seccomp обеспечивает соблюдение правил, завершая процессы браузера. Сообщения журнала отправляются в системный журнал. Пример:

Dec 8 09:48:21 debian kernel: [ 4315.656379] audit: type=1326 audit(1449586101.336:8): auid=1000 uid=1000 gid=1000 ses=1 pid=22006 comm=”chmod” exe=”/bin/chmod” sig=31 arch=c000003e syscall=268 compat=0 ip=0x7f027999f6b9 code=0x0 Dec 8 12:53:57 debian kernel: [17261.662738] audit: type=1326 audit(1450461237.367:2): auid=1000 uid=1000 gid=1000 ses=1 pid=4750 comm=”strace” exe=”/usr/bin/strace” sig=31 arch=c000003e syscall=101 compat=0 ip=0x7ff42f8cdc6c code=0x0

Для большинства пользователей достаточно стандартной настройки firejailfirefox. Ниже приведены некоторые особые случаи!

Настройка браузера с высоким уровнем безопасности

Используйте эту настройку для доступа к вашему банковскому счету или любому другому сайту, имеющему дело с конфиденциальной конфиденциальной информацией.

Идея в том, что вы доверяете сайту, но не доверяете надстройкам и плагинам, установленным в вашем браузере.

Используйте параметр –private Firejail для запуска с заводской конфигурацией браузера по умолчанию и пустым домашним каталогом.

Кроме того, вам необходимо позаботиться о настройке DNS — текущие домашние маршрутизаторы смехотворно небезопасны, и самая простая атака — перенастроить DNS и перенаправить трафик на поддельный веб-сайт банка. Используйте параметр –dns Firejail, чтобы указать конфигурацию DNS для вашей песочницы:

$ firejail –private –dns=1.1.1.1 –dns=9.9.9.9 firefox -no-remote

Настройка рабочей директории

В этой настройке мы используем каталог /home/username/work для работы, электронной почты и просмотра веб-страниц. Вот как мы все настроим:

$ firejail –private=/home/username/work thunderbird & $ firejail –private=/home/username/work firefox -no-remote &

Что MozillaThunderbird, что Firefox будут считать ~/work домашним каталогом пользователя.

Настройка сети

Предполагая, что eth0 является основным интерфейсом Ethernet, мы создаем новый стек TCP/ IP, подключаем его к проводной сети Ethernet и запускаем браузер:

$ firejail –net=eth0 firefox

Чтобы назначить IP-адрес, Firejail ARP сканирует сеть и выбирает случайный адрес, который еще не используется. Конечно, мы можем выполнить это в ручном режиме:

$ firejail –net=eth0 –ip=192.168.1.207 firefox

Примечание: Ubuntu запускает локальный DNS-сервер в пространстве имен сети хоста. Сервер не виден внутри песочницы. Используйте параметр –dns для настройки внешнего DNS-сервера:

$ firejail –net=eth0 –dns=9.9.9.9 firefox По умолчанию, если запрашивается сетевое пространство имен, Firejail устанавливает сетевой фильтр, настроенный для обычного просмотра Интернета. Это обычный фильтр iptable. Вот пример установки, где доступ к локальной сети запрещен:
$ firejail –net=eth0 –netfilter=/etc/firejail/nolocal.net firefox

Кроме того, вы можете даже добавить файл hosts, реализующий блокировку рекламы:

$ firejail –net=eth0 –netfilter=/etc/firejail/nolocal.net \ –hosts-file=~/adblock firefox

Песочница X11

Firejail заменяет обычный сервер X11 серверами Xpra или Xephyr (apt-get install xpra xserver-xephyr в Debian/Ubuntu), предотвращая доступ клавиатурных регистраторов X11 и записи экрана основного сервера X11.

Команды следующие:

$ firejail –x11 –net=eth0 firefox

Сетевое пространство имен, инициализированное с помощью –net, необходимо для отключения абстрактного сокета X11. Если по каким-либо причинам вы не можете использовать сетевое пространство имен, сокет все равно будет виден внутри песочницы, и хакеры прикрепят сокет-программы и скриншоты только к нему.

Спасибо за уделенное время на прочтение статьи!

Источник: https://blog.sedicomm.com/2020/04/14/zapusk-firefox-v-pesochnitse/

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.