www.MegaLab.it

[BlackHawk78]

Uso il software sandboxie versione free.
Avevo pensato, per una maggiore sicurezza, di salvare qualsiasi file scaricato da internet in una cartella creata all'interno di C:\Sandbox ( che è la cartella di Sandboxie dove vengono mantenuti tutti i file eseguiti in modalità virtuale ).
Ora questa cartella che ho creato all'interno di C:\Sandbox rimane sandboxata ( isolando quindi tutti i file che vado a salvarci dentro... ), o è come se non avessi fatto nulla ?

[sampei.nihira]

Uso il software sandboxie versione free.
Avevo pensato, per una maggiore sicurezza, di salvare qualsiasi file scaricato da internet in una cartella creata all'interno di C:\Sandbox ( che è la cartella di Sandboxie dove vengono mantenuti tutti i file eseguiti in modalità virtuale ).
Ora questa cartella che ho creato all'interno di C:\Sandbox rimane sandboxata ( isolando quindi tutti i file che vado a salvarci dentro... ), o è come se non avessi fatto nulla ?

Ti propongo come agli altri utenti del forum invece di una "domanda oziosa" una domanda interessante.
Che presuppone un ragionamento logico che io cercherò di semplificare negli aspetti.
Cioè rendo evidente i punti critici.
Riguarda l'interazione di Sandboxie con l'antivirus come ha recentemente sollevato altrove un utente molto brillante in materia.

Chi naviga con il browser i modalità sandboxata si trova ovviamente qualche volta in siti web a rischio.
Può accadere che l'antivirus interviene e poi mette in quarantena uno o più file malevolo/i.
Cioè l'antivirus compie 2 azioni la 1° evidenzia tramite il guard in real time che la pagina web aperta (sotto Sandboxie) è problematica.
E la 2°mette in quarantena il file malevolo che era chiuso nella sandbox.
Secondo tale utente tale seconda azione è nociva,quindi è meglio inibire il controllo in real time dell'antivirus per la zona sandbox.
Cioè a dire meglio lasciare eventuali files malevoli confinati alla sabbiera.
E' ovvio che la controindicazione di tale impostazione è che ogni sito malevolo aperto non sarà rilevato tale dall'antivirus residente.

Tale impostazione non riguarderebbe lo scan on demand dell'antivirus residente o di altri prodotti sempre possibile.
Se ad esempio ho nella sandbox un file malevolo posso sottoporlo a scan sia con HP ad esempio con lo scan singolo prodotto a menù contestuale che con l'antivirus o atri sw.

L'impostazione a default di Sandboxie è ovviamente che l'antivirus residente controlla tramite il guard anche la sandbox (ed il suo eventuale nocivo contenuto) mettendo in quarantena ciò che è reperito.....nocivo.

Capirete l'aspetto interessante di tale ragionamento.

Se io ad esempio mi pongo nei panni di un utente medio (che quindi ha un esperienza inferiore alla mia ed attua un controllo minore) che naviga in modalità sandboxata con l'impostazione modificata suddetta quindi non a default, se incappo in un sito malevolo ed ad esempio desidero inviare il link ad un amico per e-mail..........

Avete capito l'aspetto potenzialmente pericoloso ?
Come si è afferrato che il file in quarantena deve al più presto essere eliminato dalla stessa.

Chi ha ragione ?

O meglio è possibile discenere 2 utenti tipo dove sia meglio per uno l'impostazione a default e per l'altro quella modificata ?

[farbix89]

Bel quesito Sampei

Quindi un file intercettato dai moduli Web (come quello di Avira premium o AVG) o da un qualsiasi controllo on-access,corre il rischio di "uscire" dalla sandbox ogni volta che l'AV segnala la minaccia e la sposta in quarantena?

Ma l'intero processo non è sicuro(teoricamente)?

Alla fine,esce da una sandbox per essere custodito in maniera inoffensiva in una cartella controllata dall'AV,con nome inventato quindi ineseguibile.

Disattivare la guardia sotto sandbox può portare per di più a problemi di stabilità e pulizia,con un "carcere" così affolato di malware (visto che la sandbox non controllata dall'AV si riempirà progressivamente di malware: non fanno danni,ma "intasano" la sandbox)

Ogni tanto la lettiera del gatto devi pulirla

Dovresti passare di scansione,HP o altri tools di rimozione ogni giorno per bonificare l'area,cosa che può benissimo fare l'AV (se rileva le minacce).

[sampei.nihira]

Ciao farbix.
L'antivirus anche se sprovvisto di modulo web-guard (ad esempio Avira free) sposta in quarantena eventuali file nocivi reperiti nella navigazione sandboxata.
Io stesso ho verificato più volte questa possibilità.
In merito al tuo discorso di pulire la sandbox non occorre perché alla chiusura del browser c'è un'opzione che ne cancella in modo automatico il contenuto.

Per finire la cartella quarantena controllata dall'antivirus,anche io la penso come te,anzi io ho consigliato di eliminare prima possibile il file dalla quarantena.
perché i danni maggiori al sistema sono sempre dovuti all'inesperienza degli utenti.

Ad esempio cosa accadrebbe a ripristinare per errore un file nocivo dalla quarantena quando la sandboxie non è attiva ?
Ecco probabilmente il caso che ha voluto evidenziare l'utente suddetto.

In questa materia ci sono sempre punti di ombra inesplorati che sarebbe interessante sviscerare con dei test.
E' per questo che è così interessante.

[BlackHawk78]

Ciao sampei, ciao farbix.
Mi spiego meglio: in realtà, per una maggiore protezione, intendevo salvare un qualsiasi file scaricato da internet all'interno di una cartella creata in C:\Sandbox\. Poi se l'antivirus mi rileva eventuali malware meglio ! Altrimenti, prima di prelevare i file all'interno di questa cartella creata in C:\Sandbox\, li sottopongo a scansioni con malwarebytes e/o con hp ( eventualmente, se voglio essere proprio sicuro, posso fare anche ricorso a virustotal... ).
Quello che domandavo io, invece, è se tale procedura ( cioè quella di creare una cartella all'interno di C:\Sandbox\ per poi salvarci dentro i file... ) mi assicura realmente il sandboxing dei file, oppure non viene 'accettata' da Sandboxie e quindi è come se non avessi fatto nulla...?

[sampei.nihira]

Ciao sampei, ciao farbix.
Mi spiego meglio: in realtà, per una maggiore protezione, intendevo salvare un qualsiasi file scaricato da internet all'interno di una cartella creata in C:\Sandbox\. Poi se l'antivirus mi rileva eventuali malware meglio ! Altrimenti, prima di prelevare i file all'interno di questa cartella creata in C:\Sandbox\, li sottopongo a scansioni con malwarebytes e/o con hp ( eventualmente, se voglio essere proprio sicuro, posso fare anche ricorso a virustotal... ).
Quello che domandavo io, invece, è se tale procedura ( cioè quella di creare una cartella all'interno di C:\Sandbox\ per poi salvarci dentro i file... ) mi assicura realmente il sandboxing dei file, oppure non viene 'accettata' da Sandboxie e quindi è come se non avessi fatto nulla...?

Ciao 78.
Allora facciamo un banale esempio.
Tu scarichi nel tuo HD con il browser sandboxato e l'apposita opzione recupera un file exe che potrebbe essere compromesso (quindi adesso è nel sistema reale nella cartella in cui lo hai recuperato dalla sandboxie) e lo vorresti eseguire.
Prima dell'esecuzione puoi (senza lanciarlo) scansionarlo nel modo che ti pare, anzi dopo averlo scansionato lo puoi addirittura eseguire nella sandboxie (basta fare click con il mouse destro......).
Anche su MegaLab.it c'è se non vado errato un'ottima guida in merito.


Facciamo un altro esempio con Returnil attivo scarichi il solito file exe in una cartella creata dopo l'ativazione di RVS nella partizione C: il solito file.
Lo fai analizzare e se vuoi lo esegui,al riavvio (a meno che il malwares non ha bypassato il sw,stesso caso si potrebbe presentare per l'esecuzione in sandboxie ma è più difficile quindi l'esecuzione in sandboxie assicura una maggiore protezione.......) tutto ciò che è stato fatto e creato (quindi anche la cartella) non sarà più presente nel sistema.
A meno che tu non lo salvi nella partizione non di sistema.

Ci sei ?
Quale sistema è per i tuoi scopi (che mi sfuggono perdona) più congeniale ?

[BlackHawk78]

Si quello che dici tu lo sapevo già...
Ma se voglio scaricare nella sandbox file da utorrent ed avvio utorrent con sandboxie, poi non vengono 'visti' i torrent che già stavo scaricando in modalità normale ( perché sandboxie dovrebbe copiare la parte restante dei torrent in download nella sandbox, mentre la parte che ho già scaricato rimane nella cartella originaria di destinazione di utorrent ): dovrei attendere il completamento del download dei file che ho su utorrent e poi far partire i download successivi con utorrent sandboxato. Invece imponendo come cartella di destinazione ( per i nuovi torrent in download ) quella che ho creato all'interno di C:\Sandbox\, avrei già risolto il problema.
Solo che, come ho già scritto, non so se questa procedura mi viene 'accettata' da sandboxie, cioè se la cartella che vado a creare all'interno di C:\Sandbox\ mi viene realmente sandboxata o meno...

[sampei.nihira]

Si quello che dici tu lo sapevo già...
Ma se voglio scaricare nella sandbox file da utorrent ed avvio utorrent con sandboxie, poi non vengono 'visti' i torrent che già stavo scaricando in modalità normale ( perché sandboxie dovrebbe copiare la parte restante dei torrent in download nella sandbox, mentre la parte che ho già scaricato rimane nella cartella originaria di destinazione di utorrent ): dovrei attendere il completamento del download dei file che ho su utorrent e poi far partire i download successivi con utorrent sandboxato. Invece imponendo come cartella di destinazione ( per i nuovi torrent in download ) quella che ho creato all'interno di C:\Sandbox\, avrei già risolto il problema.
Solo che, come ho già scritto, non so se questa procedura mi viene 'accettata' da sandboxie, cioè se la cartella che vado a creare all'interno di C:\Sandbox\ mi viene realmente sandboxata o meno...

Se quello che ho scritto lo sapevi già e vuoi fare questa "stranezza" (per me ovviamente) prova,cosa ti costa !!
Sai io spesso non capisco dove vogliono arrivare gli utenti perché le cose da prendere in considerazione per avere una ottima configurazione di sicurezza sarebbero altre......

Buona giornata.