Путаем следы ... или Все – в "песочницу"


Похоже, эта тема будет перекликаться с уже начатыми – о "джентльменском" наборе portable-программ, которые можно располагать на USB-flash, т.е. тех, которые не оставляют следов в реестре, рабочих каталогах и профайлах пользователей.

А сказать я хотел вот о чем – недавно наткнулся на очередной софт под названием "Песочница" или Sandboxie:

http://www.sandboxie.com/

Общий смысл действия таков: если обычные программы активно обмениваются в процессе своей работы данными по пути: винчестер
оперативная память
файл подкачки
обратно на винчестер... и т.п., то данный софт "перехватывает" все данные, которые любая программа хочет записать на винт (свои установки, временные файлы, временные интернет-файлы, пользовательские файлы) и пишет их в специально зарезервированное на винчестере место.

Таким образом, можно пробовать новую игрушку без опаски заразить машину интегрированным туда вирусом, запускать элементы ActiveX и, в том числе – МАСКИРОВАТЬ свой веб-серфинг, вернее (и это будет более точным определением) – не давать веб-софту писать какие-то данные на ваш HDD (кроме всего прочего, вы можете и РАЗРЕШИТЬ такую операцию – допустим, сохранить какие-то из них).

Мне стало интересно и я решил ее опробовать. Но попутно возникла и такая мысль: возможно, кто-нибудь подскажет, КАК попытаться "прикрутить" ее к USB-flash, чтобы действовать по следующему аггоритму:

0) ставим весь софт на криптораздел на флешке, созданный при помощи Truecrypt;
1) активизируем "песочницу";
2) задаем "песочнице" резервированное место для записи данных на флешке (достаточно большого объема);
3) запускаем требуемую программу – в частности, браузер (тоже с флешки);
4) перенаправляем данные, исходящие из браузера в процессе веб-серфинга по направлению к винчестеру, в "песочницу";
5) работаем:
6) сохраняем НУЖНЫЕ НАМ ДАННЫЕ на флешке (извлекая их из "песочницы" (опционально);
6) по выходу – очищаем песочницу;
7) закрываем криптодиск (криптораздел).

Есть ли умелые руки, которые могли бы заставить Sandboxie работать исключительно с USB-flash, не делая записи в реестр, не обращаясь к винту и т.п.?

Мне кажется, что эта схема реально осуществима при помощи того же софта, каким мастерят другие portable-программы. Но осуществить этот фокус самостоятельно я не могу – увы, не специалист! :D

С сайта:

When you run a program on your computer, data flows from the hard disk to the program via read operations. The data is then processed and displayed, and finally flows back from the progam to the hard disk via write operations.

For example, if you run the Freecell program to play a game, it starts by reading the previously recorded statistics, displaying and altering them as you play the game, and finally writing them back to disk for future reference.

Sandboxie changes the rules such that write operations do not make it back to your hard disk.

The illustration shows the key component of Sandboxie: a transient storage area, or sandbox. Data flows in both directions between programs and the sandbox. During read operations, data may flow from the hard disk into the sandbox. But data never flows back from the sandbox into the hard disk.

If you run Freecell inside the Sandboxie environment, Sandboxie reads the statistics data from the hard disk into the sandbox, to satisfy the read requested by Freecell. When the game later writes the statistics, Sandboxie intercepts this operation and directs the data to the sandbox.

If you then run Freecell without the aid of Sandboxie, the read operation would bypass the sandbox altogether, and the statistics would be retrieved from the hard disk.

The transient nature of the sandbox makes it is easy to get rid of everything in it. If you were to throw away the sandbox, by deleting everything in it, the sandboxed statistics would be gone for good, as if they had never been there in the first place.

Sandboxie and the Web

Protecting your Freecell statistics using Sandboxie may be a good idea when a less qualified player comes along, but you will probably want to play most of your games outside the sandbox.

On the other hand, you may want to run your Web browser inside the sandbox most of the time. This way any incoming, unsolicited software (spyware, malware and the like) that you download, is trapped in the sandbox. Changes made to your list of Favorites or Bookmarks, hijacking of your preferred start page, new and unwanted icons on your desktop — all these, and more, are trapped in and bound to the sandbox.

You could also try a new toolbar add-on, browser extension or just about any kind of software. If you don't like it, you throw away the sandbox, and start again with a fresh sandbox. On the other hand, if you do like the new piece of software, you can re-install it outside the sandbox so it becomes a permanent part of your system.

Sandboxie intercepts changes to both your files and registry settings, making it virtually impossible for any software to reach outside the sandbox.

Sandboxie traps cached browser items into the sandbox as a by-product of normal operation, so when you throw away the sandbox, all the history records and other side-effects of your browsing disappear as well.

The Alternative

Sandboxie is free so you really don't have to look around for an alternative. If you find it makes your Web experience that much safer, you are encouraged to register the program for a small fee. However, if you still don't like or can't use Sandboxie for whatever reason, here are some alternatives.

Untrusted Browsing

The ActiveX mechanism lets Web sites run little programs in your computer. These are mostly well-natured programs, for example automatic download managers or automatic toolbar installation. Some not-so-well-natured Web sites use this mechanism to install spyware into your computer. You could browse with ActiveX disabled (by turning it off, or by switching to a browser that doesn't offer support for ActiveX), but you would be trading security over functionality. With Sandboxie, you can keep ActiveX turned on, and have both security and functionality.




Комментарии
— SATtva (15/07/2006 20:32)   
Думаю, заставить это ПО работать, не внося вообще никаких изменений в реестр, невозможно, посколько программе требуется вносить глубокие корректировки в поведение ОС (вряд ли здесь можно обойтись только системыми вызовами).

А вообще интересно, конечно. Но меня устраивает TCTEMP и TrueCrypt. :)
— Rabby (16/07/2006 00:41)   
SATtva:
Думаю, заставить это ПО работать, не внося вообще никаких изменений в реестр, невозможно, посколько программе требуется вносить глубокие корректировки в поведение ОС (вряд ли здесь можно обойтись только системыми вызовами).

Перечитал программный FAQ. Поддерживаю вышесказанное, ибо:

What are SandboxieRpcSs and SandboxieDcomLaunch?

The Windows operating system provides a framework known as the Component Object Model, or COM for short. COM mediates between applications in such a way that allows the applications to focus on what they want to say to each other, rather than exactly how to say it.

Sandboxie uses the two programs SandboxieRpcSs and SandboxieDcomLaunch (*) to provide a sandboxed instance of the COM framework. The Windows-provided COM framework can connect only non-sandboxed instances of applications to each other, while the Sandboxie-provided COM framework can connect only sandboxed instances of applications to each other. This strengthens the isolation of the sandbox, and makes for better sandboxing.

(*) Sandboxie DcomLaunch is used only on Windows XP systems with Service Pack 2 or later, and on systems running Windows XP Professional x64 Edition.

Увы, но без "вживления" обойтись вряд ли удасться.

Хотя софт малоизвестный. Если установить его на машине на своей работе (и даже особо не маскировать!) вряд ли кто-то догадается, что "песочница" там в процессе работы "оборачивала".
Гость (19/07/2006 23:37)   
Sandboxie может быть портабельной.
http://portableapps.com/node/1124#comment-6841

Правда, нужны будут права править реестр и запускать драйвер.
Гость (19/07/2006 23:46)   
И, кстати, правка реестра возможно станет необязательной в будущих версиях, так как реестр используется только как .ini файл. Вся сила в драйвере!
— SATtva (20/07/2006 10:40)   
То есть запуск с привилегиями администратора. Не всегда возможное допущение...
— contro (20/07/2006 11:36)   

Таким образом, можно пробовать новую игрушку без опаски заразить машину интегрированным туда вирусом, запускать элементы ActiveX и, в том числе – МАСКИРОВАТЬ свой веб-серфинг, вернее


А ещё можна снести винду к ЧМ, найти в своей жизни несколько вечеров на прочтение книжки "линукс для олигофренов. Ткни мышкой, и оно появится", после чего забыть обо всех программах такого сорта как о страшном сне и больше никогда не вспоминать.
— unknown (20/07/2006 14:54)   
найти в своей жизни несколько вечеров на прочтение книжки "линукс для олигофренов. Ткни мышкой, и оно появится",

Не всем олигофренам эти книжки помогают. И это как-то звучит немного флеймообразующе и высокомерно. Например, такой занятой человек как Шнайер, кажись до сих пор Линукс не освоил (точно не знаю, но кажется он то под Виндой, то под Маком). Из известных криптографов навскидку 30-50% самостоятельно используют Линукс/Unix. (В университетах и по работе конечно почти все).

Но, действительно, если у человека такой интерес к виртуализаторам, файрволлам, шифрованию и аналогичному софту, лучше не городить эту кашу на Вин ОС, а посмотреть на Lin, где всё это будет органичнее.
— SATtva (20/07/2006 19:51)   
Например, такой занятой человек как Шнайер, кажись до сих пор Линукс не освоил

Думаю, вполне освоил, но из "корпоративных соображений" действительно большую часть времени работает с проприетарными ОС.
— Rabby (21/07/2006 00:01)   
А ещё можна снести винду к ЧМ, найти в своей жизни несколько вечеров на прочтение книжки "линукс для олигофренов. Ткни мышкой, и оно появится", после чего забыть обо всех программах такого сорта как о страшном сне и больше никогда не вспоминать.

Не всем олигофренам эти книжки помогают. И это как-то звучит немного флеймообразующе и высокомерно.

... Да нет, я не заметил особого высокомерия в данном предложении. Это действительно дельный и практичный совет. С появлением действительно user-friendly оболочек под Linux, разобраться в минимуме функций этой ОС может практически каждый пользователь (было бы действительно желание). А разнообразие дистрибутивов позволяет сделать выбор – что именно подходит для ТЕБЯ, любимого!

Жалко, что многие не то что бы не понимают о ценности и безопасности nix-систем; большинство даже не догадывается о его существовании. Поэтому я целиком и полностью – за их разумную и ненавязчивую пропаганду путем объяснения преимуществ ОС.
Гость (22/07/2006 00:33)   
А что, под линуксом вирусов не бывает?
Гость (22/07/2006 01:25)   
Высокомудрому собранию было бы неплохо вспоминать иногда и об ОГРОМНОМ количестве людей, которые НИКОГДА не перейдут на линукс, потому что даже освоение Windows далось им с большим трудом. Ну так уж у них устроены мозги... А вот "песочница" для них – самое оно!
— SATtva (22/07/2006 18:43)   
Гость, на этом форуме высказывается множество участников, имеющих множество точек зрения. Тенденциозности здесь нет, по крайней мере мы стараемся этого избегать. И если Вы не согласны с каким-либо из озвученных мнением, то вольны выбрать себе любое иное по вкусу. Точно также и другой читатель, приследующий собственные цели и имеющий собственный уровень подготовки найдёт себе что-то своё. Подумайте, может быть и Вам, и кому-то другому оспоренное в данный момент мнение в будущем окажет помощь...
Гость (27/10/2006 09:11)   
Коллеги! С выходом меня из длительного отпуска! :-) Постепенно привыкаю к новому интерфейсу форума и сайта. :-)...

Я вот о чем подумал. В качестве области, зарезервированной под "песочницу", т.е. под то место, где программа хранит свои временные даннные, вполне можно задействовать криптодиск или криптоконтейнер, созданный при помощи TrueCrypt. В этом случае алгоритм действий пользователя такой:

1. Ставим "песочницу".
2. Создаем криптоконтейнер или криптотом на флеш-носителе.
3. Подключаем флешку к машине, открываем контейнер.
4. Запускаем "песочницу" и указываем ей место для хранения промежуточных данных – а именно – место на флешке (естественно, объем самого девайса должен быть достаточно большим).
5. Опосредованно (через "песочницу") запускаем браузер (допустим Фаэрфокс), работаем.
6. Все промежуточные данные автоматически сохраняются в зарезервированной области, создавая там структуру каталогов, идентичную той, которая существует в пользовательском профиле браузера и в родительском каталоге браузера.
7. Завершая работу, вначале отключаем браузер, потом удаляем накопившиеся данные в "песочнице", после чего закрываем программу.

Таким образом, полностью анонимизировать свою работу на машине не удастся (т.к. "демаскировать" будет наличие установленной на ней песочницы), но узнать и доказать, с чем именно вы работали будет невозможно.

P. S. Отключение файла-подкачки путем приобретения лишнего гигабайта оперативной памяти :-) значительно увеличит ваши шансы на сохранение анонимности.

Rabby
— SATtva (27/10/2006 09:35, исправлен 27/10/2006 09:43)   
Привет, Rabby, с приехалом Вас! :-) Вы должны были остаться зарегистрированным пользователем, так что пользуйтесь прежними реквизитами доступа.

А файл подкачки тоже можно шифровать тем же TrueCrypt.
Гость (27/10/2006 11:53)   
Таким образом, полностью анонимизировать свою работу на машине не удастся (т.к. «демаскировать» будет наличие установленной на ней песочницы), но узнать и доказать, с чем именно вы работали будет невозможно

"Песочница" это прежде всего антивирус, так что тут и маскироваться незачем.

А файл подкачки тоже можно шифровать тем же TrueCrypt.



Не можно а нужно, так как винда пишет на диск даже при отключённом свопе! (Руссинович и ко проделывали соответствующие экперименты, ссылку потерял, увы.) :(

PS
Для Sandboxie 2.25 в сети можно найти "лекарство" (подходит и для последующих версий:) Кстати, причина того, что автор никак не хочет сделать портабельную версию и предлагает пользоваться для этого сторонним скриптом вероятно состоит в том, что зарегистрированная версия отличается от пробной лишь наличием ключа в реестре. :)
Гость (27/10/2006 13:10)   
Собственно говоря, как изложено у производителей в FAQ'e, вся разница между зарегистрированной и незарегистрированной версией такова:

Which features are unlocked in the registered version?

In the registered version, Sandboxie can be configured to issue a warning SBOX1118 whenever a particular program is launched outside the sandbox.
You can also configure Sandboxie to automatically sandbox particular programs, even when they are not launched explictly through Sandboxie.
Since version 2.47, registered users can run sandboxed programs in any number of sandboxes at the same time, while non-registered users can run sandboxed programs in only one sandbox at a time.


Так что лекарство, по сути, не нужно искать. Да и претит мне это, если честно.
А насчет того, чтобы представлять "песочницу" как еще один антивирус – мысль хорошая и дельная. כפטנ'כ האףךך
Гость (27/10/2006 14:04)   
Виноват, в конце предыдущего сообщения прорвалась фраза на иврите – это просто на машине установлены раскладки клавиатуры на три языка сразу, одна из которых может быть непонятен присутствующим. :-)) Скрытого смысла в этой фразе прошу не искать :-)))

Rabby

P. S. САТтва, а ведь текущая тема – еще одна глава в книге, не правда ли? Только сейчас осенило! :-) (ранее в мои планы это не входило)... Подробнее о ходе летне-осенних работ отпишусь Вам подробно в ближайший шаббат (вернее – по его окончанию). ОК?
— spinore (27/10/2006 21:33)   
Хм.. ничё не пойму. А разве UNIX не кошерен? Это ж надо какие щепитильные юзвери пошли – хотят под виндой чрутиться...
— SATtva (13/01/2007 19:37)   
unknown:
Например, такой занятой человек как Шнайер, кажись до сих пор Линукс не освоил

Думаю, вполне освоил, но из «корпоративных соображений» действительно большую часть времени работает с проприетарными ОС.

В качестве подтверждения этого комментария[link1], вот сообщение[link2] самого Шнайера из его хоум-пэйджа.
— unknown (13/01/2007 21:13)   
Ой, что там счас толпа неугомонных красноглазых американских линуксоидов напишет :-))), он может устроить конкурс среди желающих бесплатно обучать его использованию SELinux.

Жалко, что Шнайер слишком много занимаются бизнесом и уже очень давно не ведёт серьёзных научно-исследовательских работ. Так что как впервую очередь для бизнесмена, а не учёного, его выбор ОС пока самый типичный.
— spinore (14/01/2007 15:49)   
В общем-то нигде и не утверждалось, что Брюс – практик. Есть люди, которые криптографы или криптоаналитики, а есть специалисты по безопасности компьютерных систем. От вторых требуется глубокое знание конкретных реализаций систем безопасности и умение их настраивать, и это отнюдь не просто.
Гость (24/01/2007 19:39)   
Песочница всем хороша, но она перенаправляет вывод только выбранных приложений. Насколько я понял существует более универсальное средство Enhanced Write Filter (EWF). Которое перенаправляет все идущие на запись данные в виртуальный КЭШ. После активации сервиса любые изменения файлов реально на диск не попадут. Т.е. после перегрузки или сброса сервиса все вернется на прежние места.

http://www.mp3car.com/vbulleti.....p=321303&postcount=6[link3]
Гость (26/01/2007 15:32)   
Кстати песочница используется в Outpost Firewall для запуска проверяемых файлов (вирусов) на анализ. Из-за этого при ее установке на систему с Аутпостом возникают проблемы. Вобще программ такого класса много, но большинство из них ориентировано на использование только в составе антивирусов.
Кроме того уже существуют технологии, позволяющие детектировать запуск в подобных средах. Скоро ждем их использование в вирусах.

Еще тут был пост о том, что винда пишет на диск даже при отключенном свопе. Интересно узнать куда именно и что она пишет, т.к. тогда TCTEMP может что-то пропускать на диск в нешифрованном виде .
— SATtva (26/01/2007 15:44)   
Еще тут был пост о том, что винда пишет на диск даже при отключенном свопе.

Вероятно, имелась в виду запись в журналы NTFS, изменения реестра и прочее. Своп виртуальной памяти Винда не обходит.
Гость (29/01/2007 22:19)   
EWF, о котором я писал пару постов выше ничего мимо себя не пропускает. Я проводил эксперимент. Сделал образ системного диска. Потом целый день работал: офисные программы, установка/удаление програм, разработка программ и т.д. Потом повторно сделал образ диска и сравнил два образа побайтно – различая в 8 байт для 3-х гигобайтных образов (4 байта вначале, повидимому время создания и 4 байта в конце, повидимому CRC). Вот так вот. Так что рекомендую страждущим. Защищать можно как выбранные раздел, так и все диски целиком. Причем все это вкключается, выключается одним кликом.
Гость (29/01/2007 22:42)   
Есть также и ShadowUser[link4]. Но приятность "песочницы" SandboxIE в том, что она не требует перезагрузки!

Ссылки
[link1] https://www.pgpru.com/comment8183

[link2] http://www.schneier.com/blog/archives/2007/01/darkreading_pro.html#c137893

[link3] http://www.mp3car.com/vbulletin/showpost.php?p=321303&postcount=6

[link4] http://www.ixbt.com/soft/shadowuser.shtml