Sandbox, AV und Co.: Damit bin ich nun sicher, oder? (Sicherheits-Sammelthread)
Hey giletto,
An dieser Stelle ein klares "Jein" für deine allgemeine Aussage.
Geht es darum, dass Daten unerlaubt überschrieben werden könnten, so ist eine Sandbox wie z.B. Sandboxie (SandboxIE, Serverstandort: Amerika) durchaus sinnvoll. Also z.B. das Installieren eines Toolbars als Firefox-Plugin wird in den Sandbox-verwalteten Festplattenbereich umgelenkt (sofern Firefox in der Sandbox lief). D.h. die ursprünglichen Firefox-Dateien bleiben in diesem Fall unangetastet und dementsprechend ist es leicht, die ungeliebte Toolbar rückstandsfrei zu beseitigen. Dasselbe gilt für viele Versionen des BKA-/GVU-Trojaners.
Jedoch gibt es drei Dinge zu bedenken.
Erstens, auch die besten Sandboxen (z.B. Chrome) von den besten Programmierern können Bugs enthalten (Pwn2Own, Serverstandort: Amerika).
Zweitens, die darunterliegenden Bibliotheken werden in der Regel nicht isoliert. D.h. ein böswilliger Mensch, welcher mit einer Sandbox rechnet, könnte es mal mit Return Oriented Programming (kurz: ROP) versuchen (deutsche Wikipedia, Serverstandort: Amerika).
Gegen ROP hilft wiederum Address Space Layout Randomization (kurz: ASLR), welche unter Windows XP nicht vorhanden und auch nicht nachrüstbar ist. Unter Windows Vista/7 (vielleicht auch 8.x) ist das Konzept jedoch so kaputt umgesetzt worden, dass das Enhanced Mitigation Experience Toolkit (kurz: EMET, Microsoft, Serverstandort: Amerika) nachgereicht werden musste.
Drittens, eine Sandbox verhindert nicht, dass ein Windowsaccount ausgelesen und einfach mal an ein paar Server geschickt wird. Das war auch nicht das Ziel einer Sandbox.
Abschließend bleibt festzuhalten: Jegliche Software, welche nicht benötigt wird und/oder gegebenenfalls aus einer fragwürdigen Quelle stammt, sollte auf keinen Fall gestartet werden. Nicht in einer Sandbox und vor Allem nicht auf einem System, welches du für deine alltäglichen Aufgaben und auch wichtigen Dinge nutzen willst. Hingegen solltest du dennoch so oft wie nur möglich auf Sandboxen aus vertrauenswürdigen Quellen zurückgreifen. Die Sandboxen sollten wiederum durch EMET überwacht werden.
Alternativ hierzu kannst du auch für jeden Zweck auf dem Betriebssystem einen eigenen Useraccount anlegen und diesen nur für den geplanten Zweck nutzen. Jedoch hast du dabei Einbußen in der Nutzbarkeit zu erwarten. Einfach mal so aus einer eMail zitieren geht dann z.B. nicht, wenn du Surfen und eMail-Korrespondenz getrennt hast. Dafür kann ein Programm dann auch nur das nach außen leiten, was in dem aktuellen Account liegt.
Gruss
Bill
Anonyme Sachen die man aus dem Netz zieht oder geschickt bekommt einfach in der Sandbox starten. Dann koennen sie Phishing Anhaenge schicken wie sie wollen, die verpuffen im Buddelkasten. 
An dieser Stelle ein klares "Jein" für deine allgemeine Aussage.
Geht es darum, dass Daten unerlaubt überschrieben werden könnten, so ist eine Sandbox wie z.B. Sandboxie (SandboxIE, Serverstandort: Amerika) durchaus sinnvoll. Also z.B. das Installieren eines Toolbars als Firefox-Plugin wird in den Sandbox-verwalteten Festplattenbereich umgelenkt (sofern Firefox in der Sandbox lief). D.h. die ursprünglichen Firefox-Dateien bleiben in diesem Fall unangetastet und dementsprechend ist es leicht, die ungeliebte Toolbar rückstandsfrei zu beseitigen. Dasselbe gilt für viele Versionen des BKA-/GVU-Trojaners.
Jedoch gibt es drei Dinge zu bedenken.
Erstens, auch die besten Sandboxen (z.B. Chrome) von den besten Programmierern können Bugs enthalten (Pwn2Own, Serverstandort: Amerika).
Zweitens, die darunterliegenden Bibliotheken werden in der Regel nicht isoliert. D.h. ein böswilliger Mensch, welcher mit einer Sandbox rechnet, könnte es mal mit Return Oriented Programming (kurz: ROP) versuchen (deutsche Wikipedia, Serverstandort: Amerika).
Gegen ROP hilft wiederum Address Space Layout Randomization (kurz: ASLR), welche unter Windows XP nicht vorhanden und auch nicht nachrüstbar ist. Unter Windows Vista/7 (vielleicht auch 8.x) ist das Konzept jedoch so kaputt umgesetzt worden, dass das Enhanced Mitigation Experience Toolkit (kurz: EMET, Microsoft, Serverstandort: Amerika) nachgereicht werden musste.
Drittens, eine Sandbox verhindert nicht, dass ein Windowsaccount ausgelesen und einfach mal an ein paar Server geschickt wird. Das war auch nicht das Ziel einer Sandbox.
Abschließend bleibt festzuhalten: Jegliche Software, welche nicht benötigt wird und/oder gegebenenfalls aus einer fragwürdigen Quelle stammt, sollte auf keinen Fall gestartet werden. Nicht in einer Sandbox und vor Allem nicht auf einem System, welches du für deine alltäglichen Aufgaben und auch wichtigen Dinge nutzen willst. Hingegen solltest du dennoch so oft wie nur möglich auf Sandboxen aus vertrauenswürdigen Quellen zurückgreifen. Die Sandboxen sollten wiederum durch EMET überwacht werden.
Alternativ hierzu kannst du auch für jeden Zweck auf dem Betriebssystem einen eigenen Useraccount anlegen und diesen nur für den geplanten Zweck nutzen. Jedoch hast du dabei Einbußen in der Nutzbarkeit zu erwarten. Einfach mal so aus einer eMail zitieren geht dann z.B. nicht, wenn du Surfen und eMail-Korrespondenz getrennt hast. Dafür kann ein Programm dann auch nur das nach außen leiten, was in dem aktuellen Account liegt.
Gruss
Bill