книги хакеры / Курс_по_кибер_безопастности_Секреты_хакеров

Это размер пространства, которым обладает песочница для хранения загруженных файлов. 48 Мбайт - это не очень-то много, я всегда увеличиваю это значение до примерно 4 Гбайт, чтобы у меня было достаточно места. Но у меня не всегда включена функция немедленного восстановления. Так что мне нужно место для скачивания файлов и принятия решения, что с ними делать.

Ограничения здесь: вы можете запретить программам доступ в интернет, позволить или запретить им запускаться и выполняться, можете понизить права, если работаете под администратором. Вам не следует работать под администратором, но все равно поставьте сюда галочку на тот случай, если это произошло.

Ограничения доступа: доступ к файлам, реестру, IPC, Windows, COM, вы можете определить параметры доступа песочницы к своей системе. Хотите ли вы дать полный доступ любым программам, доступ на чтение, доступ на запись? Хотите ли вы заблокировать что-либо конкретное? В целом, вам стоит давать как можно меньше доступа.

9

Далее, параметры настройки для различных почтовых клиентов.

В общем, так выглядит Sandboxie. Если вы используете Windows, нет никаких оснований не пользоваться Sandboxie или какой-либо другой альтернативной песочницей. Это предоставляет вам дополнительный слой защиты с применением этой технологии.

www.jimopi.net/PDFs/Word Pro - Sandboxie.pdf

Вот хороший документ, который я рекомендую к прочтению. В нем описываются особенности использования Sandboxie с браузерами и почтовыми клиентами. Так что почитайте, изучите, если хотите настроить Sandboxie для работы с браузером, Firefox или со своим почтовым клиентом.

forums.sandboxie.com/phpBB3/

Я бы также хотел посоветовать форум Sandboxie. Найдете там множество информации, а если у вас появятся конкретные вопросы, это хороший, отзывчивый форум.

100. Linux - Песочницы и изоляция приложений

В этом видео мы рассмотрим песочницы под Linux. Начнем с AppArmor. wiki.apparmor.net/index.php/Main_Page

AppArmor - это аналог песочницы. Это фреймворк для обеспечения мандатного управления доступом в Linux. Что делает AppArmor, он ограничивает программы согласно набору правил, которые определяют, к каким файлам или системным ресурсам может получить доступ определенное приложение. Этот инструмент доступен в ряде дистрибутивов, включая рекомендованные мной дистрибутивы, Debian и Arch Linux. Я рекомендую использовать AppArmor, вам определенно стоить изучить принципы его работы. AppArmor, SELinux и Grsecurity - это фреймворки, расширяющие модель безопасности Linux, мы обсудим их позже. Это дополнительные методы изоляции вашей среды Linux, ее усиления и защиты.

10

11

Sandbox реализуется в качестве модуля политики для фреймворка мандатного управления доступом TrustedBSD, который я ранее рекомендовал для работы с BSD. Как мы знаем, Apple OS X - это модификация BSD, поэтому вы можете использовать этот фреймворк TrustedBSD на OS X. Вам нужно прописать конфигурационный файл для каждого приложения, которое вы хотите использовать в песочнице. К сожалению, это не то решение, где достаточно навести курсор и кликнуть. Вам нужно читать документацию. Вам нужно понимать, что вы делаете.

На экране справочная страница для sandbox-exec, это главный инструмент, который используется для работы песочницы в OS X.

https://reverse.put.as/wp-content/uploads/2011/09/Apple-Sandbox-Guide- v1.0.pdf

Также, есть гайд от Apple, можете прочитать о порядке использования песочницы. И сейчас я дам вам несколько наводок, с чего начать, но вам абсолютно точно надо прочитать документацию, потому что для каждого конкретного приложения есть свои особенности.

Итак, я упомянул, что для каждого приложения должен быть конфигурационный файл или файл с профилем, в котором прописывается, что разрешено делать конкретно-

Теперь мы под рутом. Давайте я покажу вам пример конфиг-файла, который я создал для Firefox. Эти настройки основаны на информации, которую я нашел по двум ссылкам, они представлены сверху.

http://hints.macworld.com/article.php?story=20100318044558156 https://codereview.chromium.org/379019/diff/1/2

Почитайте этот материал тоже. Если мы спустимся ниже, вы сможете понять, какие настройки необходимо произвести. Выглядит сложно, но вы справитесь.

13

Мы видим здесь настройки для Firefox, это указание директорий, в которых процессу разрешается производить операции чтения и записи. Основой здесь является директива "allow file-write", то есть разрешить запись файлов, и последующие разрешения на чтение данных и метаданных файлов. Если спуститься ниже, видим схожие выражения. Итак, это директории, в которых Firefox может выполнять операцию чтения, и файлы.

Здесь мы импортируем дополнительные правила из файла bsd.sb, который по сути похож на данный файл и который содержит набор специфических правил для BSD. И мы также можем запретить Firefox создавать какие-либо новые процессы. Данное выражение означает: не разрешено создавать какие-либо новые процессы, только новые потоки. А здесь мы разрешаем Firefox доступ в сеть, то есть, в целом, вы можете ограничивать доступ в сеть конкретным приложениям. В общем, это дает вам представление о профилях. Но если вы реально хотите пользоваться всем этим, то тогда вам нужно читать документацию и разбираться, как все это работает. Хотя, конечно, я советую вам сделать такие файлы для браузера и почтового клиента, и, конечно же, для всего, что взаимодействует с интернетом или недоверенными источниками.

Итак, это был образец профиля. Собственно говоря, как нам запустить Firefox с использованием этого профиля? Нужно набрать команду, но предварительно выйти из-под рута в пользователя с расширенными привилегиями, но не являющегося админом.

14

По этой ссылке вы сможете найти несколько профилей, которые могут вам пригодиться. Также есть примеры конфигураций от Apple, которые можно посмотреть здесь. Один из них, ftp proxy. В общем, эти файлы могут дать вам лучшее представление о том, как можно настраивать профили. Видим здесь пример: эта директива разрешает входящий трафик на UDP-порт 123, и больше ничего не разрешает. В общем, это даст вам представление. Вы также можете получать ошибки, результаты трассировки ошибок, указывающие вам на проблемы запущенных в песочнице файлов, и это может помочь вам с принятием решений.

https://github.com/pansen/macos-sandbox-profiles/blob/master/firefox.sb

По этой ссылке есть профиль для Firefox, который может оказаться полезным, если вы собираетесь пользоваться Firefox.

https://github.com/hellais/Buckle-Up

Это скрипт Buckle Up, инструмент, помогающий вам создавать профили. https://blog.squarelemon.com/2015/02/os-x-sandbox-quickstart/

Инструкция для быстрого старта по работе с песочницей в OS X, может пригодиться. https://dl.packetstormsecurity.net/papers/general/apple-sandbox.pdf

А это доклад исследователя в сфере безопасности на тему песочницы Apple. Стоит прочитать, если вы реально нацелены углубиться в эту тему.

Помимо встроенной песочницы, не так уж и много я назову вещей под Mac. www.shirt-pocket.com/SuperDuper/SuperDuperDescription.html

Есть программа SuperDuper. В ней есть ряд ограниченных функций песочницы, так что я подумал, что стоит ее упомянуть. Вот и все о песочницах на Mac.

102. Виртуальные машины

Ранее мы говорили об использовании виртуальных машин для тестирования. Теперь мы узнаем, как использовать виртуальные машины для создания раздельных доменов безопасности и принудительной изоляции и компартментализации с их помощью.

Виртуальные машины - это подобие песочницы, они являются отличным инструментом для реализации изоляции и компартментализации с целью снижения рисков и негативного воздействия, а также для контроля атакующего. Они также являются великолепным инструментом для установки изоляции и компартментализации для псевдонимов, об этом рассказывается в разделе об OPSEC.

Вы должны иметь определенную изоляцию и компартментализацию для псевдонимов, виртуальную - для виртуальных машин или физическую. Виртуализация обеспечивает безопасность, поскольку она снижает количество интерфейсов между доменами безопасности, при этом позволяя доменам безопасности существовать и общаться при помощи этих

15 интерфейсов.

Помимо первого и второго типа есть еще и гибридные гипервизоры, которые эффективно преобразуют хостовую операционную систему в гипервизор первого типа. Это может также вас заинтересовать, потому что вы можете использовать их в целях безопасности, для изоляции и компартментализации.

www-linux-kvm.org/page/Main_Page https://en.wikipedia.org/wiki/Virtual_Machine_Manager

Во-первых, KVM или виртуальная машина на базе ядра Linux. Это опенсорсный, быстрый гипервизор, распространяемый по лицензии GPL, он поставляется в составе операционных систем GNU/Linux. И помимо VirtualBox и Xen, я также могу порекомендовать KVM в качестве виртуальной машины под Linux. Но обязательно убедитесь, что используете ее с Virtual Machine Manager, это графический пользовательский интерфейс для управления KVM, который облегчает и упрощает работу с ней.

17

http://web.archive.org/web/20160323090048/http://sianios.com/kvm-debian- jessie/

Если вы раздумываете над использованием KVM, вот инструкция для Debian Jessie, видим, что это не очень трудно. Пакеты доступны в репозитории. Просто ставите их и пробуете работать.

KVM работает под Whonix, это операционная система, заточенная под обеспечение безопасности, мы поговорим о ней уже очень скоро. Если есть желание использовать Whonix, то вполне можете использовать ее в связке с KVM. Но как я уже сказал, мы обсудим это в ближайшее время.

Есть целый ряд виртуальных машин под Linux. KVM, пожалуй, самая основная, поскольку она поставляется с операционными системами GNU/Linux, но стоит упомянуть и парочку других, например, OpenVZ, это контейнерная виртуализация на уровне операционной системы, и также, LXC или Linux Containers, как можно догадаться по названию, это приложение для контейнерной виртуализации на уровне операционной системы.