Sandbox Comodo - o scurta prezentare scrisa si video

Deoarece Sandbox-ul de la Comodo este ceva diferit de alte produse similare si am observat ca nu exista prea multe informatii pe forumul romanesc despre acesta, am incercat sa-mi raspund la cateva intrebari pe care cu siguranta multi dintre noi le au:

1. Ce este Sandbox-ul de la Comodo?
2. ■■■ functioneaza Sandbox-ul de la Comodo?
3. ■■■ imi influenteaza sistemul un program care ruleaza in Sandbox?
4. Cand ruleaza automat un program in Sandbox?
5. Ce fac cand un program imi cere drepturi privilegiate?
6. Un program ruleaza in Sandbox dar nu vreau asta. Ce fac?
7. Vreau sa rulez un program manual in Sandbox. Ce fac?
8. Si totusi, de ce e asa de bun Sandbox-ul de la Comodo?
9. Cu toate ca un program ruleaza in sandbox, primesc alte alerte de la Comodo.
10. O scurta prezentare video a Sandbox-ului de la Comodo

Informatiile prezentate mai jos sunt sintetizate majoritatea din manualul CIS pentru versiunea 4.1. In momentul in care vor aparea informatii suplimentare, le voi actualiza in functie de acestea. / Revizuit in data de 14.07.2010.

Daca sunt informatii pe care nu le-am postat (am sintetizat informatiile din manualul CIS 4.1 considerate de mine ca si esentiale pentru toti utilizatorii) si credeti ca sunt importante si pentru alti useri sa le stie, nu ezitati sa le postati aici pentru a le putea discuta si imbunatati impreuna aceasta prezentare.

Pentru a se putea intelege mai bine, am atasat la unele postari screenshot-urile aferente, dar trebuie sa fii logat pentru a le putea vedea.

Sandox-ul din Comodo Internet Security este un mediu de operare izolat pentru aplicatii necunoscute si de neincredere. Rularea unei aplicatii in Sandbox inseamna ca aceasta nu poate face schimbari permanente celorlalte procese, programe sau date din sistemul “real”. Dupa ce o aplicatie necunoscuta a fost plasata in Sandbox, CIS in mod automat o va trimite catre Laboratoarele Comodo spre analizare. Daca este gasita ca si inofensiva, va fi adaugata la lista globala care este descarcata la urmatoarea runda de update. O data adaugata in Safe List, aplicatia nu va mai fi rulata de CIS in Sandbox (in afara de cazurile in user-ul cere acest lucru). In caz contrar in care aplicatia este gasita ca si malitioasa, aceasta va fi adaugata la lista cu semnaturi de malware si va fi stearsa la urmatoarea runda de update. Beneficiul este ca aplicatia malitioasa nu poate sa faca rau sistemului real in acest timp, mai exact nu poate infecta computerul!

Cand un executabil este rulat, va trece urmatoarele verificari de securitate de catre CIS:

  • Scanarea Antivirus
  • Verificare euristica Defense+
  • Verificare Buffer Overflow

Daca procesele de mai sus determina ca executabilul este malware, userul este alertat.

O aplicatie primeste statusul de “Safe” de la CIS (acest lucru inseamna ca aceasta aplicatie nu este rulata in sandbox) in urmatoarele conditii:

  • Este continuta in lista globala Comodo Safe List
  • A fost adaugata de user in 'My Own Safe Files
  • I s-a dat de user drepturi depline installer-ului aceste aplicatii (CIS determina daca un executabil are nevoie de drepturi administrative). In acest caz este intrebat userul. Daca userul ofera drepturi depline, CIS considera installer-ul si toate fisierele generate de acesta ca si sigure.

In mod aditional, un fisier nu este rulat in sandbox daca este definit ca si “installer / updater” in HIPS policy (vezi setarile din Computer Security Policy).

Pe langa restrictiile definite de nivelul de securitate setat aplicatiei in Sandbox, un program ce ruleaza in Sandbox nu poate:

  • Sa acceseze aplicatiile care nu sunt in Sandbox, mai exact aplicatiile din sistemul real
  • Sa acceseze interfatele protejate COM
  • Sa seteze un key log sau sa faca captura de ecran (screenshot)
  • Sa seteze windows hook
  • Sa modifice registrii protejati (daca virtualizarea este dezactivata)
  • Sa modifice fisierele existente protejate (daca virtualizarea este dezactivata)
  • Aplicatiile care trec verificarile de securitate de catre CIS, dar nu sunt recunoscute ca si “safe” vor fi rulate in sandbox. CIS alerteaza userul ca va rula aceasta aplicatie in sandbox.
  • Aplicatiile pot fi rulate in mod automat in Sandbox de catre CIS sau de programele care sunt adaugate deja in Sandbox si le acceseaza (userul are posibilitatea sa defineasca manual un program sa ruleze doar in Sandbox).
  • Aplicatiile care sunt rulate in mod automat in Sandbox nu pot fi vizualizate sau modificate in interfata. O aplicatie care a fost rulata automat in Sandbox poate fi rulata in sistemul real doar daca primeste satusul de “Safe” in conditiile de mai sus.
  • Aplicatiile rulate automat in Sandbox sunt adaugate in “my pending files” si vor fi trimise catre Laboratoarele Comodo spre analizare. Daca sunt gasite ca si “Safe”, vor fi inlaturate automat din Sandbox si vor avea acces la sistemul real.
  • Daca o aplicatie sigura sau un installer este accesat de un program care ruleaza deja in Sandbox (sau a fost adaugat de user sa ruleze in Sandbox), si acestea vor fi rulate in mod automat in Sandbox.
  • Daca o aplicatie ruleaza automat in Sandbox (de exemplu o aplicatie necunoscuta care din intamplare sa zicem este un trojan), toate fisierele generate de aceasta sau downloadate vor rula la randul lor in Sandbox. Chiar daca la aplicatiile care ruleaza automat in Sandbox virtualizarea nu este activata, aplicatiile generate sau downloadate intre timp NU au acces la resursele computerului respectiv nu pot sa modifice fisierele sau registrii protejati.
  • Aplicatiile care sunt rulate automat in sandbox, sunt rulate cu nivelul de restrictie “Limited”

Modificat in 05.07.10

In anumite conditii, unele programe (in special installer-urile) cer drepturi privilegiate, moment in care userul este alertat. In aceste conditii, userul are doua posibilitati:

  • Daca are incredere deplina in sursa programului respectiv userul STIE ca programul este sigur, poate sa dea drepturi depline, moment in care CIS va considera aplicatia si toate celelate fisiere creeate de aceasta ca si “Safe”
  • Sa aleaga optiunea “Sandbox” moment in care aplicatia va rula cu drepturi restrictionate (anumite programe s-ar putea sa nu functioneze corect in Sandbox, ■■■ ar de exemplu anumite jocuri).

Ce este foarte important de stiut si care eu consider ca este un ajutor bun in a lua o decizie este faptul ca alertele de Sandbox pentru drepturi privilegiate sunt de doua tipuri:

  • alerta rosie - corespunde tipurilor de fisiere care NU sunt semnat digital respectiv sunt complet NECUNOSCUTE, si ca atare in acest caz este recomandat ca acest tip de fisier sa se ruleze in Sandbox!
  • alerta orange - corespunde tipurilor de fisiere care sunt semnate digital (ceea ce inseamna ca nu sunt necunoscute) dar vendorul acestora nu este inca listat in Comodo Safe List. In acest caz, daca se are incredere in fiserul in cauza, se poate aloca drepturi depline aplicatiei

[attachment deleted by admin]

In anumite conditii unele programe nu vor functiona corect in Sandbox (de exemplu anumite jocuri). In aceste conditii exista doua posibilitati:

  • Daca programul este de incredere si userul STIE ca este sigur, poate muta fisierul din “My pending files” in categoria “My own safe files”. Ca si un ajutor pentru user in a lua o decizie daca fisierul este safe sau nu, pentru a afla mai multe despre un fisier necunoscut, poate verifica online cu CIMA. Totusi, exista jocuri la care nu este suficient acest lucru iar pentru aceasta se mai poate face urmatoarele doua modificari: varianta 1. - modulele Defense+ si Firewall se pun pe nivelul de “Training”, se foloseste jocul cateva minute dupa care se pot trece modulele la nivelul “Safe”; varianta 2. - Daca prima varianta nu produce efect, in “Computer Security Policy” se poate modifica starea la fiecare executabil al jocul la “Treat as” “Installer / Updater”. Trebuie retinut faptul ca in momentul in care userul muta manual aplicatia in “My own safe files” da drepturi depline acesteia sistemului real!
  • In “My pending files” se poate trimite manual aplicatia catre serverele Comodo spre analiza (in cazul in care nu a fost inca trimisa automat). Pentru a o trimite manual, se marcheaza aplicatia si se da clic pe “Submit”. Pentru a sti daca este verificata aplicatia pe server trebuie marcata si dat clic pe “Lookup…” (in caz ca nu s-a trimis automat raspunsul de la serverele Comodo).

Userul are posibilitatea ca sa defineasca manual ce programe doreste sa ruleze in Sandbox. Aceste aplicatii ar putea fi de exemplu cele pe care userul le suspecteaza ca nu ar fi sigure sau din alte motive (de exemplu programele beta). Aceste aplicatii vor aparea ca si programe normale dar acestea vor fi rulate in Sandbox cu drepturi restranse in functie de nivelul de securitate ales de user. Aceste programe nu vor avea acces la sistemul real, sa modifice setarile sistemului de operare sau al registrilor corespunzatori altor aplicatii.
Pentru a adauga manual un program in Sandbox se foloseste interfata din “Add a Programm to the Sandbox” si se alege nivelul de securitate la care se doreste sa se ruleze aplicatia.

Diferenta dintre un program care ruleaza automat in Sandbox si unul care este ales manual de user ca sa ruleze in Sandbox:

  • Programele care ruleaza automat in Sandbox, ruleaza implicit cu nivelul de securitate “Limited” pe cand la cele care sunt alese sa ruleze in Sandbox, se poate alege ce nivel de restrictie se doreste
  • La programele care sunt alese manual sa ruleze in Sandbox, virtualizarea fisierelor si a registrilor este activata spre deosebire de programele care ruleaza automat la care nu este activata in mod implicit. In acest caz, chiar daca virtualizarea nu este activata implicit, aplicatiile care sunt rulate automat in Sandbox (sau sunt downloadate de acestea) nu vor avea acces la resursele reale ale sistemului, mai clar nu poate infecta sistemul real.

Modificat in 05.07.010

Spre deosebire de alte produse antivirus clasice care sunt bazate pe detectie, Comodo Internet Security functioneaza dupa alte principii. Pentru acesta, un fisier poate exista in trei stadii:

  • fisier bun - acest lucru inseamna ca acest fisier are semnatura digitala si este de incredere, ca atare are drepturi depline in computer (acest fisier are semnatura inregistrata in Comodo Global Safe List)
  • fisier rau - acest lucru inseamna ca acest fisier este detectat si are semnatura inregistrata in baza de date de fisiere malitioase (malware) si ca atare va fi blocat imediat, inainte de a afecta sistemul.
  • fisier necunoscut - acest lucru inseamna ca acest fisier nu este cunoscut ca si bun sau rau, si ca atare va rula in Sandbox. Ruland in mediul virtual oferit de Sandbox, fisierul necunoscut nu va pune niciodata in pericol computerul deoarece, daca ar fi malware nu va avea acces la resursele reale ale computerului, mai exact sistemul nu se infecteaza si ramane curat! La acest punct trebuie reamintit faptul ca fisierele care sunt necunoscute (acestea sunt adaugate in “My pending files”) se vor trimite spre analiza in mod automat iar daca sunt gasite “bune”, fisierele vor fi automat mutate in “My own safe files” respectiv daca sunt gasite “rele” vor fi mutate in “My blocked files”

De aici rezulta si avantajul mare pe care il ofera folosirea Sandbox-ului de la Comodo.

Sunt convins ca Sandbox-ul de la Comodo va fi dezvoltat mai departe pentru a elimina si alte poate mici inconveniente pe care poate le au alti useri (de exemplu, anumite programe ■■■ ar fi unele jocuri nu ruleaza corect in Sandbox, etc.)

Modificat in 14.07.10

[attachment deleted by admin]

Chiar daca un program ruleaza in Sandbox, este nevoie de decizia userului pentru a lua anumite hotarari, in acest caz vorbim de 4 alerte:

  • alerta de Global hook - in cazul anumitor programe (media playere, programe ce tin de tastatura sau altele) au nevoie pentru buna functionare de instalarea unui global hook, dar trebuie tinut cont de faptul ca daca aplicatia este malware si se instaleaza hook-ul se infecteaza sistemul. In cazul in care programele sunt nesemnate digital nu este recomandat sa se permita instalarea kook-ului iar in cazul celor semnate digital dar inca nelistate in Comodo Safe list, trebuie permis doar celor in care se are incredere
  • alerta de accesare a interfatei COM protejate - aplicatia doreste sa acceseze interfata COM protejata de CIS. In cazul in care programele sunt nesemnate digital nu este recomandat sa se permita accesul la interfata protejata COM iar in cazul celor semnate digital dar inca nelistate in Comodo Safe list, se poate permite programelor in care se are incredere
  • prima alerta de contectare la internet - indica ca aplicatia in sine doreste sa se conecteze la internet. Nu este recomandat aplicatiilor complet necunoscute, doar celor semnate digital, si acestora in cazul in care se are incredere.
  • a doua alerta de conectare la internet - in cazul in care browserul doreste sa se contecteze la internet din interiorul Sandbox-ului; acest lucru inseamna aplicatia anterioara incearca printr-un proces parental sa acceseze internetul indirect printr-un browser, de ex. internet explorer. Nu este recomandat aplicatiilor complet necunoscute, iar celor semnate digital, doar in cazul in care se are incredere.

In cazul in care nu se stie care este decizia cea mai buna, se poate debifa optiunea “Remember my answer” si se poate bloca alerta. In caz ca aplicatie se dovedeste a fi sigura, se poate rula inca o data si de data aceasta se pot aloca drepturile cerute de alerta.

[attachment deleted by admin]

Aici puteti urmari mici prezentari video in care se poate vedea in actiune Sandbox-ul de la Comodo si nu numai: http://www.youtube.com/ovidiuonline HD :wink:

Am incercat sa evidentiez in imagini ceea ce am postat mai sus respectiv modul de comportament al Sandbox-ului de la Comodo in contact cu programe necunoscute si finalul in care se poate vedea ca sistemul nu este afectat.

Modificat in 14.07.10

Mergi la inceput.