Máquina aislada Virtualbox
Eleкtro:
Cita de: Mosqueperro en 17 Marzo 2024, 22:23 pm
me ha llamado mucho la atención Sandboxie, aunque por lo que he visto, lo óptimo sería ejecutarlo en una máquina virtual (quizás es eso lo que me querías decir) porque si quieres ejecutar un software en Sanboxie, tienes que instalarlo previamente en el SO anfitrión, al menos es lo que he visto en varios vídeos. Corrígeme si no es así por favor.
No, no quise decir eso.
Te corrijo (dentro de mis capacidades y limitaciones): Sandboxie Plus crea un espacio virtual, seguro y aislado (una sandbox) en el que se controla y se limita la ejecución del archivo executable que quieras testear. Se puede impedir el acceso a dispositivos de red / Internet, y limitar que el archivo interactue con otras cosas, como con ciertas librerias (DLL) del sistema. En fin, se puede evitar que un malware actúe de forma eficiente al ejecutarlo de forma controlada y limitada.
La cuestión más importante y relevante es que, los cambios que el archivo executable (dentro de la sandbox) realice en el disco o en el registro de Windows, serán cambios virtuales. O al menos esa es la premisa de utilizar una sandbox. xD
Perfectamente puedes ejecutar el instalador de un programa en SandBoxie Plus; los trazos del programa instalado quedarán expuestos en la ruta "C:\Program Files\Sandbox" (a menos que cambies la ruta en la configuración de la sandbox).
Así que lo que quise decir, o la idea que quise transmitirte, es que utilizar una máquina virtual (Sandboxie Plus) dentro de otra máquina virtual (Virtual Box, VMWare, etc) se podría considerar una doble capa de aislamiento, con el objetivo de minimizar el riesgo de que un software malicioso que se ejecute en la VM pueda afectar al sistema operativo invitado, y de ahí pueda infectar al sistema huésped o anfitrión.
Aténtamente,
Elektro.
Mosqueperro:
Cita de: Eleкtro en 17 Marzo 2024, 22:42 pm
No, no quise decir eso.
Te corrijo (dentro de mis capacidades y limitaciones): Sandboxie Plus crea un espacio virtual, seguro y aislado (una sandbox) en el que se controla y se limita la ejecución del archivo executable que quieras testear. Se puede impedir el acceso a dispositivos de red / Internet, y limitar que el archivo interactue con otras cosas, como con ciertas librerias (DLL) del sistema. En fin, se puede evitar que un malware actue de forma eficiente al ejecutarlo de forma controlada y limitada.
La cuestión más improtante y relevante es que, los cambios que el archivo executable (dentro de la sandbox) realice en el disco o en el registro de Windows, serán cambios virtuales.
Perfectamente puedes ejecutar el instalador de un programa en SandBoxie Plus; los trazos del programa instalado quedarán expuestos en la ruta "C:\Program Files\Sandbox" (a menos que cambies la ruta en la configuración de la sandbox).
Así que lo que quise decir, o la idea que quise transmitirte, es que utilizar una máquina virtual (Sandboxie Plus) dentro de una máquina virtual (Virtual Box, VMWare, etc) se podría considerar una doble capa de aislamiento, con el objetivo de minimizar el riesgo de que un software malicioso que se ejecute en la VM pueda afectar al sistema operativo invitado, y de ahí pueda infectar al sistema huésped o anfitrión.
Aténtamente,
Elektro.
Entendido completamente ahora, me había confundido viendo un vídeo porque daba un poco lugar a dudas, pero ahora me ha quedado todo muy claro.
Muchas gracias por la aclaración y disculpa la confusión.
Prosiguiendo con el tema ¿qué riesgos hay de propagación de un malware de una VMs a al SO anfitrión? ¿Cuáles podrían ser los medios de dicha propagación?
Ya digo que todo esto es por mera curiosidad y por ampliar conocimientos.
Muchas gracias.
Eleкtro:
Cita de: Mosqueperro en 17 Marzo 2024, 22:49 pm
Prosiguiendo con el tema ¿qué riesgos hay de propagación de un malware de una VMs a al SO anfitrión? ¿Cuáles podrían ser los medios de dicha propagación?
Ya digo que todo esto es por mera curiosidad y por ampliar conocimientos.
Muchas gracias.
La principal causa de propagación probablemente sea por recursos físicos compartidos con el sistema anfitrión, como las unidades de red ('carpetas compartidas') o un dispositivo USB.
Mientras tengas la característica de 'carpetas compartidas' desactivadas o la unidad de red desmonatada / inaccesible, y no compartas dispositivos extraíbles de almacenamiento en la VM, creo que la propagación no debería ser motivo de preocupación. Pero siempre es positivo llevar a cabo prácticas adicionales (como las que he mencionado) para minimizar el riesgo de infección en cualquier caso.
Luego pueden existir vulnerabilidades específicas en el software de virtualización que permitan la propagación, pero la cantidad ínfima de malware que puedan explotar esas vulnerabilidades, y que lo hagan antes de ser parcheadas, tampoco creo que deba ser motivo alguno de preocupación.
Más allá de eso, sin tener acceso fisicamente al sistema anfitrión, no se me ocurre como un malware ejecutado en una VM podría infectar al sistema anfitrión solo por tener acceso al dispositivo de red o LAN virtualizado. No digo que no sea posible, solo que de ser posible yo desconozco el procedimiento de infección.
Aténtamente,
Elektro.
Mosqueperro:
Cita de: Eleкtro en 17 Marzo 2024, 23:01 pm
La principal causa de propagación probablemente sea por recursos físicos compartidos con el sistema anfitrión, como las unidades de red ('carpetas compartidas') o un dispositivo USB.
Mientras tengas la característica de 'carpetas compartidas' desactivadas o la unidad de red desmonatada / inaccesible, y no compartas dispositivos extraíbles de almacenamiento en la VM, creo que la propagación no debería ser motivo de preocupación. Pero siempre es positivo llevar a cabo prácticas adicionales (como las que he mencionado) para minimizar el riesgo de infección en cualquier caso.
Luego pueden existir vulnerabilidades específicas en el software de virtualización que permitan la propagación, pero la cantidad ínfima de malware que puedan explotar esas vulnerabilidades, y que lo hagan antes de ser parcheadas, tampoco creo que deba ser motivo alguno de preocupación.
Más allá de eso, sin tener acceso fisicamente al sistema anfitrión, no se me ocurre como un malware ejecutado en una VM podría infectar al sistema anfitrión solo por tener acceso al dispositivo de red o LAN virtualizado. No digo que no sea posible, solo que de ser posible yo desconozco el procedimiento de infección.
Aténtamente,
Elektro.
Gracias, muy interesante.
Por unidad de red te refieres a un NAS o similar ¿no?
¿Qué hay de las guest additions de Virtual Box? No sé si podrían ser un punto de vulnerabilidad en caso de que se instalen.
Gracias.
el-brujo:
Pues Eleкtro lo ha explicad muy bien, una máquina virtual es segura, si no hay red y sin carpetas compartidas, pues el riesgo de propagación es casi nulo o inexistente.
Las guest Additions las puedes instalar, pero básicamente son para:
- Carpetas y Portapapeles compartido, mejorar resolución de pantalla y sincronización del uso horario
Instalar las Guest Additions de Virtual Box
https://blog.elhacker.net/2022/07/instalar-las-guest-additions-de-virtual.html
A parte de VirtualBox y otros sistemas de máquinas virtuales también existe el propio de Windows, llamado espacio aislado (sandbox)
Windows Sandbox - "Espacio Aislado"
https://blog.elhacker.net/2023/01/windows-sandbox-espacio-aislado.html
Navegación
[#] Página Siguiente
[*] Página Anterior