Software Virtualisierung mit Sandbox(ie)

In diesem Artikel geht es um die Möglichkeit Software virtualisiert / in einer Sandbox (einer gesicherten Laufzeitumgebung) installieren, starten oder modifizieren zu können und ggf. danach uneingeschränkt alle Veränderungen zurück zu nehmen bzw. in den Ausgangszustand zurück zu kehren als ob man nie etwas gemacht hätte.

Begriff: Software Virtualisierung

Wenn man von Software Virtualisierung unter Windows hört, denken die meisten wohl zunächst an XEN, VMWare, VirtualBox oder Virtual PC. All diese Softwarevirtualisierer gehen jedoch soweit einen kompletten PC zu emulieren, in den ein Betriebssystem installiert werden kann. Bei der Software-Virtualisierung kann (können) jedoch auch nur eine (oder mehrere) Anwendung(en) in eine isolierte Laufzeitumgebung, in eine Sandbox, ausgelagert werden. Diese Laufzeitumgebung ist vom eigentlichen Betriebssystem abgekapselt.

Begriff: Sandbox

Sandbox ist der englischsprachige Begriff für Sandkiste / Sandkasten. Die Sandbox ist, wie zuvor angesprochen, eine Laufzeitumgebung für Software oder der lokalen Arbeitskopie eines in einem Versionskontrollsystem abgelegten Software-Moduls. Die Software wird durch die Sandbox vom Rest des Systems abgeschirmt, d.h. man kann sozusagen mit der Software “im Sandkasten spielen ohne etwas kaputt zu machen”.

Einsatzgebiete einer Sandbox

• Software-Abkapselung / Jail (englisch für Gefängnis): Einsatz im Bereich von Web- DNS- Mailservern, um es Angreifern zu erschweren ein ganzes System zu “erobern” nachdem in einen Teil erfolgreich eingedrungen wurde.
• Software-Tests: Installation und Konfiguration von Software über die Sandbox, die möglicherweise das ganze System beschädigen könnte. Die Installation kann später problemlos entfernt werden oder bei Erfolg können die Änderungen auf das System übertragen werden.
• Anwendungs-Tests: Im Bereich von Wiki oder Computerspielen (Simulations- und Strategie-Spielen) wird häufig eine Sandbox verwendet, so dass man sich ohne Folgen zunächst mit den Funktionen vertraut machen kann.

Software Virtualisierung mit Sandboxie

Unter Windows (200, XP und Vista / 32bit) gibt es die freie Software Sandboxie. Sandboxie schaltet sich zwischen die gestartete Software und das Betriebssystem. Über Sandboxie gestartete Anwendungen kommunizieren nur mit Sandboxie, ohne Schreibzugriff auf den Teil der Festplatte mit den Systemdateien zu haben. Die Kommunikation zwischen Betriebssystem und Anwendungen erfolgt ausschließlich über Sandboxie.

Kommunikation im Normalfall:

Kommunikation mit Sandbox(ie):

Was geschieht praktisch bei der Nutzung von Sandboxie?

Beispiel Installation und Nutzung Firefox 3:

• Installation: Sie wollen Firefox 3 in einer Betaversion testen und starten die Installation über Sandboxie. Die Installation startet wie gewöhnlich nur mit dem Unterschied, dass alle Daten, die normalerweise unter c:ProgrammeMozilla Firefox, unter c:Dokumente und EinstellungenANWENDERAnwendungsdatenMozillaFirefoxund in die Regestrie geschrieben würden in die Sandbox geschrieben werden.
• Nutzung: Nun können Sie Firefox auch starten. Alles läuft wie gewöhnlich, nur dass in der Titelleiste vor und nach dem Titel eine Raute [#] steht, die anzeigt dass dieses Programm in der Sandbox läuft. Sie können nun surfen und den Fuchs testen. Sie surfen fragwürdige Webseiten an und haben Java-Sript aktiviert. Die bösen Würmer und trojanischen Pferde werden in die Sandboxie verfrachtet.
• Löschen der Sandbox: Mit einem Klick löschen Sie die Sandbox und beenden die Software Virtualisierung. Alle Daten in der Sandbox werden gelöscht und es ist als ob Ihr System hat niemals den Firefox 3 kennen gelernt hätte.

Installation und Nutzung Sandboxie

1. Laden Sie Sandboxie herunter und folgen Sie den Installationsanweisungen.

2. Starten Sie Sandboxie über das Startmenü. Sie finden nun ein kleines gelbes Icon im Systemtray wieder.

3. Das Starten von Anwendungen kann über mehre Wege erfolgen:

• Kontextmenü
• Über Rechtsklick auf das Symbol im Systemtray (empfehlenswert).
• Aufruf mit Linksklick auf das Symbol im Systemtray und dem anschließenden Starten über die Console…

Ein ausführliches Tutorial mit Screenshots befindet sich auf der Webseite zu Sandboxie (englisch).

Anmerkungen zu Sandboxie …

• Systemnahe Programme mit Sandboxie nicht installiert werden.
  • Beispiele: Adobe-Software, Nero, MS Net Framework etc.
  • Systemnahe Programme können wiederum mit Bufferzone genutzt werden.
• Datenpfade unter Sandboxie:
  • Registry: KEY_USERSSandbox_<user>_DefaultBox
  • Dateien: :Dokumente und Einstellungen<user>AnwendungsdatenSandbox
• Es gibt eine optionale Registrierung für 25 US-Dollar. Es werden ein paar erweiterte Funktionen für fortgeschrittene Anwender angeboten, wie der Start und Nutzung mehrerer Instanzen von Sandboxie. Die Lizenz dauert ein Leben lang.
• Bezüglich Viren und sonstigen Plagegeistern kann natürlich Sandboxie nicht uneingeschränkt Schutz bieten (vor allem nicht unter Windows), aber es bietet doch eine gute Möglichkeit der Prophylaxe (ich wollte immer schon einmal dieses Wort in einem meiner Artikel verwenden :-))
• Eine Liste der getesteten bzw. unterstützen Programme für Sandboxie gibt es meines Wissens nicht, aber grundsätzlich sollte nach Aussage auf der Webseite folgende Software nutzbar sein:

* Web browsers
* mail and news readers
* instant messengers and chat clients
* peer-to-peer networking
* games
o in particular, online games which download extension software code)

• Es gab früher die “Altiris Software Virtualization Suite“, die ähnliche Funktionen wie Sandboxie bot. Die Firma wurde von Symantec gekauft und seit dem habe ich nichts mehr davon gehört.