Nieuws:

Welkom, Gast. Alsjeblieft inloggen of registreren.
Heb je de activerings-mail niet ontvangen?

Auteur Topic: Tip: draai je webbrowser en Flash Player in een veilige zandbak  (gelezen 7903 keer)

Offline Pjotr

  • Lid
    • http://sites.google.com/site/computertip
  • Steunpunt: Nee
Linux is sowieso al heel veilig, maar het kan natuurlijk altijd beter. Wil je je webbrowser beter beveiligen tegen inbraak in je gebruikersmap, en bovendien Adobe Flash Player in je webbrowser beter afschermen? Draai je webbrowser dan in een zandbak:
https://sites.google.com/site/computertip/zandbak

Doe er je voordeel mee!   :)

--Toevoeging: eerst alleen voor Firefox, maar nu ook een instructie voor Google Chrome.
« Laatst bewerkt op: 2016/02/19, 00:10:03 door Pjotr »

Offline Pjotr

  • Lid
    • http://sites.google.com/site/computertip
  • Steunpunt: Nee
Re: Tip: draai je webbrowser en Flash Player in een veilige zandbak
« Reactie #1 Gepost op: 2016/02/16, 12:54:15 »
Het verbaast me eigenlijk een beetje, dat er geen reacties komen op deze tip....  :)

Met deze ingreep verhoog je de veiligheid van je webbrowser in één klap enorm. Zeker bij Firefox is dat van belang, want die draait Adobe Flash Player (een veel aangevallen programma) niet in een veilige "houder", zoals Chrome dat wel doet.

Kortom: voor de veiligheid is deze ingreep een van de belangrijkste tips op mijn webstek.

Offline partyrabbit

  • Lid
  • Steunpunt: Ja
Re: Tip: draai je webbrowser en Flash Player in een veilige zandbak
« Reactie #2 Gepost op: 2016/02/16, 12:59:21 »
Is zo'n profielkaping dan zo dringend aan de orde?
Ik sta een beetje in tweestrijd omdat al zou flash een lek hebben, dat dan de aanval toch wel op windows gericht zal zijn en op mijn linux niets uit kan richten.

Het zou dan vooral ook gaan om mijn profiel voor het hier serieuze problemen geeft.
De andere zijn beperkte users en backup's zijn voorhanden. Besmet? Verwijderen en nieuw+backup, en opgelost.
« Laatst bewerkt op: 2016/02/16, 13:01:16 door partyrabbit »
I ♥ Linux

Offline Pjotr

  • Lid
    • http://sites.google.com/site/computertip
  • Steunpunt: Nee
Re: Tip: draai je webbrowser en Flash Player in een veilige zandbak
« Reactie #3 Gepost op: 2016/02/16, 13:02:26 »
Het gaat niet alleen om profielkaping. Het is denkbaar, dat via je webbrowser *alle* bestanden in je /home (de bestanden die bewerkbaar zijn zonder rootrecht) worden benaderd. Ik zal mijn beginbericht even aanvullen....

Door de isolatie van de zandbak, blijft dat beperkt tot de bestanden in de map Downloads.

Met Firejail maak je in één klap je webbrowser enorm veel veiliger.
« Laatst bewerkt op: 2016/02/16, 13:22:10 door Pjotr »

Offline Tom

  • Lid
    • Wanda´s Blog Linux Xubuntu.
  • Steunpunt: Nee
Re: Tip: draai je webbrowser en Flash Player in een veilige zandbak
« Reactie #4 Gepost op: 2016/02/16, 15:46:03 »
Ik neem aan dat het in Xubuntu ook gaat ?.
2 x Xuby 14.04.5 Lts 64 bits stand alone. 2 x Xuby 16.04.3 Lts 64 bits stand alone.
https://sites.google.com/site/wandabloglinuxxubuntu/pc-s-installeren-configureren

Offline Pjotr

  • Lid
    • http://sites.google.com/site/computertip
  • Steunpunt: Nee
Re: Tip: draai je webbrowser en Flash Player in een veilige zandbak
« Reactie #5 Gepost op: 2016/02/16, 19:19:27 »
Ik neem aan dat het in Xubuntu ook gaat ?.
Jawel. In alle werkomgevingen.  :)

Offline MKe

  • Lid
  • Steunpunt: Nee
Re: Tip: draai je webbrowser en Flash Player in een veilige zandbak
« Reactie #6 Gepost op: 2016/02/16, 20:22:46 »
Interessant, dit kende ik nog niet.  :) Het lijkt gebruik te maken van dezelfde techniek als docker. Heb je dit veel gebruikt Pjotr? En wat zijn de nadelen?
Ik ga hier zeker eens mee experimenteren.

Overigens, voor de andere gebruikers: firejail maakt gebruik van een specifieke virtualisatie techniek van de Linux kernel. Heel kort door de bocht gezegd is het een soort lichtgewicht virtual machine, speciaal voor je ene applicatie. In plaats van een hele computer inclusief hardware en os te virtualiseren, zoals b.v. Virtualbox doet, wordt hier alleen het filesysteem en de systemcalls gevirtualiseerd. Geheugen en cpu worden gewoon gedeeld met de rest van de computer, zoals dat bij alle normale processen gebeurt. Dit systeem werkt dus alleen op Linux.

Offline h2o

  • Lid
  • Steunpunt: Nee
Re: Tip: draai je webbrowser en Flash Player in een veilige zandbak
« Reactie #7 Gepost op: 2016/02/16, 20:27:07 »
Is het niet net zo makkelijk om firefox/iceweasel, thunderbird/icedove, chrome/chromium gewoon in een virtuele machine te draaien en dan alleen een gemeenschappelijke download map aan te maken?
Ik heb wel eens ergens gelezen dat je een virtuele machine kunt draaien en dan via ssh dat ding aan kunt roepen en dan de browser e.d. te draaien op afstand. Dan draai je eigenlijk ook in een zandbak en heb je minder kans dat je door een verkeerde instelling het een en ander in de soep laat draaien.....  :-X
Laptops + werkstations: Debian Stable + backports, server Debian Stable.
Test-laptop: Debian Tesing/Unstable

Offline MKe

  • Lid
  • Steunpunt: Nee
Re: Tip: draai je webbrowser en Flash Player in een veilige zandbak
« Reactie #8 Gepost op: 2016/02/16, 21:37:19 »
Een virtual machine is absoluut niet net zo gemakkelijk. Ten eerste moet je een virtrual machine volledig installeren. Het betkent dat je een volledige besturingssysteem inclusief alle hardware gaat virtualiseren. Dat is een gigantische overhead. Verder moet je die virtual machine onderhouden alsof het een aparte PC is, het heeft zijn eigen kernel, dus die moet je apart updaten, enz. Je moet dan ook hardware toewijzen, je os in de vm zal iig zelf al een halve GB aan ram gebruiken, cores in beslag nemen etc. De overhead zal de prestaties niet ten goede komen. Al met al haal je jezelf overbodig veel onderhoud op de hals. VM's zijn ook niet bedoeld als sandbox, het is bedoeld om systemen te virtualiseren. Om als sandbox te dienen is een vm een enorme overkill en niet erg flexibel.
Dit is een veel betere en simpeler oplossing. FireJail zal geen hardware provisioning doen, waardoor de overhead te verwaarlozen is. Het maakt gebruik van de kernel van de host, waardoor je niet twee systemen hoeft te onderhouden. Het is minstens net zo veilig als een een vitual machine. En de communicatie met de computer zelf is veel eenvoudiger.
Het grote voordeel van FireJail t.o.v. een virtual machine is dat het eigelijk gewoon een process in je systeem is, zoals elke andere, maar dan wel veiliger.
« Laatst bewerkt op: 2016/02/16, 21:39:55 door MKe »
Mijn blokkendoos blog: http://mke21.wordpress.com/

Offline Pjotr

  • Lid
    • http://sites.google.com/site/computertip
  • Steunpunt: Nee
Re: Tip: draai je webbrowser en Flash Player in een veilige zandbak
« Reactie #9 Gepost op: 2016/02/16, 21:38:21 »
Ik ben er zelf nog niet zo lang mee bezig..... Het grootste nadeel wat ik tot nog toe heb ervaren, is dat je in Firefox alleen bij bestanden kunt die in de map Downloads staan. Maar ja, dat is natuurlijk ook  juist de bedoeling.   =D

Het grote voordeel is de aanzienlijke verhoging van de veiligheid, die vooral van belang is voor Firefox. Want Chrome en Chromium zijn sowieso al beter beschermd. Terwijl het weinig extra systeemkracht lijkt te kosten, wat je natuurlijk niet kunt zeggen van VirtualBox.

Offline MKe

  • Lid
  • Steunpunt: Nee
Re: Tip: draai je webbrowser en Flash Player in een veilige zandbak
« Reactie #10 Gepost op: 2016/02/16, 21:56:51 »
Het wel degelijk nuttig voor Chrome en Chromium, aangezien de zandbak van Chrome zich niet afsluit van het filesysteem. Met FireJail ben je dus een stuk veiliger.
Het is echt een goede tip en het lijkt op het eerste gezicht heel veel op docker. Docker is natuurlijk meer bedoeld voor het sandboxen van services en dus veel uitgebreider.

Offline testcees

  • Documentatieteam
    • testcees
    • www.testcees.nl
  • Steunpunt: Nee
Re: Tip: draai je webbrowser en Flash Player in een veilige zandbak
« Reactie #11 Gepost op: 2016/02/16, 22:05:24 »
Overigens, voor de andere gebruikers: firejail maakt gebruik van een specifieke virtualisatie techniek van de Linux kernel.
Ah bedankt, dit gaat dus over firejail. Dat las ik niet in de aankondiging.  :)

Firejail (0.9.28-1) zit in de Ubuntu pakketbron van Ubuntu 15.10:
sudo apt-get install firejail

De nieuwe versie (0.9.38-1) zit al in Ubuntu 16.04 LTS (ontwikkelversie) en sinds eergisteren(!) is er ook een PPA van 0.9.38-1 voor 15.10.
Zie ook https://firejail.wordpress.com/
Ik heb zojuit de Sleepnet-kieswijzer ingevuld op www.waartrekjijdegrens.nl/

Offline Frederik

  • Lid
    • Vriescheloo
  • Steunpunt: Ja
Re: Tip: draai je webbrowser en Flash Player in een veilige zandbak
« Reactie #12 Gepost op: 2016/02/16, 22:12:12 »
Het verbaast me eigenlijk een beetje, dat er geen reacties komen op deze tip....  :)

Ik ben helemaal niet bang voor profielkapingen en inbraken in mijn gebruikersmap en derhalve geen enkele behoefte om te gaan spelen in een zandbak.
Maar voor mensen die met angst en beven het internet opgaan: vooral doen.
Xubuntu 16.04.1 LTS
Wees wie je bent. Hou van wie je wilt.

Offline maasnet

  • Lid
    • m-vd-hoeven
  • Steunpunt: Ja
Re: Tip: draai je webbrowser en Flash Player in een veilige zandbak
« Reactie #13 Gepost op: 2016/02/16, 22:28:00 »
Het verbaast me eigenlijk een beetje, dat er geen reacties komen op deze tip....  :)

Ik ben helemaal niet bang voor profielkapingen en inbraken in mijn gebruikersmap en derhalve geen enkele behoefte om te gaan spelen in een zandbak.
Maar voor mensen die met angst en beven het internet opgaan: vooral doen.
+1
Je ziet wel wat een ander heeft, maar je ziet niet wat hij mist.

OS: Ubuntu 16.04/Xubuntu 16.04/Ubuntu 17.10; RPI: Raspbian Jessie; Asus 1005PE: Q4OS; Linux Lite 3.4; W10
***Steunpunt Ede***  voor andere steunpunten: https://kaart.ubuntu-nl.org/

Offline Pjotr

  • Lid
    • http://sites.google.com/site/computertip
  • Steunpunt: Nee
Re: Tip: draai je webbrowser en Flash Player in een veilige zandbak
« Reactie #14 Gepost op: 2016/02/16, 22:33:31 »
Het verbaast me eigenlijk een beetje, dat er geen reacties komen op deze tip....  :)

Ik ben helemaal niet bang voor profielkapingen en inbraken in mijn gebruikersmap en derhalve geen enkele behoefte om te gaan spelen in een zandbak.
Maar voor mensen die met angst en beven het internet opgaan: vooral doen.
Angst en beven, toe maar.....  :laugh:

Argumenten zijn overtuigender dan grappige zandbak-analogieën, hoor.

Enfin, iedereen moet natuurlijk vooral doen wat-ie zelf 't beste vindt. Vrijheid blijheid. Maar in dit draadje zijn vooral *feitelijk goed beargumenteerde* meningen nuttig.
« Laatst bewerkt op: 2016/02/16, 22:47:49 door Pjotr »

Offline MKe

  • Lid
  • Steunpunt: Nee
Re: Tip: draai je webbrowser en Flash Player in een veilige zandbak
« Reactie #15 Gepost op: 2016/02/16, 22:35:02 »
Tja, dat is jullie zaak. Een van de grote problemen van dit moment is dat gebruikers zich maar weinig bewust zijn van veiligheid.
Ik zie hier veel mensen schrijven dat ze zich geen zorgen maken over veiligheid omdat ze Linux gebruiken. Dan is het natuurlijk wel verstandig om ook gebruik te maken van de veiligheids tools die Linux bied, anders heeft het niet veel nut. Dingen als randsom ware bestaat echt en ik ken verschillende slachtoffers.
« Laatst bewerkt op: 2016/02/16, 22:48:38 door MKe »
Mijn blokkendoos blog: http://mke21.wordpress.com/

Offline partyrabbit

  • Lid
  • Steunpunt: Ja
Re: Tip: draai je webbrowser en Flash Player in een veilige zandbak
« Reactie #16 Gepost op: 2016/02/16, 23:05:15 »
Dingen als randsom ware bestaat echt en ik ken verschillende slachtoffers.
Op linux?
Ik ken er ook wat. Maar die waren allemaal op win. En gaven ook zelf toe dat ze ergens op geklikt hadden.

Ik bedoel het zeker niet oneerbiedig naar je Pjotr, dat weet je wel denk ik, maar ik ben toch ook nog niet 'bang' geworden en voel me nog niet geroepen mijn pc in te gaan graven. Maar ik volg dit zeker wel met grote interesse.

Zijn er argumenten om 'bang' te zijn? Zijn er linux bakken gekaapt? En zo ja hoe, want klikten ze zelf te veel op blote vrouwen of een angstbericht met 'scan nu je pc, klik hier'? Of kwam een kaaphacker onaangekondigd en uit zichzelf plots binnen lopen?

(Ook hier in dit topic relevant. ik heb 1 flashplayer 'aanval' gehad en die was zo ontweken omdat er om een authentificatie-wachtwoord gevraagd werd en niet gegeven is, dus veilig genoeg. En toen had ik nog niet eens NoScript draaien die nu wel heel veel blockt.)
« Laatst bewerkt op: 2016/02/16, 23:14:43 door partyrabbit »
I ♥ Linux

Offline jvecht

  • Lid
    • Just Vecht
  • Steunpunt: Ja
Re: Tip: draai je webbrowser en Flash Player in een veilige zandbak
« Reactie #17 Gepost op: 2016/02/16, 23:25:39 »
Hoi Pjotr,

Ik voel er wel wat voor. Als je er weer vanaf wil, is dat dan een kwestie van firejail netjes verwijderen en de link naar Firefox herstellen?

groet,

Just
GIMP bundel 2017  25 cursussen met geweldig mooi oefenmateriaal. Lekker lezen of er wat van opsteken!
  Boekje "Werken met Xubuntu" 4000+ downloads!
     Het Helpmij Magazine November 2017

Offline Pjotr

  • Lid
    • http://sites.google.com/site/computertip
  • Steunpunt: Nee
Re: Tip: draai je webbrowser en Flash Player in een veilige zandbak
« Reactie #18 Gepost op: 2016/02/16, 23:26:43 »
Ik voel er wel wat voor. Als je er weer vanaf wil, is dat dan een kwestie van firejail netjes verwijderen en de link naar Firefox herstellen?
Ja, zo eenvoudig is het.  :)

Offline Pjotr

  • Lid
    • http://sites.google.com/site/computertip
  • Steunpunt: Nee
Re: Tip: draai je webbrowser en Flash Player in een veilige zandbak
« Reactie #19 Gepost op: 2016/02/16, 23:44:10 »
@partyrabbit: voorbeelden van geslaagde inbraken in Linux via een normaal bijgewerkte standaard-Firefox, ken ik niet.

Wel weet ik, dat bijvoorbeeld Adobe Flash Player in Firefox niet "gezandbakt" is, zoals dat wel het geval is in Chrome. En Flash Player wordt veel aangevallen, dat is een bekend feit.

Uiteraard krijgen we er veiligheids-updates voor, maar de vraag is of Adobe die snel genoeg uitrolt. Het is gesloten-bron-programmatuur, dus je bent wat dat betreft geheel afhankelijk van Adobe.

Als je Firefox gezandbakt draait via Firejail, dan beperk je gelijk de schade die een inbraak via Adobe Flash Player kan aanrichten.

Laat ik de vraag eens omdraaien: waarom zou je Firejail *niet* gaan gebruiken voor Firefox? De prijs is immers laag (weinig extra systeemkracht nodig, slechts een kleine vermindering van gebruiksgemak), terwijl de veiligheidswinst groot is.

Je geeft zelf aan dat je NoScript gebruikt, die heel wat meer vermindering van gebruiksgemak veroorzaakt..... En toch vind je 'm nuttig genoeg om die prijs te betalen.
« Laatst bewerkt op: 2016/02/17, 00:06:18 door Pjotr »

Offline Johan van Dijk

  • Administrator
    • johanvandijk
  • Steunpunt: Nee
Re: Tip: draai je webbrowser en Flash Player in een veilige zandbak
« Reactie #20 Gepost op: 2016/02/17, 00:05:21 »
Dit klinkt wel interessant. Momenteel heb ik Firefox  beveiligd via een aangepast AppArmor-profiel. Maar dit is een hoop gepriegel om in orde te krijgen. Het profiel dat in Ubuntu zit beschermt je bijv. niet tegen het stelen van je SSH keys. En als je het teveel dichttimmert dan werken essentiële dingen niet meer. Echt gebruiksvriendelijk is het dus niet.

De bescherming van Firejail lijkt me een stuk makkelijker om in te stellen maar heeft dan weer als nadeel dat de complete container verwijderd wordt als je Firefox afsluit. Het opslaan van bookmarks of andere gegevens gaat dus niet als ik het goed begrijp. Ook niet echt gebruiksvriendelijk.

Offline Pjotr

  • Lid
    • http://sites.google.com/site/computertip
  • Steunpunt: Nee
Re: Tip: draai je webbrowser en Flash Player in een veilige zandbak
« Reactie #21 Gepost op: 2016/02/17, 00:10:19 »
@Johan: bladwijzers blijven bewaard, want die vallen onder de "whitelist". Dit is het standaardprofiel wat Firejail heeft voor Firefox:
# Firejail profile for Mozilla Firefox (Iceweasel in Debian)
noblacklist ${HOME}/.mozilla
include /etc/firejail/disable-mgmt.inc
include /etc/firejail/disable-secret.inc
include /etc/firejail/disable-common.inc
include /etc/firejail/disable-devel.inc
caps.drop all
seccomp
protocol unix,inet,inet6,netlink
netfilter
tracelog
noroot
whitelist ${DOWNLOADS}
whitelist ~/.mozilla
whitelist ~/.cache/mozilla/firefox
whitelist ~/dwhelper
whitelist ~/.zotero
whitelist ~/.lastpass
whitelist ~/.vimperatorrc
whitelist ~/.vimperator
whitelist ~/.pentadactylrc
whitelist ~/.pentadactyl
whitelist ~/.keysnail.js
whitelist ~/.config/gnome-mplayer
whitelist ~/.cache/gnome-mplayer/plugin
include /etc/firejail/whitelist-common.inc

# experimental features
#private-etc passwd,group,hostname,hosts,localtime,nsswitch.conf,resolv.conf,gtk-2.0,pango,fonts,iceweasel,firefox,adobe,mime.types,mailcap,asound.conf,pulse

Als je je profiel optimaal wil beschermen tegen kaping, dan zou je dus de "whitelist"-regel voor ~/.mozilla kunnen uitcommentariëren. Dat betekent natuurlijk wel een merkbare vermindering in gebruiksgemak.

Gooi dan wel eerst een kopie van het profiel in je gebruikersmap:
cp -v /etc/firejail/firefox.profile ~/.config/firejailDan kun je die bewerken, en dan weet je zeker dat je instellingen een update van Firejail overleven.
« Laatst bewerkt op: 2016/02/17, 00:26:21 door Pjotr »

Offline Johan van Dijk

  • Administrator
    • johanvandijk
  • Steunpunt: Nee
Re: Tip: draai je webbrowser en Flash Player in een veilige zandbak
« Reactie #22 Gepost op: 2016/02/17, 00:25:20 »
Dan moet ik nog maar even verder lezen hoe het precies werkt :)
Ik zag al een --private optie om alles te verwijderen bij afsluiten, dus de whitelist aanpassen hoeft niet. En bij normaal gebruik wil je dat ook niet, want dat is helemaal niet handig.

Toch maar even uitproberen dan, om te zien wat er wel en niet afgeschermd wordt en wat er verwijderd wordt. Het lijkt in ieder geval een stuk makkelijker in gebruik dan AppArmor of containers.

Offline Pjotr

  • Lid
    • http://sites.google.com/site/computertip
  • Steunpunt: Nee
Re: Tip: draai je webbrowser en Flash Player in een veilige zandbak
« Reactie #23 Gepost op: 2016/02/17, 00:30:13 »
Dan moet ik nog maar even verder lezen hoe het precies werkt :)
Op het Engelstalige Linux Mintforum staat een uitstekende, behoorlijk diepgravende handleiding: http://forums.linuxmint.com/viewtopic.php?f=42&t=202735

Een aanrader, als je er dieper in wil duiken.

Het aardige aan Firejail is, dat je 'm ook eenvoudig kunt gebruiken als je geen zin hebt om je erin te verdiepen. Want de standaardinstellingen zijn redelijk en nauwelijks hinderlijk.

Maar als je je er wel in wil verdiepen, dan is 't ding enorm aanpasbaar. Voor elck wat wils.  :)
« Laatst bewerkt op: 2016/02/17, 00:36:04 door Pjotr »

Offline MKe

  • Lid
  • Steunpunt: Nee
Re: Tip: draai je webbrowser en Flash Player in een veilige zandbak
« Reactie #24 Gepost op: 2016/02/17, 09:50:33 »
Ik ken wel degelijk gevallen van random ware op linux. Laatst nog bij iemand die ik ondrrsteun en bodhi draaide. We weten niet hoe het erop gekomen is. Als het om de home gaat lijkt het helemaal niet zo moeilijk om uitvoerbare scripts te maken.
Goed iedereen moet het zelf weten.
« Laatst bewerkt op: 2016/02/17, 10:40:24 door MKe »
Mijn blokkendoos blog: http://mke21.wordpress.com/