Ich suche Infos darüber, wie man die Sandbox selber testet. Also die Frage, ob es wirklich nicht möglich ist, Zugriffe von innerhalb der Sandbox auf irgendwas außerhalb der Box zu tätigen. Mir fallen nur Suchbegriffe ein, bei denen Google mich überhäuft mit Links, wie man eine Sandbox nutzt um andere suspekte Software zu testen.
So grundsätzlich? Du musst selber "suspekte" Software schreiben, die ausbrechen will. Vielleicht findest du dabei sogar eine Möglichkeit. Einen "hier klicken zum testen" Knopf kann es da prinzipiell nicht geben.
Ja, so grundsätzlich. Ich wurde zum "Requirements engineering" verdammt. Und das Feld "Verification criteria" ist so leer wie meine Birne.
Wenn du selber nicht testen kannst, lass andere die Arbeit ehrenamtlich für dich machen, geht ganz einfach: Sandbox ans Internet hängen, ungefiltert, Passwort "123456" Kurz warten, schauen ob der Host infiltriert wurde.
fop schrieb: > Ich suche Infos darüber, wie man die Sandbox selber testet. Die Sandbox? Sehr unspezifisch. Es gibt nicht nur eine. Erst mal, schalte beim Test zwischen dein OS und der Sandbox noch eine VM o.ä. Damit kannst du nicht mehr alles testen, aber sollte der Ausbruch aus der Sandbox gelingen, dann wird hoffentlich nur die VM manipuliert und nicht direkt dein OS. Besorge dir Vulnerability-Kits, -Tests und -Tools für deine spezifische Sandbox, besonders kommerzielle. Du willst nicht hunderte von Tests für bekannter oder typische Vulnerabilities selber schreiben. Die Tests lässt du in der Sandbox laufen. Immer schön die Tools aktuell halten und die Tests regelmäßig, also automatisch, wiederholen. Wenn die nichts finden haust du einen Stempel "auf # bekannte Schwachstellen getestet" auf den Verification-Report. > Also die > Frage, ob es wirklich nicht möglich ist, Zugriffe von innerhalb der > Sandbox auf irgendwas außerhalb der Box zu tätigen. Das kann kein Test nachweisen. Man kann nur auf das testen was man kennt, plus Zufallsfunde, zum Beispiel durch Fuzzing. Ein Hacker mag jederzeit eine neue Lücke finden und sie ausnutzen. Davon bekommst du erst einmal nichts mit. Wenn du mehr brauchst, Sicherheitsexperten anheuern die einen Codereview des Sandbox-Codes machen.
Hab für dich gegoogelt. Du musst einen Hacker-Wettbewerb veranstalten. So $100.000 Preisgeld aussetzen und einen coolen Namen erfinden, bei dem du Buchstaben durch Zahlen ersetzt.
Beitrag #6897491 wurde von einem Moderator gelöscht.
fop schrieb: > Ich suche Infos darüber, wie man die Sandbox selber testet. Bei mir ruft ab und zu wer an, der sagt er sei von Mikrosoft und ich solle mal meinen Computer einschalten. Wenn der dann nach Beendigung des Anrufs noch funktioniert, war Deine Sand- box in Ordnung. :-)
Harald W. schrieb: > Bei mir ruft ab und zu wer an, der sagt er sei von Mikrosoft Geil, die gibt's immernoch? Den letzten hab ich eine Stunde auf trabb gehalten bis ich ihm sagte: "by the way. I only use Linux since about 10 years." Ich konnte seinen dummen Blick am Telefon hören. 🤣
Harald W. schrieb: > Bei mir ruft ab und zu wer an, der sagt er sei von Mikrosoft Ich sage dann immer, "You are calling here in Germany, please speak German" und rede dann konsequent nur noch Deutsch. Sind selten geworden, diese Anrufe.
Stefan M. schrieb: > Ich sage dann immer, "You are calling here in Germany, please speak > German" und rede dann konsequent nur noch Deutsch. Den ersten Satz spare ich mir und antworte nur in Deutsch. Hat sich ziemlich erledigt :-). Das mache ich bei allen (mir nicht bekannten) Anrufen aus dem Ausland - ich rufe ja auch nicht in Amerika an und spreche Deutsch.
Was muß man eigentlich tun, um solche Anrufe zu erhalten? Irgendwie fühle ich mich da völlig ausgegrenzt ;) Oliver
Oliver S. schrieb: > Was muß man eigentlich tun, um solche Anrufe zu erhalten? > Irgendwie fühle ich mich da völlig ausgegrenzt ;) Du kannst die auch aktiv anrufen - einfach nach Support für Soft-/Hardware mit hohem Dummyfaktor googlen und nach den dubiosen Seiten suchen, die Vendore nachmachen. Das sind die gleichen Callcenter/Scammer die auch anrufen (naja, Dich halt nicht). Wie die einzelnen Scams funktionieren findest Du auf Youtube einiges an (teilweise sehr amüsanten) Videos. Gerade wenn der Spieß umgedreht wird.
Oliver S. schrieb: > Was muß man eigentlich tun, um solche Anrufe zu erhalten? > Irgendwie fühle ich mich da völlig ausgegrenzt ;) Gib mir Deine Nummer.
Hugo H. schrieb: > Oliver S. schrieb: >> Was muß man eigentlich tun, um solche Anrufe zu erhalten? >> Irgendwie fühle ich mich da völlig ausgegrenzt ;) > > Gib mir Deine Telefonnummer. Nein - lieber nicht. Das ist mir zu Doof. Vielleicht finden wir Dich irgendwann bei den Darwin-Awards :-)
:
Bearbeitet durch User
fop schrieb: > Ja, so grundsätzlich. Ich wurde zum "Requirements engineering" > verdammt. > Und das Feld "Verification criteria" ist so leer wie meine Birne. Wieso, das ist doch nicht schwer. Du stellst Testfälle auf und schaust, ob die Sandbox das tut, was sie soll. 1) Zugriff auf lokale Datei, freigegeben (sofern möglich): blockiert nicht 2) Zugriff auf lokale Datei, nicht freigegeben: blockiert 3) Senden übers Netzwerk, Ziel freigegeben: blockiert nicht 4) Senden übers Netzwerk, Ziel nicht freigegeben: blockiert 5) Empfangen übers Netzwerk, Sender und lokale Adresse freigegeben: blockiert nicht 6) Empfangen übers Netzwerk, Sender oder lokale Adresse nicht freigegeben: blockiert Fertig. Natürlich weist das nicht nach, daß die Sandbox gefeit gegen Hackerangriffe ist, aber das kannst Du mit Testen sowieso nicht nachweisen.
Hugo H. schrieb: > Stefan M. schrieb: >> Ich sage dann immer, "You are calling here in Germany, please speak >> German" und rede dann konsequent nur noch Deutsch. > > Den ersten Satz spare ich mir und antworte nur in Deutsch. Hat sich > ziemlich erledigt :-). Das mache ich bei allen (mir nicht bekannten) > Anrufen aus dem Ausland - ich rufe ja auch nicht in Amerika an und > spreche Deutsch. Die Anrufe gibt es auch mittlerweile auf Deutsch.
PeterDerMeter schrieb: > Die Anrufe gibt es auch mittlerweile auf Deutsch. Schön - ich freue mich schon drauf. Dann kann ich Englisch antworten :-)
Hugo H. schrieb: >> Die Anrufe gibt es auch mittlerweile auf Deutsch. > > Schön - ich freue mich schon drauf. Dann kann ich Englisch antworten :-) Versuchs doch mal mit Plattdeutsch. :-)
fop schrieb: > Ich suche Infos darüber, wie man die Sandbox selber testet. Das hängt vom Setup ab. Notfalls kann man bei der Hackergemeinde nachfragen - Jedenfalls fängt man zumindest erstmal damit an, sich den Aufbau der ganzen Anlage mal etwas genauer anzuschauen. Dann werden sich auch höchstwahrscheinlich ein paar genauere Suchbegriffe herausbilden.
Ist ganz einfach. Man nehme eine Box und ein Sack Sand. Dann den Sand in die Box kippen. Danach die Box anheben und folgende Prg.-Code ausführen. ;) If Sand_bleibt_in_box = true then say "ist einen Sandbox" else Say "ist ein Sieb" end if
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.