Innanzitutto, se si tratta di un file binario ad altissimo rischio... dovresti configurare una macchina fisica isolata, eseguire il file binario, quindi distruggere fisicamente l'HDD, la scheda madre e praticamente tutto il resto. Perché al giorno d'oggi, anche il tuo robot aspirapolvere può diffondere malware. E se il programma avesse già infettato il tuo forno a microonde attraverso l'altoparlante del PC utilizzando la trasmissione di dati ad alta frequenza?!
Ma togliamoci quel cappello di carta stagnola e torniamo un po' alla realtà.
Nessuna virtualizzazione, veloce da usare: Firejail
È già impacchettato su Ubuntu, è molto piccolo, non ha praticamente dipendenze.
Come installare su Ubuntu:sudo apt-get install firejail
Sito web:https://firejail.wordpress.com/
Informazioni sul pacchetto:
Package: firejail
Priority: optional
Section: universe/utils
Installed-Size: 457
Maintainer: Ubuntu Developers <[email protected]>
Original-Maintainer: Reiner Herrmann <[email protected]>
Architecture: amd64
Version: 0.9.38-1
Depends: libc6 (>= 2.15)
Filename: pool/universe/f/firejail/firejail_0.9.38-1_amd64.deb
Size: 136284
MD5sum: 81a9a9ef0e094e818eb70152f267b0b6
SHA1: 41d73f8b9d9fd50ef6520dc354825d43ab3cdb16
SHA256: f1cbc1e2191dbe6c5cf4fb0520c7c3d592d631efda21f7ea43ab03a3e8e4b194
Description-en: sandbox to restrict the application environment
Firejail is a SUID security sandbox program that reduces the risk of
security breaches by restricting the running environment of untrusted
applications using Linux namespaces and seccomp-bpf. It allows a
process and all its descendants to have their own private view of the
globally shared kernel resources, such as the network stack, process
table, mount table.
Description-md5: 001e4831e20916b1cb21d90a1306806f
Homepage: https://firejail.wordpress.com
Bugs: https://bugs.launchpad.net/ubuntu/+filebug
Origin: Ubuntu
Ho dovuto eseguire un binario "non attendibile" simile solo pochi giorni fa. E la mia ricerca ha portato a questo piccolo programma molto interessante.
Virtualizzazione: KVM, scatola virtuale.
Questa è la scommessa più sicura. A seconda del binario. Ma hey, vedi sopra.
Se è stato inviato da "Mr. Hacker" che è una cintura nera - programmatore cappello nero, c'è la possibilità che il binario possa sfuggire all'ambiente virtualizzato.
Malware binario, metodo di risparmio: Noleggia una macchina! Uno virtuale. Esempio di provider di server virtuali:Amazon (AWS), Microsoft (Azure), DigitalOcean, Linode, Vultr, Ramnode. Noleggia la macchina, fai funzionare tutto ciò di cui hai bisogno, poi li cancelleranno. La maggior parte dei fornitori più grandi fattura a ore, quindi è davvero conveniente.
Basta eseguirlo su un'installazione separata:imposta un'installazione separata su un'unità esterna o su un altro disco rigido, assicurati che le partizioni dell'installazione principale non siano montati (o meglio ancora, scollegarli) e testare. Puoi eseguire il backup di questa preinstallazione nel caso in cui ne avessi bisogno di nuovo e bombardarla una volta che hai finito.
È un metodo molto più robusto rispetto al sandboxing/jailing e puoi considerare con sicurezza la seconda installazione come usa e getta e/o usarla solo quando necessario.
Dalla pagina man di Firejail:
Without any options, the sandbox consists of a filesystem build in a new mount namespace, and new PID and UTS namespaces. IPC, network and user namespaces can be added using the command line options. The default Firejail filesystem is based on the host filesystem with the main system directories mounted read-only. These directories are /etc, /var, /usr, /bin, /sbin, /lib, /lib32, /libx32 and /lib64. Only /home and /tmp are writable.
Questa è una descrizione di alto livello, ci sono altre cose in corso, ad esempio /boot è nella lista nera, così come /sbin e /usr/sbin.
https://firejail.wordpress.com/features-3/man-firejail/
Puoi anche guardare questo documento:https://firejail.wordpress.com/documentation-2/firefox-guide/ - hanno un'ottima descrizione del file system.