Soluzioni tecniche

Lavorare con le sandbox: BufferZone Pro

08 Marzo 2012

A tutti sarà capitato di trovarsi in uno di questi quattro scenari:

  1. Abbiamo trovato un tool che risolve in modo verticale un problema specifico: indaghiamo e scopriamo che il software installa spyware/adware (oppure semplicemente non abbiamo tempo per indagare).
  2. Dobbiamo verificare un file sospetto, ma l'antivirus non lo intercetta.
  3. Dobbiamo installare sul nostro pc un software (per riprodurre un problema o testare una configurazione), che poi rimuoveremo immediatamente. Vorremmo quindi  evitare di modificare file e librerie di sistema.
  4. Vogliamo lasciare ai nostri utenti parziale libertà di installare software, ma evitando che le loro azioni possano compromettere il sistema e avere la possibilità di effettuare un rollback che non lasci tracce.

Sandbox

Quali sono le possibili soluzioni?

Potremmo seguire la strada macchina virtuale, ma ha alcuni contro:

  • intanto è un’installazione aggiuntiva, che ha bisogno di una licenza e utilizza molte più risorse di quelle necessarie per eseguire il singolo programma (nella peggiore delle ipotesi, le tiene allocate anche se non utilizzate);
  • inoltre, si tratta di un sistema separato rispetto a quello usato dall'utente, che deve accedere a due diverse macchine (vedi scenario 4).

Basterebbe in realtà avere un'area del sistema isolata rispetto al resto, dove le applicazioni siano eseguite e le modifiche al file system e al registro salvate, senza intaccare il sistema operativo.
Quest'area dovrebbe poi gestire le comunicazioni con il sistema operativo stesso in modo trasparente, facendogli credere che le applicazioni siano installate ed eseguite normalmente.
Siamo quindi giunti a una definizione (piuttosto articolata) di una sandbox.

Esistono varie implementazioni del concetto di sandbox

Una delle più diffuse è SandboxIE, mentre anche Symantec sviluppa una soluzione con queste caratteristiche ma estese anche a livello di gestione di policy aziendali (in sostanza definendo cosa può essere eseguito e cosa no all’interno della sandbox, in modo centralizzato).

Il software che vorrei recensire oggi è però BufferZone Pro di Trustware, che nasce come ambiente virtuale per rendere sicuro lo scaricamento e l'installazione di software a utenti non esperti e per prevenire il buco di sicurezza che gli antivirus attuali hanno per malware dei quali non sia ancora stata creata una firma.

BufferZone Pro


Ne esiste anche una versione Enterprise, centralizzata, che permette l'implementazione di policy sulle macchine, che consentano agli utenti di eseguire solo certe applicazioni e solo all'interno della sandbox, in modo da controllarne per esempio l'accesso alla rete o a determinate periferiche come USB drive e masterizzatori.

Ma per i nostri scopi basta la versione standalone di BufferZone Pro

Se (dopo aver installato il software) lanciamo un browser, vediamo che ha un contorno rosso.
Significa che gira dalla sandbox, e che tutti i processi e i file da esso attivati avranno la stessa modalità di esecuzione.

BufferZone Pro

Questa è la configurazione di default per browser, instant messenger e applicazioni che accedono al web (la lista completa si trova in Edit BufferZone Programs e può essere personalizzata, anche utilizzando wildcards).
Questa configurazione è perfetta per il nostro scenario 4.

Per gli altri, il consiglio è di togliere le applicazioni di default dalla lista e usare il sistema in modo interattivo: quando vogliamo lanciare un installer o aprire un file sospetto, semplicemente cliccheremo con il tasto destro sull'applicazione e sceglieremo di lanciarla nella sandbox.

BufferZone Pro
 
A installazione avvenuta, i file e le modifiche relative al programma saranno messe in una cartella ad hoc (default: C:Virtual, ma possiamo cambiare l’unità di riferimento).
Da qui, potremo andare a verificare quali file e modifiche un determinato programma crea, ed eventualmente cancellarle (sia direttamente su file system, sia da interfaccia).
Inoltre, l’applicazione ha un semplice firewall integrato che permette di bloccare l’accesso alla rete o a determinate porte per i programmi eseguiti nella sandbox: pensiamo all’utilità di inibire l’accesso alla porta 25 a eventuali virus contenuti in file sospetti, per impedire che possano inviare email.

BufferZone Pro


Trovi utile questo articolo? Conoscevi il concetto di sandbox? Raccontaci anche la tua esperienza! 

Autore
Furio Borsi
Si appassiona al mondo digitale fin da bambino, con il glorioso Commodore 64, sul quale si diverte a scrivere semplici programmi in Basic e modificare giochi. Nel 1990 riceve in regalo il suo primo PC (i386), seguito un paio d'anni dopo da un i486dx. In questi anni affina le sue attitudini al problem solving, scassando hardware e software e divertendosi a rimetterlo a posto. ;) Diventa così "quello che se ne capisce" per i suoi familiari e amici, arrivando a collaborare con alcuni studi professionali per la gestione del parco macchine e dei server Windows. Finito il liceo, studia DAMS con indirizzo multimediale a Bologna e Imperia. Nel 2002, dopo un anno sabbatico a Londra, lavora come sviluppatore junior in un'azienda che produce software per database territoriali in ambito Pubblica Amministrazione. In questo periodo si avvicina con passione a problematiche sistemistiche e di network management su reti estese. Nel 2007 entra a far parte dello staff di Achab, per cui si occupa di formazione e supporto, in particolare riguardo a Kaseya, e gestione del parco macchine e della rete.
Commenti (0)
guest
0 Commenti
Inline Feedbacks
Guarda tutti i commenti