Introduzione
Si definisce "sandbox" un meccanismo di sicurezza che consente di eseguire un programma in un ambiente isolato. Il vantaggio di usare tecniche di sandboxing è notevole quando si debbano usare software che non siano stati verificati o testati a sufficienza. Per creare una sandbox in cui isolare eventuali software è possibile ricorrere a specifici tool.
I software di sandboxing
Alla base di questa tipologia di software vi è l'idea di costruire un ambiente virtuale ed isolato dal sistema operativo. In quest'ottica l'utente potrà eseguire "tutte" le operazioni a lui indispensabili, senza intaccare la stabilità del sistema, sia da un punto di vista della sicurezza sia dell'operatività. Una volta terminato l'utilizzo da parte dell'utente guest, il sistema ritornerà allo stato iniziale senza dover eseguire lunghe e ripetitive operazione. In quest'articolo presenteremo cinque software per il sandboxing su Windows. L'utilizzo di questi tool in particolar modo in ambiente didattico è largamente diffuso, difatti sono previste licenza educational ad hoc per gli istituti scolastici e di ricerca, che vogliono avvalersi delle loro funzionalità.
Deep Freeze
DeepFreeze è sviluppato e distribuito da Faronics, disponibile sia su piattaforme Microsoft (client e server) che Macintosh. Il software è prelevabile in due versioni Standard o Enterprise, la versione standard è l'ideale per gestire un numero massimo di 20 postazioni lavoro, mentre la versione Enterprise permette l'installazione centralizzata ed il controllo remoto dei singoli computer. Il software integra al suo interno la possibilità di supportare hard disk e partizioni multiple, nonché il multi-boot.
Returnil Virtual System
Returnil Virtual System è sviluppato da Returnil ed è prelevabile nella sezione download del sito del produttore. L'ultima versione del programma incorpora al suo interno oltre che la funzionalità di protezione tramite sandboxing, numerose utility come ad esempio il modulo antivirus. Gli utenti possono essere organizzati in whilelist e blacklist per poter ad esempio gestire i singoli file. Un punto di forza di tale software e che sia in modalità demone, che in quella attiva (cioè con virtualizzazione in esecuzione) l'occupazione della memoria RAM è quasi trascurabile, così da non intaccare le prestazioni reali della nostra macchina.
Sandboxie
È possibile effettuare il download degli installer per Windows direttamente dalla sezione download del sito di Sandboxie. Il programma, giunto alla versione 3.52 lo scorso 11 gennaio, offre l'opportunità di lanciare qualsiasi programma in una sandbox, non solo Internet Explorer come il nome farebbe pensare. Inoltre Sandboxie permette di di creare degli script da riga di comando per eseguire delle operazioni pianificate all'avvio, come ad esempio lanciare Internet Explorer, oppure impostare il browser di default oppure il mail agent. All'interno del sito è presente un'ottima guida su come installare e configurare il software. È inclusa anche la funzionalità di e-mail protection che permette di isolare anche i processi generati dal proprio client email, proteggendo in questo modo anche da malware lanciati attraverso allegati infetti.
Trustware Bufferzone
Il punto di forza del softwareTrustware Bufferzone consiste nell'isolare le applicazioni che accedono a Internet, quindi browser web, software peer-to-peer ecc. Bufferzone reindirizza tutti i file provenienti da download o dal caricamento da dispostivi esterni in una "zona virtuale", questa zona altro non è che una directory virtuale (C:Virtual), la cartella mantiene in esecuzione isolata l'applicazione, è altresì impedita l'installazione di virus, keylogger, spyware ed altro software dannoso.
Windows SteadyState
Fino a qualche mese fa anche Microsoft offriva un ottimo software completamente gratuito per la gestione del sandboxing, purtroppo è notizia di fine dicembre 2010 che Windows Steady State non è più scaricabile dal sito Microsoft per i sistemi operativi Windows XP e Vista, anche se Microsoft lo supporterà sino a giugno 2011. Nella versione beta del nuovo sistema Windows 7 era stato incluso di default, purtroppo al momento del rilascio della versione ufficiale Microsoft ha deciso di non includere questa interessante estensione senza motivarne la scelta.
Conclusioni
L'utilizzo di ambienti virtuali ed isolati sulle postazioni utente permette di avere un pieno controllo delle azioni degli stessi, nonché limitare i danni provocati al sistema operativo. La scelta del software da utilizzare dovrà essere fatta analizzando e ponderando con cura la configurazione dell'ambiente da proteggere (ad esempio centralizzato oppure isolato), il livello di protezione da applicare e l'investimento monetario da effettuare.