Veilig computeren in de virtuele zandbak

Virtualisatie is geen nieuw concept, maar groeit wel in populariteit. Het is namelijk ook uitstekend inzetbaar als beveiligingsmiddel. Malware kan niet zoveel kwaad als het in een virtuele omgeving draait. Trustware wil met BufferZone internetapplicaties virtualiseren om het binnendringen van malware zoveel mogelijk te voorkomen.

Malware dringt uw Windows-systemen binnen via applicaties. Het meest risicovol zijn de internetapplicaties: browser, e-mailclient, chatclient, bestandsdelingssoftware, noem maar op. Die applicaties communiceren immers rechtstreeks met het onveilige internet. Ook Office heeft tegenwoordig internetconnectiviteit én is zoals we weten kwetsbaar voor macrovirussen. Je houdt deze dreigingen onder controle door goede beveiligingssoftware te installeren: antimalwaresoftware of internetbeveiligingssuites.

Het probleem met antimalwaresoftware is echter dat die met signaturen werkt. Nieuwe malware, waarvan nog geen signatuur verspreid is, wordt niet herkend. In sommige gevallen verhinderen extra controles op bijvoorbeeld wijziging van bepaalde systeembestanden op nog een besmetting, maar zeker kun je daar nooit van zijn. Afhankelijk van hoe vaak je antimalwareproducent wordt bijwerkt, kan het toch drie à vier uur duren voordat nieuwe signaturen actief zijn. Al die tijd is de pc kwetsbaar.

Virtualisatie

Het idee om vooral internetapplicaties die gevoelig zijn voor malware in een virtuele omgeving of ‘zandbak’ te laten draaien is niet nieuw. Ruim tien jaar geleden hebben we eSafe Protect getest, dat zoiets al deed. Meer recent troffen we ook een beperkte zandbak aan in de antivirussoftware van Norman. Trustware gaat met BufferZone een stap verder. Het idee is om een complete applicatie in een virtuele omgeving te isoleren: als er dan malware in zit, kan die niet bij de rest van Windows komen. Ook malware die absoluut niet herkend of tegengehouden wordt door traditionele beveiligingssoftware, kan op deze manier dus geen kwaad meer. Op de website van Trustware kunt je het uitproberen door BufferZone Free te downloaden,. Daarmee kun je gratis één applicatie virtualiseren. BufferZone Enterprise, dat we hier bespreken, beveiligt alle pc’s in een netwerk via een nieuw groepreglementobject in Windows.

BufferZone isoleert de bedrijfsconfiguratie en -gegevens van de gebruikersapplicaties. Gebruikers installeren alle nieuwe programma’s in de virtuele omgeving, tenzij die software van hun it-afdeling afkomstig is en dus betrouwbaar. Software die in de virtuele omgeving draait, kan de bedrijfsdesktop op geen enkele manier wijzigen. Gebruikers kunnen de software wel zonder verdere beperkingen uitproberen en gebruiken, maar zodra de virtuele omgeving afgesloten wordt, is de software ook weg.

Voordelen en nadelen

Het belangrijkste voordeel van de virtuele omgeving is natuurlijk afscherming. BufferZone schermt de virtuele omgeving volledig af en spyware in de virtuele omgeving kan bijvoorbeeld niet bij netwerkvolumes of niet-toegewezen harde-schijfdata komen.

Een tweede voordeel is dat de virtuele omgeving gebruikers grotere vrijheden geeft. Een normale Windows-desktop moet, om veilig te zijn, stevig dichtgespijkerd worden zodat een gewone gebruiker vrijwel niets meer mag. Voor het mkb is een extra voordeel de grotere veiligheid, maar dan moeten zij hun gebruiker geen grote beperkingen opleggen. Dat doen grotere ondernemingen gewoonlijk wel.

Voordeel nummer drie is het verminderde onderhoud. Met een virtuele omgeving is de malware weg zodra je de virtuele omgeving afsluit.

Voordeel vier is het gebruiksgemak. BufferZone kan volautomatisch beslissen welke applicaties gevirtualiseerd moeten worden, ook al startte je ze normaal in Windows. Dat is zelfs het geval voor onderdelen van applicaties.

Een virtuele omgeving verbruikt meer geheugen en meer processortijd. Je hebt dus een voldoende krachtige pc nodig. Andere nadelen zijn er niet.

Groepsreglement

BufferZone gebruikt een Group Policy Object (GPO of groepsreglementobject) om de instellingen van de BufferZone-clients centraal te beheren. De netwerkbeheerder moet de installatie hiervan handmatig uitvoeren door het reglementbeheerbestand op de juiste plaats te kopiëren in de Windows-systeemdirectorystructuur en dan het groepsreglement te voorzien van de benodigde instellingen.

BufferZone kan ingesteld worden om volledig automatisch te draaien en plaatst dan alle onbekende programma’s bij het starten al meteen in de bufferzone. Als je twijfelt, kun je ook overschakelen naar een complete virtuele desktop. De normale desktop heet dan de ‘secure’ desktop. Je kunt naar wens heen en weer schakelen tussen de veilige en de bufferzone-desktop. Als de bufferzone-desktop actief is, is alles wat je daarin doet onderworpen aan de bufferzone-regels.

Het systeem werkt gebruiksvriendelijk, maar zegt niet wat malware is en wat niet. Het is dus een goed idee om de automatische beveiliging in te schakelen, al zal dat het systeem mogelijk wat doen vertragen.

Praktijk

Wij probeerden onze beruchte gratis mp3-speler ‘FreeMP3Player’ uit, die ettelijke honderden malwarecomponenten in je systeem introduceert als je hem installeert. We startten hem in de beveiligde BufferZone-desktop en lieten hem zijn gang gaan. Na afloop schakelden we terug naar de veilige desktop en maakten de bufferzone leeg. We voerden dan op de veilige desktop een controle uit. Dat hadden we voor de installatie van BufferZone ook gedaan en alles was uiteraard malwarevrij. De malwarecontrole die we nu deden vond echter een vijftal hoofdmalwaregroepen terug, maar dat bleek gelukkig om lege directory’s te gaan. De malware was waren wel degelijk volledig van het systeem verwijderd.