A Bromium elhatározta, hogy lebuktatja különböző sandbox alkalmazásokat. Szakértői a biztonsági eszközök gyenge pontjaira utaztak.
A sandbox technológiák egyre fontosabb szerepet játszanak a biztonsági cégek és a szoftverfejlesztő vállalatok eszköztárában. Főleg a veszélyes, nem megbízható, gyanús vagy éppen vizsgálandó fájlokat, kódokat, tartalmakat elkülönítésér használják. Ezzel a módszerrel ugyanis elvileg hatékonyan megakadályozható, hogy például egy kártékony weboldal, PDF-állomány stb. révén a támadók hozzáférjenek kritikus összetevőkhöz.
Megkerülni vagy átjárónak használni ■ A Bromium kutatói megvizsgálták a sandbox technológiák hatékonyságát: milyen módszerekkel kerülhetők meg vagy játszhatók ki. Az eredmény felemás: egyrészt nem képesek minden fenyegetettség kiküszöbölésére, és esetenként viszonylag könnyedén átejthetők. A kutatók a Sandboxie, a Bufferzone Pro, a Dell Protected Workspace alkalmazásokat, a Google Chrome böngésző és az Adobe Reader XI beépített sandbox technológiáit tették próbára.
A vizsgálat eredményeit össezgző táblázat (forrás: Bromium)
Két dologra koncentráltak: egyrészt arra, hogy a sandboxok miként kerülhetők meg, másrészt a sandbox összetevőin keresztül hogyan lehet hozzáférni egyes kulcsfontosságú rendszerkomponensekhez. Az első esetben a kernel jogosulatlan elérésére, illetve felhasználómódú exploitok futtatására tettek kísérleteket. A második esetben billentyűleütések naplózásával, webkamerák, mikrofonok távoli bekapcsolásával, a vágólap tartalmának lementésével, képernyőképek készítésével és hálózati megosztásokhoz való csatlakozással próbálkoztak. A kísérletek többször sikerrel jártak.
A sandboxok megkerülésével a legnehezebb dolguk a Chrome böngészőnél volt. A többi kísérlet során pedig a Windows kernelszintű manipulációjával sikerült a védelemi vonalakon átlépniük. Bár a szakemberek szerint manapság az ilyen kernelszintű károkozások viszonylag ritkák, mert speciális szaktudást igényelnek, az ilyen támadások könnyen elszaporodhatnak.
Ne dobjuk ki a sandboxot! ■ Rahul Kashyap, a Bromium biztonsági kutatásokért felelős vezetője sietett is leszögezni: nem arra szeretnének buzdítani, hogy dobjuk ki a sandbox technológiákat mondván, azok semmire sem jók. Csupán szerették volna felhívni a figyelmet arra, hogy önmagukban ezek a technológiák sem elégségesek a végponti védelemhez. Hiába van ugyanis sandbox, az operációs rendszerek és az alkalmazások frissítésétől kezdve ugyanúgy meg kell tenni minden egyéb védelmi intézkedést is.
Tehát a kísérlet nem azt bizonyította Kashyap szerint, hogy a sandboxok nem működnek, csupán azt, hogy nem nyújtják a többrétegű védelmek biztonságát.
(A cikk a Biztonságportálon megjelent írás szerkesztett változata.)
