Una tecnica certamente interessante riguarda la possibilità di effettuare SandBox di programmi specifici affinchè essi vengano eseguiti in ambienti chiusi, con accesso a risorse e disco altamente controllato.
Come in un “The Truman Show”, l’applicazione pensa di trovarsi in un mondo perfettamente normale, invece viene eseguita in un ambiente artificiale in cui lo spazio di movimento è estremamente ridotto.
Ci sono diversi software in grado di fare SandBox, sia in ambito Linux sia in ambito Microsoft. Personalmente, per quest’ultimo, mi piace molto come è strutturata SandBoxie e ritengo sia corretto supportare gli sviluppatori affinchè questo progetto possa avere le risorse opportune per continuare ad evolversi.
Una logica che si potrebbe adottare è la seguente:
Browser Web: Avvio forzato in un ambiente SandBox con accesso al disco estremamente limitato;
Client di Posta: Avvio forzato in un altro ambiente SandBox con accesso al disco limitato a delle cartelle di condivisione temporanea che vengono svuotate con cadenza molto rapida. Questo perchè la posta elettronica è pericolosa, tuttavia deve a volte accedere a dati sensibili.
Presupponendo di aver contratto malware nella comune navigazione o aprendo un’email passata inosservata all’antivirus sbadato, l’intera esecuzione e campo di applicazione verrà confinata all’ambiente ristretto messo a disposizione dal software di SandBoxing.
SandBox e dati sensibili
Tornando quindi alla nostra esigenza, nel momento in cui sentiamo la necessità di inviare file sensibili, da recuperare all’interno di un percorso classificato e non accessibile all'ambiente di SandBox, possiamo utilizzare una cartella di condivisione intermedia (i cui file vengono cancellati con altissima frequenza e possibilmente appena non più utili allo scopo). Il fine è quello di contenere provvisoriamente il file che deve utilizzare o inviare il programma sottoposto a SandBox.
Poniamo il caso di sottoporre il nostro client di posta alla procedura di SandBox e poniamo il caso di beccarci un ransomware. Che effetti produrrà la minaccia informatica? Sostanzialmente nulla in quanto il ransomware esfiltrerà quasi nulla e crittograferà un ambiente simulato, privo di qualsivoglia privilegio in grado di compromettere la macchina primaria.
SandBox nel concreto: becchiamoci volontariamente un ransomware
Abbiamo, quindi, disattivato tutti i vari software di protezione e scaricato ed avviato un simulatore di ransomware direttamente dal browser, sottoposto a SandBox.
L’esecuzione del malware, quindi, è avvenuta in questo contesto. Sarebbe stato identico qualora avessimo eseguito il malware dalla posta elettronica e quest’ultima fosse stata soggetta a tecniche di SandBoxing.
Come possiamo vedere di seguito, l’ambiente in SandBox è stato compromesso ed i file sono stati crittografati, tuttavia l’ambiente reale del PC è rimasto totalmente inalterato.
Va detto, inoltre, che i software fuori dalla SandBox hanno possibilità di interagire con l’ambiente all’interno della SandBox, ma non il contrario. Questo è importante in quanto, se avessimo lasciato abilitato anche il semplice Windows Defender, esso avrebbe rilevato e bloccato il ransomware in ogni caso, sia esso si trovi all'interno o all'esterno dell'ambiente fittizio.
Discaimer:
Ogni articolo di questo blog è stato integralmente scritto dall'autore.
Il contenuto è completamente originale e la riproduzione, anche
parziale, è vietata salvo autorizzazione.
