Il web è un ambiente intrinsecamente insicuro. In molti nostri articoli, abbiamo evidenziato la crescente tendenza, da parte degli autori di malware, di inserire le proprie pericolose "creature" non sono su siti sviluppati "ad hoc" ma anche su siti Internet legittimi ed ampiamente conosciuti. Come abbiamo già spiegato, ad esempio, in questo articolo, le tecniche che vengono messe in atto sono le più disparate: dall'invio di e-mail contenenti riferimenti a siti maligni, alla pubblicazione in Rete di falsi software di sicurezza che in realtà, se eseguiti, effettuano operazioni nocive, passando per gli attacchi XSS e SQL Injection, sino alla registrazione ed all'utilizzo di nomi di dominio che ricordano da vicino quello di siti web famosi ma differiscono per qualche carattere (“cybersquatting”). Il successo che i vari “social network” stanno universalmente riscuotendo viene in qualche modo “cavalcano” anche dagli autori di malware che hanno iniziato ad inviare agli utenti iscritti ai vari servizi messaggi facenti riferimento a pagine web dannose.

Per mettersi al riparo dagli attacchi, abbiamo precedentemente suggerito una serie di strumenti e metodologie:
- Un'analisi delle minacce informatiche presenti e future
- Sicurezza: minacce, difese e consigli tecnici

In questo articolo focalizziamo la nostra attenzione sui software per la sicurezza che impiegano tecniche di sandboxing per proteggere il sistema dell'utente. Si chiama “sandbox” un'area protetta e sorvegliata all'interno della quale possono essere ad esempio eseguite applicazioni maligne senza che queste possano realmente interferire con il sistema operativo vero e proprio. Sebbene alcuni malware più moderni si siano fatti più furbi riuscendo a riconoscere l'esecuzione nell'ambito di una macchina virtuale o comunque di una sandbox (in queste circostanze, viene evitato il caricamento di qualunque codice nocivo in modo tale da non insospettire i tool di scansione), le tecniche di “sandboxing” sono comunque utilizzate da molti produttori antivirus dal momento che si rivelano un buon strumento per lo studio di ogni genere di malware.

Mentre le varie soluzioni per la virtualizzazione come VirtualBox, Vmware Player e Workstation, Microsoft Virtual PC, i software di Parallels si prefiggono come obiettivo quello di “emulare” una macchina fisica eseguendo, in un ambiente protetto, un qualunque sistema operativo anche differente da quello installato sulla macchina “host”, le tecniche di sandboxing mirano a difendere solamente delle aree conosciute di Windows (ad esempio registro e cartelle di sistema).


Sandboxie

Un software molto compatto è Sandboxie. Compatibile con tutti i sistemi Windows a partire dalla versione 2000 in poi, il programma può essere sfruttato per eseguire qualunque applicazione nell'ambito di una sandbox, sia essa il browser web, il prompt dei comandi, la stessa shell del sistema operativo. Quando si esegue un'applicazione con Sandboxie, questa viene isolata dal resto del sistema e non ha la possibilità di alterare la configurazione del personal computer in uso. Se si esegue il browser web ricorrendo a Sandboxie, si navigherà in modo sicuro e qualunque file scaricato sarà anch'esso conservato all'interno della sandbox.

Ciò significa che un'applicazione maligna (i.e. "malware") non è più in grado di andare a modificare le parti "vitali" del sistema operativo: ripulendo la "sandbox" l'utente potrà eliminare ogni eventuale "traccia" dell'"ospite sgradito" certo di non aver causato danni alla configurazione di Windows.
Ogni programma o processo che venga inizializzato da un programma ritenuto "non fidato" ed eseguito, mediante l'uso di SandBoxie, nella "sandbox", sarà anch'esso eseguito all'interno dell'area protetta in modo tale che il suo funzionamento non abbia effetto sullo stato del sistema operativo.

Questo tipo di approccio ha i suoi pregi ed i suoi difetti. Tra i pregi, l'impossibilità per i componenti malware di intervenire sulle aree chiave del sistema operativo; tra i difetti citiamo quello più evidente: qualunque file legittimo scaricato, ad esempio, tramite il browser web eseguito nella "sandbox" sarà esso stesso conservato nella "sandbox".

Prima di installare Sandboxie, suggeriamo di effettuare una copia di backup dell'intero sistema, magari servendosi di appositi strumenti per il disk imaging. Sandboxie installa sul sistema in uso un driver che costituisce il cuore dell'applicazione. Come ricordato in fase d'installazione del programma, è caldamente consigliato disabilitare temporaneamente eventuali software, presenti sul sistema, che abbiano come obiettivo quello di monitorare il comportamento delle applicazioni.

La finestra Sandboxie control, richiamabile in qualunque momento anche dal menù Start, Programmi di Windows, elenca tutti i processi in esecuzione all'interno della “sandbox”. Per controllare o modificare la cartella, su disco, ove viene salvato il contenuto della “sandbox”, è sufficiente cliccare sul menù Area virtuale, Imposta cartella di memorizzazione. Ove possibile, è bene indicare un'unità rimovibile (come un hard disk esterno) facendo attenzione a non scegliere lettere identificative corrispondenti ad unità CD/DVD.

Per impostazione predefinita, Sandboxie crea automaticamente una “sandbox” di default. E' possibile comunque decidere, successivamente, di aggiungerne di nuove, secondo le proprie esigenze.

Cliccando con il tasto destro del mouse sull'icona di Sandboxie, visualizzata nell'area della traybar (generalmente in basso a destra, accanto all'orologio di sistema), quindi cliccando su DefaultBox ed infine su Avvia un programma..., è possibile avviare un software nella “sandbox” predefinita. Nel caso in cui si siano create più “sandbox” differenti, è sufficiente selezionare quella desiderata, in luogo di DefaultBox.

L'icona visualizzata nella traybar può assumere due diverse forme. Nel primo caso, quando è completamente di colore giallo, significa che non ci sono applicazioni al momento in esecuzione all'interno delle “sandbox”; viceversa, se l'icona si arricchisce di alcuni punti di colore rosso, significa che Sandboxie sta gestendo l'esecuzione di uno o più programmi.

Com'è immediato verificare, dallo stesso menù è possibile avviare il browser web di default, il programma per la gestione della posta elettronica o un'applicazione elencata nel menù Start di Windows. All'interno della barra del titolo di ciascun programma eseguito nel contesto della “sandbox”, Sandboxie aggiunge il simbolo [#]. In questo modo è immediato identificare a colpo d'occhio tutti quei software che sono avviati nell'area protetta.

In questo caso, abbiamo avviato il browser Firefox in modalità protetta, servendoci di Sandboxie. I processi SandboxieRpcSs.exe e SandboxieDcomLaunch.exe sono correlati al funzionamento del programma e non richiedono alcun intervento da parte dell'utente.

Eseguendo il browser web all'interno della “sandbox”, ogniqualvolta si effettua il download di un file, Sandboxie mostra una finestra di dialogo simile alla seguente:

Cosa significa “recupero”? Come precedentemente anticipato, Sandboxie memorizza tutti i file scaricati mediante un'istanza “sandboxed” del browser all'interno della sua area protetta. Qualunque nuovo elemento prelevato, quindi, non sarà immediatamente spostato sul sistema ma continuerà a risiedere nella “sandbox”. Attraverso la finestra Recupero immediato, si può indicare a Sandboxie se si desidera che il file prelevato venga subito salvato sul sistema, nella cartella specificata oppure in una posizione diversa. Cliccando su Chiudi, il file indicato continuerà invece a restare nella “sandbox”.

Per maggiore sicurezza, in modo da scongiurare la copia di file potenzialmente nocivi sul sistema, è possibile disattivare la funzionalità di ripristino immediato: è sufficiente cliccare con il tasto destro del mouse sulla “sandbox” (Area virtuale DefaultBox), nella finestra principale di Sandboxie, scegliere Impostazioni dell'area virtuale, Recupero, Recupero immediato e disabilitare la casella Abilita il recupero immediato.

Per recuperare un file dall'area virtuale (“sandbox”) e copiarlo sul sistema in uso è possibile usare due metodologie. Quella consigliata consiste nell'avviare Windows Explorer in modalità “sandboxed”: basta cliccare con il tasto destro del mouse sull'icona di Sandboxie, scegliere ad esempio DefaultBox quindi Avvia Esplora risorse. A questo punto, una volta individuati i file scaricati in precedenza, si potrà copiarli dalla “sandbox” al sistema “reale” con una semplice operazione di copia e incolla.
Si supponga di aver scaricato con Internet Explorer o con Firefox, avviati entro la “sandbox”, due file sul desktop. Tali file non saranno visibili sul sistema “reale” fintanto che non verranno recuperati dall'area protetta. Avviando Esplora risorse con Sandboxie, si noterà la presenza dei due file precedentemente scaricati sul desktop. Per ripristinarli ed estrarli dalla “sandbox” sarà possibile trascinarli in una qualunque cartella del sistema (aperta all'infuori dell'area protetta).

In alternativa, è possibile ottenere la lista dei file scaricati all'interno della “sandbox”, cliccando sul menù Visualizza, File e cartelle (finestra Sandboxie control). Cliccando con il tasto destro sui file d'interesse, quindi ricorrendo ai comandi Recupera nella stessa cartella o Recupera in un'altra cartella, sarà possibile avviare il ripristino.

Ancora, cliccando con il tasto destro del mouse sulla “sandbox”, sempre dalla finestra principale di Sandboxie (Sandboxie control), quindi su Recupero veloce, il programma mostrerà una schermata che riassume tutti i file e le cartelle create nell'area virtuale protetta e che possono essere ripristinati sul sistema “reale”.

Il comando Cancella il contenuto, anch'esso presente nel menù che compare cliccando con il tasto destro del mouse sull'icona di Sandboxie, consente di rimuovere rapidamente tutto il contenuto dell'area virtuale protetta.

L'ultima versione di Sandboxie è prelevabile gratuitamente da questa pagina.