Norman søker patent på sandkasse mot ukjente virus

Norman søker patent for en teknologi der ondsinnet kode avsløres ved kjøring i en lukket "sandkasse" som simulerer et vilkårlig valgt datasystem med virtuell disk og CPU.

(OBS: En faktisk opplysning i denne artikkelen ble endret etter at den ble offentliggjort. Se nederst.)

Den norske virusverneren Norman har arbeidet med teknologien i lang tid, og delvis implementert den i sine produkter. Analytiker Kurt Natvig foredro om sandkassen på Virus Bulletin Conference i september.

Norman har levert inn patentsøknad, og vil implementere teknologien i større omfang i sine produkter innen en måned eller to.

Sandkassen brukes også internt i selskapet som ledd i analysearbeidet av nye virus, ormer og trojanere etter hvert som de dukker opp.

Uttrykket "sandkasse" - "sandbox" - er mye brukt i IT-verdenen, og viser generisk sett til et lukket miljø for å kjøre programvare som skal holdes borte fra spesifiserte systemressurser. Det brukes blant annet om mekanismene i Java som hindrer kode utenfra fra å skrive til lokale disker. Norman er ikke alene blant virusvernere om å arbeide med sandkasser for å bedre datasikkerheten.

- Det spesielle med vår sandkasse, er at den simulerer en fullstendig datamaskin, med disk, minne, prosessor og operativsystem, forklarer analytiker Snorre Fagerland til digi.no.

- Denne virtuelle datamaskinen er helt isolert fra det faktiske systemet, og den ukjente koden som slippes inn der, kan ikke komme i kontakt med noen virkelige maskin- eller systemressurser. Samtidig lures den til å tro at den har med et fullverdig system å gjøre, og må nødvendigvis oppføre seg deretter.

Avhengig av hva koden gjør i den virtuelle maskinen, leverer denne en av tre hovedtilbakemeldinger

  • koden er ikke ondsinnet
  • koden fører til ødeleggelser i systemet
  • koden både ødelegger og er i stand til å replikere til ny ødeleggende kode

En tilbakemelding om at koden er ødeleggende eller både ødeleggende og replikerende, vil i brukerversjonen utløse en prosess der man forsøker å rense den opprinnelige smittede filen, eller sletter den dersom den ikke kan renses.

I analytikerversjonen genereres en fortløpende logg over alt som koden foretar seg.

Sandkassen kan ikke erstatte en skanner, fordi den virtuelle datamaskinen krever for mange ressurser.

Den kan implementeres hos brukeren på to måter. Den kan aktiveres automatisk dersom virusvernverktøyet mener en bestemt kode er mistenksom, selv om skanning ikke har avslørt kjente virussignaturer. Det kan også åpnes for manuell håndtering, ved at brukeren selv kan slå den på for å analysere mistenkelige filer. En videreutvikling av den automatiske metoden kan være at sandkassen genererer en signaturfil som er i stand til å gjenkjenne koden ved skanning neste gang den skulle dukke opp.

- Vi er kommet ganske langt med sandkassen i dag, understreker Fagerland.

- Ellers ville vi ikke presentert den på Virus Bulletin-konferansen eller søkt om patent. Men det er klart at det kan tenkes at svært avanserte virusmakere vil kunne finne fram til en metode å avsløre det virtuelle miljøet, og tilpasse koden sin deretter. Derfor er det viktig å understreke at teknologi som denne sandkassen må utvikles kontinuerlig. Den blir aldri helt ferdig.

(OBS: I en e-post etter at denne artikkelen ble offentliggjort, opplyser Snorre Fagerland at det vil ta tre til seks måneder, og ikke ett til to måneder, før "sandkassen" implementeres i et kommersielt produkt.)

Til toppen