Ingezonden persbericht
Uitnodiging
Norman introduceert met ingang van versie 5.6 (release half juni) voor het eerst zichtbaar voor de gebruiker de door Norman uitgevonden Sandbox technologie. Hierbij is sprake van een virtuele PC welke acties van een (mogelijk) virus uitlokt. Deze compleet nieuwe technologie onderscheidt zich van concurrerende technologieën door snelheid, accuratesse en betrouwbaarheid. Norman heeft hiervoor in de USA patent aangevraagd.
Norman Sandbox detecteert virussen in executabel content, zonder dat er een definitiebestand (handtekening) van dit virus of enige kennis over het virus bekend of aanwezig is. Norman Sandbox verzekert ons van een detectievoorsprong op onze concurrenten voor de komende periode.
De programmeur van Norman Sandbox, Kurt Natvig van ons hoofdkantoor te Oslo, zal op 16 juli as. een twee uur durende technische presentatie over dit onderwerp geven, waarbij de technologie uiteraard live wordt getoond. De presentatie is van 14.00 tot +/- 16.00 uur op een locatie in Hoofddorp. Wij willen u graag uitnodigen om de presentatie/demonstratie samen met collega's van andere bladen bij te wonen.
U kunt zich inschrijven voor deze presentatie door een e-mail te sturen naar volker@norman.nl. De inschrijving sluit op 4 juli.
Als bijlage hebben wij meer informatie over de Sandbox technologie bijgesloten.
Met vriendelijke groet
Volker Ladage
Norman/SHARK B.V.
Postbus 159
2130 AD Hoofddorp
Tel +31(0)23-7890222
Fax +31(0)23-5613165
mailto:volker@norman.nl
Web: http://www.norman.nl
Bijlage:
NORMAN SANDBOX
Het onmogelijke is nu mogelijk
Norman SandBox
Automatische opsporing, onmiddellijke verwijdering en distributie van bijgewerkte virusdefinitiebestanden is een droom van verkopers van antivirussoftware over de hele wereld. Er zijn door de jaren heen aanzienlijke middelen geïnvesteerd om een oplossing te ontwikkelen die aan deze ambitieuze doelstelling voldoet. Norman heeft een oplossing ontwikkeld waarmee dit doel wordt bereikt. De oplossing heet Norman SandBox. Hiermee wordt het best de techniek omschreven die wordt gebruikt om te controleren of een bestand is geïnfecteerd met een onbekend virus. De methode staat niet-vertrouwde, mogelijke viruscode toe op de computer te 'spelen'. Niet op de echte computer, maar op een gesimuleerde computer.
Eenvoudig gezegd, werkt SandBox als volgt: een bestand dat NVC verdacht vindt, wordt in de SandBox gegooid. Als het bestand wordt uitgevoerd, wordt elk virusgedrag nauwgezet gecontroleerd en vastgelegd. Elk stuk code - vijandig of niet - dat wordt onderworpen aan het onderzoek door SandBox 'denkt' dat het op een echte computer wordt uitgevoerd. Als het malware (kwaadaardige software) betreft, wordt deze op heterdaad betrapt en kan onmiddellijk tegengif worden voorbereid. Er wordt op geen enkel niveau schade toegebracht aan echte bestanden. Het ontdekken van mogelijke virusprogramma's is echter wel degelijk realistisch. Tijdens de Virus Bulletin Conference in 2001 toonde Norman een volledig functioneel prototype van een scan-engine met SandBox-functionaliteit. Dit prototype had ook een groot obstakel weggenomen dat met deze technologie is verbonden: vals alarm. Met andere woorden, de analyse van SandBox bleek zeer nauwkeurig te zijn.
SandBox-functionaliteit via emulatie
Een computervirus is een computerprogramma dat wordt gedefinieerd door zijn gedrag. Het draagt code/gegevens over naar andere computerbestanden. Wanneer deze andere computerbestanden op hun beurt worden uitgevoerd, wordt de viruscode op een of andere manier geactiveerd en zal het proberen andere computerbestanden te infecteren. Dit proces wordt replicatie genoemd. Een computerprogramma wordt pas aangeduid als een 'virus' als het deze taak recursief kan uitvoeren. De SandBox van Norman is een virtuele wereld waarin alles wordt gesimuleerd. Deze wereld wordt aangestuurd door een emulator en binaire uitvoerbare bestanden die mogelijk zijn geïnfecteerd, worden uitgevoerd zoals op een echt systeem. Wanneer de uitvoering stopt, wordt de SandBox geanalyseerd op wijzigingen.
Virussen kunnen echter ontdekken dat zij in een gesimuleerde wereld worden uitgevoerd. Ook al proberen we de meeste aspecten te ondervangen, er zal altijd een API of service zijn waarin niet is voorzien en waarop virussen kunnen testen. Er is slechts een deelverzameling van DOS/Windows geïmplementeerd - precies voldoende om virussen en hun hosts uit te voeren. Veel virussen zijn geen stabiele programma's. Ze bevatten bugs en veroorzaken vaak het vastlopen van de echte CPU. Dit is ook een probleem voor de simulatie. Wanneer is sprake van vastlopen en wanneer van een zeer traag, groot virus?
- Geen van onze concurrenten biedt een vergelijkbare technologie. Dit werd algemeen beschouwd als onmogelijk, aldus de man verantwoordelijk voor de SandBox-technologie, Senior Developer Kurt Natvig. Hij is een van twee Norman-medewerkers die lid zijn van het prestigieuze CARO.
Aangezien niets op het systeem wordt uitgevoerd, behalve een emulator, is het veilig. Al het andere is virtueel. Er wordt niets opgeslagen op de vaste schijf, ook niet als de code die wordt getest dit probeert. Omdat het opsporen van virussen met SandBox ook het 'opstarten' van de 'computer' omvat, zou een volledige installatie van bijvoorbeeld Windows 98 SE te traag zijn en onpraktisch. De omgeving van Norman is gesimuleerd en aangepast - deze is namelijk door ons geschreven. Het is een zorgvuldige en nauwgezette taak om de besturingssystemen zo te ontwikkelen en te testen dat deze op een bevredigend niveau overeenkomen met de werkelijke systemen. U kunt een willekeurig aangepast besturingssysteem 'toepassen' om virusgedrag van een stuk code te onderzoeken. We hebben dus de gehele computer virtueel gemaakt. Een nieuwe BIOS, CPU-functies, een fix, enzovoort kunnen virtueel worden toegepast en meerdere werelden kunnen achtereenvolgens worden gesimuleerd. Alles wordt geregeld vanuit het definitiebestand. Dit wordt binnen de scan-engine uitgevoerd op alle computers/besturingssystemen die wij al ondersteunen en detecteert dezelfde virussen op de verschillende platforms, zelfs on-access als u dat wenst.
SandBox-functionaliteit via een virtuele machine
Het is ook mogelijk een SandBox te bouwen door een VM (virtuele machine) te maken. Het idee is om alle uitgangen te blokkeren zodat het uitvoerbare bestand dat wordt onderzocht niet kan ontsnappen. Wij vinden deze oplossing echter onvoldoende veilig. Er is altijd een 'andere' methode van de processor van de pc (een vreemde interrupt, uitzondering, fout, enzovoort) waardoor kwaadaardige code uit een VM kan ontsnappen en zich kan verspreiden naar het echte systeem.
We hebben het al eerder gezien met andere pogingen om te beschermen tegen malware (bijvoorbeeld INT 1-opsporing). Een VM is te specifiek voor de omgeving die wordt uitgevoerd en kan geen deel uitmaken van een algemene scan-engine. Een VM maakt geen virtuele omgeving van de computer waarop u programma's uitvoert. De hardware, CPU en BIOS zijn gelijk aan diegene die al op het systeem worden uitgevoerd. Met een VM kunnen geen verdachte bestanden worden getest voor andere platforms, zoals Linux. Uw systeem is daarom niet noodzakelijkerwijs schoon - u gebruikt wat u hebt. Uitvoeren binnen een VM is echter wel sneller. Alles gebeurt in realtime. De omgeving is er al en hoeft dus niet te worden 'gemaakt'. U gebruikt een kopie van de computer zoals die is, wat ontwikkeling bespaart.
Wat is er nou zo uniek aan SandBox? Waarom is SandBox zo speciaal dat Norman patent heeft aangevraagd op de toepassing van deze technologie?
Het antwoord is dat SandBox primair is ontwikkeld om onbekende virussen te stoppen, virussen waarvoor geen afzonderlijke virushandtekening is geschreven.
Verwachtingen van de Norman SandBox-technologie
Na de doorbraak met Norman SandBox verwachten we de huidige versie te verfijnen en daarnaast de onderzoekservaring te gebruiken als een springplank naar verwante functionaliteit binnen antivirustechnologie. Verder zullen configuratieopties in Norman Virus Control voor SandBox-gerelateerde taken worden geïmplementeerd en kunnen andere geautomatiseerde procedures volgen in het spoor van deze innovatie. De virusmakers worden absoluut steeds geraffineerder, maar hun tegenstanders in de antivirusindustrie boeken ook aanzienlijke vooruitgang.
---
Vraag ook naar "White Paper Norman SandBox"
Engels, Word document, 200 kb