Den norske sikkerheds-leverandør Norman brugte Infosecurity Europe-messen i London i sidste måned til at lancere en ny generation af sin Sandbox-teknologi, som opretter en slags »kunstig verden« hvor potentielt skadelige programmer testes inden de slippes løs på computeren. Mens traditionelle antivirus-programmer forsøger at genkende virus og orme ved at sammenligne fingeraftryk - i fagsproget også kaldet signaturer - prøver det norske program at analysere kodens adfærd og dermed afgøre, om der er tale om en virus eller et legitimt program. Det betyder, at programmet også skulle være i stand til at stoppe helt nye orme, som endnu ikke befinder sig i antivirus-firmaernes forbryder-kartotek.
Norman understreger at kampen mod de stadig mere komplekse vira og orme ikke kan vindes med konventionelle antivirus-programmer. Sandbox, som oprindelig blev lanceret for fire år siden, er i dag integreret i alle Normans antivirus-produkter.
»Kampen mod virus og andre skadelige programmer skal tages alvorligt. De totale omkostninger for virksomheder i forbindelse med it-kriminalitet er næsten 3,65 milliarder euro i Storbritannien og 610 millioner euro i Norge. Vores analytikere forudsiger en hurtig udvikling af nye og intelligente vira, og det er vigtigt, at vi fastholder vores evne til at stoppe denne form for it-kriminalitet. Derfor har vi udvidet vores Sandbox med understøttelse for flere funktioner og bedre mulighed for at detektere virus,« siger Audun Lødemel, der er chef for forretningsudvikling hos Norman.
Sandbox-teknologien indkapsler en potentiel virus i et emuleret computer-miljø, der i mindste detalje efterligner en rigtig computer. På den måde narres en given virus til at opfatte karantæne-zonen som et rigtigt system, hvorefter den forsøger at sprede sig. I modsætning til de såkaldte »virtual machines«, som blandt andet kendes fra Java, har koden ikke direkte adgang til computerens hardware. SandBox udfører en emulering af alle nødvendige hardware-ressourcer for at afvikle programmet. Det skal sikre, at en virus ikke undslipper karantæne-zonen. Sandbox er i stand til at simulere et helt netværk og kan dermed teste, om koden eksempelvis forsøger at sprede sig til andre computere.
På Infosecurity Europe kunne Norman fremvise den nye generation af teknologien, Norman Sandbox 2005, som er udvidet med understøttelse for flere end 3.000 forskellige API'er (program-grænseflader). Samtidig er systemet nu i stand til at teste kode der består af flere programtråde. Norman har også tilføjet muligheden for at detektere det såkaldte »thread injection«, hvor virus forsøger at kapre eksisterende processer på computeren.
Sandbox er desuden udvidet med understøttelse for fildelings- og instant messaging-protokoller og kan afsløre, om programmer forsøger at samle e-mail adresser på computeren.