Test: ForceField zakt in eigen drijfzand

ZoneAlarm ForceField is een nieuw product voor browserbeveiliging van Check Point en integreert een firewall met antispywaretools, website validatie, antiphishingtools en een verstoring van keyloggers. Dat wordt allemaal in een begrensde gevirtualiseerde omgeving geplaatst, met daarbovenop de gelikte gebruiksinterface die we van ZoneAlarm gewend zijn. De bedoeling van het pakket is dat het volledige bescherming biedt tegen de immer groeiende en ingewikkeldere malwaregevaren waaraan internetgebruikers blootstaan.

Maar om eerlijk te zijn, ik heb door de jaren wel vaker overhypte en inneffectieve 'zandbak' securityclients onder ogen gehad, en allemaal beloofden bescherming tegen alle vormen van internetgevaar. Hoewel ForceField wel wat te bieden heeft ten opzichte van andere producten, maar helaas: mijn testsystemen werden uiteindelijk allemaal besmet. Al na een minuut had ik met het aanklikken van pas de derde kwaadaardige link beet, en ForceField liet het stilletjes gebeuren. Dat wil trouwens niet zeggen dat ForceField helemaal geen bescherming bood, maar ik loop op de zaken vooruit.

Goed, ik sta misschien wat te sceptisch tegenover begrensde virtualisatieproducten, maar ik ben wel een groot van Check Point en ZoneAlarm. Ik was dan ook erg benieuwd wat voor oplossing ForceField biedt. Maar de bijbehorende whitepaper van Check Point wakkerde mijn scepsis weer aan, met niet bestaande, onnodig technisch jargon ('Webgebaseerde superaanvallen', 'Nieuwe Geavanceerde Technologieën') en loze beloften over de bescherming die ForceField zoal kan bieden ('Geen verandering komt erdoor, tenzij de gebruiker er specifiek om vraagt'). Dat terwijl traditionele mechanismen in de paper te veel worden afgekraakt.

De beweringen die ForceField tentoon spreidt (bestands- en registervirtualisatie, bescherming tegen drive-by downloads enzovoorts), kennen we van Microsoft met Windows Vista en IE7 beveiligde modus. Ik heb de tests daarom bewust gedraaid op ongepatchte versies van Windows XP Pro SP2 met IE6 en Firefox 2. De meest gebruikte addons voor de browsers zijn bewust verouderd. Op die manier krijgen kwaadaardige websites een goede kans om het onderliggende besturingssysteem te infecteren, terwijl ForceField als enige barrière alle ruimte krijgt om er iets aan te doen. Dat voorkomt dat 'onverwachte' verdedigingsmechanismen van de OS de test te veel beïnvloeden.

Vervolgens heb ik ForceField versie 1.0.331.0 geïnstalleerd met de standaardinstellingen, en ben ik tientallen geïnfecteerde websites afgegaan. Om die links te vinden, heb ik de lijsten gebruikt op www.shadowserver.org en www.dshield.org. Ik heb ook gezocht naar pagina's met 'killwow1.cn/g.js' in de broncode. Dat is een string die verbonden is aan duizenden recent geïnfecteerde websites. Probeer dit trouwens niet zelf, tenzij je voorbereid bent op een zwempartij in kwaadaardige code.

De installatie van ForceField ging gesmeerd, en de impact op het systeem is met 4 tot 5 MB en weinig configuratie gering. Er verschijnt een icoontje van ForceField in het statusbalkje, en de browser krijgt een nieuwe optiebalk. Het icoontje leidt naar een klein, intuïtief instellingsmenuutje.

De enige functie die meer uitleg vergt is de Clear-knop. Daarmee kunt u de gegevens in de gevirtualiseerde browser zelf verwijderen, voordat ForceField dat zelf doet. Die optie heeft zowel een voordeel als een nadeel voor een systeem als deze, want het is een cirkelredenering om het gebruikers te laten uitmaken wanneer gevirtualiseerde omgevingen teruggezet worden. Immers, als een gebruiker consistent weet dat hij of zij bloot staat aan malware, dan zou de virtuele zandbak helemaal niet meer nodig zijn.

ForceField kan redelijk bepalen wat gehouden moet worden, en wat niet. Maar hij wordt toch nog af en toe in het ootje genomen. Soms worden dingen verwijderd die ik wilde houden, en andersom. De homepage die ik zelf instelde werd bijvoorbeeld consequent door ForceField weer teruggezet, terwijl kwaadaardige installaties met rust werden gelaten.

Wel houdt ForceField veel pogingen van kwaadaardige websites tegen om malware te installeren, al moet ik zeggen dat de eigen boekhouding van het programma een onrealistisch hoog aantal lijkt weer te geven. Zo gaf hij na de eerste zeven bezoekjes aan sites aan 16.000 gevaren te hebben afgevangen, terwijl mijn netwerksniffer er niet meer dan zestig telde. Ik heb geen idee hoe ForceField het aantal risico's telt. Daar komt bij dat ForceField het vaak liet bij een waarschuwing dat ik geen vertrouwelijke informatie op een site moet achterlaten, terwijl die site in feite probeerde om malware op mijn systeem te krijgen en mij helemaal niet vroeg om persoonsgegevens.

ForceField liet ook flink wat glippen op momenten dat er overduidelijk malware werd geïnstalleerd. Een van de rootkits kon zich op het systeem nestelen als service, terwijl andere malware erin kwamen via omgebouwde multimediabestanden. Het installeren van de meeste browseraddons was geen probleem, maar gewone languagepacks werden wel weer tegengehouden. De werking van ForceField gaat flink ten koste van de prestaties van de browser, die dikwijls vastgelopen leek of aan de gang moest worden geschopt met de 'Reload' knop om een pagina in zijn geheel te laden.

ForceField heeft een paar interessante functies. Zo is er de Private Browser functie, die cookies blokkeert en ervoor zorgt dat er geen lokale gegevens worden achtergelaten. U kunt ook een aparte onbeveiligde sessie starten. ForceField is niet heel geschikt voor binnen de kantoormuren, omdat beheeropties voor bedrijfsomgevingen, gedetailleerde logs en rapportages en elke vorm van modulariteit ontbreken.

ForceField is wel een goede aanvulling op ZoneAlarm Firewall. Het programma slaagt erin om meer te blokkeren dan als ZoneAlarm op zichzelf zou staan. Tegelijkertijd blokkeerde de firewall dingen die ForceField liet glippen. Zo weerhoudt de Firewall alsnog geinstalleerde malware ervan om naar huis te bellen, en wist het zelfs te waarschuwen voor bedreigingen die ForceField niet had gezien.

Maar helaas zegt het eigenlijk genoeg dat ForceField minder effectief was dan een volledig XP SP3 met IE7 waarbij alle nieuwe patches netjes zijn uitgevoerd. Ik ontdekte dat met zo een systeem alle pogingen tot downloaden van kwaadaardige programma's werden onderschept, en dat is een stuk beter dan een ongepatchet systeem met ForceField. Wellicht kan het bescherming bieden tegen 0-day exploits, en zelfs in mijn beperkte tests bleek dat de waarschuwingssignalen verscherpt zijn. Maar op zichzelf bood het geen extra veiligheid.

ZoneAlarm ForceField presteert met zijn functies voor antispyware en antiphishing iets hoger dan gemiddeld, vergeleken met andere zandbakapplicaties. Maar geen enkel product van dit type kan genoeg bescherming bieden om mijn aanbeveling te krijgen.

Bron: Techworld