Portable applicaties en systemen zijn groot risico

De opkomst van het gebruik van portable applicaties introduceren nieuwe bedreigingen en daarmee beveiligingsrisico’s. Software die portabiliteit mogelijk maakt is bijvoorbeeld U3-software, PortableApps.com en VMware ThinApp. Dit soort software maakt het mogelijk om applicaties op het bedrijfsnetwerk te gebruiken die op basis van bedrijfsbeleid of applicatieportfolio normaliter niet ter beschikking worden gesteld aan gebruikers of zelfs expliciet niet zijn toegestaan.

De mate van beveiligingsrisico van portable applicaties wordt mede bepaald door het type applicatie dat portable beschikbaar is. Portable varianten zijn er bijvoorbeeld van een internetbrowser als Mozilla Firefox, een kladblok als Notepad++ en een chatprogramma als aMSN. Het gebruik van dit soort applicaties kan weliswaar niet wenselijk zijn, bijvoorbeeld vanuit de optiek van licentiemanagement of vanwege de kans op non-productiviteit, maar potentiële schade aan de betrouwbaarheid van de informatievoorziening blijft te overzien.

Het grotere risico schuilt in de beschikbaarheid van systeemapplicaties in portable vorm. Waarbij wel nog onderscheid moet worden gemaakt tussen het ene en andere type systeemapplicatie. Een portable variant van een FTP-applicatie (FileZilla Portable) voor het overzetten van bestanden of van een SSH shell (PuTTY Portable) voor beheer op afstand is nog redelijk beheersbaar. De netwerkprotocollen, respectievelijk FTP en SSH, die deze applicaties gebruiken kunnen namelijk op netwerkniveau al worden geblokkeerd. Weliswaar kunnen deze applicaties dan opgestart worden vanaf het portable dataopslagapparaat, maar bruikbaar zijn ze niet.

Het risico zit vooral in portable varianten van systeemapplicaties zoals poortscanners (Nmap), kwetsbaarhedenscanners (Nessus), exploit tools (MetaSploit) en netwerksniffers (WireShark). Vooralsnog is de functionaliteit van dit soort applicaties in portable applicatievorm beperkt. Dit komt omdat dit type applicaties beheerbevoegdheden nodig heeft om het onderliggende host-besturingssysteem aan te spreken om de volledige functionaliteit te bieden.

Dus tot nog toe is het beveiligingsrisico geweken? Helaas is het antwoord hierop ontkennend. In plaats van alleen de applicatie portable te maken kan ook een geheel besturingssysteem inclusief applicaties portable worden gemaakt, ook wel een portable systeem genoemd. Hiermee wordt de beperking dat de applicaties het host-besturingssysteem nodig hebben om de volledige functionaliteit te bieden, omzeild. Met een portable systeem heeft een gebruiker (zonder beheerbevoegdheden voor zijn pc) alle applicaties voorhanden die nodig zijn om toegang te krijgen tot systemen waarvoor hij niet is geautoriseerd. Het principe van een portable systeem kan eenvoudig worden uitgelegd door een parallel te trekken met virtualisatie (zie kader).

Bieden conventionele beveiligingsmaatregelen bescherming tegen misbruik via portable systemen?
Tot de eerste set maatregelen om ongeautoriseerde applicaties op het bedrijfsnetwerk tegen te gaan behoort: