Sandboxing-ul este o tehnică importantă de securitate care izolează programele, împiedicând programele rău intenționate sau defecțiunile să dăuneze sau să sune pe restul computerului. Software-ul pe care îl utilizați este deja un joc cu sandbox-uri pentru codul pe care îl executați în fiecare zi.
De asemenea, puteți să creați propriile dvs. sandbox-uri pentru a testa sau analiza software-ul într-un mediu protejat, în care nu va putea afecta restul sistemului dvs.
Cum sunt sandbox-urile esențiale pentru securitate
O cutie de nisip este un mediu bine controlat unde pot fi difuzate programe. Sandboxurile restricționează ceea ce poate face o bucată de cod, oferindu-i la fel de multe permisiuni de care are nevoie fără a adăuga permisiuni suplimentare care ar putea fi abuzate.
De exemplu, browserul dvs. web rulează, în esență, paginile web pe care le vizitați într-un spațiu de nisip. Acestea sunt restricționate să ruleze în browserul dvs. și să acceseze un set limitat de resurse - nu vă pot vizualiza camera Web fără permisiune sau nu puteți citi fișierele locale ale computerului. Dacă site-urile web pe care le vizitați nu au fost cutie de nisip și izolate de restul sistemului dvs., vizitarea unui site web rău intenționat ar fi la fel de rău ca instalarea unui virus.
Alte programe de pe computer sunt, de asemenea, cutie cu nisip. De exemplu, Google Chrome și Internet Explorer rulează ambele într-o cutie de nisip. Aceste browsere sunt programe care rulează pe computerul dvs., dar nu au acces la întregul computer. Ele rulează într-un mod de permisiune redusă. Chiar dacă pagina web a găsit o vulnerabilitate de securitate și a reușit să preia controlul asupra browserului, atunci ar fi trebuit să scape de la nisipul browser-ului pentru a face pagube reale. Prin rularea browserului web cu mai puține permisiuni, obținem securitate. Din păcate, Mozilla Firefox încă nu rulează într-o cutie de nisip.
Ce e deja cu nisip
O mare parte din codul pe care dispozitivele dvs. îl rulează în fiecare zi este deja protejat cu sandbox-uri pentru protecția dvs.:
- Pagini web: Browser-ul dvs. în esență sandboxes paginile web se încarcă. Paginile Web pot rula cod JavaScript, dar acest cod nu poate face nimic - dacă codul JavaScript încearcă să acceseze un fișier local pe computer, cererea va eșua.
- Conținutul plug-in pentru browser: Conținutul încărcat de plug-in-uri de browser - cum ar fi Adobe Flash sau Microsoft Silverlight - se execută și într-o cutie de nisip. Redarea unui joc flash pe o pagină web este mai sigură decât descărcarea unui joc și difuzarea acestuia ca program standard, deoarece Flash izolează jocul de restul sistemului dvs. și restricționează ceea ce poate face. Plugin-urile browser-ului, în special Java, reprezintă o țintă frecventă a atacurilor care folosesc vulnerabilități de securitate pentru a scăpa de această nisip și a face rău.
- PDF-uri și alte documente: Adobe Reader rulează acum fișiere PDF într-o cutie de nisip, împiedicându-le să scape de vizualizatorul PDF și să manipuleze restul computerului. Microsoft Office are, de asemenea, un mod sandbox pentru a împiedica macrocomenzile nesigure să vă dăuneze sistemului.
- Browsere și alte aplicații potențial vulnerabile: Browserele Web se execută în mod redus, în modul sandboxed, pentru a se asigura că nu pot face mari daune dacă sunt compromise:
- Aplicații pentru mobil: Platformele mobile rulează aplicațiile lor într-o cutie de nisip. Aplicațiile pentru iOS, Android și Windows 8 sunt restricționate de a face multe dintre lucrurile pe care aplicațiile desktop standard le pot face. Trebuie să declare permisiuni dacă doresc să facă ceva ca accesarea locației dvs. În schimb, câștigăm o anumită securitate - cutia de nisip izolează de asemenea aplicațiile una de cealaltă, astfel încât să nu se poată manipula între ele.
- Programe Windows: Controlul contului de utilizator funcționează ca un pic de nisip, restricționând în mod esențial aplicațiile desktop Windows de modificarea fișierelor de sistem fără a vă cere mai întâi permisiunea. Rețineți că aceasta este o protecție foarte minimă - orice program de desktop Windows ar putea alege să stea în fundal și să înregistreze toate intrările de la tastatură, de exemplu. Controlul contului de utilizator restricționează doar accesul la fișierele de sistem și la setările la nivel de sistem.
Cum la Sandbox Orice program
Programele desktop nu sunt, în general, cu cutii de tip sandbox în mod implicit. Sigur, există UAC - dar, așa cum am menționat mai sus, este foarte puțin sandboxing. Dacă doriți să testați un program și să îl rulați fără a fi capabil să interfereze cu restul sistemului, puteți rula orice program într-un spațiu de nisip.
- Mașini virtuale: Un program virtual de mașină, cum ar fi VirtualBox sau VMware, creează dispozitive hardware virtuale pe care le utilizează pentru a rula un sistem de operare. Celălalt sistem de operare rulează într-o fereastră de pe desktop. Acest întreg sistem de operare este în esență sandboxed, deoarece nu are acces la nimic în afara mașinii virtuale. Puteți instala software în sistemul de operare virtualizat și puteți rula acel software ca și cum ar fi rulat pe un computer standard. Acest lucru v-ar permite să instalați malware-ul și să îl analizați, de exemplu - sau să instalați doar un program și să vedeți dacă face ceva rău. Programele de mașină virtuală conțin, de asemenea, caracteristici instantanee, astfel încât să puteți "răsturna" sistemul de operare gazdă în starea în care se afla înainte de a instala software-ul rău.
- Sandboxie: Sandboxie este un program Windows care creează sandbox-uri pentru aplicațiile Windows. Creează medii virtuale izolate pentru programe, împiedicându-le să facă schimbări permanente în computer. Acest lucru poate fi util pentru testarea software-ului. Consultați introducerea la Sandboxie pentru mai multe detalii.
Sandboxing-ul nu este ceva de care trebuie să vă îngrijoreze utilizatorul mediu. Programele pe care le utilizați fac munca de nisip în fundal pentru a vă menține în siguranță. Cu toate acestea, ar trebui să aveți în vedere ceea ce este sandboxed și ceea ce nu este - de aceea este mai sigur să încărcați orice site decât să executați orice program.
Cu toate acestea, dacă doriți să sandbox un program de desktop standard care, în mod normal, nu ar fi sandboxed, puteți face acest lucru cu unul dintre instrumentele de mai sus.
