Sandboxing е важна техника за защита, която изолира програмите, като предотвратява злонамерените или неправилно функциониращите програми от увреждане или отвличане на останалата част от компютъра ви. Софтуерът, който използвате, вече е "sandboxing" голяма част от кода, който изпълнявате всеки ден.
Също така можете да създадете свои собствени пясъчници, за да тествате или анализирате софтуера в защитена среда, където няма да може да нанесе щети на останалата част от вашата система.
Как пясъчните кутии са от съществено значение за сигурността
Пясъчната кутия е плътно контролирана среда, където могат да се изпълняват програми. Пясъчните кутии ограничават това, което може да направи част от кода, като му дава толкова много разрешения, колкото е необходимо, без да добавя допълнителни разрешения, които биха могли да бъдат използвани злоумишлено.
Например вашият уеб браузър по същество управлява уеб страници, които посещавате в пясъчника. Те са ограничени да работят във вашия браузър и да имат достъп до ограничен набор от ресурси - те не могат да разглеждат уеб камерата без разрешение или да четат локалните файлове на вашия компютър. Ако уебсайтовете, които посещавате, не са пясъчни и изолирани от останалата част от вашата система, посещението на зловреден уебсайт е толкова лошо, колкото инсталирането на вирус.
Други програми на компютъра ви също са с пясък. Например Google Chrome и Internet Explorer работят сами в пясъчника. Тези браузъри са програми, изпълнявани на вашия компютър, но нямат достъп до целия ви компютър. Те работят в режим с ниска разрешение. Дори ако уеб страницата намери уязвимост за сигурността и успя да поеме контрола над браузъра, то тогава ще трябва да избяга от пясъчната кутия на браузъра, за да направи истинска повреда. Като пускаме уеб браузъра с по-малко разрешения, получаваме сигурност. За съжаление Mozilla Firefox все още не работи в пясъчна кутия.
Какво вече е пясъчно
Голяма част от кода, който устройствата Ви се изпълняват ежедневно, вече е защитена с пясък за защита:
- Уеб страници: Вашият браузър по същество пясъчни кутии на уеб страниците, които зарежда. Уеб страниците могат да изпълняват JavaScript код, но този код не може да направи нищо, което иска - ако JavaScript код се опитва да получи достъп до локален файл на вашия компютър, заявката ще се провали.
- Приложно съдържание за браузъра: Съдържанието, заредено от приставки за браузър - като например Adobe Flash или Microsoft Silverlight - се изпълнява и в пясъчна кутия. Възпроизвеждането на флаш игра на уеб страница е по-безопасно от изтеглянето на игра и нейното изпълнение като стандартна програма, тъй като Flash изолира играта от останалата част от вашата система и ограничава това, което може да направи. Приставките за браузъри, особено Java, са често срещана цел на атаки, които използват уязвимости в сигурността, за да избегнат този пясък и да навредят.
- PDF файлове и други документи: Adobe Reader сега пуска PDF файлове в пясъчника, като им попречи да избягат от PDF Viewer и да се намесват в останалата част от компютъра ви. Microsoft Office също така има режим на пясък, за да предотврати опасните макроси да навредят на вашата система.
- Браузъри и други потенциално уязвими приложения: Уеб браузърите се пускат в режим с ниско разрешение, в пясъчна среда, за да се гарантира, че те не могат да навредят много, ако са компрометирани:
- Мобилни приложения: Мобилните платформи пускат приложенията си в пясъчна кутия. Приложенията за iOS, Android и Windows 8 са ограничени от извършването на много от нещата, които стандартните приложения за настолни компютри могат да направят. Те трябва да декларират разрешения, ако искат да направят нещо като достъп до местоположението ви. В замяна на това придобиваме известна сигурност - пясъчната кутия също изолира приложенията един от друг, така че те не могат да се намесват помежду си.
- Програми на Windows: Контролът на потребителските акаунти функционира като нещо като пясъчна кутия, което по същество ограничава настолните приложения на Windows да променят системните файлове, без да ви помолят първо да ви разрешат. Имайте предвид, че това е много минимална защита - всяка програма за настолни компютри на Windows може да избере да седне на заден план и да регистрира всички натискания на клавиши, например. Контролът на потребителските акаунти просто ограничава достъпа до системните файлове и системните настройки.
Как да Sandbox Всяка програма
Програмите за настолни компютри обикновено не са с пясък по подразбиране. Разбира се, има UAC - но както споменахме по-горе, това е много минимално пясък. Ако искате да изпробвате програма и да я стартирате, без да можете да се намесвате в останалата част от нея, можете да стартирате всяка програма в пясъчна кутия.
- Виртуални машини: Програма за виртуални машини като VirtualBox или VMware създава виртуални хардуерни устройства, които използва, за да стартира операционна система. Другата операционна система работи в прозорец на вашия работен плот. Цялата операционна система е по същество "sandboxed", тъй като няма достъп до нищо извън виртуалната машина. Можете да инсталирате софтуер на виртуализираната операционна система и да стартирате софтуера така, сякаш работи на стандартен компютър. Това ще ви позволи да инсталирате злонамерен софтуер и да го анализирате например - или просто да инсталирате програма и да видите дали това не е нещо лошо. Програмите за виртуални машини съдържат и функции за моментна снимка, така че да можете да върнете своята операционна система за гости в състоянието, в което са били, преди да инсталирате лошия софтуер.
- Sandboxie: Sandboxie е програма за Windows, която създава sandboxes за приложения на Windows. Той създава изолирани виртуални среди за програми, които им пречат да правят постоянни промени в компютъра ви. Това може да бъде полезно за тестване на софтуер. Обърнете се към въведението ни в Sandboxie за повече подробности.
Sandboxing не е нещо, за което обикновеният потребител трябва да се притеснява. Програмите, които използвате, правят "sandboxing" във фонов режим, за да сте сигурни. Трябва обаче да имате предвид, какво е sandboxed и какво не е - затова е по-безопасно да заредите който и да е уебсайт, отколкото да изпълните всяка програма.
Въпреки това, ако искате да sandbox стандартна настолна програма, която обикновено не би била sandboxed, можете да го направите с един от горните инструменти.