Nisipurile explicate cum vă protejează deja și cum puteți să faceți orice program în Sandbox
Sandboxing-ul este o tehnică importantă de securitate care izolează programele, împiedicând programele dăunătoare sau defectuoase să deterioreze sau să sune pe restul computerului. Software-ul pe care îl utilizați este deja cu mult mai mare decât codul pe care îl executați în fiecare zi.
Puteți, de asemenea, să creați propriile dvs. sandbox-uri pentru a testa sau analiza software-ul într-un mediu protejat, în care acesta nu va putea să deterioreze restul sistemului.
Cum sunt nisipurile esențiale pentru securitate
O cutie de nisip este un mediu bine controlat unde pot fi difuzate programe. Sandboxurile restricționează ceea ce poate face o bucată de cod, oferindu-i la fel de multe permisiuni de care are nevoie fără a adăuga permisiuni suplimentare care ar putea fi abuzate.
De exemplu, browserul dvs. web rulează, în esență, paginile web pe care le vizitați într-o cutie de nisip. Acestea sunt restricționate să ruleze în browserul dvs. și să acceseze un set limitat de resurse - nu vă pot vizualiza camera web fără permisiune sau puteți citi fișierele locale ale computerului. Dacă site-urile web pe care le vizitați nu au fost cutie de nisip și izolate de restul sistemului dvs., vizitarea unui site web rău intenționat ar fi la fel de rău ca instalarea unui virus.
Alte programe de pe computer sunt de asemenea sandboxed. De exemplu, Google Chrome și Internet Explorer rulează într-o cutie de nisip. Aceste browsere sunt programe care rulează pe computer, dar nu au acces la întregul computer. Ele rulează într-un mod de permisiune redusă. Chiar dacă pagina web a găsit o vulnerabilitate de securitate și a reușit să preia controlul asupra browserului, atunci ar fi trebuit să scape din spațiul de lucru al browserului pentru a face pagube reale. Prin rularea browserului web cu mai puține permisiuni, obținem securitate. Din păcate, Mozilla Firefox încă nu rulează într-o cutie de nisip.
Ce e deja cu sandbox-uri
O mare parte din codul pe care dispozitivele dvs. îl rulează în fiecare zi este deja protejat cu sandbox-uri pentru protecția dvs.:
- Pagini web: Browser-ul dvs. în esență sandboxes paginile web se încarcă. Paginile Web pot rula codul JavaScript, dar acest cod nu poate face orice vrea - dacă codul JavaScript încearcă să acceseze un fișier local pe computerul dvs., cererea va eșua.
- Conținutul plug-in pentru browser: Conținutul încărcat de plug-in-uri de browser - cum ar fi Adobe Flash sau Microsoft Silverlight - se execută și într-un sandbox. Redarea unui joc flash pe o pagină web este mai sigură decât descărcarea unui joc și difuzarea acestuia ca program standard, deoarece Flash izolează jocul de restul sistemului dvs. și restricționează ceea ce poate face. Plugin-urile browser-ului, în special Java, reprezintă o țintă frecventă a atacurilor care folosesc vulnerabilități de securitate pentru a scăpa de această nisip și a face daune.
- PDF-uri și alte documente: Adobe Reader rulează acum fișiere PDF într-o cutie de nisip, împiedicându-le să scape de vizualizatorul PDF și să manipuleze restul computerului. Microsoft Office are, de asemenea, un mod sandbox pentru a împiedica macro-urile nesigure să vă afecteze sistemul.
- Browsere și alte aplicații potențial vulnerabile: Browserele Web se execută în mod redus, în modul sandboxed, pentru a se asigura că nu pot face mari daune dacă sunt compromise:
- Aplicații pentru mobil: Platformele mobile rulează aplicațiile lor într-o cutie de nisip. Aplicațiile pentru iOS, Android și Windows 8 sunt restricționate de a face multe dintre lucrurile pe care aplicațiile desktop standard le pot face. Trebuie să declare permisiuni dacă doresc să facă ceva ca accesul la locația dvs. În schimb, obținem o anumită securitate - sandbox-ul izola și aplicațiile unii de la ceilalți, astfel încât să nu se poată manipula între ei.
- Programe Windows: Contul de control al utilizatorului funcționează ca un pic de nisip, restricționând în mod esențial aplicațiile Windows desktop de modificarea fișierelor de sistem fără a vă cere mai întâi permisiunea. Rețineți că aceasta este o protecție foarte minimă - orice program de desktop Windows ar putea alege să stea în fundal și să înregistreze toate intrările de la tastatură, de exemplu. Controlul contului de utilizator restricționează doar accesul la fișierele de sistem și setările la nivel de sistem.
Cum la Sandbox Orice program
Programele desktop nu sunt în general sandboxed în mod implicit. Sigur, există UAC - dar, așa cum am menționat mai sus, este foarte puțin sandboxing. Dacă doriți să testați un program și să îl rulați fără a fi capabil să interfereze cu restul sistemului dvs., puteți rula orice program într-o cutie de nisip.
- Mașini virtuale: Un program virtual de mașină, cum ar fi VirtualBox sau VMware, creează dispozitive hardware virtuale pe care le utilizează pentru a rula un sistem de operare. Celălalt sistem de operare rulează într-o fereastră de pe desktop. Întregul sistem de operare este în esență sandboxed, deoarece nu are acces la nimic în afara mașinii virtuale. Puteți instala software în sistemul de operare virtualizat și puteți rula acel software ca și cum ar fi rulat pe un computer standard. Acest lucru vă va permite să instalați programe malware și să le analizați, de exemplu - sau să instalați doar un program și să vedeți dacă se întâmplă ceva rău. Programele de mașină virtuală conțin, de asemenea, caracteristici instantanee, astfel încât să puteți "revoca" sistemul de operare invitat în starea în care se afla înainte de a instala software-ul rău.
- Sandboxie: Sandboxie este un program Windows care creează sandbox-uri pentru aplicațiile Windows. Creează medii virtuale izolate pentru programe, împiedicându-le să facă schimbări permanente în computer. Acest lucru poate fi util pentru testarea software-ului. Consultați introducerea noastră la Sandboxie pentru mai multe detalii.
Sandboxing-ul nu este ceva ce trebuie să vă faceți griji pentru utilizatorul mediu. Programele pe care le utilizați fac sandboxing-ul în fundal pentru a vă menține în siguranță. Cu toate acestea, trebuie să aveți în vedere ceea ce este sandboxed și ceea ce nu este - de aceea este mai sigur să încărcați orice site decât să executați orice program.
Cu toate acestea, dacă doriți să sandbox un program de desktop standard, care în mod normal nu ar fi sandboxed, o puteți face cu unul dintre instrumentele de mai sus.