Вы также можете создавать собственные изолированные программы для тестирования или анализа программного обеспечения в защищенной среде, где он не сможет нанести ущерб остальной части вашей системы.
Как песочницы необходимы для безопасности
Песочница - это жестко контролируемая среда, в которой программы могут быть запущены. Песочницы ограничивают то, что может сделать часть кода, предоставляя ему столько же разрешений, сколько требуется, не добавляя дополнительных разрешений, которые можно было бы злоупотреблять.
Например, ваш веб-браузер, по сути, запускает веб-страницы, которые вы просматриваете в песочнице. Они ограничены работой в вашем браузере и доступом к ограниченному набору ресурсов - они не могут просматривать вашу веб-камеру без разрешения или читать локальные файлы вашего компьютера. Если веб-сайты, которые вы посещали, не были изолированы и изолированы от остальной части вашей системы, посещение вредоносного веб-сайта будет таким же плохим, как установка вируса.
Другие программы на вашем компьютере также изолированы. Например, Google Chrome и Internet Explorer работают в песочнице самостоятельно. Эти браузеры - это программы, запущенные на вашем компьютере, но у них нет доступа ко всему компьютеру. Они работают в режиме с низким разрешением. Даже если веб-страница обнаружила уязвимость безопасности и ей удалось управлять браузером, ей пришлось бы избежать песочницы браузера, чтобы нанести реальный урон. Запустив веб-браузер с меньшим количеством разрешений, мы получим безопасность. К сожалению, Mozilla Firefox все еще не работает в изолированной программной среде.
Что уже делается в песочнице
Большая часть кода, который ваши устройства запускают каждый день, уже изолирована для вашей защиты:
- Интернет страницы: Ваш браузер в основном изолирует загруженные веб-страницы. Веб-страницы могут запускать код JavaScript, но этот код не может ничего сделать, если код JavaScript пытается получить доступ к локальному файлу на вашем компьютере, запрос не удастся.
- Содержимое подключаемого модуля для браузера: Содержимое, загруженное плагинами браузера, например Adobe Flash или Microsoft Silverlight, также запускается в песочнице. Воспроизведение флеш-игры на веб-странице безопаснее, чем загрузка игры и запуск ее в качестве стандартной программы, поскольку Flash изолирует игру от остальной части вашей системы и ограничивает то, что она может делать. Плагины браузера, особенно Java, часто становятся жертвами атак, которые используют уязвимости безопасности для выхода из этой песочницы и нанесения урона.
- PDF-файлы и другие документы: Adobe Reader теперь запускает PDF-файлы в изолированной программной среде, не позволяя им избежать просмотра PDF-файлов и вмешиваться в работу остальной части вашего компьютера. Microsoft Office также имеет режим песочницы, чтобы предотвратить небезопасные макросы от вреда вашей системы.
- Браузеры и другие потенциально уязвимые приложения: Веб-браузеры работают в режиме с низким разрешением, в изолированном режиме, чтобы гарантировать, что они не нанесут большого ущерба, если они скомпрометированы:
- Мобильные приложения Мобильные платформы запускают свои приложения в песочнице. Приложения для iOS, Android и Windows 8 ограничены тем, что делают многие вещи, которые могут выполнять стандартные настольные приложения. Они должны объявлять разрешения, если они хотят сделать что-то вроде доступа к вашему местоположению. В свою очередь, мы получаем некоторую безопасность - песочница также изолирует приложения друг от друга, поэтому они не могут вмешиваться друг в друга.
- Программы для Windows: Управление учетными записями пользователей функционирует как небольшая песочница, существенно ограничивающая настольные приложения Windows от изменения системных файлов без предварительного запроса разрешения. Обратите внимание, что это минимальная защита - любая настольная программа Windows может выбрать сидение в фоновом режиме и, например, записывать все ваши нажатия клавиш. Контроль учетных записей пользователей ограничивает доступ к системным файлам и общесистемным настройкам.
Как песочница Любая программа
По умолчанию программы для рабочего стола обычно не изолированы. Конечно, есть UAC, но, как мы уже упоминали выше, это очень минимальная песочница. Если вы хотите протестировать программу и запустить ее без возможности вмешательства в остальную часть вашей системы, вы можете запускать любую программу в изолированной программной среде.
Виртуальные машины: Виртуальная машина, такая как VirtualBox или VMware, создает виртуальные аппаратные устройства, которые она использует для запуска операционной системы. Другая операционная система работает в окне на вашем рабочем столе. Вся эта операционная система по существу изолирована песочницей, так как она не имеет доступа ни к чему, кроме виртуальной машины. Вы можете установить программное обеспечение в виртуализованной операционной системе и запустить это программное обеспечение, как если бы оно выполнялось на стандартном компьютере. Это позволит вам установить вредоносное ПО и проанализировать его, например, или просто установить программу и посмотреть, не делает ли она что-то плохое. Программы виртуальных машин также содержат функции моментальных снимков, поэтому вы можете «откатить» гостевую операционную систему до состояния, в котором оно было, до того, как вы установили плохое программное обеспечение.
Sandboxie: Sandboxie - это программа для Windows, которая создает песочницы для приложений Windows. Он создает изолированные виртуальные среды для программ, не позволяя им делать постоянные изменения на вашем компьютере. Это может быть полезно для тестирования программного обеспечения. Дополнительную информацию см. В нашем введении в Sandboxie.
Песочница - это не то, о чем должен беспокоиться средний пользователь. Программы, которые вы используете, выполняют песочницу в фоновом режиме, чтобы защитить вас. Однако вы должны иметь в виду, что такое песочница, а что нет - поэтому безопаснее загружать любой сайт, чем запускать любую программу.
Однако, если вы хотите, чтобы в песочнице была стандартная настольная программа, которая обычно не была бы изолирована, вы можете сделать это с помощью одного из указанных выше инструментов.