6Sep
Sandboxing er en vigtig sikkerhedsteknik, der isolerer programmer, hvilket forhindrer skadelige eller funktionsdygtige programmer i at beskadige eller snooping på resten af computeren. Den software, du bruger, sandboxer allerede meget af koden du kører hver dag.
Du kan også oprette sandkasser selv til at teste eller analysere software i et beskyttet miljø, hvor det ikke vil kunne skade skade på resten af dit system.
Hvordan sandkasser er afgørende for sikkerhed
En sandkasse er et tæt kontrolleret miljø, hvor programmer kan køres. Sandkasser begrænser, hvad et stykke kode kan gøre, hvilket giver det lige så mange tilladelser som det behøver uden at tilføje yderligere tilladelser, der kan misbruges.
For eksempel kører din webbrowser i det væsentlige websider, du besøger i en sandkasse. De er begrænset til at køre i din browser og har adgang til et begrænset antal ressourcer - de kan ikke se dit webcam uden tilladelse eller læse computerens lokale filer. Hvis websteder, du besøger, ikke var sandboxede og isolerede fra resten af dit system, ville det være lige så slemt at besøge et ondsindet websted som at installere en virus.
Andre programmer på din computer er også sandboxed. For eksempel kører Google Chrome og Internet Explorer både i en sandkasse selv. Disse browsere er programmer, der kører på din computer, men de har ikke adgang til hele din computer. De kører i lav tilladelse tilstand. Selvom websiden fandt en sikkerhedsproblemer og formåede at tage kontrol over browseren, ville den så skulle undslippe browserens sandkasse for at gøre reel skade. Ved at køre webbrowseren med færre tilladelser får vi sikkerhed. Desværre løber Mozilla Firefox stadig ikke i en sandkasse.
Hvad er der allerede Sandboxed
Meget af den kode, dine enheder kører hver dag, er allerede sandkassen til din beskyttelse:
- websider : Din browser sætter i sandhed de websider, den laster. Websider kan køre JavaScript-kode, men denne kode kan ikke gøre alt, hvad det vil - hvis JavaScript-kode forsøger at få adgang til en lokal fil på din computer, vil anmodningen mislykkes.
- Browser Plug-in Content : Indhold, der er indlæst af browser plug-ins - som Adobe Flash eller Microsoft Silverlight - køres også i en sandkasse. At spille et flash spil på en webside er sikrere end at downloade et spil og køre det som et standardprogram, fordi Flash isolerer spillet fra resten af dit system og begrænser hvad det kan gøre. Browser plugin-moduler, især Java, er et hyppigt mål for angreb, der bruger sikkerhedsproblemer for at undslippe denne sandkasse og gøre skade.
- -PDF'er og andre dokumenter : Adobe Reader kører nu PDF-filer i en sandkasse, hvorved de forhindrer dem i at slippe ud af PDF-fremviseren og manipulere med resten af computeren. Microsoft Office har også en sandbox-tilstand, der forhindrer usikre makroer i at skade dit system.
- Browsere og andre potentielt sårbare programmer : Webbrowsere kører i tilstand med lav tilladelse, sandbox, for at sikre, at de ikke kan gøre meget skade, hvis de er kompromitteret:
- Mobile Apps : Mobil platforme kører deres apps i en sandkasse. Apps til iOS, Android og Windows 8 er begrænset fra at gøre mange af de ting, som standard desktop applikationer kan gøre. De skal erklære tilladelser, hvis de ønsker at gøre noget som adgang til din placering. Til gengæld får vi en vis sikkerhed - sandkassen isolerer også apps fra hinanden, så de ikke kan manipulere med hinanden.
- Windows-programmer : Brugerkonto Kontrolfunktioner som en del af en sandkasse, der i det væsentlige begrænser Windows desktop-applikationer fra at ændre systemfiler uden først at bede dig om tilladelse. Bemærk, at dette er meget minimal beskyttelse - ethvert Windows desktop program kunne vælge at sidde i baggrunden og logge alle dine tastetryk, for eksempel. Brugerkontokontrol begrænser kun adgang til systemfiler og systemindstillinger.
Sådan sandkasses ethvert program
Desktop-programmer er normalt ikke sandboxed som standard. Sikker på, at der er UAC - men som vi nævnte ovenfor, er det meget minimal sandboxing. Hvis du vil teste et program og køre det uden at kunne interferere med resten af dit system, kan du køre ethvert program i en sandkasse.
- Virtuelle maskiner : Et virtuelt maskinprogram som VirtualBox eller VMware opretter virtuelle hardwareenheder, som den bruger til at køre et operativsystem. Det andet operativsystem kører i et vindue på dit skrivebord. Hele dette operativsystem er i det væsentlige sandkasse, da det ikke har adgang til noget uden for den virtuelle maskine. Du kan installere software på det virtualiserede operativsystem og køre den software som om den kørte på en standard computer. Dette vil tillade dig at installere malware og analysere det, for eksempel - eller bare installer et program og se om det gør noget dårligt. Virtuelle maskinprogrammer indeholder også snapshot-funktioner, så du kunne "rulle" dit gæstesystem til den tilstand, den var i, inden du installerede den dårlige software.
- Sandboxie : Sandboxie er et Windows-program, der skaber sandkasser til Windows-applikationer. Det skaber isolerede virtuelle miljøer til programmer, hvilket forhindrer dem i at foretage permanente ændringer på din computer. Dette kan være nyttigt til test af software. Se vores introduktion til Sandboxie for flere detaljer.
Sandboxing er ikke noget, som den gennemsnitlige bruger har brug for at bekymre sig om. De programmer, du bruger, gør sandboxarbejdet i baggrunden for at holde dig sikker. Du skal dog huske på, hvad der er sandboxet og hvad der ikke er - derfor er det mere sikkert at indlæse nogen hjemmeside end at køre et program.
Hvis du imidlertid vil sandkasse et standard desktopprogram, der normalt ikke vil være sandboxet, kan du gøre det med et af ovenstående værktøjer.