6Sep
Sandboxing je važna sigurnosna tehnika koja izolira programe, sprječavajući zlonamjerne ili neispravne programe da oštećuju ili njuškaju na ostatak računala. Softver koji upotrebljavate već je sandboxing velik dio koda koji pokrećete svaki dan.
Također možete izraditi vlastite sandboxe za testiranje ili analizu softvera u zaštićenom okruženju gdje nećete moći štetiti ostatku vašeg sustava.
Kako su sandboxovi bitni za sigurnost
Sandbox je čvrsto kontrolirana okolina u kojoj se programi mogu izvoditi. Sandboxovi ograničavaju što dio koda može učiniti, dajući mu isto toliko dozvola koliko je potrebno bez dodavanja dodatnih dozvola koje bi mogle biti zlostavljane.
Na primjer, vaš web preglednik u biti pokreće web stranice koje posjećujete u sandboxu. Ograničeni su na prikazivanje u vašem pregledniku i pristup ograničenom skupu resursa - ne mogu pregledavati web-kameru bez dozvole ili čitati lokalne datoteke vašeg računala. Ako web stranice koje posjećujete nisu bile pješčano i izolirane od ostatka vašeg sustava, posjetite zlonamjerne web stranice jednako je loše kao instaliranje virusa.
Ostali programi na vašem računalu također su sandboxed. Na primjer, Google Chrome i Internet Explorer istovremeno se izvode u pješčaniku. Ovi preglednici su programi koji se izvode na vašem računalu, ali nemaju pristup cijelom računalu. Pokreću se u načinu slabog dopuštenja.Čak i ako je web stranica pronašla sigurnosnu ranjivost i uspjela preuzeti kontrolu nad preglednikom, tada bi trebala pobjeći iz sandboxa preglednika radi stvarne štete. Pokretanjem web preglednika s manje dozvola dobivamo sigurnost. Nažalost, Mozilla Firefox još uvijek ne radi u pješčaniku.
Što se već boji sandboxed
Većina koda vaših uređaja koji rade svaki dan već je sandboxed za vašu zaštitu:
- Web stranice : Vaš preglednik u suštini pokriva web stranice koje se učitava. Web stranice mogu pokrenuti JavaScript kôd, ali ovaj kôd ne može učiniti ništa što želi - ako JavaScript kôd pokušava pristupiti lokalnoj datoteci na vašem računalu, zahtjev neće uspjeti.
- Sadržaj dodatka preglednika : Sadržaj učitan pomoću dodataka preglednika - kao što su Adobe Flash ili Microsoft Silverlight - također se izvodi u sandboxu. Igranje flash igre na web stranici je sigurnije nego preuzeti igru i prikazivati ga kao standardni program, jer Flash izolira igru od ostatka vašeg sustava i ograničava ono što može. Plug-ini preglednika, osobito Java, česta su meta napada koji koriste sigurnosne ranjivosti kako bi izbjegli ovaj sandbox i oštetili.
- PDF i ostali dokumenti : Adobe Reader sada pokreće PDF datoteke u pješčaniku, sprečavajući ih da izbjegavaju preglednik PDF-a i neovlašteno se pomiču s ostatkom vašeg računala. Microsoft Office također ima način rada za pješčanu mrežu kako bi spriječio nesigurne makronaredbe na štetu vašeg sustava.
- Preglednici i ostale potencijalno ranjive aplikacije : Web preglednici pokreću se u niskim dozvolama u modu sandboxed kako bi se osiguralo da oni ne mogu učiniti mnogo štete ako su ugrožena:
- Mobile Apps : Mobilne platforme pokreću svoje aplikacije u sandboxu. Aplikacije za iOS, Android i Windows 8 ograničene su na činjenicu da mnoge stvari koje standardni desktop aplikacije mogu učiniti. Moraju proglasiti dozvole ako žele učiniti nešto poput pristupa vašoj lokaciji. Zauzvrat, dobivamo određenu sigurnost - pješčani sanduk također izolira aplikacije jedni od drugih pa se ne mogu međusobno miješati.
- Windows programi : Kontrola korisničkih računa funkcionira kao malo pješčanika, bitno ograničavajući Windows aplikacije za stolna računala od mijenjanja datoteka sustava bez da vam prvo zatraže dopuštenje. Imajte na umu da je to vrlo minimalna zaštita - bilo koji Windows desktop program bi mogao odabrati sjedenje u pozadini i prijaviti sve svoje tipke, na primjer. Kontrola korisničkog računa ograničava samo pristup datotekama sustava i postavkama sustava.
Kako pješčano rublje bilo koji program
Desktop programi nisu općenito sandboxed po defaultu. Naravno, tu je UAC - ali kao što smo već spomenuli, to je vrlo minimalno sandboxing. Ako želite testirati program i pokrenuti ga, a da ne biste mogli ometati ostatak vašeg sustava, možete pokrenuti bilo koji program u pješčaniku.
- Virtualni strojevi : Virtualni strojni program poput VirtualBox ili VMware stvara virtualne hardverske uređaje koji koriste za pokretanje operativnog sustava. Drugi operativni sustav pokreće se u prozoru na radnoj površini. Ovaj cijeli operacijski sustav bitno je sandbox, jer nema pristup ništa izvan virtualnog stroja. Možete instalirati softver na virtualizirani operacijski sustav i pokrenuti taj softver kao da radi na standardnom računalu. Tako ćete, primjerice, instalirati zlonamjerni softver i analizirati ga - ili jednostavno instalirati program i vidjeti je li nešto loše. Programi za virtualni stroj također sadrže značajke snimke tako da možete "vratiti" vaš operativni sustav gostu u stanje u kojemu je bio prije instaliranja lošeg softvera.
- Sandboxie : Sandboxie je Windows program koji stvara sandboxe za Windows aplikacije. Izrađuje izolirane virtualne okoline za programe, sprečavajući ih da učine trajne promjene na vašem računalu. To može biti korisno za testiranje softvera. Više pojedinosti potražite u našem uvodu u Sandboxie.
Sandboxing nije nešto što se treba brinuti za prosječnog korisnika. Programi koje upotrebljavate ne rade u sandboxingu u pozadini kako bi vas zaštitili. Međutim, trebali biste imati na umu što je sandboxed, a što nije - to je razlog zašto je sigurno učitavanje bilo koje web stranice nego pokrenuti bilo koji program.
Međutim, ako želite postaviti standardni desktop program koji inače ne bi bio sandboxed, možete to učiniti jednim od gore navedenih alata.