6Sep
Sandboxing é uma técnica de segurança importante que isola programas, evitando que programas mal-intencionados ou com defeito danificem ou espancem no resto do seu computador. O software que você usa já é sandboxing muito do código que você usa todos os dias.
Você também pode criar caixas de areia próprias para testar ou analisar software em um ambiente protegido onde não poderá causar nenhum dano ao resto do seu sistema.
Como as caixas de areia são essenciais para a segurança
Uma caixa de areia é um ambiente bem controlado onde os programas podem ser executados. As caixas de areia restringem o que um pedaço de código pode fazer, dando-lhe tantas permissões quanto precisa sem adicionar permissões adicionais que possam ser abusadas.
Por exemplo, seu navegador essencialmente executa páginas da web que você visita em uma caixa de areia. Eles estão restritos a correr em seu navegador e acessar um conjunto limitado de recursos - eles não podem visualizar sua webcam sem permissão ou ler os arquivos locais do seu computador. Se os sites que você visita não fossem armazenados em sandbox e isolados do resto do seu sistema, visitar um site mal-intencionado seria tão ruim quanto instalar um vírus.
Outros programas em seu computador também são caixa de areia. Por exemplo, o Google Chrome e o Internet Explorer são executados em uma caixa de areia. Esses navegadores são programas em execução no seu computador, mas eles não têm acesso ao seu computador inteiro. Eles correm em um modo de baixa permissão. Mesmo que a página da Web encontrou uma vulnerabilidade de segurança e conseguisse assumir o controle do navegador, então teria que escapar da caixa de proteção do navegador para causar danos reais. Ao executar o navegador da Web com menos permissões, ganhamos segurança. Infelizmente, o Mozilla Firefox ainda não funciona em uma caixa de areia.
O que já está sendo Sandboxed
Grande parte do código que seus dispositivos funcionam todos os dias já está protegido para sua proteção:
- Páginas da Web : Seu navegador essencialmente limpa as páginas da web que ele carrega. As páginas da Web podem executar código JavaScript, mas esse código não pode fazer nada que desejar - se o código JavaScript tentar acessar um arquivo local em seu computador, a solicitação falhará.
- Conteúdo do plug-in do navegador : O conteúdo carregado pelos plug-ins do navegador, como o Adobe Flash ou o Microsoft Silverlight, também é executado em uma caixa de areia. Jogar um jogo flash em uma página da web é mais seguro do que baixar um jogo e executá-lo como um programa padrão porque o Flash isola o jogo do resto do seu sistema e restringe o que pode fazer. Os plug-ins do navegador, em particular o Java, são um alvo freqüente de ataques que usam vulnerabilidades de segurança para escapar deste sandbox e causar danos.
- PDFs e outros documentos : o Adobe Reader agora executa arquivos PDF em uma caixa de areia, impedindo que eles escapem do visualizador de PDF e adulteram o resto do seu computador. O Microsoft Office também possui um modo sandbox para impedir que macros inseguras prejudiquem seu sistema. Navegadores
- e outras aplicações potencialmente vulneráveis : navegadores da Web executados em modo de permissão reduzida e sandbox para garantir que não possam causar muito dano se estiverem comprometidos:
- Mobile Apps : as plataformas móveis executam seus aplicativos em uma caixa de areia. Os aplicativos para iOS, Android e Windows 8 estão restritos ao fazer muitas das coisas que os aplicativos de desktop padrão podem fazer. Eles têm que declarar permissões se quiserem fazer algo como acessar sua localização. Em troca, ganhamos alguma segurança - a caixa de areia também isola aplicativos uns dos outros, para que eles não possam manipular uns aos outros.
- Programas do Windows : funções de controle de conta de usuário como um bit de uma caixa de areia, restringindo essencialmente os aplicativos de desktop do Windows de modificar arquivos do sistema sem primeiro pedir permissão. Observe que esta é uma proteção muito mínima - qualquer programa de desktop do Windows pode optar por se sentar em segundo plano e registrar todas as suas teclas, por exemplo. O Controle de Conta de Usuário restringe o acesso aos arquivos do sistema e às configurações do sistema.
How to Sandbox Any Program Os programas de desktop
geralmente não são bloqueados por padrão. Claro, há UAC - mas, como mencionamos acima, é um sandboxing muito mínimo. Se você quiser testar um programa e executá-lo sem que ele possa interferir com o resto do seu sistema, você pode executar qualquer programa em uma caixa de areia.
- Máquinas virtuais : um programa de máquina virtual como VirtualBox ou VMware cria dispositivos de hardware virtual que ele usa para executar um sistema operacional. O outro sistema operacional é executado em uma janela em sua área de trabalho. Todo esse sistema operacional é essencialmente caixa de areia, pois não tem acesso a qualquer coisa fora da máquina virtual. Você poderia instalar o software no sistema operacional virtualizado e executar esse software como se estivesse executando em um computador padrão. Isso permitiria que você instalasse malware e analisasse, por exemplo - ou simplesmente instale um programa e veja se ele faz algo ruim. Os programas de máquinas virtuais também contêm recursos de instantâneo para que você possa "reverter" seu sistema operacional convidado para o estado em que estava antes de instalar o software ruim.
- Sandboxie : Sandboxie é um programa do Windows que cria sandboxes para aplicativos do Windows. Ele cria ambientes virtuais isolados para programas, impedindo que eles façam mudanças permanentes em seu computador. Isso pode ser útil para testes de software. Consulte nossa introdução ao Sandboxie para obter mais detalhes.
O Sandboxing não é algo sobre o qual o usuário médio precisa se preocupar. Os programas que você usa fazem o trabalho do sandboxing em segundo plano para mantê-lo seguro. No entanto, você deve ter em mente o que é sandbox e o que não é - é por isso que é mais seguro carregar qualquer site do que executar qualquer programa.
No entanto, se você quiser sandbox, um programa de desktop padrão que normalmente não seria caixa de areia, você pode fazê-lo com uma das ferramentas acima.