6Sep
Peskovnik je pomembna varnostna tehnika, ki izolira programe in prepreči, da bi zlonamerni ali okvari programi poškodovali ali preganjali na preostalem računalniku. Programska oprema, ki jo uporabljate, že večji del kode, ki jo zagnate vsak dan, vsebuje peskovnik.
Prav tako lahko ustvarite lastne peskovnike, da testirate ali analizirate programsko opremo v zaščitenem okolju, kjer ne morete poškodovati preostalega sistema.
Kako so peskalniki bistveni za varnost
Peskovnik je tesno nadzorovano okolje, kjer se lahko izvajajo programi. Peskovniki omejujejo, kaj lahko naredi koda kode, kar ji daje toliko pravic, kot jih potrebuje, ne da bi dodali dodatna dovoljenja, ki bi jih lahko zlorabili.
Na primer, vaš spletni brskalnik v bistvu izvaja spletne strani, ki jih obiščete v peskovniku. Omejene so, da tečejo v vašem brskalniku in dostopajo do omejenega nabora virov - ne morejo si ogledati vaše spletne kamere brez dovoljenja ali prebrati lokalnih datotek računalnika.Če spletna mesta, ki ste jih obiskali, niso bila preobremenjena in izolirana od preostalega sistema, bi bili obiski zlonamerne spletne strani tako slabi kot namestitev virusa.
Drugi programi v računalniku so tudi sandboxed. Na primer, Google Chrome in Internet Explorer se oba izvajata v sami peskovniku. Ti brskalniki so programi, ki se izvajajo v računalniku, vendar nimajo dostopa do vašega celotnega računalnika. Tečejo v načinu z nizkim dovoljenjem. Tudi če je spletna stran našla varnostno ranljivost in je uspela prevzeti nadzor nad brskalnikom, bi morala nato pobegniti v peskovniku brskalnika, da bi naredila resnično škodo. Z zagonom spletnega brskalnika z manj pravicami pridobimo varnost. Na žalost se Mozilla Firefox še vedno ne izvaja v peskovniku.
Kaj je že prazno
Večina kode, ki jih vaše naprave izvajajo vsak dan, je že shranjena za vašo zaščito:
- spletne strani : Vaš brskalnik v bistvu zbira spletne strani, ki jih naloži. Spletne strani lahko izvajajo kodo JavaScript, vendar ta koda ne more storiti ničesar, kar hoče - če koda JavaScript poskusi dostopiti do lokalne datoteke v računalniku, bo zahtevek propadel. : vsebina, ki jo nalagajo vtičnike brskalnika - na primer Adobe Flash ali Microsoft Silverlight - deluje tudi v peskovniku. Igranje flash igre na spletni strani je varnejše od prenosa igre in zagona kot standardnega programa, ker Flash izolira igro iz ostalega sistema in omejuje, kaj lahko naredi. Plugi brskalnika, zlasti Java, so pogosti cilj napadov, ki uporabljajo varnostne ranljivosti, da bi se izognili temu peskovniku in poškodovali.
- PDF-ji in drugi dokumenti : Adobe Reader zdaj izvaja PDF datoteke v peskovniku, s čimer jim preprečuje, da bi ušli iz pregledovalnika PDF in poskušali posegati v preostali del računalnika. V Microsoft Officeu je tudi način peskovnik, ki preprečuje nevarnim makrom, da ne poškodujejo vašega sistema.
- brskalniki in druge potencialno ranljive aplikacije : Spletni brskalniki se izvajajo v načinu z nizkim dovoljenjem, v načinu "peskovnik", da zagotovijo, da ne morejo narediti veliko škode, če so ogroženi:
- Mobile Apps : Mobilne platforme izvajajo svoje aplikacije v peskovniku. Aplikacije za iOS, Android in Windows 8 so omejene, saj lahko naredijo veliko stvari, ki jih lahko naredijo običajne namizne aplikacije. Dati morajo dovoljenja, če želijo storiti nekaj, kot je dostop do vaše lokacije. V zameno dobimo nekaj varnosti - peskovnik tudi ločuje aplikacije drug od drugega, zato se ne morejo posegati med seboj.
- programi za Windows : Nadzor uporabniških računov kot košček peskovnika, ki v bistvu omejuje namizne programe Windows s spreminjanjem sistemskih datotek, ne da bi vas najprej prosili za dovoljenje. Upoštevajte, da je to zelo majhna zaščita - vsak namizni program Windows bi se lahko odločil za sedenje v ozadju in na primer prijavil vse vaše tipke. Nadzor uporabniškega računa omejuje dostop do sistemskih datotek in sistemskih nastavitev.
Kako v program Sandbox Any Program
Namizni programi običajno niso privzeti. Seveda, tu je UAC - toda kot smo že omenili, je to zelo majhno sandboxing.Če želite preskusiti program in ga zagnati, ne da bi ga lahko motili v preostalem sistemu, lahko zaženete kateri koli program v peskovniku.
- Virtual Machines : Program virtualne naprave, kot sta VirtualBox ali VMware, ustvarja virtualne strojne naprave, ki jih uporablja za zagon operacijskega sistema. Drugi operacijski sistem teče v oknu na namizju. Ta celoten operacijski sistem je v bistvu sandboxed, saj nima dostopa do ničesar zunaj navideznega računalnika. Programsko opremo v virtualiziranem operacijskem sistemu lahko namestite in zaženete programsko opremo, kot da bi teče na standardnem računalniku. To bi vam omogočilo, da namestite zlonamerno programsko opremo in jo analizirate, na primer - ali pa samo namestite program in preverite, če je kaj slabega. Programi navideznih računalnikov vsebujejo tudi funkcije snapshotov, tako da lahko »gostilni operacijski sistem« zavrtite v stanje, v katerem je bilo, preden ste namestili slabo programsko opremo.
- Sandboxie : Sandboxie je program Windows, ki ustvarja peskovnike za aplikacije Windows. Ustvarja izolirana virtualna okolja za programe, ki jim preprečujejo trajne spremembe v računalniku. To je lahko uporabno za testiranje programske opreme. Za več podrobnosti si oglejte naš uvod v Sandboxie.
Sandboxing ni nekaj, kar potrebuje povprečni uporabnik. Programi, ki jih uporabljate, delujejo v ozadju, da bi bili varni. Vendar pa morate imeti v mislih, kaj je sandboxed in kaj ni - zato je varnejše, da naložite katero koli spletno stran, ne pa zaženite katerega koli programa.
Če želite, da je peskovnik standardni namizni program, ki ga običajno ne bi bilo mogoče prenesti v sandbox, lahko to storite z enim od zgornjih orodij.