Объясненные песочницы: как они уже защищают вас и как изолировать любую программу

Как песочницы необходимы для безопасности

Песочница — это строго контролируемая среда, в которой можно запускать программы. Песочницы ограничивают возможности кода, предоставляя ему столько разрешений, сколько необходимо, без добавления дополнительных разрешений, которыми можно злоупотреблять.

Например, ваш веб-браузер по существу запускает веб-страницы, которые вы посещаете, в песочнице. Они могут работать только в вашем браузере и получать доступ к ограниченному набору ресурсов — они не могут просматривать вашу веб-камеру без разрешения или читать локальные файлы вашего компьютера. Если веб-сайты, которые вы посещаете, не были изолированы и изолированы от остальной части вашей системы, посещение вредоносного веб-сайта было бы так же плохо, как и установка вируса.

Другие программы на вашем компьютере также находятся в песочнице. Например, Google Chrome и Internet Explorer сами работают в песочнице. Эти браузеры являются программами, работающими на вашем компьютере, но у них нет доступа ко всему вашему компьютеру. Они работают в режиме низкого разрешения. Даже если веб-страница обнаружит уязвимость в системе безопасности и сможет взять под контроль браузер, ей придется выйти из песочницы браузера, чтобы нанести реальный ущерб. Запустив веб-браузер с меньшим количеством разрешений, мы обеспечиваем безопасность. К сожалению, Mozilla Firefox по-прежнему не работает в песочнице .

Что уже в песочнице

Большая часть кода, выполняемого вашими устройствами каждый день, уже помещена в «песочницу» для вашей защиты:

• Веб-страницы . Ваш браузер, по сути, помещает в песочницу загружаемые веб-страницы. Веб-страницы могут запускать код JavaScript, но этот код не может делать все, что ему нужно — если код JavaScript пытается получить доступ к локальному файлу на вашем компьютере, запрос не будет выполнен.
• Контент плагина браузера: контент, загружаемый плагинами браузера — такими как Adobe Flash или Microsoft Silverlight — также запускается в песочнице. Играть на флэш-игре на веб-странице безопаснее, чем загружать игру и запускать ее как стандартную программу, поскольку Flash изолирует игру от остальной части вашей системы и ограничивает ее возможности. Плагины для браузера, в частности Java , часто становятся объектами атак, использующих уязвимости безопасности для выхода из этой песочницы и нанесения ущерба.
• PDF-файлы и другие документы . Adobe Reader теперь запускает PDF-файлы в «песочнице», не позволяя им выходить из средства просмотра PDF-файлов и вмешиваться в работу остального компьютера. В Microsoft Office также есть режим «песочницы», который предотвращает вред, наносимый небезопасными макросами.
• Браузеры и другие потенциально уязвимые приложения : веб-браузеры работают в режиме «песочницы» с низким разрешением, чтобы гарантировать, что они не смогут нанести большой ущерб, если они скомпрометированы:
• Мобильные приложения . Мобильные платформы запускают свои приложения в «песочнице». Приложения для iOS, Android и Windows 8 не могут выполнять многие действия, которые могут выполнять стандартные настольные приложения. Они должны объявить разрешения, если они хотят сделать что-то вроде доступа к вашему местоположению. В свою очередь, мы получаем некоторую безопасность — песочница также изолирует приложения друг от друга, поэтому они не могут вмешиваться друг в друга.
• Программы Windows : Контроль учетных записей пользователей работает как «песочница», существенно ограничивая приложения Windows для настольных компьютеров от изменения системных файлов без предварительного разрешения. Обратите внимание, что это очень минимальная защита — любая настольная программа Windows может выбрать, например, сидеть в фоновом режиме и регистрировать все нажатия клавиш. Контроль учетных записей просто ограничивает доступ к системным файлам и общесистемным настройкам.

Как сделать песочницу любой программой

Настольные программы обычно не помещаются в «песочницу» по умолчанию. Конечно, есть UAC — но, как мы упоминали выше, это очень минимальная песочница. Если вы хотите протестировать программу и запустить ее без возможности помешать работе остальной части вашей системы, вы можете запустить любую программу в песочнице.

• Виртуальные машины . Программа виртуальной машины, такая как VirtualBox или VMware, создает виртуальные аппаратные устройства, которые она использует для запуска операционной системы. Другая операционная система запускается в окне на вашем рабочем столе. Вся эта операционная система по сути изолированна от песочницы, так как не имеет доступа ни к чему, кроме виртуальной машины. Вы можете установить программное обеспечение в виртуализированной операционной системе и запускать его, как если бы оно работало на стандартном компьютере. Это позволит вам установить вредоносное ПО и, например, проанализировать его — или просто установить программу и посмотреть, не приведет ли она к чему-то плохому. Программы виртуальных машин также содержат функции моментальных снимков, так что вы можете «откатить» гостевую операционную систему до того состояния, в котором она находилась до того, как вы установили плохое программное обеспечение.

• Sandboxie : Sandboxie — это программа для Windows, которая создает песочницы для приложений Windows. Он создает изолированные виртуальные среды для программ, не позволяя им вносить постоянные изменения в ваш компьютер. Это может быть полезно для тестирования программного обеспечения. Обратитесь к нашему введению в Sandboxie для более подробной информации.

Песочница — это не то, о чем должен беспокоиться средний пользователь. Программы, которые вы используете, работают в фоновом режиме, чтобы обеспечить вам безопасность. Однако вы должны иметь в виду, что находится в «песочнице», а что нет — поэтому безопаснее загружать любой сайт, чем запускать какую-либо программу.

Однако, если вы хотите создать изолированную программную среду для стандартной настольной программы, которая обычно не помещается в изолированную программную среду, вы можете сделать это с помощью одного из перечисленных выше инструментов.