Αρχική σελίδα » πως να » Sandboxes εξηγούνται πώς σας προστατεύουν ήδη και πώς να Sandbox οποιοδήποτε πρόγραμμα

    Sandboxes εξηγούνται πώς σας προστατεύουν ήδη και πώς να Sandbox οποιοδήποτε πρόγραμμα

    Το Sandboxing είναι μια σημαντική τεχνική ασφαλείας που απομονώνει τα προγράμματα, αποτρέποντας τα κακόβουλα ή δυσλειτουργικά προγράμματα να καταστρέφουν ή να υπονομεύουν τον υπόλοιπο υπολογιστή σας. Το λογισμικό που χρησιμοποιείτε είναι ήδη sandboxing μεγάλο μέρος του κώδικα που εκτελείτε κάθε μέρα.

    Μπορείτε επίσης να δημιουργήσετε δικά σας sandboxes για να δοκιμάσετε ή να αναλύσετε το λογισμικό σε ένα προστατευμένο περιβάλλον όπου δεν θα είναι σε θέση να κάνει οποιαδήποτε ζημιά στο υπόλοιπο του συστήματός σας.

    Πώς Sandboxes είναι απαραίτητες για την ασφάλεια

    Ένα sandbox είναι ένα καλά ελεγχόμενο περιβάλλον όπου μπορούν να τρέξουν τα προγράμματα. Τα Sandboxes περιορίζουν το τι μπορεί να κάνει ένα κομμάτι κώδικα δίνοντάς του εξίσου πολλά δικαιώματα, όπως χρειάζεται, χωρίς να προσθέσει πρόσθετα δικαιώματα που θα μπορούσαν να καταστρατηγηθούν.

    Για παράδειγμα, το πρόγραμμα περιήγησης ιστού σας εκτελεί ουσιαστικά ιστοσελίδες που επισκέπτεστε σε ένα sandbox. Έχουν περιοριστεί να εκτελούνται στο πρόγραμμα περιήγησής σας και να έχουν πρόσβαση σε περιορισμένο σύνολο πόρων - δεν μπορούν να προβάλουν την κάμερα web χωρίς άδεια ή να διαβάσουν τα τοπικά αρχεία του υπολογιστή σας. Εάν οι ιστότοποι που επισκέπτεστε δεν ήταν sandboxed και απομονωμένοι από το υπόλοιπο σύστημα σας, η επίσκεψη σε έναν κακόβουλο ιστότοπο θα ήταν εξίσου κακή με την εγκατάσταση ενός ιού.

    Άλλα προγράμματα στον υπολογιστή σας είναι επίσης με κιβώτια με κιβώτια (sandboxed). Για παράδειγμα, το Google Chrome και ο Internet Explorer τρέχουν και οι ίδιοι σε ένα sandbox. Αυτά τα προγράμματα περιήγησης είναι προγράμματα που εκτελούνται στον υπολογιστή σας, αλλά δεν έχουν πρόσβαση σε ολόκληρο τον υπολογιστή σας. Εκτελούνται σε κατάσταση χαμηλής άδειας. Ακόμη και αν η ιστοσελίδα βρήκε μια ευπάθεια ασφαλείας και κατάφερε να πάρει τον έλεγχο του προγράμματος περιήγησης, τότε θα έπρεπε να ξεφύγει από το sandbox του προγράμματος περιήγησης για να κάνει πραγματικές ζημιές. Με την εκτέλεση του προγράμματος περιήγησης ιστού με λιγότερα δικαιώματα, κερδίζουμε ασφάλεια. Δυστυχώς, το Mozilla Firefox εξακολουθεί να μην λειτουργεί σε sandbox.

    Τι είναι ήδη Sandboxed

    Μεγάλο μέρος του κώδικα που εκτελούν οι συσκευές σας κάθε μέρα είναι ήδη τυλιγμένο για την προστασία σας:

    • Ιστοσελίδες: Το πρόγραμμα περιήγησής σας ουσιαστικά sandboxes ιστοσελίδες που φορτώνει. Οι ιστοσελίδες μπορούν να εκτελούν κώδικα JavaScript, αλλά αυτός ο κώδικας δεν μπορεί να κάνει τίποτα που θέλει - εάν ο κώδικας JavaScript προσπαθεί να έχει πρόσβαση σε ένα τοπικό αρχείο στον υπολογιστή σας, η αίτηση θα αποτύχει.
    • Περιεχόμενο plug-in του προγράμματος περιήγησης: Το περιεχόμενο που φορτώνεται από plug-ins του προγράμματος περιήγησης - όπως το Adobe Flash ή το Microsoft Silverlight - εκτελείται επίσης σε ένα sandbox. Η αναπαραγωγή ενός παιχνιδιού flash σε μια ιστοσελίδα είναι ασφαλέστερη από τη λήψη ενός παιχνιδιού και το τρέξιμο του ως πρότυπο πρόγραμμα, επειδή το Flash απομονώνει το παιχνίδι από το υπόλοιπο του συστήματός σας και περιορίζει αυτό που μπορεί να κάνει. Οι προσθήκες του προγράμματος περιήγησης, ειδικά η Java, αποτελούν συχνό στόχο επιθέσεων που χρησιμοποιούν ευπάθειες ασφαλείας για να ξεφύγουν από αυτό το sandbox και να προκαλέσουν ζημιά.
    • Αρχεία PDF και άλλα έγγραφα: Το Adobe Reader τρέχει τώρα αρχεία PDF σε ένα sandbox, εμποδίζοντας τους να ξεφύγουν από το πρόγραμμα προβολής PDF και να παραβιάσουν τον υπόλοιπο υπολογιστή. Το Microsoft Office έχει επίσης μια λειτουργία sandbox για να αποτρέψει τις μη ασφαλείς μακροεντολές να βλάψουν το σύστημά σας.
    • Προγράμματα περιήγησης και άλλες δυνητικά ευάλωτες εφαρμογές: Τα προγράμματα περιήγησης στο Web εκτελούνται σε κατάσταση χαμηλής αδείας και σε περιβάλλον sandboxed για να διασφαλιστεί ότι δεν μπορούν να προκαλέσουν μεγάλες ζημιές σε περίπτωση παραβίασης:
    • Εφαρμογές για κινητά: Οι κινητές πλατφόρμες εκτελούν τις εφαρμογές τους σε ένα sandbox. Οι εφαρμογές για iOS, Android και Windows 8 περιορίζονται να κάνουν πολλά από τα πράγματα που μπορούν να κάνουν οι τυπικές εφαρμογές γραφείου. Πρέπει να δηλώσουν δικαιώματα αν θέλουν να κάνουν κάτι σαν να έχουν πρόσβαση στην τοποθεσία σας. Σε αντάλλαγμα, κερδίζουμε κάποια ασφάλεια - το sandbox απομονώνει επίσης εφαρμογές το ένα από το άλλο, έτσι ώστε να μην μπορούν να αλληλεπιδρούν μεταξύ τους.
    • Προγράμματα Windows: Ο έλεγχος λογαριασμού χρήστη λειτουργεί ως ένα κομμάτι ενός sandbox, περιορίζοντας ουσιαστικά τις εφαρμογές επιφάνειας εργασίας των Windows από την τροποποίηση των αρχείων συστήματος χωρίς να σας ζητήσουν πρώτα την άδεια. Σημειώστε ότι αυτό είναι πολύ ελάχιστη προστασία - οποιοδήποτε πρόγραμμα επιφάνειας εργασίας των Windows θα μπορούσε να επιλέξει να καθίσει στο παρασκήνιο και να καταγράψει όλες τις πληκτρολογήσεις σας, για παράδειγμα. Ο έλεγχος λογαριασμού χρήστη απλώς περιορίζει την πρόσβαση στα αρχεία συστήματος και τις ρυθμίσεις ολόκληρου του συστήματος.

    Πώς να Sandbox οποιοδήποτε πρόγραμμα

    Τα επιτραπέζια προγράμματα δεν είναι συνήθως sandboxed από προεπιλογή. Σίγουρα, υπάρχει UAC - αλλά όπως αναφέρθηκε παραπάνω, αυτό είναι πολύ ελάχιστο sandboxing. Εάν θέλετε να δοκιμάσετε ένα πρόγραμμα και να το εκτελέσετε χωρίς να είναι σε θέση να επηρεάσει το υπόλοιπο του συστήματός σας, μπορείτε να εκτελέσετε οποιοδήποτε πρόγραμμα σε ένα sandbox.

    • Εικονικές μηχανές: Ένα πρόγραμμα εικονικής μηχανής όπως το VirtualBox ή το VMware δημιουργεί εικονικές συσκευές υλικού που χρησιμοποιεί για την εκτέλεση ενός λειτουργικού συστήματος. Το άλλο λειτουργικό σύστημα λειτουργεί σε ένα παράθυρο στην επιφάνεια εργασίας σας. Όλο αυτό το λειτουργικό σύστημα είναι ουσιαστικά sandboxed, δεδομένου ότι δεν έχει πρόσβαση σε τίποτα έξω από την εικονική μηχανή. Θα μπορούσατε να εγκαταστήσετε λογισμικό στο εικονικό λειτουργικό σύστημα και να εκτελέσετε αυτό το λογισμικό σαν να τρέχει σε έναν τυποποιημένο υπολογιστή. Αυτό θα σας επιτρέψει να εγκαταστήσετε κακόβουλο λογισμικό και να το αναλύσετε, για παράδειγμα - ή απλά να εγκαταστήσετε ένα πρόγραμμα και να δείτε αν κάνει κακό. Τα προγράμματα εικονικών μηχανών περιέχουν επίσης λειτουργίες στιγμιότυπων, ώστε να μπορείτε να "επαναφέρετε" το λειτουργικό σας σύστημα επισκεπτών στην κατάσταση στην οποία βρισκόταν πριν να εγκαταστήσετε το κακό λογισμικό.

    • Sandboxie: Sandboxie είναι ένα πρόγραμμα των Windows που δημιουργεί sandboxes για εφαρμογές Windows. Δημιουργεί απομονωμένα εικονικά περιβάλλοντα για προγράμματα, εμποδίζοντας τους να κάνουν μόνιμες αλλαγές στον υπολογιστή σας. Αυτό μπορεί να είναι χρήσιμο για τη δοκιμή του λογισμικού. Συμβουλευτείτε την εισαγωγή μας στο Sandboxie για περισσότερες λεπτομέρειες.


    Το sandboxing δεν είναι κάτι που χρειάζεται ο μέσος χρήστης να ανησυχεί. Τα προγράμματα που χρησιμοποιείτε κάνουν το sandboxing στο παρασκήνιο για να σας κρατήσουν ασφαλή. Ωστόσο, πρέπει να έχετε κατά νου τι είναι sandboxed και τι δεν είναι - γι 'αυτό είναι ασφαλέστερο να φορτώσετε οποιοδήποτε ιστοτόπο από την εκτέλεση οποιουδήποτε προγράμματος.

    Ωστόσο, αν θέλετε να sandbox ένα πρότυπο desktop πρόγραμμα που συνήθως δεν θα sandboxed, μπορείτε να το κάνετε με ένα από τα παραπάνω εργαλεία.