«Песочница» – это важный метод обеспечения безопасности, который изолирует программы, предотвращая их повреждение или отслеживание на остальной части вашего компьютера. Используемое вами программное обеспечение уже загружает большую часть кода, который вы запускаете каждый день.
Вы также можете создавать собственные песочницы для тестирования или анализа программного обеспечения в защищенной среде, где оно не сможет нанести вред остальной части вашей системы.
Как песочницы необходимы для безопасности
Песочница – это строго контролируемая среда, в которой можно запускать программы. Песочницы ограничивают возможности кода, предоставляя ему столько разрешений, сколько необходимо, без добавления дополнительных разрешений, которыми можно злоупотреблять.
Например, ваш веб-браузер по существу запускает веб-страницы, которые вы посещаете, в песочнице. Они могут работать только в вашем браузере и получать доступ к ограниченному набору ресурсов – они не могут просматривать вашу веб-камеру без разрешения или читать локальные файлы вашего компьютера. Если веб-сайты, которые вы посещаете, не были изолированы и изолированы от остальной части вашей системы, посещение вредоносного веб-сайта было бы так же плохо, как и установка вируса.
Другие программы на вашем компьютере также находятся в песочнице. Например, Google Chrome и Internet Explorer сами работают в песочнице. Эти браузеры являются программами, запущенными на вашем компьютере, но у них нет доступа ко всему вашему компьютеру. Они работают в режиме низкого разрешения. Даже если веб-страница обнаружит уязвимость в системе безопасности и сможет взять под контроль браузер, ей придется выйти из песочницы браузера, чтобы нанести реальный ущерб. Запустив веб-браузер с меньшим количеством разрешений, мы обеспечиваем безопасность. К сожалению, Mozilla Firefox по-прежнему не работает в песочнице.
Что уже находится в песочнице
Большая часть кода, выполняемого вашими устройствами каждый день, уже помещена в «песочницу» для вашей защиты:
- Веб-страницы . Ваш браузер по существу помещает в песочницу загружаемые веб-страницы. Веб-страницы могут запускать код JavaScript, но этот код не может делать все, что захочет – если код JavaScript пытается получить доступ к локальному файлу на вашем компьютере, запрос не будет выполнен.
- Контент плагина браузера . Контент, загружаемый плагинами браузера, например Adobe Flash или Microsoft Silverlight, также запускается в песочнице. Играть на флэш-игре на веб-странице безопаснее, чем загружать игру и запускать ее как стандартную программу, поскольку Flash изолирует игру от остальной части вашей системы и ограничивает ее возможности. Плагины для браузера, в частности Java, часто становятся объектами атак, использующих уязвимости безопасности для выхода из этой песочницы и нанесения ущерба.
- PDF-файлы и другие документы . Adobe Reader теперь запускает PDF-файлы в изолированной программной среде, не позволяя им выходить из средства просмотра PDF и нарушать работу остального компьютера. В Microsoft Office также есть режим «песочницы», который предотвращает вред, наносимый небезопасными макросами вашей системе.
- Браузеры и другие потенциально уязвимые приложения : веб-браузеры работают в режиме «песочницы» с низким разрешением, чтобы гарантировать, что они не смогут нанести большой ущерб, если они скомпрометированы:
- Мобильные приложения . Мобильные платформы запускают свои приложения в «песочнице». Приложения для iOS, Android и Windows 8 не могут выполнять многие действия, которые могут выполнять стандартные настольные приложения. Они должны объявить разрешения, если они хотят сделать что-то вроде доступа к вашему местоположению. В свою очередь, мы получаем некоторую безопасность – песочница также изолирует приложения друг от друга, чтобы они не могли вмешиваться друг в друга.
- Программы Windows . Контроль учетных записей пользователей функционирует как «песочница», существенно ограничивая приложения Windows для настольных компьютеров от изменения системных файлов без предварительного разрешения. Обратите внимание, что это очень минимальная защита – любая настольная программа Windows может выбрать, например, сидеть в фоновом режиме и регистрировать все нажатия клавиш. Контроль учетных записей просто ограничивает доступ к системным файлам и общесистемным настройкам.
Как сделать песочницу любой программой
Настольные программы по умолчанию не являются изолированной программной средой. Конечно, есть UAC – но, как мы упоминали выше, это очень минимальная песочница. Если вы хотите протестировать программу и запустить ее без возможности помешать работе остальной части вашей системы, вы можете запустить любую программу в песочнице.
- Виртуальные машины . Программа виртуальной машины, например VirtualBox или VMware, создает виртуальные аппаратные устройства, которые она использует для запуска операционной системы. Другая операционная система запускается в окне на вашем рабочем столе. Вся эта операционная система по сути изолированна от песочницы, так как не имеет доступа ни к чему, кроме виртуальной машины.Вы можете установить программное обеспечение в виртуализированной операционной системе и запускать его, как если бы оно работало на стандартном компьютере. Это позволит вам установить вредоносное ПО и, например, проанализировать его – или просто установить программу и посмотреть, не приведет ли она к чему-то плохому. Программы виртуальных машин также содержат функции моментальных снимков, так что вы можете «откатить» гостевую операционную систему до того состояния, в котором она находилась до того, как вы установили плохое программное обеспечение.
- Sandboxie . Sandboxie – это программа для Windows, которая создает песочницы для приложений Windows. Он создает изолированные виртуальные среды для программ, не позволяя им вносить постоянные изменения в ваш компьютер. Это может быть полезно для тестирования программного обеспечения. Обратитесь к нашему введению в Sandboxie для более подробной информации.
Песочница – это не то, о чем должен беспокоиться средний пользователь. Программы, которые вы используете, работают в фоновом режиме, чтобы обеспечить вам безопасность. Однако вы должны иметь в виду, что находится в «песочнице», а что нет – поэтому безопаснее загружать любой веб-сайт, чем запускать какую-либо программу.
Однако, если вы хотите создать изолированную программную среду для стандартной настольной программы, которая обычно не помещается в изолированную программную среду, вы можете сделать это с помощью одного из перечисленных выше инструментов.