«Пісочниця» - це важливий метод забезпечення безпеки, який ізолює програми, запобігаючи їх пошкодженню або відстеженню на решті вашого комп'ютера. Програмне забезпечення, яке ви використовуєте, вже завантажує більшу частину коду, який ви запускаєте щодня.
Ви також можете створювати власні пісочниці для тестування або аналізу програмного забезпечення в захищеному середовищі, де воно не зможе завдати шкоди решті вашої системи.
Як пісочниці потрібні для безпеки
Пісочниця - це суворо контрольоване середовище, в якому можна запускати програми. Пісочниці обмежують можливості коду, надаючи йому стільки дозволів, скільки необхідно, без додавання додаткових дозволів, якими можна зловживати.
Наприклад, ваш веб-браузер по суті запускає веб-сторінки, які ви відвідуєте, в пісочниці. Вони можуть працювати тільки у вашому браузері і отримувати доступ до обмеженого набору ресурсів - вони не можуть переглядати вашу веб-камеру без дозволу або читати локальні файли вашого комп'ютера. Якщо веб-сайти, які ви відвідуєте, не були ізольовані та ізольовані від решти вашої системи, відвідування шкідливого веб-сайту було б так само погано, як і встановлення вірусу.
Інші програми на вашому комп'ютері також знаходяться в пісочниці. Наприклад, Google Chrome і Internet Explorer самі працюють у пісочниці. Ці браузери є програмами, що працюють на вашому комп'ютері, але у них немає доступу до всього вашого комп'ютера. Вони працюють у режимі низького дозволу. Навіть якщо веб-сторінка виявить вразливість у системі безпеки і зможе взяти під контроль браузер, їй доведеться вийти з пісочниці браузера, щоб завдати реальної шкоди. Запустивши веб-браузер з меншою кількістю дозволів, ми забезпечуємо безпеку. На жаль, Mozilla Firefox як і раніше не працює в пісочниці.
Що вже в пісочниці
Велика частина коду, що виконується вашими пристроями кожен день, вже поміщена в «пісочницю» для вашого захисту:
- Веб-сторінки. Ваш браузер, по суті, поміщає в пісочницю завантажувані веб-сторінки. Веб-сторінки можуть запускати код JavaScript, але цей код не може робити все, що йому потрібно - якщо код JavaScript намагається отримати доступ до локального файлу на вашому комп'ютері, запит не буде виконаний.
- Контент плагіну браузера: контент, що завантажується плагінами браузера - такими як Adobe Flash або Microsoft Silverlight - також запускається в пісочниці. Грати на флеш-грі на веб-сторінці безпечніше, ніж завантажувати гру і запускати її як стандартну програму, оскільки Flash ізолює гру від решти вашої системи і обмежує її можливості. Плагіни для браузера, зокрема Java, часто стають об'єктами атак, що використовують уразливості безпеки для виходу з цієї пісочниці і нанесення шкоди.
- PDF-файли та інші документи. Adobe Reader тепер запускає PDF-файли в «пісочниці», не дозволяючи їм виходити з перегляду PDF-файлів і втручатися в роботу решти комп'ютера. У Microsoft Office також є режим «пісочниці», який запобігає шкоді, що завдається небезпечними макросами.
- Браузери та інші потенційно вразливі програми: веб-браузери працюють у режимі «пісочниці» з низькою роздільною здатністю, щоб гарантувати, що вони не зможуть завдати великої шкоди, якщо вони скомпрометовані:
- Мобільні програми. Мобільні платформи запускають свої додатки в «пісочниці». Програми для iOS, Android і Windows 8 не можуть виконувати багато дій, які можуть виконувати стандартні настільні програми. Вони повинні оголосити дозволи, якщо вони хочуть зробити щось на зразок доступу до вашого місця розташування. У свою чергу, ми отримуємо деяку безпеку - пісочниця також ізолює додатки один від одного, тому вони не можуть втручатися один в одного.
- Програми Windows: Контроль облікових записів користувачів працює як «пісочниця», істотно обмежуючи програми Windows для настільних комп'ютерів від зміни системних файлів без попереднього дозволу. Зауважте, що це дуже мінімальний захист - будь-яка настільна програма Windows може вибрати, наприклад, сидіти у фоновому режимі і реєструвати всі натискання клавіш. Контроль облікових записів просто обмежує доступ до системних файлів і загальносистемних параметрів.
Як зробити пісочницю будь-якою програмою
Настільні програми зазвичай не розміщуються в «пісочниці» за замовчуванням. Звичайно, є UAC - але, як ми згадували вище, це дуже мінімальна пісочниця. Якщо ви хочете протестувати програму і запустити її без можливості перешкодити роботі іншої частини вашої системи, ви можете запустити будь-яку програму в пісочниці.
- Віртуальні машини. Програма віртуальної машини, така як VirtualBox або VMware, створює віртуальні апаратні пристрої, які вона використовує для запуску операційної системи. Інша операційна система запускається у вікні на вашій стільниці. Вся ця операційна система по суті ізольована від пісочниці, оскільки не має доступу ні до чого, крім віртуальної машини. Ви можете встановити програмне забезпечення у віртуалізованій операційній системі і запускати його, як якщо б воно працювало на стандартному комп'ютері. Це дозволить вам встановити шкідливе ПЗ і, наприклад, проаналізувати його - або просто встановити програму і подивитися, чи не призведе вона до чогось поганого. Програми віртуальних машин також містять функції моментальних знімків, так що ви можете «відкотити» гостьову операційну систему до того стану, в якому вона знаходилася до того, як ви встановили погане програмне забезпечення.
- Sandboxie: Sandboxie - це програма для Windows, яка створює пісочниці для програм Windows. Він створює ізольовані віртуальні середовища для програм, не дозволяючи їм вносити постійні зміни до вашого комп'ютера. Це може бути корисно для тестування програмного забезпечення. Зверніться до нашого введення в Sandboxie для докладнішої інформації.
Пісочниця - це не те, про що повинен турбуватися середній користувач. Програми, які ви використовуєте, працюють у фоновому режимі, щоб забезпечити вам безпеку. Однак ви повинні мати на увазі, що знаходиться в «пісочниці», а що ні - тому безпечніше завантажувати будь-який сайт, ніж запускати будь-яку програму.
Однак якщо ви хочете створити ізольоване програмне середовище для стандартної настільної програми, яка зазвичай не розміщується в ізольоване програмне середовище, ви можете зробити це за допомогою одного з перелічених вище інструментів.