Sandboxing er en vigtig sikkerhedsteknik, der isolerer programmer, hvilket forhindrer ondsindede eller funktionsfejl i programmer i at beskadige eller snuse på resten af din computer. Den software, du bruger, sandboxer allerede meget af den kode, du kører hver dag.
Du kan også oprette dine egne sandkasser til at teste eller analysere software i et beskyttet miljø, hvor det ikke kan skade resten af dit system.
Hvordan sandkasser er vigtige for sikkerhed
En sandkasse er et tæt kontrolleret miljø, hvor programmer kan køres. Sandkasser begrænser, hvad et stykke kode kan gøre, hvilket giver det lige så mange tilladelser, som det har brug for uden at tilføje yderligere tilladelser, der kan misbruges.
For eksempel kører din webbrowser hovedsageligt websider, du besøger i en sandkasse. De er begrænset til at køre i din browser og få adgang til et begrænset sæt ressourcer - de kan ikke se dit webcam uden tilladelse eller læse din computers lokale filer. Hvis websteder, du besøger, ikke var sandkasserede og isolerede fra resten af dit system, ville det være lige så dårligt at besøge et ondsindet websted som at installere en virus.
Andre programmer på din computer er også sandbox. For eksempel kører Google Chrome og Internet Explorer begge i en sandkasse selv. Disse browsere er programmer, der kører på din computer, men de har ikke adgang til hele din computer. De kører i lav-tilladelsestilstand. Selvom websiden fandt en sikkerhedssårbarhed og formåede at tage kontrol over browseren, ville den så skulle undslippe browserens sandkasse for at gøre reel skade. Ved at køre webbrowseren med færre tilladelser opnår vi sikkerhed. Desværre Mozilla Firefox kører stadig ikke i en sandkasse .
Hvad der allerede er sandkasseret
Meget af den kode, som dine enheder kører hver dag, er allerede sandkasset for din beskyttelse:
- Web sider : Din browser sandbox i det væsentlige de websider, den indlæser. Websider kan køre JavaScript-kode, men denne kode kan ikke gøre noget, den ønsker - hvis JavaScript-kode forsøger at få adgang til en lokal fil på din computer, mislykkes anmodningen.
- Browser-plugin-indhold : Indhold, der er indlæst med browser-plugins - såsom Adobe Flash eller Microsoft Silverlight - køres også i en sandkasse. At spille et flash-spil på en webside er sikrere end at downloade et spil og køre det som et standardprogram, fordi Flash isolerer spillet fra resten af dit system og begrænser, hvad det kan gøre. Browser-plug-ins, især Java , er et hyppigt mål for angreb, der bruger sikkerhedssårbarheder for at undslippe denne sandkasse og gøre skade.
- PDF-filer og andre dokumenter : Adobe Reader kører nu PDF-filer i en sandkasse, hvilket forhindrer dem i at undslippe PDF-fremviseren og manipulere med resten af din computer. Microsoft Office har også en sandkassetilstand for at forhindre usikre makroer i at skade dit system.
- Browsere og andre potentielt sårbare applikationer : Webbrowsere kører i sandbox-tilstand med lav tilladelse for at sikre, at de ikke kan skade meget, hvis de er kompromitteret:
- Mobilapps : Mobile platforme kører deres apps i en sandkasse. Apps til iOS, Android og Windows 8 er begrænset fra at udføre mange af de ting, som standard desktopapplikationer kan gøre. De er nødt til at erklære tilladelser, hvis de vil gøre noget som at få adgang til din placering. Til gengæld får vi en vis sikkerhed - sandkassen isolerer også apps fra hinanden, så de ikke kan manipulere med hinanden.
- Windows-programmer : Brugerkontokontrol fungerer som lidt af en sandkasse, hvilket i det væsentlige begrænser Windows-skrivebordsprogrammer fra at ændre systemfiler uden først at bede dig om tilladelse. Bemærk, at dette er meget minimal beskyttelse - ethvert Windows-skrivebordsprogram kan f.eks. Vælge at sidde i baggrunden og logge alle dine tastetryk. Brugerkontokontrol begrænser kun adgang til systemfiler og systemindstillinger.
Sådan sandbox ethvert program
Desktop-programmer er normalt ikke sandkasserede som standard. Sikker på, der er UAC - men som vi nævnte ovenfor, er det meget minimal sandboxing. Hvis du vil teste et program og køre det uden at det kan forstyrre resten af dit system, kan du køre ethvert program i en sandkasse.
- Virtuelle maskiner : Et program til virtuel maskine som VirtualBox eller VMware opretter virtuelle hardwareenheder, som den bruger til at køre et operativsystem. Det andet operativsystem kører i et vindue på dit skrivebord. Hele dette operativsystem er i det væsentlige sandkasse, da det ikke har adgang til noget uden for den virtuelle maskine. Du kunne installere software på det virtualiserede operativsystem og køre den software, som om den kørte på en standardcomputer. Dette giver dig mulighed for at installere malware og analysere det, for eksempel - eller bare installere et program og se om det gør noget dårligt. Programmer til virtuelle maskiner indeholder også snapshot-funktioner, så du kunne "Rul tilbage" dit gæstestyringssystem til den tilstand, den var i, før du installerede den dårlige software.
- Sandboxie : Sandboxie er et Windows-program, der opretter sandkasser til Windows-applikationer. Det skaber isolerede virtuelle miljøer til programmer, hvilket forhindrer dem i at foretage permanente ændringer på din computer. Dette kan være nyttigt til test af software. Kontakt vores introduktion til Sandboxie for flere detaljer.
Sandboxing er ikke noget, som den gennemsnitlige bruger skal bekymre sig om. De programmer, du bruger, udfører sandboxing i baggrunden for at beskytte dig. Du skal dog huske på, hvad der er sandkasse, og hvad der ikke er - det er derfor sikrere at indlæse ethvert websted end at køre ethvert program.
Men hvis du vil sandkasse et standard desktop-program, der normalt ikke ville være sandkasse, kan du gøre det med et af ovenstående værktøjer.
