Пісочниця - це важлива техніка безпеки, яка ізолює програми, запобігаючи шкідливим або несправним програмам пошкодити або переглядати решту комп'ютера. Програмне забезпечення, яке ви використовуєте, вже виділяє більшу частину коду, який ви запускаєте щодня.
Ви також можете створити власні пісочниці для тестування або аналізу програмного забезпечення в захищеному середовищі, де воно не зможе завдати шкоди решті вашої системи.
Як пісочниці важливі для безпеки
Пісочниця - це жорстко контрольоване середовище, де можна запускати програми. Пісочниці обмежують можливості шматка коду, надаючи йому стільки дозволів, скільки йому потрібно, без додавання додаткових дозволів, якими можна зловживати.
Наприклад, ваш веб-браузер по суті запускає веб-сторінки, які ви відвідуєте в пісочниці. Вони можуть працювати у вашому браузері та отримувати доступ до обмеженого набору ресурсів - вони не можуть переглядати вашу веб-камеру без дозволу або читати локальні файли вашого комп’ютера. Якби веб-сайти, які ви відвідуєте, не були захищені від ізольованих середовищ від решти системи, відвідування шкідливого веб-сайту було б так само погано, як встановлення вірусу.
Інші програми на вашому комп’ютері також захищені. Наприклад, Google Chrome та Internet Explorer самі працюють у пісочниці. Ці браузери - це програми, що працюють на вашому комп’ютері, але вони не мають доступу до всього вашого комп’ютера. Вони працюють у режимі низького дозволу. Навіть якби веб-сторінка виявила уразливість системи безпеки та зуміла взяти під свій контроль браузер, їй тоді довелося б уникнути пісочниці веб-переглядача, щоб нанести реальну шкоду. Запускаючи веб-браузер із меншою кількістю дозволів, ми отримуємо безпеку. На жаль, Mozilla Firefox досі не працює в пісочниці .
Що вже в пісочниці
Значна частина коду, який ваші пристрої запускають щодня, вже захищена для захисту:
- Веб-сторінки : Ваш браузер, по суті, захищає веб-сторінки, які він завантажує. Веб-сторінки можуть запускати код JavaScript, але цей код не може робити що завгодно - якщо код JavaScript намагається отримати доступ до локального файлу на вашому комп’ютері, запит не вдасться.
- Вміст плагіна для браузера : Вміст, завантажений плагінами браузера, наприклад Adobe Flash або Microsoft Silverlight, також запускається у пісочниці. Грати у флеш-гру на веб-сторінці безпечніше, ніж завантажувати гру та запускати її як стандартну програму, оскільки Flash ізолює гру від решти вашої системи та обмежує її можливості. Плагіни браузера, зокрема Java , є частою мішенню атак, які використовують вразливі місця безпеки, щоб уникнути цієї пісочниці та завдати шкоди.
- PDF-файли та інші документи : Adobe Reader тепер запускає файли PDF у пісочниці, запобігаючи їм уникнути засобу перегляду PDF та втручатися в решту комп’ютера. Microsoft Office також має режим пісочниці, щоб запобігти небезпечним макрокомандам нашкодити вашій системі.
- Браузери та інші потенційно вразливі програми : Веб-браузери працюють у режимі з низьким дозволом, у захищеному середовищі, щоб гарантувати, що вони не можуть завдати великої шкоди, якщо їх скомпрометують:
- Мобільні програми : Мобільні платформи запускають свої програми в пісочниці. Додатки для iOS, Android та Windows 8 не можуть робити багато речей, які можуть робити стандартні настільні програми. Вони повинні заявити дозволи, якщо хочуть зробити щось на зразок доступу до вашого місцезнаходження. Натомість ми отримуємо певну безпеку - пісочниця також ізолює програми один від одного, тому вони не можуть втручатися один в одного.
- Програми Windows : Контроль облікових записів користувачів функціонує як пісочниця, по суті обмежуючи настільні програми Windows змінювати системні файли без попереднього запиту дозволу. Зауважте, що це дуже мінімальний захист - будь-яка програма для робочого столу Windows може вибрати, наприклад, сидіти у фоновому режимі та реєструвати всі ваші натискання клавіш. Контроль облікових записів користувачів просто обмежує доступ до системних файлів та загальносистемних налаштувань.
Як виділити будь-яку програму в пісочницю
За замовчуванням програми для настільних комп'ютерів зазвичай не використовуються в середовищі. Звичайно, існує UAC - але, як ми вже згадували вище, це дуже мінімальний пісочниця. Якщо ви хочете протестувати програму та запустити її, не перешкоджаючи роботі вашої системи, ви можете запустити будь-яку програму в пісочниці.
- Віртуальні машини : Програма для віртуальних машин типу VirtualBox або VMware створює віртуальні апаратні пристрої, які використовує для запуску операційної системи. Інша операційна система працює у вікні на робочому столі. Вся ця операційна система, по суті, не працює, оскільки вона не має доступу ні до чого за межами віртуальної машини. Ви можете встановити програмне забезпечення у віртуалізовану операційну систему та запускати це програмне забезпечення так, ніби воно працює на звичайному комп’ютері. Це дозволить вам встановити шкідливе програмне забезпечення та проаналізувати його, наприклад - або просто встановити програму та перевірити, чи не робить вона чогось поганого. Програми віртуальних машин також містять функції знімків, щоб ви могли “Відкотити” свою гостьову операційну систему до стану, в якому він був до встановлення поганого програмного забезпечення.
- Пісочниця : Пісочниця - це програма Windows, яка створює пісочниці для додатків Windows. Він створює ізольоване віртуальне середовище для програм, не даючи їм постійно змінювати ваш комп’ютер. Це може бути корисно для тестування програмного забезпечення. Зверніться до нашого вступ до Пісочниці для більш детальної інформації.
Пересічному користувачеві не потрібно турбуватися про те, що пісочниця Програми, які ви використовуєте, виконують роботу у пісочниці у фоновому режимі, щоб захистити вас. Тим не менш, ви повинні пам’ятати, що захищене середовищем, а що ні - саме тому безпечніше завантажувати будь-який веб-сайт, ніж запускати будь-яку програму.
Однак, якщо ви хочете виділити стандартну програму для робочого столу, яка зазвичай не застосовується до середовища, ви можете зробити це за допомогою одного з вищезазначених інструментів.
