Пісочниці пояснили, як вони вже захищають вас і як пісочниця будь-якої програми

Пісочниці - це важлива техніка безпеки, яка ізолює програми, запобігаючи пошкодженню шкідливих або несправних програм на інших комп'ютерах. Програмне забезпечення, яке ви використовуєте, вже використовує більшу частину коду, що виконується щодня.

Ви також можете створити власні пісочниці, щоб перевірити або проаналізувати програмне забезпечення в захищеному середовищі, де він не зможе завдати шкоди решті частини системи.

Як пісочниці є важливими для безпеки

Пісочниця - це жорстко контрольоване середовище, де можна запускати програми. Пісочниці обмежують те, що може робити частина коду, надаючи їй стільки ж дозволів, скільки потрібно, без додавання додаткових дозволів, які можна зловживати.

Наприклад, веб-переглядач по суті запускає веб-сторінки, які ви відвідуєте, у пісочниці. Вони обмежені роботою у вашому браузері та доступу до обмеженого набору ресурсів - вони не можуть переглядати веб-камеру без дозволу або читати локальні файли вашого комп'ютера. Якщо веб-сайти, які ви відвідуєте, не були розміщені в ізольованій від решти вашої системи області, відвідування шкідливого веб-сайту було б таким самим поганим, як встановлення вірусу.

Інші програми на вашому комп'ютері також розміщені в пікселях. Наприклад, Google Chrome і Internet Explorer працюють самостійно. Ці веб-переглядачі працюють на вашому комп'ютері, але не мають доступу до всього комп'ютера. Вони працюють у режимі низького дозволу. Навіть якщо веб-сторінка виявила уразливість системи безпеки і вдалося взяти під контроль браузер, то вона повинна була б уникнути пісочниці браузера, щоб зробити реальну шкоду. Запускаючи веб-браузер з меншими дозволами, ми отримуємо безпеку. На жаль, Mozilla Firefox все ще не працює в пісочниці.

Те, що вже розміщено в пробках

Значна частина коду, що виконується вашими пристроями щодня, вже захищена:

• Веб-сторінки: Ваш веб-переглядач по суті вибирає веб-сторінки, які він завантажує. Веб-сторінки можуть запускати JavaScript-код, але цей код не може робити нічого, якщо він хоче - якщо код JavaScript намагається отримати доступ до локального файлу на вашому комп’ютері, запит буде невдалим.
• Вміст веб-переглядача браузера: Вміст, завантажений за допомогою плагінів браузера - наприклад, Adobe Flash або Microsoft Silverlight - також виконується в пісочниці. Відтворення флеш-гри на веб-сторінці безпечніше, ніж завантаження гри та запуск її як стандартної програми, оскільки Flash виділяє гру з усієї вашої системи і обмежує те, що вона може зробити. Браузерні плагіни, зокрема Java, є частим об'єктом атак, які використовують уразливості безпеки, щоб уникнути цієї пісочниці і завдати шкоди.
• PDF-файли та інші документи: Adobe Reader тепер запускає файли PDF у пісочниці, що перешкоджає їм уникнути перегляду PDF-файлів і втручатися в інші комп'ютери. Microsoft Office також має режим "пісочниці", щоб запобігти пошкодженню небезпечних макросів вашій системі.
• Браузери та інші потенційно вразливі програми: Веб-переглядачі працюють у режимі з низьким дозволом, в пісочному режимі, щоб переконатися, що вони не можуть завдати великої шкоди, якщо вони скомпрометовані:
• Мобільні програми: Мобільні платформи запускають свої програми в пісочниці. Програми для iOS, Android і Windows 8 обмежені у виконанні багатьох речей, які можуть виконувати стандартні додатки для робочого столу. Вони повинні оголосити дозволи, якщо вони хочуть зробити щось на зразок доступу до вашого місцезнаходження. Натомість ми отримуємо певну безпеку - пісочниця також ізолює програми один від одного, тому вони не можуть втручатися один в одного.
• Програми Windows: Функція управління обліковими записами користувачів виконує функції песочниці, по суті обмежуючи програми робочого столу Windows модифікаціями системних файлів без попереднього запиту дозволу. Зауважте, що це дуже мінімальний захист - будь-яка програма для настільних комп'ютерів Windows може вибирати, щоб сидіти у фоновому режимі і реєструвати всі натискання клавіш, наприклад. Контроль облікових записів користувачів просто обмежує доступ до системних файлів і загальносистемних налаштувань.

Як пісочниця будь-якої програми

Програми настільних комп'ютерів зазвичай не розміщені за замовчуванням. Звичайно, є UAC - але, як ми вже згадували вище, це дуже мінімальний пісочниці. Якщо ви хочете перевірити програму та запустити її без можливості втручатися в інші системи, можна запускати будь-яку програму в пісочниці.

• Віртуальні машини: Програма віртуальної машини, як VirtualBox або VMware, створює віртуальні апаратні пристрої, які вона використовує для запуску операційної системи. Інша операційна система працює у вікні на робочому столі. Вся ця операційна система, по суті, не має доступу до нічого поза віртуальною машиною. Ви можете встановити програмне забезпечення на віртуалізовану операційну систему і запустити це програмне забезпечення, як якщо б воно працювало на стандартному комп'ютері. Це дозволить вам встановити шкідливе програмне забезпечення та проаналізувати його, наприклад, - або просто встановити програму і подивитися, чи вона робить щось погане. Програми віртуальних машин також містять функції знімка, завдяки чому ви можете "відкинути" гостьову операційну систему до стану, в якому вона була, до того, як ви встановили погане програмне забезпечення.

• Sandboxie: Sandboxie - це програма Windows, яка створює пісочниці для додатків Windows. Вона створює ізольовані віртуальні середовища для програм, що перешкоджає їх постійним змінам на вашому комп'ютері. Це може бути корисним для тестування програмного забезпечення. Зверніться до нашого вступу до Sandboxie для більш докладної інформації.

Пісочниці - це не те, про що треба турбуватися середньому користувачеві. Програми, які ви використовуєте, працюють у фоновому режимі, щоб зберегти безпеку. Тим не менш, ви повинні мати на увазі те, що знаходиться в пісочниці, а що ні, - тому безпечніше завантажувати будь-який веб-сайт, ніж запускати будь-яку програму.

Однак, якщо ви хочете виконати стандартну програму для робочого столу, яка зазвичай не буде розміщена в пікселях, це можна зробити за допомогою одного з наведених вище інструментів.