Пясъчниците съществуват, защото пясъкът е забавно да се играе, но не искаме той да бъде проследяван навсякъде в училищния двор и в къщата. Ако някога сте прекарвали някое време на плаж, знаете колко е проникващ пясък и колко трудно може да се отървете от него. Преди да го знаете, в коридорите има пясък, пясък в прането и пясък под душа.
В компютърния свят почти същия проблем съществува и с програмите. Програмите, работещи на вашия компютър, споделят ресурсите на този компютър. Всички ваши програми използват една и съща статична памет, като дискови устройства, същата памет и един и същ централен процесор (CPU). Когато общи ресурси като този се споделят, можете да стигнете до проблем с пясък. Програмата завършва на целия ви компютър, защото записва данни във всички части на дисковете ви, достъп до паметта от всички области на вашата памет и изпраща заявки до процесора, заедно с всяка друга програма. Съхраняваме пясък в пясъчна кутия по същата причина, поради която компютърните програми в пясъчника: да съдържа пясъка – или програма – до управляем обхват.
Основният компютърен дизайн улеснява споделянето на ресурси. Като позволява на програмите да споделят ресурси, компютърът може да изглежда многозадачен и изглежда да върши много неща наведнъж. Това е точно онзи тип поведение, който сме дошли да изискваме от нашите компютри, телефони, таблети и часовници през годините, но тези възможности могат да причинят нежелани странични ефекти. Програмите могат да се държат лошо и да се сринат или да причинят срив на други програми; те могат да разчитат на някакво друго приложение на компютъра, което противоречи на нуждите на други програми; и все по-често програмите са злонамерени и се опитват да влязат в зоните извън границите, за да вършат лоши неща.
Пясъчник за браузър
Световната мрежа (www) се появи през 1989 г., а първият наистина популярен браузър Mosaic задвижва интернет в популярната култура. Мрежата е създадена за споделяне на документи; тя никога не е била създадена да поддържа това, което имаме сега: интернет базирана система за доставка, където софтуерът работи в облака. Тази пропаст между дизайна и реалната употреба създаде безброй възможности за лошите хора да използват уеб браузърите като механизъм за доставка на своя зловреден софтуер.
Линията, в която завършва физически настолен компютър и започва интернет, е много замъглена. Повечето от програмите, които стартираме днес, са частично или напълно зависими от жива интернет връзка, за да функционират. С тази постоянна интернет връзка, тананикаща на заден план, става очевидно, че много атрактивен вектор за атака са програмите, които използваме за достъп до интернет. В горната част на този списък е почитателният уеб браузър. Всъщност през 2016 г. интернет сигурността на компанията Sucuri регистрира над половин милиард (това е милиард с B) злонамерени заявки, насочени към уебсайтове и браузъри за един 30-дневен период.
Тъй като браузърите са толкова плодотворни и винаги са включени, те заслужават специално внимание. Много от днешните браузъри са проектирани да работят автоматично в собствените си пясъчни кутии без никакви настройки от страна на потребителя.
Google Chrome е пясъчник от самото начало.
Mozilla Firefox отне повече време, за да внедри пясъчни кутии, но вече е почти 100%.
Internet Explorer представи известно ниво на пясъчни файлове през 2006 г. с IE 7, а Microsoft Edge пясъчници всички процеси сега.
Браузърът Safari на Apple управлява и уебсайтове в отделни процеси.
Ако използвате екзотичен браузър или искате още по-голямо разделяне между вашата ОС и браузъра, може да искате да разгледате опциите за ръчна пясъчна кутия, изброени в следващия раздел.
Ръчен пясъчник
Въпреки че браузърите са много важна слабост във всяка операционна система, в никакъв случай те не са единствената слабост. Всяко приложение може да бъде злонамерено и следователно защитата на всеки компютър може да бъде засилена чрез използването на пясъчни кутии. Ръчното обработване на пясъчни кутии е процесът на целенасочено конфигуриране на вашата система към пясъчница на приложение, което иначе може да има пълен достъп до вашата система.
Виртуални машини
Виртуализацията на работния плот достигна дълъг път през последните години и сега е доста лесно да инсталирате и използвате виртуални машини. Виртуалната машина е както звучи: „машина“, която не е реална. Това наистина е просто софтуер. Най-честото използване на виртуална машина е да инсталирате копие на вашата операционна система в нея и да стартирате тази виртуална машина на вашия работен плот, сякаш е друга физическа машина. Този тип разделяне осигурява голяма степен на сигурност, тъй като програмите могат да имат достъп само до ресурси във виртуалната машина. Ако парче злонамерен софтуер би се хванало и заразило вашата система, то би могло да зарази само виртуалната машина, което ограничава размера на щетите, които може да нанесе. Възможно е дори да стартирате алтернативни операционни системи във виртуална машина, като например да стартирате дистрибуция на Linux във виртуална машина на компютър с Windows.
Има много приложения за виртуализация, всяка от които е насочена към конкретен тип случай на употреба. Най-популярните и зрели приложения за виртуализация на работния плот, с които нормалните потребители обикновено могат да се справят, са VirtualBox и Parallels.
Предистория: Виртуализацията се състои от две основни части. Терминът домакин се отнася до действителния физически компютър, който управлява софтуера за виртуализация. Терминът гост се отнася до операционната система, работеща в рамките на приложението за виртуализация.
VirtualBox
VirtualBox е собственост на Oracle и има клиенти за всяка основна операционна система. След като инсталирате VirtualBox, можете да създадете виртуална машина, като използвате бутона New. Ще трябва да предоставите носител за инсталиране на операционната система, защото VirtualBox не се предлага с това. Дистрибуциите на Linux лесно се намират в интернет – добър списък е разгласяването на уебсайтове и за патентовани операционни системи като Windows ще трябва да имате удобен инсталационен CD.
Parallels
Parallels е много подобен на VirtualBox с забележителното изключение, че работи само на macOS и е специално изграден за стартиране на Windows във виртуалната машина. Ако търсите тази комбинация – работеща с Windows на вашия работен плот на macOS – – паралелите може да са най-доброто решение за вас. Паралелите не са безплатни, но има 30-дневна безплатна пробна версия.
Sandboxie
Мотото на Sandboxie е Trust No Program. Работи единствено на Windows и претендира да отдели работещите програми от основната операционна система. Контролният панел Sandboxie се използва за определяне на конкретни програми, които да се изпълняват в пясъчна кутия. Най-често срещаните програми, които представляват най-големите заплахи, като браузъри и имейл програми, са посочени като опции за конфигуриране по подразбиране, а други приложения могат да се добавят при необходимост.
Данните вътре в Sandboxie се унищожават, когато пясъчната кутия е затворена, но е възможно да конфигурирате Sandboxie да остави важни данни непроменени. Папките, съдържащи имейли и отметки в уеб браузъра, са примери за данни, които могат да преживеят изтриването в пясъчна кутия.
Sandboxie е предназначен за домашни потребители и това се отразява в евтините му цени.
Qubes OS
QubesOS (произнася „Куби“) заслужава специално споменаване за виртуализация. Qubes използва хипервизора Xen вместо VirtualBox. Стартира няколко гост операционни системи и всяка от тях е отделна от другата. Това позволява пясъкоструенето на отделни приложения, всяко в рамките на собствена виртуална машина, а не просто пясъковане на цялата гост операционна система. Отличителната разлика на QubesOS е, че Xen е собствена операционна система; под него не работи операционна система „хост“. Тук съм писал повече за Qubes и други дистрибуции, фокусирани върху анонимността.
Отделянето на време за пясъчна кутия вашата система може да осигури солидна защита срещу много видове злонамерен софтуер и да помогне при разработването на софтуер. Няма заместител на здравословна доза параноя при използване на интернет, но изолирането на по-уязвимите ви приложения може да помогне.
Видове проблеми, които могат да причинят непясъчни програми
Програмите се разбиват една в друга
В първите дни на изчислението, процесорът раздаваше ресурси на базата „дойде-първа-обслужвана“. Това работеше добре, когато нашите компютри не правеха много, но в наши дни се използват много по-сложни методи за разпределение на ресурсите. Процесорите яростно защитават границите на разпределените от тях ресурси и ако програма се опита да получи достъп до ресурс, който не е специално определен за нея, програмата или други програми могат да се сринат.
Изпълнението на програма в пясъчна кутия позволява на системата предварително да разпределя ресурси като памет и дисково пространство преди програмата да поиска нещо. Това гарантира, че тези ресурси са готови за програмата, когато тя се нуждае от нея, а също така гарантира, че никоя друга програма не може да ги използва.
Програми с различни зависимости
Всяка програма има многобройни версии на себе си. Много малко програми са перфектни по всякакъв начин при първоначалното им стартиране, поради което ние постоянно се подлагаме на непрекъснатия цикъл на обновяване. Устройствата ни завинаги ни казват, че трябва да се прилагат актуализации или да са налични нови версии на нашите програми. Важно е да разрешите тези актуализации да се извършват възможно най-бързо, тъй като много от тези актуализации са свързани с проблеми със сигурността или ефективността. Прекъсването на надстройките обикновено прави вашето устройство по-малко защитено и работи в състояние, което е по-малко от идеалното.
Под основните приложения, които използваме и взаимодействаме всеки ден, са набор от помощни програми. Тези програми съществуват, за да помогнат на основното приложение да работи правилно. Ние хората рядко сме запознати с тези програми, но основната програма не би могла да функционира без тях. Тези помощни програми се наричат зависимости на езика на разработчиците. Както всяка друга програма, тези зависимости непрекъснато се актуализират и променят, поради което нещата могат да станат трудни.
Ако основна програма използва определена функция, която зависимостта предоставя, но зависимостта е надстроена и изведнъж вече няма тази функция, тогава основното приложение ще се срине. Основното приложение не получава очаквания резултат от тази зависимост. В много случаи грешката в зависимост е толкова неочаквана, че основното приложение просто ще се срине безцеремонно. Основният разработчик на приложения вероятно не е предупреден предварително за промени в зависимостта, така че може да е трудно да се отчете такава ситуация и да се справи с нея грациозно.
Повечето програмисти правят всичко възможно, за да се осигурят обратна съвместимост, което означава, че дори ако по-нова версия на приложението им няма функция, която е имала в миналото, тя ще обработва заявките за тази функция грациозно, така че други приложения в зависимост от нея да не се сриват. Въпреки това, някои много забележителни изключения като Java и Python са известни с това, че са много трудни за работа по време на надстройка. В света на Linux добре познатата фраза „ад на зависимостта“ се отнася до проблемите, присъщи на големите актуализации на системата. В някои случаи програмите за зависимост имат свои собствени зависимости и не е чуто да се окажат в ситуация на надграждане, при която не е възможно да се удовлетворят всички зависимости. Например, ако моята програма Puppy Vet Tracker се нуждае от версия 2.0 на някаква зависима програма, но програмата ми Quote Daily Star Wars се нуждае от версия 1.0 на една и съща зависима програма, тогава не е възможно да се удовлетвори това изискване и за двете програми.
Разработчиците често се сблъскват с този тип проблеми и пясъчната кутия е един от начините за справяне с нея. Създаването на пясъчна кутия и инсталирането на моя Puppy Vet Tracker ще позволи на зависимата програма да бъде надстроена до версия 2.0. Основната компютърна система ще остане с версия 1 на зависимата програма и затова все още мога да получа ежедневния си цитат на Star Wars. Печеливша.
Зловредни програми
Помислете за ситуация, при която приложение споделя вашия компютър с всички останали работещи програми. Някои от програмите, работещи на вашия компютър, може да съдържат чувствителна информация. Може би имате отворени правни документи, електронни електронни таблици или мениджър на пароли и тези приложения съхраняват някои данни в паметта. Съществуват злонамерени програми, които сондират около областите на компютъра, назначени за други програми, за да видят какво могат да намерят. През последните години разпределението на ресурсите стана по-добро, така че за програмата е по-трудно да получи достъп до данни, които не са в специално определени за нея области, но хакерските техники като опит да се чете извън паметта, присвоена на програмата, могат да работят.
Номерът за успешна ексфилтрация на данни (премахването на данни от вашата система) винаги се е разчитал на заблуждаване на потребителя на компютъра да инсталира зловреден софтуер. Това обикновено се прави със социална инженерия или фишинг тактика и може да доведе до компрометиране на едро на система, при която всеки файл може да бъде откраднат.
Програмите с пясъчник могат да осигурят много силна защита срещу злонамерени програми. Когато дадена програма е поставена с пясъчни файлове правилно, тя може да има достъп само до паметта и дисковото пространство, отредено за нея. Следователно, отварянето на чувствителни документи в пясъчна кутия обикновено ще предотврати възможността на злонамерената програма да получи достъп до тях, тъй като документът не е в същото пространство на паметта като злонамерената програма. След като каза това, има много съгласувани усилия от хакерите да проникнат във и излезли в пясъчниците. Това се казва избягайки от виртуалната среда и се счита за толкова сериозен тип атака, че наскоро Microsoft плати бонус в размер на 105 000 долара на хакерски екип с бели шапки, който демонстрира, че е възможно с помощта на браузъра Edge.
Пясъчниците са много важни за компютърната сигурност, защото позволяват на програмите да работят в контролирана среда и да не причиняват проблеми на други програми или на самия компютър. Това е подобно на пясъчницата на плажа, където пясъкът е забавен за игра, но не искаме да го има навсякъде. Браузърите са особено важни за пясъчниците, защото те са често използвани за достъп до интернет и могат да бъдат атакувани от злонамерени програми. Затова много от днешните браузъри имат вградени пясъчници, които ги правят по-сигурни за потребителите. Все пак, ако искате да бъдете още по-сигурни, можете да използвате ръчни пясъчници или виртуални машини, които ви позволяват да работите в изолирана среда. В крайна сметка, пясъчниците са важен инструмент за защита на компютърната сигурност и трябва да бъдат използвани от всички, които искат да се чувстват по-безопасно в интернет.
текст. Пясъчниците са важен инструмент за защита на компютърната сигурност, особено когато става въпрос за браузъри и интернет. Те ни позволяват да играем с програмите, без да се притесняваме за това, че те ще навредят на нашата система или ще изпратят лична информация на злонамерени хора. Ръчните пясъчници и виртуалните машини са допълнителни инструменти, които можем да използваме за по-голяма сигурност. Важно е да сме внимателни при избора на браузър и да се уверим, че той има вградена защита срещу зловредни програми. В крайна сметка, ние сме отговорни за сигурността на нашите компютри и трябва да вземаме мерки за защита на личната си информация.
в статията. Ръчният пясъчник може да бъде по-сложен за настройка и използване, но може да предостави по-голяма защита от зловредни програми и да осигури по-голям контрол върху това, какви ресурси се споделят между програмите. Виртуални машини също могат да бъдат полезни за изолиране на програми и за предотвратяване на проблеми с пясъка. В крайна сметка, важно е да се осъзнае, че споделянето на ресурси може да доведе до проблеми с пясъка, но с правилните мерки за защита и управление на ресурсите, можем да се наслаждаваме на многозадачността и да използваме интернет без да се притесняваме за зловредни програми.