Cu mult înainte ca ideea Docker să apară în mintea creatorilor săi, a apărut proiectul LXC (LinuX Containers). S-a bazat pe aceleași tehnologii pentru separarea spațiilor de nume (Linux Namespaces) și în același mod a făcut posibilă crearea unui mediu de execuție minimalist, autonom (sandbox, container) pentru rularea serviciilor sau a aplicațiilor nesigure. Cu toate acestea, LXC nu era atât de prietenos cu utilizatorii noi și nu avea caracteristici Docker, cum ar fi un sistem de fișiere stratificat, capacitatea de a descărca și rula rapid o aplicație gata făcută și configurații pentru crearea automată a mediilor.

Mult mai devreme, FreeBSD a introdus tehnologia jail, care vă permite să creați sandbox-uri similare cu chroot, dar cu accent pe un nivel mai profund de izolare. Pentru o lungă perioadă de timpînchisoarea a fost mândria FreeBSD și chiar a servit drept prototip pentru tehnologia Solaris Zones. Cu toate acestea, astăzi nu mai poate oferi nivelul de flexibilitate și management al resurselor pe care LXC și Docker îl oferă, așa că, în general, închisoarea s-a trezit pe marginea istoriei. Astăzi, sandbox-urile în Linux pot fi create în mai multe moduri. moduri diferite. Acestea sunt deja menționate LXC și Docker cu spațiile lor de nume, acesta este mecanismul seccomp folosit de Chrome pentru a izola filele și pluginurile, acestea sunt tehnologii SELinux/AppArmor care vă permit să reglați fin accesul unei aplicații la orice. În acest articol ne vom familiariza cu cele mai convenabile pentru utilizator obișnuit instrumentele care sunt cele mai potrivite pentru rezolvare sarcini zilnice, ca:

• lansarea unei aplicații nedemne de încredere care poate dăuna sistemului;
• Izolarea browserului, clientului de e-mail și a altor aplicații, astfel încât piratarea acestora să nu conducă la scurgeri de date;
• lansarea de aplicații „unice” care nu ar trebui să lase urme pe sistem.

Sandbox MBOX

Să începem cu una dintre cele mai multe cutii cu nisip simple. Mbox nu este tocmai un instrument standard de izolare, nu reduce permisiunile rulează aplicația, nu realizează virtualizarea stiva de rețea si nu are nicio setare. Singura sarcină a lui Mbox este să se asigure că aplicația nu poate scrie nimic în sistemul de fișiere. Pentru a face acest lucru, creează un sistem de fișiere virtual special către care redirecționează toate solicitările I/O. Drept urmare, sub controlul Mbox, aplicația funcționează ca și cum nimic nu s-ar fi întâmplat, dar în timpul funcționării sale aveți posibilitatea de a aplica sau de a respinge anumite modificări ale sistemului de fișiere virtual la sistemul de fișiere real.

Acest concept este cel mai bine demonstrat printr-un exemplu de pe pagina oficială Mbox:

ÎN în acest caz, Mbox rulează Wget. Mbox ne spune cu atenție că Wget accesează 173.194.43.51 și portul 80 și scrie un fișier index.html pe care îl putem aplica sistemului principal (apăsați „c” pentru a face acest lucru), ignorați (i), vizualizați diferența, executam alte operațiuni sau închideți cu totul cererea. Puteți verifica cum funcționează totul prin simpla instalare a unui pachet Mbox gata făcut. În Debian/Ubuntu acest lucru se face astfel:

Pe Arch Linux, Mbox este disponibil în AUR, ceea ce face și mai ușor de instalat:

Asta e tot. Acum puteți rula orice fișiere binare fără să vă faceți griji că vor lăsa o ușă din spate în sistemul de fișiere. Dacă o aplicație trebuie să restricționeze accesul la anumite părți sistem de fișiere, puteți utiliza profiluri. Acestea sunt fișiere text obișnuite care listează directoare permise și refuzate. De exemplu, următorul profil va interzice accesul aplicației la directorul dvs. de acasă (~), dar va permite posibilitatea de a lucra cu fișierele din directorul curent (.):

O altă opțiune utilă este -n. Interzice complet accesul aplicației la Internet.

Izolarea lansărilor de aplicații folosind FIREJAIL

Este de la sine înțeles că pur și simplu refuzul accesului la fișiere este prea puțin pentru a crea cu adevărat cutii cu nisip izolate. Este posibil ca un cod rău intenționat sau un hacker să nu scrie nimic în sistem, ci pur și simplu să vă ia portofelul Bitcoin și baza de date cu parole KeePass sau să folosească vulnerabilitatea aplicației pentru a obține drepturi rootși părăsind cutia cu nisip. În plus, Mbox nu este prietenos cu software-ul grafic și, în general, nu este potrivit pentru rularea aplicațiilor complexe care pot scrie multe fișiere temporare pe disc și își pot actualiza constant bazele de date.

Sistem de izolare a aplicației SANDBOX.

Dacă nu există aplicații de care ai nevoie printre cele 95 de profiluri Firejail, iar ideea de a scrie singur profiluri nu te entuziasmează prea tare, atunci Sandbox este alegerea ta. Acest tip de sandbox este tehnic foarte diferit de cele două instrumente deja descrise (folosește reguli SELinux în loc de seccomp și Namespaces), dar în ceea ce privește funcționalitatea este ceva la mijloc.

La fel ca Mbox, Sandbox oprește complet aplicația din lumea exterioară, permițându-vă să citiți doar stdin (adică puteți trece date de la o altă aplicație la intrarea unei aplicații care rulează în sandbox) și să scrieți numai în stdout (afișare date de pe ecran sau redirecționați-le către o altă aplicație). Orice altceva, inclusiv accesul la sistemul de fișiere, semnale, alte procese și rețea, este interzis. Cel mai simplu exemplu de utilizare:

Această comandă citește fișierul /etc/passwd, extrage numele de utilizator din acesta și le scrie în fișierul /tmp/users. Nu este de nici un folos, dar demonstrează perfect principiile Sandbox. În sandbox, este rulată doar comanda cut, iar fișierul /etc/passwd însuși îi este transmis folosind o comandă externă. Ieșirea, pe de altă parte, este implementată folosind o redirecționare stdout normală.

Așa că am decis să abordăm pe scurt acest subiect.

În esență, un sandbox este un mediu software izolat cu resurse strict limitate pentru execuție în acest mediu codul programului(pur și simplu vorbind, lansarea de programe). Într-un fel, o „cutie de nisip” este o cutie de nisip redusă concepută pentru a izola procesele dubioase în scopuri de securitate.

O parte antivirusuri buneși firewall-urile (deși, de regulă, în versiunea lor plătită) folosesc această metodă fără știrea dvs., unele vă permit să gestionați această funcționalitate (din moment ce încă creează un consum inutil de resurse), dar există și programe care vă permit să implementați funcționalități similare .

Despre unul dintre acestea vom vorbi astăzi.

Sandboxie - prezentare generală, configurare și descărcare

După cum înțelegeți din titlu și subtitrare, vom vorbi despre program Sandboxie.

Din păcate, este shareware, dar aceeași perioadă gratuită te va ajuta să cunoști mai bine acest tip de instrumente care, poate, pe viitor te vor împinge să studiezi mai în detaliu, care, în cea mai mare parte, există într-un mod gratuit. formează și oferă mai multe oportunități.

În continuare, vi se va oferi să urmați un curs scurt despre lucrul cu programul sau, mai degrabă, vă vor spune puțin despre cum funcționează. Parcurgeți toți cei șase pași, de preferință citind cu atenție ceea ce este scris în instrucțiunile care vi se oferă.

Vrei să știi și să poți face mai multe singur?

Vă oferim training în următoarele domenii: calculatoare, programe, administrare, servere, rețele, construirea site-urilor web, SEO și multe altele. Află acum detaliile!

Pe scurt, în esență, puteți rula orice program într-un mediu izolat. Instrucțiunile, dacă le-ați citit, conțin o metaforă destul de bună pe tema că, în esență, un sandbox este o bucată de hârtie transparentă plasată între program și computer, iar ștergerea conținutului sandbox-ului este oarecum similară cu aruncarea. o coală de hârtie uzată și conținutul acesteia, cu, în mod logic, înlocuirea ulterioară cu una nouă.

Cum să configurați și să utilizați un program sandbox

Acum să încercăm să înțelegem cum să lucrăm cu asta. Pentru început, puteți încerca să rulați, să zicem, un browser într-un sandbox. Pentru a face acest lucru, de fapt, fie utilizați comanda rapidă care apare pe desktop, fie folosiți elementele de meniu din fereastra principală a programului: " DefaultBox - Rulați în sandbox - Lansați browserul web", sau, dacă doriți să lansați un browser care nu este instalat pe sistem ca browser implicit, atunci utilizați elementul " Rulați orice program" și specificați calea către browser (sau program).

După aceasta, browserul însuși va fi lansat în sandbox și veți vedea procesele sale în fereastră Sandboxie. Din acest moment, tot ce se întâmplă se întâmplă într-un mediu izolat, așa cum s-a spus deja de multe ori, și, de exemplu, un virus care folosește cache-ul browserului ca element pentru a pătrunde în sistem, de fapt, nu va putea face orice, pentru că după ce ai terminat de lucrat cu mediul izolat.. Îl poți curăța aruncând, după cum spunea metafora, foaia de hârtie mâzgălită și trecând la una nouă (fără a afecta în niciun fel integritatea computer ca atare).

Pentru a șterge conținutul sandbox-ului (dacă nu aveți nevoie), în fereastra principală a programului sau în tavă (aici se află ceasul și alte pictograme) utilizați elementul " DefaultBox - Ștergeți conținutul".

Atenţie! Va fi șters doar acea parte, care a fost scris și lucrat într-un mediu izolat, adică, să spunem, browserul în sine, nu va fi șters de pe computer, ci transferat pe acesta.. mmm.. relativ vorbind, o copie a procesului, un cache creat, datele salvate (cum ar fi fișierele descărcate/create) etc. vor fi șterse dacă nu le salvați.

Pentru a înțelege mai bine cum funcționează, încercați să lansați browserul și alt software în sandbox de mai multe ori, descarcând diverse fișiereși ștergerea/salvarea conținutului la finalizarea lucrului cu același sandbox și apoi, de exemplu, lansarea aceluiași browser sau program direct pe computer. Crede-mă, vei înțelege esența în practică mai bine decât poate fi explicată în cuvinte.

Apropo, făcând clic dreapta pe un proces din lista de procese din fereastră Sandboxie Puteți controla accesul la diferite resurse ale computerului ocolind sandbox-ul selectând „ Accesul la resurse".

În linii mari, dacă vrei să-ți asumi un risc și să dai, de exemplu, la fel Google Chrome, acces direct la orice folder de pe computer, apoi puteți face acest lucru în fila corespunzătoare ( Acces la fișiere - Acces direct/complet) folosind butonul „ Adăuga".

Este logic că sandbox-ul este destinat nu numai și nu atât pentru a lucra cu un browser și a vizita diverse site-uri dubioase, ci și pentru a lansa aplicații care ți se par suspecte (mai ales, de exemplu, la locul de muncă (unde lansează adesea fișiere dubioase). din e-mail sau unități flash) și/sau nu ar trebui să aibă acces la resursele principale ale computerului și/sau să lase acolo urme inutile.

Apropo, acesta din urmă poate fi un element bun pentru protecție, adică pentru rularea oricărei aplicații, ale cărei date trebuie izolate complet și șterse la terminarea lucrărilor.

Desigur, nu este necesar să ștergeți datele din sandbox la finalizare și să lucrați cu unele programe doar într-un mediu izolat (progresul este reținut și există posibilitatea recuperării rapide), dar dacă să faceți acest lucru sau nu depinde de dvs. .

Când încercați să lansați unele programe, este posibil să întâmpinați problema de mai sus. Nu-ți fie frică de asta, este suficient, pentru început, doar să apeși " Bine" și, mai târziu, deschideți setările sandbox folosind " DefaultBox - Setări Sandbox" și pe filă " Transferarea fișierelor" intreaba putin dimensiune mai mare pentru opțiunea de transfer de fișiere.

Nu vom vorbi acum despre alte setări, dar dacă sunt interesante pentru tine, atunci le poți da seama cu ușurință singur, din fericire totul este în rusă, este extrem de clar și accesibil.. Ei bine, dacă ai întrebări, poți întreba ei la comentarii la această intrare.

Acum, poate, putem trece la postfață.

Postfaţă

Oh, da, aproape că am uitat, desigur, că sandbox-ul consumă o cantitate crescută de resurse ale mașinii, deoarece mușcă (virtualizează) o parte din capacitate, ceea ce, în mod natural, creează o sarcină diferită de rularea lui direct. Dar, logic, securitatea și/sau confidențialitatea ar putea merita.

Apropo, utilizarea sandbox-urilor, chroot sau virtualizare, se referă parțial la metodologia de securitate fără antivirus pe care o folosim.

Probabil asta e tot pentru moment. Ca întotdeauna, dacă aveți întrebări, gânduri, completări etc., nu ezitați să comentați această postare.

Unele aplicații masive (cum ar fi paravanele de protecție Outpost Security Suite și Online Armor Premium Firewall, precum și fișierele executabile exe și msi cu conținut de neînțeles descărcate de pe Internet) pot perturba integritatea și stabilitatea sistemului. Instalarea lor într-un sistem de operare funcțional poate duce la apariția ecranelor BSOD la încărcarea sistemului de operare, la modificări ale setărilor browserului și chiar la răspândirea viermilor și a troienilor, ceea ce poate duce la furtul atacatorului de parole pentru conturile de rețele sociale, serviciile web. folosesti, cutie poştală etc.

Am scris anterior despre metodele populare de testare a noului software în articole despre și. În acest material vom vorbi despre un altul simplu, rapid și mod eficient rulează orice aplicație sub Windows într-un mediu protejat, izolat, iar numele acesteia este cutie cu nisip Sandboxie.

Ce este un sandbox?

În zonă securitatea calculatorului Un sandbox este un mediu special dedicat, conceput pentru a rula aplicații în siguranță pe un PC. Unele produse software complexe includ un mod de mediu sigur (sandbox). Astfel de aplicații includ firewall Comodo Internet Securitate Avast antivirus! (versiune cu plată), evoluții în domeniul protecției datelor de la Kaspersky Lab. Subiectul instrucțiunilor noastre despre articole, Program Sandboxie, este un instrument cu drepturi depline pentru testarea pe scară largă a oricăror programe fără a aduce modificări structurii și parametrilor sistemului de operare de lucru. Cum să lucrați cu el - citiți mai departe.

Descărcarea distribuției și instalarea Sandboxie

Înainte de a începe instalarea, ca întotdeauna, trebuie să descărcați pachetul de instalare online. Să profităm site-ul oficial proiect.

Deși dezvoltatorii oferă versiuni plătite produs pentru casă și uz de birou, versiunea distribuită către gratuit. Nu are restricții de timp. Singurul negativ este capacitatea de a lucra cu un singur sandbox și inaccesibilitatea unor parametri nu foarte critici.

După descărcarea distribuției, să începem procedura de instalare. Se desfășoară în 2 faze. În primul rând, sunt instalate bibliotecile de sistem și fișierele executabile Sandboxie.

În etapa finală vi se va cere să instalați driver de sistem, care reprezintă nucleul aplicației. Driverul va funcționa împreună cu fișierele de service, timpul de instalare va dura câteva momente. Suntem de acord și mergem mai departe.

Prima lansare a sandbox-ului Sandboxie

Când lansați aplicația pentru prima dată, ecranul va afișa o listă de programe pentru care puteți îmbunătăți compatibilitatea sandbox-ului. În ciuda faptului că nu toate aplicațiile disponibile în sistemul de operare sunt afișate în această listă, programul sandbox a determinat automat că, implicit, aceste programe nu sunt disponibile pentru administrare în Sandboxie. Suntem de acord să îmbunătățim compatibilitatea verificând toate elementele din listă și făcând clic pe OK.

În continuare, trebuie să trecem printr-o scurtă introducere în lucrul cu aplicația, cu care vă puteți familiariza principiu general lucru produs software, un mecanism pentru lansarea unui browser web în modul protejat, precum și o funcție de ștergere a conținutului sandbox-ului activ. Manualul este foarte concis, tot conținutul său se reduce la câteva apăsări de butoane pentru a efectua cele mai populare acțiuni și o ilustrare grafică cu metodologia de bază a serviciului.

Deci, când manualul este epuizat, putem începe să lucrăm într-un mediu izolat. Puteți lansa aplicația selectând elementul corespunzător din meniul „Start” sau făcând clic pe pictograma corespunzătoare sub forma „Aplicații” (Win 8/8.1).

O modalitate alternativă este să faceți dublu clic pe pictograma Sandboxie din bara de activități.

Ca urmare a lansării programului, pe ecran va apărea un formular cu un sandbox activ disponibil utilizatorului (rețineți încă o dată că în versiune gratuită Puteți crea doar un sandbox). Aproape toate operațiile sunt apelate din acest formular.

Rularea browserului în modul sandbox

Ei bine, haideți să lansăm browserul în modul protejat. Pentru a face acest lucru, puteți utiliza comanda rapidă de pe desktop sau făcând clic dreapta pe DefaultBox și selectând meniul contextual elementul „Run în sandbox” -> „Launch web browser”. Este de remarcat faptul că în acest fel puteți lucra cu browserul instalat pe sistem ca fiind activ implicit.

Includerea unui mediu izolat securizat este simbolizată de o margine galbenă care mărginește formularul browserului.

Cum să lucrezi cu el? Rulând browserul într-un sandbox, puteți accesa liber orice resurse, chiar și potențial periculoase, fără amenințarea de a vă infecta computerul cu orice cod rău intenționat. Acest mod va fi cu siguranță util dacă căutați chei pentru programe, crack-uri sau ați plasat un copil la computer sub supravegherea dvs. și vă temeți că ar putea dăuna sistemului trecând la resurse nesigure prin bannere sau schimbând setările browserului setând următoarea adăugare „super unică”. Niciun fișier descărcat folosind acest browser nu va avea acces la sistemul de lucru.

Când încercați să descărcați un fișier folosind un browser cu nisip, acordați atenție antetului formularului pentru a specifica numele de salvare. Numele acestui formular este încadrat de două simboluri #, ceea ce indică faptul că, la salvare, obiectul va fi plasat în shell-ul Windows Sandboxie și nu va fi disponibil într-un mod obișnuit. dispozitiv de disc.

Același lucru este valabil și pentru programele lansate.

În mod implicit, fișierele descărcate din rețea sunt oferite pentru a fi plasate în dosarul Desktop sau Descărcări. Aceste directoare sunt potrivite pentru sandboxing.

Cum să vă asigurați că fișierul descărcat este salvat în sandbox?

ÎN meniul de sus Selectați Vizualizare și bifați opțiunea Fișiere și foldere. Veți vedea un arbore de discuri disponibile și directoare de utilizatori cu care puteți lucra în modul protejat. Deschideți folderul de care aveți nevoie și asigurați-vă că fișierele corespunzătoare sunt acolo.

Este posibil să extrageți un fișier din sandbox plasându-l într-un folder similar pe o unitate de serviciu obișnuită?

Desigur, pentru a face acest lucru, faceți clic dreapta pe fișierul care urmează să fie restaurat și, în meniul contextual, selectați „Restaurare în același folder”. După aceasta, fișierul va fi extras.

De asemenea, puteți adăuga căi noi la folderele disponibile pentru salvare, specificându-le în formularul Setări Sandbox, categoria Recuperare -> secțiune Recuperare rapidă.

Pentru a deschide formularul Setări Sandbox, accesați opțiunea Sandbox din meniul de sus, apoi selectați subelementul DefaultBox și în meniul contextual care apare, faceți clic pe elementul Sandbox Settings.

Cum se instalează o nouă aplicație în sandbox?

Clic clic dreapta mouse-ul pe distribuția corespunzătoare salvată într-un mediu izolat sau într-un sistem de operare standard și selectați „Run în sandbox” din meniu

Aceasta va fi urmată de procedura standard de instalare, pe care o puteți înțelege în cel mai scurt timp. Singura avertizare: dacă doriți să testați un program pe 64 de biți, înainte de instalare, adăugați calea către folderul „C:\Program Files” în setările Sandboxie, deoarece în mod implicit poate exista doar o cale către directorul de sistem „C:\Program Files (x86)” . Puteți face acest lucru din nou în meniul Recuperare rapidă. Pentru ca modificările să intre în vigoare, faceți clic pe butonul „Aplicați” și reporniți instalarea dacă procesul rulează deja.

Cum să rulezi un program într-un sandbox?

Utilizatorul are două moduri de a lansa aplicația într-un mediu securizat.

Primul este un meniu contextual numit din elementul Sandbox din meniul de sus Sandboxie. Aici puteți rula orice: din extern client de mail la un demon de consolă conceput pentru a comprima fișierele într-un format audio alternativ.

A doua modalitate este să utilizați integrarea Sandboxie cu Windows Explorer. Pentru a face acest lucru, trebuie să faceți clic dreapta pe programul de care aveți nevoie pe un dispozitiv obișnuit de lucru și să selectați opțiunea „Run în sandbox”.

Rezultate

În general, trebuie spus că pe sistemele de operare pe 64 de biți ultima generatie Programul nu se simte foarte încrezător. Apar blocări periodice, ferestrele apar cu o notificare despre o încercare de restaurare imediată rularea proceselor. Cu toate acestea, cu un pic de joc cu setările, puteți face ca sandbox-ul Sandboxie să funcționeze stabil, eficient și fără rezerve, iar datorită integrării cu Explorer, lansarea aplicațiilor este lină și lină. Alături de alte metode de virtualizare, acest mecanism este un instrument excelent pentru depanarea și testarea aplicațiilor, care este util pentru un studiu detaliat al interacțiunii unui produs software cu mediul de operare.

Internetul este pur și simplu plin de viruși. Ei pot fi sub masca programe utile, sau chiar poate fi încorporat în programul de lucru dorit. (Destul de des întâlnit în programele piratate, așa că ar trebui să tratați programele piratate cu neîncredere, mai ales dacă descărcați de pe site-uri suspecte). Așa că ați instalat programul și altceva a fost instalat pe computer ca bonus (în cel mai bun caz, programe pentru navigarea ascunsă sau mineri), și în cel mai rău caz, războinici, uși din spate, hoți și alte trucuri murdare.

Există 2 opțiuni dacă nu aveți încredere în fișier.
— Rularea unui virus în sandbox
— Utilizarea mașinilor virtuale

În acest articol ne vom uita la prima opțiune - sandbox pentru Windows.

Sandbox pentru Windows este o oportunitate excelentă de a lucra cu fișiere suspecte, ne vom uita la cum să începem să utilizați sandbox.
Dacă utilizați antivirusuri, sandbox-urile sunt adesea încorporate în ele. Dar nu-mi plac aceste lucruri și cred că cel mai bine este să descărcați sandbox-ul de pe site-ul www.sandboxie.com.

Programul vă permite să rulați un fișier într-o zonă special desemnată, dincolo de care virușii nu pot scăpa și nu pot dăuna computerului.

Puteți descărca programul gratuit. Dar, după 2 săptămâni de utilizare, la pornire va apărea un semn care indică o ofertă de cumpărare a unui abonament, iar programul poate fi lansat în câteva secunde. Dar programul rămâne încă pe deplin funcțional. Instalarea nu va fi dificilă. Și interfața în sine este destul de simplă.

În mod implicit, programul va porni singur când porniți computerul. Dacă programul rulează, va apărea o pictogramă tavă. Dacă nu, accesați Start-All Programs-Sandboxie-Manage sandboxie.
Cel mai simplu mod de a rula un program în sandbox este să faceți clic dreapta pe fișierul de lansare sau pe scurtătura programului dorit, iar în meniu veți vedea cuvintele „Run in sandbox”, faceți clic și rulați. Selectați profilul dorit în care să rulați și faceți clic pe OK. Toate, programul necesar funcționează într-un mediu sigur și virușii nu vor scăpa din sandbox.

Atenție: unele programe infectate nu permit rularea în sandbox și mașini virtuale, obligându-te să-l rulezi exact așa. Dacă întâmpinați o astfel de reacție, cel mai bun lucru de făcut este să ștergeți fișierul, altfel alergați pe propriul risc și risc

Dacă lansarea în sandbox nu apare în meniul contextual (când dați clic dreapta), accesați fereastra programului, selectați Configurare - Integrare în Windows Explorer— și bifați cele două casete de sub „Acțiuni – rulați în sandbox”.

Puteți crea diferite casete cu nisip. Pentru a face acest lucru, faceți clic pe Sandbox - creați un sandbox și scrieți numele celui nou. De asemenea, le puteți șterge pe cele vechi din secțiunea sandbox (recomandat).

Nu mai este nimic de luat în considerare în program. În sfârșit, vreau să spun - Ai grijă de datele tale și de computerul tău! Până data viitoare

Postări înrudite:

Eliminarea fișierelor care nu se pot șterge de pe computer Mașină virtuală pentru Windows. Prezentare generală a programului și configurare Windows 10 dezactivează urmărirea

În procesul de publicare a ultimei părți a seriei de articole „Minciuni, minciuni mari și antivirusuri”, a devenit clar că publicul Habra este catastrofal needucat în domeniul sandbox-urilor antivirus, ce sunt acestea și cum funcționează. Ceea ce este amuzant în această situație este că aproape nu există surse sigure de informații despre această problemă pe Internet. Doar o grămadă de coji marketoid și texte de la Nu înțeleg cine în stilul „o bunica a spus, ascultă aici”. Va trebui să umplu golurile.

Definiții.

Deci, cutie cu nisip. Termenul în sine nu provine dintr-o cutie cu nisip pentru copii, așa cum ar putea crede unii, ci din cea folosită de pompieri. Acesta este un rezervor de nisip în care puteți lucra în siguranță cu obiecte inflamabile sau puteți arunca ceva care arde deja în el, fără să vă temeți să dați foc la altceva. Reflectând analogia acestei structuri tehnice cu componenta software, putem defini un sandbox software ca „un mediu de execuție izolat cu drepturi controlate”. Exact așa funcționează, de exemplu, sandbox-ul unei mașini Java. Și orice alt sandbox, indiferent de scopul său.

Trecem la sandbox-uri antivirus, a căror esență este protejarea principalului sistem de lucru din conținutul potențial periculos, putem distinge trei modele de bază pentru izolarea spațiului sandbox de restul sistemului.

1. Izolare bazată pe virtualizare completă. Folosiți oricare mașină virtuală ca un strat de protecție peste sistemul de operare invitat unde browserul și alte potențial programe periculoase, prin care utilizatorul se poate infecta, oferă suficient nivel înalt protecția sistemului principal de lucru.

Dezavantajele acestei abordări, pe lângă dimensiunea monstruoasă a distribuției și consumul mare de resurse, constă în inconvenientul schimbului de date între sistemul principal și sandbox. Mai mult, trebuie să returnați constant statul sistem de fișiere iar registrul la cele originale pentru a elimina infecția din sandbox. Dacă acest lucru nu se face, atunci, de exemplu, agenții spamboți își vor continua munca în interiorul sandbox-ului ca și cum nimic nu s-ar fi întâmplat. Cutia de nisip nu are nimic care să le blocheze. În plus, nu este clar ce să faci cu mediile portabile de stocare (unități flash, de exemplu) sau jocuri descărcate de pe Internet, care pot conține marcaje rău intenționate.

Un exemplu de abordare este Invincea.

2. Izolarea bazată pe virtualizarea parțială a sistemului de fișiere și a registrului. Nu este deloc necesar să purtați motorul mașinii virtuale cu dvs., puteți împinge sisteme de fișiere duplicate și obiecte de registry la procesele din sandbox, plasând aplicații în sandbox pe mașina de lucru a utilizatorului. O încercare de a modifica aceste obiecte va schimba doar copiile în interiorul sandbox-ului, datele reale nu vor fi afectate. Controlul drepturilor nu face posibilă atacarea sistemului principal din interiorul sandbox-ului prin interfețele sistemului de operare.

Dezavantajele acestei abordări sunt, de asemenea, evidente - schimbul de date între mediul virtual și cel real este dificil, curățarea constantă a containerelor de virtualizare este necesară pentru a readuce sandbox-ul la starea sa originală, neinfectată. De asemenea, sunt posibile defecțiuni sau ocolirea acestui tip de sandbox și eliberarea de coduri de programe rău intenționate în sistemul principal, neprotejat.

Exemplu de abordare - SandboxIE, BufferZone, ZoneAlarm ForceField, Mediu Sandbox Kaspersky Internet Securitate, Comodo Securitate Internet sandbox, sandbox Avast Internet Security.

3. Izolarea bazată pe reguli. Toate încercările de modificare a sistemului de fișiere și a obiectelor de registry nu sunt virtualizate, ci sunt luate în considerare din punctul de vedere al unui set de reguli interne ale instrumentului de protecție. Cu cât un astfel de set este mai complet și mai precis, cu atât programul oferă mai multă protecție împotriva infecției sistemului principal. Adică, această abordare reprezintă un compromis între comoditatea schimbului de date între procesele din interiorul sandbox-ului și sistem realși nivelul de protecție împotriva modificărilor rău intenționate. Controlul drepturilor nu face posibilă atacarea sistemului principal din interiorul sandbox-ului prin interfețele sistemului de operare.

Avantajele acestei abordări includ și absența necesității de a reveni în mod constant la starea inițială a sistemului de fișiere și a registrului.

Dezavantajele acestei abordări sunt complexitatea software-ului de implementare a celui mai precis și complet set de reguli și posibilitatea de a anula doar parțial modificările în sandbox. La fel ca orice sandbox care funcționează pe baza unui sistem funcțional, este posibilă o defecțiune sau ocolire a mediului protejat și eliberarea de cod rău intenționat în mediul de execuție principal, neprotejat.

Exemplu de abordare - DefenseWall, Windows Software Restriction Policy, Limited Cont de utilizator+ ACL.

Există, de asemenea, abordări mixte pentru izolarea proceselor sandbox de restul sistemului, bazate atât pe reguli, cât și pe virtualizare. Ei moștenesc atât avantajele, cât și dezavantajele ambelor metode. Mai mult, dezavantajele prevalează din cauza particularităților percepției psihologice a utilizatorilor.

Exemple de abordare - GeSWall, utilizator Windows Controlul contului(UAC).

Metode de luare a deciziilor privind plasarea sub protecție.

Să trecem la metode pentru a decide dacă să plasăm procesele sub protecție sandbox. Există trei de bază:

1. Pe baza regulilor. Adică, modulul de luare a deciziilor se uită la baza internă a regulilor de lansare a anumitor aplicații sau potențial fișiere periculoaseși, în funcție de aceasta, lansează procese în sandbox sau în afara acestuia, pe sistemul principal.

Avantajele acestei abordări sunt cel mai înalt nivel de protecție. Închis ca rău intenționat fișiere de program, care provin din locuri potențial periculoase prin sandbox și fișiere neexecutabile care conțin scripturi rău intenționate.

Dezavantaje - pot apărea probleme la instalarea programelor care au venit prin sandbox (deși listele albe facilitează foarte mult această sarcină), necesitatea de a lansa manual procesele în zona principală, de încredere, pentru a actualiza programele care sunt actualizate numai în interiorul lor (de exemplu, Mozilla FireFox, UTorrent sau Opera).

Exemple de programe cu această abordare sunt DefenseWall, SandboxIE, BufferZone, GeSWall.

2. Pe baza drepturilor utilizatorului. Acesta este modul în care funcționează Contul de utilizator limitat Windows și protecția bazată pe SRP și ACL. Când un utilizator nou este creat, i se acordă drepturi de acces la anumite resurse, precum și restricții de acces la altele. Dacă este necesar, programe de lucru cu substanțe interzise utilizator dat resurse, trebuie fie să vă reconectați în sistem sub un utilizator cu un set adecvat de drepturi și să rulați programul, fie să îl rulați singur sub un astfel de utilizator, fără a vă reconecta în utilizatorul principal care lucrează (Fast User Switch).

Avantajele acestei abordări sunt un nivel relativ bun de securitate generală a sistemului.

Dezavantaje: managementul securității non-trivial, posibilitatea de infectare prin resurse permise pentru modificare, deoarece modulul de luare a deciziilor nu urmărește astfel de modificări.

3. Pe baza abordărilor euristice. În acest caz, modulul de luare a deciziilor „se uită” la fișier executabilși încearcă să ghicească, pe baza datelor indirecte, dacă să-l ruleze pe sistemul principal sau în sandbox. Exemple – Kaspersky Internet Security HIPS, sandbox Comodo Internet Security.

Avantajele acestei abordări sunt că este mai transparentă pentru utilizator decât o abordare bazată pe reguli. Mai ușor de întreținut și implementat pentru compania producătoare.

Dezavantaje: inferioritatea unei astfel de protecție. Pe lângă faptul că euristica modulului de luare a deciziilor poate „rata” pe modulul executabil, astfel de soluții demonstrează o rezistență aproape nulă la fișierele neexecutabile care conțin scripturi rău intenționate. Ei bine, plus câteva probleme (de exemplu, cu instalarea de extensii rău intenționate din interiorul browserului însuși, din corpul exploit-ului).

Separat, aș dori să atrag atenția asupra metodei de utilizare a sandbox-ului ca mijloc de euristică, adică. lansarea unui program în acesta pentru o anumită perioadă de timp, urmată de analiza acțiunilor și adoptare solutie generala despre malware – această abordare nu poate fi numită un sandbox antivirus cu drepturi depline. Ei bine, ce fel de sandbox antivirus este acesta, care este instalat doar pentru o perioadă scurtă de timp cu posibilitatea de a-l elimina complet?

Moduri de utilizare a sandbox-urilor antivirus.

Există doar două principale.

1. Modul de protecție permanent. Când începe un proces care ar putea reprezenta o amenințare pentru sistemul principal, acesta este plasat automat într-un sandbox.

2. Mod de protecție manuală. Utilizatorul decide independent să lanseze această sau acea aplicație în interiorul sandbox-ului.

Pot avea și nisipuri care au modul principal de funcționare ca „protecție permanentă”. modul manual lansa. La fel și invers.

Casetele de testare cu izolație bazată pe reguli folosesc de obicei modul de protecție persistent, deoarece comunicarea dintre sistemul gazdă și procesele din interiorul casetei de testare este complet transparentă.

Sandbox-urile euristice se caracterizează și prin utilizarea modului de protecție constantă, deoarece schimbul de date între sistemul principal și procesele din interiorul sandbox-ului este absolut nesemnificativ sau se reduce la acesta.

Sandbox-urile non-euristice cu izolare bazată pe virtualizare parțială sunt caracterizate printr-un mod de protecție manual. Acest lucru se datorează schimbului dificil de date între procesele din interiorul sandbox-ului și sistemul principal de lucru.

Exemple:

1. DefenseWall (un sandbox cu izolare bazată pe reguli) are un mod principal de operare „bazat pe reguli”. Cu toate acestea, lansarea manuală a aplicațiilor în interiorul sandbox-ului, precum și în afara acestuia, este prezentă.

2. SandboxIE (sandbox și izolare bazată pe virtualizare parțială) are un mod de operare principal „manual”. Dar atunci când achiziționați o licență, puteți activa modul „constant pe reguli”.

3. Comodo Internet Security sandbox (sandbox cu izolare bazată pe virtualizare parțială) are un mod principal de operare de „euristică constantă”. Cu toate acestea, lansarea manuală a aplicațiilor în interiorul sandbox-ului, precum și în afara acestuia, este prezentă.

Iată, practic, lucrurile de bază pe care orice profesionist care se respectă ar trebui să le cunoască: sandbox-uri antivirus. Fiecare program separat propriile dvs. caracteristici de implementare, pe care dvs. va trebui să le găsiți, să înțelegeți și să evaluați avantajele și dezavantajele pe care le aduce.