Реклама
Посмотрите на приложения, которые вы используете чаще всего на вашем компьютере. Более чем вероятно, что многие из них предлагают функциональность с широкими возможностями подключения, в первую очередь ваш веб-браузер. Эти программы с широкими связями могут многое сделать, но они также являются открытым приглашением для бастующих злоумышленников.
Чтобы предотвратить успешное выполнение забастовок, разработчик должен определить и закрыть каждую дыру в своем коде, что просто невозможно. Вместо этого разработчики должны принять этот факт и планировать свой код с учетом этого. Наиболее распространенное и эффективное решение: песочница.
Песок в коробке?
Нет, я предпочитаю не локальную песочницу, а программные песочницы. Эти песочницы имеют одну ключевую цель: предотвратить распространение атаки. Как я упоминал выше, умные разработчики знают, что код не идеален, и что их продукт в конечном итоге будет взломан или иным образом проникнет. Чтобы защитить пользователя, они реализуют песочницу, которая изолирует части их программы. По сути, все, что происходит в песочнице, остается в этой песочнице.
Песочницы в действии
Чтобы объяснить песочницу в действии, я буду использовать Google Chrome в качестве основного примера. Chrome - один из наиболее известных продуктов для реализации песочницы, который Google с гордостью называет уникальной функцией безопасности среди браузеров. Google взял Chrome и по существу разделил его на три категории: основной процесс, который связывает все вместе, процесс (ы) вкладок, которые содержат страницы и включают рендерер, и процесс плагина (ES). Все эти категории имеют разные уровни разрешений, чтобы они могли работать, но эти разрешения являются минимальными, так что все они довольно ограничены. Кроме того, разные процессы не могут общаться друг с другом, а просто сосуществуют. Например, хотя содержимое Flash из плагина Flash может присутствовать на странице, процессы по-прежнему разделены и не общаются друг с другом. Рендерер оставляет место на странице только для отображения этого процесса. Эта неспособность общаться важна, потому что, если вкладка выходит из строя или перехватывается, это не может повлиять на другие вкладки, ни на саму систему.
У Firefox это тоже вроде
Firefox также имеет функцию песочницы, хотя и ограниченную, отделяющую его от сторонних плагинов, таких как Flash. Хотя браузер и все его вкладки объединены в один процесс, для всех плагинов существует отдельный процесс. В подходе Firefox он больше доверяет своему собственному коду, чем Googles с Chrome, и возлагает вину за любые проблемы с просмотром на плагины. Поэтому, если плагины зависают каким-либо образом, браузер и вкладки не затрагиваются.
Мыслить творчески
Хотя это хорошая стратегия - внедрять методы песочницы в сам код программы, существует множество других программ, которые вообще не имеют никакой песочницы. Вместо этого вы захотите запустить виртуальную песочницу, в которой вы сможете запускать программы, которые могут нанести столько же вреда, сколько и они могут, внутри песочницы, оставляя вашу систему в такте. Хотя это часто предназначается для тестирования программного обеспечения, также неплохо запустить веб-браузер или любое другое программное обеспечение, если вы параноик (или вставьте здесь другое ваше любимое слово). Очень популярный выбор для этого Sandboxie Как изолировать и протестировать небезопасные приложения на вашем ПК Прочитайте больше Но есть и другие бесплатные и платные продукты, которые могут достичь того же.
Заключение
Песочница в настоящее время является одной из самых горячих тем, когда речь заходит о безопасности, и она определенно справляется со своей задачей. Конечно, разработчики всегда должны сконцентрироваться на том, чтобы сделать свой код настолько качественным, насколько это возможно, но это определенно не помогает иметь некоторые планы действий на случай возникновения проблемы. Имейте в виду, что песочницы все еще не идеальны, так как песочница Chrome была побеждена в Pwn2Own 2012 после некоторых чрезвычайно сложных взломов, но они, безусловно, намного лучший выбор, чем вообще ничего.
Что вы думаете о приложениях для песочницы? Какие улучшения вы хотели бы видеть в песочнице веб-браузеров, или какие приложения, по вашему мнению, нуждаются в песочнице? Дайте нам знать об этом в комментариях!
Кредиты изображений: Кэти Грегори, Эрнст Викне
Дэнни - старший в Университете Северного Техаса, который пользуется всеми аспектами программного обеспечения с открытым исходным кодом и Linux.
