• Jak udělat sandboxovou hru. Antivirové sandboxy. Úvod

    V poslední době jsou počítačoví zločinci tak vynalézaví, že zprávy o virových epidemiích nejsou překvapivé a staly se obecně běžnými. Nicméně vidět zprávy o distribuci nového trojského koně na 3DNews je jedna věc, ale najít právě tohoto trojského koně ve svém počítači je něco úplně jiného. Na internetu najdete spoustu rad, jak se nestát obětí podvodníků: od používání moderních verzí softwaru, které mají uzavřená všechna známá zranitelnost, až po spolehlivé moderní bezpečnostní řešení ve vašem počítači.

    V některých případech však ani ten nejspolehlivější firewall a nejchytřejší antivirus nemohou zachránit uživatele před infekcí. K tomu dochází, když si program chránící počítač není jistý škodlivou akcí spouštěné aplikace nebo skriptu spuštěného na webové stránce, v důsledku čehož ponechává rozhodnutí o povolení akce na uživateli. Můžete se dobře rozhodnout, že je antivirus příliš podezřelý, nebo jednoduše po přemýšlení klikněte na tlačítko „OK“, čímž povolíte spuštění škodlivého kódu.

    Co dělat? Je opravdu kvůli možnosti vyzvednutí trojského koně lepší nespouštět nové aplikace a úplně se vzdát surfování po webu? Existuje vynikající řešení, které pro mnohé může být vynikajícím doplňkem všech prostředků na ochranu počítače před škůdci. Mluvíme o práci s aplikacemi v sandboxu.

    Sandbox je izolované prostředí, které má malé množství místa na pevném disku a je nezávislé na skutečném operačním systému. Když spustíte program v karanténě, funguje stejně jako běžná aplikace, ale nemůže ovlivnit žádné systémové komponenty, které jsou mimo prostředí izolovaného prostoru. To znamená, že ze sandboxu není možné provádět změny v systémovém registru, nahrazovat systémové soubory nebo provádět jakékoli jiné akce, které mohou ovlivnit stabilitu systému. Díky tomu lze sandbox používat k bezpečnému surfování po internetu a ke spouštění neznámých aplikací. Takto izolované prostředí lze využít i pro jiné aplikace – například programátoři a testeři v něm mohou spouštět nestabilní verze programů.

    ⇡ „Sandbox“ v aplikaci Kaspersky Internet Security 2010

    O tom, že práce s aplikacemi v sandboxu může být užitečná širokému spektru uživatelů, svědčí i to, že se odpovídající funkce objevila v programu Kaspersky Internet Security v loňském roce. Uživatelé této bezpečnostní sady mohou spouštět podezřelé aplikace v izolovaném prostředí, pokud je otevřou pomocí možnosti „Spustit v zabezpečeném prostředí“ v místní nabídce Windows. Pro přehlednost bude okno programu běžícího v izolovaném prostředí obklopeno zeleným rámečkem.

    Aplikace Kaspersky Internet Security také umožňuje vytvořit seznam programů, se kterými může být práce potenciálně nebezpečná (můžete zahrnout například prohlížeč). Chcete-li to provést, musíte otevřít sekci „Ovládání aplikací“ v nastavení aplikace a pomocí tlačítka „Přidat“ přidat program do seznamu. Pokud poté otevřete program z okna Kaspersky Internet Security, bude fungovat v izolovaném prostředí. Tuto funkci je vhodné použít, řekněme, pokud během relace prohlížeče plánujete navštívit stránky, které mohou obsahovat podezřelý kód. Navíc taková funkce může být dobrou náhradou za režim soukromí, který se objevil v nejnovějších verzích populárních prohlížečů.

    Je však třeba poznamenat, že aplikace Kaspersky Internet Security poskytuje pouze nejzákladnější možnosti pro spouštění programů v karanténě. Specializované aplikace mají mnohem více možností. Podívejme se na některé oblíbené programy určené pro práci v izolovaném prostředí.

    ⇡ Sandboxie 3.44

    • Vývojář: Ronen Tzur
    • Velikost distribuce: 1,6 MB
    • Distribuce: shareware
    • Ruské rozhraní: ano

    Sandboxie je bezesporu nejznámějším sandboxovým řešením. Program využívá klasický způsob ochrany, uživatelem určená aplikace je umístěna v izolovaném prostředí, v důsledku čehož nemůže ovlivnit chod systému. Zajímavé je, že Sandboxie byl navržen pro použití s ​​prohlížečem Internet Explorer, který je jedním z nejoblíbenějších cílů kybernetických zločinců. Sandboxie však nyní umí pracovat s téměř jakoukoli aplikací pro Windows.

    Jednou z vlastností Sandboxie, která jej odlišuje od mnoha jiných podobných programů, je možnost vytvářet neomezený počet sandboxů. V tomto případě si uživatel může vytvořit seznam aplikací, které budou v každé z nich spuštěny. Ve výchozím nastavení si program sám vytvoří sandbox s názvem DefaultBox, takže se Sandboxie můžete začít pracovat ihned po instalaci. Chcete-li otevřít program nebo dokument v izolovaném prostředí, vyberte příkaz "Spustit v karanténě", který se zobrazí v kontextové nabídce Windows.

    Pokud v budoucnu vytvoříte další karantény, můžete požádat program, aby otevřel soubory a aplikace v jiné karanténě než DefaultBox. Chcete-li to provést, vyberte z nabídky Start "Sandboxie Start Menu" a změňte výchozí sandbox.

    Aplikace v izolovaném prostředí můžete spouštět nejen z kontextové nabídky, ale také přímo z okna Sandboxie. Chcete-li to provést, musíte kliknout pravým tlačítkem myši na název „pískoviště“ a vybrat příslušný příkaz (tato nabídka je k dispozici také po kliknutí na ikonu Sandboxie na systémové liště).

    Mimochodem, pro urychlení výběru můžete použít příkazy „Spustit webový prohlížeč“ a „Spustit e-mailového klienta“, které standardně otevírají aplikace nainstalované v systému. Pomocí kontextové nabídky karantény můžete provádět další příkazy, jako je zavření všech aplikací v karanténě jediným kliknutím, zobrazení obsahu karantény nebo jejich úplné odstranění.

    Aby bylo možné rychle identifikovat program, který běží v izolovaném prostředí, poskytuje Sandboxie speciální příkaz „Okno v karanténě?“, po jeho výběru se na obrazovce objeví speciální zaměřovací kříž a jeho přetažením do požadovaného okna můžete získat informace o stavu programu.

    Pokud však sandbox pracuje s výchozími parametry, pak tento nástroj není potřeba, protože vedle názvu aplikace v záhlaví se objeví ikona [#]. Pokud z nějakého důvodu potřebujete zakázat zobrazování ikony v záhlaví, lze to provést v nastavení sandboxu. Kromě toho můžete do názvu okna přidat název „pískoviště“ a také kolem okna nakreslit tenký rámeček libovolné barvy, což vám pomůže jasněji určit, zda k němu patří.

    Přístupem k dalším nastavením karantény můžete flexibilně konfigurovat přístupová oprávnění k různým zdrojům. Můžete tak určit, ke kterým souborům a složkám bude přístup blokován, které programy budou mít přístup pouze pro čtení, a také nakonfigurovat interakci s klíči systémového registru.

    V případě potřeby si v nastavení sandboxu můžete určit aplikace, které se v něm budou nuceně spouštět. Jinými slovy, když spustíte zadaný soubor, Sandboxie zachytí aplikaci a zabrání jí v normálním běhu. Program umožňuje určit nejen jednotlivé spustitelné soubory, ale také složky, ze kterých se budou otevírat v bezpečném prostředí při spuštění jakékoli aplikace. Posledně jmenovanou funkci lze například použít ke spuštění nových programů, které byly staženy z internetu do složky Stažené soubory.

    ⇡ BufferZone Pro 3.31

    • Vývojář: Trustware
    • Velikost distribuce: 9,2 MB
    • Distribuce: shareware
    • Ruské rozhraní: ne

    BufferZone Pro je dalším dobrým řešením pro spouštění aplikací v izolovaném prostředí. Přestože program může spouštět různé aplikace v karanténě, je navržen především pro práci s prohlížeči, IM klienty, programy pro sdílení souborů typu peer-to-peer a dalším internetovým softwarem. Svědčí o tom i fakt, že BufferZone má zpočátku poměrně rozsáhlý seznam aplikací, které standardně běží v nouzovém režimu. Mezi nimi jsou Mozilla Firefox, Google Chrome, ICQ, BitComet, Skype, GoogleTalk a další. Uživatel může tento seznam upravovat podle vlastního uvážení, přidávat do něj další programy a odstraňovat nepotřebné.

    Podobně jako výše diskutovaný nástroj může BufferZone sledovat všechny aplikace, které běží na počítači, a přesměrovat je do sandboxu. BufferZone může také blokovat spouštění neznámých programů.

    Na rozdíl od Sandboxie tento program neposkytuje možnost vytvářet více karanténních boxů. Okna všech programů spuštěných v karanténě jsou ohraničena červeným rámečkem. Můžete také vidět, které programy aktuálně běží v karanténě v hlavním okně BufferZone. Zobrazí se také stručné statistiky o provozu programů v izolovaném prostředí. BufferZone nejen počítá, kolik akcí takové aplikace provedly, ale také vede záznamy o potenciálně nebezpečných operacích v systému a bezpečnostních hrozbách, kterým bylo zabráněno.

    V případě, že program v karanténě spustí škodlivý kód nebo jiné destruktivní akce, můžete rychle smazat všechna data spojená s aplikacemi běžícími v prostředí karantény. Navíc je možné taková data automaticky mazat podle uživatelem definovaného plánu.

    BufferZone má také některé další funkce, které přímo nesouvisí s organizací sandboxu, ale pomáhají zvýšit celkovou úroveň zabezpečení počítače. Pomocí programu tak můžete zakázat otevírání souborů z externích pevných disků, DVD a USB disků nebo povolit práci s takovými daty pouze v izolovaném prostředí.

    Na závěr podotýkáme, že kromě placené verze BufferZone Pro existuje také bezplatná edice programu. Implementuje řadu omezení, například nelze vytvořit snímek virtuálního prostředí a obnovit data v něm uložená. Bezplatná verze má navíc méně aplikací, u kterých je ochrana ve výchozím nastavení povolena.

    ⇡ Závěr

    Při výběru specializovaného programu pro spouštění aplikací v sandboxu je třeba mít na paměti, že existují dva hlavní přístupy k organizaci izolovaného prostředí. V prvním případě je vytvořen „sandbox“ pro aplikace zadané uživatelem a během jedné relace práce na počítači používá jak programy běžící v izolovaném prostředí, tak programy běžící v normálním režimu. Programy, které používají tento přístup k organizaci ochrany systému, byly popsány v tomto článku.

    Ne vždy je však takové řešení přijatelné. Existuje druhý přístup k organizaci provozu softwaru v izolovaném prostředí, který zahrnuje vytvoření „sandboxu“ velikosti celého operačního systému. V tomto případě se vytvoří obraz fungujícího systému, po kterém uživatel začne pracovat s ním, a ne s reálným prostředím. Všechny jím provedené akce jsou uloženy pouze do restartu a po jeho dokončení se systém vrátí do původního stavu. Toto řešení je vhodné použít na veřejných počítačích, například v internetových kavárnách, počítačových třídách atd. O programech, které lze použít k organizaci takové ochrany, si povíme v druhé části článku.

    Můžete se donekonečna dívat na oheň, vodu a činnost programů izolovaných v sandboxu. Díky virtualizaci můžete jedním kliknutím odeslat výsledky této činnosti – často nebezpečné – do zapomnění.

    Virtualizace se však používá také pro výzkumné účely: například jste chtěli ovládat dopad čerstvě zkompilovaného programu na systém nebo spouštět dvě různé verze aplikace současně. Nebo vytvořte samostatnou aplikaci, která nezanechá v systému žádné stopy. Existuje mnoho možností, jak využít sandbox. Jeho podmínky v systému nediktuje program, ale vy mu ukazujete cestu a rozdělujete prostředky.

    Pokud nejste spokojeni s pomalostí procesu, pomocí nástroje ThinApp Converter můžete virtualizaci spustit. Instalační programy budou vytvořeny na základě vámi zadané konfigurace.

    Obecně vývojáři doporučují provádět všechny tyto přípravy za sterilních podmínek, na čerstvém OS, aby byly vzaty v úvahu všechny nuance instalace. Pro tyto účely můžete použít virtuální stroj, ale to se samozřejmě podepíše na rychlosti práce. VMware ThinApp již poměrně silně zatěžuje systémové prostředky, a to nejen v režimu skenování. Jak se však říká, pomalu, ale jistě.

    BufferZone

    • Webová stránka: www.trustware.com
    • Vývojář: Trustware
    • Licence: freeware

    BufferZone řídí internetovou a softwarovou aktivitu aplikací pomocí virtuální zóny, která se těsně přibližuje k firewallům. Jinými slovy, používá virtualizaci řízenou pravidly. BufferZone snadno funguje ve spojení s prohlížeči, instant messengery, e-mailem a P2P klienty.

    V době psaní tohoto článku vývojáři varovali před možnými problémy při práci s Windows 8. Program může zabít systém, načež bude muset být odstraněn prostřednictvím nouzového režimu. To je způsobeno ovladači BufferZone, které se dostávají do vážného konfliktu s OS.

    Co spadá pod radar BufferZone, lze sledovat v hlavní sekci Souhrn. Počet omezených aplikací si určíte sami: k tomu je určen seznam Programy ke spuštění uvnitř BufferZone. Zahrnuje již potenciálně nebezpečné aplikace, jako jsou prohlížeče a e-mailové klienty. Okolo okna zachycené aplikace se zobrazí červený rámeček, který vám dává jistotu bezpečného surfování. Pokud chcete běžet mimo zónu - žádný problém, ovládání lze obejít přes kontextové menu.

    Kromě virtuální zóny existuje ještě něco jako soukromá zóna. Můžete přidat stránky, kde je vyžadována přísná důvěrnost. Hned je třeba poznamenat, že funkce funguje pouze v retro verzích Internet Exploreru. Modernější prohlížeče mají vestavěné funkce anonymity.

    Sekce Zásady konfiguruje zásady týkající se instalačních programů a aktualizací a také programů spouštěných ze zařízení a síťových zdrojů. V části Konfigurace také uvidíte další možnosti zásad zabezpečení (Advanced Policy). Existuje šest úrovní ovládání, podle toho, jak se mění postoj BufferZone k programům: bez ochrany (1), automatický (2) a poloautomatický (3), upozornění na spuštění všech (4) a nepodepsaných programů (5), maximální ochrana (6) .

    Jak vidíte, hodnota BufferZone spočívá v úplné kontrole internetu. Pokud potřebujete flexibilnější pravidla, pomůže vám jakýkoli firewall. BufferZone ho má také, ale spíše pro parádu: umožňuje blokovat aplikace, síťové adresy a porty. Z praktického hlediska není příliš vhodný pro aktivní přístup k nastavení.

    Vyhodnotit

    • Webová stránka: www.evalaze.de/en/evalaze-oxide/
    • Vývojář: Dögel GmbH
    • Licence: freeware / komerční (2142 eur)

    Hlavním rysem Evalaze je flexibilita virtualizovaných aplikací: lze je spouštět z vyměnitelných médií nebo ze síťového prostředí. Program umožňuje vytvářet zcela autonomní distribuce, které pracují v emulovaném souborovém systému a prostředí registru.

    Hlavním rysem Evalaze je jeho pohodlný průvodce, který je srozumitelný bez čtení manuálu. Nejprve si před instalací programu vytvoříte bitovou kopii operačního systému, poté jej nainstalujete, provedete zkušební provoz a nakonfigurujete jej. Dále, po průvodci Evalaze, analyzujete změny. Velmi podobný principu fungování odinstalátorů (například Soft Organizer).

    Virtualizované aplikace mohou pracovat ve dvou režimech: v prvním případě jsou operace zápisu přesměrovány do sandboxu, ve druhém může program zapisovat a číst soubory na skutečném systému. Zda program smaže stopy své činnosti nebo ne, je na vás; možnost Automaticky odstranit staré pískoviště je k vašim službám.

    Mnoho zajímavých funkcí je dostupných pouze v komerční verzi Evalaze. Mezi ně patří úpravy prvků prostředí (jako jsou soubory a klíče registru), import projektů a nastavení režimu čtení. Licence však stojí více než dva tisíce eur, což, souhlasím, mírně překračuje psychologickou cenovou bariéru. Použití online virtualizační služby je nabízeno za podobně neúměrnou cenu. Jako útěchu web vývojáře připravil virtuální ukázkové aplikace.

    Cameyo

    • Webová stránka: www.cameyo.com
    • Vývojář: Cameyo
    • Licence: freeware

    Letmý pohled na Cameyo napovídá, že funkce jsou podobné Evalaze a na tři kliknutí vytvoříte distribuci s virtualizovanou aplikací. Balíčkovač pořídí snímek systému, porovná jej se změnami po instalaci softwaru a vytvoří ekosystém pro spuštění.

    Nejdůležitější rozdíl oproti Evalaze je, že program je zcela zdarma a neblokuje žádné možnosti. Nastavení jsou vhodně koncentrovaná: přepínání způsobu virtualizace s ukládáním na disk nebo do paměti, výběr režimu izolace: ukládání dokumentů do určených adresářů, zákaz zápisu nebo úplný přístup. Kromě toho můžete nakonfigurovat virtuální prostředí pomocí editoru souborů a klíčů registru. Každá složka má také jednu ze tří úrovní izolace, které lze snadno přepsat.

    Režim čištění karantény můžete určit po ukončení samostatné aplikace: odstranění stop bez čištění a zápis změn registru do souboru. K dispozici je také integrace s Průzkumníkem a možnost odkazovat na konkrétní typy souborů v systému, což není dostupné ani u placených protějšků Cameyo.

    Nejzajímavější však není místní část Cameyo, ale online balič a veřejné virtuální aplikace. Stačí zadat URL nebo nahrát na server instalační program MSI nebo EXE s uvedením bitové hloubky systému a obdržíte samostatný balíček. Od této chvíle je k dispozici pod střechou vašeho cloudu.

    souhrn

    Sandboxie bude nejlepší volbou pro experimenty v sandboxu. Program je z uvedených nástrojů nejinformativnější, má monitorovací funkci. Široká škála nastavení a dobré možnosti pro správu skupiny aplikací.

    Nemá žádné unikátní funkce, ale je velmi jednoduchý a bezproblémový. Zajímavý fakt: článek byl napsán uvnitř tohoto „pískoviště“ a díky nešťastné chybě se všechny změny dostaly do „stínu“ (čti: astrální rovina). Nebýt Dropboxu, vyšel by na této stránce úplně jiný text – nejspíš od jiného autora.

    Vyhodnotit nenabízí integrovaný přístup k virtualizaci, ale individuální přístup: řídíte spouštění konkrétní aplikace tím, že pro to vytváříte umělé životní podmínky. Jsou zde výhody i nevýhody. Vzhledem k okleštěné povaze bezplatné verze Evalaze však její výhody ve vašich očích zmizí.

    Cameyo má určitou „cloudovou“ příchuť: aplikaci lze stáhnout z webu, nahrát na flash disk nebo Dropbox - to je v mnoha případech výhodné. Je pravda, že to připomíná asociace s rychlým občerstvením: nemůžete ručit za kvalitu a soulad obsahu s popisem.

    Ale pokud dáváte přednost vaření podle receptu, VMware ThinApp- vaše možnost. Toto je řešení pro odborníky, kterým záleží na každém detailu. Soubor unikátních funkcí je doplněn o možnosti konzole. Aplikace můžete převádět z příkazového řádku pomocí konfigurací, skriptů - v individuálním i dávkovém režimu.

    BufferZone je sandbox s funkcí firewallu. Tento hybrid má k dokonalosti daleko a nastavení je aktuální, ale pomocí BufferZone lze ovládat internetovou aktivitu a aplikace, chránit před viry a dalšími hrozbami.

    V procesu vydávání posledního dílu ze série článků „Lži, velké lži a Antiviry“ se ukázalo, že publikum Habra je v oblasti antivirových sandboxů katastrofálně nevzdělané, co to je a jak fungují. Legrační na této situaci je, že na internetu neexistují téměř žádné spolehlivé zdroje informací o tomto problému. Jen hromada marketoidních slupek a textů od nechápu kdo ve stylu „jedna babička říkala, poslouchej tady“. Budu muset vyplnit mezery.

    Definice.

    Takže pískoviště. Samotný termín nepochází z dětského pískoviště, jak by si někteří mohli myslet, ale z toho, které používají hasiči. Jedná se o nádrž na písek, kde můžete bezpečně pracovat s hořlavými předměty nebo do ní házet něco již hořícího, aniž byste se museli bát, že zapálíte něco jiného. Odrážíme-li analogii této technické struktury se softwarovou komponentou, můžeme definovat softwarový sandbox jako „izolované prováděcí prostředí s kontrolovanými právy“. Přesně tak funguje například sandbox Java stroje. A také jakékoli jiné pískoviště, bez ohledu na jeho účel.

    Když přejdeme k antivirovým sandboxům, jejichž podstatou je ochrana hlavního pracovního systému před potenciálně nebezpečným obsahem, můžeme rozlišit tři základní modely izolace prostoru sandboxu od zbytku systému.

    1. Izolace založená na plné virtualizaci. Použití libovolného virtuálního stroje jako ochranné vrstvy nad hostujícím operačním systémem, kde je nainstalován prohlížeč a další potenciálně nebezpečné programy, jejichž prostřednictvím se uživatel může nakazit, poskytuje poměrně vysokou úroveň ochrany hlavního pracovního systému.

    Nevýhody tohoto přístupu, kromě monstrózní velikosti distribuce a vysoké spotřeby zdrojů, spočívají v nepohodlnosti výměny dat mezi hlavním systémem a sandboxem. Kromě toho musíte neustále vracet stav systému souborů a registru do původního stavu, abyste odstranili infekci z karantény. Pokud se tak nestane, pak například agenti spambotů budou pokračovat ve své práci uvnitř sandboxu, jako by se nic nestalo. Sandbox je nemá co blokovat. Navíc není jasné, co dělat s přenosnými paměťovými médii (například flash disky) nebo hrami staženými z internetu, které mohou obsahovat škodlivé záložky.

    Příkladem přístupu je Invincea.

    2. Izolace založená na částečné virtualizaci souborového systému a registru. Není vůbec nutné nosit s sebou engine virtuálního stroje, můžete do procesů v sandboxu vložit duplicitní objekty souborového systému a registru a umístit aplikace na pracovní stroj uživatele do sandboxu. Pokus o úpravu těchto objektů změní pouze jejich kopie uvnitř karantény, skutečná data nebudou ovlivněna. Řízení práv neumožňuje útočit na hlavní systém zevnitř karantény prostřednictvím rozhraní operačního systému.

    Nevýhody tohoto přístupu jsou také zřejmé – výměna dat mezi virtuálním a reálným prostředím je obtížná, je nutné neustálé čištění virtualizačních kontejnerů, aby se sandbox vrátil do původního, neinfikovaného stavu. Jsou také možné poruchy nebo obcházení tohoto typu sandboxů a uvolnění škodlivých programových kódů do hlavního nechráněného systému.

    Příkladem je SandboxIE, BufferZone, ZoneAlarm ForceField, Kaspersky Internet Security sandbox, Comodo Internet Security sandbox, Avast Internet Security sandbox.

    3. Izolace založená na pravidlech. Všechny pokusy o úpravu objektů souborového systému a registru nejsou virtualizovány, ale jsou posuzovány z hlediska souboru vnitřních pravidel nástroje ochrany. Čím kompletnější a přesnější taková sada je, tím větší ochranu poskytuje program proti infekci hlavního systému. To znamená, že tento přístup představuje kompromis mezi pohodlím výměny dat mezi procesy uvnitř sandboxu a skutečným systémem a úrovní ochrany proti škodlivým modifikacím. Řízení práv neumožňuje útočit na hlavní systém zevnitř karantény prostřednictvím rozhraní operačního systému.

    Mezi výhody tohoto přístupu patří také absence nutnosti neustále vracet souborový systém a registr do původního stavu.

    Nevýhodou tohoto přístupu je softwarová složitost implementace nejpřesnější a nejúplnější sady pravidel a možnost pouze částečné vrácení změn v rámci sandboxu. Stejně jako každý sandbox fungující na bázi fungujícího systému je možné zhroucení nebo obejití chráněného prostředí a uvolnění škodlivého kódu do hlavního nechráněného prováděcího prostředí.

    Příkladem přístupu je DefenseWall, Windows Software Restriction Policy, Limited User Account + ACL.

    Existují také smíšené přístupy k izolaci procesů sandbox od zbytku systému, založené jak na pravidlech, tak na virtualizaci. Přebírají výhody i nevýhody obou metod. Nevýhody navíc převažují kvůli zvláštnostem psychologického vnímání uživatelů.

    Příklady tohoto přístupu jsou GeSWall, Windows User Account Control (UAC).

    Metody rozhodování o umístění pod ochranu.

    Přejděme k metodám pro rozhodování, zda umístit procesy pod ochranu sandboxu. Existují tři základní:

    1. Na základě pravidel. To znamená, že rozhodovací modul se podívá na vnitřní základnu pravidel pro spouštění určitých aplikací nebo potenciálně nebezpečných souborů a v závislosti na tom spouští procesy v sandboxu nebo mimo něj, na hlavním systému.

    Výhodou tohoto přístupu je nejvyšší úroveň ochrany. Soubory škodlivého programu, které přišly z potenciálně nebezpečných míst prostřednictvím karantény, i nespustitelné soubory obsahující škodlivé skripty jsou uzavřeny.

    Nevýhody - mohou nastat problémy při instalaci programů, které prošly sandboxem (ačkoli whitelisty tento úkol značně usnadňují), nutnost ručního spouštění procesů v hlavní, důvěryhodné zóně pro aktualizaci programů, které se aktualizují pouze v nich samých (například Mozilla FireFox , Utorrent nebo Opera ).

    Příklady programů s tímto přístupem jsou DefenseWall, SandboxIE, BufferZone, GeSWall.

    2. Na základě uživatelských práv. Takto funguje omezený uživatelský účet Windows a ochrana založená na SRP a ACL. Když je vytvořen nový uživatel, jsou mu udělena přístupová práva k určitým zdrojům a také omezení přístupu k ostatním. Pokud potřebujete, aby program pracoval se zdroji, které jsou pro daného uživatele zakázané, musíte se buď znovu přihlásit do systému pod uživatelem s vhodnou sadou práv a program spustit, nebo jej spustit samostatně pod takovým uživatelem, bez opětovného přihlášení hlavního pracovního uživatele (Fast User Switch).

    Výhodou tohoto přístupu je poměrně dobrá úroveň celkového zabezpečení systému.

    Nevýhody: netriviální správa zabezpečení, možnost infekce prostřednictvím zdrojů povolených pro úpravy, protože rozhodovací modul takové změny nesleduje.

    3. Na základě heuristických přístupů. V tomto případě se rozhodovací modul „podívá“ na spustitelný soubor a pokusí se na základě nepřímých dat uhodnout, zda jej spustit v hlavním systému nebo v karanténě. Příklady – Kaspersky Internet Security HIPS, sandbox Comodo Internet Security.

    Výhodou tohoto přístupu je, že je pro uživatele transparentnější než přístup založený na pravidlech. Snadnější údržba a implementace pro výrobní společnost.

    Nevýhody: méněcennost takové ochrany. Kromě toho, že heuristika rozhodovacího modulu může na spustitelném modulu „minout“, vykazují taková řešení téměř nulovou odolnost vůči nespustitelným souborům obsahujícím škodlivé skripty. No, plus pár dalších problémů (například s instalací škodlivých rozšíření zevnitř samotného prohlížeče, z těla exploitu).

    Samostatně bych chtěl upozornit na způsob použití sandboxu jako prostředku heuristiky, tzn. spuštění programu v něm po určitou dobu, následuje analýza akcí a obecné rozhodnutí o škodlivosti - tento přístup nelze nazvat plnohodnotným antivirovým sandboxem. No a co je to za antivirový sandbox, který se instaluje jen na krátkou dobu s možností úplného odstranění?

    Režimy používání antivirových karanténních boxů.

    Jsou pouze dva hlavní.

    1. Vždy zapnutý ochranný režim. Když se spustí proces, který by mohl být hrozbou pro hlavní systém, je automaticky umístěn do karantény.

    2. Režim ruční ochrany. Uživatel se nezávisle rozhodne spustit tu či onu aplikaci uvnitř sandboxu.

    Sandboxy, které mají hlavní provozní režim jako „vždy zapnutou ochranu“, mohou mít také režim ručního spouštění. Stejně tak i naopak.

    Sandboxy s izolací na základě pravidel obvykle používají režim trvalé ochrany, protože komunikace mezi hostitelským systémem a procesy v karanténě je zcela transparentní.

    Heuristické sandboxy se také vyznačují používáním režimu konstantní ochrany, protože výměna dat mezi hlavním systémem a procesy uvnitř sandboxu je naprosto nevýznamná nebo je na něj redukována.

    Neheuristické sandboxy s izolací založenou na částečné virtualizaci se vyznačují režimem manuální ochrany. To je způsobeno obtížnou výměnou dat mezi procesy uvnitř sandboxu a hlavním pracovním systémem.

    Příklady:

    1. DefenseWall (sandbox s izolací na základě pravidel) má hlavní provozní režim „založený na pravidlech“. Ruční spouštění aplikací uvnitř sandboxu ale i mimo něj je přítomno.

    2. SandboxIE (sandbox a izolace založená na částečné virtualizaci) má „manuální“ hlavní režim provozu. Při nákupu licence však můžete aktivovat režim „stále podle pravidel“.

    3. Sandbox Comodo Internet Security (sandbox s izolací založenou na částečné virtualizaci) má hlavní provozní režim „konstantní heuristika“. Ruční spouštění aplikací uvnitř sandboxu i mimo něj je však přítomno.

    To jsou v podstatě základní věci, které by měl každý sebeúctyhodný profesionál vědět o antivirových sandboxech. Každý jednotlivý program má své implementační prvky, které si budete muset sami najít, pochopit a zhodnotit klady a zápory, které přináší.

    Některé masivní aplikace (jako je Outpost Security Suite a firewally Online Armor Premium Firewall a také spustitelné soubory exe a msi s nesrozumitelným obsahem staženým z internetu) mohou narušit integritu a stabilitu systému. Jejich instalace ve funkčním OS může vést k zobrazení BSOD obrazovek při načítání OS, ke změnám v nastavení prohlížeče a dokonce k šíření červů a trojských koní, což s největší pravděpodobností povede k tomu, že útočník ukradne hesla k účtům sociálních sítí, webovým službám kterou používáte, e-mailovou schránku atd.

    O populárních metodách testování nového softwaru jsme již dříve psali v článcích o a. V tomto článku si povíme o dalším jednoduchém, rychlém a efektivním způsobu, jak spouštět libovolné aplikace pod Windows v chráněném izolovaném prostředí a jmenuje se Sandboxie sandbox.

    Co je to pískoviště?

    V oblasti počítačové bezpečnosti je sandbox speciálně vyhrazené prostředí navržené pro bezpečné spouštění aplikací na PC. Některé složité softwarové produkty obsahují režim bezpečného prostředí (sandbox). Mezi takové aplikace patří firewall Comodo Internet Security, antivirus Avast! (placená verze), vývoj v oblasti ochrany dat od společnosti Kaspersky Lab. Předmět našeho článku-návodu, program Sandboxie, je plnohodnotným nástrojem pro rozsáhlé testování libovolných programů bez provádění změn ve struktuře a parametrech fungujícího operačního systému. Jak s tím pracovat - čtěte dále.

    Stažení distribuce a instalace Sandboxie

    Než začnete s instalací, musíte si jako vždy stáhnout instalační balíček online. Využijme toho oficiální webové stránky projekt.

    Vývojáři sice nabízejí placené verze produktu pro domácí i kancelářské použití, ale i bezplatná verze nám docela vyhovuje. Nemá žádné časové omezení. Jediným negativem je možnost pracovat pouze s jedním sandboxem a nedostupnost některých nepříliš kritických parametrů.

    Po stažení distribuce začněme s instalační procedurou. Probíhá ve 2 fázích. Nejprve se nainstalují systémové knihovny a spustitelné soubory Sandboxie.

    V poslední fázi budete požádáni o instalaci systémového ovladače, který je jádrem aplikace. Ovladač bude pracovat ve spojení se servisními soubory, jeho instalace bude chvíli trvat. Souhlasíme a jedeme dál.

    První spuštění sandboxového Sandboxie

    Při prvním spuštění aplikace se na obrazovce zobrazí seznam programů, u kterých můžete zlepšit kompatibilitu sandboxu. Navzdory skutečnosti, že v tomto seznamu nejsou zobrazeny všechny aplikace dostupné v OS, program sandbox automaticky určil, že ve výchozím nastavení tyto programy nejsou dostupné pro správu v Sandboxie. Souhlasíme se zlepšením kompatibility zaškrtnutím všech položek v seznamu a kliknutím na OK.

    Dále musíme projít krátkým úvodem do práce s aplikací, kde se můžeme seznámit s obecným principem fungování softwarového produktu, mechanismem spouštění webového prohlížeče v chráněném režimu a také funkcí mazání obsah aktivního sandboxu. Manuál je velmi stručný, celý jeho obsah je zredukován na několik stisknutí tlačítek pro provádění nejoblíbenějších akcí a grafické znázornění se základní metodikou služby.

    Když je tedy manuál vyčerpán, můžeme začít pracovat v izolovaném prostředí. Aplikaci spustíte výběrem příslušné položky v nabídce „Start“ nebo kliknutím na příslušnou ikonu ve tvaru „Aplikace“ (Win 8/8.1).

    Alternativním způsobem je poklepání na ikonu Sandboxie sandbox na hlavním panelu.

    V důsledku spuštění programu se na obrazovce objeví formulář s aktivním sandboxem, který má uživatel k dispozici (ještě jednou připomínáme, že ve verzi zdarma si můžete vytvořit pouze jeden sandbox). Téměř všechny operace jsou volány z tohoto formuláře.

    Spuštění prohlížeče v režimu sandbox

    No, spusťte prohlížeč v chráněném režimu. Chcete-li to provést, můžete použít zástupce na ploše nebo kliknout pravým tlačítkem na DefaultBox a z kontextové nabídky vybrat „Spustit v sandboxu“ -> „Spustit webový prohlížeč“. Stojí za zmínku, že tímto způsobem můžete ve výchozím nastavení pracovat s prohlížečem nainstalovaným v systému jako aktivním.

    Zahrnutí bezpečného izolovaného prostředí je symbolizováno žlutým okrajem ohraničujícím formulář prohlížeče.

    Jak s tím pracovat? Spuštěním prohlížeče v karanténě můžete volně přistupovat ke všem, i potenciálně nebezpečným, zdrojům, aniž byste hrozili infikováním počítače jakýmkoli škodlivým kódem. Tento režim se vám jistě bude hodit, pokud hledáte klíče k programům, cracky, nebo jste pod svůj dohled umístili dítě k počítači a bojíte se, že by mohlo poškodit systém přechodem na nebezpečné zdroje prostřednictvím bannerů nebo změnou nastavení prohlížeče nastavením dalšího „super jedinečného“ přídavku. Žádné soubory stažené pomocí tohoto prohlížeče také nebudou mít přístup k pracovnímu systému.

    Při pokusu o stažení souboru pomocí sandboxového prohlížeče věnujte pozornost záhlaví formuláře pro zadání názvu uložení. Název tohoto formuláře je obklopen dvěma symboly #, což znamená, že při ukládání bude objekt umístěn do prostředí Windows Sandboxie a nebude dostupný na běžném diskovém zařízení.

    Totéž platí pro spuštěné programy.

    Ve výchozím nastavení jsou soubory stažené ze sítě nabízeny k umístění do složky Plocha nebo Stažené soubory. Tyto adresáře jsou vhodné pro sandboxing.

    Jak se ujistit, že se stažený soubor uloží do sandboxu?

    V horním menu vyberte Zobrazit a zaškrtněte volbu Soubory a složky. Uvidíte strom dostupných disků a uživatelských adresářů, se kterými můžete pracovat v chráněném režimu. Otevřete složku, kterou potřebujete, a ujistěte se, že tam jsou odpovídající soubory.

    Je možné extrahovat soubor z karantény umístěním do podobné složky na běžné servisní jednotce?

    Chcete-li to provést, klepněte pravým tlačítkem myši na soubor, který chcete obnovit, a v místní nabídce vyberte možnost „Obnovit do stejné složky“. Poté bude soubor rozbalen.

    Můžete také přidat nové cesty ke složkám dostupným pro uložení jejich zadáním ve formuláři Nastavení karantény, kategorie Obnovení -> Rychlé obnovení.

    Chcete-li otevřít formulář Nastavení pískoviště, přejděte v horním menu na volbu Pískoviště, poté vyberte podpoložku DefaultBox a v zobrazené kontextové nabídce klikněte na prvek Nastavení pískoviště.

    Jak nainstalovat novou aplikaci do sandboxu?

    Klikněte pravým tlačítkem na příslušnou distribuci uloženou v izolovaném prostředí nebo ve standardním OS a z nabídky vyberte „Spustit v sandboxu“

    Dále bude následovat standardní instalační postup, který lze vyřešit doslova během okamžiku. Jediné upozornění: pokud chcete otestovat 64bitový program, před instalací přidejte cestu ke složce „C:\Program Files“ v nastavení sandboxu Sandboxie, protože ve výchozím nastavení může existovat pouze cesta k systémovému adresáři „C:\Program Files (x86)“ . Můžete to provést znovu v nabídce Rychlé obnovení. Aby se změny projevily, klikněte na tlačítko „Použít“ a restartujte instalaci, pokud již proces běží.

    Jak spustit program v sandboxu?

    Uživatel má dva způsoby, jak spustit aplikaci v zabezpečeném prostředí.

    První je kontextová nabídka vyvolaná z položky Sandbox v horní nabídce Sandboxie. Zde můžete spouštět cokoli: od externího poštovního klienta až po konzolového démona určeného ke kompresi souborů do alternativního zvukového formátu.

    Druhým způsobem je použití integrace Sandboxie s Průzkumníkem Windows. Chcete-li to provést, musíte na běžném pracovním diskovém zařízení kliknout pravým tlačítkem na požadovaný program a vybrat možnost „Spustit v karanténě“.

    Výsledek

    Obecně je třeba říci, že program se na nejnovější generaci 64bitových operačních systémů necítí příliš sebevědomě. Dochází k periodickým pádům a objevují se okna s upozorněním na pokus o okamžitou obnovu běžících procesů. S trochou šmrncnutí s nastavením však můžete zajistit, aby sandbox Sandboxie fungoval stabilně, efektivně a bez výhrad a díky integraci s Průzkumníkem je spouštění aplikací plynulé a plynulé. Spolu s dalšími virtualizačními metodami je tento mechanismus vynikajícím nástrojem pro ladění a testování aplikací, který je užitečný pro detailní studium interakce softwarového produktu s pracovním operačním prostředím.

    Sandboxie 5.30

    Sandbox Sandboxie ke stažení v ruštině pro Windows 7

    Volný program Sandboxie je navržen pro bezpečné spouštění aplikací v sandboxu, tedy virtuálním chráněném prostředí. To umožňuje řídit všechny běžící procesy. Sandbox je nezbytný, když musíte spouštět neznámé nebo zjevně nebezpečné programy, čímž se eliminuje riziko infikování počítače a narušení jeho výkonu. můžete to udělat zdarma, dole na stránce je odkaz, kde to můžete snadno udělat.

    Sandbox zvyšuje bezpečnost operačního systému Windows, poskytuje ochranu před malwarem při surfování na webu a při instalaci neznámých programů. Sandboxie má schopnost chránit před nechtěnými aktualizacemi, může monitorovat e-maily a používá vlastní past na trojské koně, viry a spyware, které se mohou skrývat v příchozích e-mailech.

    Výhody pískoviště jsou:

    • rozšířené ochranné funkce: nyní soubory dočasně uložené při procházení stránek nepoškodí operační systém, lze je snadno smazat bez poškození počítače;
    • zajištění bezpečnosti pošty: viry, malware a trojské koně, které se dostanou do pošty s dopisy, nepředstavují hrozbu, protože nástroj je účinně monitoruje a blokuje pomocí svých vlastních systémů.

    Sandbox funguje velmi jednoduše, jakýkoli program v něm spuštěný nemá přístup k systémovým datům, registru, nemůže provádět změny, nepřímo ani přímo narušovat chod OS. Spuštění neznámého nebo potenciálně nebezpečného programu v karanténě pomáhá udržet váš počítač v bezpečí. akorát dost stáhnout sandbox Sandboxie, přiřadit jej k celé skupině programů a nastavit jejich přístup k různým zdrojům v závislosti na účelu.

    Prostřednictvím Sandboxie můžete při návštěvě různých stránek bezpečně procházet web bez obav z virů. Výhodou je, že nastavení a změny lze provést pouze jednou a dále je používat. Díky tomu je práce s nástrojem pohodlnější a jednodušší.

    Sandboxie ke stažení zdarma

    Stáhněte si Sandboxie sandbox v ruštině zdarma pro Windows 7, 8 a Windows 10. Náš web sleduje všechny aktualizace softwaru, abychom zajistili, že máte nejnovější verzi Sandboxie.

    Přečtěte si více: