Песочница (безопасность)

Песочница — специально выделенная (изолированная) среда для безопасного исполнения компьютерных программ. Обычно представляет собой жёстко контролируемый набор ресурсов для исполнения гостевой программы — например, место на диске или в памяти. Доступ к сети, возможность сообщаться с главной операционной системой или считывать информацию с устройств ввода обычно либо частично эмулируют, либо сильно ограничивают. Песочницы представляют собой пример виртуализации.

Повышенная безопасность исполнения кода в песочнице зачастую связана с большой нагрузкой на систему — именно поэтому некоторые виды песочниц используют только для неотлаженного или подозрительного кода.

Применение песочницы в настоящее время править

Как правило, песочницы используют для запуска непроверенного кода из неизвестных источников, как средство проактивной защиты от вредоносного кода, а также для обнаружения и анализа вредоносных программ. Также зачастую песочницы используются в процессе разработки программного обеспечения для запуска «сырого» кода, который может случайно повредить систему или испортить сложную конфигурацию. Такие «тестировочные» песочницы копируют основные элементы среды, для которой пишется код, и позволяют разработчикам быстро и безболезненно экспериментировать с неотлаженным кодом.

Другое часто используемое применение песочниц - тестирование процесса восстановления после катастроф, в том числе в режиме восстановления как сервиса^[1].

Примеры реализации править

В связи с большим распространением вредоносных программ, а также применением вирусописателями специальных технологий (например, полиморфизм), классические сигнатурные сканеры уже не могут эффективно противостоять новым угрозам.

Многие разработчики антивирусного программного обеспечения используют в своих продуктах песочницу как средство проактивной защиты пользователей от ещё неизвестных угроз:

Comodo Internet Security использует технологии Sandbox (песочница) для запуска подозрительных приложений. Начиная с версии CIS 6.0 также используется полноценная виртуальная среда «Virtual Kiosk».
Лаборатория Касперского применяла в своих продуктах технологию «Безопасная среда», позволяющую запускать в песочнице подозрительные приложения. Начиная с версии KIS 2013 и CRYSTAL 2.0 Безопасный браузер, Безопасная среда и Безопасный рабочий стол недоступны.
Компания avast! включила в некоторые пакеты антивирусной защиты «песочницу», в которой без угрозы для системы можно запускать потенциально нежелательные программы
Panda Security предоставляет пользователям безопасный доступ в Интернет с помощью веб-браузера, запущенного в песочнице
Компания SafenSoft, разработчик продуктов SafenSoft SysWatch, применяет технологию собственной разработки D.S.E. (Dynamic Sandbox Execution), позволяющую запускать подозрительные приложения или открывать любые подозрительные файлы в ограниченной среде выполнения.

Помимо разработчиков антивирусных программ, песочницами для обеспечения безопасности пользуются и другие компании:

Google применяет технологию песочницы в своем фирменном браузере — Google Chrome
В Adobe Flash Player и Adobe Reader компании Adobe также применяется песочница для снижения риска заражения компьютера вредоносными программами.
PHP в модуле runkit^[2]
В Ядре операционной системы Mac OS X.^[3]

Существуют и отдельные утилиты, обеспечивающие подобную функциональность: Sandboxie, Firejail.^[4]

См. также править

Jail
Chroot
Sandboxie
Виртуальная машина
Виртуализация на уровне операционной системы
Антивирусная программа
Honeypot
Обнаружение, основанное на эмуляции
Эффект песочницы (в поисковых системах)
iCore Virtual Accounts (виртуализация, реализующая принципы песочницы)

Примечания править

↑ Recovery tests do not need to disrupt applications use with patent pending sandbox service (неопр.) (2 ноября 2011). Архивировано из оригинала 23 сентября 2013 года.
↑ PHP: Runkit_Sandbox — Manual (неопр.). Дата обращения: 24 декабря 2012. Архивировано 22 марта 2013 года.
↑ Mac Developer Library (неопр.). Дата обращения: 30 сентября 2017. Архивировано 2 июня 2012 года.
↑ Изолируйте ненадежные приложения с помощью Firejail Архивная копия от 30 декабря 2021 на Wayback Machine 2016

[1] Recovery tests do not need to disrupt applications use with patent pending sandbox service (неопр.) (2 ноября 2011). Архивировано из оригинала 23 сентября 2013 года.

[2] PHP: Runkit_Sandbox — Manual (неопр.). Дата обращения: 24 декабря 2012. Архивировано 22 марта 2013 года.

[3] Mac Developer Library (неопр.). Дата обращения: 30 сентября 2017. Архивировано 2 июня 2012 года.

[4] Изолируйте ненадежные приложения с помощью Firejail Архивная копия от 30 декабря 2021 на Wayback Machine 2016

[1]

[2]

[3]

[4]