რა არის sandboxing და როგორ უნდა sandbox პროგრამა


ქვიშის ყუთები არსებობს იმის გამო, რომ ქვიშას თამაში გართობაა, მაგრამ არ გვინდა, რომ სკოლაში და ეზოში მოხვდეს. თუ ოდესმე გისურვებთ რაიმე დროს სანაპიროზე, იცით, რამდენად არის ფართო ქვიშა და რამდენად რთულია მისი მოშორება. სანამ ამას შეიცნობთ, დერეფანში ქვიშაა, სამრეცხაოში ქვიშა და საშხაპე.

კომპიუტერულ სამყაროში, იგივე პრობლემაა პროგრამებთან დაკავშირებით. თქვენს კომპიუტერში გაშვებული პროგრამები იზიარებენ ამ კომპიუტერის რესურსებს. ყველა თქვენი პროგრამა იყენებს იგივე სტატიკურ საცავებს, როგორიცაა დისკის დისკები, იგივე მეხსიერება და იგივე ცენტრალური დამუშავების განყოფილება (CPU). როდესაც მსგავსი საერთო რესურსები გაზიარებულია, შეიძლება დასრულდეს ქვიშის პრობლემა. პროგრამა მთავრდება მთელ თქვენს კომპიუტერში, რადგან იგი წერს მონაცემებს თქვენი დისკის ყველა ნაწილზე, აღწევს მეხსიერებას თქვენი მეხსიერების ყველა სფეროდან და ყველა სხვა პროგრამასთან ერთად უგზავნის მოთხოვნებს CPU- სთან. ჩვენ ქვიშას ვუშვებთ ქვიშის ყუთში იმავე მიზეზით, რომ ჩვენ ვცდილობთ sandbox კომპიუტერული პროგრამების გამოყენებას: შეიცავდეს ქვიშას program- ან პროგრამას – მართვადი ჩარჩოებამდე.

კომპიუტერის ძირითადი დიზაინი ხელს უწყობს ამ რესურსების გაზიარებას. პროგრამების საშუალებით, რესურსების გაზიარებით, კომპიუტერს შეუძლია ერთი შეხედვით მრავალ დავალება შეასრულოს და, როგორც ჩანს, ერთდროულად ბევრ რამეს ასრულებს. ეს არის ზუსტად ისეთი ტიპის ქცევა, რომელსაც წლების განმავლობაში ჩვენს კომპიუტერებს, ტელეფონებს, ტაბლეტებსა და საათებს ითხოვენ, მაგრამ ამ შესაძლებლობებმა შეიძლება გამოიწვიოს არასასურველი გვერდითი მოვლენები. პროგრამებს შეუძლიათ ცუდად მოიქცნენ და დაანგრიონ, ან სხვა პროგრამების კრახი გამოიწვიოს; მათ შეუძლიათ დაეყრდნოს კომპიუტერზე სხვა პროგრამებს, რომლებიც ეწინააღმდეგება სხვა პროგრამების საჭიროებებს; და, უფრო და უფრო, პროგრამები მავნეა და ცდილობენ საზღვრის საზღვრებს გარეთ წვდომას ცუდი საქმეების შესასრულებლად.

ბროუზერი sandboxing

მსოფლიო ქსელი (www) ამოქმედდა 1989 წელს და პირველი მართლაც პოპულარული ბრაუზერი Mosaic– მა ინტერნეტი პოპულარულ კულტურაში მიიყვანა. ვებ შეიქმნა დოკუმენტების გაზიარება; იგი არასდროს შეიქმნა ისეთი მხარდასაჭერად, რაც ახლა გვაქვს: ინტერნეტზე დაფუძნებული მიწოდების სისტემა, სადაც პროგრამა გადის ღრუბელში. დიზაინსა და რეალურ გამოყენებას შორის ამ არეულობამ შეუქმნა უამრავი შესაძლებლობა ბოროტებისთვის, რომ გამოიყენონ ვებ ბრაუზერები, როგორც მათი მავნე პროგრამის მიწოდების მექანიზმი..

ხაზი, სადაც ფიზიკური დესკტოპის კომპიუტერი მთავრდება და ინტერნეტი იწყება, ძალიან ბუნდოვანია. პროგრამების უმეტესობა, რომელსაც დღეს ვასრულებთ, ნაწილობრივ ან მთლიანად არის დამოკიდებული ცოცხალ ინტერნეტზე, ფუნქციონირებაზე. ამ მუდმივი ინტერნეტით კავშირის ფონზე, აშკარა ხდება, რომ ძალიან მიმზიდველი შეტევის ვექტორი არის პროგრამები, რომელსაც ინტერნეტში შესასვლელად ვიყენებთ. ამ ჩამონათვალის ზედა ნაწილში განთავსებულია ღირსი ბრაუზერი. სინამდვილეში, 2016 წელს ინტერნეტ-უსაფრთხოების კომპანია Sucuri– მა ჩაირიცხა ნახევარ მილიარდზე მეტი (ეს არის მილიარდი B– ით) მავნე თხოვნები, რომლებიც მიმართულია ვებსაიტებზე და ბრაუზერებზე ერთ 30 დღეში..

იმის გამო, რომ ბრაუზერები ისეთი ნაყოფიერია და ყოველთვის მიმდინარეობს, განსაკუთრებული ყურადღების ღირსია. დღევანდელი ბრაუზერის მრავალი წარმომადგენელი შექმნილია საკუთარი ქვიშის ყუთში ავტომატურად გასაშვებად, მომხმარებლისგან არ მითითებული.

თავიდანვე Google Chrome- მა ჩაიშალა ყუთში.
Mozilla Firefox- ს უფრო მეტი დრო სჭირდებოდა sandboxing- ის განსახორციელებლად, მაგრამ ახლა თითქმის 100% არის აქ.
Internet Explorer- მა 2006 წელს Sandboxing– ის გარკვეული დონის დანერგვა IE 7 – ით და Microsoft Edge sandboxes ახლა უკვე დაიწყო ყველა პროცესმა.
Apple Safari ბრაუზერი მართავს ვებსაიტებს ცალკეულ პროცესებში.

თუ თქვენ მართავთ ეგზოტიკურ ბრაუზერს, ან გსურთ კიდევ უფრო დიდი განცალკევება თქვენს OS- სა და თქვენს ბრაუზერს შორის, შეიძლება მოგინდეთ გადახედოთ შემდეგ სახელმძღვანელოში მითითებულ სახელმძღვანელოს sandboxing პარამეტრებს.

სახელმძღვანელო sandboxing

მიუხედავად იმისა, რომ ბრაუზერები ძალიან მნიშვნელოვანი სისუსტეა ნებისმიერი ოპერაციული სისტემაში, არავითარ შემთხვევაში არ არის ისინი ერთადერთი სისუსტე. ნებისმიერ აპლიკაციას აქვს ბოროტად გამოყენების შესაძლებლობა და, შესაბამისად, ნებისმიერი კომპიუტერის უსაფრთხოების უსაფრთხოება შეიძლება გაძლიერდეს sandboxing– ის გამოყენებით. სახელმძღვანელო sandboxing არის თქვენი სისტემის მიზანმიმართულად კონფიგურაციის პროცესი, რომელიც შეიცავს sandbox– ის პროგრამას, რომელიც სხვაგვარად შეიძლება ჰქონდეს თქვენს სისტემაში სრულ წვდომას..

ვირტუალური მანქანები

დესკტოპის ვირტუალიზაციამ ბოლო წლებში დიდი გზა გაიარა და ახლა უკვე მარტივია ვირტუალური აპარატების დაყენება და გამოყენება. ვირტუალური მანქანა, როგორც ეს ჟღერს: “მანქანა”, რომელიც არ არის რეალური. ეს ნამდვილად მხოლოდ პროგრამული უზრუნველყოფის ნაწილია. ვირტუალური აპარატის ყველაზე გავრცელებული გამოყენებაა თქვენი ოპერაციული სისტემის ასლის დაყენება და ამ ვირტუალურ აპარატზე გაშვება თქვენს კომპიუტერში, თითქოს ეს სხვა ფიზიკური მანქანაა. ამ ტიპის გამიჯვნა უზრუნველყოფს უსაფრთხოების დიდ ნაწილს, რადგან პროგრამებს შეუძლიათ მხოლოდ რესურსების წვდომა ვირტუალურ აპარატში. თუ malware– ს ხელი მოკიდებოდა და აინფიცირებს თქვენს სისტემას, ის მხოლოდ ვირტუალურ აპარატს შეეძლო ინფექცია, რაც ზღუდავს ზიანის ოდენობას. შესაძლებელია ალტერნატიული ოპერაციული სისტემების გაშვება ვირტუალურ აპარატში, მაგალითად, ვინდოუსის კომპიუტერულ ვირტუალურ აპარატში Linux განაწილების გაშვება.

არსებობს მრავალი ვირტუალიზაციის პროგრამა, რომელთაგან თითოეული მიმართულია კონკრეტული ტიპის გამოყენების შემთხვევაში. ყველაზე პოპულარული და სექსუალური დესკტოპის ვირტუალიზაციის პროგრამები, რომლებსაც ჩვეულებრივ მომხმარებლებს შეუძლიათ გამკლავება, არის VirtualBox და Parallels.

ფონი: ვირტუალიზაცია ორი ძირითადი ნაწილისაგან შედგება. Ტერმინი მასპინძელი ეხება რეალურ ფიზიკურ კომპიუტერს, რომელიც ასრულებს ვირტუალიზაციის პროგრამას. Ტერმინი სტუმარი ეხება ოპერაციულ სისტემას, რომელიც მუშაობს ვირტუალიზაციის პროგრამაში.

VirtualBox

VirtualBox არის Oracle- ის საკუთრება და აქვს კლიენტები ყველა ძირითადი ოპერაციული სისტემისთვის. VirtualBox– ის ინსტალაციის შემდეგ, თქვენ შეგიძლიათ შექმნათ ვირტუალური მანქანა ახალი ღილაკის გამოყენებით. თქვენ უნდა მოგაწოდოთ ოპერაციული სისტემის ინსტალაციის მედია, რადგან VirtualBox არ არის ასე. ლინუქსის დისტრიბუციები მარტივად არის ნაპოვნი ინტერნეტში – კარგი სიაა ვებსაიტის განაწილება და Windows– ის საკუთრებაში არსებული საოპერაციო სისტემებისთვის, თქვენ გჭირდებათ თქვენი ინსტალაციის CD მოსახერხებელი..

პარალელები

პარალელები ძალიან ჰგავს VirtualBox– ს, განსაკუთრებული გამონაკლისით, რომ ის მხოლოდ MacOS– ზე მუშაობს და სპეციალურად აშენებულია ვირტუალურ აპარატში Windows– ის გასაშვებად. თუ თქვენ ეძებთ ამ კომბინაციას, რომელიც აწარმოებს Windows- ს თქვენს MacOS სამუშაო მაგიდაზე, მაშინ პარალელები შეიძლება საუკეთესო გამოსავალი იყოს თქვენთვის. პარალელები უფასო არ არის, თუმცა 30 – დღიანი უფასო ტესტირებაა.

სანდბუკი

Sandboxie- ს დევიზი არის Trust No Program. იგი მუშაობს მხოლოდ Windows- ზე და აცხადებს, რომ გაშვებული პროგრამები გამოყოფა ძირითადი ოპერაციული სისტემისგან. Sandboxie პანელი გამოიყენება გამოიყენოს კონკრეტული პროგრამების დასახელებლად sandbox. ყველაზე გავრცელებული პროგრამები, რომლებიც წარმოადგენენ ყველაზე დიდ საფრთხეებს, როგორიცაა ბრაუზერები და ელ.ფოსტის პროგრამები, ჩამოთვლილია როგორც კონფიგურაციის პარამეტრები, როგორც წესი, და სხვა პროგრამების დამატება შესაძლებელია საჭიროების შემთხვევაში.

Sandboxie- ს შიგნით არსებული მონაცემები განადგურებულია, როდესაც sandbox დახურულია, მაგრამ შესაძლებელია Sandboxie- ს კონფიგურაცია, მნიშვნელოვანი მონაცემების შეუცვლელად დატოვება. საქაღალდეები, რომლებიც შეიცავს ელ.წერილს და ვებ ბრაუზერის სანიშნეებს, არის მონაცემების მაგალითები, რომლებსაც შეუძლიათ გადარჩნენ ქვიშაქვის წაშლით.

Sandboxie განკუთვნილია სახლის მომხმარებლებისთვის და ეს აისახება მის იაფ ფასზე.

Qubes OS

QubesOS (გამოთქმა ”კუბები”) ვირტუალიზაციისთვის განსაკუთრებული აღნიშვნის ღირსია. Qubes იყენებს Xen ჰიპერვიზორს VirtualBox- ის ნაცვლად. იგი იწყებს რამდენიმე სტუმარი ოპერაციული სისტემას და თითოეული მათგანი ერთმანეთისგან დამოუკიდებელია. ეს საშუალებას აძლევს ინდივიდუალური პროგრამების sandboxing, თითოეული საკუთარი ვირტუალური აპარატის შიგნით, და მხოლოდ უბრალოდ sandboxing იყოს მთელი სტუმრების ოპერაციული სისტემის საშუალებით. QubesOS- ის გამორჩეული განსხვავებაა ის, რომ Xen არის საკუთარი ოპერაციული სისტემა; არცერთი “მასპინძელი” ოპერაციული სისტემა არ მუშაობს მის ქვეშ. აქ უფრო მეტი დაწერა დავწერე Qubes- ის და სხვა ანონიმურობაზე ორიენტირებული Linux დისტრიბუციების შესახებ.

თქვენი სისტემის ქვიშის ყუთში მიღების დროს, თქვენ შეგიძლიათ უზრუნველყოთ მყარი დაცვა მრავალი სახის მავნე პროგრამისაგან და დაგეხმარებათ პროგრამული უზრუნველყოფის შემუშავებაში. ინტერნეტით სარგებლობისას პარანოია ჯანსაღი დოზით შემცვლელი არ არის, მაგრამ თქვენი უფრო დაუცველი პროგრამების იზოლირება დაგეხმარებათ.

შეიძლება გამოიწვიოს არა-sandboxed პროგრამების საკითხების ტიპები

პროგრამები ერთმანეთს შეეჯახა

გამოთვლების პირველ დღეებში, CPU– მ გადასცა რესურსები პირველ რიგში პირველი მომსახურეობის საფუძველზე. ეს კარგად მუშაობდა მაშინ, როდესაც ჩვენი კომპიუტერები ბევრს არ აკეთებდნენ, მაგრამ ამ დღეებში გამოიყენება რესურსების განაწილების ბევრად უფრო რთული მეთოდები. CPU– ები სასტიკად იცავს მათ მიერ გამოყოფილი რესურსების საზღვრებს და, თუ პროგრამა შეეცდება წვდომას მიაღწიოს რესურსს, რომელიც მისთვის სპეციალურად არ იყო განსაზღვრული, პროგრამას ან სხვა პროგრამებს შეუძლიათ დაშლა.

პროგრამის გაშვება sandbox- ში საშუალებას აძლევს სისტემას წინასწარ გამოყოს ისეთი რესურსები, როგორიცაა მეხსიერება და დისკის ადგილი წინასწარ პროგრამის შესახებ, რომელიც ითხოვს რამეს. ეს უზრუნველყოფს, რომ ეს რესურსები მზად არიან პროგრამისთვის, როცა მას ეს სჭირდება, და ასევე უზრუნველყოფს, რომ სხვა პროგრამების გამოყენება ვერ შეძლებს ამ რესურსების გამოყენებას..

პროგრამები სხვადასხვა დამოკიდებულებით

ყველა პროგრამას აქვს მრავალი ვერსია. თავდაპირველი დაწყებისთანავე ძალიან ცოტა პროგრამაა სრულყოფილი, რის გამოც ჩვენ მუდმივად ვეყრდნობით მუდმივი განახლების ციკლს. ჩვენი მოწყობილობები სამუდამოდ გვეუბნებიან, რომ განახლებები უნდა იქნას გამოყენებული, ან ხელმისაწვდომია ჩვენი პროგრამების ახალი ვერსიები. მნიშვნელოვანია დაუშვას ეს განახლებები რაც შეიძლება მალე განხორციელდეს, რადგან ამ განახლებების უმეტესობა დაკავშირებულია უსაფრთხოების ან შესრულების საკითხებთან. განახლების შეწყვეტა, ჩვეულებრივ, თქვენს მოწყობილობას ნაკლებად უსაფრთხო და გაშვებულ მდგომარეობაში აყენებს.

ძირითადი პროგრამების ქვეშ, რომელსაც ყოველდღიურად ვიყენებთ და ვუკავშირებთ, დამხმარე პროგრამების ერთობლიობაა. ეს პროგრამები არსებობს იმისთვის, რომ ძირითადი აპლიკაცია სწორად მუშაობს. ჩვენ ადამიანები იშვიათად ვიცით ამ პროგრამების შესახებ, მაგრამ მთავარი პროგრამა მათ გარეშე ვერ ფუნქციონირებს. ამ დამხმარე პროგრამებს უწოდებენ დამოკიდებულებები დეველოპერის შემადგენლობაში. ისევე, როგორც ნებისმიერი სხვა პროგრამა, ეს დამოკიდებულებები მუდმივად განახლდება და იცვლება, სწორედ იქ არის შესაძლებელი, თუ რამ შეძლებს რთული.

თუ ძირითადი პროგრამა იყენებს კონკრეტულ ფუნქციას, რომელიც დამოკიდებულებას ამარაგებს, მაგრამ დამოკიდებულება განახლდება და მოულოდნელად მას აღარ აქვს ეს ფუნქცია, მაშინ ძირითადი პროგრამა დაიშლება. მთავარი განაცხადი არ მიიღებს მოსალოდნელ შედეგს ამ დამოკიდებულებისგან. ხშირ შემთხვევაში, დამოკიდებულების შეცდომა იმდენად მოულოდნელია, რომ ძირითადი პროგრამა უბრალოდ არღვევს უნებურად. პროგრამის მთავარი შემქმნელი ალბათ არ არის გაფრთხილებული, რომ დამოკიდებულია დამოკიდებულების ცვლილებებზე, ასე რომ შეიძლება რთული იყოს ამგვარი სიტუაციის აღრიცხვა და მისი მოხდენილად შესრულება..

პროგრამისტების უმეტესობა ყველაფერს აკეთებს იმის უზრუნველსაყოფად უკან თავსებადობა, რაც იმას ნიშნავს, რომ იმ შემთხვევაშიც კი, თუ მათ განაცხადის ახალ ვერსიას არ აქვს ისეთი ფუნქცია, რომელიც ჰქონდა წარსულში, ის მაინც შეასრულებს მოთხოვნებს ამ ფუნქციის მოხდენილად ისე, რომ მასზე დამოკიდებული სხვა პროგრამები არ დაინგრევა. ამასთან, ცნობილია ზოგიერთი განსაკუთრებული გამონაკლისი, როგორებიცაა Java და Python, განახლების პროცესში მუშაობისთვის რთულია. Linux- ის სამყაროში ცნობილი ფრაზა “დამოკიდებულების ჯოჯოხეთი” ეხება პრობლემებს, რომლებიც თან ახლავს დიდი სისტემის განახლებებს. ზოგიერთ შემთხვევაში, დამოკიდებულების პროგრამებს აქვთ საკუთარი დამოკიდებულებები და არ არის გაუგონარი დასრულება განახლებულ სიტუაციაში, სადაც შეუძლებელია ყველა დამოკიდებულების დაკმაყოფილება. მაგალითად, თუ ჩემს Puppy Vet Tracker პროგრამას სჭირდება გარკვეული დამოკიდებული პროგრამის ვერსია 2.0, მაგრამ ჩემს Daily Star Wars Quote პროგრამას ესაჭიროება იგივე დამოკიდებული პროგრამის 1.0 ვერსია, მაშინ შეუძლებელია ორივე პროგრამისთვის ეს მოთხოვნა დაკმაყოფილდეს..

დეველოპერები ხშირად ხვდებიან ამ ტიპის საკითხს, ხოლო sandboxing არის მისი გადაჭრის ერთი გზა. ქვიშის ყუთის შექმნა და ჩემი Puppy Vet Tracker- ის დაყენება, საშუალებას მისცემს დამოკიდებული პროგრამის განახლებაზე განთავსდეს ვერსიით 2.0. მთავარი კომპიუტერული სისტემა დარჩება დამოკიდებული პროგრამის 1 ვერსიით და, შესაბამისად, მე მაინც შემიძლია მივიღო ჩემი ყოველდღიური Star Wars ციტირება. გამარჯვებული.

მავნე პროგრამები

განვიხილოთ სიტუაცია, რომელშიც პროგრამა თქვენს კომპიუტერს უზიარებს სხვა დანარჩენ პროგრამებს. ზოგიერთ პროგრამაში, რომლებიც თქვენს კომპიუტერზე მუშაობს, შეიძლება შეიცავდეს მგრძნობიარე ინფორმაციას. შესაძლოა, თქვენ გაქვთ იურიდიული დოკუმენტები, ბიუჯეტის ცხრილების ან პაროლის მენეჯერი ღია, და ეს პროგრამები ინახავს ზოგიერთ მონაცემს მეხსიერებაში. არსებობს მავნე პროგრამები, რომლებიც იძიებს სხვა პროგრამებს გადაცემული კომპიუტერის ტერიტორიების გარშემო, რათა ნახონ რა იპოვონ ისინი. ბოლო წლების განმავლობაში, რესურსების გამოყოფა გაუმჯობესდა, ასე რომ პროგრამისთვის ძნელია მონაცემების დაშვება, რაც მისთვის სპეციალურად არ არის მითითებულ სფეროებში, მაგრამ ჰაკერების ტექნიკა, როგორიცაა პროგრამისთვის მინიჭებული მეხსიერების მიღმა წაკითხვა, შეიძლება იმუშაოს.

მონაცემების წარმატებული ექსფილტრაციის შეფერხება (თქვენი სისტემის მონაცემების მოცილება) ყოველთვის ეყრდნობოდა კომპიუტერის მომხმარებლის შეცდენას მავნე პროგრამების ინსტალაციაში. ეს ჩვეულებრივ კეთდება სოციალური ინჟინერიის ან ფიშინგის ტაქტიკით და შეიძლება გამოიწვიოს სისტემის საბითუმო კომპრომისი, სადაც შესაძლებელია ყველა ფაილის მოპარვა.

Sandboxing პროგრამებს შეუძლიათ ძალიან მძლავრი დაცვა მავნე პროგრამებისგან. როდესაც პროგრამა საცურაოდ არის დაფარული, მას მხოლოდ მეხსიერების და მისთვის მინიჭებული დისკის სივრცეში შეუძლია წვდომა. ამიტომ, ქვიშის ყუთში მგრძნობიარე დოკუმენტების გახსნა, ჩვეულებრივ, ხელს შეუშლის მავნე პროგრამის მათზე წვდომის შესაძლებლობას, რადგან ეს დოკუმენტი არ მდებარეობს იმავე მეხსიერების სივრცეში, როგორც მავნე პროგრამა. ამის თქმით, ჰაკერების ძალზე ძალისხმევაა საჭირო, რომ შეაღწიონ ქვიშის ყუთებში. Ამას ჰქვია ვირტუალურ გარემოში გაქცევა და განიხილება, როგორც ასეთი სერიოზული შეტევა, რომ Microsoft- მა ცოტა ხნის წინ გადაიხადა $ 105,000 ჯილდო თეთრი ქუდის ჰაკერების გუნდზე, რომელმაც აჩვენა, რომ შესაძლებელი იყო Edge Browser.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me