Las cajas de arena explicaron cómo ya lo están protegiendo a usted y cómo hacer una caja de arena en cualquier programa
El sandboxing es una técnica de seguridad importante que aísla programas, evitando que programas maliciosos o que funcionen mal dañen o husmeen en el resto de su computadora. El software que utilizas ya es un espacio aislado en gran parte del código que ejecutas todos los días..
También puede crear sus propios espacios aislados para probar o analizar el software en un entorno protegido donde no podrá dañar el resto de su sistema..
Cómo las cajas de arena son esenciales para la seguridad
Una caja de arena es un entorno estrechamente controlado donde se pueden ejecutar programas. Las cajas de arena restringen lo que puede hacer una pieza de código, otorgándole los permisos que necesita sin agregar permisos adicionales de los que se pueda abusar.
Por ejemplo, su navegador web esencialmente ejecuta las páginas web que visita en un arenero. Se limitan a ejecutarse en su navegador y acceder a un conjunto limitado de recursos: no pueden ver su cámara web sin permiso o leer los archivos locales de su computadora. Si los sitios web que visita no estuvieran aislados y aislados del resto de su sistema, visitar un sitio web malicioso sería tan malo como instalar un virus.
Otros programas en su computadora también están en caja de arena. Por ejemplo, Google Chrome e Internet Explorer se ejecutan en una caja de arena. Estos navegadores son programas que se ejecutan en su computadora, pero no tienen acceso a toda su computadora. Se ejecutan en un modo de permiso bajo. Incluso si la página web encontraba una vulnerabilidad de seguridad y lograba controlar el navegador, tendría que escapar de la caja de arena del navegador para causar un daño real. Al ejecutar el navegador web con menos permisos, obtenemos seguridad. Lamentablemente, Mozilla Firefox todavía no se ejecuta en una caja de arena.
Lo que ya está siendo sandboxed
Gran parte del código que sus dispositivos ejecutan todos los días ya se encuentra en un espacio aislado para su protección:
- Páginas web: Su navegador esencialmente bloquea las páginas web que carga. Las páginas web pueden ejecutar el código JavaScript, pero este código no puede hacer lo que quiere: si el código JavaScript intenta acceder a un archivo local en su computadora, la solicitud fallará.
- Contenido del complemento del navegador: El contenido cargado por los complementos del navegador, como Adobe Flash o Microsoft Silverlight, también se ejecuta en un recinto de seguridad. Jugar un juego flash en una página web es más seguro que descargarlo y ejecutarlo como un programa estándar porque Flash lo aísla del resto de su sistema y restringe lo que puede hacer. Los complementos del navegador, especialmente Java, son un blanco frecuente de ataques que utilizan vulnerabilidades de seguridad para escapar de este recinto de seguridad y causar daños..
- PDFs y otros documentos: Adobe Reader ahora ejecuta los archivos PDF en un espacio aislado, evitando que escapen del visor de PDF y alterando el resto de su computadora. Microsoft Office también tiene un modo de caja de arena para evitar que las macros inseguras dañen su sistema.
- Navegadores y otras aplicaciones potencialmente vulnerables: Los navegadores web se ejecutan en modo de espacio aislado y de baja disponibilidad para garantizar que no puedan hacer mucho daño si están comprometidos:
- Aplicaciones móviles: Las plataformas móviles ejecutan sus aplicaciones en un sandbox. Las aplicaciones para iOS, Android y Windows 8 no pueden hacer muchas de las cosas que pueden hacer las aplicaciones de escritorio estándar. Tienen que declarar permisos si quieren hacer algo como acceder a su ubicación. A cambio, obtenemos algo de seguridad: el sandbox también aísla las aplicaciones entre sí, por lo que no pueden manipularse entre sí..
- Programas de Windows: El Control de cuentas de usuario funciona como una caja de arena, restringiendo esencialmente las aplicaciones de escritorio de Windows de modificar los archivos del sistema sin pedirle permiso primero. Tenga en cuenta que se trata de una protección mínima: cualquier programa de escritorio de Windows puede elegir sentarse en segundo plano y registrar todas las pulsaciones de teclas, por ejemplo. El control de cuentas de usuario solo restringe el acceso a los archivos del sistema y la configuración de todo el sistema.
Cómo Sandbox cualquier programa
Los programas de escritorio generalmente no están en un espacio aislado de forma predeterminada Claro, hay UAC, pero como mencionamos anteriormente, eso es un espacio de arena muy mínimo. Si desea probar un programa y ejecutarlo sin que pueda interferir con el resto de su sistema, puede ejecutar cualquier programa en un entorno limitado..
- Maquinas virtuales: Un programa de máquina virtual como VirtualBox o VMware crea dispositivos de hardware virtual que utiliza para ejecutar un sistema operativo. El otro sistema operativo se ejecuta en una ventana en su escritorio. Este sistema operativo completo está esencialmente en un espacio aislado, ya que no tiene acceso a nada fuera de la máquina virtual. Podría instalar el software en el sistema operativo virtualizado y ejecutar ese software como si se estuviera ejecutando en una computadora estándar. Esto le permitiría instalar malware y analizarlo, por ejemplo, o simplemente instalar un programa y ver si hace algo malo. Los programas de máquinas virtuales también contienen funciones de instantáneas para que pueda "revertir" su sistema operativo invitado al estado en que se encontraba antes de instalar el software defectuoso..
- Sandboxie: Sandboxie es un programa de Windows que crea espacios aislados para aplicaciones de Windows. Crea entornos virtuales aislados para los programas, evitando que realicen cambios permanentes en su computadora. Esto puede ser útil para probar software. Consulta nuestra introducción a Sandboxie para más detalles..
El sandboxing no es algo por lo que el usuario promedio deba preocuparse. Los programas que usa hacen el trabajo de fondo aislado en segundo plano para mantenerlo seguro. Sin embargo, debe tener en cuenta qué es un espacio aislado y qué no, por eso es más seguro cargar cualquier sitio web que ejecutar cualquier programa..
Sin embargo, si desea crear un sandbox en un programa de escritorio estándar que normalmente no sería un sandbox, puede hacerlo con una de las herramientas anteriores.