Что такое песочница (sandbox) и почему вы должны в ней играть

Что такое песочница (sandbox) и почему вы должны в ней играть

• В песочнице не песок?
• Песочница в действии
• Firefox также имеет некоторые функции песочницы
• Существование вне песочницы

Взгляните на те приложения, что вы наиболее часто используете на своём ПК. Скорее всего, большинство из них, начиная от веб-браузера и заканчивая более специализированным софтом, имеют возможность соединения с интернетом. Эти программы, оснащённые доступом к глобальной сети могут быть как очень полезными, так и являться легкой мишенью для хакеров, способных нанести по ним удар.

Для успешного предотвращения хакерских атак, разработчики должны самостоятельно обнаруживать и закрывать все без исключения дыры в своем коде, а это, как показывает многолетний опыт, практически невозможно. Поэтому для того чтобы защитить должным образом свои приложения их создатели в последнее время всё чаще используют особые защитные механизмы.

Наиболее эффективным и распространенным решением среди них является – sandbox (песочница).

Что такое Windows Sandbox

Windows Sandbox – своего рода виртуальная машина, подобная Oracle VirtualBox. Она позволяет внутри Windows развернуть еще одну систему. Это может помочь в проверке подозрительного программного обеспечения. Вспомните, как часто мы скачиваем софт с сомнительных источников, после установки которого получаем десятки опасных вирусов. Избежать подобных случаев можно с помощью антивирусного средства, но помогает оно далеко не всегда. Альтернативой этому как раз выступает Windows Sandbox – поставил на него софт и смотришь, есть ли с ним какие-либо проблемы. Даже если в нем сотни вирусов, то ничего страшного не произойдет. Происходящие действия внутри виртуальной машины остаются там и никак не влияют на основную систему.

Отличительной особенностью Sandbox от других популярных виртуальных машин является то, что она «вшита» в Windows 10. Ее установка занимает всего несколько минут, а вес не превышает 100 Мб. Но есть один минус – работает песочница только в Pro- и Enterprise-версиях.

Системные требования:

• не менее 4 ГБ ОЗУ (рекомендуется 8 ГБ);
• не менее 1 ГБ свободного места (рекомендуется SSD);
• как минимум 2 ядра CPU (рекомендуется 4 ядра с HT/SMT);
• виртуализация, включенная в BIOS.

Песочница подойдет под любой немощный компьютер, главное, чтобы хватало оперативной памяти.

CodePen

CodePen — онлайн-редактор и сообщество разработчиков. Он представляет собой страницу, разделенную на четыре окна. Первые три — рабочие области, редакторы для HTML, CSS и Javascript. Последнее — окно предпросмотра. В нем отображается результат выполнения кода.

Пример игры, сделанной прямо на CodePen

У CodePen гибкие настройки. Для CSS здесь можно выбрать препроцессор Less, Sass или PostCss. Для JavaScript — подключать библиотеки jQuery, Lodash и React.js, использовать фреймворки Angular и Vue.js и другие. Codepen также разрешает использовать пакеты JavaScript из npm, подключать Normalize.css, Autoprefixer или PrefixFree. Вы можете создавать новые шаблоны или экспортировать код.

Настройка проекта в CodePen

Одна из особенностей CodePen — раздел «Тренды». Это лента с работами других разработчиков: версткой, анимацией, программами. Здесь можно черпать вдохновение, изучать реализацию, добавлять понравившиеся работы к себе в шаблоны и подписываться на других пользователей.

SANDBOXIE

• Скачать: http://www.sandboxie.com/
• Размер: 2.60 MB
• Лицензия:

Sandboxie запускает приложения в изолированном пространстве, которое называется песочницей.

Приложения, помещенные в песочницу, работают регулярно, без потери производительности.

Изменения, вносимые этими изолированными приложениями, не применяются постоянно к операционной системе; изменения контролируются в изолированном пространстве.

Наиболее важным компонентом Sandboxie является драйвер низкого уровня, который отвечает за создание этого изолированного пространства и выполнение приложений в изолированном пространстве.

Перед установкой этого программного обеспечения рекомендуется временно отключить программное обеспечение безопасности, поскольку установка драйвера низкого уровня может завершиться неудачно.

Запустите загруженный установочный файл для установки Sandboxie; появится окно ниже:

Вы можете настроить Sandboxie через компонент под названием Sandboxie Control (Пуск – Все программы – Sandboxie – Sandboxie Control).

Обратите внимание на желтый значок в области уведомлений при запуске Sandboxie Control; Вы можете установить наиболее распространенные параметры Sandboxie, щелкнув по нему правой кнопкой мыши.

После установки Sandboxie вы можете начать использовать его с областью по умолчанию и параметрами по умолчанию – Sandbox DefaultBox.

Вы также можете создать свой собственный ящик с пользовательскими параметрами.

Хорошо, я хочу запустить Firefox (или другое приложение) в изолированной программной среде по умолчанию, как мне это сделать?

Запустите Sandboxie и перетащите ярлык этого приложения в окно Sandboxie.

Индикатором того, что приложение работает в песочнице, является граница желтого окна этого приложения.

Вы можете увидеть эту границу на следующем скриншоте:

Иконка в области уведомлений довольно удобна, вы можете запустить любое приложение оттуда, изучить его содержимое и многое другое:

Тестирование

Давайте посмотрим, как это работает, используя два эксперимента.

Откройте Internet Explorer в изолированной программной среде по умолчанию, нажмите «Инструменты» и выберите «Управление надстройками».

• Отключите все расширения на панелях инструментов и расширениях
• Удалите всех поставщиков поиска, кроме Bing
• Удалите все акселераторы и добавьте один новый: Youtube3

Теперь выйдите из Internet Explorer и запустите его снова в обычном режиме – вы можете видеть, что Internet Explorer остается неизменным:

• все расширения включены
• все поисковики присутствуют, как на первом месте
• все ускорители присутствуют, кроме Youtube.

Затем я открыл Mozilla Firefox в изолированной программной среде по умолчанию и смоделировал заражение образцом вредоносного расширения для Mozilla Firefox.

Оно называется расширением Youtube, поэтому по его названию нельзя определить, является ли он вредоносным или нет.

Обычный пользователь, вероятно, предполагает, что это законное расширение Youtube:

Перезапустите Firefox для завершения установки.

На рисунке ниже показано, что установка успешно завершена (вы также можете увидеть еще одно законное расширение, которое я установил).

Если бы я вошел в Facebook, я бы заразил своих друзей, отправив ссылки, написав на их стене и т. д.

Вредоносные расширения могут быть как ботами, они могут «общаться» вместо вас «Как, как поживаете», приветствовать своих друзей и отправлять им вредоносные ссылки.

Если ваш друг откроет эту ссылку, он заразит себя, и его компьютер откроет различные объявления или продолжит заражать ваш компьютер дальше – отключив антивирусное программное обеспечение, перенаправив вас на фальшивую страницу Facebook, украв ваши данные для входа и запретив загружать настоящую страницу Facebook. ,

Как избавиться от этой угрозы?

Все просто, вам просто нужно закрыть Firefox и запустить его снова в обычном режиме, и вот – вредоносное расширение исчезло.

Хорошо, этот эксперимент показывает вам, как защитить себя с помощью песочницы.

Песочница также может быть использована для защиты вашей конфиденциальности, потому что все куки, сохраненные пароли и т. д. будут удалены при выходе из браузера или любой другой программы.

И последнее, что осталось осветить в этой статье, – это доступ к содержимому в песочнице.

Предположим, вы запустили свой любимый веб-браузер в песочнице и загрузили файл, который хотите получить из песочницы.

Обратите внимание, что:

• все созданные и измененные файлы хранятся в изолированном пространстве (песочнице),
• все файлы в песочнице не видны за пределами этой изолированной области,
• доступ к файлам в песочнице разрешен только через Sandboxie (если быть точным, его драйвер низкого уровня).

Я скачал программное обеспечение безопасности – Ad Aware:

Когда загрузка завершится, появится диалоговое окно «Automatic recovery».

Это самый простой способ восстановить файл в область без песочницы (реальная среда).

Вы также можете просматривать изолированное содержимое, щелкнув правой кнопкой мыши значок Sandboxie и выбрав Explore Contents:

Наконец, у вас есть опция быстрого восстановления

Рынок Sandbox

Размещая свои творения в маркетплейсе вы будете зарабатывать каждый раз, как кто-то решит использовать ваш объект в своей игре. Кроме этого можно зарабатывать токены SAND побеждая в играх созданные другими людьми или продавая входные билеты в свой мир.

Заработок SAND в экосистеме The Sandbox

Определение работы в песочнице

Мы написали небольшую программку на Python с использованием PowerShell, оценивающую «реальность» машины, на которой она запущена. В зависимости от условий большинству использованных в программе методов достаточно прав пользователя, однако некоторым для достоверного результата нужны привилегии администратора. Сразу оговоримся, что тесты мы проводили на Windows-платформах — они популярнее всего, и их чаще заражают. Для простоты мы использовали запросы к WMI (Windows Management Instrumentation, инструментарий управления Windows, то есть технология для обращения к объектам в системе). Запросы к WMI для унификации и наглядности мы выполняли с использованием PowerShell.

Исследовав в общей сложности порядка 70 машин, мы выделили ряд методов, позволяющих выявить средства виртуализации. Условно все методы определения работы в виртуальной среде мы разделили на четыре уровня, начиная с простого поиска строковых признаков виртуализации и заканчивая определением физических параметров системы, от которых будет сложно избавиться на виртуальной машине.

Level 1 — поиск характерных строковых идентификаторов

Самое простое, что может сделать программа, запустившись на новой машине, — проверить, что это за компьютер. Если название модели (или производителя некоторых составляющих) содержит virt либо где-то присутствуют ссылки на известных вендоров технологий виртуализации, это уже первый тревожный звоночек.

Параметры производителя и модель компьютера (Manufacturer и Model) легко поддаются правке, поэтому их значения остаются на совести создателей песочниц. Вот как можно отправить запрос к WMI через командную строку:

А вот так выглядит запрос в PowerShell:

В результате обработки запроса мы получим следующий отчет — сравни первые три вывода команды для виртуальных машин с показаниями реальной:

Manufacturer: innotek GmbH Model: VirtualBox

Manufacturer: Parallels Software International Inc. Model: Parallels Virtual Platform

Manufacturer: VMware, Inc. Model: VMware Virtual Platform

Manufacturer: ASUSTeK Computer Inc. Model: K53SV (реальная машина. — Прим. авт.)

В официальной документации к гипервизору может встречаться указание на список доступных для подмены параметров. Так, для гипервизора VirtualBox можно поменять ряд параметров. Перечислим некоторые:

• DmiBIOSVendor (производитель BIOS’a);
• DmiBIOSVersion (его версия);
• DmiBIOSReleaseDate (и его дата релиза);
• DmiSystemVendor (производитель ОС);
• DmiSystemProduct (название ОС);
• DmiSystemVersion (версия ОС);
• DmiSystemSerial (серийный номер установки ОС);
• DmiSystemFamily (семейство ОС);
• Disk SerialNumber (серийник HDD);
• Disk FirmwareRevision (его номер прошивки);
• Disk ModelNumber (модель HDD).

DMI (Desktop Management Interface) — программный интерфейс (API), позволяющий программному обеспечению собирать данные о характеристиках аппаратуры компьютера.

Для начала можно проверить серийный номер BIOS. Это срабатывает часто, поскольку при создании ВМ никого не волнует тонкая настройка базовой подсистемы ввода-вывода, поэтому, если нам удастся получить правдоподобные сведения, скорее всего, машина реальная. Попробуй набить данную команду в PowerShell или даже PowerShell ISE (кстати, дальше мы развлекаемся только на PowerShell и не понимаем, почему ты еще не вошел в консоль):

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

Вариант 2. Открой один материал

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.

Борис Осепов

Специалист ИБ. Увлекаюсь средствами анализа вредоносного ПО. Люблю проверять маркетинговые заявления на практике 🙂

Александр Мессерле

ИБтивист. Исследую в ИБ то, что движется. То, что не движется, кладу в песочницу.