Pagina inicial » como » Sandboxes explicados Como eles já estão protegendo você e como proteger qualquer programa

    Sandboxes explicados Como eles já estão protegendo você e como proteger qualquer programa

    Sandboxing é uma importante técnica de segurança que isola programas, impedindo que programas mal-intencionados ou mal-funcionados danifiquem ou espionem o restante do computador. O software que você usa já está em modo sandbox com grande parte do código que você executa todos os dias.

    Você também pode criar sandboxs para testar ou analisar software em um ambiente protegido, onde não poderá causar danos ao restante do sistema..

    Como as caixas de areia são essenciais para segurança

    Uma sandbox é um ambiente rigidamente controlado, onde os programas podem ser executados. Os sandboxes restringem o que um trecho de código pode fazer, concedendo a ele tantas permissões quantas forem necessárias, sem adicionar permissões adicionais que poderiam ser abusadas.

    Por exemplo, seu navegador da web basicamente roda páginas da web que você visita em uma sandbox. Eles estão restritos a rodar no seu navegador e acessar um conjunto limitado de recursos - eles não podem ver sua webcam sem permissão ou ler os arquivos locais do seu computador. Se os sites que você visitou não estiverem em área restrita e isolados do resto do sistema, visitar um site mal-intencionado seria tão ruim quanto instalar um vírus.

    Outros programas no seu computador também são lixados. Por exemplo, o Google Chrome e o Internet Explorer são executados em um sandbox. Esses navegadores são programas em execução no seu computador, mas eles não têm acesso ao seu computador inteiro. Eles correm em um modo de baixa permissão. Mesmo que a página da web encontrasse uma vulnerabilidade de segurança e conseguisse controlar o navegador, ela teria que escapar da caixa de proteção do navegador para causar danos reais. Ao executar o navegador da web com menos permissões, ganhamos segurança. Infelizmente, o Mozilla Firefox ainda não roda em uma sandbox.

    O que já está sendo sandboxed

    Grande parte do código que seus dispositivos executam todos os dias já está em área restrita para sua proteção:

    • Paginas web: Seu navegador basicamente armazena as páginas da web que ele carrega. As páginas da Web podem executar o código JavaScript, mas esse código não pode fazer o que quiser - se o código JavaScript tentar acessar um arquivo local em seu computador, a solicitação falhará.
    • Conteúdo do Plug-in do Navegador: O conteúdo carregado pelos plug-ins do navegador, como o Adobe Flash ou o Microsoft Silverlight, também é executado em uma sandbox. Jogar um jogo em flash em uma página da web é mais seguro do que baixar um jogo e executá-lo como um programa padrão, porque o Flash isola o jogo do resto do seu sistema e restringe o que ele pode fazer. Os plug-ins do navegador, especialmente o Java, são um alvo frequente de ataques que usam vulnerabilidades de segurança para escapar dessa área restrita e causar danos.
    • PDFs e outros documentosO Adobe Reader agora executa arquivos PDF em uma sandbox, evitando que eles escapem do visualizador de PDF e adulterando o restante do computador. O Microsoft Office também tem um modo seguro para impedir que macros inseguras danifiquem seu sistema.
    • Navegadores e Outros Aplicativos Potencialmente Vulneráveis: Os navegadores da Web são executados no modo de permissão baixa e em área restrita para garantir que eles não causem muito dano se estiverem comprometidos:
    • Aplicativos móveis: Plataformas móveis executam seus aplicativos em uma sandbox. Os aplicativos para iOS, Android e Windows 8 não podem fazer muitas das coisas que os aplicativos de desktop padrão podem fazer. Eles precisam declarar permissões se quiserem fazer algo como acessar sua localização. Em troca, ganhamos alguma segurança - o sandbox também isola os aplicativos uns dos outros, então eles não podem adulterar um ao outro.
    • Programas do Windows: O Controle de Conta de Usuário funciona como um pouco de sandbox, essencialmente restringindo os aplicativos da área de trabalho do Windows de modificar arquivos do sistema sem primeiro pedir sua permissão. Observe que essa é uma proteção mínima - qualquer programa da área de trabalho do Windows pode optar por ficar em segundo plano e registrar todos os pressionamentos de teclas, por exemplo. O Controle de Conta de Usuário restringe o acesso a arquivos do sistema e configurações de todo o sistema.

    Como sandbox qualquer programa

    Os programas de área de trabalho geralmente não são armazenados em sandbox por padrão. Claro, há o UAC - mas, como mencionamos acima, é um sandbox muito mínimo. Se você quiser testar um programa e executá-lo sem que ele interfira no restante do sistema, execute qualquer programa em uma sandbox.

    • Máquinas virtuais: Um programa de máquina virtual como o VirtualBox ou o VMware cria dispositivos de hardware virtual usados ​​para executar um sistema operacional. O outro sistema operacional é executado em uma janela na sua área de trabalho. Todo esse sistema operacional é essencialmente restrito, já que não tem acesso a nada fora da máquina virtual. Você pode instalar software no sistema operacional virtualizado e executar esse software como se estivesse sendo executado em um computador padrão. Isso permitiria instalar malware e analisá-lo, por exemplo - ou apenas instalar um programa e ver se ele faz algo ruim. Os programas da máquina virtual também contêm recursos de instantâneos para que você possa "reverter" o sistema operacional convidado para o estado em que estava antes de instalar o software incorreto.

    • Sandboxie: Sandboxie é um programa do Windows que cria sandboxes para aplicativos do Windows. Cria ambientes virtuais isolados para programas, impedindo que eles façam alterações permanentes em seu computador. Isso pode ser útil para testar software. Consulte nossa introdução ao Sandboxie para mais detalhes.


    Sandboxing não é algo que o usuário comum precisa se preocupar. Os programas que você usa fazem o trabalho de sandboxing em segundo plano para mantê-lo seguro. No entanto, você deve ter em mente o que é o sandbox e o que não é - por isso, é mais seguro carregar qualquer site do que executar qualquer programa.

    No entanto, se você quiser proteger um programa de área de trabalho padrão que normalmente não seria protegido por sandbox, você pode fazer isso com uma das ferramentas acima.