Piaskownica (ang. sandbox) to metoda uruchamiania programów w środowisku, które ma bardzo ograniczony dostęp do zasobów sprzętowych komputera i systemu operacyjnego. Programy w piaskownicy korzystają z wyizolowanych obszarów pamięci operacyjnej i masowej. Wszystkie dane i instrukcje pozostają w tej „klatce” i nie oddziałują na resztę środowiska. Po zamknięciu piaskownicy informacje mogą być kasowane albo przechowywane w izolacji do czasu następnej sesji.
Ochrona przed wirusami
Piaskownica jest bardzo dobrą formą ochrony przed zagrożeniami płynącymi z internetu. Nawet jeśli szkodliwy kod przedostanie się przez zabezpieczenia przeglądarki, co zwykle odbywa się poprzez wykorzystanie luk obecnych w przestarzałych pluginach, nie będzie mógł zainfekować systemu. Piaskownica pozwala także na bezpieczne otwieranie plików z pochodzących z niewiadomych źródeł, przede wszystkim plików MS Office czy PDF. Nawet jeśli w pliku jest exploit wykorzystujący nieznaną lukę w Adobe Readerze, piaskownica nie dopuści do rozprzestrzenienia się złośliwego kodu w systemie.
Zagrożenia nie stanowią także niestabilne aplikacje, gdyż awaria programu w piaskownicy nie powoduje zawieszenia systemu.
Najlepszą implementacją tego mechanizmu przeznaczoną do zastosowań indywidualnych jest bezpłatna aplikacja Sandboxie. Choć pierwotnie służyła do izolowania Internet Explorera, dziś pozwala na uruchomienie dowolnego programu.
Dane w izolacji
Wszystkie dane zapisywane przez izolowane aplikacje pozostają w chronionym folderze C:\Sandboxie. Do niego są kopiowane także wszystkie pliki, których potrzebuje izolowana aplikacja, jeśli jest uruchamiana bezpośrednio z systemu plików. Dzięki temu wszystkie zmiany, jakie wprowadza np. w swoich plikach konfiguracyjnych czy folderze plików tymczasowych, nie wpływają na działanie aplikacji w normalnym trybie – po uruchomieniu aplikacji w standardowy sposób modyfikacje po prostu nie będą widoczne. Kopie plików z izolowanego folderu można w każdej chwili usunąć. Twórcy programu nie zapomnieli o mechanizmie wydobywania potrzebnych plików z piaskownicy, np. aplikacji pobranych za pomocą przeglądarki czy utworzonych dokumentów, które można przenieść do części systemu plików pozostającej pod bezpośrednią kontrolą Windows.
W warsztacie pokażemy krok po kroku, jak można użyć programu Sandboxie do zabezpieczenia pracy przeglądarki internetowej, a także jak utworzyć osobną piaskownicę dla dowolnej aplikacji i zdefiniować dla niej prawa dostępu do zasobów systemu operacyjnego.
Izolacja aplikacji za pomocą programu Sandboxie
W warsztacie pokazujemy wykorzystanie niezarejestrowanej wersji Sandboxie, którą można bezpłatnie pobrać ze strony producenta. Brakuje w niej istotnej funkcji – automatycznej izolacji wskazanego programu. Nie przeszkadza to jednak w używaniu Sandboxie do zabezpieczania się przed zagrożeniami z sieci i testowania programów pochodzących z nieznanych źródeł.
Podczas instalacji aplikacji, w oknie powitalnym wybierz język Polish, następnie zatwierdzaj wszystkie komunikaty. Po skopiowaniu aplikacji pojawi się okno z informacją o potrzebie zainstalowania sterownika systemowego, który jest niezbędny do izolacji procesów. Kliknij Dalej, a następnie Zakończ, aby zrestartować system, co jest niezbędne do dokończenia instalacji sterownika.
Po ponownym uruchomieniu komputera aplikacja zasugeruje dostosowanie własnych ustawień pod kątem wykrytego w systemie oprogramowania. Kliknij OK, aby zaakceptować zmiany. Z funkcji izolacji można skorzystać nawet bez zaglądania do głównego okna aplikacji. Instalator tworzy na pulpicie skrót, który pozwala na bezpieczne korzystanie z sieci.