El sandboxing es una técnica de seguridad importante que aísla los programas, evitando que los programas maliciosos o defectuosos dañen o espíen el resto de su computadora. El software que utiliza ya almacena gran parte del código que ejecuta todos los días.
También puede crear sus propios entornos sandbox para probar o analizar software en un entorno protegido donde no pueda dañar el resto de su sistema.
Cómo las cajas de arena son esenciales para la seguridad
Una caja de arena es un entorno estrictamente controlado donde se pueden ejecutar programas. Las cajas de arena restringen lo que puede hacer un fragmento de código, otorgándole tantos permisos como sea necesario sin agregar ningún permiso adicional que pueda ser abusado.
Por ejemplo, su navegador web básicamente ejecuta las páginas web que visita en una caja de arena. Están limitados a ejecutarse en su navegador y acceder a un conjunto limitado de recursos; no pueden ver su cámara web sin permiso o reproducir archivos locales en su computadora. Si los sitios web que visita no estuvieran en un espacio aislado y aislados del resto de su sistema, visitar un sitio web malicioso sería tan malo como instalar un virus.
Otros programas en su computadora también se colocan en una caja de arena. Por ejemplo, Google Chrome e Internet Explorer se ejecutan solos en una caja de arena. Estos navegadores son programas que se ejecutan en su computadora, pero no tienen acceso a toda su computadora. Operan en un modo de baja autorización. Incluso si la página web descubría un agujero de seguridad y lograba hacerse con el control del navegador, tendría que escapar de la zona de pruebas del navegador para causar un daño real. Al ejecutar el navegador web con menos permisos, ganamos seguridad. Desafortunadamente, Mozilla Firefox todavía no funciona en una caja de arena.
Lo que ya está puesto en la caja de arena.
Gran parte del código que ejecutan sus dispositivos todos los días ya se encuentra en un espacio aislado para su protección:
- páginas web: Su navegador esencialmente coloca en una caja de arena las páginas web que carga. Las páginas web pueden ejecutar código JavaScript, pero ese código no puede hacer todo lo que quiere; si el código JavaScript intenta acceder a un archivo local en su computadora, la solicitud fallará.
- Contenido del complemento del navegador: El contenido cargado por los complementos del navegador, como Adobe Flash o Microsoft Silverlight, también se ejecuta en una zona de pruebas. Jugar un juego flash en una página web es más seguro que descargar un juego y ejecutarlo como un programa estándar porque Flash aísla el juego del resto de su sistema y limita lo que puede hacer. Los complementos del navegador, especialmente Java, son un objetivo frecuente de los ataques que utilizan agujeros de seguridad para evadir esta caja de arena y causar daños.
- PDF y otros documentos: Adobe Reader ahora ejecuta archivos PDF en una caja de arena, evitando que escapen del visor de PDF y manipulen el resto de su computadora. Microsoft Office también tiene un modo sandbox para evitar que macros peligrosas dañen su sistema.
- Navegadores y otras aplicaciones potencialmente vulnerables: Los navegadores web funcionan en modo de zona de pruebas con permisos bajos para garantizar que no puedan causar mucho daño si se ven comprometidos:
- Aplicación movil: Las plataformas móviles ejecutan sus aplicaciones en una caja de arena. Las aplicaciones para iOS, Android y Windows 8 no pueden hacer muchas cosas que las aplicaciones de escritorio estándar pueden hacer. Tienen que declarar permisos si quieren hacer algo como acceder a su ubicación. A su vez, ganamos algo de seguridad: la zona de pruebas también aísla las aplicaciones entre sí, por lo que no pueden manipularse entre sí.
- Programas de Windows: El Control de cuentas de usuario funciona como una caja de arena, esencialmente evitando que las aplicaciones de escritorio de Windows modifiquen los archivos del sistema sin pedirle permiso primero. Tenga en cuenta que esta es una protección mínima: cualquier programa de escritorio de Windows puede optar por sentarse en segundo plano y registrar todas las pulsaciones de teclas, por ejemplo. El Control de cuentas de usuario simplemente restringe el acceso a los archivos del sistema y la configuración de todo el sistema.
Cómo hacer sandbox en cualquier programa
Por lo general, los programas de escritorio no se encuentran en una zona de pruebas de forma predeterminada. Por supuesto, existe UAC, pero como mencionamos anteriormente, es una caja de arena mínima. Si desea probar un programa y ejecutarlo sin que interfiera con el resto de su sistema, puede ejecutar cualquier programa en una caja de arena.
- Maquinas virtuales: Un programa de máquina virtual como VirtualBox Dónde VMware crea dispositivos de hardware virtuales que utiliza para ejecutar un sistema operativo. El otro sistema operativo se ejecuta en una ventana en su escritorio. Todo este sistema operativo es básicamente un espacio aislado porque no tiene acceso a nada fuera de la máquina virtual. Puede instalar software en el sistema operativo virtualizado y ejecutar ese software como si se estuviera ejecutando en una computadora estándar. Esto le permitiría instalar malware y escanearlo, por ejemplo, o simplemente instalar un programa y ver si está haciendo algo mal. Los programas de máquinas virtuales también contienen la funcionalidad de instantáneas para que pueda «restaurar» su sistema operativo invitado al estado en el que estaba antes de instalar el software incorrecto.
- cajón de arena: cajón de arena es un programa de Windows que crea entornos sandbox para aplicaciones de Windows. Crea entornos virtuales aislados para programas, evitando que realicen cambios permanentes en su computadora. Esto puede resultar útil para probar software. Consulte nuestra introducción a Sandboxie para obtener más detalles.
El sandboxing no es algo de lo que deba preocuparse el usuario medio. Los programas que utilizas funcionan como sandbox en segundo plano para protegerte. Sin embargo, debe tener en cuenta qué está incluido en la zona de pruebas y qué no, por lo que es más seguro cargar cualquier sitio web que ejecutar cualquier programa.
Sin embargo, si desea proteger un programa de escritorio estándar que normalmente no estaría en un espacio aislado, puede hacerlo con una de las herramientas anteriores.