Sandbox czyli tzw. piaskownica pozwala na bezpieczne uruchamianie wszelkiego rodzaju nieznanych aplikacji, podejrzanych plików wykonywalnych czy dokumentów pochodzących z niezaufanych źródeł. Z technologii sandbox możemy również skorzystać, aby uruchomić aplikacje, których dane chcielibyśmy ochronić przed działaniem innych programów zainstalowanych w systemie operacyjnym lub po prostu chcemy ukryć naszą tożsamość podczas przeszukiwania internetu.
Działanie aplikacji uruchamianych w trybie sandbox jest stosunkowo proste. Sandbox, czyli tzw. piaskownica tworzona jest przez wydzielone wirtualne obszary pamięci operacyjnej i masowej komputera. Aplikacja uruchamiana w trybie sandbox ma ograniczony dostęp do zasobów systemu hosta np.: w dostępie do internetu, procesów systemowych, sieci LAN, zasobów systemu operacyjnego pod którego kontrolą działa. Korzystając z technologii sandbox możemy wyeliminować wiele ryzyk związanych w uruchomieniem nieznanej lub niebezpiecznej aplikacji. Ochrona polega na izolacji potencjalnie szkodliwego programu lub niebezpiecznego kodu, od pozostałych obszarów naszego systemu.
Wiele systemów operacyjnych ma wbudowane narzędzia typu sandbox. System Windows zapewnia lekkie środowisko graficzne do bezpiecznego uruchamiania aplikacji w izolacji. Oprogramowanie uruchamiane czy zainstalowane w środowisku Windows Sandbox pozostaje działa niezależnie od komputera hosta. Oprogramowanie Windows Sandbox jest zawarte w Windows 10/11 Pro i Enterprise, wystarczy z poziomu panelu administracyjnego, programy i funkcje, doinstalować funkcję dodatkową Windows Sandbox. Aplikacja działa na zasadzie dodatkowego całkowicie czystego systemu operacyjnego Windows. Po uruchomieniu Windows Sandbox za każdym razem otrzymujemy całkowicie nową instancję „piaskownicy”, wszelkie oprogramowanie, pliki czy ustawienia są usuwane przy każdym zamknięciu Windows Sandbox. Warto pamiętać, że oprogramowanie, pliki i aplikacje zainstalowane na hoście nie są bezpośrednio dostępne w Windows Sandbox, w przypadku gdy potrzebujemy jakiegoś oprogramowania musimy je każdorazowo instalować. Windows Sandbox używa wirtualizacji sprzętowej do izolacji jądra systemu, zatem uruchamiając aplikację czy plik w trybie sandbox nie narażamy systemu i reszty danych na szkodliwe działanie nieznanej aplikacji, a jeśli będzie to aplikacja niebezpieczna np.: szyfrująca dane możemy bez straty zamknąć Windows Sandbox i wszystko zostanie wyczyszczone.
W systemach Linux możemy skorzystać z dedykowanych aplikacji, które przy odpowiedniej konfiguracji będą każdorazowo otwierać wybraną aplikację w trybie sandbox, np.: przeglądarkę, pocztę, menedżera haseł. Każda z tych aplikacji zostanie uruchomiona w osobnej „piaskownicy” co jest o tyle wygodne, że zapewnia nam izolację zarówno od systemu operacyjnego jak i pomiędzy poszczególnymi aplikacjami. Jedną z aplikacji służących do sandboxowania w systemach Linux jest Firejail, który pozwala izolować każdy z uruchamianych na stacji procesów. Oprogramowanie zawiera profile bezpieczeństwa dla dużej liczby programów linuksowych: Firefox, Chromium, VLC, Transmission, Keepass2, Gimp, Pingin itp. Wszystkich predefiniowanych profili jest ponad 1 tyś. Wykorzystywane przez Firejail zasoby są odseparowane od pozostałych elementów funkcjonalnych systemu, a zatem nie stanowią zagrożenia dla prawidłowego funkcjonowania komputera oraz bezpieczeństwa danych przechowywanych na dysku twardym.
Sandboxowanie aplikacji stanowi niezwykle skuteczny sposób na uruchomienie programów, co do których nie mamy zaufania lub chcielibyśmy je odizolować od reszty oprogramowania zainstalowanego w systemie operacyjnym. Dzięki izolacji uruchamiane oprogramowanie nie ma kontaktu z pozostałymi aplikacjami i nie naraża pozostałych części systemu, nie spowoduje uszkodzenia plików czy nawet systemu operacyjnego.
Oprogramowanie typu sandbox to narzędzie, którego wykorzystanie niesie za sobą wiele zalet. Dzięki zastosowaniu sandboxa nawet nietechniczne osoby mogą zweryfikować czy otrzymany przez nie załącznik e-mailowy jest bezpieczny. Natomiast Działy IT w oparciu o technologie sandbox mogą budować środowiska do sprawdzania i testowania aplikacji, kodu źródłowego czy wykrytych w sieci zagrożeń. Coraz częściej sandbox stanowi integralny element systemu operacyjnego lub oprogramowania antywirusowego i pozwalają na uruchamianie programów i dokumentów w pełni odizolowanym środowisku wirtualnym.
Autor: Piotr Maziakowski