Sandboxing چیست ؟

Sandboxing چیست ؟

Sandboxing یک تکنیک امنیتی در رایانه‌ها و نرم‌افزارها است که هدف آن ایزوله کردن (جدا کردن) اجرای یک برنامه یا کد از سایر بخش‌های سیستم است تا از دسترسی یا تأثیرات ناخواسته آن روی منابع مهم جلوگیری شود. در واقع، sandbox مانند یک محیط محافظت شده و کنترل شده عمل می‌کند که به برنامه یا کد اجازه می‌دهد درون آن اجرا شود بدون اینکه به بقیه سیستم آسیب بزند یا به اطلاعات حساس دسترسی پیدا کند.

تعریف ساده:

Sandboxing به این معناست که برنامه یا کد در یک محیط محدود شده (sandbox) اجرا می‌شود تا اگر دچار اشکال شد یا حاوی کد مخرب بود، نتواند به کل سیستم آسیب برساند یا به داده‌های مهم دسترسی پیدا کند.

نحوه عملکرد Sandboxing

عملکرد Sandboxing مبتنی بر ایجاد یک محیط ایزوله و کنترل‌شده برای اجرای برنامه‌ها یا کدها است، به طوری که دسترسی آن‌ها به منابع سیستم (مانند فایل‌ها، شبکه، و سخت‌افزار) محدود و مدیریت شود. این ایزوله‌سازی به جلوگیری از تأثیرات مخرب کد یا برنامه بر روی سایر بخش‌های سیستم کمک می‌کند. در ادامه، مراحل و نحوه عملکرد Sandboxing را توضیح می‌دهم:

1. ایجاد محیط ایزوله (Sandbox)

• Sandbox یک محیط مجازی یا بخشی از سیستم‌عامل است که برنامه یا کد در آن اجرا می‌شود. این محیط محدود به دسترسی‌هایی است که به آن تعریف شده و سایر بخش‌های سیستم از آن محیط جدا هستند.
• سیستم‌عامل یا نرم‌افزار مدیریت sandbox (مانند Docker، SELinux، AppArmor) مسئول ایجاد این ایزوله‌سازی است و معمولاً با محدود کردن دسترسی به منابع مانند فایل‌ها، شبکه، و حافظه انجام می‌شود.

2. محدود کردن دسترسی به منابع سیستم

• در یک محیط sandbox، دسترسی به فایل‌ها، شبکه، حافظه و سایر منابع سخت‌افزاری به شدت کنترل و محدود می‌شود.
• برای مثال، یک برنامه که در sandbox اجرا می‌شود، ممکن است تنها به تعدادی فایل موقت یا پوشه‌های خاصی از سیستم دسترسی داشته باشد و از دسترسی به فایل‌های مهم سیستم عامل منع شود.
• همچنین دسترسی به شبکه ممکن است محدود شود تا برنامه نتواند به اینترنت متصل شود یا با دیگر دستگاه‌های موجود در شبکه ارتباط برقرار کند.

3. نظارت و کنترل اجرای برنامه

• یکی از ویژگی‌های مهم sandboxing، نظارت بر رفتار برنامه در حین اجرا است. هرگونه فعالیت مشکوک یا ناخواسته توسط سیستم‌عامل یا ابزار امنیتی شناسایی و محدود می‌شود.
• این نظارت شامل چک کردن فعالیت‌هایی مانند تلاش برای دسترسی به فایل‌های حساس، تغییرات در رجیستری، یا تلاش برای اتصال به شبکه‌های خارجی می‌شود.

4. مدیریت حقوق دسترسی (Permissions)

• هر برنامه یا کدی که در sandbox اجرا می‌شود، با مجموعه‌ای از حقوق دسترسی محدود (permissions) مواجه است. این حقوق می‌تواند شامل محدودیت‌هایی در نوشتن یا خواندن فایل‌ها، دسترسی به حافظه یا منابع شبکه باشد.
• مثلاً در سیستم‌عامل Android، هر اپلیکیشن در یک sandbox جداگانه اجرا می‌شود و بدون مجوز صریح کاربر نمی‌تواند به دوربین، میکروفون، یا اطلاعات تماس دسترسی پیدا کند.

5. ایزوله‌سازی فرآیندها

• یکی از ویژگی‌های کلیدی sandboxing این است که فرآیندهای اجرایی از یکدیگر جدا می‌شوند. برای مثال، در مرورگر وب Google Chrome، هر تب در یک sandbox جداگانه اجرا می‌شود. این بدان معناست که اگر یکی از تب‌ها به بدافزار آلوده شود، سایر تب‌ها و خود مرورگر تحت تأثیر قرار نمی‌گیرند.
• ایزوله‌سازی فرآیندها باعث می‌شود که خرابی یا رفتار غیرمجاز در یک فرآیند به کل سیستم سرایت نکند.

6. محدود کردن ارتباطات بین فرآیندها (Inter-process Communication)

• در یک محیط sandbox، ارتباطات بین فرآیندهای مختلف (Inter-process Communication یا IPC) به شدت کنترل می‌شود. این محدودیت‌ها باعث می‌شود که فرآیندهای مخرب نتوانند از طریق IPC به سایر فرآیندها دسترسی پیدا کرده و به سیستم آسیب بزنند.
• ارتباطات فقط به شرایط خاص و مجاز محدود می‌شود و از دسترسی به فرآیندهای حیاتی جلوگیری می‌شود.

7. بازیابی آسان در صورت بروز خطا

• یکی از مزایای عملکرد sandbox این است که اگر برنامه‌ای دچار خطا شود یا رفتاری مخرب داشته باشد، می‌توان به سادگی آن را متوقف کرده و sandbox را به حالت اولیه بازگرداند.
• چون تمام تغییرات برنامه به محیط sandbox محدود شده‌اند، پس از بسته شدن sandbox، تمامی تغییرات از بین می‌روند و سیستم اصلی بدون تغییر باقی می‌ماند.

8. ترکیب با سایر تکنیک‌های امنیتی

• Sandboxing معمولاً همراه با سایر روش‌های امنیتی مانند مجازی‌سازی، کنترل دسترسی‌ها، و استفاده از امضاهای دیجیتال برای تایید اصالت نرم‌افزارها به کار می‌رود.
• این ترکیب باعث تقویت بیشتر لایه‌های امنیتی و محافظت از سیستم در برابر حملات می‌شود.

ابزارها و تکنولوژی‌های مورد استفاده در Sandboxing:

• Docker: یک ابزار containerization که از تکنیک‌های sandboxing برای ایزوله کردن برنامه‌ها استفاده می‌کند.
• SELinux و AppArmor: ابزارهای کنترل دسترسی اجباری که دسترسی به فایل‌ها و منابع سیستم را محدود می‌کنند.
• Firejail: یک برنامه که برای sandboxing برنامه‌های لینوکسی استفاده می‌شود و دسترسی آن‌ها را محدود می‌کند.

کاربردهای رایج Sandboxing

Sandboxing یکی از تکنیک‌های امنیتی مهم در دنیای رایانه است که در بسیاری از حوزه‌ها و نرم‌افزارها برای محافظت از سیستم‌ها در برابر تهدیدات امنیتی و جداسازی کدها و فرآیندهای مختلف به کار می‌رود. در ادامه، برخی از کاربردهای رایج و مهم Sandboxing توضیح داده شده است:

1. مرورگرهای وب

• استفاده در مرورگرها: مرورگرهای وب مانند Google Chrome و Mozilla Firefox از تکنیک sandboxing برای ایزوله کردن تب‌ها و افزونه‌ها استفاده می‌کنند. هر تب در یک محیط جداگانه (sandbox) اجرا می‌شود تا اگر یک وبسایت مخرب یا دارای کدهای خطرناک باشد، نتواند به کل سیستم یا سایر تب‌ها دسترسی پیدا کند.
• افزونه‌های مرورگر: افزونه‌های نصب شده در مرورگر نیز در sandbox اجرا می‌شوند تا دسترسی آن‌ها به سیستم محدود شود و تنها مجوزهای مشخصی داشته باشند.

2. سیستم‌عامل‌های موبایل (Android و iOS)

• در سیستم‌عامل‌های موبایل مانند Android و iOS، هر اپلیکیشن در یک محیط sandbox جداگانه اجرا می‌شود. این جداسازی به اپلیکیشن‌ها اجازه نمی‌دهد که بدون مجوز به داده‌ها و منابع سایر برنامه‌ها یا بخش‌های سیستم دسترسی پیدا کنند.
• مدیریت مجوزها: در این سیستم‌عامل‌ها، هر اپلیکیشن تنها با مجوزهای مشخص می‌تواند به منابعی مانند دوربین، میکروفون، اطلاعات تماس‌ها و موقعیت جغرافیایی دسترسی پیدا کند. اگر یک اپلیکیشن مخرب باشد، به دلیل اجرای در یک sandbox، نمی‌تواند به اطلاعات حساس سیستم دسترسی یابد.

3. آنتی‌ویروس‌ها و نرم‌افزارهای امنیتی

• Sandboxing در آنتی‌ویروس‌ها: بسیاری از نرم‌افزارهای ضد بدافزار از sandboxing برای تجزیه و تحلیل فایل‌های مشکوک استفاده می‌کنند. به این صورت که فایل‌های ناشناخته یا مشکوک در یک محیط ایزوله اجرا می‌شوند تا رفتار آن‌ها بررسی شده و از تأثیرات مخرب آن‌ها بر سیستم اصلی جلوگیری شود.
• این تکنیک به آنتی‌ویروس‌ها اجازه می‌دهد تا بدون تأثیر بر سیستم واقعی، برنامه‌های مشکوک را تست و آنالیز کنند.

4. محیط‌های توسعه و تست نرم‌افزار

• توسعه‌دهندگان نرم‌افزارها از sandboxing برای تست ایمن برنامه‌های خود استفاده می‌کنند. محیط‌های sandbox به آن‌ها امکان می‌دهند که برنامه‌های خود را در محیطی جداگانه و بدون تأثیر بر سیستم واقعی اجرا کنند.
• در فرآیند تست نرم‌افزار، sandboxing از بروز خطاهای احتمالی یا مشکلات امنیتی در سیستم اصلی جلوگیری می‌کند و به توسعه‌دهندگان امکان می‌دهد با خیال راحت برنامه‌های خود را بررسی کنند.

5. اجرای اپلیکیشن‌های مشکوک یا ناشناخته

• Sandboxing برای اجرای فایل‌ها یا برنامه‌های ناشناخته یا مشکوک بسیار مفید است. وقتی کاربران با فایل‌های دانلود شده از منابع ناشناس مواجه می‌شوند، می‌توانند از sandbox برای اجرای ایمن آن‌ها استفاده کنند تا از تأثیرات بدافزارها یا ویروس‌ها جلوگیری شود.
• این روش به خصوص در سازمان‌ها و شرکت‌ها برای محافظت از سیستم‌های حساس کاربرد دارد.

6. مجازسازی و کنترل دسترسی در سیستم‌های چند کاربری

• در سیستم‌هایی که چند کاربر به طور همزمان از آن استفاده می‌کنند، sandboxing به عنوان یک مکانیزم امنیتی استفاده می‌شود تا فعالیت‌های هر کاربر از فعالیت‌های دیگر کاربران جدا و ایمن باشد.
• این کار از تداخل داده‌ها و دسترسی غیرمجاز کاربران به اطلاعات دیگران جلوگیری می‌کند.

7. محیط‌های مجازی و Containerization

• Containerization یکی از روش‌های نوین در توسعه نرم‌افزارهاست که از sandboxing استفاده می‌کند. ابزارهایی مانند Docker به برنامه‌ها اجازه می‌دهند در کانتینر‌های ایزوله شده اجرا شوند که شبیه به یک محیط sandbox است.
• این کانتینرها جدا از سیستم‌عامل اصلی اجرا می‌شوند و امکان اجرای برنامه‌های مختلف بدون تداخل یا نگرانی از مشکلات امنیتی را فراهم می‌کنند.

8. محیط‌های آموزشی و آزمایشگاهی

• در محیط‌های آموزشی و آزمایشگاهی، مخصوصاً در رشته‌های فناوری اطلاعات و امنیت سایبری، از sandbox برای آموزش دانشجویان و محققین استفاده می‌شود. این محیط‌های ایزوله به کاربران اجازه می‌دهند تا بدون آسیب به سیستم اصلی، با بدافزارها یا کدهای خطرناک کار کرده و نحوه دفاع در برابر آن‌ها را بیاموزند.
• همچنین این محیط‌ها برای بررسی و تحلیل حملات سایبری یا تست قابلیت‌های دفاعی سیستم‌ها کاربرد دارد.

9. حفاظت از سرورهای ابری و زیرساخت‌های مجازی

• در زیرساخت‌های ابری و مجازی‌سازی، از تکنیک‌های sandboxing برای جداسازی فرآیندها و کاربران استفاده می‌شود. این کار به سرورهای ابری اجازه می‌دهد که چندین برنامه یا کاربر را به صورت ایزوله و بدون خطر تداخل اجرا کنند.
• به این ترتیب، اگر یکی از برنامه‌ها دچار مشکل یا نقص امنیتی شود، تأثیری بر سایر برنامه‌ها یا کاربران نخواهد داشت.

10. بازی‌های رایانه‌ای و نرم‌افزارهای چندرسانه‌ای

• برخی از بازی‌های رایانه‌ای و نرم‌افزارهای چندرسانه‌ای که به منابع حساس سیستم (مانند کارت گرافیک یا شبکه) دسترسی دارند، از sandboxing برای اجرای ایمن و جلوگیری از مشکلات امنیتی استفاده می‌کنند.
• این کار مخصوصاً در بازی‌های آنلاین و نرم‌افزارهای مبتنی بر شبکه که خطر حملات سایبری بیشتری دارند، مفید است.

11. محافظت از کاربران در مقابل فایل‌های مخرب ایمیل‌ها

• یکی دیگر از کاربردهای رایج sandboxing در ایمیل‌ها است. برخی از سرویس‌های ایمیل از sandboxing برای بررسی و تحلیل پیوست‌های مشکوک استفاده می‌کنند. این پیوست‌ها در یک محیط sandbox اجرا می‌شوند تا مشخص شود آیا حاوی بدافزار یا کد مخرب هستند یا خیر، و پیش از باز شدن توسط کاربر مورد ارزیابی قرار می‌گیرند.

تکنیک‌ها و ابزارهای رایج Sandboxing

تکنیک‌ها و ابزارهای رایج Sandboxing به‌منظور اجرای ایمن برنامه‌ها و جلوگیری از تأثیرات منفی آن‌ها بر سیستم، به کار می‌روند. این تکنیک‌ها و ابزارها در بسیاری از حوزه‌ها از جمله سیستم‌عامل‌ها، مرورگرها، سرورها و توسعه نرم‌افزارها مورد استفاده قرار می‌گیرند. در ادامه به برخی از تکنیک‌ها و ابزارهای متداول Sandboxing می‌پردازیم:

1. Docker (کانتینری‌سازی)

• Docker یک ابزار محبوب در زمینه کانتینری‌سازی است که از تکنیک‌های Sandboxing استفاده می‌کند تا برنامه‌ها در محیط‌های ایزوله‌شده‌ای به نام “کانتینر” اجرا شوند. این کانتینرها جدا از سیستم‌عامل اصلی و سایر کانتینرها هستند و به منابع محدود و کنترل‌شده‌ای دسترسی دارند.
• کاربردهای رایج Docker شامل توسعه و استقرار برنامه‌ها، مخصوصاً در محیط‌های ابری و زیرساخت‌های مجازی است.
• مزایا: اجرای ایمن برنامه‌ها، سهولت در انتقال و توسعه، کارایی بالا.

2. Firejail

• Firejail یک ابزار Sandboxing برای سیستم‌های لینوکسی است که از قابلیت‌های هسته لینوکس (Linux Kernel) برای ایجاد محیط‌های ایزوله برای اجرای برنامه‌ها استفاده می‌کند. این ابزار به‌خصوص برای ایمن‌سازی مرورگرهای وب، برنامه‌های شبکه، و فایل‌های ناشناخته کاربرد دارد.
• مزایا: کاربری ساده، سبک و کم‌حجم، پشتیبانی از ایزوله‌سازی منابع مختلف مانند شبکه، فایل‌ها و دستگاه‌های جانبی.

3. SELinux (Security-Enhanced Linux)

• SELinux یک ماژول امنیتی پیشرفته برای سیستم‌عامل‌های مبتنی بر لینوکس است که دسترسی به منابع سیستم را به شدت کنترل می‌کند. در واقع، SELinux یکی از تکنیک‌های کنترل دسترسی اجباری (Mandatory Access Control) است که به برنامه‌ها تنها دسترسی‌های مشخص و محدودی می‌دهد و این دسترسی‌ها در محیط ایزوله (sandbox) کنترل می‌شوند.
• مزایا: امنیت بسیار بالا، مناسب برای سرورهای حساس و محیط‌های چندکاربری، امکان تنظیم سیاست‌های دقیق دسترسی.

4. AppArmor

• AppArmor یک سیستم امنیتی برای ایزوله‌سازی برنامه‌ها در سیستم‌عامل‌های لینوکسی است که بر اساس پروفایل‌های امنیتی کار می‌کند. این پروفایل‌ها مشخص می‌کنند که هر برنامه چه مجوزهایی برای دسترسی به منابع سیستم (فایل‌ها، شبکه، و …) دارد.
• در مقایسه با SELinux، پیکربندی و استفاده از AppArmor آسان‌تر است و به‌طور گسترده در توزیع‌های لینوکسی مانند Ubuntu استفاده می‌شود.
• مزایا: پیکربندی آسان، سبک‌تر از SELinux، امنیت بالا.

5. Windows Sandbox

• Windows Sandbox یک ابزار ایزوله‌سازی بومی در ویندوز ۱۰ و ۱۱ است که به کاربران اجازه می‌دهد تا برنامه‌ها و فایل‌های مشکوک را در یک محیط مجازی ایزوله اجرا کنند. این ابزار از مجازی‌سازی برای ایجاد یک نسخه تمیز و موقت از ویندوز استفاده می‌کند که پس از بسته شدن تمام تغییرات آن حذف می‌شود.
• مزایا: استفاده آسان، یکپارچه با ویندوز، مناسب برای تست سریع برنامه‌های ناشناخته.

6. Qubes OS

• Qubes OS یک سیستم‌عامل مبتنی بر امنیت است که از تکنیک‌های مجازی‌سازی و Sandboxing برای جداسازی برنامه‌ها و فعالیت‌های مختلف استفاده می‌کند. این سیستم‌عامل از ماشین‌های مجازی برای ایزوله کردن برنامه‌ها و بخش‌های مختلف سیستم استفاده می‌کند تا در صورت آلودگی به بدافزار، بخش‌های دیگر تحت تأثیر قرار نگیرند.
• مزایا: امنیت بسیار بالا، ایزوله‌سازی در سطح ماشین‌های مجازی، مناسب برای کاربران با حساسیت امنیتی بالا.

7. VMware و VirtualBox (مجازی‌سازی)

• VMware و VirtualBox دو ابزار رایج مجازی‌سازی هستند که از Sandboxing برای اجرای سیستم‌عامل‌های مجازی درون یک سیستم‌عامل اصلی استفاده می‌کنند. این ابزارها محیط‌های کاملاً ایزوله‌ای فراهم می‌کنند که می‌توان در آن‌ها سیستم‌عامل‌ها و برنامه‌ها را بدون تأثیر بر سیستم اصلی اجرا کرد.
• مزایا: ایجاد ماشین‌های مجازی کاملاً ایزوله، مناسب برای تست نرم‌افزارها و سیستم‌عامل‌ها، امکان اجرای چندین سیستم‌عامل به صورت هم‌زمان.

8. Chrome و Firefox Sandboxing

• Google Chrome و Mozilla Firefox از تکنیک‌های Sandboxing برای ایزوله کردن تب‌های مرورگر و افزونه‌ها استفاده می‌کنند. هر تب در یک فرآیند جداگانه اجرا می‌شود و این جداسازی مانع از دسترسی کدهای مخرب موجود در یک تب به سایر بخش‌های مرورگر یا سیستم می‌شود.
• مزایا: حفاظت از سیستم در برابر حملات وبسایت‌های مخرب، کاهش ریسک دسترسی افزونه‌های مخرب به اطلاعات کاربر.

9. Java Virtual Machine (JVM)

• Java Virtual Machine (JVM) یکی از نمونه‌های Sandboxing است که برای اجرای برنامه‌های نوشته‌شده به زبان جاوا استفاده می‌شود. JVM محیطی ایزوله فراهم می‌کند که کدهای جاوا را بدون تأثیر بر سیستم‌عامل یا سایر برنامه‌ها اجرا می‌کند. این محیط کنترل دقیقی بر دسترسی به منابع سیستم و حافظه دارد.
• مزایا: امنیت بالا برای اجرای کدهای ناامن یا مشکوک، ایزوله‌سازی در سطح برنامه.

10. Cuckoo Sandbox

• Cuckoo Sandbox یک ابزار متن‌باز برای تجزیه و تحلیل بدافزارها است که فایل‌های مشکوک را در یک محیط مجازی ایزوله اجرا کرده و رفتار آن‌ها را بررسی می‌کند. این ابزار به خصوص برای تحلیل و شناسایی رفتارهای بدافزاری در فایل‌ها، اسکریپت‌ها و ایمیل‌های مشکوک بسیار مفید است.
• مزایا: مناسب برای تیم‌های امنیتی و متخصصان تحلیل بدافزار، تجزیه و تحلیل دقیق و کامل رفتارهای مشکوک.

11. Xen و KVM (مجازی‌سازی در سطح سرور)

• Xen و KVM دو تکنولوژی مجازی‌سازی محبوب هستند که در سرورها استفاده می‌شوند. این ابزارها از Sandboxing برای ایزوله کردن ماشین‌های مجازی مختلف روی یک سرور فیزیکی استفاده می‌کنند. به این ترتیب هر ماشین مجازی به عنوان یک سیستم مستقل و جدا از سایر ماشین‌ها و سیستم اصلی اجرا می‌شود.
• مزایا: ایزوله‌سازی کامل در سطح سرور، مناسب برای ارائه‌دهندگان خدمات ابری و سرورهای مجازی.

12. Sandboxie

• Sandboxie یک ابزار Sandboxing رایج برای ویندوز است که به کاربران اجازه می‌دهد برنامه‌های خود را در محیطی ایزوله اجرا کنند. این نرم‌افزار به خصوص برای اجرای ایمن فایل‌های دانلود شده یا برنامه‌های ناشناخته کاربرد دارد.
• مزایا: سبک، کاربری آسان، حفاظت از سیستم در برابر تغییرات ناخواسته.