Sandbox (bilgisayar güvenliği)

Bilgisayar güvenliğinde, Sandbox, çalışan programları ayırmak için bir güvenlik mekanizmasıdır.

Genellikle test edilmemiş veya güvenilmeyen program ya da kod çalıştırmak için, muhtemelen doğrulanmamış ya da güvenilir olmayan üçüncü kişiler, tedarikçiler, kullanıcılar veya web sitelerinden, ana makine veya işletim sistemi zarar riski olmadan kullanılır. Bir Sandbox genellikle çalıştırmak için misafir programları, disk ve bellek üzerinde çizik alanı gibi kaynaklarının sıkı kontrol sağlar. Ana sistem denetimini yapmak ya da giriş aygıtları okuma ağ erişim yeteneği genellikle izin verilmeyen veya çok sınırlıdır.

Son derece kontrollü bir ortam sağlama anlamında, sanal sanallaştırma belirli bir örnek olarak görülebilir. Korumalı alan sık virüs veya diğer kötü amaçlı kod içeren yazılım ana makine zarar için izin vermeden olabilecek doğrulanmamış programları test etmek için kullanılır.

Çalışma prensibi

Sandbox özellikleri Antivirüs yazılımı üreticisine göre değişmekle beraber çeşitli analiz ve metotlar kullanır.

Sandbox özelliği aslında Antivirüs yazılımının tahmin yapmasını sağlayan bir araçtır, kısaca program sanal ve güvenli bir alan oluşturur ve OS ile Disk içinde sisteme erişimi olmayan kendi kontrolü ve denetimi altında tamamen güvenli bir alan yaratır ve bütün programları veya riskli yazılımları önce burada dener. Eğer, yazılım sistem fonksiyonlarını bozacak veya veri ele geçirmek gibi kullanıcıyı olumsuz etkileyecek bir fonksiyonu veya komutu yürütmek isterse bunu fark eder ve gerçek OS ile Disk ortamında kodun çalıştırılmasını ve yürütüme girmesini engeller. Davranışsal analizden sonra Antivirüs yazılımı zararlı bir program olduğunu tanımlarsa programın kodlarının yürütülmesi engellenir ve kullanıcı bilgilendirir.

Listelendirilmiş aşama süreci:

1. Korumalı alan belirtilmiş program veya bağlantıyı taramak için istek alır.
2. İstek alındıktan sonra Antivirüs Yazılımı çalıştırma yönergesini uygular ve alınan bu istek Sandbox içine yönlendirilir. Zararlı veya şüpheli yazılım ve bağlantı uzantısı buradan çalıştırılır
3. Antivirüs yazılımı çalıştırdığı program veya bağlantı verisini analiz etmeye başlar.
4. Korumalı alan test zamanı boyunca gerekli veriyi toplar ve analize başlar sonuç değerlendirmesi ile sonuç alınır programın gerçek işletim sistemi veya disk içinde çalıştırılmasına dahil gerekli karar alınır.
5. Eğer program veya URL bağlantısı, sisteme veya veriyi ele geçirmeye yönelik zararlı bir davranış içinde bulunmuşsa Antivirüs yazılımı sandbox sonucu kendi havuzuna atar havuza atılan veriler sayesinde Sandbox özelliği daha iyi çalışır. Zararlı davranışta bulunan programın çalıştırılması önlenir ve kullanıcı ekranda çoğu zaman uyarı alır.^[1][2][3]

Sandbox tarafından analiz için toplanan veriler.

Listelendirilmiş olarak:

1. Uygulama yürütme günlükleri ve uygulamanın kayıt defteri davranışları. (Parametreleriyle birlikte API işlev çağrıları, yürütme olayları.)
2. Bellek dökümleri ve hafıza ile olan iletişim.
3. Yüklenen veya dahil edilen modüller ve ek izinler.
4. Dosya sistemi içinde yapılan bütün değişiklikler ve kayıt defteri içinde yapılan değişiklikler.
5. Ağ trafiği ve PCAP dosyaları.
6. Ekran görüntüleri. (Manuel analiz için kullanıcıya sunulmak üzere alınabilir veya davranışların dökümü).
7. Kötü amaçlı bütün faaliyetlerin genel kayıtları.

Sandbox tarafından toplanan bu veriler ile analiz yapılır, program olağan dışı bir faaliyet yaparsa veya dosya sistemine zarar vermek gibi bir kötü amaçlı faaliyeti gerçekleştirmeyi denerse Antivirüs yazılımı bunu engelleyecektir.^[1][2]

Sandbox özelliğini aşabilmesi mümkün donanımsal açıklar.

Meltdown ve Spectre işlemci önbellek açıkları doğrudan işlemci önbelleğini hedef aldığı için Sandbox özelliği ve genel Antivirüs yazılımları doğrudan güvenlik sağlamaz. Donanımsal tabanlı açıklar BIOS ve çeşitli Microcode yamaları ile yamalanır.

Kaynakça

1. ^ ^{a b} "Sandbox | Kaspersky". www.kaspersky.com. 22 Nisan 2020 tarihinde kaynağından arşivlendi. Erişim tarihi: 29 Ekim 2022. 
2. ^ ^{a b} "What is a Sandbox Environment? What is it used for?" (İngilizce). 29 Ekim 2022 tarihinde kaynağından arşivlendi. Erişim tarihi: 29 Ekim 2022. 
3. ^ "What is sandboxing and how does it work? | Avast". www.avast.com (İngilizce). 9 Ağustos 2020 tarihinde kaynağından arşivlendi. Erişim tarihi: 29 Ekim 2022.