Пре неки дан Гоогле је најавио отварање Сандбокед АПИ пројектаДа омогућава вам аутоматизацију процеса стварања песковника за изоловано извршавање произвољних библиотека у Ц и Ц ++.
Изолација вашег кода из библиотека омогућава заштиту од могућих напада на ручке које пружају библиотеке, стварајући додатну препреку у случају да у вашем коду постоје рањивости које се могу искористити кроз манипулације спољним подацима који улазе у библиотеку. Код је отворен под лиценцом Апацхе 2.0.
Изолацијаили се то користи у оквиру Сандбок2 рунтиме, у којем се користе именски простори, цгроупс и сеццомп-бпф.
Код испоручен у заштићеном окружењу који ради у одвојеном процесу, за који је потребан приступ системским позивима и ресурсима, као и датотеке и мрежне везе, је ограничен.
Процеси добијају приступ само системским могућностима које су директно потребне за извршавање изолованог кода.
Сандбок2 дефинише компоненте за покретање процесаили, применити правила изолације и подржати накнадно извршење.
Сандбок2 може се користити одвојено од Сандбок АПИ-ја за изолацију не само библиотека, већ и произвољних процеса.
Поред повећане заштите, позитивна тачка у уклањању кода у одвојеним процесима је и могућност одвојеног регулисања ограничења потрошње меморије библиотеке и ЦПУ-а, као и заштита од кварова: квар у библиотека не узрокује пад читаве апликације.
О Сандбокед АПИ-ју
Сандбокед АПИ је додатак за Сандбок2 што поједностављује транспорт постојећих библиотека да се изводи у изолованом режиму.
Сандбокед АПИ пружа средњи софтверски интерфејс који вам омогућава покретање библиотечког кода у окружењу песковитог окружењакао и организовање позива библиотеци у окружењу песковитог окружења и обезбеђивање испоруке резултата библиотеке главном програму.
Se приступа изолованој библиотеци кроз специјализовани РПЦ заснован на протоБуффс протоколу.
A програмерима библиотека нуди се скуп опција које омогућавају приступ променљивим, дескриптори датотека, међуспремници и функције библиотеке изоловане од основне апликације, укључујући алате за аутоматску и контролисану синхронизацију меморије за дељење низова и структура.
Када је софтверска библиотека која анализира такве податке довољно сложена, може постати жртва одређених врста сигурносних рањивости: грешака у оштећењу меморије или других врста проблема повезаних са логиком анализе (на пример, проблеми са заобилазницом путање). Те рањивости могу имати озбиљне сигурносне импликације.
Поред тога, Обезбеђен је АПИ за надгледање рада изолованих процеса и њихово поновно покретање у случају кварова.
За изоловану библиотеку, код напомена изолованих функција се аутоматски генерише за систем склопа Базел и програмски интерфејс (САПИ) за интеракцију између основног и изолованог процеса.
Програмер такође мора створити датотеку заглавља са правилима изолације која дефинишу све дозвољене системске позиве и операције (читање, писање, отварање датотека, приступ времену, могућност инсталирања обрађивача сигнала, подршка за алокацију меморије путем маллоц-а итд.).
Датотеке и директоријуми којима би библиотека требало да има приступ одређују се одвојено.
Инсталација
Тренутно је пројекат доступан само за Линук, али у будућности обећавају да ће додати подршку за мацОС и БСД системе, а дугорочно и за Виндовс. да ако желите да инсталирате апи песковита окружења, можете следити дата упутства у овом линку.
Од планова се такође напомиње могућност изолације библиотека на језицима који нису Ц и Ц ++, додатна рунтиме подршка за изолацију (нпр. засновано на хардверској виртуелизацији) и могућност употребе ЦМаке-а и других система за склапање (подршка је сада ограничена на систем за изградњу Базел).
izvor: https://security.googleblog.com