“沙盒”技术
2007年5月,谷歌收购了安全软件公司GreenBorder。此后,这家看上去很有希望的创业公司就被谷歌雪藏,再也没有出现在人们的视线中。
但当谷歌在周二宣布推出Chrome浏览器后,这个问题的答案终于揭晓。在过去15个月来,GreenBorder一直在为Chrome浏览器中的安全性能寻求解决之道。面对日益猖獗的网络攻击,GreenBorder在Chrome采用了一项创新的“沙盒”技术。这项技术可以限制网络应用程序越过虚拟边界访问电脑内存,此举不但可以防止因单个网络应用程序而导致浏览器或正运行的其他软件崩溃,更表现出谷歌试图控制最近数月来通过网络大肆传播的病毒。
网络安全监测组织Shadowserver Foundation指出,在过去一年间,被恶意软件感染并成为“僵尸网络”的电脑数量是原来的四倍。安全机构SANS Internet Storm Center安全研究人员也指出,这种状况部分是由于网络上的一系列攻击所导致。在最近几宗案例中,黑客将恶意软件植入成千上万台服务器,每当用户访问受感染的服务器时,恶意软件就会通过“隐蔽强迫下载”(drive-by downloads)方式,将窃取密码的木马安装到用户电脑或将用户电脑变为发送垃圾邮件的“僵尸”。
谷歌原来保护用户的做法是,在用户通过搜索结果访问存在恶意软件网页时提醒用户,或者完全从搜索结果中剔除这类网站。但现在依靠GreenBoarder为Chrome开发的“沙盒技术”,谷歌在用户硬件和恶意劫持电脑的应用程序之间竖起了一道防护墙。
谷歌全球研发总监莱纳斯·厄普森(Linus Upson)表示:“我们完全摒弃了每一款浏览器都允许访问电脑其他部分的处理方式,现在的做法就是只与浏览器对话,这样可以真正限制那些利用浏览器进行攻击的做法。”
安全专家、英国电信CSO(首席安全官)布鲁斯·施奈尔(Bruce Schneier)认为:“这是个好创意。用户当然希望用于访问网络的部分与用于保存财务数据的部分有所不同,但这二者很难完美兼顾。”
“沙盒”保护层
施奈尔的疑问在于,Chrome或其他软件是否可以有效地将恶意软件阻挡在“沙盒”之内,同时还能让应用程序平滑地运行。施奈尔指出,Java就是为“沙盒”设计的编程语言,但在为应用程序创建虚拟隔离墙的同时,也限制了它们对于本地计算机资源的访问。
另外,Java的内在缺陷时常导致虚拟犯罪分子打破这些隔离墙,并运行谷歌希望阻止运行的恶意软件。安全研究人员已经指出,VMware等虚拟技术很易出现“虚拟机逃逸”(virtual machine escape)问题,使程序突破虚拟边界劫持本地电脑权限。
SANS网络安全研究人员乔纳斯·乌尔里奇(Johannes Ullrich)指出,编写一个突破虚拟边界的程序并非易事,而“沙盒”也为网络安全另外增加了保护层。但乌尔里奇指出,Chrome的安全将取决于其代码中可能存在的漏洞的类型以及这些漏洞发生的频率,这些漏洞也可能导致用户成为恶意软件捕获的对象。乌尔里奇称:“‘沙盒’提供了另外一层防护,但一旦有人突破这个防线,所有的人都可以利用简单的脚本攻破它。”
这意味着安全研究人员要尽快找到Chrome代码中的漏洞,而这也是虚拟犯罪分子的目标,这无需耗费太多时间。Mozilla在6月份发布最新版火狐后仅几个小时,安全厂商Tipping Point就收到了安全报告,称火狐中存在可以让网站在用户电脑中安装恶意软件的漏洞。
安全专家、White Hat Security CTO杰雷米亚·格罗斯曼(Jeremiah Grossman)表示,或许Chrome有所不同,但这将取决于哪一方首先发现软件中的漏洞。他预测称,Chrome的第一个漏洞将会在24小时内被发现。格罗斯曼称:“即使拥有所有正确的设计概念,但如果忘记一行代码,一切都毫无意义。”
网友评论