返回列表 回復 發帖

穀歌流覽器應用安全新技術--沙箱

穀歌流覽器應用安全新技術--沙箱
2007年5月,穀歌收購了安全軟體公司GreenBorder。此後,這家看上去很有希望的創業公司就被谷歌雪藏,再也沒有出現在人們的視線中。

  但當穀歌在週二宣佈推出Chrome流覽器後,這個問題的答案終於揭曉。在過去15個月來,GreenBorder一直在為Chrome流覽器中的安全性能尋求解決之道。面對日益猖獗的網路攻擊,GreenBorder在Chrome採用了一項創新的“沙箱”技術。這項技術可以限制網路應用程式越過虛擬邊界訪問電腦記憶體,此舉不但可以防止因單個網路應用程式而導致流覽器或正運行的其他軟體崩潰,更表現出穀歌試圖控制最近數月來通過網路大肆傳播的病毒。

  網路安全監測組織ShadowserverFoundation指出,在過去一年間,被惡意軟體感染並成為“僵屍網路”的電腦數量是原來的四倍。安全機構SANS Internet StormCenter安全研究人員也指出,這種狀況部分是由於網路上的一系列攻擊所導致。在最近幾宗案例中,駭客將惡意軟體植入成千上萬台伺服器,每當用戶訪問受感染的伺服器時,惡意軟體就會通過“隱蔽強迫下載”(drive-bydownloads)方式,將竊取密碼的木馬安裝到使用者電腦或將用戶電腦變為發送垃圾郵件的“僵屍”。

  谷歌原來保護用戶的做法是,在用戶通過搜索結果訪問存在惡意軟體網頁時提醒使用者,或者完全從搜索結果中剔除這類網站。但現在依靠GreenBoarder為Chrome開發的“沙箱技術”,穀歌在使用者硬體和惡意劫持電腦的應用程式之間豎起了一道防護牆。

  穀歌全球研發總監萊納斯·厄普森(Linus Upson)表示:“我們完全摒棄了每一款流覽器都允許訪問電腦其他部分的處理方式,現在的做法就是只與流覽器對話,這樣可以真正限制那些利用流覽器進行攻擊的做法。”

  安全專家、英國電信CSO(首席安全官)布魯斯·施奈爾(Bruce Schneier)認為:“這是個好創意。使用者當然希望用於訪問網路的部分與用於保存財務資料的部分有所不同,但這二者很難完美兼顧。”

  施奈爾的疑問在於,Chrome或其他軟體是否可以有效地將惡意軟體阻擋在“沙箱”之內,同時還能讓應用程式平滑地運行。施奈爾指出,Java就是為“沙箱”設計的程式設計語言,但在為應用程式創建虛擬隔離牆的同時,也限制了它們對於本地電腦資源的訪問。

  另外,Java的內在缺陷時常導致虛擬犯罪分子打破這些隔離牆,並運行穀歌希望阻止運行的惡意軟體。安全研究人員已經指出,VMware等虛擬技術很易出現“虛擬機器逃逸”(virtual machine escape)問題,使程式突破虛擬邊界劫持本地電腦許可權。

  SANS網路安全研究人員約拿斯·烏爾裡奇(JohannesUllrich)指出,編寫一個突破虛擬邊界的程式並非易事,而“沙箱”也為網路安全另外增加了保護層。但烏爾裡奇指出,Chrome的安全將取決於其代碼中可能存在的漏洞的類型以及這些漏洞發生的頻率,這些漏洞也可能導致使用者成為惡意軟體捕獲的物件。烏爾裡奇稱:“‘沙箱’提供了另外一層防護,但一旦有人突破這個防線,所有的人都可以利用簡單的腳本攻破它。”

  這意味著安全研究人員要儘快找到Chrome代碼中的漏洞,而這也是虛擬犯罪分子的目標,這無需耗費太多時間。Mozilla在6月份發佈最新版火狐後僅幾個小時,安全廠商Tipping Point就收到了安全報告,稱火狐中存在可以讓網站在使用者電腦中安裝惡意軟體的漏洞。

  安全專家、White Hat Security CTO傑雷米亞·格羅斯曼(JeremiahGrossman)表示,或許Chrome有所不同,但這將取決於哪一方首先發現軟體中的漏洞。他預測稱,Chrome的第一個漏洞將會在24小時內被發現。格羅斯曼稱:“即使擁有所有正確的設計概念,但如果忘記一行代碼,一切都毫無意義。”
返回列表