Sandbox,沙盒,几年前呈现的一个“不温不火”的技巧。然而就在近一两年,这一技巧已经被广泛利用在了安全范畴的许多方面,比如杀毒软件、浏览器,甚至Office 2010中,也许,Adobe Reader这样的PDF浏览器也将很快支撑沙盒机制。沙盒技巧可能会成为新一代的安全防护手段。
2010年初,著名的安全专家 Dino Dai Zovi(如果你关心盘算机安全范畴必定知道此人),作出了一项预言,他认为“2010将是沙盒技巧被广泛利用的一年,不可信数据将在沙盒之中被处理。”
那么,什么是沙盒技巧呢?简略地讲,沙盒是一种“环境”,起源不可信、具备损坏行动或意图不明的程序可以在其中被履行,然而,沙盒中的所有修正并不会对操作系统造成任何影响。也许有人用过“影子系统”,这其实就是沙盒技巧的一种利用。
Dai Zovi认为沙盒技巧是把用户从浏览器攻击洪流中拯救出来的方舟。尽管这项技巧不能堪称完善,但这是我们应当努力的方向。因为漏洞补丁方法显然已经不实用,我们永远都无法博得这种无休止的补丁比赛。
确实,传统的病毒防御手段有着先天的不足,安全软件实际上是在努力缩短着“病毒出生到系统更新补丁”所用的时间。虽然厂商可以及时发布补丁,但谁也无法保障这个补丁能同样快速地被安装在用户的电脑中。尤其在互联网时代,病毒可以以极低的成本和极高的更新速度冲击每一个用户的电脑,这也就使得“漏洞补丁方法”疲态尽显。当一种防御机制达到极限时,转变一下思路,从另一条路走向“罗马”也许是我们应当做的。
在Dai Zovi的一篇文章中提到,两项技巧的普及对基于网络(Network-based)的互联网病毒影响是深远的:一是Windows XP SP2的普及,原因很简略,因为XP内置了防火墙,并且默认是开启的;二是WI-FI的普及,因为当无线路由器走进千家万户时,等于人人也都用上了防火墙(Firewall)。俗话说,苍蝇不叮无缝的蛋,而这两件事情极大地减少了黑客从外到内可以下手的通路,剩下的可能就只有80端口(HTTP)和110端口(POP3)了。
但防火墙也不是万能的,它虽然可以关闭进入用户电脑的通路,但对于“放行”的通路,防火墙并不会检查流量中所传输的内容。目前安全要挟进入用户电脑基础有两种道路,即网页浏览和邮件的恶意附件。而这两种安全要挟都是基础内容的,与端口无关,所以防火墙此时是无能为力的。
防火墙在网络层面关闭了进入用户电脑的通路(Surface),所以基于端口的攻击变得不再有效,于是黑客们将眼光放在了软件上。任何软件都可能存在漏洞,要害是如何利用这些漏洞。用户在上网时,浏览器可能会将病毒或木马带进系统中来,这时恶意软件将会对目标漏洞发起攻击,甚至可能关闭WINDOWS内置的防火墙,虽然它无法关闭无线路由器的防火墙,但这个防火墙一般是对外不对内的,木马可以上传任何数据,而此时防火墙是“透明”的。
当黑客都盯上“80端口”时,浏览器的优劣就变得异常重要了,这绝不是开玩笑,浏览器是用户的第一个安全屏障,应用优良的浏览器绝对照考虑应用哪款安全软件重要,不用猜忌!
如何使浏览器更安全呢?首先当然是选用最新版本,不要迷恋过时浏览器的所谓速度,比如IE6,它除了速度可能已经一无是处(推荐浏览:IE6该不该被抛弃?)。第二,也许我们应当为软件建立起一道防火墙。Dai Zovi认为,传统防火墙是服务于网络的,而沙盒是服务于软件的。沙盒虽然并不完善,但它可以像防火墙一样,大大提升恶意软件对系统造成侵害的难度。
将全部系统放入沙盒之中虽然可以大大提升安全性,但这其实也不是一个好主意,因为所有操作并非都存在风险,这时需要的是定点保护,比如将浏览器和邮件的附件放入沙盒之中。
将沙盒技巧利用在浏览器中,这一范畴中走在前面的是Google 的Chrome。谷歌全球研发总监莱纳斯•厄普森就曾表现:“我们完整摒弃了每一款浏览器都容许访问电脑其他部分的处理方法,这样可以真正限制那些利用浏览器进行攻击的做法。”
相关阅读