Sandbox，沙盒，幾年前出現(xiàn)的一個(gè)“不溫不火”的技術(shù)。然而就在近一兩年，這一技術(shù)已經(jīng)被廣泛應(yīng)用在了安全領(lǐng)域的許多方面，比如殺毒軟件、瀏覽器，甚至Office 2010中，也許，Adobe Reader這樣的PDF閱讀器也將很快支持沙盒機(jī)制。沙盒技術(shù)可能會(huì)成為新一代的安全防護(hù)手段。

2010年初，著名的安全專(zhuān)家 Dino Dai Zovi(如果你關(guān)心計(jì)算機(jī)安全領(lǐng)域一定知道此人)，作出了一項(xiàng)預(yù)言，他認(rèn)為“2010將是沙盒技術(shù)被廣泛應(yīng)用的一年，不可信數(shù)據(jù)將在沙盒之中被處理?！?/P>

那么，什么是沙盒技術(shù)呢?簡(jiǎn)單地講，沙盒是一種“環(huán)境”，來(lái)源不可信、具備破壞行為或意圖不明的程序可以在其中被執(zhí)行，然而，沙盒中的所有改動(dòng)并不會(huì)對(duì)操作系統(tǒng)造成任何影響。也許有人用過(guò)“影子系統(tǒng)”，這其實(shí)就是沙盒技術(shù)的一種應(yīng)用。

Dai Zovi認(rèn)為沙盒技術(shù)是把用戶(hù)從瀏覽器攻擊洪流中拯救出來(lái)的方舟。盡管這項(xiàng)技術(shù)不能堪稱(chēng)完美，但這是我們應(yīng)該努力的方向。因?yàn)槁┒囱a(bǔ)丁方法顯然已經(jīng)不適用，我們永遠(yuǎn)都無(wú)法贏得這種無(wú)休止的補(bǔ)丁競(jìng)賽。

確實(shí)，傳統(tǒng)的病毒防御手段有著先天的不足，安全軟件實(shí)際上是在努力縮短著“病毒誕生到系統(tǒng)更新補(bǔ)丁”所用的時(shí)間。雖然廠商可以及時(shí)發(fā)布補(bǔ)丁，但誰(shuí)也無(wú)法保障這個(gè)補(bǔ)丁能同樣快速地被安裝在用戶(hù)的電腦中。尤其在互聯(lián)網(wǎng)時(shí)代，病毒可以以極低的成本和極高的更新速度沖擊每一個(gè)用戶(hù)的電腦，這也就使得“漏洞補(bǔ)丁方法”疲態(tài)盡顯。當(dāng)一種防御機(jī)制達(dá)到極限時(shí)，轉(zhuǎn)變一下思路，從另一條路走向“羅馬”也許是我們應(yīng)當(dāng)做的。

在Dai Zovi的一篇文章中提到，兩項(xiàng)技術(shù)的普及對(duì)基于網(wǎng)絡(luò)(Network-based)的互聯(lián)網(wǎng)病毒影響是深遠(yuǎn)的：一是Windows XP SP2的普及，原因很簡(jiǎn)單，因?yàn)閄P內(nèi)置了防火墻，并且默認(rèn)是開(kāi)啟的;二是WI-FI的普及，因?yàn)楫?dāng)無(wú)線路由器走進(jìn)千家萬(wàn)戶(hù)時(shí)，等于人人也都用上了防火墻(Firewall)。俗話說(shuō)，蒼蠅不叮無(wú)縫的蛋，而這兩件事情極大地減少了黑客從外到內(nèi)可以下手的通路，剩下的可能就只有80端口(HTTP)和110端口(POP3)了。

但防火墻也不是萬(wàn)能的，它雖然可以關(guān)閉進(jìn)入用戶(hù)電腦的通路，但對(duì)于“放行”的通路，防火墻并不會(huì)檢查流量中所傳輸?shù)膬?nèi)容。目前安全威脅進(jìn)入用戶(hù)電腦基本有兩種途徑，即網(wǎng)頁(yè)瀏覽和郵件的惡意附件。而這兩種安全威脅都是基本內(nèi)容的，與端口無(wú)關(guān)，所以防火墻此時(shí)是無(wú)能為力的。

防火墻在網(wǎng)絡(luò)層面關(guān)閉了進(jìn)入用戶(hù)電腦的通路(Surface)，所以基于端口的攻擊變得不再有效，于是黑客們將目光放在了軟件上。任何軟件都可能存在漏洞，關(guān)鍵是如何利用這些漏洞。用戶(hù)在上網(wǎng)時(shí)，瀏覽器可能會(huì)將病毒或木馬帶進(jìn)系統(tǒng)中來(lái)，這時(shí)惡意軟件將會(huì)對(duì)目標(biāo)漏洞發(fā)起攻擊，甚至可能關(guān)閉WINDOWS內(nèi)置的防火墻，雖然它無(wú)法關(guān)閉無(wú)線路由器的防火墻，但這個(gè)防火墻一般是對(duì)外不對(duì)內(nèi)的，木馬可以上傳任何數(shù)據(jù)，而此時(shí)防火墻是“透明”的。

當(dāng)黑客都盯上“80端口”時(shí)，瀏覽器的優(yōu)劣就變得異常重要了，這絕不是開(kāi)玩笑，瀏覽器是用戶(hù)的第一個(gè)安全屏障，使用優(yōu)秀的瀏覽器絕對(duì)比考慮使用哪款安全軟件重要，不用懷疑!

如何使瀏覽器更安全呢?首先當(dāng)然是選用最新版本，不要迷戀過(guò)時(shí)瀏覽器的所謂速度，比如IE6，它除了速度可能已經(jīng)一無(wú)是處(推薦閱讀：IE6該不該被拋棄?)。第二，也許我們應(yīng)當(dāng)為軟件建立起一道防火墻。Dai Zovi認(rèn)為，傳統(tǒng)防火墻是服務(wù)于網(wǎng)絡(luò)的，而沙盒是服務(wù)于軟件的。沙盒雖然并不完美，但它可以像防火墻一樣，大大提升惡意軟件對(duì)系統(tǒng)造成損害的難度。

將整個(gè)系統(tǒng)放入沙盒之中雖然可以大大提升安全性，但這其實(shí)也不是一個(gè)好主意，因?yàn)樗胁僮鞑⒎嵌即嬖陲L(fēng)險(xiǎn)，這時(shí)需要的是定點(diǎn)保護(hù)，比如將瀏覽器和郵件的附件放入沙盒之中。

將沙盒技術(shù)應(yīng)用在瀏覽器中，這一領(lǐng)域中走在前面的是Google 的Chrome。谷歌全球研發(fā)總監(jiān)萊納斯•厄普森就曾表示：“我們完全摒棄了每一款瀏覽器都允許訪問(wèn)電腦其他部分的處理方式，這樣可以真正限制那些利用瀏覽器進(jìn)行攻擊的做法?！?/P>

谷歌原來(lái)保護(hù)用戶(hù)的做法是，在用戶(hù)通過(guò)搜索結(jié)果訪問(wèn)存在惡意軟件網(wǎng)頁(yè)時(shí)提醒用戶(hù)，或者完全從搜索結(jié)果中剔除這類(lèi)網(wǎng)站。但現(xiàn)在依靠“沙盒技術(shù)”，谷歌在用戶(hù)硬件和惡意劫持電腦的應(yīng)用程序之間豎起了一道防護(hù)墻。

其實(shí)，現(xiàn)在主流的瀏覽器都開(kāi)始支持沙盒技術(shù)，像蘋(píng)果的Safari、Firefox也將在下一版中應(yīng)用這一技術(shù)，在 Windows Vista和7中，IE被運(yùn)行在“低相關(guān)(Low Integrity)”環(huán)境中，所以它很難損害到用戶(hù)的系統(tǒng)。相信通過(guò)各大廠商的努力，瀏覽器會(huì)越來(lái)越安全。

但是，郵件附件呢?這可能就要看微軟和 ADOBE的了。 在最新版Office 2010中，微軟首次將沙盒技術(shù)應(yīng)用其中，被稱(chēng)為“安全閱讀 (Protected View)”模式。使用安全閱讀模式時(shí)，Office 2010會(huì)在獨(dú)立的沙盒中為Word、Excel和PowerPoint文檔提供只讀環(huán)境，沙盒技術(shù)將最小化某個(gè)文檔對(duì)系統(tǒng)的訪問(wèn)并將其與其他文檔隔離開(kāi)來(lái)，即使用戶(hù)讀取的文檔是惡意文件，它也無(wú)法從沙盒中逃脫出來(lái)，當(dāng)然也無(wú)法對(duì)系統(tǒng)和其它數(shù)據(jù)造成傷害。

ADOBE的PDF格式普及率也是相當(dāng)高的，而且據(jù)一些統(tǒng)計(jì)顯示，ADOBE在漏洞數(shù)量方面大有趕超微軟之勢(shì)，在這方面，PDF與FLASH“功不可沒(méi)”。前不久，飯盒正巧遇到一個(gè) PDF測(cè)試工具，不測(cè)不知道，一測(cè)嚇一跳，ADOBE Reader雖然給出了風(fēng)險(xiǎn)提示，但除了Reader，相信很多人用的其實(shí)是非官方的PDF閱讀軟件，其小巧快速抓住了許多用戶(hù)的心，然而安全性似乎是它們的通病。(推薦閱讀：經(jīng)常與PDF打交道的人小心了) 如果沙盒技術(shù)得到普及，這在一定程度上似乎也是在暗示“特征碼匹配查殺”技術(shù)即將走到頭了。

其實(shí)，無(wú)論是病毒特征碼匹配還是這兩年比較火的URL匹配都存在一個(gè)無(wú)法克服的先天性不足——“容量”，很難想象它們?nèi)绾螒?yīng)付呈幾何倍甚至是爆炸式增長(zhǎng)的信息總量。

安全廠商、瀏覽器廠商、 Google、微軟等其實(shí)是在與黑客“爭(zhēng)奪用戶(hù)”。不過(guò)，以前這場(chǎng)戰(zhàn)爭(zhēng)似乎只有兩個(gè)主角——安全廠商與黑客。悲觀地說(shuō)，飯盒以為，安全廠商會(huì)慢慢輸?shù)暨@場(chǎng)戰(zhàn)爭(zhēng)，因?yàn)闆](méi)有理由支持黑客會(huì)輸，而用戶(hù)其實(shí)是被動(dòng)的被選擇者——這一點(diǎn)從Windows防火墻和WI-FI的普及就可以看出，安全其實(shí)是廠商打包賣(mài)給用戶(hù)的，而不是用戶(hù)主動(dòng)“開(kāi)啟”的。瀏覽器廠商、Google(搜索)、微軟(Office等)等的加入，其實(shí)是在各自擅長(zhǎng)的領(lǐng)域?yàn)橛脩?hù)筑起了第一道“防火墻”，后面還有眾多安全廠商。這樣看來(lái)，也許互聯(lián)網(wǎng)的明天并不會(huì)變得太糟糕。

【編輯推薦】

1. 殺軟不再重要沙盒將統(tǒng)治桌面安全？
2. 谷歌Chrome沙盒技術(shù)成瀏覽器安全標(biāo)準(zhǔn)