百聞不如一用 初探Chrome OS的安全能
作者:佚名 來源:本站 時間:2018-07-02 點擊:161次
實際上,關于Chrome OS已經有很多有關的報道和介紹。谷歌曾經發布了一項有關Chrome OS安全技術未來發展計劃的文章。當然這些計劃未必能完全實現,但僅就目前的版本而言,其中所具備的安全功能便足以令人激動。
隨時保持更新的Chrome OS:
Chrome OS所有的系統級代碼全部放在一個分區中,而用戶級的數據則必須存放在另外一個分區中,兩種數據無法在同一個分區上共存。從這方面看,微軟的設計思想與此有些相似,在Windows中,應用程序和Windows系統配置文件也是被分別存放在同一個分區的兩個不同目錄里,當然這種分隔存放的方法不如Chrome OS那樣徹底。
另外,在Chrome OS中,自動更新功能并不像Windows中那樣是作為一個可調節的選項,在Windows里用戶很容易便可以關閉自動更新功能,但Chrome OS則強制系統進行自動更新,用戶無法自行關閉這項功能。在我看來,微軟應當采取只有高級用戶才有能力找到關閉自動更新設置的方法,而微軟顯然沒有做到這點。
根據谷歌Will Drewry的一段視頻展示,在Chrome OS下載升級文件時,文件將被安裝到一個非活躍分區中,當下載完成之后,系統會再次檢查升級文件,然后才進行更新,這樣即使中途中斷升級,也不會出現只升級了一半的情況。
Chrome OS在啟動時會對系統文件進行驗證:
每次系統重新啟動時,Chrome OS都會檢查系統文件的數字簽名,以確保這些文件沒有被改動過。如果發現系統文件發生了異常變化,那么系統會馬上利用升級程序將這些文件恢復原樣,這樣,只需要進行一次重新啟動,那么便能完全解消惡意軟件的威脅。那么,難道病毒不能通過改變這種審核程序,來達到自己的目的嗎?按照Will Drewry的視頻顯示的系統文件驗證步驟,病毒似乎很難通過改變這種審核程序來達到目的。
這種在發現感染了病毒之后,重新復位回原始狀態的安全策略并不是首次使用。微軟便曾向用戶提供一款名為Window SteadyState的軟件,這種軟件可以在每次系統重啟時,將系統文件恢復為原始狀態。而第三方軟件廠商也曾經為Windows開發過多款類似的軟件。不過,由于Windows并沒有采取將系統文件和用戶文件分開存放的設計,因此每次恢復之后用戶文件也會被恢復成初始狀態,而Chrome OS則不存在這方面的問題。
完全沒有惡意軟件的?
理論上說,Chrome OS中確實不存在惡意軟件的問題,因為這款所有的應用程序都是基于網絡的Web應用程序,按照Drewry'的演示視頻顯示,每一個Web應用程序均在彼此完全獨立的環境下運行,因此兩個應用程序很難彼此影響。當然如果惡意軟件編寫者采用跨站腳本技術(cross-site scripting),那么也有可能達到目的,但目前還沒有看到有關與此的報道和文章面世。
為了防止惡意軟件的侵襲,微軟在Vista中設置了UAC用戶帳戶控制功能,這種功能可以限制惡意軟件產生危害,不過后來這種功能引起了用戶的不快,因此在Windows7中,微軟調整了UAC的設定,UAC控制面板現在不會過于頻繁地彈出。但由于UAC本身并不知道某個軟件運行是否合法,因此用戶還是免不了經常會看到UAC彈出。
這方面Chrome OS的設計則相比之下優越許多。由于沒有安裝于本地的桌面應用程序,因此只有系統級進程才在本地運行,這樣便對這些進程運行時所需要用到的系 統資源知根知底,即便有惡意軟件對這些進程進行攻擊,那么這些軟件也只能在原先劃定的界限內使用有關的系統資源。
在Chrome OS中與傳統的桌面應用程序最類似的便是瀏覽器插件。據谷歌表示,每款插件均在獨立的進程中運行,這些插件不會干涉或介入其它插件,或是瀏覽器的代碼和數據。這種“沙盒”(Sandbox)式的設計極大限制了惡意插件的危害等級,因此Chrome OS理論上可以免遭插件型惡意軟件的侵害。
Chrome OS的用戶數據安全保護措施:
Chrome OS中沒有本地文件的概念,所有的文件均在網上進行保存。因此即使你的系統遭到攻擊,那么用戶文件仍然可以保持安全。而如果其它人想得到你保存在網上的數據,還需要破解谷歌的加密系統。這種基于云計算技術的加密系統無需Chrome OS的參與。當然你在Windows中也可以采取類似的安全策略,不過在Chrome OS中已經默認采取了這種策略。
當然,如果用戶端操作出現錯誤,那么也可能會引起安全上的問題。很顯然,在Chrome OS中會加入允許用戶設置自動登錄的選項,那么,如果用戶丟失了設置為自動登錄狀態的電腦,那么得到這臺電腦的人就可以得到用戶的所有數據。不過由于Chrome OS的啟動過程相比Windows而言非常短,只需要幾秒鐘時間,所以花一點時間來輸入用戶名和密碼實在算不上是什么麻煩事。
Chrome OS如何處理設備驅動問題?
Chrome OS的強項便是專注于互聯網應用。不過目前有關這款如何處理iPod,打印機,數碼相機等等外設的部分,則仍未明朗化。DownloadSquad博客站點曾聲稱他們發現Chrome OS的瀏覽器代碼中存在可以追蹤記錄移動設備使用狀況的代碼,因此他們猜測Chrome OS的瀏覽器可能會實現與Windows Expoler文件管理器程序類似的功能。
如果瀏覽器確實包含有文件管理器的功能,那么便有可能為系統帶來安全隱患。如果瀏覽器中沒有包含這部分功能,那么Chrome OS又是如何能夠將iPod等外設的存儲內容同步到PC機中的呢?目前看來,這個問題暫時無解。
安全專家的觀點:
我曾經就Chrome OS的安全設計問題咨詢了許多位安全專家。不過由于這款剛剛出現還沒有多久,因此只有少數專家給予了恢復。其中一位專家指出,此前另一位安全專家Bruce Schneier指Chrome OS是一款可以完全免疫病毒的說法完全是“白癡透頂”。
不過,Sunbelt軟件公司的CTO Eric Sites則對Chrome OS有較多的研究,他認為Chrome OS在安全防范方面做得相當好。他說:“Chrome OS的安全架構設計的非常好。唯一的麻煩是這款使用全新編寫的代碼,因此我們需要花上一些時間才能確定這些代碼會不會導致新的安全問題。雖然Chrome OS基于蘋果的webkit源碼,但谷歌在編寫這款時加入了很多新代碼。僅就新加入的V8引擎(用于編譯JavaScript腳本)而言,便需要花費大量的時間進行除錯和檢查”他還提醒說:“你最好把Chrome OS當作社區里新進駐的年輕人般看待,這畢竟是一款非常年輕的瀏覽器系統,我們需要花多年的時間對其行為和本質進行觀察了解,才能下出定論。”
F-Secure公司的首席研究員Mikko Hypponen則指出,Chrome OS中借用了其它平臺的一些成功經驗。他說:“高級沙盒結構已經在中使用了多年了,而Chrome OS中也采用了類似的技術。”他還表示Chrome OS之所以目前看起來十分安全,是因為這款還是生面孔,無法引起攻擊者的足夠注意所致。“Chrome OS當然不是完美無缺的,但其構筑的安全防線還算堅固。另外,由于這種很難吸引到較多的用戶,因此也很難會引起攻擊者的興趣。這些攻擊者通常都會把攻擊目標鎖定在那些較為流行的身上,比如Windows XP這類。"
Check Point軟件公司的高級開發人員James Grant,則對Chrome OS進行了深入的思考。他指出:
1)Chrom OS使用的是全新的代碼,而新代碼一般都會存在很多Bug;
2)不過新代碼也有優勢,其優勢便在于黑客們由于暫時不熟悉新代碼,因此無法對系統進行0-day攻擊,而需要花上一點時間來找到系統的漏洞所在;
3)Chrome OS基于Linux,因此這里我們可以姑且預計這套的安全性和代碼質量應該與Linux系統不相上下。而目前也已經有許多攻擊Linux系統的惡意軟件出現。假今后Chrome OS的用戶逐步增多,那么其所謂固若金湯的防御被攻破也只是一個遲早問題而已。4)盡管谷歌吹噓說Chrome OS采用了簡化的軟件架構設計,但這種簡化未必意味著系統安全性能會因此而有多少額外的提升。
Check Point公司的公關經理Mirka Janus則指出,我們不應當僅僅將目光放在如何防御惡意軟件上。”網絡上存在各種以非法盈利為目的的攻擊手段,不少攻擊者還成立了專門的黑客幫會和組織來干這些壞事。而Chrome OS在對付釣魚網站等引起的威脅方面還缺少經驗。“她稱贊了這款在安全方面所作出的努力:”Chrome OS的設計思想是:不信任任何應用程序,并對其權限進行限制。不過這套系統同時給予本身極大的信任度,而人們總會有辦法找到攻破這套系統的方法。“
而谷歌自己也承認沒有完全安全的。在他們自己對Chrome OS給出的安全評價中,他們表示:”沒有一套安全方案是完美無缺的,漏洞和安全漏洞總是會存在。不過,我們并不會因此而因噎廢食,放棄推出這款優秀的。“
就目前的狀況而言,Chrome OS在安全方面的表現還算不錯,不過,等到一年后這款正式對外發布的時候,情況又會怎么樣呢?恐怕誰也說不清楚。
- 上一篇: Windows7:為電腦系統完成“圍城防備”
- 下一篇: 微軟否認Windows 7安全補丁會致“黑屏
