童年的時(shí)候，我們?cè)S多人都玩過(guò)沙箱：可控制的玩耍環(huán)境，使我們能安全地建立城堡，而不用挖空后院。在計(jì)算機(jī)領(lǐng)域，沙箱的功能與此類(lèi)似。只是在這個(gè)沙箱中，研究人員和IT技術(shù)人員玩的是比特流，而不是一堆沙子。在這篇文章中，我們會(huì)討論應(yīng)用程序沙箱、或者安全程序沙箱的概念，包括這些程序到底是什么、它們?nèi)绾喂ぷ饕约八鼈儙?lái)的漏洞是否比阻止的漏洞更多。

沙箱提供獨(dú)立或者密閉的空間，能像實(shí)際的網(wǎng)絡(luò)——但并不與實(shí)際網(wǎng)絡(luò)相連接——一樣工作。在這個(gè)孤立空間中，程序應(yīng)用也可以被下載、解壓和測(cè)試，然后再移植到實(shí)際的服務(wù)器上，從而（希望）能夠防止惡意軟件致使網(wǎng)絡(luò)發(fā)生紊亂。

圖1：運(yùn)行沙箱和不運(yùn)行沙箱的計(jì)算機(jī)示例

沙箱最初是為開(kāi)發(fā)和測(cè)試程序而設(shè)計(jì)，現(xiàn)在已經(jīng)演變?yōu)橐粋€(gè)安全工具，能夠?qū)⒒顒?dòng)的程序或進(jìn)程與宿主系統(tǒng)或本地桌面分隔開(kāi)。因此，安全沙箱已成為保護(hù)系統(tǒng)安全的有效方法，能防止未認(rèn)證或不受信的程序在網(wǎng)絡(luò)上肆意破壞。

普通的計(jì)算機(jī)用戶每天都可能會(huì)遇到多個(gè)沙箱。Google公司的Chrome瀏覽器使用沙箱隔離JavaScript的執(zhí)行、HTML的解析以及插件的運(yùn)行。這是通過(guò)讓每個(gè)標(biāo)簽都獨(dú)立運(yùn)行在自己的沙箱中來(lái)完成的，從而使得Web應(yīng)用程序與用戶的機(jī)器隔離開(kāi)。然而，在2011年二月初，Google修補(bǔ)了Chrome中的九個(gè)錯(cuò)誤，包括一個(gè)沙箱逃逸漏洞。雖然其他漏洞的細(xì)節(jié)都公布了，但是Google卻沒(méi)有完全透露關(guān)于沙箱漏洞的全部信息。信息的不透明使人們對(duì)該款瀏覽器的安全性產(chǎn)生懷疑。如果這個(gè)漏洞允許程序突破沙箱進(jìn)入到宿主系統(tǒng)，那么宿主系統(tǒng)就可能被安裝惡意軟件，敏感數(shù)據(jù)就存在危險(xiǎn)。

流行的Web服務(wù)貝寶（PayPal）也利用沙箱技術(shù)為商戶提供測(cè)試環(huán)境。該沙箱能在實(shí)際接受顧客的網(wǎng)絡(luò)交易服務(wù)之前為用戶提供產(chǎn)生和管理模擬賬戶的機(jī)會(huì)。但這樣仍然存在問(wèn)題——特別是跨站腳本（cross-site-scripting，XSS）漏洞。

Adobe系統(tǒng)公司在其最近發(fā)行的Flash版本中加入了沙箱安全功能，防止從本地文件系統(tǒng)加載的Flash文件向遠(yuǎn)端發(fā)送數(shù)據(jù)。盡管惡意黑客們已經(jīng)盡力打破了Adobe的沙箱，但是沙箱功能還是是一種潛在有用的威脅防御策略。

計(jì)算機(jī)和網(wǎng)絡(luò)取證偵查員也能從沙箱技術(shù)中獲益。通過(guò)讓觀察員檢查惡意執(zhí)行程序在“自然”環(huán)境中解壓和執(zhí)行的情況，沙箱能限制可能的外部因素——如其他的程序或者服務(wù)——影響證據(jù)。理論上，這聽(tīng)起來(lái)很驚人，但實(shí)際上，沙箱可能會(huì)帶來(lái)更多的漏洞。

沙箱：技術(shù)和用戶實(shí)例

諸如Adobe和PayPal之類(lèi)的公司引入沙箱程序，這會(huì)使他們的軟件更安全嗎？還是只是帶來(lái)了一個(gè)潛在的受攻擊層？在IT安全領(lǐng)域，深度防御（defense-in-depth）的目標(biāo)在于分層次使用不同的安全防護(hù)方法，努力提高整體的安全現(xiàn)狀。然而，在這種情況下，增加一個(gè)應(yīng)用層意味著加入了另一個(gè)可滲透的層，可能導(dǎo)致惡意軟件和黑客穿透沙箱并進(jìn)入宿主計(jì)算機(jī)系統(tǒng)。

在部署沙箱之前安全管理員應(yīng)問(wèn)自己如下四個(gè)問(wèn)題：

沙箱技術(shù)阻止哪一類(lèi)威脅最有效？

對(duì)公司來(lái)說(shuō)，要最佳的實(shí)現(xiàn)和集成沙箱技術(shù)，了解沙箱的能力和局限是必要的。不切實(shí)際的期望只會(huì)導(dǎo)致公司組織更加的自滿，也更加脆弱。

沙箱技術(shù)不能檢測(cè)的威脅是什么？

沙箱沙箱不能檢測(cè)加密的病毒或其他惡意代碼，迫使網(wǎng)絡(luò)管理員不得不增加進(jìn)一步的安全保護(hù)措施，結(jié)果是由于增加層次而帶來(lái)了復(fù)雜性。

沙箱會(huì)帶來(lái)什么風(fēng)險(xiǎn)？

沙箱會(huì)給系統(tǒng)帶入新的安全漏洞，如潛在的堆棧溢出、訪問(wèn)主機(jī)系統(tǒng)的本地庫(kù)以及其他因使用Java和C#編程繼承而來(lái)的固有缺陷。進(jìn)一步的風(fēng)險(xiǎn)包括安全措施或數(shù)字沙箱本身。

是否有沙箱的替代品可以達(dá)到相同的結(jié)果？

沙箱技術(shù)有助于程序員測(cè)試他們所寫(xiě)的代碼，但依靠沙箱測(cè)試未知代碼是有風(fēng)險(xiǎn)的。通常情況下簡(jiǎn)單地忽略額外的軟件層會(huì)更加安全。

例如，當(dāng)Adobe的沙箱運(yùn)行在保護(hù)模式時(shí)，一些威脅——如鍵盤(pán)監(jiān)視——就可能會(huì)被避免，但其他的風(fēng)險(xiǎn)——如對(duì)受限區(qū)域的訪問(wèn)，如注冊(cè)表——可能會(huì)升高。#p#

沙箱的潛在漏洞

沙箱可主要分成三個(gè)部分：核心語(yǔ)音解釋器、標(biāo)準(zhǔn)函數(shù)庫(kù)以及不受信任的應(yīng)用程序代碼。在這三部分中，標(biāo)準(zhǔn)函數(shù)庫(kù)包含了執(zhí)行路徑——如網(wǎng)絡(luò)通信和密碼系統(tǒng)的路徑——是最容易受到攻擊的部分。這是使用Java或C#編寫(xiě)這些庫(kù)直接導(dǎo)致的，使得標(biāo)準(zhǔn)庫(kù)繼承了這些語(yǔ)言的固有缺陷，如堆棧溢出漏洞。實(shí)際上，C#將部分代碼標(biāo)記為不安全的不僅會(huì)弱化系統(tǒng)的安全性，還會(huì)輕易允許對(duì)主機(jī)系統(tǒng)本地庫(kù)的訪問(wèn)。

許多人會(huì)把沙箱和虛擬機(jī)（VM）混淆，這可能是因?yàn)樵S多公司將虛擬機(jī)當(dāng)做沙箱來(lái)使用。在典型的家用計(jì)算機(jī)上，這么做可能是適宜的，可以增加Web瀏覽時(shí)的安全性；但不建議在保存有敏感數(shù)據(jù)的系統(tǒng)上測(cè)試可疑程序。

由于在個(gè)人電腦上使用越來(lái)越廣泛，虛擬機(jī)常被用于產(chǎn)生蜜罐或被當(dāng)做常用的網(wǎng)絡(luò)安全手段，黑帽黑客們正在編寫(xiě)新的惡意代碼。這種惡意代碼可通過(guò)尋找虛擬機(jī)在系統(tǒng)內(nèi)存、正在運(yùn)行的進(jìn)程、注冊(cè)表和文件系統(tǒng)中留下的典型特征來(lái)檢測(cè)是否有虛擬機(jī)正在運(yùn)行。它甚至?xí)ふ姨摂M機(jī)硬件和處理指令。因此，使用虛擬機(jī)作為沙箱（或其他安全用途）要冒極大的風(fēng)險(xiǎn)，只能?chē)樧叩图?jí)的——或機(jī)會(huì)主義的——黑客。這些黑客往往不具備相應(yīng)的能力或工具來(lái)檢測(cè)是否有虛擬機(jī)在運(yùn)行。

最后，安全沙箱程序不是萬(wàn)能的。沙箱的設(shè)計(jì)目的在于分隔代碼和主機(jī)系統(tǒng)；然而，如上所述，沙箱會(huì)在無(wú)意中帶來(lái)各種安全漏洞和問(wèn)題。因此，正如對(duì)待其他安全措施那樣，在決定使用何種安全功能時(shí)，風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)減低是至關(guān)重要的。沙箱技術(shù)的發(fā)展不僅能尋找到新的應(yīng)用場(chǎng)景和提供多種多樣的好處，也可能導(dǎo)致自滿和系統(tǒng)已經(jīng)完全安全的錯(cuò)覺(jué)。盡管深度防御是個(gè)好的策略，但同時(shí)我們需要謹(jǐn)記，每增加一個(gè)應(yīng)用層，可利用的漏洞也會(huì)增加。

各種新式的安全措施都有意想不到的后果，沙箱也一樣。因此，單獨(dú)依靠沙箱來(lái)保證程序的完整性將是一個(gè)嚴(yán)重的錯(cuò)誤。正確的應(yīng)用程序安全措施要求多層次的安全防護(hù)，這些措施一起工作才能提供堅(jiān)固的、多方面的應(yīng)用程序防御體系。正確地使用沙箱能帶來(lái)好處，但是要意識(shí)到危險(xiǎn)的存在，否則，那些有效的應(yīng)用程序，可能會(huì)像昔日童年的沙礫那樣，從你的指尖滑落到地。