李 晨 涂碧波 孟 丹 馮圣中
1(中國科學(xué)院深圳先進(jìn)技術(shù)研究院 深圳 518055)
2(中國科學(xué)院信息工程研究所 北京 100093)
眾所周知,大多數(shù)病毒會利用應(yīng)用程序這條路徑進(jìn)行傳播。用戶在使用計算機時,對一些應(yīng)用程序的非法操作往往會導(dǎo)致嚴(yán)重的安全問題,給用戶帶來極大的困擾。例如用戶使用的應(yīng)用程序需要訪問網(wǎng)絡(luò)時,有可能會從不安全的站點下載惡意程序,執(zhí)行一些非法操作,如盜取用戶的敏感信息,干擾用戶的日常工作、數(shù)據(jù)安全和個人隱私等[1]。一種有效的保護(hù)計算機安全的方法就是為應(yīng)用程序提供一個隔離的運行空間,而這可以由沙箱來提供[2-4]。本文基于多種資源隔離和安全機制設(shè)計并實現(xiàn)了一種應(yīng)用在 Linux 操作系統(tǒng)上的沙箱。相對于現(xiàn)有的沙箱技術(shù)而言,該沙箱簡化了實現(xiàn)機制,且提供了更高的安全性和隔離性。
現(xiàn)有的沙箱技術(shù)有很多種,如 FreeBSD Jails是 FreeBSD 平臺上一種基于容器的虛擬化技術(shù),它擴展了傳統(tǒng)的 Chroot 機制,為進(jìn)程提供了一個具有獨立的文件系統(tǒng)、進(jìn)程和網(wǎng)絡(luò)空間的環(huán)境。當(dāng)進(jìn)程調(diào)用了 jail 系統(tǒng)調(diào)用后,它就被限定在這個 jail 內(nèi),且不能脫離。該機制的缺點是不能夠隔離物理資源,且不具備安全機制。Seccomp 是Linux-2.6.23 版本之后支持的一種沙箱機制,該機制為進(jìn)程提供了一種“安全”模式。在這種模式下,只允許沙箱內(nèi)的進(jìn)程使用指定的 4 種系統(tǒng)調(diào)用:exit()、sigreturn()、read()和 write()[5],否則進(jìn)程將會被終止,但該機制的實現(xiàn)需要修改內(nèi)核及應(yīng)用程序,且只支持“純計算型”代碼的應(yīng)用程序,安全機制單一。BufferZone 是通過在用戶電腦上指定的目錄中創(chuàng)建一個虛擬區(qū)域,當(dāng)該沙箱在運行程序時,程序下載的所有文件都將存儲在這個虛擬區(qū)中,進(jìn)而使它們與操作系統(tǒng)的其他部分隔離開來,因此惡意軟件只能對虛擬區(qū)造成影響。但這種機制的開銷大,且虛擬機本身存在很多安全問題。DefenseWall 將運行程序分為兩類:系統(tǒng)自帶的文件程序作為可信任程序,而第三方軟件程序作為非信任程序。它還可隨時對非信任程序進(jìn)行跟蹤監(jiān)聽。雖然該機制內(nèi)置一些策略和規(guī)則來限制不可信程序的運行,但它不具備網(wǎng)絡(luò)過濾的功能,且不能實現(xiàn)資源隔離。SELinux 是一種強制訪問控制機制,它首先給系統(tǒng)的主體和客體打上不同的安全標(biāo)記,然后通過定制訪問控制規(guī)則來限制主體對客體的訪問,但這種機制的配置比較復(fù)雜,易用性較差。表 1 為一部分典型的沙箱的特性對比。
綜上所述,現(xiàn)有的沙箱中有一部分需要修改內(nèi)核和應(yīng)用程序本身,易用性差,且使用的隔離和安全策略有限,不能夠很好地防范各種惡意攻擊[6,7]。
本文設(shè)計的沙箱可以為不可信應(yīng)用程序提供一個系統(tǒng)資源、物理資源和文件系統(tǒng)隔離的運行環(huán)境,同時還添加了強制訪問控制策略、權(quán)能限制和內(nèi)存保護(hù)功能,在防范應(yīng)用程序漏洞攻擊的同時還可以防止部分系統(tǒng)漏洞攻擊,而且無需修改內(nèi)核及應(yīng)用程序本身。與已有的沙箱對比,本文設(shè)計的沙箱提高了系統(tǒng)的隔離性和安全性,且對性能造成的影響在可控的范圍之內(nèi)。
為了保證沙箱的隔離性和安全性,本文為沙箱提出了以下兩個設(shè)計目標(biāo):
(1)實現(xiàn)資源隔離
① 沙箱擁有自己獨立的文件系統(tǒng);
② 實現(xiàn)沙箱間及沙箱與主機間的系統(tǒng)資源和物理資源隔離。
(2)實現(xiàn)多種安全機制
① 使用強制訪問控制策略實現(xiàn)主機的關(guān)鍵文件和目錄不受沙箱影響;
表1 典型沙箱技術(shù)對比Table 1 . Typical sandbox technology contrast
② 限制沙箱可以使用的權(quán)能(Capabilities);
③ 為沙箱添加內(nèi)存保護(hù)安全策略。
2.3.1 資源隔離
首先,利用命名空間(Namespace)機制實現(xiàn)沙箱內(nèi)系統(tǒng)資源的隔離。所有的系統(tǒng)資源都默認(rèn)為全局管理,Linux 系統(tǒng)提供了 PID、IPC 和Internet 等多個 Namespace,而且每個 Namespace的資源相對于其他的 Namespace 均為透明。我們?yōu)槊總€沙箱建立一個獨立的 Namespace,這樣網(wǎng)絡(luò)、PID 和 IPC 等資源就屬于特定的Namespace。這種機制的實現(xiàn)依靠在啟動沙箱進(jìn)程后調(diào)用 clone()系統(tǒng)調(diào)用時,指定相應(yīng)的flags,flags 標(biāo)識的是我們要為沙箱建立的新Namespace 類型。我們將 PID Namespace 和 IPC Namespace 一起使用可以使沙箱中的進(jìn)程彼此不可見、不可通信,實現(xiàn)了進(jìn)程間的隔離;掛載Namespace 和網(wǎng)絡(luò) Namespace 一起使用可以為沙箱虛擬出一個具有獨立主機名和網(wǎng)絡(luò)空間的環(huán)境,對于應(yīng)用程序而言,沙箱就像網(wǎng)絡(luò)上一臺獨立的主機一樣。
其次,隔離沙箱可以使用的物理資源。沙箱利用控制組(Control Groups,Cgroups)子系統(tǒng)來實現(xiàn)這一功能。Cgroups 是一種可以隔離、限制和記錄進(jìn)程組所使用的物理資源(如 CPU、memory 和 IO 等)的機制。例如,內(nèi)存子系統(tǒng)用來限制進(jìn)程組可以使用的內(nèi)存上限,一旦進(jìn)程組使用的內(nèi)存達(dá)到了限額以后還繼續(xù)申請內(nèi)存,系統(tǒng)就會終止該進(jìn)程并報錯。我們將沙箱中的進(jìn)程作為一個進(jìn)程組來進(jìn)行管理,這樣就可以避免沙箱中的惡意程序想要霸占某些物理資源的行為。
此外,我們還為沙箱定制了一個完全獨立的文件系統(tǒng),如圖 1 所示。
圖1 沙箱的獨立文件系統(tǒng)Fig. 1. Rootfs of Sandbox
該文件系統(tǒng)相當(dāng)于主機文件系統(tǒng)的一個簡化副本,其中包含了應(yīng)用程序本身以及它執(zhí)行時需要的配置文件、動態(tài)鏈接庫和特殊設(shè)備等,沙箱中的進(jìn)程只能在這個文件系統(tǒng)中進(jìn)行操作。在沙箱的文件系統(tǒng)中,主機系統(tǒng)中默認(rèn)禁止訪問的敏感目錄文件只是一個拷貝,所以無論惡意應(yīng)用程序在沙箱中做任何操作都不會對主機產(chǎn)生任何影響。該機制的實現(xiàn)利用了系統(tǒng)調(diào)用函數(shù) chdir(),在啟動沙箱時調(diào)用該函數(shù),即可更改當(dāng)前進(jìn)程的工作目錄。
2.3.2 安全策略
除了以上提供的資源隔離策略,我們還為沙箱引入了一些安全策略。首先是強制訪問控制機制,強訪機制就是將系統(tǒng)中的進(jìn)程、文件等對象分為主體和客體兩種,并給主、客體添加相應(yīng)的標(biāo)簽,定制特定的強制訪問控制規(guī)則來限制主體對客體的操作[8]。我們使用簡單的文本標(biāo)簽(如host)標(biāo)記主機上的關(guān)鍵文件和目錄,給沙箱的獨立文件系統(tǒng)以及沙箱進(jìn)程添加沙箱標(biāo)簽(可以用沙箱名作為標(biāo)簽,如 vs 1、vs 2),設(shè)置沙箱使用的訪問控制規(guī)則如表 2 所示。其中,第一列為主體標(biāo)簽,第二列為客體標(biāo)簽,第三列為主體可以對客體執(zhí)行的操作,沙箱對標(biāo)有 host 標(biāo)簽的對象不能做任何操作,沙箱互相之間也不能做任何操作,這樣就可以保證沙箱本身及沙箱中的惡意程序不會對主機的關(guān)鍵文件和目錄產(chǎn)生影響。
表2 沙箱的強制訪問控制規(guī)則Table 2 . MAC rules of sandboc
其次,對沙箱中的進(jìn)程進(jìn)行權(quán)能限制。Linux Kernel 自 2.1 版開始就有了權(quán)能的概念,Linux 支持權(quán)能的主要目的是細(xì)化根用戶的特權(quán),利用這一機制,我們可以根據(jù)實際的安全需要來控制沙箱擁有的權(quán)能范圍,從而防止攻擊者利用惡意應(yīng)用程序趁機獲取控制系統(tǒng)的特權(quán),對系統(tǒng)安全造成威脅。該機制的實現(xiàn)是通過在沙箱中啟動進(jìn)程時,先獲取進(jìn)程擁有的權(quán)能,然后使用 cap_clear_flag()函數(shù)來清除禁止該沙箱使用的權(quán)能。
此外,為沙箱添加了地址隨機化、不可執(zhí)行頁保護(hù)等安全策略,這些安全策略可以防止由緩沖區(qū)溢出漏洞導(dǎo)致的攻擊行為。例如,如果攻擊程序熟悉進(jìn)程的地址空間,從而將程序的執(zhí)行流程跳轉(zhuǎn)到惡意代碼的位置,危害系統(tǒng)安全。而利用地址隨機化策略使程序地址隨機化,使得攻擊者無法將程序執(zhí)行流程跳轉(zhuǎn)到預(yù)期位置,從而阻止攻擊代碼執(zhí)行。這樣不僅可以對已知漏洞進(jìn)行防護(hù),還能對未知漏洞利用攻擊進(jìn)行防御。
因為沙箱具有獨立的文件系統(tǒng),所以從沙箱中啟動應(yīng)用程序后,在執(zhí)行過程中所做的操作,如下載的文件以及在網(wǎng)頁上安裝的軟件都被重定向到沙箱獨立的文件系統(tǒng)中,可以隨時刪除且不會對主機系統(tǒng)造成任何影響;此外,沙箱引入了Namespace 機制和 Cgroups 機制,實現(xiàn)了沙箱與系統(tǒng)間系統(tǒng)資源和物理資源的隔離;權(quán)能機制使應(yīng)用程序及沙箱都不可能進(jìn)行除了賦予給它們的權(quán)能之外的任何特權(quán)操作;強訪策略可以限制沙箱程序讀取或修改系統(tǒng)的關(guān)鍵文件和敏感數(shù)據(jù);地址隨機化和不可執(zhí)行頁保護(hù)策略防止了惡意代碼的緩沖區(qū)漏洞攻擊行為。如圖 2 所示為沙箱使用的各種機制及達(dá)到的隔離和安全效果。
測試環(huán)境:
Intel(R)Core(TM)i5-3470 CPU 3.20 GHz
Fedora 12 linux-2.6.36
(1)安全性測試
測試1:對存在安全漏洞的應(yīng)用程序直接執(zhí)行與在沙箱中執(zhí)行的結(jié)果進(jìn)行測試。根據(jù)Mozilla 官網(wǎng)安全公告,火狐瀏覽器(Firefox)的某一版本存在高危級別的漏洞 MFSA 2010-65。如果向 document.write()發(fā)送一個超長字符串,可能會導(dǎo)致文字渲染程序出現(xiàn)混亂,堆棧內(nèi)存的一部分被串?dāng)?shù)據(jù)所覆寫。攻擊者可利用此漏洞導(dǎo)致用戶瀏覽器崩潰,并可能執(zhí)行任意代碼。
測試過程如下:
① 向 document.write()發(fā)送超長字符串;
② 打開 Debuggy,直接運行 Firefox,在Debuggy 中多次查看 Call Stack 的內(nèi)容。
Call Stack 被寫入為 41414141,也就意味著在進(jìn)行正常的瀏覽器操作之后,32 位指令寄存器(Extended Instruction Pointer,EIP)就會變?yōu)?1414141,這個地址是不可執(zhí)行的,返回地址被覆蓋,EIP 指向的一段惡意代碼(如盜取系統(tǒng)敏感數(shù)據(jù))就會立刻被執(zhí)行,導(dǎo)致火狐瀏覽器崩潰。圖 3 所示為系統(tǒng)打印的錯誤信息。
圖2 沙箱使用機制及達(dá)到的隔離和安全效果Fig. 2. Isolation and security with sandbox mechanisms
但是,將火狐瀏覽器在沙箱中啟動,執(zhí)行上述操作之后,惡意代碼并不會被執(zhí)行,原因是我們在沙箱中采用了堆棧地址隨機化技術(shù)。此外,即使火狐瀏覽器運行時跳轉(zhuǎn)到惡意代碼的位置,這段代碼也只會在沙箱中運行,它所破壞的僅僅是我們虛擬出來的一個系統(tǒng)副本,并不會對沙箱外的系統(tǒng)造成任何危害,因此,沙箱隔離了存在安全漏洞的應(yīng)用程序?qū)ο到y(tǒng)的危害。
圖3 系統(tǒng)打印的錯誤信息Fig. 3. Error information printed by the system
測試 2:對惡意霸占資源的程序直接執(zhí)行與在沙箱中執(zhí)行的結(jié)果進(jìn)行測試。測試程序關(guān)鍵代碼如下:
該程序處在 while 循環(huán)中,在程序執(zhí)行時,會循環(huán)申請變量,不停地分配內(nèi)存,導(dǎo)致系統(tǒng)可用內(nèi)存的數(shù)量不斷減少。我們測試的結(jié)果在經(jīng)13.5 s 以后,1 G 的可用內(nèi)存幾乎完全被占用,導(dǎo)致其他應(yīng)用程序無法執(zhí)行。之后我們從沙箱中啟動該程序,限制沙箱所能使用的內(nèi)存大小為 100 M。當(dāng)程序執(zhí)行時,系統(tǒng)為該程序分配的內(nèi)存達(dá)到限制值以后,應(yīng)用程序被終止,而其他應(yīng)用程序仍可正常執(zhí)行。由此可見,沙箱防止了惡意程序?qū)τ谫Y源的惡意霸占,保護(hù)了系統(tǒng)的安全。
(2)性能測試
① 應(yīng)用級性能測試
以三種典型的桌面應(yīng)用程序 Firefox、Office和 Kaffeine 為例來分析該沙箱性能損耗。對比直接啟動應(yīng)用程序和從沙箱中啟動應(yīng)用程序的啟動時間(以 s 為單位),結(jié)果如圖 4 所示。圖 4 顯示,在沙箱中啟動應(yīng)用程序的時間比直接啟動稍慢一些,但是屬于可接受的范圍。
圖4 三種應(yīng)用程序直接運行和在沙箱中運行時間(s)對比Fig. 4. Time contrast of three apps running directly and in sandbox
② 系統(tǒng)級性能測試
使用工具 Unixbench 對沙箱及主機進(jìn)行系統(tǒng)級的性能對比測試。Unixbench 是一個用于評價系統(tǒng)綜合性能的開源工具,能夠測試包括文檔讀寫、內(nèi)存操作、進(jìn)程創(chuàng)建銷毀開銷和網(wǎng)絡(luò)等性能開銷。正常運行 Unixbench 的測試結(jié)果如圖 5 所示,而在沙箱中運行 Unixbench 的測試結(jié)果如圖6 所示。經(jīng)對比發(fā)現(xiàn),在沙箱中運行時,系統(tǒng)的性能開銷增加了 2.88%,屬于可接受范圍。
圖5 正常運行時的測試結(jié)果Fig. 5. Test results of normal operation
圖6 在沙箱中運行時的測試結(jié)果Fig. 6. Test results in sandbox
該沙箱利用各種安全策略和隔離機制給不可信任的應(yīng)用程序提供一個安全隔離的運行環(huán)境,配置簡單并且無需修改內(nèi)核和應(yīng)用程序,具有很強的安全性和隔離性,是一種保護(hù) Linux系統(tǒng)安全的有效手段。但是,沙箱對系統(tǒng)的性能會產(chǎn)生一些影響,如何進(jìn)一步降低沙箱性能消耗還是一個亟待解決的問題,這將是我們下一步研究的重點。
[1]程龍, 楊小虎. Linux 系統(tǒng)內(nèi)核的沙箱模塊實現(xiàn)[J]. 計算機應(yīng)用, 2004, 24(1): 79-81.
[2]Acharya A, Raje M. MAPbox: using parameterized behavior classes to confine untrusted applications[C]// Proceedings of the 9th Conference on USENIX Security Symposium, 2000: 1.
[3]Peterson DS, Bishop M, Pandey R. A flexible containment mechanism for executing untrusted code [C]// Proceedings of the 11th USENIX Security Symposium, 2002: 207-225.
[4]Provos N. Improving host security with systemcall policies [C]// Proceedings of the 12th Conference on USENIX Security Symposium, 2003: 257-272.
[5]Bernaschi M, Gabrielli E, Mancini LV. Operating system enhancements to prevent the misuse of system calls [C]// Proceedings of the 7th ACM Conference on Computer and Communications Security, 2000: 174-183.
[6]王洋, 王欽. 沙盒安全技術(shù)的發(fā)展研究 [J]. 軟件導(dǎo)刊, 2009, 8(8): 152-153.
[7]李時惠. 一種增強的基于威脅度的沙箱框架設(shè)計[J]. 計算機技術(shù)與自動化, 2006, 25(3): 123-127.
[8]張愛華, 林園. 一種基于安全標(biāo)簽的訪問控制模型的設(shè)計和實現(xiàn) [J]. 計算機應(yīng)用研究, 2007, 1:183-185.