在Aurora攻击(攻击者通过微软Internet Explorer版本的漏洞成功地侵入了谷歌系统)发生数月后,谷歌正逐步淘汰Windows操作系统,转而改用基于Mac和Linux的机器。
据英国《金融时报》周一报道,考虑到安全问题,谷歌内部正暂停使用Windows。《金融时报》报道说,谷歌新进员工可选择运行Mac OS X或Linux的计算机。该报评论说,谷歌不会就其现行政策发表任何评论。
谷歌和其他20多家企业在今年一月受到攻击。此攻击称为Operation Aurora,攻击者利用社会工程策略和Internet Explorer 6中的漏洞,访问谷歌的企业网络和员工的电子邮件帐户。攻击发生后,微软立即发布紧急更新,修复浏览器漏洞,阻止了攻击。
此举先于谷歌轻量级操作系统Chromium OS的发布,Chromium OS预计将在笔记本电脑、上网本以及移动设备上使用。去年7月,当谷歌宣布其新的操作系统时,该公司就宣称了它的安全功能。与Chrome浏览器类似,Chrome OS将使用相同的沙箱渲染引擎,在线存储数据。用沙箱方法从其他操作系统进程中分离应用程序。在Chromium OS上运行的所有应用程序是基于Web的,可以应用沙盒功能。
据谷歌Chromium开源项目的官方公布,“整个过程在浏览器内部发生,没有传统的桌面应用程序。这意味着用户不必处理安装、管理和更新程序。”
一些安全专家怀疑,谷歌将完全终止使用Windows。451集团研究主任Josh Corman表示,完全安全的操作系统几乎是无法实现的。即使硬化Linux系统也很有限,它们无法使用。
Corman说, “对大多数公司而言,操作系统平台的选择是一个商业决定,而不是一个安全决择。考虑到安全因素该决策就会比较复杂。”
Corman说,一家公司淘汰一个操作系统使用另一个操作系统,并不能解决根本性问题。如果攻击者要进入谷歌或任何其他企业,他们还是会找到其他办法的。
Corman说,“说某个操作系统比其他操作系统更安全这是错误的。”
Chrome浏览器会自动更新,该功能有望包含在新的谷歌操作系统中。安全专家表示,自动更新减少了用户的互动,能更快实施补丁部署。微软的Windows和苹果的Mac OS X都有自动更新,但会提示用户确认更新。
由于其广阔的市场渗透,微软Windows和IE浏览器一直是黑客最喜欢的攻击目标。微软建议,企业用户升级到较新版本的浏览器,但大多数企业却迟迟没有升级。Internet Explorer 7和8有先进的安全功能,包括检测网络钓鱼攻击,隔离一些浏览器的ActiveX控件和限制内存中运行的进程,阻止许多复杂的攻击。微软最新操作系统Windows 7,内置有Windows Vista的安全功能,减少用户疲劳(Vista存在的一个问题)。它简化了数据加密的使用,同时增加了管理过程的认证层。
安全专家说,谷歌浏览器的初步安全优势将导致其具有较低的市场份额,这引起不了攻击者很大的兴趣。一旦其操作系统获得较大的市场份额,攻击者可能以其他进程为目标来攻击它,如第三方浏览器组件(其安全不在谷歌的控制范围内)。在谷歌Chrome浏览器安全功能的最近审查中,SearchSecurity.com的Michael Cobb指出了Chrome中可能会出现漏洞的地方。
Cobb 说,“谷歌Chrome浏览器要支持像Flash Player和Silverlight这样的插件,但是这些插件并不一定能在沙箱中运行。它们需要直接访问操作系统和外围设备,如用户的摄像头和麦克风。这意味着Chrome浏览器目前无法在沙箱中运行它们。”