Chromebooks如何成为安全专家的首选笔记本

当谷歌的Chrome OS软件和Chromebooks背后的团队着手改造这款笔记本电脑时，他们很快瞄准了安全领域，认为这是一个可以带来全新视角的领域。

“在Chrome操作系统上，我们就像是在说，‘我们控制着所有的部分。我们可以做得更好，’”谷歌设备的首席软件工程师、Chromebook的创始人之一威尔德鲁里(Will Drewry)今年1月接受采访时说。

该团队希望开发出一款能够满足这代人需求的产品，并解决pc面临的日益增多的威胁。

谷歌的产品管理总监刘侃(音)在同一次采访中说:“当时人们对安全的看法非常不同，因为现在没有那么多的安全攻击载体。”

刘和德鲁里向安全专家发送了一架原型机CR-48，以获取反馈。人们的反应令人惊讶。

“很多早期的反馈都非常详细，比如‘嘿，触控板很糟糕，’”刘说。

谷歌的CR-48是第一款Chromebook笔记本。当Chrome OS的两位创始人威尔•德鲁里(Will Drewry)和坎•刘(Kan Liu)把它发给安全研究人员时，反馈更多的是关于触控板的问题。

当涉及到安全漏洞时，几乎没有人出声。

9年后，Chromebooks取得了巨大成功。据研究机构未来资源咨询(Futuresource Consulting)称，在学校使用的电脑中，近五分之三运行Chrome OS。

事实上，chromebook在教育界非常成功，周二，苹果公司在芝加哥莱恩科技大学预备高中举行了最新的iPad发布会，试图重新确立其在该领域的地位。

由于早期专注于防止网络攻击，chromebook也受到了安全社区的热捧。安全专家通常会推荐chromebook，不管它是给那些总是以间谍软件工具条结尾的亲戚，还是去参加黑客会议的研究人员。

它与复杂的加密或安全技巧无关——chromebook因为价格低廉和简单但有效的安全措施而大受欢迎。

以杰克•威廉姆斯(Jake Williams)为例，他是Rendition Security的创始人。他不仅使用Chromebook笔记本，他还说，女儿上学时也有一台，这让他感到很欣慰。

他说:“我肯定觉得她用Chromebook比用Windows笔记本更安全。”

去年，在我第一次参加安全会议的时候，我本以为会看到一台精心设计的笔记本电脑在一台虚拟机上运行，上面有一个专用网络和安全USB密钥——也许有点像《黑客先生》(Mr. Robot)里的场景。

这不是我得到的。

无论我走到哪里，我都会看到一小群人拿着chromebook笔记本，他们会告诉我，当他们进入未知领域时，这就是他们的旅行设备。

谷歌的笔记本品牌首次亮相是在2010年，它是一款以网络浏览器为主要操作系统的精简版电脑。当时，chromebook因为其封闭的生态系统，无法从互联网上下载程序，所以获得认可的速度很慢。但chromebook目前的销量已经超过了Windows和Mac笔记本电脑。

除了最基本的操作系统，还有一套安全功能，五年多过去了，微软等公司仍在努力追赶。软件选择的减少意味着黑客的选择有限。

这些好处促使安全研究人员开始使用笔记本电脑。

指导某人向老年人教授计算机基础知识。“买什么杀毒软件?”“买Chromebook。”“……”“Chromebook。”

“chromebook有很多强大的安全缺陷，”Tendermint的安全专家、安全主管杰西·欧文(Jessy Irwin)说。“在安全方面，每个人都将过错归咎于用户。但谷歌的方法真的很棒，因为它让用户更不容易出错。”

作为回应，微软推出了Windows 10 S，这是其操作系统的一个锁定版本，只能从其批准的应用程序商店运行应用程序。微软的一位女发言人称，Windows 10电脑在安全性和功能性方面是“对抗Chromebook的一个引人注目的价值支柱”。

Chrome OS采取了一种类似于苹果iOS及其封闭生态系统的安全措施。苹果公司的一名发言人表示，该公司的ipad拥有与iPhone相同的“行业领先的保护”。

但是价格有很大的不同。chromebook比ipad便宜，ipad最便宜的时候还是329美元。然而，MacBooks和传统的Windows个人电脑一样是开放的，而且价格也贵得多。

怀特说:“如果我在一台漂亮的Macbook Pro笔记本电脑上掉了2000美元，而电脑丢失、被没收或被盗，我会发疯的。”“如果我的三星(Samsung) Chromebook售价在150美元或160美元之间，那也没什么大不了的。”

这并不是说Chrome OS不受恶意软件的影响。网络罪犯已经通过Chrome的扩展找到了漏洞，比如37000个设备被假冒版本的AdBlock Plus攻击。恶意的Android应用程序也能够潜入Play Store。

但Chrome OS的用户大多避免了大规模的网络攻击，比如被勒索软件锁定或被劫持成为僵尸网络的一部分。Chrome操作系统的主要安全缺陷，比如能让攻击者完全控制系统的安全缺陷，是如此罕见，以至于谷歌向任何能破解该系统的人提供高达20万美元的奖励。

2014年的Chrome OS团队。最初的成员之一刘侃(音)穿着白衬衫坐在右上角。

虽然您可以通过安全实践、反病毒扫描和加强设置来保证计算机的安全性，但谷歌试图从第一次引导开始就创建最安全的系统，而不需要安装。

开放密码审计项目(Open Crypto Audit Project)主任肯尼斯·怀特(Kenneth White)说:“如果你想要预先加固的安全系统，Chromebooks就是最好的选择。”“不是因为他们是谷歌，而是因为Chrome OS已经开发多年，而且它明确把网络安全作为核心设计原则。”

这又回到了刘、德鲁里和最初的Chrome OS团队在开发新一代笔记本电脑时的设想。

刘和德鲁里说，Chromebook的三个设计要求是“简单、安全和速度”。这三个人最后互相挑拨离间。Chrome操作系统团队想让它对用户来说更简单，这样机器就可以运行得更快。

但德鲁里说，通过限制竞争环境，操作系统能够在10年前就排除常见的攻击，同时也阻止了未来的战术。

“即使你不知道未来会发生什么攻击，你也会限制组合，”他说。“这些年来我们已经看到了这种情况。攻击者必须迂回曲折地穿过迷宫般的通道，才能得到有用的东西。”

但是，仅凭简单性，你也只能做到这么多。Drewry和Liu着重讨论了Chromebook自2010年第一次迭代以来的四个关键特性:沙箱、验证过的靴子、动力清洗和快速更新。

它们提供的安全特性使恶意软件更难通过，同时还提供了一个快速修复按钮。

“这就是Chrome操作系统和当时其他电脑工作方式的根本区别，”刘说。

但是什么是沙盒呢?什么是动力清洗?(提示:不含水。)以下是四个关键特性的细分。

Chromebook的浏览器被设计成每个标签都有自己的进程。

德鲁里注意到，恶意软件经常利用那些可以对电脑其余部分进行开放访问的程序。所以在Chrome操作系统上，每个标签，Chrome团队称之为“渲染”，都有它正常运行所需的所有代码，这意味着它不需要到外面去访问任何其他文件。

浏览器之外的数据将通过Chrome操作系统团队称为“迷你监狱”的工具进行传输，该工具确保系统只传输所请求的数据，仅此而已。

德鲁里说，因此，即使基于浏览器的攻击通过，也只会出现在特定的标签页上。

这是谷歌版本的安全启动，在Windows和苹果设备上都可以使用。谷歌的团队希望确保Chromebooks启动时，他们运行的软件是不可更改的。

在启动时运行的每一行代码都会被检查，以确保它来自谷歌，没有被恶意软件修改。

“他们对启动过程考虑得很周到，所以当你按下电源键时，你可以比其他设备更信任这家初创公司，”欧文说。

如果有任何改动，它会转到Chromebooks的恢复模式，Chromebooks也存储在安全的处理器上，不能修改。

这一功能允许用户只需按下一个按钮，就可以将Chromebook完全重置为出厂设置，让它很容易回到干净的状态。

当你认为自己受到了恶意软件的影响，或者你正在旅行，想要确保自己的设备上没有携带任何敏感数据时，这款应用会很有帮助。

德鲁里说:“这是我们的主要特征之一。”“因为如果出了什么疯狂的问题，你会怎么做?”

在其他设备上返回出厂设置通常比较困难，需要多个步骤才能返回初始设置。对于Chrome OS，它可以通过设置直接使用。

安全补丁并不是chromebook独有的，但谷歌的过程和对其推出的奉献是独一无二的。

该公司保证Chromebook在首次发布后七年内都能得到更新。

即使是CR-48，第一代Chromebook，也只向受邀的测试者发货，直到去年5月还在不断更新。这与数以百万计不再接收所需安全更新的过时设备形成了鲜明的区别。

根据谷歌的数据，超过90%的Chromebook用户正在使用最新版本的软件。

刘说，如果有任何安全漏洞需要紧急修补，谷歌可以在48小时内推出修补程序。更新也会在后台进行，这要感谢Chrome OS首次发布时引入的新进程。

,而不是要求用户安装更新,德鲁里说,Chrome操作系统运行的两个副本,一个版本a和B,每当一个新版本更新时,它发生在版本B,一旦一切准备就绪,Chrome操作系统加载在下次重新启动更新版本。

“这是他们从来不用考虑的事情，”刘说。“它就是发生了。”

什么是最安全的，什么是最方便的，这是有很大区别的。德鲁里和刘说，Chromebooks的目标是介于两者之间的最佳状态。

它涉及到“可用安全性”的概念。虽然您可以使用USB密钥设置VPN和双因素身份验证，但您可能不希望对所有亲戚都这样做。

“我不会建议一个非技术人员运行Linux，”White说。“我会打电话给他们，不断地帮助他们。即使作为一个极客，我也不想把事情搞糟。我想把事情做完。”

怀特整理了一份指南，让Chromebook尽可能安全，他说，这个过程只需要15分钟。但即使没有他的快速增强，普通版本的Chrome操作系统在安全方面也能运行得很好。

它不是你能拥有的最安全的设备，但它是最安全的，而且学习曲线最简单。

“这是我的个人标准，”德鲁里说。“我可以给孩子们吗?”我可以把它送给朋友和家人吗?我能把它交给安全专家吗?”

更正，太平洋时间上午9点10分:当自动更新功能可用时，这个故事最初是错误的。自Chrome OS发布以来，该功能就一直可用。