GeekPwn2018:世界級難度“虛擬機器逃逸”
10月24日,以“人攻智慧,洞見未來”為主題的GeekPwn2018國際安全極客大賽在上海開幕,頂尖黑客團隊再次集結,預演智慧生活以及人工智慧領域潛在的安全問題,在諸多挑戰專案中,來自長亭科技所挑戰的“虛擬機器逃逸”專案是具備世界頂級水平的挑戰
選手利用虛擬機器系統漏洞控制宿主機
網際網路的飛速發展使得傳統計算環境向雲端計算環境遷移,但是雲端計算環境也帶來了全新的安全問題。由於雲底層系統是虛擬化系統,虛擬機器的安全性幾乎關乎整個雲安全系統的穩定執行。虛擬機器逃逸是指利用虛擬機器軟體或者虛擬機器中執行的軟體的漏洞進行攻擊,以達到攻擊或控制虛擬機器宿主作業系統的目的。
目前,針對虛擬機器的攻擊已經從理論慢慢變成現實。在此次極棒1024上海站的舞臺上,長亭科技團隊利用VMware虛擬機器3個漏洞,從一臺Linux虛擬機器內部進行攻擊,僅用9分鐘便成功獲取ESXi宿主機系統的最高許可權並進行任意控制,展示了私有云系統所存在的安全問題。
該專案的兩位評委分別表達了自己的看法,騰訊安全玄武實驗室負責人於暘表示,因為本身虛擬機器技術設計的目標就是把你隔在裡面,就像一個牢籠,牢籠的目的是隔離,而我們要逃逸出來。對於這種比賽,真正攻擊的時間是非常短的,但是從發現漏洞到進行分析到攻破是非常困難的。
而另一位評委,盤古聯合創始人徐昊則表示,之所以它的難度高,是因為軟體的應用範圍在全球非常廣泛,它並不是去挑戰一個使用範圍很小的軟體,很多主流的公司在提供雲服務的時候,都會使用這樣的軟體,所以它的影響對全球來說都是非常大的。
本次GeekPwn2018還進行了包含“CAAD對抗樣本攻防賽”,“機器特工挑戰賽”等在內的命題專項賽以及“GAN掉馬賽克”等趣味挑戰賽。對智慧生活安全議題發起挑戰,追求極致技術的同時,GeekPwn更是在是揭露潛在風險、拓寬安全思維、幫助智慧裝置更加安全地問世、協助人工智慧健康成長,為人們提供安全的智慧生活。