GeekPwn2018:世界级难度“虚拟机逃逸”
10月24日,以“人攻智能,洞见未来”为主题的GeekPwn2018国际安全极客大赛在上海开幕,顶尖黑客团队再次集结,预演智能生活以及人工智能领域潜在的安全问题,在诸多挑战项目中,来自长亭科技所挑战的“虚拟机逃逸”项目是具备世界顶级水平的挑战。
选手利用虚拟机系统漏洞控制宿主机
互联网的飞速发展使得传统计算环境向云计算环境迁移,但是云计算环境也带来了全新的安全问题。由于云底层系统是虚拟化系统,虚拟机的安全性几乎关乎整个云安全系统的稳定运行。虚拟机逃逸是指利用虚拟机软件或者虚拟机中运行的软件的漏洞进行攻击,以达到攻击或控制虚拟机宿主操作系统的目的。
目前,针对虚拟机的攻击已经从理论慢慢变成现实。在此次极棒1024上海站的舞台上,长亭科技团队利用VMware虚拟机3个漏洞,从一台Linux虚拟机内部进行攻击,仅用9分钟便成功获取ESXi宿主机系统的最高权限并进行任意控制,展示了私有云系统所存在的安全问题。
该项目的两位评委分别表达了自己的看法,腾讯安全玄武实验室负责人于旸表示,因为本身虚拟机技术设计的目标就是把你隔在里面,就像一个牢笼,牢笼的目的是隔离,而我们要逃逸出来。对于这种比赛,真正攻击的时间是非常短的,但是从发现漏洞到进行分析到攻破是非常困难的。
而另一位评委,盘古联合创始人徐昊则表示,之所以它的难度高,是因为软件的应用范围在全球非常广泛,它并不是去挑战一个使用范围很小的软件,很多主流的公司在提供云服务的时候,都会使用这样的软件,所以它的影响对全球来说都是非常大的。
本次GeekPwn2018还进行了包含“CAAD对抗样本攻防赛”,“机器特工挑战赛”等在内的命题专项赛以及“GAN掉马赛克”等趣味挑战赛。对智能生活安全议题发起挑战,追求极致技术的同时,GeekPwn更是在是揭露潜在风险、拓宽安全思维、帮助智能设备更加安全地问世、协助人工智能健康成长,为人们提供安全的智能生活。