来源:蜘蛛抓取(WebSpider)
时间:2018-06-10 04:09
标签:
中国网络信息安全峰会
Cansecwest安全峰会现场直击:三项议题直指云计算安全_新浪新闻
原标题:Cansecwest安全峰会现场直击:三项议题直指云计算安全 北京时间3月18日早上,正于加拿大温哥华举行的世界顶级信息安全峰会Cansecwest上,来自中国360安全创新中心的虚拟化安全团队360Marvel team带来了有关云计算安全的三大议题演讲。
记者北京时间18日上午获悉,正在加拿大温哥华举行的世界顶级信息安全峰会Cansecwest已进入第二天的会议日程。本次大会上,破天荒的出现了围绕同一安全领域的3个议题同时入选,分别为“虚拟化系统漏洞挖掘”、“Docker平台的虚拟机逃逸”、“KVM-QEMU环境下虚拟机逃逸”,且这三大议题全部来自于中国安全团队——360Marvel team。
同一安全团队的3大云计算安全议题同步入选Cansecwest,这在大会历史上还尚属首次,这其实与时下火热的云计算安全问题息息相关。360Marvel team负责人唐青昊介绍,作为云计算的基础,虚拟化的安全性在过去始终被忽略,直到去年“毒液”漏洞被外国安全专家曝出,才在世界范围内引起人们的注意。据不完全统计,仅为避免“毒液”蔓延,企业重启云计算服务造成业务中断的损失就高达数千万美金。
“毒液漏洞的出现只是给人们敲响了云计算安全的警钟。”唐青昊在“虚拟化系统漏洞挖掘”的议题演讲中提到,2015年是云计算虚拟化安全问题爆发的元年,继毒液漏洞肆虐全球之后,包括Marvel Team在内的全球安全专家又不断在kvm、xen、vmware平台上发现了众多高危安全漏洞,这些漏洞会导致各种云系统被黑客攻破。云系统上存放着大量用户的个人隐私信息,企业数据库信息及政府的敏感信息,“一旦云系统被攻破,就意味着这些重要的信息会被泄露,黑客利用这些漏洞不但可以偷取重要信息,甚至可以从一台虚拟机的普通用户发起攻击控制宿主机,最终控制整个云环境的所有用户。“
不仅如此,国外顶级安全专家及权威机构此前已多次对提到云计算安全问题的忧虑。SkyHight Networks公司高级网络安全研究员拉杰·古塔2015年年末对谈及今年安全趋势时曾表示,“在即将到来的2016年,企业必须开始偿还云安全的欠账。”在Gartner的数据研究报告中也显示,全球大型企业对于云计算的依赖程度极高,部分公司的业务对云计算的依赖性已经超过80%,而安全投入方面,云安全领域的支出只占总安全支出的3.8%。
在Marvel team其余两个入选的议题中,安全专家又分别介绍了Docker平台与KVM-QEMU环境下的虚拟机逃逸,虚拟机逃逸是指利用虚拟机软件或者虚拟机中运行的软件的漏洞进行攻击,以达到攻击或控制虚拟机宿主操作系统的目的,而Docker与KVM-QEMU正是目前虚拟化技术使用的主要场景。
据悉,依托长期在安全领域的研究积累与技术优势,360公司已经推出虚拟化安全管理系统,其中所包括的宿主机防护方案,通过分析虚拟机的底层I/O操作,能发现和拦截各种已知和未知的虚拟机逃逸攻击,并能对未知攻击进行溯源,找出系统漏洞,及时进行修补。本次会议关于虚拟机逃逸的演讲和演示,必定会引起大家重新审视宿主机安全防护的重要性,而360独创的虚拟化宿主机防护方案,正是顺应了这个市场需求。本稿件所含文字、图片和音视频资料,版权均属齐鲁晚报所有,任何媒体、网站或个人未经授权不得转载,违者将依法追究责任。
2011年,臭名昭著的恐怖大王本•拉登被美国海豹突击队员击毙。在欢庆除掉了国家公敌的同时,美国舆论界也对此表达了隐隐的忧虑:杀掉本•拉登,真的会让世界变得更好吗?
针对一些国家立法规定在烟盒上印制烂肺、烂口、骷髅等“重口味”警示图标,全国人大代表、烟草专卖局副局长段铁力表示,在烟盒上印警示图标不符合中国文化传统,且目前没有增加图标的打算。
世界上的事物是复杂的,一个事物往往具有多方面的意义。我们看问题解释问题,不可顾此失彼,以偏概全,在强调一种说法的时候,忘记了还有其他许多道理的存在。
自由和独立是未来大学的主要品质,如果这种品质不能在大学里自由生长,中国大学想成为世界一流大学就是天方夜谭,就是画饼充饥,就是自娱自乐。AsiaSecWest议题亮点抢先揭秘 引领2018全球网络安全新趋势AsiaSecWest议题亮点抢先揭秘 引领2018全球网络安全新趋势央广网百家号央广网科技6月4日消息 北京时间6月6日,AsiaSecWest国际安全技术峰会—亚洲站将在中国香港拉开帷幕。CanSecWest创始人Dragos Ruiu、清华大学网络科学与网络空间研究院段海新教授、Adobe首席安全策略师Peleus Uhley、腾讯安全玄武实验室的安全研究员宋凯与秦策,Security Research Labs首席科学家Karsten Nohl等中西方顶尖极客携逻辑漏洞、沙盒原理、补丁优化等当前最热门、最具前瞻性的重磅议题加盟。届时,CanSecWest将携手腾讯安全,打造中西方安全社群的交流对话平台,汇聚全球杰出的信息安全人才,带来一场高技术含量的顶级盛会,精彩不容错过。多项重磅议题发布 见证前沿科技全球顶级信息安全峰会CanSecWest是互联网安全领域的传统技术交流峰会,在全球互联网安全领域拥有重要影响力。对于全球信息安全人才来说,能够登上CanSecWest的舞台即意味着其研究成果具有全球影响力。本届AsiaSecWest也将继续秉承CanSecWest的高标准,打造一场中西方网络安全技术交流盛会。据了解,AsiaSecWest自启动招募以来,累计共收到上百份来自全球信息安全研究员的投稿。最终,AsiaSecWest组委会选定13个最具前瞻性、突破性的前沿议题亮相峰会。来自清华大学网络科学与网络空间研究院的段海新教授将作为特邀嘉宾亮相AsiaSecWest的舞台,分享关于“端到端通信中危险的中间盒子:祝福还是诅咒?”的技术议题。他将结合团队近年的研究成果,介绍Web通信中的各种中间盒子存在的安全问题,包括注入广告或恶意内容、泄露用户隐私、缓存污染、大规模拒绝服务攻击等。同时,来自腾讯安全联合实验室玄武实验室的安全研究员宋凯和秦策也将带来一个关乎亿万浏览器用户安全的议题分享——Chakra漏洞利用的最新研究成果。值得一提的是,在本届AsiaSecWest国际安全技术峰会—亚洲站上,专注于手机软硬件漏洞研究的Security Research Labs首席科学家Karsten Nohl,也将带来一项最新报告,全面剖析安卓系统的不完整补丁。众所周知,安卓系统多次被爆出重大安全漏洞,曾经的“Janus”漏洞、“Stagefright”漏洞、“CVE-”漏洞造成手机被克隆、银行卡被盗刷、创造虚假ID、自动安装恶意软件等严重后果,受到大众的广泛关注。此次,Karsten Nohl将通过新颖的分析方法在大量预先变异的样本中查找函数特征,从而揭示在手机或固件文件中被漏打的安卓补丁,为大家揭开安卓系统补丁的秘密。两大顶尖极客对谈 推动技术交流平台落地本届AsiaSecWest国际安全技术峰会—亚洲站,除了为全球信息安全技术爱好者带来含金量超高的技术议题分享,中西两大顶尖极客代表人物腾讯安全联合实验室玄武实验室负责人于旸与CanSecWest创始人Dragos Ruiu也将首次进行同台对话。届时,他们将围绕如何打造全球网络信息安全技术交流平台,提升网络安全研究的技术成果转化等议题展开深入探讨。中西两大顶尖极客会碰撞出怎样的火花?敬请期待。腾讯安全作为中国互联网安全新生态的首倡者,始终坚持“开放、联合、共享”的理念,多维护航全球网络安全生态的构建与发展。近年来,为提供立体化安全防护,腾讯安全联合多名网络安全界权威专家组建中国顶级联合安全实验室,专注于网络安全技术研究及安全攻防体系建设,集合企业安全能力推出腾讯守护者计划、CSS中国互联网安全领袖峰会、TCTF腾讯信息安全争霸赛,支持并参与了GeekPwn国际安全极客大赛。通过此次与CanSecWest的合作,腾讯安全希望打造一个世界顶级网络信息安全技术交流平台,搭建中西方黑客技术交流桥梁,致力推动中国成为国际信息安全技术风向标,从而为包括中国在内的全球信息安全技术人才构建一个展示前沿技术突破与应用的舞台,在为中国网络安全生态建设注入全球化视野的同时,积极倡导中国乃至全球的信息安全新生态。2018年,AsiaSecWest国际安全技术峰会—亚洲站即将开幕,全球顶尖极客将为我们讲述哪些当下最热门的前沿议题? 6月6日-7日 AsiaSecWest国际安全技术峰会—亚洲站,揭晓答案。本文由百家号作者上传并发布,百家号仅提供信息发布平台。文章仅代表作者个人观点,不代表百度立场。未经作者许可,不得转载。央广网百家号最近更新:简介:由中央人民广播电台主办的中央重点新闻网站作者最新文章相关文章软件与服务//
日,北京――由工业和信息化部国际经济技术合作中心、中国国际贸易促进委员会...
云计算是信息通信产业发展最迅速的领域之一,对国民经济和社会发展的战略支撑和创新引领作用日益...
今日,全球云基础架构和移动商务领导厂商VMware(NYSE: VMW)与中国著名的信息系...
日,中国电信天翼云重磅推出天翼混合云容灾服务,在混合云环境中提供准应用...
甲骨文今天宣布甲骨文云集成平台家族再添新成员 ― 甲骨文SOA云服务和甲骨文API管理器...
云安全 云应用 云存储 SaaS IaaS PaaS 云动态
对于云安全这个新兴概念,从咨询机构、云平台到安全厂商,行业内各家机构众各有解读。但很少从企业角度出发,清楚指明安全部门对云安全这种全新解决方案的真实需求是如何产生的,以及如何规划云安全架构,如何和原有安全功能进行协同。...
在美国,超过三分之一的企业在使用云计算,到2020年,这一数字有望增加一倍,达到80%。尽管云计算很安全,但并不能完全避免数据泄露。随着云计算逐渐成为IT的重要部分,现在企业必须更认真地考虑如何加强云服务提供商默认安全基础设施的安...
随着云应用的普及,云安全已经成为用户云建设需求中不可或缺的一部分。在中国云计算领域已深耕积累多年的华三通信,同样将安全特性列为了解决方案的核心关键。
随着云应用的普及,云安全已经成为用户云建设需求中不可或缺的一部分。在中国云计算领域已深耕积累多年的华三通信,同样将安全特性列为了解决方案的核心关键。
又拍云所进入的CDN市场可谓强手环伺,不仅有蓝汛、快网、网宿等传统厂商,还有阿里云等CDN新生力量,作为后来者的又拍云如何应对?...
移动安全领域厂商MobileIron近日宣布推出保护企业数据安全组合的最新成员MobileIron Access。MobileIron Access对安全制定了新的要求,即只有可信的用户才能在可信任设备中的安全应用上访问云中的企业...
无论我们喜欢与否,现在的事实是,企业都在转移到云计算中,很多企业已经开始将业务功能转移到云计算中,或者正在认真评估或计划这么做。...
顺应“软件定义一切”和“安全即服务”的IT趋势,深信服在巡展上公布了新的企业定位:从过去聚焦各种产品,到聚焦安全和云计算虚拟化两大业务。...
近日,云服务商UCloud安全中心公布了《2015公有云安全年度报告》,报告对全年DDoS攻击情况,漏洞遭受攻击情况、以及云安全发展趋势、年度安全事件等情况等进行了总结和披露。...
企业组织在信息化办公环境中,在网络中进行办公及数据传输的潜在危险正在加大,有必要对数据安全进行防范。...
正于加拿大温哥华举行的世界顶级信息安全峰会Cansecwest上,来自中国360安全创新中心的虚拟化安全团队360Marvel team带来了有关云计算安全的三大议题演讲。
有数据表明,储存于云端应用中的每100个文件中就有4个含恶意软件。
对于普通人而言,每一次信息安全的危机,我们几乎都是看客,因为事不关己,最多成为我们谈资;对于技术人员而言,每一个被攻击的系统都是自己进行实战演习的战场,复盘后看看自己能学到什么;
日消息,第四届中国国际云计算技术和应用论坛暨展会近日举行,地点在首都北京,本届会议中国电信、中国联通以及微软、甲骨文、华为以及世纪互联等IT和互联网公司纷纷亮相...
近日,淘店家天猫商城转让获悉在2016云栖大会?深圳峰会上,阿里云总裁对“云”的概念以及今后的技术发展、市场的前景等诸多方面进行了深入的分析和说明,并且一再强调,“企业上云”肯定是今后的一个发展趋势...
根据BSA|软件联盟最新发布的《2016年BSA|软件联盟全球云计算计分卡》报告表明,中国在IT市场规模占据全球80%的24个评分国家里位列第23名...
云计算,是一种基于互联网的计算方式,通过这种方式,共享的软硬件资源和信息可以按需求提供给计算机和其他设备...
2015年,根据调研机构Gartner的统计数据,全球云计算产值为1750亿美元...
美国时间4月25日-29日,OpenStack峰会在美国德州首府奥斯汀拉开帷幕。在为期一周的时间里,OpenStack精英汇聚一堂,探讨OpenStack社区的新发展...
开放”,是近两年IBM发展的主题,从OpenPOWER联盟开始IBM就全面拥抱开放,建立完善的生态体系,...
虚拟机往云端迁移了就可以万事大吉了么?谷歌可不这么认为,将工作的负载业务迁移到云端之后,后面所需要面临的头疼事依然不少。
云计算市场风起云涌,已经是国内、国际厂商的兵家必争之地...
从最近和客户的沟通过程中,我们发现相对比较保守的政府、银行业,纷纷提出了上云的需求,说明了云计算的趋势已经覆盖所有行业...
说到时下发展势头迅猛的产业,就不得不提到游戏产业。游戏产业蕴含着巨大的商机,可以说“游戏”是一个遍布黄金的产业...
据国外媒体报道,微软和英特尔本周发布的财报,清楚地表明了这两家昔日的PC霸主在把重心转向云计算时面临的挑战。
云服务市场规模巨大,预计到2020年将有500亿设备联网,80%业务上云,而“云眼”的定位是面向用户体验和业务特征的云服务评估与代理服务...
最近一段时间,国内知名的几大网络云盘接连关停,比如上个月的UC网盘、这两天的新浪微盘和快盘,115网盘也传言关停不过官方做出了辟谣...
一度每家公司都做的云盘存储服务,最近关了一批。...
115在日仅下线了“我聊”中的“文件发送”功能,而文件存储备份和在线管理功能不受任何影响,并非报道所说的“关闭存储服务”。...
自从 日,微软宣布OneDrive云存储服务上线以来,一直都为用户提供了大容量的免费云存储服务...
据统计,当前大部分企业IT经费的80%是用于IT基础架构的运维,如果云计算实施得当,企业能够让IT不再成为负累...
云计算从最初学院派研究的对象,到走下“神坛”经历了很长的时间,也诞生了很多的产品。而网盘无疑是所有产品中最贴近用户的一种。可以说,网盘为云计算摆脱“晕计算”立下了汗马功劳。
现代基于云计算的备份解决方案的一个固有优势是恢复速度和数据的可靠性。此外,从云平台上看,经常发现其他类型的备份解决方案有一些性能问题,例如磁带,需要加载,卸载,并在寻找过程中找到并恢复数据...
提到“云”,就不得不提到另一个概念――虚拟化,它是云计算得以实现的基础。
云计算的如今发展快速,可以说让我们每个人都能够受益。云存储作为云计算落地的一种常见的形式,让我们真正的可以将在各地享受到数据服务...
近日,美国电信运营商Verizon宣称,将在今年春季正式关闭旗下公有云平台。这一服务于2013年10月上线。
去年底,微软突然以有人滥用空间为由,宣布削减OneDrive云盘容量,个人从15GB砍到区区5GB,Office 365无限空间则改为1TB,顿时引起轩然大波,一片骂声。
451 Research认为随着内部部署存储开支下降17%,公有云存储开支将在两年内翻1倍。
表面看上去,云计算市场红火一片,而其中一个重要分支――网盘市场,则冷暖自知。
2016年的春天,毫无疑问属于企业SaaS。在020已经从资本的高空摔得稀碎之后,企业SAAS终于上位,当上了那头被热捧,准备养肥之后宰杀的猪。...
我国云计算还处于初步阶段,产业标准需规划...
没有人怀疑,企业级2B市场正在被资本追捧。在这一轮投资热潮中,企业级SaaS获得了异乎寻常的高关注度,而SaaS厂商们,也在用各种方式继续搅热这个市场。比如宣传造势、免费促销;比如搭建平台聚集上下游厂商;抑或推出更多的SaaS新品...
从dayHR到daydao,是从SaaS产品到PaaS平台,到HR云生态的转变。...
iPaaS是Gartner公司在2011年引入的新术语,指的是“一系列云服务,使开发,执行和整合的管理流程连接对中的单个或多个组织部署和基于云计算的进程,服务,应用程序和数据的组合“。...
云的迅速发展使得SaaS企业如同雨后春笋般涌出,但如何才能将SaaS企业长久得经营下去呢,这是众多SaaS经营者都为此劳心费神的事情。
这么来看,用户所能享受到的收费力度反而是有所减少,那这个免费到底是真免费还是假免费?...
近年来,云计算在互联网领域蒸蒸日上;如今,越来越多的企业也开始接触和应用云计算,云计算已经从在天上飘的时代,进入落地甚至是加速落地的时代。...
日,寄云发布了其一体化SaaS服务平台以及PaaS平台,帮助软件厂商在云计算的大海中破浪前行。...
日,以“飞越”为主题的寄云科技新品发布会在虫洞创业之家举行。寄云科技发布了SaaS服务平台和PaaS平台,旨在帮助ISV和SaaS厂商“飞越”客户消费鸿沟。...
近期,无论是上班时挤地铁、公司楼下等电梯,还是身处去出差的机场或高铁里,稍微关注一点SaaS行业的人士就会发现,似乎在哪里都能看到阿里钉钉和纷享销客的广告...
近日,2015中国软件大会在北京举行,作为大会的重要环节,主办方中国电子信息产业发展研究院发布了2015年度中国软件和信息服务获奖厂商名单....
一家有生命力有创造力的企业,必然选择回归商业本质,那就是创造价值。...
我们以各种形式提供基础设施,比如拎包入住公寓式公有云,独栋别墅私有云,打通地下通道的官府豪宅混合云。所以要评论云计算,先把云计算的概念先理顺,是基础层的IaaS,还是平台层的PaaS,还是应用层的SaaS。...
创业大潮和“互联网+”凑在一起,让更多人开始了解互联网的技术术语,包括IaaS、PaaS、SaaS甚至BaaS都变得耳熟能详。那么在云服务快速普及的时代,你手头的移动App项目到底该如何正确选择纷繁复杂的云服务呢?今天我们来探讨和...
当开源软件遇见了云计算,碰撞间必然会发生“化学”反应。当企业级用户遇见了忠实可靠的象云,交流中必将会产生共鸣,成为企业用户可以信赖的云计算合作伙伴。
未来三年,中国IaaS在公有云服务中将保持快速增长的势头,并在整体公有云服务市场中的占比会逐年提高,成为公有云服务市场中的最大的市场。目前来看,在国内IaaS云主机市场,BAT、运营商和传统IDC几大势力逐鹿市场,谁主沉浮?...
除了庞大的可选择的供应商(从初创公司到AWS等大型供应商)数量,很多企业还瞄准云计算市场的多个领域,例如基础设施即服务、平台即服务以及软件即服务。...
移动互联网时代,运营商的日子却有些艰难。一方面,传统电信业务收入下滑,网络投资却不断增长,导致运营商陷入“增量不增收”的困局。...
虽然AWS有产品能够同物联网应用协同工作,但是我曾经读到过PaaS数据库架构可能在涉及大数据时是一种更好的方式。...
近日,笔者收到华为公有云战略与业务发布会的邀请函,然后进入华为官网,看到相关的产品资费已经出来。...
随着云计算技术的不断发展及云计算商业模式的不断明晰,其完整的产业链也在不断地完善,无论是公有云、私有云还是混合云,均得到进一步深化。...
Gartner最新关于IaaS的报告只将两家供应商放在自己图表的“领导者”部分。...
IaaS随着使用率提升和竞争白热化,不出意外地在巨头间迎来价格战。...
如今的中国公有云版图,正处于百家争鸣时代,大大小小的几十家国内外云服务提供商如百舸争流般乘风远航,用一句时髦的话说,云正处于“风口”。最近,UCloud借到了一股东风,C轮融资获得近亿美元,刷新国内IaaS领域单笔最大融资额。
最近种种迹象都在表明,甲骨文要在国内PaaS领域发力了。3月25日,甲骨文中国新掌门在他的媒体首秀舞台――甲骨文...
近年来,云计算在互联网领域蒸蒸日上;如今,越来越多的企业也开始接触和应用云计算,云计算已经从在天上飘的时代,进入落地甚至是加速落地的时代。...
日,以“飞越”为主题的寄云科技新品发布会在虫洞创业之家举行。寄云科技发布了SaaS服务平台和PaaS平台,旨在帮助ISV和SaaS厂商“飞越”客户消费鸿沟。...
我们以各种形式提供基础设施,比如拎包入住公寓式公有云,独栋别墅私有云,打通地下通道的官府豪宅混合云。所以要评论云计算,先把云计算的概念先理顺,是基础层的IaaS,还是平台层的PaaS,还是应用层的SaaS。...
创业大潮和“互联网+”凑在一起,让更多人开始了解互联网的技术术语,包括IaaS、PaaS、SaaS甚至BaaS都变得耳熟能详。那么在云服务快速普及的时代,你手头的移动App项目到底该如何正确选择纷繁复杂的云服务呢?今天我们来探讨和...
敏捷性(agility)是企业应对变化的能力,对于企业的成功与否至关重要。高敏捷性的企业在面临竞争威胁时,能迅速以创新的商业模式应对挑战,优步(Uber)改变出租车业务模式就是很好的例子。...
除了庞大的可选择的供应商(从初创公司到AWS等大型供应商)数量,很多企业还瞄准云计算市场的多个领域,例如基础设施即服务、平台即服务以及软件即服务。...
虽然AWS有产品能够同物联网应用协同工作,但是我曾经读到过PaaS数据库架构可能在涉及大数据时是一种更好的方式。...
客户分为两类,一类是有某种需求,但是没有明确解决方案。另一类就是把paas作为方案一部分放进去另一类客户的需求,就是“要做云计算”就是为了云而云。...
在传统云计算四层架构中,企业通常接触到的是Saas(软件即服务)、Paas(平台即服务)、Daas(数据即服务)技术。...
眼下的IT市场,言必谈云,IaaS(基础架构即服务)市场逐渐趋于饱和,IaaS厂商也在寻求细分化转变,比如亚马逊Web服务所衍生出来的IaaS+。...
最近种种迹象都在表明,甲骨文要在国内PaaS领域发力了。3月25日,甲骨文中国新掌门在他的媒体首秀舞台――甲骨文...
以SoftLayer为首的IBM云计算业务成功招揽了越来越多的混合云客户,包括分析、服务和本地数据进驻等方面的客户。
2009 年,我发现了谷歌 App Engine,并很快爱上了这一服务。...
艾媒北极星|2018中国手机APP夏季指数.通讯社交(TOP20)...
All Rights Reserved, Copyright , Ctocio.com.cn
如有意见请与我们联系 powered by 天极内容管理平台CMS4i
京公网安备84号太平洋电脑网PConline
【PConline 资讯】3月16日,一年一度的世界顶级信息安全峰会CanSecWest在加拿大的温哥华如期开幕,来自中国360互联网安全创新中心的&黑客&军团包揽峰会三分之一议题,更在黑客大赛Pwn2Own上成功攻破Chrome和Flash两大赛事项目。 CanSecWest是北美地区最具影响力的信息安全大会,每年都会吸引全球范围内的众多安全&大咖&出席,而世界黑客大赛Pwn2own正是该峰会的竞赛环节。人机大战
&伏尔甘&完成&不可能的任务&
360Vulcan团队是Pwn2Own上唯一攻破Chrome的团队 北京时间3月17日,在Pwn2Own世界黑客大赛上,360互联网安全创新中心旗下的360Vulcan(伏尔甘)团队在队长郑文彬的带领下,拿下了基于Edge浏览器的Adobe Flash项目;随后,360Vulcan Team又联合360手机卫士团队使用四个漏洞组合攻击,仅用时11秒便攻破了号称&AlphaGo亲兄弟&,也是本届赛事中难度最大的谷歌Chrome浏览器,并成功获得系统最高权限。值得一提的是,这也是中国安全团队在Pwn2Own历史上首次攻破Chrome。这将大大推动互联网浏览器的安全,为世界网络安全做出贡献。 据了解,Chrome代表着谷歌安全防御技术的最高水平,除了全球闻名的&黑客天团&Google Project Zero以外,谷歌还拥有上千台服务器以深度挖掘技术对Chrome等产品进行漏洞测试,其计算能力完全不亚于刚刚在围棋&人机大战&中战胜李世石的AlphaGo。同时,Chrome还拥有全球唯一能够锁定Windows内核攻击面的沙箱系统。当沙箱上锁后,攻击代码对外部的资源不再具有访问权限,Chrome也因此在历届Pwn2Own大赛都成为黑客面临的终极挑战,最新版Chrome的安全系数相比往年更是有着飞跃提升,攻破Chrome并获得系统控制权几乎被认为是&不可能完成的任务&。五大议题,把握网络安全技术最前沿 随着中国对网络安全技术需求的与日俱增,国内网络安全人才也与国际专家频繁互动,并在前沿课题研究方面处于世界领先水平,他们的研究成果也频频受邀登上世界网络安全大会的演讲台。
60互联网安全创新中心安全专家龚广在CansecWest峰会演讲 每年CanSecWest峰会都会在全球范围内,面向安全研究人员开放研究议题申请,经严格评审,最后选定在各垂直领域具有最高研究水平、对整个行业就有引领高度的前沿研究议题出席大会演讲,分享他们最新的安全研究成果。 今年大会征集邀请到了15个全球信息安全领域的前沿技术议题,其中5个议题来自360团队,占议题总数的三分之一,这支来自360的技术团队也被称为&中国黑客军团&。 来自360的安全专家杨卿、单好奇、龚广、唐青昊、汪圣平等在上百名竞争者中脱颖而出,成功登上CanSecWest的讲台。 杨卿、单好奇在演讲议题&无线射频识别技术和非接触式智能卡的攻防&中演示了仅用极低的成本获取银行卡信息。 &这是一个令人惊奇的微观攻防。&在现场,来自美国的安全专家里斯查尔德先生认为智能卡片被频繁使用的今天,小到EVM简易支付,大到军事设施的安全管理,处处都存在无线射频技术的应用,黑客可以通过很低的成本克隆出这些信号从而获得权限,这研究价值很高。 来自360虚拟化安全研究团队的三个议题则与当下最火热的&云计算&技术息息相关,在队长唐青昊的带领下,这只年轻团队在虚拟化系统漏洞挖掘、Docker平台的虚拟机逃逸等方面成果出众,并已经受到了世界安全领域的认可,今年上半年的全部大型国际网络安全会议都已经向他们发出了邀请。 此外,去年在&太平洋安全大会&(PacSec2015)上破解了谷歌NEXUS手机系统的移动安全专家龚广也受邀登台。龚广在&通过单一漏洞攻破NEXUS智能手机系统&议题演讲中,演示如何利用一个漏洞突破手机的沙箱、隔离技术实现系统提权。而这让在场的很多国际同行表示大开眼界。中国网络安全技术实力远征 作为全球最受瞩目的安全盛会之一,世界顶级信息安全峰会CanSecWest到今年已经是举办的第16届,虽然随着中国信息安全技术的崛起,来自国内的安全团队频频在CanSecWest中亮相,而此次由中国团队包揽大部分议题并在实战比赛中突破多个项目,意味着中国网络安全团队在技术研究和攻防实战方面都已经进入世界前列。国内安全界也将本次360互联网安全创新中心赴美参加CanSecWest大会誉为&中国网络安全技术实力的远征&。 &技术实力的远征&源于多年在攻防实践和安全研究的技术和人才积累,仅在2015年,360互联网安全创新中心旗下的研究团队就为谷歌、微软、苹果和Adobe提交了上百个漏洞获得公开致谢,仅次于Google Project Zero排名全球第二,获誉&东方最强白帽子军团&。这些漏洞如果卖给网络&军火商&,一个漏洞的价值就达到数万美元,但白帽黑客(网络安全的建设者,而不是破坏者)的选择是把漏洞给厂商去修复。 &Live Long and PWN(生命不息、破解不止)是团队的座右铭,挑战极限和不可能是我们作为安全研究人员的不懈追求&,此次参加黑客大赛的360Vulcan Team负责人郑文彬称,&我们在与谷歌的上千台&机器大军&对抗中找到漏洞,就是希望每个人上网都变得更安全。&
