360“军团”惊艳亮相世界顶级信息安全峰会

   3月16日,一年一度的世界顶级信息安全峰会CanSecWest在加拿大的温哥华如期开幕,来自中国360互联网安全创新中心的“黑客”军团包揽峰会三分之一议题,更在黑客大赛Pwn2Own上成功攻破Chrome和Flash两大赛事项目。

  CanSecWest是北美地区最具影响力的信息安全大会,每年都会吸引全球范围内的众多安全“大咖”出席,而世界黑客大赛Pwn2own正是该峰会的竞赛环节。

  人机大战 “伏尔甘”完成“不可能的任务”

  图:360Vulcan团队是Pwn2Own上唯一攻破Chrome的团队

  北京时间3月17日,在Pwn2Own世界黑客大赛上,360互联网安全创新中心旗下的360Vulcan(伏尔甘)团队在队长郑文彬的带领下,拿下了基于Edge浏览器的Adobe Flash项目;随后,360Vulcan Team又联合360手机卫士团队使用四个漏洞组合攻击,仅用时11秒便攻破了号称“AlphaGo亲兄弟”,也是本届赛事中难度最大的谷歌Chrome浏览器,并成功获得系统最高权限。值得一提的是,这也是中国安全团队在Pwn2Own历史上首次攻破Chrome。这将大大推动互联网浏览器的安全,为世界网络安全做出贡献。

  据了解,Chrome代表着谷歌安全防御技术的最高水平,除了全球闻名的“黑客天团”Google Project Zero以外,谷歌还拥有上千台服务器以深度挖掘技术对Chrome等产品进行漏洞测试,其计算能力完全不亚于刚刚在围棋“人机大战”中战胜李世石的AlphaGo。同时,Chrome还拥有全球唯一能够锁定Windows内核攻击面的沙箱系统。当沙箱上锁后,攻击代码对外部的资源不再具有访问权限,Chrome也因此在历届Pwn2Own大赛都成为黑客面临的终极挑战,最新版Chrome的安全系数相比往年更是有着飞跃提升,攻破Chrome并获得系统控制权几乎被认为是“不可能完成的任务”。

  五大议题,把握网络安全技术最前沿

  随着中国对网络安全技术需求的与日俱增,国内网络安全人才也与国际专家频繁互动,并在前沿课题研究方面处于世界领先水平,他们的研究成果也频频受邀登上世界网络安全大会的演讲台。

  图:360互联网安全创新中心安全专家龚广在CansecWest峰会演讲

  每年CanSecWest峰会都会在全球范围内,面向安全研究人员开放研究议题申请,经严格评审,最后选定在各垂直领域具有最高研究水平、对整个行业就有引领高度的前沿研究议题出席大会演讲,分享他们最新的安全研究成果。

  今年大会征集邀请到了15个全球信息安全领域的前沿技术议题,其中5个议题来自360团队,占议题总数的三分之一,这支来自360的技术团队也被称为“中国黑客军团”。

  来自360的安全专家杨卿、单好奇、龚广、唐青昊、汪圣平等在上百名竞争者中脱颖而出,成功登上CanSecWest的讲台。 杨卿、单好奇在演讲议题“无线射频识别技术和非接触式智能卡的攻防”中演示了仅用极低的成本获取银行卡信息。

  “这是一个令人惊奇的微观攻防。”在现场,来自美国的安全专家里斯查尔德先生认为智能卡片被频繁使用的今天,小到EVM简易支付,大到军事设施的安全管理,处处都存在无线射频技术的应用,黑客可以通过很低的成本克隆出这些信号从而获得权限,这研究价值很高。

  来自360虚拟化安全研究团队的三个议题则与当下最火热的“云计算”技术息息相关,在队长唐青昊的带领下,这只年轻团队在虚拟化系统漏洞挖掘、Docker平台的虚拟机逃逸等方面成果出众,并已经受到了世界安全领域的认可,今年上半年的全部大型国际网络安全会议都已经向他们发出了邀请。

  此外,去年在“太平洋安全大会”(PacSec2015)上破解了谷歌NEXUS手机系统的移动安全专家龚广也受邀登台。龚广在“通过单一漏洞攻破NEXUS智能手机系统”议题演讲中,演示如何利用一个漏洞突破手机的沙箱、隔离技术实现系统提权。而这让在场的很多国际同行表示大开眼界。

  中国网络安全技术实力远征

  作为全球最受瞩目的安全盛会之一,世界顶级信息安全峰会CanSecWest到今年已经是举办的第16届,虽然随着中国信息安全技术的崛起,来自国内的安全团队频频在CanSecWest中亮相,而此次由中国团队包揽大部分议题并在实战比赛中突破多个项目,意味着中国网络安全团队在技术研究和攻防实战方面都已经进入世界前列。国内安全界也将本次360互联网安全创新中心赴美参加CanSecWest大会誉为“中国网络安全技术实力的远征”。

  “技术实力的远征”源于多年在攻防实践和安全研究的技术和人才积累,仅在2015年,360互联网安全创新中心旗下的研究团队就为谷歌、微软、苹果和Adobe提交了上百个漏洞获得公开致谢,仅次于Google Project Zero排名全球第二,获誉“东方最强白帽子军团”。这些漏洞如果卖给网络“军火商”,一个漏洞的价值就达到数万美元,但白帽黑客(网络安全的建设者,而不是破坏者)的选择是把漏洞给厂商去修复。

  “Live Long and PWN(生命不息、破解不止)是团队的座右铭,挑战极限和不可能是我们作为安全研究人员的不懈追求”,此次参加黑客大赛的360Vulcan Team负责人郑文彬称,“我们在与谷歌的上千台‘机器大军’对抗中找到漏洞,就是希望每个人上网都变得更安全。”

热门新闻

最新新闻