360 安全专家唐青昊登台ISC2015 披露虚拟化漏洞挖掘细节
日前,ISC2015中国互联网安全大会在京召开。在“云计算与虚拟化安全”论坛上,360虚拟化安全团队负责人唐青昊发表了题为《云虚拟化系统的漏洞挖掘技术》的研究,分享了360在云虚拟化系统方面的漏洞挖掘核心技术,纯技术干货分享让人大呼过瘾。
360虚拟化安全团队负责人唐青昊在ISC云计算论坛演讲
2015年被称为云计算在中国的“爆发年”。目前,云计算已经触及到多个行业,无论是云存储、云音乐等生活中随处可见的服务,还是银行金融、支付信息等,都和云计算紧密相关。作为云服务的基础,虚拟化系统在其中扮演着越来越重要的角色。然而,近年来,虚拟化系统却不断爆出高危漏洞,给云安全带来了巨大的挑战。
唐青昊在演讲中举例,不久前,360虚拟化安全团队(MarvelTeam)就发现了多个虚拟化软件安全漏洞,使用kvm和xen作为虚拟化平台的公司业务都会受到影响。该漏洞一旦被攻击者恶意利用,可造成虚拟机宕机、系统资源被强制占用、虚拟机逃逸等结果,攻击者甚至可以在宿主机中执行任意代码,后果十分严重。
“我们希望在这些漏洞被公开之前尽可能多的发现并处理它们,因为虚拟化安全上是整个云安全的安身立命之本。”唐青昊表示。虽然虚拟化技术漏洞的发现非常复杂而且艰难,但唐青昊与他的360虚拟化安全团队都乐在其中。通过向虚拟化软件开发商报告漏洞,360虚拟化安全团队也荣获多次公开致谢,成为中国虚拟化安全研究领域的领先者。
唐青昊表示,漏洞是信息安全的重要元素,漏洞挖掘是为了更好地防护。为了让更多人参与到虚拟化系统的安全研究中来,唐青昊结合360虚拟化安全研究团队的实践经验,现场向观众揭示了虚拟化系统的挖掘框架和0day漏洞发现的全过程。
据悉,今年ISC2015的规模超过往年,在为期3天的大会上,来自密西根大学、美国中佛罗里达大学、南卡罗莱纳大学、美国得克萨斯大学、韩国KAIST大学、清华大学、北京大学、复旦大学、上海交大、国防科技大学等全球19所知名大学的专家学者,国务院发展研究中心、国家信息技术安全研究中心、中国现代国际关系研究院、中科院软件所等10大研究机构的研究专家,以及Palo Alto、赛门铁克、IBM、360、盘古等30家安全企业和安全团队的安全专家将在中国互联网安全领袖峰会、中国互联网安全精英峰会和13个分论坛上带来超过110个演讲议题。