当心! 容器开发者可能成为骇客攻击目标
2017-07-31 18:05:23 | 来源:ithome | 投稿:小艾 | 编辑:dations

原标题:当心! 容器开发者可能成为骇客攻击目标

示意图,与新闻事件无关。

提供容器安全服务的Aqua△Security上周借由黑帽(Black△Hat)骇客会议发表一研究报告,指称容器开发者很可能成为骇客攻击目标,并展示了攻击行径,以证明相关威胁不只是个理论,且该被认真看待。

近来颇受开发人员欢迎的容器技术属于轻量的虚拟技术,它能打包并隔离程式,也让程式更容易移植,其中更以Docker最受青睐。根据统计,全球约有1400万个Docker主机,有超过90万个Docker程式,近年来所列出的Docker职缺成长了77000%,Docker专案的贡献者达到3300名。

Aqua△Security在上周展示了攻击Docker开发人员的手法,先将Docker开发人员诱导至骇客所控管的网页,利用Docker△API执行非特权的程式,接着展开主机重新绑定(Host△Rebinding)攻击,以取得受害者机器上的Docker守护进程控制权,这时骇客已可呼叫任何Docker△API,最后再于Docker中植入影子容器,以长驻于Hypervisor中。(来源:Aqua△Security)

Aqua△Security安全研究负责人Michael△Cherny表示,也许有些人认为锁定开发者的攻击并不会对企业带来真正的威胁,但事实上开发人员不但具备较高的工作站权限,还有许多拥有管理员权限,他们经常能够存取重要的原始码或与应链系统、测试资料库或测试环境,有些还能存取生产环境。

有鉴于开发人员也会不时进行某些看起来有恶意嫌疑的操作,于是选择关闭安全控制,更容易出现安全空窗。再者,若骇客真的掌控了容器管理员的工作站,也将有能力污染开发人员所建置的映像档,而让骇客将触角延伸至生产环境。

tags:

上一篇  下一篇

相关:

世界骇客顶级竞赛揭榜,台湾队夺第二名,大败中、韩、欧等国骇客高手

图片来源: HITCON 2017年,全球骇客攻防竞赛的年度总决赛DEF△CON△CTF(抢旗攻防赛)刚刚揭晓最终结果,在全球15强骇客战队中,台湾代表队HITCON△217夺下第二名,仅次于多次夺冠的美国队PPP,打败了来自中国、韩国、

Container双周报第39期:容器标准化迈出关键一步,第一个开放容器标准OCI 1.0正式释出

重点新闻(07月15日-07月28日)-容器标准化迈出关键一步,第一个开放容器标准OCI△1.0正式释出在2015年,由Docker、IBM、微软、红帽及Google等厂商所组成的OCI联盟成立,并于2016年4月推出了第一个开放容器标准。除推

隐形杀手当心!这些习惯都会导致骨松

(优活健康网记者徐平/综合报道)骨质疏松症是指骨质密度减少,孔隙增加,导致骨头结构不稳定,容易发生骨折。髋部骨折的病人,1年內死于并发症者约有15~20%,存活的病人有80%无法回复到骨折前的功能,且无论是脊椎

疲惫感加剧 当心是痰湿症

(优活健康网编辑部/综合整理)健康的要素有“三快”,吃得痛快、睡得痛快、排得痛快,而这里所说的排是指大号与小便。什么是排得痛快?排的量固然重要,但是更重要的是排便痛快、解尿痛快。也就是说,大小便后有舒畅

勒索软件追踪研究:自2016年第一季以来骇客得手超过2500万美元

图片来源: 维基共享资源;作者:Jericho 由Google主导的勒索软件追踪专案(Tracking△Ransomware△End△to△End)借由本周举行的黑帽(Black△Hat)骇客会议上公布了最新的研究结果,指出这两年来勒索软件的收入已超

站长推荐: