聽(tīng)說(shuō)搞物聯(lián)網(wǎng)安全的公司不賺錢，梆梆安全研究院這么說(shuō)

幾個(gè)月前，一張圖片迅速在朋友圈中流傳，正常開(kāi)車途中，車內(nèi)操作系統(tǒng)被鎖，智能顯示屏中出現(xiàn)紅色字體：您的車輛已被鎖定，想要解鎖請(qǐng)上交比特幣。

“我們都知道這張圖片是P的，但不妨礙為此擔(dān)憂，智能汽車恐怕很快會(huì)成為勒索病毒下一個(gè)攻擊對(duì)象?！卑鸢鸢踩芯吭涸洪L(zhǎng)盧佐華對(duì)雷鋒網(wǎng)宅客頻道（微信公眾號(hào)：letshome）說(shuō)道。

“It's zombie time?。ń┦瑫r(shí)間到）”

無(wú)論是電影中被黑客一手操控脫離了駕駛者控制，啟動(dòng)“自殺式”襲擊的僵尸車，還是現(xiàn)實(shí)中屢屢被黑的特斯拉、奔馳等豪車，無(wú)不反映出在某種程度上，與已經(jīng)發(fā)展多年的電腦系統(tǒng)相比，車載系統(tǒng)的安全系數(shù)難以望其項(xiàng)背。

因此，在智能網(wǎng)聯(lián)時(shí)代到來(lái)后，車內(nèi)網(wǎng)、車際網(wǎng)、車載移動(dòng)互聯(lián)網(wǎng)這三網(wǎng)的安全問(wèn)題，成為橫亙?cè)诟鞔筌嚻竺媲暗挠忠坏离y關(guān)。

綜合近年安全情報(bào)可以發(fā)現(xiàn)，黑客正在針對(duì)物聯(lián)網(wǎng)智能終端、物聯(lián)網(wǎng)控制程序（包含各類物聯(lián)網(wǎng)產(chǎn)品操控App）發(fā)起越來(lái)越多的攻擊，而其攻擊的焦點(diǎn)就正是包含在這些智能終端、控制程序內(nèi)部的代碼，保護(hù)程序安全、代碼安全是當(dāng)今最為重要的安全任務(wù)。

作為早期的移動(dòng)應(yīng)用安全服務(wù)提供商梆梆安全開(kāi)始考慮將原本面向移動(dòng)應(yīng)用的安全防護(hù)能力向物聯(lián)網(wǎng)領(lǐng)域延伸。基于此，2016 年 1 月梆梆安全研究院成立，研究物聯(lián)網(wǎng)及車聯(lián)網(wǎng)安全。

然而，任何開(kāi)始都不會(huì)一帆風(fēng)順。

與車廠的溝通之道

前些時(shí)間有個(gè)段子說(shuō)，如何才能保證一道門的安全。最理想的方式是上兩道鎖，一道智能門鎖一道傳統(tǒng)門鎖。如此一來(lái)遇到小偷雖然可以打開(kāi)傳統(tǒng)門鎖卻破解不了智能門鎖，遇上黑客即使破解了智能門鎖卻打不開(kāi)傳統(tǒng)門鎖。

殊不知依然存在的傳統(tǒng)門鎖，封閉了通向智能化的道路；而只使用智能門鎖的話，雖然可享受便捷多功能的服務(wù)，但也象打開(kāi)潘多拉魔盒引入了災(zāi)難。

車聯(lián)網(wǎng)上需要保護(hù)的門更加繁多，如何實(shí)現(xiàn)安全？一方面，安全研究人員對(duì)網(wǎng)絡(luò)上的安全風(fēng)險(xiǎn)了如指掌，往往拿出整套防護(hù)方案告訴車廠：hi，你的車處處漏風(fēng)。但卻不能夠結(jié)合車內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)分解闡述。

另一方面，車廠相當(dāng)于傳統(tǒng)開(kāi)鎖師傅，熟悉車內(nèi)結(jié)構(gòu)，提供功能安全?？僧?dāng)這臺(tái)車連上了網(wǎng)，一切都會(huì)變得不可控制。但車廠自認(rèn)為車子很安全：why？為什么要做這些無(wú)用的防護(hù)。

為了讓他們知道真正存在的安全問(wèn)題，我們要從滲透破解做起，而在此之前更為重要的是系統(tǒng)地學(xué)習(xí)車內(nèi)控制系統(tǒng)及其模塊功能。

汽車被黑客破解已經(jīng)有諸多案例，包括特斯拉、奔馳等豪車都難逃“黑手”。對(duì)于看客來(lái)說(shuō)，種種破解神秘強(qiáng)大。

而對(duì)于安全公司而言，研究破解一輛汽車需要哪些必要條件？？

必要條件之一，車！買車？

一輛 Model S 100萬(wàn)，一輛寶馬 50 萬(wàn)，嚶嚶嚶，太貴了。

那怎么辦？處個(gè)“對(duì)象”吧，通俗地說(shuō)就是合作，大家因著共同目標(biāo)走到了一起，你有車出車，我有技術(shù)出力，一起找問(wèn)題打造安全門。

兩方一拍即合，北汽福田，比亞迪、宇通客車等小伙伴的車，在梆梆安全的“操刀”下進(jìn)行實(shí)車測(cè)試。

必要條件之二，拿到固件程序，破解智能設(shè)備時(shí)要從其固件入手，在固件中提取程序。安全公司的破解原理與手段可能是相似的，其中有多種方式和方法，車輛可能會(huì)有不同程度的保護(hù)，如固件中加入保護(hù)機(jī)制防止外部讀取，或者固件內(nèi)部進(jìn)行了加密，防止讀取數(shù)據(jù)。但的確也有不少直接暴露某一個(gè)接口且并未進(jìn)行密碼保護(hù)的現(xiàn)象，這樣很容易就能提取出固件程序。

必要條件之三，還原拿到的程序，進(jìn)行各種分析，查找 BUG。但破解的確需要一定的思路和靈感，這也是破解人員燒腦之處。這就是各路研究人員大PK的時(shí)候了。

記在小本本上的報(bào)告最后都要交給車廠，破解只是前期工作，真正要?jiǎng)澲攸c(diǎn)的是發(fā)現(xiàn)漏洞后的防御。

端管云防護(hù) VS 車載網(wǎng)關(guān)

羊圈破了不可怕，還能亡羊補(bǔ)牢不是？汽車有漏洞也得補(bǔ)，關(guān)鍵是怎么補(bǔ)。

“補(bǔ)洞”之前先來(lái)了解一下車聯(lián)網(wǎng)架構(gòu)。

典型的物聯(lián)網(wǎng)基礎(chǔ)架構(gòu)就是“端管云”三層，智能網(wǎng)聯(lián)汽車要想很好的實(shí)現(xiàn)安全運(yùn)行，也必須從“端管云”的體系架構(gòu)來(lái)實(shí)現(xiàn)安全保障。也就是說(shuō)，安全防護(hù)要從多個(gè)層面進(jìn)行考慮，除了汽車的自身安全，通訊以及云端安全也尤為重要。

“端”即是做端點(diǎn)的安全，包括認(rèn)證等，主要針對(duì)車端以及App端。

盧佐華舉了一個(gè)例子，某次他們針對(duì)汽車整機(jī)的安全掃描，發(fā)現(xiàn)了IVI系統(tǒng)中存在一個(gè)缺乏安全校驗(yàn)的升級(jí)接口，工作人員設(shè)計(jì)通過(guò)此接口將一款遠(yuǎn)程木馬植入到該終端中，實(shí)現(xiàn)了通過(guò)App 遠(yuǎn)程控制終端的效果，甚至進(jìn)一步能夠通過(guò)這一App控制另一臺(tái)車。

事實(shí)上不少App端都存在漏洞，缺乏驗(yàn)證，這在設(shè)計(jì)之初，甚少有人注意。只有通過(guò)各方面檢測(cè)，之后根據(jù)檢測(cè)結(jié)果進(jìn)行不同解決方案的推薦，比如App的加固、App的驗(yàn)證加強(qiáng)、App的密鑰保護(hù)措施加強(qiáng)，除此之外對(duì)車端也是如此，需要做相應(yīng)的控制程序加固、操控代碼混淆。

“云”即做安全存儲(chǔ)、安全過(guò)濾。

盧佐華告訴雷鋒網(wǎng)宅客頻道（微信公眾號(hào)：letshome），在某次針對(duì)車廠數(shù)據(jù)庫(kù)進(jìn)行檢驗(yàn)時(shí)他們發(fā)現(xiàn)其云端訪問(wèn)授權(quán)校驗(yàn)薄弱，攻擊者可以進(jìn)入數(shù)據(jù)庫(kù)完全下載購(gòu)買某款車型所有的用戶信息，包括姓名、電話、地址等。要知道購(gòu)車人士大多具有一定經(jīng)濟(jì)能力，這些對(duì)于黑產(chǎn)而言頗具含金量的信息數(shù)據(jù)往往會(huì)被非法高價(jià)買賣。

 “管”即連接云與端之間的通訊管道的安全，讓信息能夠順利傳輸。

這里有個(gè)黑科技——白盒密鑰，往往加之以認(rèn)證技術(shù)保證通訊雙方進(jìn)行身份認(rèn)證。    

白盒密鑰最早被用在移動(dòng)支付領(lǐng)域。大概在2015年下半年，移動(dòng)支付迅速發(fā)展，VISA 推動(dòng)HCE支付系統(tǒng),白盒密鑰被寫在標(biāo)準(zhǔn)里用于保護(hù)密鑰和關(guān)鍵的數(shù)據(jù)。白盒密鑰系統(tǒng)適用于在沒(méi)有硬件安全芯片的時(shí)候，提供對(duì)密鑰的保護(hù)，防止針對(duì)密鑰的提取攻擊。

在目前階段，物聯(lián)網(wǎng)和車聯(lián)網(wǎng)系統(tǒng)往往缺乏安全芯片的集成，密鑰缺乏強(qiáng)壯的保護(hù)，而一點(diǎn)密鑰被破解的后果，往往就可能導(dǎo)致整個(gè)安全防御系統(tǒng)的失效。既然這個(gè)黑科技那么好用，能不能把它“乾坤大挪移”移到智能設(shè)備中去？

當(dāng)然不能簡(jiǎn)單挪用，要知道為了適應(yīng)銀行安全性需要，這一密鑰大小約在 2M 以內(nèi)，但在車聯(lián)網(wǎng)保護(hù)系統(tǒng)中，若要實(shí)現(xiàn)“一車一密”，需對(duì)密鑰白盒進(jìn)行優(yōu)化升級(jí)。

困難的是，車載系統(tǒng)總空間往往很小，有的才512K，上面還要跑業(yè)務(wù)系統(tǒng)，留給安全機(jī)制、留給白盒密鑰的空間非常小。

“我們的目標(biāo)是把白盒密鑰壓縮至100k以內(nèi)!，經(jīng)過(guò)科研人員的長(zhǎng)期攻關(guān)，這個(gè)目標(biāo)現(xiàn)在已經(jīng)達(dá)成了！”

100K大概有多大呢？以下這張動(dòng)圖大小為600K……

壓縮密鑰是否會(huì)降低安全性？這是個(gè)略帶尖銳的問(wèn)題。

事實(shí)上，安全性與便利性總處于博弈，尋找安全措施與反應(yīng)速度之間的平衡點(diǎn)變得至關(guān)重要。

汽車系統(tǒng)中的總線連接各ECU，其通訊既無(wú)認(rèn)證也無(wú)加密，很容易受到黑客攻擊。但若在通訊中加上某些認(rèn)證及加密技術(shù)，就會(huì)降低車的敏感度，產(chǎn)生不可控的延遲，反而增加了車輛的危險(xiǎn)度。

是否可以在網(wǎng)關(guān)層面采取措施？盧佐華開(kāi)始思考。

還記得 2016 年在美國(guó)拉斯維加斯召開(kāi)的黑帽大會(huì)上，黑客 Charlie Miller和Chris Valasek 攻擊了 2014 款的 Jeep 吉普切諾基的電子控制單元，通過(guò)將其中一個(gè)單元設(shè)置為維護(hù)模式并使用另一個(gè)單元發(fā)送假命令從而禁用電子控制單元。同時(shí)還能設(shè)置巡航控制速度，但司機(jī)能通過(guò)踩剎車控制車輛。

一個(gè)接口連接兩個(gè) CAN 總線，對(duì)其攻擊就能跨越，在車內(nèi)傳播。但如果有車載網(wǎng)關(guān)，起碼可以做到最初的隔離，使得針對(duì)總線間的攻擊、傳播變得困難。

另一個(gè)例子是黑客曾針對(duì)特斯拉攻擊其內(nèi)部網(wǎng)關(guān)某一固件漏洞，進(jìn)而實(shí)現(xiàn)對(duì)汽車操控。這說(shuō)明網(wǎng)關(guān)自身安全性沒(méi)有得到保證，所以在做車載網(wǎng)關(guān)時(shí)有兩方面要考慮。

其一，從針對(duì)車整體攻擊來(lái)看，車載網(wǎng)關(guān)需要集成包括用戶信息認(rèn)證管理、ECU 升級(jí)以及協(xié)議轉(zhuǎn)換等眾多安全過(guò)濾功能。

其二，車載網(wǎng)關(guān)作為汽車部件，也會(huì)受到直接攻擊，如物件提取、側(cè)信道攻擊、密鑰提取等。它應(yīng)該如何保護(hù)自身？盧佐華提出了微邊界多重防御體系。

“智能汽車也是一個(gè)完整的網(wǎng)絡(luò)系統(tǒng)，從網(wǎng)關(guān)、網(wǎng)絡(luò)到系統(tǒng)，再到它的應(yīng)用程序、密碼及數(shù)據(jù)，每一層都會(huì)有一個(gè)微小邊界，我們需要建立微邊界防護(hù)體系，也就是進(jìn)行更細(xì)力度的保護(hù)。這就類似于互聯(lián)網(wǎng)的防護(hù)模式，從防火墻、服務(wù)器防御，以及針對(duì) PC 端防御等層層遞進(jìn)。同樣，在車聯(lián)網(wǎng)內(nèi)，需要做邊界防護(hù)、系統(tǒng)防護(hù)、程序防護(hù)、數(shù)據(jù)和密鑰的防護(hù)?！?/p>

賺錢與否？否

這是一場(chǎng)拉鋸戰(zhàn)，無(wú)論是安全公司還是黑客們先行一步結(jié)果都可能不同。

“對(duì)于安全公司而言，研究的技術(shù)一定是超前的，甚至要學(xué)會(huì)換位思考，大開(kāi)腦洞。但結(jié)果必然是早期投入了大量精力以及花銷卻很難盈利，但我們不得不做。”

盧佐華也向雷鋒網(wǎng)表示，“目前我們正聯(lián)合北航交通與管理學(xué)院研究入侵檢測(cè)系統(tǒng)，其針對(duì)車輛運(yùn)行過(guò)程中進(jìn)行入侵檢測(cè)，實(shí)時(shí)發(fā)現(xiàn)攻擊?！?/p>

入侵檢測(cè)系統(tǒng)的實(shí)用性如何？即使是專業(yè)的信息安全人士，對(duì)此也各持意見(jiàn)。而梆梆安全在這方面研究是起步較早的。

盧佐華也提出了一個(gè)問(wèn)題，汽車等保屬于幾級(jí)？誰(shuí)也說(shuō)不清楚。而今年屢屢爆發(fā)的勒索軟件，讓安全人員開(kāi)始思考，如果勒索軟件被用到車聯(lián)網(wǎng)，會(huì)造成什么后果？車輛是個(gè)人財(cái)產(chǎn)，但如果被有心人利用，可能會(huì)變成殺傷性工具。

盡管對(duì)于安全公司而言，投入大量人力物力研究的確在早期很難盈利，但這也是一種使命感，兵無(wú)常勢(shì)，水無(wú)常形，安全公司與黑客誰(shuí)先一步占據(jù)高地就在博弈時(shí)多一份勝意。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。