騰訊薛瑋:汽車信息安全——路在何方
責編:rhliu |2016-11-11 15:05:03薛瑋:大家早上好!大家覺得今天北京的天氣怎么樣?(不好)。希望接下來的演講能夠帶給大家一些好的心情。大家了解科恩實驗室都是從視頻或一些報道,今天在這里給大家簡單介紹一下科恩實驗室。
科恩實驗室初創于一個比較小的創業公司,做安全的團隊,基本上之前60%的員工都是來自于微軟或其他一些大的IT企業,在過去四年中我們參加九屆世界最高級安全黑客比賽,得到了九個世界級冠軍。
最近兩次,我們還拿了兩個世界破解大師的稱號。在世界著名的安全大會里,我們得到了四個提名,這個提名放在電影界里就是電影界里的奧斯卡提名。所以非常榮幸能夠在這里跟大家聊一聊汽車安全。
從我們研究目標來看,科恩實驗室最初是以PC和mobile傳統的這些IT操作系統作為一個起點,在PC和mobile上我們windows、iOS都有很多業界CVE的輸出,最近我們還著力于研究IOT的系統,我們會在11月底放一個比較精彩的小視頻展示一下我們對于一個新的IOT的小成果,但是現在暫時不能告訴大家IOT的設備是什么。
除了傳統PC端,我們還有對于PC/mobile上APP做一些研究,比如微軟IE等一些瀏覽器都是我們研究的范疇。
最近更加火了是云和Web安全,很多客戶都選擇性地把數據放到我們云上,但如果一旦云的平臺有問題、有安全漏洞的話,就會很大影響到我們存放在上面的數據,所以云安全也是我們方向之一。
接下來就是今天的主角——汽車安全。今天我們講的汽車安全并不是傳統意義上汽車的功能性安全,在過去很多年中,我們車廠都致力于把汽車做得功能安全,保證駕駛員和乘客的人身安全,但是信息安全并不完全等同于功能安全。
舉例,比如一個黑客把你的手機通訊錄同步到車上的通訊錄獲取出來的話,可能并不會對駕駛員造成人身的功能安全,但是它的確是一個信息泄露的信息安全事件,這當中是有區別的。
但是也有交集,當我們入侵特斯拉以后,如果特斯拉在高速上行駛,遠程給它一腳剎車命令的話,就很有可能造成功能安全的事故。所以這兩種安全既有聯系,又有區別。
這一輛S-Class Mercedes車有1億行代碼,有100多個ECU,5個網絡。如果把它的線纜展開,有3公里的線纜,10多個操作系統。微軟Office 2003是2500萬行代碼。
大家好奇想知道下一個代碼量級別是一個小老鼠基因DNA配對的信息,這個信息是1.2億行,僅僅比車的代碼量多了200萬行。如果大家是從事軟件開發或信息安全的話,都應該知道有一個CMM的模型,CMM是軟件能力成熟度模型。
這個模型最高的等級是CMM5,在CMM5里規定:每千行的代碼里不得超過千分之零點三二,換句話說每1萬行代碼,可以出3.2個bug信息,按照安全界經驗來說,每10個普通的bug里就會有這樣1個安全的漏洞在那邊可能會被不法黑客所利用。
這1億行代碼中到底可能存在多少安全漏洞?我計算了一下應該是32000個漏洞可能被黑客所利用。在2010年以前,幾乎所有對于汽車信息安全的研究都是基于物理接觸式的研究。
舉例,過去的黑客在研究什么?他們知道我們汽車上有一個CD播放器,CD播放器里會有一個解碼裝置,黑客研究解碼裝置工業標準,研究解碼裝置里的代碼信息,可以找到這個解碼裝置里的漏洞。
制作一張CD,把這張CD放進CD room里,讓它運行,但是這個CD并不能放出一首歌,但是會讓解碼器在解碼時崩潰掉在2010年代的車機,這是當時研究比較傾向的方式。
但是整個汽車在發展,越來越多的聯網汽車、越來越多的智能汽車概念已經在我們生活里出現。例,未來汽車的15個攻擊面。看看大家是否能理解這些攻擊面所帶來潛在的威脅。
比如smartphone,現在很多智能車廠把無鑰匙進入做到手機上,做成了一個APP,可能這個APP有一些藍牙通訊和我們汽車相關聯。手機會不會有任何可能性被黑客所利用?如果手機被黑客所利用,上面的APP還是否安全?
最近有一些黑客在研究榮威iX5,因為沒有公布很多細節,我們從表象上來看,可能就是從入侵智能手機上APP開始,劫持里面一些信息,配到這個車上,讓車打開車門或打開車窗的一些事情,這是值得大家思考的問題,就是手機和車的關系。
TPMS,很多車都配備了胎壓檢測系統,目的是為了功能安全,但造成了矛盾的東西,就是在引入這樣一個東西對信息安全可能就是一種降低。比如黑客可以從遠程控制TPMS,造成胎壓顯示值過低。
由于某一些高級車會有一些邏輯在這個車上,比如行駛到80公里時,監測到你的胎壓過低,就會幫助你緊急剎車或者減緩速度,靠邊停靠,這也會造成在高速上人員的傷亡。
DSRC系統。這是一個車對車、車對公共交通設施、車對行人的技術,可能這個車是每秒鐘發10次的廣播包在它的周圍,它周圍其他的設備都會得到這個包,讀取里面的內容,包括車的速度、車的角度、車重、車高等等一系列的東西。
假設現在得到這些信息并不是一個合法的車輛或道路設施,而是一個黑客的話,會發生什么?也許黑客的回復可能是你的對面迎頭過來一輛車,它可以偽造這樣的信息,讓你的車進行緊急剎車,從而間接或直接控制這輛車。所以越來越多的互聯能夠帶來越來越多的攻擊面。
像這樣傳統的USB系統,大家不要僅僅認為車上USB系統,插上手機就可以充電,簡單來說我們的USB系統插上以后可以播放手機上的音樂,手機上的通訊錄也可以被同步到車的顯示屏上。
更重要的是很多車廠會使用USB系統對車做一個固件的升級或刷寫,就很可能造成車的攻擊面的入口。如圖,攻破特斯拉當天的照片。給大家介紹一下細節,那是一個雨天,我們有兩輛特斯拉,一輛是白色老款特斯拉,一輛是全新款紅色特斯拉,這輛特斯拉是向我們其他部門同事借來的。
當時我們想把這樣的攻擊試著去證明它能夠用于其他任何特斯拉的車型上,但是我們只有80%的把握能夠驗證我們的漏洞也會影響到其他的特斯拉。另外20%是什么?
我們也非常擔心當刷入我們固件以后,把紅色的特斯拉刷成磚。在非常忐忑過程中,我們還是做了這樣的決定,準備借這輛特斯拉。
借我們這輛特斯拉的小伙子也非常支持我們安全研究,我認為主要出于兩個原因,第一他非常喜歡安全這一塊,第二他的家底非常豐厚,可以供得起我們做這樣的安全測試。
如圖,特斯拉CTO在我們整個漏洞報告一個月以后對外聲明,我們非常感謝,這是非常非常積極的聲明。他說:科恩的小伙子們做了一件非常好的事情,幫助特斯拉找到了一些他們必須要面對的問題。也是非常肯定的一個答復。
下面放一個視頻給大家重溫一下我們的精彩畫面,這個視頻是拍自于我們在車停下來時的操作,當時Simon和研究員溝通了一下,研究員說你只要進了你的車,打開特斯拉瀏覽器去查詢一下最近的充電站在哪里。
過了2分鐘,當Simon再回到這個車的時候,特斯拉已經被我們小伙子們控制了。是用了一個后臺進程強制占領了特斯拉的屏幕,導致你不能夠點任何東西。 在行車過程中,關閉后視鏡也是相當危險的操作。
我們還可以通過4G方式,讓我們在實驗室里的同事遠程操控特斯拉,讓它進行剎車。這個剎車并不等同于普通的剎車,停下來的時候并沒有亮剎車燈。接下來稍微看一下我們的研究成果。
我們比較重點關注特斯拉前面方向盤下面的IC屏,15寸中控屏,還有網絡交換機組件。在中控屏上,最上面是Webkit瀏覽器,還有一些開關組件,下面有OTA Update Service,還有其他一些service就是偵聽。
這一套是跑了一個Linux的系統,下面還有一些接口,比如以太網卡,3/4G、藍牙。整個WiFi,特斯拉把它獨立出來,在一個分開的非常簡單的Linux操作系統上把這個WiFi安裝上去了,然后和中控屏網段也是獨立的,特斯拉有很大意識把WiFi作為攻擊入口的話,要單獨獨立出來。
如果你的控制走過來,CAN信息分成5路CAN,其中2路,有一路叫做CH CAN Bus,比較高速,這一路掛了我們叉車系統、駐車系統、剎車穩定系統;下1路CAN 是Body CAN Bus,低優先級,車門的開啟、反光鏡的折疊等等。
當時視頻為什么要分階段去駐車時拍一段,又在行車時拍一段?特斯拉gateway有一個特性,行駛時它就會像一個二極管一樣,自動幫你關掉,打不通了,信息傳不了。
這時候我們就遠程刷起這樣一個gateway,把這個gateway ITOS操作系統刷寫掉了。我們先是通過webkit幾個漏洞,可以得到webkit完全操作的控制權限,再利用這樣一個權限走到了Linux系統上,再經過幾個漏洞,可以把Linux整個權限給root掉。
特斯拉在linux上面也加了很多防范機制,有點類似于殺毒軟件或一些保護安全的軟件。先root它,再把它刪掉,才能把這個固件包發到gateway上。并不是簡單能夠直接刷寫,gateway還有校驗,比如CRC校驗,這樣把本來操作系統逆向了一遍,再把一致校驗碼固件填充到gateway里面去進行刷寫。從而整個攻擊連就打通了。
特斯拉的特性,當啟動一臺特斯拉的時候,windows電腦,插一根網絡上去,網絡圖表從大X變成聯網標識符,windows會去微軟某個網站查詢DNS記錄,下載這個記錄上.TXT文件,如果能夠下載到,說明你的網絡是連通的,這樣就會把符號換掉。
特斯拉其實也有這樣的機制在里面,所以它的后臺就會不斷地偵聽這樣一個請求,可能是為了OTA Update機制來設計的,一旦點開的話,就會有這樣的請求發到特斯拉某一個官網去下載一個東西。
這個時候我們就可以用DNS篡改或其他手段變成他下載的東西不是他需要的東西,而是我們的固件包,所以整個攻擊都是完全自動化,完全不要用戶做很多點選等等,只要你觸發了瀏覽器、觸發了流量,整個攻擊鏈就形成了。
從整個應急響應來看,我們非常稱贊特斯拉對于應急響應里面的投入,我們覺得特斯拉是一個有互聯網思維造車的企業,特別是把互聯網安全這一塊帶進了它的車里。
應急響應流程:特斯拉在官網上會有一個安全事件通報部分,點擊它,可以給特斯拉發郵件。當你發送這封郵件時,會給你提供一個公鑰,也就是說你發送的內容已經幫你加密過了,要確保在傳輸過程中沒有中間人的劫持或攻擊。
它也有一個獎金計劃激勵這些研究人員更多發現特斯拉的安全問題,每一個bug是從1000美金到10000美金不等,我們這樣一系列漏洞攻擊,聽特斯拉安全團隊負責人跟我們說,是史上最豐厚的一筆獎金。
他們的人只需要1.5個小時,就回復我們他們已經有人看這個問題。僅僅過了10天就得到了特斯拉的回復,他們已經把更新ready了,可以推送給他們的客戶了。車企的同事可以想想,如果出了這樣的安全問題,我們需要幾天把我們安全更新準備好。
3天90%,也就是說利用了它的OTA升級機制,能夠實現這樣有灰度的推送Update,第一天推送5%的更新,然后看一下有沒有客戶抱怨問題,第二天20%,第三天推了90%。特斯拉這樣的車在待機模式下也會偵聽OTA上面發過來的數據。
如果一旦OTA有這樣的信息過來,這個車就會在后臺幫你自動做升級,對于車主來說根本沒有任何升級破壞的體驗,而是第二天去開這輛車時已經全部幫你升級好了。
關注好安全建設的四要素:
專業安全。要做好信息安全是一個非常系統化的工程,我們希望有專業的人來做專業的事情。40個安全團隊的人來一起進行特斯拉安全研究,大部分來自蘋果、Google和微軟這樣的IT公司,他們很快能夠判斷出漏洞的危險程度,很快給出我們這樣的應急響應。
安全工程。2000年的時候,PC處于和互聯網連接時代,有兩個著名的病毒,一個是愛蟲病毒(音),一個是Blus(音)病毒,影響了全球幾千萬微軟的PC機和服務器,在次年一個會議上,比爾蓋茨提出微軟要做可信任計算的理念。
于是就有了SDL這樣的流程出來,給到了安全軟件開發團隊用。現在也是汽車在這樣一個交叉路口的時代,所以汽車的互聯越來越多,汽車是否有這樣一套安全工程能夠給我們來用呢?
我個人認為汽車軟件開發上很大程度上我們可以借鑒之前互聯網的成果,比如SDL、CMM等這樣的標準。SAE(美國汽車安全協會)也已經推出了汽車信息安全指南,這是一個框架性的協議,也能夠幫助大家完善自己的信息安全。
安全保護。流程也好,人也好,最后還是要落實到安全的產品和汽車結構的改變,比如越來越多的車廠會把我們的CAN做一個廣域的隔離,這個信息只能在這個域里進行傳送,但不能通過我的網端傳到比較高等級的CAN當中。也有很多車廠引入一些系統保護這部分CAN資源,即使控制外面娛樂平臺,也很難打通到里面汽車核心動力組件,這又是一些想法。
安全策略。我們要有很快速的響應,很快速的修復給到用戶,基于這一切都是要建立在我們有比較強大的安全團隊和安全的知識積累。
汽車安全4C:溝通、跨界、合作、融合。大家互相看一下對方的行業在做一些什么事情,對方的痛點在哪里,我們一起攜手合作。我們不想讓信息安全成為未來網聯汽車和智能汽車的絆腳石。謝謝大家!