【安防展覽網(wǎng) 訪(fǎng)談】 7月22日—23日�,由蓋世汽車(chē)主辦、上海汽車(chē)城特別支持的“2020首屆軟件定義汽車(chē)高峰論壇”正式舉辦�。本次論壇主要探討軟件定義汽車(chē)領(lǐng)域新的創(chuàng)新理念、技術(shù)趨勢(shì)����、現(xiàn)實(shí)挑戰(zhàn)等熱點(diǎn)話(huà)題,共謀行業(yè)未來(lái)發(fā)展之道��。下面是騰訊安全車(chē)聯(lián)網(wǎng)安全技術(shù)專(zhuān)家張康在本次論壇上的發(fā)言:
2018年5月9號(hào)是我第一次代表實(shí)驗(yàn)室去分享議題�,當(dāng)時(shí)發(fā)生了什么事情呢?奔馳車(chē)主高速剎車(chē)失控��,120車(chē)速失控的例子。我當(dāng)時(shí)拿這個(gè)例子作為一個(gè)開(kāi)場(chǎng)���,那個(gè)議題也是半個(gè)小時(shí),我當(dāng)時(shí)花了20多分鐘的時(shí)間在告訴大家說(shuō)車(chē)聯(lián)網(wǎng)安全為什么很重要���,當(dāng)時(shí)放了我們2016年特斯拉的視頻�,視頻里面演示到我們的研究員在10公里以外的地方通過(guò)4G的方式遠(yuǎn)程對(duì)特斯拉進(jìn)行一個(gè)剎車(chē)的時(shí)候�,那個(gè)時(shí)候大家的感受是非常真切的:車(chē)聯(lián)網(wǎng)信息安全的問(wèn)題真的是能造成功能安全的風(fēng)險(xiǎn)。
所以也是那幾年我們?cè)谧龅氖虑?,我們一直在做行業(yè)教育。后來(lái)5月底的時(shí)候我們又發(fā)布了寶馬的一個(gè)研究案例�,當(dāng)時(shí)是受影響超過(guò)1000萬(wàn)臺(tái)的車(chē)。從2018年下半年開(kāi)始我們?cè)偃ジ?chē)企聊的時(shí)候已經(jīng)不需要做教育了�����,車(chē)企說(shuō)我知道信息安全很重要����,你告訴我應(yīng)該怎么做?特斯拉和寶馬都有這樣的問(wèn)題�����,那你們量產(chǎn)的時(shí)候肯定或多或少有這樣的問(wèn)題,那我們先做滲透測(cè)試�,發(fā)現(xiàn)你們現(xiàn)有的問(wèn)題,然后去解決問(wèn)題�����。
這里需要澄清一下����,雖然說(shuō)我研究特斯拉和寶馬存在安全問(wèn)題,但是在看來(lái)他們的信息安全水平是TOP的:特斯拉不用提了����,他們的安全團(tuán)隊(duì)都是從Google Apple過(guò)來(lái)的,寶馬也有專(zhuān)門(mén)負(fù)責(zé)內(nèi)部滲透測(cè)試的安全團(tuán)隊(duì)�����,所以我們交流完全是在一個(gè)頻道上的�;特斯拉是16年的平臺(tái)比較早,寶馬是2018年做的�,代碼是15、16年開(kāi)發(fā)的平臺(tái)���,都已經(jīng)是4,5年前的事情了���,所以有安全問(wèn)題也是可以理解的�;當(dāng)我們后來(lái)看兩家廠(chǎng)商這兩年的代碼時(shí)��,我們其實(shí)看到他們的安全性做的是相當(dāng)好的���。
過(guò)去兩年我們做了超過(guò)20多家的車(chē)企,有些車(chē)企連續(xù)兩年都在做���,做得多了客戶(hù)提出這樣一個(gè)問(wèn)題:車(chē)企都喜歡量化�,也喜歡行業(yè)對(duì)標(biāo)�,但是安全本身該不該被量化的這件事情就值得討論,而且我們收費(fèi)也不便宜�����,那我怎么跟老板匯報(bào)我的錢(qián)是花在點(diǎn)子上了����;另外一個(gè)就是我跟其他的對(duì)標(biāo),我處于什么樣的狀態(tài)���。
所以基于這個(gè)東西我們做了一些思考���,設(shè)計(jì)了一套安全測(cè)評(píng)的體系����,橫向是設(shè)計(jì)安全��,設(shè)計(jì)安全就是從系統(tǒng)安全���、開(kāi)發(fā)安全����、通信安全等等各個(gè)維度����,每個(gè)維度有不同權(quán)重的檢測(cè)項(xiàng),可以理解為是一套checklist��;縱向是實(shí)現(xiàn)安全���,是指設(shè)計(jì)層面的安全需求是否都得到滿(mǎn)足了��,實(shí)現(xiàn)的過(guò)程當(dāng)中是不是存在哪些邏輯漏洞�����。
這里列出來(lái)的點(diǎn)就是我們測(cè)過(guò)所有網(wǎng)聯(lián)功能模塊的打分���,其中有些黃點(diǎn)是車(chē)企第一年做����,綠點(diǎn)是他們下一代車(chē)型���,可以看到整體安全性的確是有提高的�����。
所以今天后面整個(gè)議題都會(huì)圍繞設(shè)計(jì)安全和實(shí)現(xiàn)安全兩個(gè)角度來(lái)講。
這張圖和上午博世那張非常經(jīng)典的EE架構(gòu)圖演變不太一樣�,這張是從攻擊者視角車(chē)聯(lián)網(wǎng)安全會(huì)關(guān)注的點(diǎn)。左邊是車(chē)端����,我們主要關(guān)注攻擊入口,比如說(shuō)車(chē)機(jī)是很主要的入口���,WIFI�、藍(lán)牙、USB��,然后還有Tbox����,負(fù)責(zé)與云端后臺(tái)通信,然后再往底層有一個(gè)網(wǎng)關(guān)�����,前幾年可能還是傳統(tǒng)的防火墻�,現(xiàn)在可能會(huì)變成智能網(wǎng)關(guān)這樣的概念,下面就是不同的域�����,基本走的是CAN協(xié)議�����,以及包括周邊的一些設(shè)施��,比如說(shuō)充電樁����、ADAS����,V2X等等��。
舉些例子����,車(chē)端的這些攻擊面,特斯拉我們是做過(guò)了包括WIFI���、OTA����、4G����、等等���,寶馬我們關(guān)注了一個(gè)新的攻擊面�,就是可以通過(guò)短信去開(kāi)啟車(chē)門(mén)�����;今年我們做了豐田,豐田是實(shí)現(xiàn)了藍(lán)牙攻擊面的利用���。車(chē)端的攻擊面一旦被利用了以后可以造成功能安全方面的一些影響���,破解車(chē)機(jī),T-Box����,網(wǎng)關(guān)后,直接向CAN去發(fā)送一些惡意指令���,會(huì)造成車(chē)輛的功能安全影響�。
右半邊就是傳統(tǒng)的互聯(lián)網(wǎng)安全��,云端后臺(tái)可能是OEM自己的后臺(tái)����,也可能是三方服務(wù)的后臺(tái),通過(guò)手機(jī)可以實(shí)現(xiàn)遠(yuǎn)程車(chē)控��,或者是像藍(lán)牙鑰匙這樣的功能�����。右邊可能造成的風(fēng)險(xiǎn)相對(duì)以信息安全偏多,比如說(shuō)財(cái)產(chǎn)損失或者是信息泄露這樣的一些問(wèn)題�。
我們做了特斯拉、寶馬��、豐田����,這兩天基本所有人都在講特斯拉,但我今天還是主講特斯拉���,為什么����?因?yàn)檫@次是軟件定義汽車(chē)大會(huì)����,大家都不可否認(rèn),特斯拉其實(shí)是軟件定義汽車(chē)的典范��。
這張是2016年的架構(gòu)圖�,和EE架構(gòu)圖不太一樣����,我們只列出了我們主要關(guān)注的模塊��。
2016年的時(shí)候它的中控屏車(chē)機(jī)�,車(chē)機(jī)是Linux系統(tǒng)����,它本身還承載了Tbox的功能和后臺(tái)通信,車(chē)機(jī)和跟儀表盤(pán)和WIFI模塊����,還有網(wǎng)關(guān)走的以太網(wǎng),網(wǎng)關(guān)是個(gè)RTOS系統(tǒng)�。我們當(dāng)時(shí)研究了兩路CAN,包括車(chē)身控制CAN�����,還有高速CAN�����,就是ABS�����、ESP這些行車(chē)過(guò)程中造成的動(dòng)作���。16年的時(shí)候我們的攻擊鏈?zhǔn)沁@樣的:特斯拉有一個(gè)內(nèi)置的WIFI���,我可以通過(guò)惡意WIFI熱點(diǎn)來(lái)進(jìn)入特斯拉車(chē)內(nèi)網(wǎng)絡(luò)����,車(chē)機(jī)顯示頁(yè)面是Linux自帶的WebKit瀏覽器���,當(dāng)時(shí)這個(gè)瀏覽器的版本非常低���,存在大量的已知漏洞,通過(guò)這些已知漏洞我們就拿了瀏覽器的權(quán)限���,但特斯拉權(quán)限控制做的比較好��,瀏覽器進(jìn)程的權(quán)限有限�����。我們見(jiàn)過(guò)其他太多的車(chē)機(jī)系統(tǒng)所有的應(yīng)用都跑在root/system下����,拿到一個(gè)應(yīng)用就直接拿到系統(tǒng)ROOT。
于是下一步我們?nèi)パ芯縇inux內(nèi)核��,同樣當(dāng)時(shí)內(nèi)核版本很低���,存在很多已知漏洞,利用之后實(shí)現(xiàn)了提權(quán)��,到這里我們完全控制了中控屏����。
特斯拉是應(yīng)該是第一個(gè)在量產(chǎn)車(chē)上實(shí)現(xiàn)OTA的公司,可以通過(guò)遠(yuǎn)程做包括中控屏,網(wǎng)關(guān)和底層ECU在內(nèi)的系統(tǒng)更新���,這在當(dāng)時(shí)是很超前的���。但16年的時(shí)候特斯拉OTA沒(méi)有做簽名校驗(yàn),就意味著任意的攻擊者可以構(gòu)造任意惡意的固件去刷掉網(wǎng)關(guān)����。后面就很簡(jiǎn)單了,通過(guò)分析CAN指令或者發(fā)送診斷指令���,就可以實(shí)現(xiàn)一些非常規(guī)的車(chē)控效果����。
所以可以看到16年的時(shí)候還是設(shè)計(jì)問(wèn)題偏多,存在大量的已知漏洞���,OTA沒(méi)有做校驗(yàn)����,這些都是設(shè)計(jì)層面的問(wèn)題�。
到了2017年的研究我們來(lái)看,首先瀏覽器之前的漏洞修復(fù)了���,但版本仍然不是新的��,我們利用當(dāng)時(shí)較新的已知漏洞�,再次獲取了瀏覽器代碼執(zhí)行的權(quán)限�。之后是內(nèi)核,內(nèi)核在當(dāng)時(shí)已經(jīng)升到了新版本�,但我們通過(guò)深入研究后發(fā)現(xiàn)了一個(gè)內(nèi)核驅(qū)動(dòng)的未知漏洞,通過(guò)這個(gè)漏洞再次實(shí)現(xiàn)了提權(quán)的動(dòng)作�。內(nèi)核這里就屬于實(shí)現(xiàn)問(wèn)題。
之后是網(wǎng)關(guān)����,2017年的時(shí)候特斯拉OTA已經(jīng)加了簽名校驗(yàn),但通過(guò)深入逆向分析我們發(fā)現(xiàn)了它在代碼實(shí)現(xiàn)層面的邏輯漏洞,可以跳過(guò)簽名校驗(yàn)����,再次刷寫(xiě)了網(wǎng)關(guān),之后的事情就基本一樣了�����。這里也屬于實(shí)現(xiàn)問(wèn)題���,設(shè)計(jì)層面上了安全措施,但代碼實(shí)現(xiàn)上有缺陷導(dǎo)致被繞過(guò)�����。
2017年的時(shí)候我們還做了一件事情����,通過(guò)深入分析特斯拉的ADAS模塊APE,我們發(fā)現(xiàn)通過(guò)一個(gè)高權(quán)限的進(jìn)程��,外加一個(gè)名為m3-factory-deploy的函數(shù)���,可以拿到APE模塊的root權(quán)限��。這里其實(shí)又屬于設(shè)計(jì)問(wèn)題了���,從上面這個(gè)函數(shù)名字可以猜測(cè)����,這應(yīng)該是當(dāng)時(shí)在還未上市的model3上預(yù)留的工程模式函數(shù)��,但在量產(chǎn)版本上沒(méi)有做刪除��。
拿到APE的root權(quán)限后���,我們做了進(jìn)一步的深入研究����,并在2019年發(fā)布了成果�。這是當(dāng)時(shí)研究的發(fā)布視頻,大家可以看一下�。
大家可以明顯看到,我們視頻的預(yù)算增加了(笑)���。其實(shí)從安全角度來(lái)說(shuō)����,安全是一個(gè)伴生屬性,任何新技術(shù)的出現(xiàn)往往都伴隨著信息安全的風(fēng)險(xiǎn)�����,這也是科恩實(shí)驗(yàn)室一直在關(guān)注的事情����,我們一直在做前沿技術(shù)的安全研究。對(duì)于ADAS來(lái)說(shuō)�����,我認(rèn)為是安全有兩個(gè)維度:
第一個(gè)維度�����,ADAS本身的系統(tǒng)模塊�����,這個(gè)展開(kāi)來(lái)講的話(huà)���,不只ADAS了,新架構(gòu)下會(huì)有大量功能集中在一個(gè)域控制器上��,這個(gè)系統(tǒng)本身的安全性是至關(guān)重要的,因?yàn)樗梢灾苯影l(fā)出車(chē)身控制��,動(dòng)力系統(tǒng)控制等高危操作����,如果這個(gè)系統(tǒng)自身安全做得不好,那我一旦被破解之后就可以去實(shí)現(xiàn)車(chē)控��,造成安全功能的影響����。
第二個(gè)維度,自動(dòng)駕駛算法引入了一個(gè)新的場(chǎng)景���,特斯拉走的是圖像識(shí)別這條線(xiàn)路�����,大家看到第一個(gè)雨刷的研究�����,它的雨刷是靠深度學(xué)習(xí)算法去做決策����,判斷當(dāng)前的畫(huà)面是不是下雨,我們?cè)诓磺宄唧w算法的前提下����,構(gòu)造了一個(gè)對(duì)抗樣本的訓(xùn)練模型,通過(guò)純黑盒的方式�,端到端地生成了一個(gè)對(duì)抗樣本,終實(shí)現(xiàn)了通過(guò)放一個(gè)干擾畫(huà)面可以讓自動(dòng)駕駛的算法做出一個(gè)錯(cuò)誤的判斷�,然后導(dǎo)致雨刷器啟動(dòng)。
車(chē)道輔助這一塊�,這個(gè)跟對(duì)抗樣本沒(méi)什么關(guān)系,通過(guò)測(cè)試我們發(fā)現(xiàn)在地面上部署幾個(gè)隨機(jī)的點(diǎn)����,就可以讓特斯拉識(shí)別出來(lái)這是一條新的車(chē)道�����,做出錯(cuò)誤的判斷�����,駛向錯(cuò)誤的路線(xiàn)��。實(shí)際測(cè)試的時(shí)候我們也遇到過(guò)��,像是天橋上面灑下來(lái)的倒影,樹(shù)蔭等有時(shí)也會(huì)讓特斯拉做出一些錯(cuò)誤的判斷�。我們只是做了一個(gè)拋磚引玉,是想表明ADAS�����,自動(dòng)駕駛的場(chǎng)景下��,算法本身的安全問(wèn)題也是需要值得大家考慮的���。
剛剛講了那么多特斯拉再講講別的��,除了特斯拉之外�����,我們做了20多款車(chē)的網(wǎng)聯(lián)系統(tǒng)測(cè)試�,總結(jié)下來(lái)����,車(chē)聯(lián)網(wǎng)系統(tǒng)常見(jiàn)的安全問(wèn)題有幾類(lèi),首先從問(wèn)題發(fā)現(xiàn)的難易程度來(lái)說(shuō)���,簡(jiǎn)單的問(wèn)題是系統(tǒng)版本低存在已知漏洞�����、通訊不加密�、小權(quán)限未滿(mǎn)足等等設(shè)計(jì)層面的問(wèn)題,這些是占很大一部分的���,而且這些問(wèn)題是好利用的���,有些已知的漏洞,利用代碼網(wǎng)上都可以搜到�����,這個(gè)就大大減少了攻擊者的攻擊成本���。稍微難一點(diǎn)的比如說(shuō)系統(tǒng)自帶的安全緩解措施或者是多余的組件和服務(wù)沒(méi)有被刪除等�,這個(gè)需要做一些進(jìn)一步研究才能夠發(fā)現(xiàn)���;比較困難的多數(shù)是偏代碼實(shí)現(xiàn)的邏輯漏洞,比如說(shuō)剛才提到的特斯拉簽名繞過(guò)的問(wèn)題��,以及虛擬化逃逸�����,自動(dòng)駕駛算法安全等前沿技術(shù)的安全問(wèn)題。所以越往左看是越偏向于設(shè)計(jì)安全���,比如說(shuō)版本舊����,或者通訊沒(méi)加密這些都是可以去通過(guò)給供應(yīng)商和開(kāi)發(fā)者提需求來(lái)解決的����。
所以從技術(shù)角度有哪些建議呢?安全基本原則是永遠(yuǎn)不過(guò)時(shí)的��,比如說(shuō)小權(quán)限設(shè)計(jì)原則��,或者攻擊面收斂-沒(méi)必要的接口或者組件直接刪掉��,不要留在那里����;還有默認(rèn)安全,就是系統(tǒng)原生的默認(rèn)選項(xiàng)配好���;還有縱深防御等等���,這些安全基本原則是*過(guò)時(shí)的�,而且往往是有效的�����。
我們?cè)倩氐竭@張圖���,這些問(wèn)題可以通過(guò)什么樣的方式去發(fā)現(xiàn)呢���?對(duì)于簡(jiǎn)單的問(wèn)題來(lái)說(shuō),上面提到的安全基本原則可以�,結(jié)合自動(dòng)化工具,比如說(shuō)應(yīng)用代碼審計(jì)工具等等�����,其實(shí)是可以基本全覆蓋到的��;中等難度的問(wèn)題可能會(huì)需要配合一定的滲透測(cè)試����;對(duì)于困難問(wèn)題來(lái)說(shuō)可能需要大量的滲透測(cè)試�,就是偏實(shí)現(xiàn)安全的問(wèn)題����,我去深入理解你的代碼邏輯才能發(fā)現(xiàn)這些漏洞����,從很長(zhǎng)遠(yuǎn)角度來(lái)說(shuō)甚至還需要配合一些IDS實(shí)時(shí)監(jiān)控手段。
除此之外應(yīng)急響應(yīng)/眾測(cè)/漏洞獎(jiǎng)勵(lì)計(jì)劃也能騎到查缺補(bǔ)漏的效果����,特斯拉這里就做的很好,通過(guò)實(shí)際獎(jiǎng)勵(lì)����,去鼓勵(lì)安全研究員把問(wèn)題直接報(bào)給你,而不是直接賣(mài)給黑產(chǎn)���。
對(duì)于攻擊者來(lái)說(shuō)他永遠(yuǎn)是考慮投入產(chǎn)出比����,我花費(fèi)多少的代價(jià)����,能獲取多大的一個(gè)成果。所以從防御者的角度來(lái)說(shuō)也是一樣,我不用跑得比熊快�,只要跑的比別人快就行了,對(duì)吧(笑)���?其實(shí)我只需要把這些簡(jiǎn)單的問(wèn)題在需求設(shè)計(jì)階段規(guī)避掉���,花很小的成本就可以把安全提升到一個(gè)還不錯(cuò)的level,差不多是這個(gè)概念���。
sysAuditor是騰訊科恩實(shí)驗(yàn)室的一個(gè)嵌入式系統(tǒng)安全審計(jì)平臺(tái)�,科恩做的產(chǎn)品都是怎么來(lái)的��?我們?cè)跐B透測(cè)試的過(guò)程當(dāng)中��,我們發(fā)現(xiàn)剛剛提到的一些安全基線(xiàn)的問(wèn)題���,可以通過(guò)自動(dòng)化的工具來(lái)實(shí)現(xiàn)�,然后我們就開(kāi)始寫(xiě)一些自動(dòng)化的腳本��,然后就發(fā)現(xiàn)這些腳本為什么不把它生成工具賣(mài)給客戶(hù)呢����?這樣我們把自動(dòng)化的測(cè)試工具給到客戶(hù)��,讓客戶(hù)去用���,可以提升自己的測(cè)試能力水平���,然后更高級(jí)的測(cè)試讓我們來(lái)做���,是這樣的一個(gè)思路。
幾句話(huà)解釋這個(gè)平臺(tái)能夠干嘛:首先會(huì)在目標(biāo)系統(tǒng)上跑一個(gè)腳本�����,這個(gè)腳本可以理解為它會(huì)生成一個(gè)系統(tǒng)的快照�,里面包含所有需要的信息,然后上傳到后臺(tái)��,通過(guò)一定的規(guī)則引擎去做分析��,這里的規(guī)則是科恩多年來(lái)車(chē)聯(lián)網(wǎng)的滲透測(cè)試經(jīng)驗(yàn)沉淀下來(lái)的�,可以看到從系統(tǒng)、通信��,權(quán)限等多個(gè)維度���,這個(gè)和前文提到的設(shè)計(jì)安全的checklist是有對(duì)應(yīng)的�����;掃描之后終出一個(gè)結(jié)果�����,列出系統(tǒng)對(duì)于車(chē)聯(lián)網(wǎng)來(lái)說(shuō)存在哪些風(fēng)險(xiǎn)�,哪些是高危、中危的或者警告的等等��。
這個(gè)打分系統(tǒng)說(shuō)實(shí)話(huà)我們是抗拒的(笑)�����,但是廠(chǎng)商還是希望你可以再直觀一點(diǎn)�����,給我一個(gè)打分�����,告訴我綜合評(píng)分是多少����。顯然現(xiàn)在這個(gè)打分系統(tǒng)的算法還是有待優(yōu)化�����,14分有點(diǎn)說(shuō)不過(guò)去了(笑)�����。
剛才講的是在技術(shù)層面,從流程層面來(lái)說(shuō)����,我們跟車(chē)企去聊的時(shí)候說(shuō)你們?cè)撛谠O(shè)計(jì)層面去做什么,去提需求��,那車(chē)企會(huì)問(wèn)另外一個(gè)問(wèn)題����,我該如何制定一個(gè)詳細(xì)的需求,后面該怎么驗(yàn)證需求被滿(mǎn)足了�����?這個(gè)也是說(shuō)明車(chē)企到了下一個(gè)階段����,就是對(duì)下一代開(kāi)發(fā)平臺(tái)的安全該做��。
這里可以看����,對(duì)于車(chē)企開(kāi)發(fā)來(lái)說(shuō)它是從傳統(tǒng)的模型一直到現(xiàn)在軟件定義汽車(chē)SOA的開(kāi)發(fā)模式去做轉(zhuǎn)變��,安全來(lái)說(shuō)也是一樣的��,開(kāi)始時(shí)微軟的SDL�,安全開(kāi)發(fā)生命周期,在設(shè)計(jì)階段把需求提出來(lái)�����,然后在驗(yàn)證階段進(jìn)行測(cè)試��,去驗(yàn)證需求是否滿(mǎn)足����,然后發(fā)布以后再進(jìn)行應(yīng)急響應(yīng),這是安全開(kāi)發(fā)生命周期�����;將來(lái)隨著軟件定義汽車(chē)的普及,安全也是一樣的會(huì)向DevSecOps去做轉(zhuǎn)變��,會(huì)更加強(qiáng)調(diào)自動(dòng)化�;其實(shí)我們?cè)诟鷮汃R合作的時(shí)候,寶馬已經(jīng)在往這種方向去轉(zhuǎn)了���,剛才的那個(gè)工具他們很感興趣����,這個(gè)工具可以集成到他們的CI流程里去��,每做一個(gè)版本迭代都跑一次�����,確保我沒(méi)有引入新的安全問(wèn)題���,進(jìn)而保障安全的下限。
但是對(duì)于大部分的車(chē)企來(lái)講��,目前連SDL都還沒(méi)有實(shí)現(xiàn)��,所以我們現(xiàn)在也開(kāi)始做轉(zhuǎn)型���,開(kāi)始給車(chē)企做咨詢(xún)規(guī)劃�,比如車(chē)企說(shuō)我想成立自己的安全管理團(tuán)隊(duì),那我們給集合具體的業(yè)務(wù)規(guī)劃��,去做一個(gè)安全的規(guī)劃�,需要招多少人、分3到5年���,需要做什么事情��,后面包括風(fēng)險(xiǎn)評(píng)估���,應(yīng)急響應(yīng)流程等等的咨詢(xún),這是我們目前在做的事情����。
后一頁(yè)takeaway,從人的層面來(lái)講���,現(xiàn)在大部分車(chē)企還沒(méi)有做到“有專(zhuān)門(mén)的團(tuán)隊(duì)負(fù)責(zé)信息安全”�,先做這個(gè)��,后面再考慮“信息安全是每個(gè)人的責(zé)任”;然后就是要找專(zhuān)業(yè)的人去做專(zhuān)業(yè)的事情��,怎么樣幫你做咨詢(xún)規(guī)劃����,針對(duì)于你的方案該給供應(yīng)商和開(kāi)發(fā)提出怎么樣的一個(gè)安全需求,再由誰(shuí)去做風(fēng)險(xiǎn)評(píng)估���,誰(shuí)來(lái)去做滲透測(cè)試的驗(yàn)證�����,其實(shí)每個(gè)階段一定要有專(zhuān)業(yè)的人來(lái)做這個(gè)事情���。
技術(shù)層面大家可以看,車(chē)機(jī)趨勢(shì)基本是安卓或者Linux�,其他域控等也基本是Linux為主�,大家的手機(jī)其實(shí)就是安卓,大家的主機(jī)就是Linux���,這兩個(gè)系統(tǒng)本身這已經(jīng)是非常安全的產(chǎn)品了�����,所以對(duì)于車(chē)端來(lái)說(shuō)需要做的就是將PC端和移動(dòng)端非常成熟的技術(shù)��,結(jié)合具體應(yīng)用業(yè)務(wù)場(chǎng)景�,按照優(yōu)先級(jí)順序應(yīng)用到車(chē)聯(lián)網(wǎng)當(dāng)中;優(yōu)先級(jí)順序是很重要的�,因?yàn)檫€是那句話(huà),車(chē)企永遠(yuǎn)是考慮成本控制的�����,不可能說(shuō)什么安全措施都要上�����,一定是有一個(gè)先后順序的��,這個(gè)一定要結(jié)合自己的應(yīng)用場(chǎng)景�,先上哪些技術(shù)再上哪些。舉個(gè)例子有些車(chē)企說(shuō)我們要不要做IDS或者CAN加密����?我說(shuō)有這些錢(qián)還不如把系統(tǒng)的基礎(chǔ)安全性做好,先從20分達(dá)到60分����,然后再去考慮怎么樣達(dá)到80、90分的概念;
還有就是選擇合適的自動(dòng)化工具���,應(yīng)用到安全開(kāi)發(fā)的流程中去����,確保我每次的版本迭代都是有一定質(zhì)量保證的��。
流程層面就很簡(jiǎn)單了�����,首先是安全左移��,大多數(shù)的安全隱患都是可以在需求設(shè)計(jì)層面解決的����,而且越往左移的成本越低的,所以這是一個(gè)低成本*的事情���。還有就是這個(gè)需求提給供應(yīng)商也好,還是提給OEM自己的開(kāi)發(fā)也好��,還是要在驗(yàn)證階段做測(cè)試�,驗(yàn)證需求是否得到了滿(mǎn)足,滿(mǎn)足過(guò)程當(dāng)中是不是也存在實(shí)現(xiàn)問(wèn)題,終確保整個(gè)系統(tǒng)的安全����。
差不多就是這樣,謝謝大家����!大家有什么問(wèn)題嗎?
提問(wèn):你好���,我想問(wèn)一下您這邊的實(shí)驗(yàn)室有沒(méi)有攻擊過(guò)一些其他非Linux的系統(tǒng)�����?有沒(méi)有成功的案例可以跟我們分享一下�����?比方說(shuō)QNX之類(lèi)的����。
張康:我現(xiàn)在講的都是可以在網(wǎng)上查到的信息�����,特斯拉和寶馬這些都是公開(kāi)的,是有研究白皮書(shū)的���,我們看的Linux/安卓比較多����,QNX也有�����,像寶馬的車(chē)機(jī)就有一個(gè)QNX���,其他的T-Box�,網(wǎng)關(guān)也有QNX或者RTOS等系統(tǒng)�����,以及單片機(jī)這種�����,都有看���,我們研究不分系統(tǒng)��,還是具體攻擊鏈上遇到什么系統(tǒng)就看什么����。
提問(wèn):那也就是說(shuō)一些號(hào)稱(chēng)安全的操作系統(tǒng)道高一尺�,魔高一丈還是有這個(gè)?
張康:其實(shí)剛剛提到了���,Linux和安卓其實(shí)也是安全的���,你用的手機(jī)如果滿(mǎn)分是100分,已經(jīng)可以達(dá)到99分了��,但車(chē)機(jī)上如果是同樣的安卓能不能達(dá)到同樣的效果�,這個(gè)是要看具體實(shí)現(xiàn)的。
提問(wèn):你前面提到17年特斯拉你們用了一個(gè)0day漏洞�����,是你們自己找的還是���?
張康:對(duì)����,我們自己找的,本身早科恩就是關(guān)注Linux和Windows這樣的操作系統(tǒng)��,我們會(huì)去做0day����,然后我們發(fā)現(xiàn)了以后會(huì)去報(bào)給廠(chǎng)商。
提問(wèn):因?yàn)檫@些代碼都是開(kāi)源的���,如果整車(chē)廠(chǎng)的代碼不是開(kāi)源的話(huà)���,是不是不容易去找?
張康:我們研究所有的安全漏洞都是黑盒測(cè)試��,簡(jiǎn)單來(lái)說(shuō)是把一個(gè)二進(jìn)制的文件���,比如安裝包�,逆向成匯編代碼���,再逆向成C/C++這種開(kāi)發(fā)語(yǔ)言�,然后再去分析其中的代碼邏輯�����。所以為什么你在市面上沒(méi)有做安全測(cè)試這么多,能達(dá)到我們這個(gè)成果是很少的����,這個(gè)是有很高的技術(shù)門(mén)檻在里面的�����。此外�����,今天想給大家分享的17年特斯拉的Oday情況攻擊成本是非常高的�,是需要有我們這樣的專(zhuān)業(yè)人才去做深入的研究才能發(fā)現(xiàn)問(wèn)題,但事實(shí)是車(chē)聯(lián)網(wǎng)系統(tǒng)其實(shí)存在更普遍的可以利用的已知漏洞�,這些相對(duì)來(lái)說(shuō)很容易被利用,所以一旦你把系統(tǒng)版本升到新���,確保已知的安全漏洞都被修復(fù)���,就可以達(dá)到一個(gè)比較高的安全水準(zhǔn)了,謝謝��。
移動(dòng)版
智慧城市網(wǎng)APP
智慧城市網(wǎng)小程序
微信公眾號(hào)
