找洞一时爽,还有特斯拉奖。这个目标终于被黑客达到了。
前两天,全世界最酷的黑客比赛之一的Pwn2Own 又开张了。今年这个比赛最引人注目的规则是,如能演示针对特斯拉调制解调器或调谐器、WiFi 或蓝牙组件、车载系统、网关、自动驾驶仪、安全系统和密钥卡(包括用作钥匙的电话)的利用代码,则可获得 5 万美米至 25 万美米不等的奖励。如成功入侵某些目标组件且实现持久性和 CAN 总线攻击,则可分别获得 5 万美米或 10 万美米的额外奖励。
主办方 ZDI 还表示,除了奖金外,该类别的第一轮获胜者也将获得特斯拉 Model 3 中档后轮驱动汽车的奖励。
3 月 23 日当天,多次参加 Pwn2Own 的老选手 Richard Zhu 成功搞定了特斯拉 Model 3 的娱乐系统,开走了这辆拉风的特斯拉。
在 Richard Zhu 搞定特斯拉的前两天,雷锋网宅客频道编辑见到了宅客频道的老朋友、中国破解特斯拉的第一人刘健皓。刘健皓此前两度破解了特斯拉,在黑客中掀起了一股破解特斯拉的热潮。
外界对黑客的破解"秀"可能注意力还停留在“秀”上。事实上,破解特斯拉并不是单纯的安全能力的体现,在智能驾驶,甚至是自动驾驶技术离生活越来越近时,如何让前沿技术与实际商业应用找到接轨点,是刘健皓想要探索的问题。
距离刘健皓 2016 年第一次破解特斯拉已经三年了,他也成为了 360 智能网联汽车安全部负责人。坊间传闻, 360 智能网联汽车安全部拿到了许多大单,成为了老周落地 B 端 IOT 安全的典型代表。
果真如此顺利吗?
口述:刘健皓 | 整理:李勤
去年大家开始提汽车的“新四化”,智能化、联网化、电动化、共享化,很多的车型的研发和设计都往这四个方向靠。
智能化实际上是指自动驾驶或者是智能驾舱,通过车辆的传感器还有自动驾驶算法为汽车提供智能化的功能,实现一些自动驾驶的应用场景。
网联化指的是车联网,车联网有两个主流应用场景,一个是车和云,也就是用现在使用的手机 App 控制车辆,还有一种是今年大力发展的5G或者是C- V2X,就是车车通信,车路通信。去年,某大会上举办了一个三跨实验——跨车厂、跨运营商、跨零部件厂商之间的通信,真正实现车和车之间的通信,网联化有这个趋势。
电动化是指整个产业都向新能源领域发展,电动汽车的产量出现了增长的趋势,车厂在 2016 年、2017年时没有新能源平台,现在基本上每个车厂都有了新能源的平台,并且在新能源平台上花了很多精力,做出很好的车型。
最后是共享化,年初戴姆勒和宝马合资成立了出行公司,大众自己也成立了出行公司,一汽、长安、东风三家联合成立了一个 T3 出行,为什么这些车厂、主机厂都会成立出行公司?因为很多自动驾驶和车联网汽车的应用场景就是要满足共享化的需求,他们生产出的车不是直接卖的,而是租给用户的。这就好比很多航空公司的飞机是租的,很多车厂未来也能意识到在车的销量要持续增长的情况下,必须有一部分的车通过共享化业务消化。
汽车的电子电器架构要根据四化的需求发生改变。现在信息娱乐、智能驾驶、车身控制等车内控制域通过一个网关连接到一起。通过这个架构,动力系统、车身控制系统会面向互联网,反过来,黑客可以通过攻击直接控制汽车,可以危害动力系统。
还有,现在大多数互联网汽车搭载了内容丰富的的信息娱乐系统,信息娱乐系统直接连接互联网,存在的漏洞比较多,大多数攻击通过信息娱乐系统为跳板,攻击到车身的控制系统、动力系统,还能干扰到智能驾驶系统,变革背后带来了很多安全风险。
我们在 2016 年就公布了对特斯拉的传感器攻击造成了控制上的失控或者把一辆自动驾驶汽车逼停。从汽车的自动驾驶到飞机的自动驾驶都是可以有预见性的,这对自动驾驶的算法提了很高的要求。
车身控制系统跟钥匙相关,2018 年也有很多的案例,可以通过钥匙信号的干扰和复制,破解车门的信号,造成车内的财产的损失。2018 年下半年,特斯拉老款的 Model S 的钥匙信号被破解,丢了 118 辆车,最后特斯拉通过联网定位找回来 112 辆,还有 6 辆没有找回来,这是实际发生危害的案例。
黑客可以发送指令干扰汽车的动力系统,引发交通事故,现在没有真实的案例,但2018年,入侵信息娱乐系统的案例有好几起。
我在发布 2017 年《智能网联汽车信息安全年度报告》时就预言了 2018 年汽车的漏洞、威胁会越来越多,2018 年将是攻击者刷漏洞的一年。什么叫“刷漏洞”?原来汽车的漏洞不会受到车厂的认可,不会受到CVE等专门的漏洞书公开机构或者是漏洞管理机构的认定。2018年,这个漏洞平台已经开始接收汽车漏洞,开始承认汽车的确有软件漏洞,车厂要通过远程 OTA 升级,及时防范漏洞利用的发生。
第一个观点是不幸被我言中,2018 年的确是“刷漏洞”的一年。
首先,腾讯的团队提交了宝马的14个漏洞,这是与宝马的车载娱乐系统还有总线的系统相关的漏洞。
其次,原来信息安全从业者在这些漏洞的描述里不可能看到车厂的名字,但是现在可以看到 BMW、奔驰等相关的漏洞。
很多车厂觉得从申报漏洞到成功入侵还有一段距离,不见得有漏洞就有真实的攻击,但我们在 2018 年看到了很多真实的攻击案例。
最明显的是车厂的服务器平台倍受攻击,大众、特斯拉、丰田、福特还有克莱斯勒百余家汽车厂商的机密文件被曝光,就是服务器被黑掉了,设计图、订单,甚至员工的驾驶证、护照、扫描件都被泄露出来,信息泄露事件比较多。还有特斯拉在亚马逊上的云服务器中了勒索病毒,面临ku的风险,本田在印度的 5 万名用户数据泄露,保时捷超过 28700 名客户数据泄露。
汽车四化以后,主要的两个风险就是控制安全和隐私泄露。还有共享汽车,由于安全问题,也会导致用户数据泄露,澳大利亚的某共享化汽车曾有 9 万名用户数据泄露,包括行驶轨迹、手机号等隐私信息。
我有几个观点,首先,整车厂已经开始全面地重视安全建设,包括比亚迪和吉利在一些公开的会上都说了自己会重视信息安全。特别是吉利在世界智能汽车网联大会上,当时李书福董事长在发言过程中就强调了信息安全是非常重要的,整车厂在汽车研发过程中会对此进行明确的产品定义,有相应的安全防护系统。
第二,供应商在积极地推出安全防护方案,整车厂需要安全,供应商可以提供相应的安全方案。互联网厂商如百度、腾讯还有阿里以及360都有针对汽车的网络安全方案,这方面的配套都已经齐全。2019年,我觉得会百家争鸣,但是大家解决问题的方法和看问题的角度不一样,定位也不一样。2019年,整车厂在选择方案时能会从这个点上岔开,用不同的安全理念、安全方案加固联网汽车。
现在有一个国际标准组织已经开始牵头汽车信息安全的标准,是ISO/SAE 21434,这个标准实际上要到 2020 年 6 月才能正式公开,现在汽车信息安全建设还没有按照标准来做。但是,我们的安全方案已经出来了,标准是滞后的,我们安全还是要提前进入。
2018年,ISO/TC22道路车辆技术委员会下设的ISO/TC22/SC32/WG11联合工作组围绕国际标准ISO/SAE21434(道路车辆-信息安全工程)的制定,先后在美国、波兰、以色列等地召开了联合工作组会议,明确了该标准的范围、对象、主要内容和框架、工作计划等。该标准适用于道路车辆的电子电气系统、各系统间的接口交互与通信;从组织层面规范对企业的信息安全管理、风险管理要求;规范道路车辆在安全生命周期内的电子电气系统、系统间接口交互、系统间通信的信息安全技术要求、威胁分析与风险评估方法、安全策略、信息安全系统性测试评价方法、信息安全流程开发管控要求。
中国代表团正积极参与此项标准的制定,其中包括国内知名的主机厂、零部件供应商和信息安全企业。
这个标准分为四个方向:
第一,风险管理,对汽车进行风险评估,看看它有哪些攻击面,如何攻击进来。
第二,根据攻击结果形成安全需求进行安全开发,正式发布后发送给用户,联网汽车与传统汽车不同的点是,给用户节点以后,就要去为联网汽车的运营和维护提供保障,所以,以后要进行长期持续的运营和维护。
3GPP正在进行LTE-V2X安全的研究和标准制定工作。其中,安全方面由3GPP SA3工作组负责,调研V2X安全威胁,研究V2X安全需求并调研和评估对现有的安全功能和架构的重用和增强以及支持V2X业务的LTE 架构增强的安全方面研究。
支持LTE-V2X的3GPP R14版本标准已于2017年正式发布;支持LTE-V2X增强(LTE-eV2X)的3GPP R15版本标准于2018年6月正式完成;支持5G-V2X的3GPP R16+版本标准宣布于2018年6月启动研究,将与LTE-V2X/LTE-eV2X形成互补关系。
2018年6月,CCC(The Car Connectivity Consortium,车联网联盟)宣布推出首个针对汽车数字密匙规范Digital Key 1.0,这是第一个将智能手机变成汽车钥匙的连接标准。
CCC是一个专注于实现移动设备与汽车连接的组织,其成员由汽车和智能设备制造商组成。该联盟现任主席是三星美国研究中心的技术总监Mahfuzur Rahman,其董事会成员则由通用汽车、大众汽车、戴姆勒、本田等公司代表担任,重要成员包括奥迪、宝马、通用汽车、现代、LG电子、松下、三星和大众汽车,以及中国公司小米、HTC、华为等。
Digital Key 1.0规范概述了在解锁、启动、共享汽车等场景下存储在智能手机上的数字钥匙标准,以便能实现让驾驶者通过NFC手机代替传统物理钥匙的目标。由于通过NFC进行交互,使得Digital Key 1.0还需要一段时间才能实际实现,但标准本身可以保障有效地将数字钥匙下载到智能手机中。同时,CCC联盟以及开始了Digital Key 2.0的研究。
2018年12月,英国标准协会(British Standards Institute,BSI)发布了一套网络安全标准PAS 1885:2018、PAS 11281:2018。
我国标准研发其实也在加快制定的过程中。
在全国信息技术安全标准化技术委员会(信安标委,编号为SAC/TC260)中与汽车信息安全相关立项的标准有:《信息安全技术车载网络设备信息安全技术要求》、《信息安全技术车载终端安全技术要求》、《信息安全技术汽车电子信息安全检测技术要求及测试评价方法》、《智能网联汽车网络安全风险评估指南》、《信息安全技术汽车电子系统网络安全指南》。
国内的标准是这样的,各个标准委员会里面都有人在参与和制定标准,但中国工信部或者是监管机构会采用哪个标准,现在还没有定夺,大家都在写,都处于观望状态。
近年来,V2X(Vehicle-to-Everything)通信的关注度不断攀升,已成为移动无线网络领域的研究热点。中国立推的C-V2X,目前以LTE-V2X技术为主并向5G-V2X技术演进,大唐、华为等可对外提供商用Balong765芯片组;与此同时,华为、大唐等公司可以提供车载单米设备(On Board Unit,OBU)和路侧单米设备(Road Side Unit,RSU)。
我们对V2X的信息安全也做了一个威胁分析,V2X的信息安全主要是两个方面:
一是V2X本身数据被篡改,可能会引发蝴蝶效应,因为以后车车通信,每辆车都会接受其他车的信息,只有要一条信息是假的、是错误的,执行的结果就是错误的,告诉其他车的结果也是错误的,就会造成一传十、十传百的蝴蝶效应,会造成大面积的交通事故。V2X通信的有效性是我们要保障的。
二是现在的V2X都是用一张证书进行通信,如果在路测部署基站抓证书,就可以泄露这辆车的行驶轨迹,造成隐私泄露的问题。这是V2X的危险,我们写在这个报告里面。
第一,防止数据泄露,保护用户隐私。
2018年中发生多起数据泄露事件,其规模和影响都是巨大的。在大数据和云服务的时代,对于数据的保护也应成为汽车厂商、供应商、服务提供商的共同责任。加强对数据安全的考量与投入,至少从五个方面考虑数据安全:访问控制、身份认证、数据加密与脱敏、容灾备份与恢复、安全审计。通过网络访问控制和用户权限控制,让攻击者进不来;多重身份认证,防止攻击者冒充他人身份,实现身份改不了;数据加密让攻击者看不懂;容灾措施保障服务挂不了;安全审计、异常行为检测让攻击行为跑不掉。大数据时代,保障好数据安全,才能保障智能网联汽车的安全。
第二,智能汽车进步,控车仍在继续,安全开发要落实。
从以往的汽车破解案例来看,目前汽车领域的安全手段是有所提高的,但仍存在大量车联网、智能化的产品没有考虑到信息安全的问题。随着智能网联汽车的发展,越来越智能的汽车为人们提供便利的同时,也给汽车本身带来更多的攻击面和安全风险;同时随着攻击者技术的提高,使得汽车容易被远程控制仍是智能网联汽车面临的主要安全问题。国际或者国内的安全标准仍处于建设时期,智能网联汽车仍处于没有安全标准及规范的环境下,建立企业自身的信息安全标准,准守信息安全开发流程,才能在车辆上市时保障其信息安全水平,降低被攻击的风险。
第三,建立动态安全实施监测机制,及时发现、及时处理。
汽车作为一款特殊的商品,其使用时间非常长,使得智能网联汽车的信息安全工作成为一项长期持续的工作。仅仅保障出厂时的安全能力远不足以应对车辆的生命周期,同时随攻击手段的日益进步,传统的被动防御技术显得效率低下,对资源的使用效率产生了一定的限制。将车联网安全分析、汽车安全防御、安全资源与安全运营融合,结合大数据、人工智能、威胁情报等技术与资源,构建动态防御体系,对车联网系统的关键部件进行安全监测与防护,可以对安全事件更高效、更精准、更及时地定位与预警。在动态监测的过程中,及时对潜在安全威胁进行分析、评估、处置,通过修改配置、安装补丁、访问控制等安全措施,修复潜在漏洞,提升智能网联汽车安全防御能力,达到智能网联汽车的攻防平衡。依靠威胁情报等资源,提取汽车相关安全态势,对潜在安全问题或安全事件进行预研,提前部署相应解决对策,进一步增强智能网联汽车安全防御能力。
刘健皓:从案例来讲,基本上都是信息漏洞的事件,基本上是车厂被搞定了,车厂的云平台被搞定了,它的数据被泄露出来。这些数据有没有价值?实际上也是有价值的。我们在2018年的时候看到暗网有人卖车厂的客户信息,这些客户信息都聚焦在车厂的某一个系统,这个系统被搞定了,而不是车被搞定了。所以说,车厂的信息泄露跟车的安全没有直接的关系。
还有一方面,由于车的安全问题造成了人在车上面的一些驾驶行为和轨迹隐私相关的数据泄露,现在车厂在这块的保护是有考虑,但还没有这些事件发生,没有针对人的攻击,利用漏洞针对车主进行攻击,把隐私给勾划出来,这种事件还没有。可是在我们的研究过程中,实际攻击者可以去根据目标人把人的行驶轨迹还原,有这种风险。
刘健皓:对。
刘健皓:从一开始我们破解特斯拉到现在给比亚迪做防护,实际上我们由一个攻击者转为了防御者。现在实验室分为两条线,一条线是帮主机厂做主动的评估和安全检测,帮他们发现问题。正好可以说一下我们的重点,我们原来给TSP等传统车联网做安全检测,现在有很多的车厂给我们提的需求是——能不能对他的自动驾驶安全进行测试。到 2020 年,大多数车厂标配了 L3 或者是 L2.5 的汽车,但没有对自动驾驶的控制器和传感器的信息安全做过测试,很多车厂已经提出这样的测试需求,我们也承接了这样的一些测试项目,主要是自动驾驶安全测试。
刘健皓:有与百度的阿波罗那样的平台性的合作,他们也有信息安全团队,他们的团队也在做自动驾驶的安全检测。自动驾驶安全主要是分为两个方面:一个是传感器的安全,有一种是算法上的安全。
刘健皓:跟车厂合作,他们那里有很多的需求具体的需求对接的是他们的一级供应商,比如说博世、联电,还有 V2X 的安全方面,我们是有合作的。还有蔚来现在V2X以后,智能交通还有路测设备的,RSU这块的厂商,像路测单米的厂商也需要信息安全防护,扩大的面就非常广了。
刘健皓:自动驾驶的功能和安全是两码事,功能是需要中国有几个示范区,上海的、北京的、重庆的、长沙的都会有一些自动驾驶的示范区和牌照,那是属于自动驾驶的功能测试。但从反馈的结果来看,只有发牌照的时候知道有谁,路测的时间非常短,不像特斯拉的自动驾驶的测试,首先是卖了一批车,通过远程OTA更新,更新完了之后直接让用户去测,测完了之后再慢慢地细化算法,再更新人机交互系统,但国内还是属于在封闭式的园区路测阶段。这是功能性的测试,我们的安全测试是上不了路的,我们的路上是在台驾阶段,是在实验室里面,把传感器拆掉,测试一下能不能被攻击。
刘健皓:现在遇到的难点应该是整车厂的整车预算里没有安全预算,安全也一下子卖不上一个很好的价钱,有一些企业安全的项目实际上都是从其他的项目里面腾出的一部分钱。像BAT和我们都比较尴尬。可是要从商机的角度来说,2018 年有一个很大的递增,早期我们开始做车联网时不太受待见,有的车厂会说车联网的安全是属于国家的,与我们无关,有的不会考虑车联网安全。到现在大家都开始知道车联网安全,意识上提升了。最早说车联网安全,别人说的是业务和自动驾驶,我们现在说的都是车联网安全,而且大家说的都差不多,车厂从高层的意识来说,只能说下面在做这块工作的时候有一定的意识,研发追责也会从其他的项目来进行。
商机不好说,如果说一个车厂把安全的预算加入到整车预算里面,这个商机是特别大的,如果不加到里面,大家做的都不是特别大。
刘健皓:也存在竞争,这个竞争得看从哪个方面说。从软件层面看,BAT或者是这之间是有竞争的,这是我们的强项。从硬件方面,假如我们要把安全的软件或者说硬件或者是BAT的硬件也做了,面临的就是以前的主机厂 tier1 和 tier2 的竞争,这种竞争是非常惨烈的。之前有竞争厂商说有什么安全的控制器想卖一个价钱,这种竞争可能会是一个爆发点。
2014年、2015年,我们基本上没有什么竞争对手,我们自己有了研究成果,车厂主动看到了研究成果,让我们给他做测试和提供防护。从2017年、2018年开始,首先是国家监管机构重视到这一块了,他们开宣传教育用户,用户反应不过来。之后用户给传统的安全厂商提了一些需求,培育了很多类似于传统信息安全的公司搞车联网。2017年这些厂商还说不懂,2018年说可以做一做,2019年他们已经有了解决方案,他们的解决方案还是从传统的安全防护角度来做,没有从车本身来,所以说跟我们的方案还是有一定的差距的,但是在2019年一定是百家争鸣的场景,各家都有安全方案,车厂有很多选择。这就是竞争的趋势,但不会太白热化,因为差距还是存在的。真正白热化应该是在 2021 年左右,2021 年可能是一个点,汽车的增长量会达到 3000 万辆,汽车市场又会热起来,到了那个点,其实车厂也会把它的网络安全预算放在整车预算里,这时就是要拼真刀真枪了,很多真金白银也会下来。现在基本上我们做的项目是 2020 年或是 2021 年发布的汽车,今年会有很多的传统网络安全厂商挤进来。
刘健皓:目前没有,而且目前我们知道的很多的传统厂商想出名,他们也会买一辆特斯拉强行找一个漏洞说我也破解了特斯拉,会有越来越多的人破解特斯拉,前赴后继地破解特斯拉。
刘健皓:360 的定位已经很清楚了,我们只做应用层和网络层的动态防护,所以像腾讯、百度都有合作点,百度是做自动驾驶的,我们完全有一些自动驾驶的合作就可以开展。腾讯主要是做内核的防护,主要是对系统的内核进行加固,这跟我们的出路不太一样,不是因为我们的技术的深度不够,是因为我们真的是不敢动系统内核,车本来就是一个高实施性的交通工具,如果系统改了出现崩溃,直接与人命相关,我们不碰这块,我们有足够的信息和能力,通过网络层和应用层可狙击攻击,各家的理念不一样。
宝马很早就开始做信息安全了,车内网络都有 PKI、证书密钥这套系统,各个 ECU 之间也可以相互认证,底层的安全启动到安全的执行环境,应用安全、网络防护都有。他们可能就喜欢这种从正向建设的安全方案,但成本非常非常高,最后可能还是用户来买单,建设方案成本非常高。我们出来的这套方案实际上 当于是找到了攻防平衡的点,能保证相对的安全。
刘健皓:现在基本上节奏就是第一年做评估,第二年是部署产品不断地深化,有一些新的用户在持续地扩展,其实国内的车厂也就这几家,跑完了就开始长期持续有一些新的需求,比如说第一年做评估,第二年做完产品之后,第三年做什么?实际上在第二年的过程中很多的车厂有自己的想法和需求会给我们,我们会给他们做一些开发和预研,车厂用了我们这套系统之后发现有很多的结合自己系统的安全防护需求,就会让我们做开放。我们也帮车厂发现了很多安全问题,比如一个车型发布了,它的车载娱乐系统非常炫酷,国外的厂商把车买过去,想把车破解掉研究,结果就被我们拦住了,这个产品对他们来讲还是非常有价值的。
刘健皓:基本上能够自负盈亏,我们团队20个人。学习可能还是比较难的,应用转正还比较难,但现在车厂的预算也的确是很少。
只是小几千万,很惨很惨。但这一块市场规模我可以说一下,中国每年新增 2800 万辆,这是去年的数字,前年也是 2800 万辆,根据 RHS 咨询机构预测,2020 年以后基本上每年保持在 3000 万辆左右,其实有50% 以上的都是联网汽车,有 1500 万辆到 2000 万辆是联网汽车,每台联网汽车大概网络安全预算能到100块钱左右,也就是一个百亿级的市场。
----一个来自编辑碎碎念的彩蛋----
为什么这次开走特斯拉的不是中国黑客代表,你猜我会怎么说?
A.破解太多不想玩了
B.实力不如别人(呵呵,只是凑个选项)
C.emmm不能说,不让玩