聽說搞物聯(lián)網(wǎng)安全的公司不賺錢，梆梆安全研究院這么說

雷鋒網(wǎng) ? 7年前掃碼分享

我是創(chuàng)始人李巖：很抱歉！給自己產(chǎn)品做個廣告，點擊進來看看。

幾個月前，一張圖片迅速在朋友圈中流傳，正常開車途中，車內(nèi)操作系統(tǒng)被鎖，智能顯示屏中出現(xiàn)紅色字體：您的車輛已被鎖定，想要解鎖請上交比特幣。

“我們都知道這張圖片是P的，但不妨礙為此擔憂，智能汽車恐怕很快會成為勒索病毒下一個攻擊對象?！卑鸢鸢踩芯吭涸洪L盧佐華對雷鋒網(wǎng)宅客頻道（微信公眾號：letshome）說道。

“It's zombie time！（僵尸時間到）”

無論是電影中被黑客一手操控脫離了駕駛者控制，啟動“自殺式”襲擊的僵尸車，還是現(xiàn)實中屢屢被黑的特斯拉、奔馳等豪車，無不反映出在某種程度上，與已經(jīng)發(fā)展多年的電腦系統(tǒng)相比，車載系統(tǒng)的安全系數(shù)難以望其項背。

因此，在智能網(wǎng)聯(lián)時代到來后，車內(nèi)網(wǎng)、車際網(wǎng)、車載移動互聯(lián)網(wǎng)這三網(wǎng)的安全問題，成為橫亙在各大車企面前的又一道難關(guān)。

綜合近年安全情報可以發(fā)現(xiàn)，黑客正在針對物聯(lián)網(wǎng)智能終端、物聯(lián)網(wǎng)控制程序（包含各類物聯(lián)網(wǎng)產(chǎn)品操控App）發(fā)起越來越多的攻擊，而其攻擊的焦點就正是包含在這些智能終端、控制程序內(nèi)部的代碼，保護程序安全、代碼安全是當今最為重要的安全任務(wù)。

作為早期的移動應(yīng)用安全服務(wù)提供商梆梆安全開始考慮將原本面向移動應(yīng)用的安全防護能力向物聯(lián)網(wǎng)領(lǐng)域延伸。基于此，2016 年 1 月梆梆安全研究院成立，研究物聯(lián)網(wǎng)及車聯(lián)網(wǎng)安全。

然而，任何開始都不會一帆風(fēng)順。

與車廠的溝通之道

前些時間有個段子說，如何才能保證一道門的安全。最理想的方式是上兩道鎖，一道智能門鎖一道傳統(tǒng)門鎖。如此一來遇到小偷雖然可以打開傳統(tǒng)門鎖卻破解不了智能門鎖，遇上黑客即使破解了智能門鎖卻打不開傳統(tǒng)門鎖。

殊不知依然存在的傳統(tǒng)門鎖，封閉了通向智能化的道路；而只使用智能門鎖的話，雖然可享受便捷多功能的服務(wù)，但也象打開潘多拉魔盒引入了災(zāi)難。

車聯(lián)網(wǎng)上需要保護的門更加繁多，如何實現(xiàn)安全？一方面，安全研究人員對網(wǎng)絡(luò)上的安全風(fēng)險了如指掌，往往拿出整套防護方案告訴車廠：hi，你的車處處漏風(fēng)。但卻不能夠結(jié)合車內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)分解闡述。

另一方面，車廠相當于傳統(tǒng)開鎖師傅，熟悉車內(nèi)結(jié)構(gòu)，提供功能安全。可當這臺車連上了網(wǎng)，一切都會變得不可控制。但車廠自認為車子很安全：why？為什么要做這些無用的防護。

為了讓他們知道真正存在的安全問題，我們要從滲透破解做起，而在此之前更為重要的是系統(tǒng)地學(xué)習(xí)車內(nèi)控制系統(tǒng)及其模塊功能。

汽車被黑客破解已經(jīng)有諸多案例，包括特斯拉、奔馳等豪車都難逃“黑手”。對于看客來說，種種破解神秘強大。

而對于安全公司而言，研究破解一輛汽車需要哪些必要條件？？

必要條件之一，車！買車？

一輛 Model S 100萬，一輛寶馬 50 萬，嚶嚶嚶，太貴了。

聽說搞物聯(lián)網(wǎng)安全的公司不賺錢，梆梆安全研究院這么說

那怎么辦？處個“對象”吧，通俗地說就是合作，大家因著共同目標走到了一起，你有車出車，我有技術(shù)出力，一起找問題打造安全門。

兩方一拍即合，北汽福田，比亞迪、宇通客車等小伙伴的車，在梆梆安全的“操刀”下進行實車測試。

必要條件之二，拿到固件程序，破解智能設(shè)備時要從其固件入手，在固件中提取程序。安全公司的破解原理與手段可能是相似的，其中有多種方式和方法，車輛可能會有不同程度的保護，如固件中加入保護機制防止外部讀取，或者固件內(nèi)部進行了加密，防止讀取數(shù)據(jù)。但的確也有不少直接暴露某一個接口且并未進行密碼保護的現(xiàn)象，這樣很容易就能提取出固件程序。

必要條件之三，還原拿到的程序，進行各種分析，查找 BUG。但破解的確需要一定的思路和靈感，這也是破解人員燒腦之處。這就是各路研究人員大PK的時候了。

記在小本本上的報告最后都要交給車廠，破解只是前期工作，真正要劃重點的是發(fā)現(xiàn)漏洞后的防御。

端管云防護 VS 車載網(wǎng)關(guān)

羊圈破了不可怕，還能亡羊補牢不是？汽車有漏洞也得補，關(guān)鍵是怎么補。

“補洞”之前先來了解一下車聯(lián)網(wǎng)架構(gòu)。

典型的物聯(lián)網(wǎng)基礎(chǔ)架構(gòu)就是“端管云”三層，智能網(wǎng)聯(lián)汽車要想很好的實現(xiàn)安全運行，也必須從“端管云”的體系架構(gòu)來實現(xiàn)安全保障。也就是說，安全防護要從多個層面進行考慮，除了汽車的自身安全，通訊以及云端安全也尤為重要。

“端”即是做端點的安全，包括認證等，主要針對車端以及App端。

盧佐華舉了一個例子，某次他們針對汽車整機的安全掃描，發(fā)現(xiàn)了IVI系統(tǒng)中存在一個缺乏安全校驗的升級接口，工作人員設(shè)計通過此接口將一款遠程木馬植入到該終端中，實現(xiàn)了通過App 遠程控制終端的效果，甚至進一步能夠通過這一App控制另一臺車。

事實上不少App端都存在漏洞，缺乏驗證，這在設(shè)計之初，甚少有人注意。只有通過各方面檢測，之后根據(jù)檢測結(jié)果進行不同解決方案的推薦，比如App的加固、App的驗證加強、App的密鑰保護措施加強，除此之外對車端也是如此，需要做相應(yīng)的控制程序加固、操控代碼混淆。

“云”即做安全存儲、安全過濾。

盧佐華告訴雷鋒網(wǎng)宅客頻道（微信公眾號：letshome），在某次針對車廠數(shù)據(jù)庫進行檢驗時他們發(fā)現(xiàn)其云端訪問授權(quán)校驗薄弱，攻擊者可以進入數(shù)據(jù)庫完全下載購買某款車型所有的用戶信息，包括姓名、電話、地址等。要知道購車人士大多具有一定經(jīng)濟能力，這些對于黑產(chǎn)而言頗具含金量的信息數(shù)據(jù)往往會被非法高價買賣。

?“管”即連接云與端之間的通訊管道的安全，讓信息能夠順利傳輸。

這里有個黑科技——白盒密鑰，往往加之以認證技術(shù)保證通訊雙方進行身份認證。????

白盒密鑰最早被用在移動支付領(lǐng)域。大概在2015年下半年，移動支付迅速發(fā)展，VISA 推動HCE支付系統(tǒng),白盒密鑰被寫在標準里用于保護密鑰和關(guān)鍵的數(shù)據(jù)。白盒密鑰系統(tǒng)適用于在沒有硬件安全芯片的時候，提供對密鑰的保護，防止針對密鑰的提取攻擊。

在目前階段，物聯(lián)網(wǎng)和車聯(lián)網(wǎng)系統(tǒng)往往缺乏安全芯片的集成，密鑰缺乏強壯的保護，而一點密鑰被破解的后果，往往就可能導(dǎo)致整個安全防御系統(tǒng)的失效。既然這個黑科技那么好用，能不能把它“乾坤大挪移”移到智能設(shè)備中去？

當然不能簡單挪用，要知道為了適應(yīng)銀行安全性需要，這一密鑰大小約在 2M 以內(nèi)，但在車聯(lián)網(wǎng)保護系統(tǒng)中，若要實現(xiàn)“一車一密”，需對密鑰白盒進行優(yōu)化升級。

困難的是，車載系統(tǒng)總空間往往很小，有的才512K，上面還要跑業(yè)務(wù)系統(tǒng)，留給安全機制、留給白盒密鑰的空間非常小。

“我們的目標是把白盒密鑰壓縮至100k以內(nèi)!，經(jīng)過科研人員的長期攻關(guān)，這個目標現(xiàn)在已經(jīng)達成了！”

100K大概有多大呢？以下這張動圖大小為600K……

聽說搞物聯(lián)網(wǎng)安全的公司不賺錢，梆梆安全研究院這么說

壓縮密鑰是否會降低安全性？這是個略帶尖銳的問題。

事實上，安全性與便利性總處于博弈，尋找安全措施與反應(yīng)速度之間的平衡點變得至關(guān)重要。

汽車系統(tǒng)中的總線連接各ECU，其通訊既無認證也無加密，很容易受到黑客攻擊。但若在通訊中加上某些認證及加密技術(shù)，就會降低車的敏感度，產(chǎn)生不可控的延遲，反而增加了車輛的危險度。

是否可以在網(wǎng)關(guān)層面采取措施？盧佐華開始思考。

還記得 2016 年在美國拉斯維加斯召開的黑帽大會上，黑客 Charlie Miller和Chris Valasek?攻擊了?2014 款的 Jeep 吉普切諾基的電子控制單元，通過將其中一個單元設(shè)置為維護模式并使用另一個單元發(fā)送假命令從而禁用電子控制單元。同時還能設(shè)置巡航控制速度，但司機能通過踩剎車控制車輛。

一個接口連接兩個 CAN 總線，對其攻擊就能跨越，在車內(nèi)傳播。但如果有車載網(wǎng)關(guān)，起碼可以做到最初的隔離，使得針對總線間的攻擊、傳播變得困難。

另一個例子是黑客曾針對特斯拉攻擊其內(nèi)部網(wǎng)關(guān)某一固件漏洞，進而實現(xiàn)對汽車操控。這說明網(wǎng)關(guān)自身安全性沒有得到保證，所以在做車載網(wǎng)關(guān)時有兩方面要考慮。

其一，從針對車整體攻擊來看，車載網(wǎng)關(guān)需要集成包括用戶信息認證管理、ECU 升級以及協(xié)議轉(zhuǎn)換等眾多安全過濾功能。

其二，車載網(wǎng)關(guān)作為汽車部件，也會受到直接攻擊，如物件提取、側(cè)信道攻擊、密鑰提取等。它應(yīng)該如何保護自身？盧佐華提出了微邊界多重防御體系。

“智能汽車也是一個完整的網(wǎng)絡(luò)系統(tǒng)，從網(wǎng)關(guān)、網(wǎng)絡(luò)到系統(tǒng)，再到它的應(yīng)用程序、密碼及數(shù)據(jù)，每一層都會有一個微小邊界，我們需要建立微邊界防護體系，也就是進行更細力度的保護。這就類似于互聯(lián)網(wǎng)的防護模式，從防火墻、服務(wù)器防御，以及針對 PC 端防御等層層遞進。同樣，在車聯(lián)網(wǎng)內(nèi)，需要做邊界防護、系統(tǒng)防護、程序防護、數(shù)據(jù)和密鑰的防護。”