兩次成功入侵特斯拉自動駕駛系統,甚至可以在遠程無物理接觸的前提下操控汽車, 將特斯拉的中控大屏和液晶儀表盤更換爲自己實驗室的 Logo,並收到馬斯克親筆簽名的致謝信;遠程破解寶馬多款車型;連續五年參加國際頂級黑客大賽Pwn2Own並獲得十六個單項冠軍,斬獲三個Master of Pwn稱號,創造了世界最好成績,這到底是一個怎樣的團隊?本文,InfoQ有幸獨家採訪到創造上述事蹟的騰訊安全科恩實驗室負責人吳石,這個“全球發現漏洞最多的人”所帶領的實驗室瞄準的未來方向是什麼?
憑着“挖漏洞”拿下微軟offer,搞實驗室被騰訊收購
去微軟是因爲我當時發現的漏洞比較多,被騰訊收購是在拿下Pwn2Own(全世界最著名、獎金最豐厚的黑客大賽)冠軍之後。
在加入微軟之前,吳石在一家校辦企業工作了六年,因爲覺得繼續呆下去沒辦法實現自己的夢想就毅然辭職。
“我本身是數學系的,但對挖漏洞特別感興趣。”辭職後的吳石花了一年時間在家專職找漏洞,並將其中高價值的安全問題提交到回收安全漏洞的第三方廠商,這些廠商會利用漏洞信息制定他們的IPS規則,同時將信息與微軟等廠商共享——所謂高價值漏洞,就是影響較廣、不需要什麼前置條件、默認開啓的漏洞,比如windows漏洞、瀏覽器漏洞等。這類漏洞如果被黑客惡意利用,造成的影響是巨大的。
在這期間,吳石一個人發掘超過100個 Safari 的 CVE(“Common Vulnerabilities & Exposures”,公共漏洞和暴露)漏洞。他曾創造過單年申報微軟漏洞數量全球佔比10%、獨自發掘15個iOS漏洞的成績,這個數字甚至比同期蘋果自家研究人員發現漏洞(6個)還要多。就這樣,吳石被微軟注意到了,微軟的一位技術總監直接給了吳石一份Offer。
我對這份offer很滿意,因爲基本不限制我做任何事情,不用坐班,每年20多個可用漏洞的KPI只用一個月就能完成,還順便買了套房。
2012年,吳石受到幾位已離職的微軟同事的邀請,開始擔任keenteam的技術顧問,這是世界範圍內由廠商官方確認發現計算機漏洞數量最多、最瞭解突破現代安全保護技術的專業安全團隊之一。
“我們當時主要是希望找到蘋果手機越獄的方法,可惜這個目標沒實現,但是我們憑藉着當時的研究成果去打了一場Pwn2Own,拿到了冠軍。”
那一年的Pwn2Own,keenteam攻破了當時蘋果最新的iOS 7.0.3,成爲國內安全領域的第一個世界冠軍。獲獎當天,世界知名的安全企業法國Vupen通過推特公開祝賀(Vupen曾在多屆類似賽事中拿到冠軍),本次比賽受到了中國、美國、日本、英國、法國、韓國等媒體的高度關注,同時引起了騰訊的關注。2014年,keenteam被騰訊收購。
在此之後,keenteam迎來了兩年的獨立發展,做了很多嘗試,雖然技術過硬,但吳石坦言當時也沒什麼盈利模式,很多產品當時在市面上是可以找到雷同商品的,基本屬於很難賣出去的那種,當時的一個嘗試是在Android手機上利用漏洞獲得比較高價值的權限,防止病毒、木馬對手機做破壞,這對騰訊的手機管家特別有幫助,keenteam的相關成員也在之後不久全部被騰訊收編,成立了如今的騰訊安全科恩實驗室,吳石也正式成爲騰訊15級科學家。
從隨心所欲到正式收編,這個“全球發現漏洞最多”的男人也開始爲管理團隊操心,畢竟整個團隊聚集了很多優秀的白帽黑客,而優秀的人大抵是極具個性的。吳石表示,騰訊安全科恩實驗室內部由少量的項目管理同學和研發團隊組成,包括車聯網研發團隊、移動安全研究團隊、IoT研發團隊和傾向於基礎安全性研究的團隊,這個團隊又分爲通用軟件漏洞挖掘模式研發的團隊和研究軟件漏洞利用方案的團隊。
“一開始,我們內部成員在選擇方向上是自由的,但後來發現這樣的效果並不好,很多人大學畢業後加入騰訊安全科恩實驗室,對於研究方向是迷茫的,大多數情況下,我們會給成員一個引導,更傾向於讓他們研究一些與未來相關的領域,比如5G、物聯網安全、工業互聯網安全等,我們內部雖然有組織架構,但大家往往是跨組織互相交流,成員自發成立學習興趣小組,內部也會定期開展學習活動,由資深的研究員分享論文和成果。”
先後攻破特斯拉、寶馬,收到馬斯克親筆致謝信
雖然吳石本人在安全領域風生水起,但對大衆而言,熟知騰訊安全科恩實驗室是從他們攻擊特斯拉開始的…
2016年9月21日,騰訊安全科恩實驗室正式宣佈,他們以遠程無物理接觸的方式成功入侵了特斯拉汽車,這在全球尚屬首次。簡單來說,他們的研究人員只需坐在辦公室,就能完成對特斯拉的遠程控制。
整個過程花了兩個多月的時間,有多位研究人員參與,團隊使用一輛 2014 款 Model S P85 進行安全研究,同時還在一位朋友剛購買的新款 Model S 75D 上進行復測,兩者均安裝了最新版本固件,證明該項研究可以影響特斯拉多款車型。
此次攻擊通過特斯拉車輛的互聯網絡實現,這是他們能夠實現遠程無物理接觸的前提。理論上,全球範圍內的任意一款特斯拉車型都有可能遭遇此類攻擊,畢竟大家的系統都是同一套。
入侵成功後,騰訊安全科恩實驗室可以將特斯拉的中控大屏和液晶儀表盤更換爲實驗室 Logo,此時用戶任何觸摸操作都會失效。當然,該漏洞帶來的危害遠遠不止於這種小把戲,他們能做的事大致分爲兩類,分別是車輛停車狀態和行進狀態的遠程控制。
“這個事情其實特別簡單,我們還是keenteam的時候CEO買了輛特斯拉,被騰訊收購後這輛特斯拉作爲公司資產帶過來了,當時不想浪費,就研究了一下。”
2017年6月,整個團隊再度破解特斯拉Model X系統,遠程控制剎車、車門、後備箱,操縱車燈以及天窗。研究人員通過Wi-Fi與蜂窩連接兩種情況下均實現了對車載系統的破解,通過汽車的網絡瀏覽器來觸發計算機漏洞,發送惡意軟件,實現黑客攻擊。
“2016年的時候,我們自己做了個攻擊用的網站,通過讓特斯拉內置的瀏覽器訪問我們做好的網站就可以黑掉中屏,這僅僅是第一步,中間就是需要找一些關聯漏洞,整個攻擊鏈路比較長。2017年的情況差不多,我們做了一個僞Wi-Fi熱點,wifi自動連上後就會給一個攻擊代碼,直接通過Wi-Fi或者藍牙來攻擊整個特斯拉的系統。”
搞定特斯拉之後,整個團隊也收到了汽車工業界一些人的質疑,大意爲即便能搞定類似特斯拉這種造車新勢力,也搞不定奔馳、寶馬這種品牌。於是,吳石又帶人搞定了寶馬。
2018年5月,騰訊科恩安全實驗室的研究人員在寶馬多款車型中發現了14個安全漏洞。該研究項目時間爲2017年1月至2018年2月,隨後他們向BMW報告了這些問題,並獲得全球首個“寶馬集團數字化及IT研發技術獎”。
說實話,特斯拉還是自動駕駛圈安全係數較高的
這番操作過後,騰訊安全科恩實驗室在汽車安全領域聲名鵲起。
2019年3月29日,騰訊安全科恩實驗室(Keen Security Lab)在官方推特上發佈了一篇關於特斯拉自動駕駛安全漏洞的文章鏈接,題目是《特斯拉Autopilot的實驗性安全研究》,重點關注在視覺AI模型對抗研究、Autopilot系統架構與網絡安全等方面。以特斯拉Model S(軟件版本2018.6.1)爲對象,針對其搭載的Autopilot系統進行安全研究,騰訊安全科恩實驗室取得了以下三個研究成果。
1.雨刷的視覺識別缺陷
特斯拉Autopilot系統藉助圖像識別技術,通過識別外部天氣狀況實現自動雨刷功能。騰訊安全科恩實驗室通過研究發現,利用AI對抗樣本生成技術生成特定圖像並進行干擾時,該系統輸出了“錯誤”的識別結果,導致車輛雨刷啓動。
2.車道的視覺識別缺陷
特斯拉Autopilot系統通過識別道路交通標線,實現對車道的識別和輔助控制。騰訊安全科恩實驗室通過研究發現,在路面部署干擾信息後,可導致車輛經過時對車道線做出錯誤判斷,致使車輛駛入反向車道。
3.遙控器操控車輛行駛
利用已知漏洞在特斯拉Model S(版本2018.6.1)獲取Autopilot控制權之後,騰訊安全科恩實驗室通過實驗證明,即使Autopilot系統沒有被車主主動開啓,也可以利用Autopilot功能實現通過遊戲手柄對車輛行駛方向進行操控。
“我們團隊花了差不多一年的時間實現遠程控制,這個成本是非常高的,所以特斯拉其實是安全係數相當高的一款車,如果人機接口繼續增加(比如智能召喚功能出現)必然需要在遠端或者車上開一個服務端口,這樣肯定會增加被攻擊概率,但相對來說,特斯拉是非常安全的。”
對於自動駕駛領域的汽車安全性問題,吳石認爲關鍵要看系統複雜度,越複雜越容易出現安全問題,看似簡單的系統往往非常難以攻破,一般廠商都會模擬攻擊的方式來提高安全性,但這個工作量非常大,現在可以通過機器學習的方法來防範攻擊,但因爲是一個比較新的領域,所以大部分廠商還沒有這樣的概念,這也導致自動駕駛目前在信息安全方面比較弱。
因此,吳石帶着團隊搞出了sysAuditor,這是一款對嵌入式系統(物聯網設備、手機、汽車)進行安全基線審計的產品,採用線下私有化部署,確保客戶固件數據更強隱私保護,主要面向汽車、手機、物聯網設備製造商。車廠研發部門可以對車載系統的安全性進行檢測,對車端系統的設計、配置、編碼缺陷和安全漏洞進行自動化分析。雖然某些複雜問題或高級漏洞可能還需要安全研究員的人力介入,但“絕大多數問題都已經能夠通過平臺系統自動化完成了”。
這一次,黑客瞄準了物聯網
當黑客瞄準了某一目標時,這意味着該領域的安全問題必須要引起重視了,吳石及騰訊安全科恩實驗室的過往戰績也證明了這一點。
“自動駕駛只是一部分,我們最主要還是研究汽車這個工業產品本身的安全性,通過做這樣一個攻擊演示,讓廠商和消費者也能夠了解自動駕駛在安全上還是很有問題的,需要被高度重視。”
如今,物聯網風起,各種類型的硬件設備在可預見的未來會爆炸式增長。從PC時代到移動時代,吳石這羣人對瀏覽器、Android、iOS研究得已經足夠多了,當整個時代繼續向前,顯然到了物聯網和工業互聯網的時代。
採訪中,吳石表示隨着5G技術的成熟,業界出現了很多低成本的物聯網設備,這些設備的安全性非常有問題,而且嚴重到會影響整個互聯網的安全。一方面,設備本身擁有更多的入口和控制方式,這爲用戶帶來操作便利性的同時也形成了更多攻擊面。IoT設備的嚴重碎片化現象以及設計開發人員安全意識薄弱,都會導致出廠的固件中存在着各種各樣的漏洞。
另一方面,由於IoT本身使用的操作系統數量多,使用的架構不統一,固件格式更是因廠商而異,常見格式數以百計,同時還存在着許多廠商自行設定的特殊格式。多樣性給IoT設備帶來定製化與差異化的便捷,同時也給安全自動化檢測帶來了挑戰。
“其實很多做物聯網設備的廠商利潤很薄,自然對安全是欠考慮的,這些便宜的硬件設備存在很多安全問題,最大的問題是利用了很多非常老的開源軟件,這些軟件存在的安全問題甚至已經被公佈了,但廠商仍然沒有做修復,畢竟即便是家庭路由器的部件升級都需要花費很多時間和費用,這就導致漏洞直接曝光在互聯網上,黑客可以隨意利用。”所以,騰訊安全科恩實驗室希望解決這些安全問題。
針對此,吳石帶領的騰訊安全科恩實驗室推出了一款自動化固件安全掃描系統IoTSec,系統通過對IoT設備常見攻擊面、漏洞與安全風險模式進行建模,使用數據流、控制流以及靜態污點分析等方法,對設備固件以及固件配套的源代碼進行安全掃描。平臺提供針多種目標的掃描檢測能力,支持多種主流操作系統,支持常見主流cpu架構,在多個維度、最大化並儘量精準地識別設備中的安全風險問題並以報告的形式全面呈現並給出修復建議。
“我們之前測了大概20萬固件,因爲這些設備的格式千差萬別,一半以上基本都可以解壓成功,漏洞檢測的準確率可以達到80%到90%以上。”
要想利用機器學習的方法實現自動檢測,還必須擁有足夠多且優質的數據。吳石表示,很多廠商都會在網站提供下載升級的rom,儘管他們可能不樂意修復,所以並不主動推送,但對於嚴重的漏洞不得已也會修復,騰訊安全科恩實驗室就把這些全部進行了打包,囊括進了檢測系統。目前,該系統開通了網上的免費版https://iotsec.tencent.com/,可以免費試用。
自成立伊始,騰訊安全科恩實驗室就開始對外輸出安全能力。“那個時候,我們沒想過賺錢,就是從手機開始,想弄明白手機內部長什麼樣子,那時候是跟華爲的工程師合作,後面慢慢車聯網的客戶就多起來了,包括奧迪、寶馬、上汽集團,廣汽、東風等,再到如今的5G、物聯網,我們希望可以把積累的能力對外輸出,包括物聯網,我們還是願意以合適的價格對外提供服務。”
過去十年,吳石最感興趣並且一直在研究的方向都是動態漏洞發現,利用很多機器去跑,跑出來的結果是一個實實在在的安全問題,這還是蠻有挑戰的,對一個大型軟件而言,把所有狀態都跑一遍是不現實的,這就需要選擇合適的算法和方式。面向未來,吳石希望可以繼續加強這一部分的研究,通過將AI引入安全研究中來有效降低難度,並將這些能力和方法,比如IoTSec輸出到全國各地,也是儘可能緩解安全領域的人才缺口。
“今年行業的人才缺口大概是70萬,明年缺口要達到100萬。目前高校每年能提供的安全專業的畢業生僅5萬左右。另一個問題則是人才斷層,你可以看到‘70後’在企業乃至國家層面做安全的屈指可數,‘80後’這一代就已經有了巨大的人才斷層,因爲當時安全行業非常苦,壓根兒不掙錢,大多數高校也就沒有設立安全專業。此外,國內安全領域炒得很熱鬧,看起來人也不少,但是這麼多年下來能夠行銷全世界的安全產品幾乎沒有,被所有行業廣泛採用的安全產品也乏善可陳。”
此外,騰訊安全科恩實驗室的工業控制系統在上海松江區也已落地,工業互聯網的安全研究也將是整個實驗室未來能力輸出的一部分。
慶幸,這些頂尖的安全人員進入了騰訊安全科恩實驗室,成爲了最佳的白帽黑客。
採訪嘉賓:
吳石,騰訊安全科恩實驗室負責人
20年來一直從事網絡安全方面的研究及開發工作。曾在瀏覽器領域、PC軟件領域的漏洞挖掘取得了系列研究性創新成果。其本人領導的科恩團隊專注於移動互聯網安全、車聯網安全研究,與特斯拉、奧迪、寶馬等主流車廠建立了合作關係,爲消費者的出行安全做出了較大貢獻。吳石還注重人才的培養,先後組建的keenteam安全研究團隊、eee CTF戰隊,以及現在領導的科恩實驗室,培育出了數十位具有世界先進水平的研究員。團隊在國內、國際安全大賽均取得了卓越成績。在世界級的黑客大賽pwn2own上斬獲了3個團體冠軍,今年又在有“黑客世界盃”之稱的DEFCON CTF上拿到了總冠軍——這是中國戰隊第一次在這項國際頂級安全賽事上取得冠軍。