安基网 首页 资讯 安全报 查看内容

“白帽黑客”吴石:为什么要对特斯拉发动“攻击”?

2020-3-18 18:15| 投稿: |来自:


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 对于这位“全球发现漏洞最多的人”来说,眼下最大的考验,是如何把团队里智商过人且极具个性和韧性的黑客们管理好,捏合成一个善于合作战斗的团队。文 | 徐可“白帽黑客”吴石2019年3月29日,腾讯科恩实验室(Keen S ...
对于这位“全球发现漏洞最多的人”来说,眼下最大的考验,是如何把团队里智商过人且极具个性和韧性的黑客们管理好,捏合成一个善于合作战斗的团队。

文 | 徐可

“白帽黑客”吴石

2019年3月29日,腾讯科恩实验室(Keen Security Lab)在官方推特上发布了一篇关于特斯拉自动驾驶安全漏洞的文章链接,题目是《特斯拉Autopilot的实验性安全研究》。几天之后,马斯克在这条推特下面点赞并留言:“Solid work by Keen, as usual”,彭博社等国外媒体纷纷转载这条新闻,科恩实验室在汽车安全领域声誉鹊起。现任腾讯科恩实验室负责人吴石也是一位国际顶级的“白帽黑客”。

说起汽车安全,就一定要说起另一位大名鼎鼎的黑客查理·米勒(Charlie Miller)。

2015年查理·米勒和克里斯·瓦拉塞克(Chris Valasek)向人们展示了如何成功远程控制一辆正在行驶的Jeep自由光。在侵入Uconnect车载系统之后,他们通过软件远程向该系统发送指令,启动汽车上的各种功能,包括减速、关闭发动机、车辆制动或者使车辆制动失灵等,并在2016年的黑帽(Black Hat USA)大会上公布了这次成功的入侵。

这一测试震动了整个汽车界,迫使Jeep母公司召回了140万辆汽车,并对汽车的车载软件进行升级,修复漏洞。但次年,查理·米勒和克里斯·瓦拉塞克再次入侵了2014款的Jeep切诺基,这次是通过入侵CAN总线,以物理连接的方式侵入了汽车驾驶系统。这两次不可思议的入侵引起了人们对汽车安全的重视。

查理·米勒和克里斯·瓦拉塞克(Chris Valasek)展示那次著名的入侵。

与米勒和瓦拉塞克不同,科恩实验室更多瞄准了视觉AI模型对抗研究,以及自动驾驶系统架构与网络安全等方面更前沿的领域。以特斯拉Model S(软件版本2018.6.1)为对象,他们针对其搭载的自动驾驶系统进行安全研究。其中一项是针对特斯拉Model S的自动雨刷。

特斯拉自动驾驶系统借助图像识别技术,通过识别外部天气状况实现自动雨刷功能。科恩实验室利用AI对抗样本生成技术,生成特定图像并进行干扰时,使该系统输出了“错误”的识别结果,导致车辆雨刷启动。

另一项成果是针对特斯拉自动驾驶系统识别道路交通标志线的攻击。在路面部署干扰信息后,可导致特斯拉Model S经过时对车道线做出错误判断,致使车辆驶入逆行车道。第三项成果是利用已知漏洞获取了特斯拉Model S的控制权,通过游戏手柄就可对车辆行驶方向进行控制。正是这三项成果,引来了马斯克的点赞。

科恩实验室找到了特斯拉自动雨刷功能视觉神经网络的安全漏洞。

在加入腾讯之前,吴石曾经在微软工作多年,主要工作是为微软的产品寻找安全漏洞。本来一年的工作量,吴石只用了一个月就完成了。他甚至不需要去办公室坐班。于是,这位行业内著名的“白帽黑客”被奉为神一般的存在,是个圈内人尽皆知的被比尔·盖茨点赞的天才。

从外表看,戴着眼镜,爱穿格子衫的吴石显得有些大智若愚,他并不认为自己是什么“天才”。

吴石说:“在安全研究这个行业,你能做得好,那肯定是说你有一些与众不同的特质。第一个肯定是你要追求极致,追求极致的意思就是你肯定不能遇到一点困难就掉头。”

吴石曾被《福布斯》杂志评为“全球发现漏洞最多的人”,曾连续三年获得ZDI全球漏洞计算机挖掘白金贡献奖,入选了Google安全名人堂;同时也是全球顶级黑帽成果Pwnies奖第一个被提名的中国人。

他还率领科恩实验室在2013年至2017年,连续五年参加国际顶级黑客大赛Pwn2Own并获得十六个单项冠军,斩获三个Master of Pwn称号,创造了世界最好成绩。

吴石坦言,和早年单打独斗、破解安全漏洞的神仙日子不同,他眼下最大的考验,是如何把团队里智商过人且极具个性和韧性的黑客们管理好,捏合成一个善于合作战斗的团队。

科恩实验室利用已知漏洞获取了特斯拉Model S的控制权,通过游戏手柄就可对车辆行驶方向进行控制。

01

打造腾讯的安全名片,当好产业助手

除了科恩实验室的定位针对主流操作系统、互联网和移动互联网应用及物联网设备的安全研究,腾讯还打造了由玄武实验室、湛泸实验室、云鼎实验室、反病毒实验室、反诈骗实验室、移动安全实验室七大实验室组成的联合安全实验室矩阵,是国内首个互联网安全实验室矩阵,汇聚国际最顶尖的白帽黑客,专注安全技术研究和安全攻防体系搭建,安全防范和保障范围涵盖连接、系统、应用、信息、设备、云六大互联网关键领域。

据吴石介绍,科恩实验室早期在腾讯内部,帮助手机管家、微信、QQ浏览器等产品提高安全性能,也高效地针对腾讯开发的各种安卓类手机应用进行安全检测,帮助构筑起了腾讯系产品的安全护城河。

近年来,随着更多ICT新技术进入产业互联网,科恩实验室开始积极在人工智能算法和技术框架安全、AI机器学习与融合以及5G、物联网等新维度上的前沿研究布局。

除此之外,科恩也将安全能力以及丰富的渗透测试经验固化成安全产品,进一步提升自动化扫描和审计安全问题效率,例如面向攻击面的Android应用自动化检测系统ApkPecker、IoT固件安全自动化检测系统IoTSec、Web安全自动化扫描工具WebScanner、嵌入式系统自动化审计渗透测试工具sysAuditor等。

同时,科恩还在积极地对外输出安全能力。

2017年1月至2018年2月,科恩实验室的研究专家针对不同宝马车型进行了全面测试,经过13个月的努力,研究团队将研究成果反馈给宝马集团,包括14个不同的安全问题。宝马集团汽车安全团队第一时间进行内部核实,并联系科恩实验室确认了所有问题,同时启动了解决方案的开发工作。

2018年5月,宝马集团授予科恩实验室首个“宝马集团数字化及IT研发技术奖”,以表彰他们在促进汽车安全领域所进行的杰出研究。宝马集团认为,此项研究是迄今为止由第三方机构对宝马集团车辆进行的最全面、最复杂的测试,被认为是智能网联汽车安全一大里程碑事件。

通过特斯拉、宝马两个案例,科恩实验室在汽车行业里面已经建立了非常高的知名度。车企通过科恩实验室的安全检测,不仅消除了安全隐患,更成为车型安全性的背书。

“通过我们的能力,能够在汽车安全这个行业里建立腾讯的品牌。由此,我们就能够占据一个入口,通过安全这个入口,可以不断满足汽车企业其他的需要。”

以车联网为例,2019年开始,互联网、通信等科技企业开始大举进入车联网领域。5月,腾讯在全球数字生态大会上发布了5G车路协同开源平台。随后阿里通过收购的方式介入智慧交通领域,而华为则以参加上海车展的方式,宣布进入V2X生态圈。

无论是车路协同还是单车智能,其应用越广泛,安全的重要性也就越发突出。随着图像识别技术在汽车行业、尤其是在自动驾驶领域中的广泛应用,吴石和他领导的科恩实验室所做的工作重要性不言而喻。

“自动驾驶只是其中的一部分,我们最主要还是研究汽车这个工业产品本身的安全性,目前来说我们和宝马、奥迪都有合作,帮助它们提高车辆的安全性。上汽、长安、北汽这些国内最主流的汽车厂商和我们也都有合作”,吴石说。

吴石这样总结在自动驾驶领域进行攻击演示的意义,“通过去做这样的一个攻击演示,让厂商和消费者也能够了解自动驾驶在安全上还是很有问题的,需要被高度重视的。”

具体而言,自动驾驶领域采用的是深度学习技术,自动给可能会出现在真实场景中的物体图片做分类。但是,所识别的图片对应成真实场景中的物体,具有很高的难度。深度学习总结出的这些规则,也需要得到严格的验证。吴石认为,目前对自动驾驶系统做攻击相对来说比较容易。

科恩除了针对AI本身的安全问题进行研究,也在利用AI手段来解决安全问题。

随着物联网的普及,不同厂商、不同功能的硬件数量以数百万计。对于写入每个硬件中的固件,是无法一个一个做安全检测的。而且这些产品往往不会有源码提供,只能通过逆向工程获取固件的信息,这个信息也是海量的。处理这类问题只能使用AI的方法,来识别其中是否存在安全漏洞。

“比如,科恩产品IoTSec 通过集成AI安全能力来解决安全问题。这个产品最主要的功能就是你给它一个固件,也就是一个二进制的软件,通过AI的算法匹配,会告诉你这个软件存在哪些问题。目前很多厂商都有兴趣采购这个产品。”吴石说。

除了具体车型的安全测试,吴石和科恩实验室在车联网安全标准方面也开展了很多工作,也参与到一些国家相关标准制定工作中。

“车联安全主要关乎整个车载网络的接收部分,包括中控电脑中的控制系统,未来都需要依据安全标准,产品都要经过安全测试才能上市,这会是一个常态。”

02

5G时代的安全难题

5G提前两年开始在我国商用,它所带来的安全问题,也是吴石和他的团队关注的领域。

“首先是5G的速度更快了。如果出现安全事故需要更快的响应,否则很可能在一个非常短的时间造成大范围的蔓延。”

其次是5G在物联网、车联网场景中的应用。“5G的前端应用是手机,但后面会涉及整个物联网,包括一些国家的基础设施。如果能通过远程的方式入侵,会对国家安全造成很大的影响。然后就是自动驾驶车联网的安全,也会造成人身伤害。”

吴石团队在5G安全方面的研究成果,也已经初步开始对外赋能。比如,科恩实验室正在与OPPO合作,加强安卓系统、手机基带以及应用商店的安全性。

谈到5G时代安全领域的挑战,吴石首先提到的就是巨大的人才缺口。

吴石说,“今年行业的人才缺口大概是70万,明年缺口要达到100万。目前高校每年能提供的安全专业的毕业生仅5万左右。”

另一个问题则是人才断层。“你可以看到‘70后’在企业乃至国家层面做安全的屈指可数。‘80后’这一代就已经有了巨大的人才断层,因为当时安全行业非常苦,压根儿不挣钱,大多数高校也就没有设立安全专业。”

谈到安全工程师的平均技术水平,吴石指出,相对美国、以色列、俄罗斯这些素来重视安全的国家,国内整体水平依然偏低。“国内安全领域炒得很热闹,看起来人也不少,但是这么多年下来能够行销全世界的安全产品几乎没有,被所有行业广泛采用的安全产品也乏善可陈。”

对标国际趋势,吴石说,未来中小企业通过上云就可以获得安全能力。云的市场占有率也会越来越大,云安全相对来说市场竞争力会越来越大,而独立的安全软件厂商将很难存活。

除了需要国家更加重视培养安全领域的人才,现有专业人才也要通过不断转型才能跟得上技术演进的步伐。

吴石以自己为例,“以前我在微软是专注于 PC Windows 的安全,来到腾讯之后转做安卓和IOS移动应用的安全。现在还在做车联网、物联网安全,其实我一直在转型。”

在采访的最后,吴石说,“入行最开始那10年,我通过自己的努力,让自己成为了一个世界一流的网络安全研究员、信息安全研究员。后来我通过努力带出来一个世界一流的安全团队,我觉得这是让我最骄傲的事情。”



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://new.qq.com/omn/20200318/20200318A0AA5600.html

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

相关阅读

最新评论

 最新
返回顶部
极速赛车彩票有假吗 内蒙古11选5 极速赛车彩票走势图 河北快3 极速赛车开奖记录视频 8828彩票计划群 广发彩票计划群 广西快3计划 88彩票计划群 上海11选5开奖