*本文经授权转载自车云网,演讲者为腾讯科恩实验室总监吕一平。科恩实验室曾多次破解特斯拉汽车,并进入了特斯拉安全研究员名人堂。Elon Musk 本人发亲笔信致谢科恩实验室。
以下为演讲正文:
大家好!今天我觉得借着这个机会跟大家分享一下,比如说行业标准要怎么做?我们的安全体系该怎么建?我们应该采用哪些安全的新技术?
今天我们来看一看,我们汽车行业应该来用什么样的态度面对信息安全带来的挑战。因为我们是有实际案例的,就是说我们做特斯拉以后,我们有很多收获,不光是技术上的收获,而且我们有了很多对行业的理解,包括行业发展可能面临的挑战该怎么样解决。
腾讯科恩实验室总监吕一平
其实,我相信特斯拉是全球做得最好的,今年 7 月底我们会参加美国全球最大的安全会议,然后我们在会议上会完整地攻破整个特斯拉所有的攻击器件,这也是在争得特斯拉的许可情况下在做的。然后我们跟特斯拉做了以后有哪些启示呢?一些车企怎么面对信息安全的问题?
第一个,我相信咱们国内车企都会做信息安全课题。特斯拉 CTO 和 CEO 站起来对媒体讲你们做的很好,帮助我们面对了安全问题,这是闭门的会议。我觉得面对问题挡是挡不住的,你还是要有正确的态度去面对这个事情。
第二个,面向未来,车企要有自己专注于信息安全的团队。信息安全团队从哪里来?信息安全团队都是 Google、苹果、微软做软件跟互联网安全的专家被招聘到特斯拉,在特斯拉建立了一个 40 人左右专业团队在做这件事情,这个也是目前在国内,我相信还有国际上面大部分的汽车 OEM 还不具备这样的专业团队和能力。所以我觉得这个也是特斯拉的一个特色。
我们另外可以看一下特斯拉在做安全响应时的速度到底有多快。第一个,我们在给特斯拉发了说我们有漏洞报告要给你们披露以后,他们 1.5 个小时给了我们第一个响应。刚才其实大家都在讲 OTA,的确目前 OTA 做的最好的就是特斯拉,特斯拉 3 天就更新了 90% 的特斯拉车辆,而且特斯拉还因为我们的报告,更新了一套新的签名验证机制。
我们反观一下 2015 年 Jeep 品牌的案例。对比一下对于特斯拉来讲,整个处理安全事件除了人以外没有其他的成本,代价还是相对来讲比较小的。但是你知道 FCA 帮它估算了一下在北美招回的汽车带来的成本达到了 2 亿美金,然后它还被美国交通安全管理局罚了接近 2 亿美金,所以接近 4 亿美金左右。大家看这个差距就在一个引用了新技术以后带来的新机遇,其实你有机遇去可以把原来巨大无比的成本降的很低。
第三个,特斯拉对我们有奖励。第一个我们是上了特斯拉官网的,我们是特斯拉 2016 年信息安全名人堂入选的团队,第二个他们给了我们 4 万美金的奖金。第三个是给了我们勋章,下面是钢铁侠亲自给我们签名的认可信。所以你看特斯拉作为 OEM 怎么来做,信息安全响应带来负面危害和攻关危险上面怎么处理的,我觉得处理的都还是很好。
今后,智能网联汽车不光是车本身了,它还包括了车周边。比如说对于新能源车来讲包括充电桩,充电桩今后也是通过近场和无线的方式是可以连接车的,充电桩也会和互联网连接把数据传到云端去,包括自动驾驶,智能驾驶 ADAS 模块,最后我们也在跟国际主流的 ADAS 产品做研究了,这个是我们现在在做的事情。然后包括就是今后再长远一点比如说 V2X,等到路面的传感器和交通系统真的能够是和网联汽车做交互的时候也是存在的攻击点。
前天我跟蔚来汽车的李斌吃饭在聊,他提出了几个观点,自动驾驶或者说无人驾驶有一个必要条件:驾驶座位上没有人不允许车辆自动驾驶,这一点无论如何要做到。如果驾驶座位没有人的话就有可能变成僵尸车了,这个也是在今后法律法规重点考虑的。
第四个思考就是 OTA 层面的安全问题。刚刚各位嘉宾都讲了 OTA 这个事情,我们在特斯拉案例也看到了,有一个非常完善的对整个车的固件,这对安全的防护效果其实是非常好的一个途径和技术手段。但是同样的这里面还存在另外一个问题,OTA 本身的安全性也很重要,我们举一个很简单的例子,如果 OTA 升级的固件包是被篡改过带恶意代码的,固件被刷进了网关,被刷进了 ECU 里面去。其实没有发挥安全升级的作用,反而造成了信息安全问题。
给大家再讲个段子,我们刷了特斯拉网关部件,然后我们刷完以后去做路测,我们自己的部件在特斯拉网络里面跑了 300 公里而且非常稳定。所以说 OTA 这是今后在网联汽车一个必须的技术和功能,但是 OTA 本身的安全性其实也是需要重点关注的。
在座有可能是黑客,我们跟国内 OEM 合作了,评估了很多 OEM 车载终端的产品,包括了 T-box,我们都看了。所有 OEM 在我们递交给他们安全报告测试报告以后,第一个反馈是说你们对供应商模块的理解比我们还深入,因为我们真的是把供应商模块固件导出来做了完整的逆向,把所有的代码挖掘出来看怎么做的,然后我们发现很大的问题:
供应商模块对于 OEM 厂商讲它是黑盒子!
这里面有一个更严重的问题是什么?我相信你们都知道这件事,供应商会在模块留一些工程调试接口,从安全角度来讲这个就是后门。然后我们看了好几款车的供应商模块,都存在这样的调试接口,这样的调试接口权限又非常高,直接可以拿到系统的直接权限,这样的接口非常危险的,但特斯拉不存在这样的问题。像 Jeep 自由光被攻破,他们车机的问题就是调试接口所造成的问题。
第五个这个我觉得就是说作为一个汽车行业的企业,不管你是 OEM 还是 Tier1,有一点最重要的是安全能力要自建,绝对不是靠供应商帮你解决问题。我们看到做得比较好的特斯拉的确是有自己独立的安全团队在,像腾讯马化腾曾经讲过一句话,安全是国防,安全不用雇佣军,就是安全这个能力一定是自己建设。所以说必须要有安全专业团队,我们很高兴的看到跟我们合作的几个 OEM 现在已经开始在招或者已经有专职做信息安全的工程师或者工程团队在跟我们对接了。然后他们对这个安全理解度就会非常的好,然后给我们配合的很好。
此外,关于安全团队自建,还需要考虑以下几个问题:
安全工程方法:要有安全开发周期,这是非常好的安全工程方法,能够做到安全的代码开发,保证这个开发商代码不会存在一些比较容易被攻击利用的一些点。所以说我觉得这个也是很重要,而且在我们的安全专业理念里面,在整个产品的生命周期里设计阶段和研发阶段消灭的问题越多代价越小,产品发布以后再去解决安全问题,打补丁成本已经非常高了。
安全保护技术:不管是虚拟化,不管是TE保护机制都对,但是我这边其实想讲一个观点,就是安全要从两个维度来看,一个是架构设置问题,一个叫做具体的代码实现维度。就是 TE 从架构,比如说基于应用概念手机上率先被用起来了,就是架构设计本身的确是安全了,但是我们在过去几年攻破过数个智能手机的 TE 模块,就是说你这个架构本身安全了,但是你在整个架构实现的过程当中,因为它本身还是个软件实现的东西。你在实现过程中出现问题的话,它还是会造成安全性隐患,所以这个也是大家关注的,为此我们引入了安全保护技术,但是安全保护技术本身的安全性也是要保障的,本来你是一把锁,结果这把锁本身出现了问题,它反而成了一个可以被利用做攻击的点。
管理和流程:最近有几个供应商在找我们,为什么?因为我们在帮一家很大的 OEM 在做安全要求,对供应商的要求是成立安全响应团队,不能少于 3 人,这 3 个人列表里面必须有一个人级别到什么什么程度,接到 OEM 电话以后快速响应,这是我们在建的一些,你会看到会有越来越多的 OEM 对供应商有这样的要求。
OEM 自己在内部也会建立这样的体系去确保信息安全,刚刚几位嘉宾都讲到安全一点攻破,实际上是一点攻破全盘皆输,所以对车来讲涉及到 OEM 内部各个部门之间的协作。举个例子 EE 部门和 IT 部门,一个负责技术一个管理车载,到底出了问题是哪个团队的?传统车企里面分离开了各个部门,这些各个部门遇到问题的时候怎么协作?目前来讲没有很好的管理经验存在,这也是需要行业去界定的。
车联网是个系统工程,事前感知,事后防御分析。我们跟腾讯内部包括腾讯云做了整合方式。目前科恩是给汽车一些 OEM 包括 Tier1 供应商都是提供安全咨询和安全测试这方面一些服务的。举几个例子:像通用我们在测试阶段做的很深入,蔚来在设计阶段包括供应商选择阶段都已经介入了,我们会帮他选安全的供应商,会帮他选安全的通讯,安全的技术去整合到他整个车里面去。
你看整个安全的管理,它其实不光在研发阶段要关注,设计、研发、测试,包括产品上市以后其实都要关注安全性。这个就是目前来讲,我们科恩实验室面向汽车的 OEM,为 Tier 1 提供的咨询服务和测试服务,如果大家有兴趣的话我们可以做一些交流,譬如我们做安全测试的一些功能方法怎么做的,包括静态的、动态的,模块设施的,基本上我们都会有一个比较成熟的一套测试的技术框架,我们会对接到汽车的平台上来,然后帮助来做汽车产品安全性的评估跟测试。
眼下,我们和腾讯云端有合作的防护方案,包括科恩的一些服务方案我们也是一一打包提供给车企的,这边要讲一点,在车载端并没有看到市面上有特别好的防护方案,我举几个例子:
我们过去几年看过几个 OEM 的方案里面有用安全芯片的,比如说把证书放到芯片里去做的,然后安全芯片最后还是能够被我们突破,所以有很多是说硬件安全决胜论是不存在的,因为硬件里面的固件也是。然后包括有一些车企也上了一些防护的手段,但是这些防护手段本身就是供应商提供的,然后这个也需要去评估测试模块的安全性。如果各位要关注车载安全,机会在车端,车端的碎片化很严重,怎么做?只能是定制化开发,但根据每家 OEM 定制的工作量其实也很大,这个是很大的挑战。
最后讲一个,这个就是说现在很多汽车行业的企业,他们还觉得信息安全是个额外的成本。但是我认为这种趋势会变化,再过几年可能就跟软件、跟互联网行业一样,信息安全会成为研发成本很重要的一部分,而不是额外的成本。
在我们考虑汽车产品研发的过程当中,我们需要把信息安全作为必要的部分放在整个汽车研发预算和规划里面,这个才是一个正确的做法。我们看到现在我们合作的几家 OEM 现在都在这么做了,都在按照车型做几年安全预算包括项目的一些规划,我觉得这个其实已经在做了。但也希望可能更多车企能够考虑到这一点,因为我们现在很多车企还是在说:
科恩的条件很好,我们希望跟你们合作,但是我们今年没有预算能不能明年开始做?
我认为这个趋势会做一些转化。
可以额外引申一点我个人的总结,汽车行业有 4S 的概念,我们是做信息安全的,我个人提了一个 4C 的概念,我们怎么跟汽车行业去合作。我们有一个很重要的东西,第一个像今天这样的会是很好的机会我们把沟通做好,第一个 C。
然后我们也都需要跨一下界,很高兴的看到肖总你们也在了解信息安全,也在考虑主动安全,被动安全,这是非常好的一个汽车行业跨界再了解我们,其实我们在做的跨界了解汽车行业,我们在做同样的事情,但是大家跨下界相互的理解度更高一些。
第三个 C 是合作,在目前阶段我们的评估现在汽车行业自身能力还不足以去抵御未来强悍的安全问题,它实际上还是有合作的,大家配合解决安全的问题。
第四个 C 最后是融合,你中有我我中有你,汽车行业里面也有做信息安全的专家,信息安全里面有做汽车的专家,这才是最佳、最理想的一个状态。
原文始发于微信公众号( 42号车库 ):腾讯吕一平:从入侵特斯拉引发的几点思考
