騰訊科技訊 10月10日至10月11日,由騰訊安全發起、騰訊安全科恩實驗室與騰訊安全平台部聯合主辦,騰訊安全學院協辦的2018騰訊安全國際技術峰會(TenSec2018)在深圳順利舉辦。
作為前沿技術安全研究團隊代表,騰訊安全平台部總監、Tencent Blade Team負責人胡珀在會上進行了分享。Tencent Blade Team近年來在智能設備安全研究方面積累了大量成果,包括發現首個谷歌TensorFlow AI框架漏洞、遠程操控智能家居與商業樓宇、破解亞馬遜智能音箱Echo等。在胡珀看來,到了物聯網時代,被黑客攻擊,帶來的問題不單只是損失資料或財產,還很可能危害生命安全,而Tencent Blade Team的研究工作正是對IOT領域安全問題的事前布局和未雨綢繆。
同時,胡珀也向參會嘉賓介紹了騰訊Tsrc平台漏洞獎勵計劃。騰訊Tsrc作為全國首家企業自建的漏洞提交平台,通過獎勵反饋系統漏洞的安全研究人員(俗稱“白帽子”),逐漸搭建出一個健康運轉、良性循環的生態系統,與“白帽子”們一同捍衛全球億萬用戶安全。
以下為胡珀發言全文:
胡珀:非常高興今天能到講台上跟大家分享騰訊安全平台部在IOT安全方面的工作,也非常榮幸。先做一個自我介紹,我是胡珀(外號lake2),在騰訊安全平台部負責運維安全領域,簡單來說就是負責黑客攻防對抗。2007年加入騰訊安全平台部後,我一直在從事騰訊平台的安全工作。2007年到2010年,這段時間我們重點放在網址檢測、數據保護、反入侵,尤其是IDC的黑客入侵,以及漏洞的發現和檢查等。但隨著互聯網的發展,智能家居、智慧樓宇等大範圍進入我們的生活,物聯網產業、IoT智能設備迎來巨大發展,這塊的安全問題在未來是非常重要的。
過去系統被黑客攻擊,頂多是損失資料。到了支付時代,損失的可能是真金白銀。到了物聯網時代,很可能危害生命安全。如果黑客控制了物聯網設備,很可能會對我們的生命帶來威脅。今天我主要講的就是騰訊安全Blade團隊對智能安全方面的研究工作。
Tencnet Blade Team成軍於去年,目前主要聚焦在AI安全、IOT、移動設備安全這塊,大家也可以去我們的官網blade.tencent.com了解我們的研究成果。這次演講的大概框架是四方面。第一,介紹IOT時代。第二,介紹Tencent Blade Team的研究成果。第三,作為設備廠商怎麽保證新興產品的安全,怎麽來做供應鏈。第四,總結。
首先說一下IOT時代。智能手機剛普及時,可能我們從來沒有想過,幾年之後居然還有越來越多的智能設備出現,從路由器、智能攝影頭、智能樓宇、智能家居等等,數不勝數。
但智能設備的安全問題也確實不容忽視。從我們的經驗來看,傳統商場以前黑客很難接觸到,但一旦設備聯網之後,全球的黑客都可以嘗試進行攻擊,就容易出問題。就像看到現在新聞裡說的,路由器被黑客利用,裝上木馬攻擊別人。從2008年開始,這種黑客攻擊事件愈演愈烈。
我們對去年騰訊DDoS數據進行了分析,PC及傳統設備的攻擊率是84%,新興IOT設備的攻擊率是16%。現在有大量的IOT設備可以上網,但對安全的重視不足,存在許多漏洞,導致大量設備被黑客控制進行攻擊,趨勢明顯增加,大家有興趣可以關注我們今年年底的行業報告,有大量的攝影頭、路由器都被拿來做DooS攻擊。
同時,從這些案例和數據當中,我們也能由點到面分析出全局形式。智能設備的鏈路經過演變,基本形成了穩定的架構。IOT設備可以用手機APP控制,在雲端可能有互動,儲存數據,通過雲端下發指令。如果它出了問題,第一,手機APP可能會出問題;第二,IOT設備本身會被黑客控制;第三,雲端出問題,可能是傳統的黑客攻擊,比如有一個命令注入,黑客就可以黑掉,然後逐步控制設備。
另外比較重要的是APP和IOT設備之間,或者IOT設備和雲之間,通信協定也可能有問題,黑客可以通過流量劫持監管權限,我們分析的情況就是這樣的,接下來我講述的第二部分,Tencent Blade Team的研究成果裡,很多案例都是基於這個架構發現的問題。
第一個案例,2014年有一個智能插座,可以用手機APP控制插座的開和關,還可以定時,有一系列的智能功能。但實際在測試過程中我們發現,通信協定有問題,簡單來說就是認證有問題,要直接通過網絡傳輸,只要我知道這個設備鏈接地址,就可以隨意控制拿到權限,這個其實是有傳輸問題。
第二個案例,這是2015年的研究,可以通過手機APP控制烤箱的溫度和時間。我們對烤箱進行分析,發現它也存在兩個問題,一個是把密鑰直接寫在程式裡,對APP進行立項。傳輸是明文的,拿到密鑰就可以解開指令,用自己的指令控制它。還有一個邏輯問題,只要把傳輸控制溫度傳過去,就可以繞開溫度限制,使烤箱使用達到溫度極限。當然我們具體沒有進行測試,但烤箱如果空轉,溫度非常高,可能會導致機器的爆炸,這其實就是智能設備影響人身安全的案例。
還有POS機,這也是2015年的事。那時在線支付還沒有那麽先進,當時會用手機加上POS機的形式來刷卡。比較有意思的是,我們對比較火的POS機進行了分析,直接把包拿下來,就可以把包解開把參數改掉,比如轉一塊錢,可以改成轉一萬塊錢,账號也可以改掉。只要他在這個POS機上刷過卡,我就可以把所有的錢轉到自己的账號上,這就是一個真金白銀的案例。
還有智能攝影頭,現在很多的攝影頭可能是通過Wifi把信號存儲到雲端,再通過一些設備回看和回放。實際它在這個過程中也會存在問題,比如做中間的劫持,把原有的影片信號替換掉,或者是提前錄一段沒有異常的影片。這個圖就是把攝影頭投到手機裡,但實際我被中間人劫持攻擊了,直接把影片的信號替換掉,把QQ公仔就給換掉了。當時我們測了,市面上大部分的產品都有這種問題,也報給了廠商進行修複。
這個是無人機的案例,我們對當時國內某品牌無人機進行了分析,發現可以拿到協定並破解協定實現控制。我們的同事就做了一個無線電發射器,繞過該品牌無人機的防護。只要這個設備靠近無人機,機器就不會聽機主的指令。當時我們也做了演示,其實就是無線電的信號劫持。
還有剛剛講的Tencent Blade Team對智能樓宇的研究。現在的樓宇跟傳統樓宇不一樣,裡面的電力、水、風、光都可以通過APP或入口端進行控制。這種智能樓宇方便管理、很強大,甚至可以自己進行編程,比如遇到什麽觸發條件就可以自動執行某些動作,方便的同時也會帶來很大的問題,我們對騰訊最新的大樓——騰訊濱海大廈做了一個安全測試。濱海大廈裡面IOT設備超過40多種,IOT節點也非常多,但我們分析,這個大廈使用的某品牌智能樓宇框架存在漏洞。後來我們把幾個廠商拿來分析了一下,有一些問題,用了口令加密,甚至還有不加密的,還有不安全的重新加入機制,還可以使用舊版協定,這個也容易被破解,這些問題大部分我們都報給廠商進行了修複,
為了方便測試,我們結合了網上開源的一些測試工具進行了比較,現在的工具還不是特別完善,後續產品穩定,我們就會開源放出來,讓大家去測IOT的安全。當時我們對濱海大廈的某一層進行測試,這個節點正好就在比較高的某一樓層,我們想真正模擬黑客去測試,用無人機加信號發射器飛到大廈高層的外面,只要公寓足夠大,樓層裡能接收到我的信號,我就可以對它進行控制。
這是當時的測試截圖,紅點就是無人機,飛到大廈高層,然後把整層的燈光打開,又發了一個信號,把燈光熄滅了,然後把窗簾打開了。這個危害根據智能樓宇的功能而定,比如智能樓宇能控制插座,我就可以攻擊插座。能控制窗簾,就能攻擊窗簾。當時我們試了一下,可以把燈光打開再熄滅,再按一定的頻率閃爍,我們把問題報給了廠商,目前已經修複了。像這種智能系統,未來對我們的人身安全確實有可能帶來很大的影響。
這個是攻擊AI智能設備的。谷歌有一個機器學習框架,叫做TensorFlow,我們團隊進行研究時發現,這個框架有大量的人使用,但很少有人研究它的安全問題。我們做了一些研究發現,它存在安全問題。比較典型的是黑客可以自己構造惡意的虛擬檔案,把虛擬檔案給到框架,框架只要一讀取檔案就會被黑掉,黑客就可以控制整個系統。
還使用了一些第三方庫,處理協定時也會有溢出,導致框架被控制。我們當時做了一個demo,也報給了官方。當時谷歌還沒有漏洞的報告管道,我們就協助他們建立並完善了這一機制。後續如果大家有發現漏洞,可以發給他們,他們現在建立了一系列的漏洞報告流程和機制。
這個是亞馬遜的智能音箱,智能音箱比較常用,很多人會放在臥室、客廳等地方。但大家有沒有想過,放在這種比較私密的位置,它有可能會變成竊聽器,或者半夜失控,播放恐怖聲音?亞馬遜音箱是全球最火的音箱,我們就拆開提取了裡面的韌體,把芯片取出來了。我們團隊之前也沒有做過硬體設備的拆卸,特別是把芯片提取出來,為此我們還專門去了中國最大的電子市場——華強北,找了一個老司機學習,怎樣把電子元器件取出來,後來也掌握了這門技能。
把芯片取出來之後,我們發現第三方組件存在溢出,又有一系列的漏洞,把幾個漏洞配合起來,就能成功地實現對亞馬遜音箱的攻擊。因為亞馬遜的音箱是,你可以在家裡放好幾個,如果拿到一台,先修改韌體,獲得控制權限,把這台音箱放到局域網裡,通過前面所說的一系列漏洞組合,就可以通過協定把其他的設備全部進行控制。控制好了就有了權限,等同於可以為所欲為。我們當時演示的是做成竊聽器。比如這個音箱原本有特定詞語才能喚醒,但在控制之下,不需要喚醒,只要有內容就可以全部傳到雲端。也可以把播放的內容替換掉,讓它播放國歌或其他的東西,都可以。這也證明智能設備對生活隱私的影響。後來我們也把漏洞報給了亞馬遜,亞馬遜官方也修改得比較快,目前漏洞已經修複了。
同樣,我們對小米產品也進行了測試,發現了一系列的問題,也報給了官方,現在也已經修複好了。
前面講了一些IOT設備存在的安全問題以及對我們生活的影響,接下來我們進入第三部分,探討一下在設計IOT產品時,怎樣讓它更安全。
其實這也是參考了微軟的SDL,從產品需求設計開始到設計、驗證、編碼、上線、上線後響應,都有一系列的流程,在騰訊,重要的產品都是按照這個流程執行的。關鍵技術點可能不同,但整個流程是一致的。下面可以分享一下幾個流程中的核心點。
剛才我提到,整個智能設備架構有四個問題,這裡把四個問題列出來了。一是手機APP的問題,手機APP不能出問題。我們在分析的過程中發現,有好多問題在於研發階段安全意識不足,可能會把密碼、私鑰直接寫死在APP裡,黑客很容易提取出來。還存在一些其他的問題,比如使用明文來傳輸。
二是在雲端不加密傳輸,很容易被黑客進行攻擊。或者是選用的藍牙、Wifi有問題,這時候也很容易被黑客控制。
三是智能設備本身的硬體安全,韌體是不是很容易被提取出來做分析。
四是雲端的安全,Server有沒有漏洞,會不會被黑客控制,還有數據存儲是否精確。
這四個方面有大量的案例,包括前面講的case都可以證明。如果做IOT的安全,就可以從這四方面做規範設計。
規範有了,流程機制有了,但實現的時候還是會出問題。企業安全,不管是IOT或者是以前的移動APP或者是PC,甚至是外部的,都會遇到這種問題。比如使用的流程ok,使用的規範也有,也遵循了,但實現時會出問題。另外一個很重要的,在設備上線之前,要做安全測試。
右邊是我們團隊對移動APP做的安全系統,上線前會做測試,發現使用了接入板的組件,一般來說就可以做成自動化和人工審計結合的形式。還有協定的審計,都有不同的測試。
下面是自動化測試的流程,先把程式提交,通過控制中心開始審計。上面是通過審計出來的報告。
我們接觸到很多IOT設備,發現有一些廠商的安全能力或者說研發能力比較緊缺,這種時候如果你再讓他建立流程,其實比較複雜。比較好的方法是安全廠商提供SDK給到廠商,所有的安全問題由SDK負責。比如協定加密、算法強度,直接調用SDK。我看到的不管是國內外,都有安全廠商做這方面的事情。接下來,我們Blade Team也會研究是否有SDK緩解這個問題,期待明年跟大家進行分享的時候,SDK會有一些開源,給到大家一些幫助。
前面講的是機制和流程,但除此之外,是在上線之後,也要有可執行、可落地的漏洞響應流程。我們最開始找不到谷歌漏洞報告的郵箱,因為它沒有這個機制,也沒有相關人員負責這個事情。後來我們協助它把流程打通,未來再有人發現漏洞,都可以通過這個流程反饋。
2012年,騰訊成立了騰訊安全應急響應中心,對騰訊所有的客戶端產品、網站甚至是系統,都有漏洞獎勵計劃,面向全球希望能發現其中的問題。這個獎勵計劃也是由我們團隊運營的,在運營過程中發現,比如Blade Team,可能會做很多針對性的測試,但實際一個團隊對安全的見解或思路是有限的。
我們發現,一個漏洞測完之後,但放到線上發現還是有問題,可能有非常巧妙的思路是我們沒想到的。所以後來我們就推出了漏洞獎勵計劃,希望全球的安全研究者能研究我們的問題,然後報給我們。我們一方面能修複產品問題,另一方面也能發現團隊自己的思路短板進行改善。
騰訊是互聯公司,網站業務居多,所以漏洞報告也是很多的。可以看到即使我們做了SDK流程,也做了很多的測試,但還是有一些問題會暴露在線上。為什麽?就是剛才我說的系統與短板,就是我們對安全的理解,或者說一些攻擊思路有問題,我們會通過獎勵計劃反哺系統,每一年通過外部報告漏洞對系統進行優化。漏洞獎勵計劃是2012年開始實施的,2012年之後我們的系統拿到了很多的優化,得到了很多改善。
為什麽我最後要講一下漏洞獎勵計劃?也是希望能呼籲廠商積極尋找漏洞問題,有些東西並不是能掩蓋住的,其實中國這塊現在做得也比較好,希望未來會更好,希望有能力的廠商嘗試一下漏洞獎勵計劃。
最後做一個總結。現在我們所處的時代可以理解為IOT安全元年,IOT很多設備現在非常流行,未來也會有爆發式的增長。可以類比2010年、2011年左右,移動設備大量增長,也帶來了嚴重的安全問題。我特別有感觸,當時有很多國內外廠商都對安卓進行了很多研究。其實到了現在,安卓的安全問題還是非常多,說明安全一定要走在產品的前面。現在既然我們知道IOT會爆發,那我們為什麽不提前做布局呢?
從這幾年的趨勢中可以看到,越來越多的設備上線,但越來越多的設備存在問題,會被黑客控制,拿去做DOoS。最近比較有意思的是,以前我們可以看到,黑客拿你的設備做DOoS攻擊別人,但現在他不做DOoS了,他拿去挖礦了,說明黑產也是與時俱進,所以未來的網絡安全,我們認為是物聯網的安全,是一個大的廣義範圍。
未來安全可能會涉及隱私和人身安全。前面也提到,以前可能只是電腦被黑,數據丟失,或者是錢受了一些損失。但是到了未來,就像剛才我們演示的對音箱的控制,可以在你的臥室裡作為竊聽器,作為竊聽器的同時也可以實現音箱的功能,用戶毫無感知。還有其他的團隊,比如科恩,他們對車聯網上的安全研究也可以發現,未來的黑客攻擊可能會真正影響人的生命安全。
前段時間我們團隊也在對一些智能駕駛系統使用的影像識別做研究,發現可以通過一些簡單的方法把交通路牌做一些人臉看不到的變更,從而影響汽車。比如這裡是限速80,我可以改為限速30,不能右轉改為可以右轉,人根本感知不到,但對機器設備來說是有問題的,所以未來的IOT安全會上升到一定的高度,就像現在的網絡安全一樣,也上升到了國家級高度。
最後打一個小廣告。歡迎大家參加騰訊漏洞獎勵計劃,這是網址。如果大家發現騰訊了一些安全問題,可以通過管道報告給我們,騰訊會進行響應和處理。謝謝大家!
香港九龍灣馬來街興發大廈15樓D室