騰訊胡珀:IOT時代,白帽黑客以網為劍捍衛安全
騰訊科技訊 10月10日至10月11日,由騰訊安全發起、騰訊安全科恩實驗室與騰訊安全平臺部聯合主辦,騰訊安全學院協辦的2018騰訊安全國際技術峰會(TenSec2018)在深圳順利舉辦。
作為前沿技術安全研究團隊代表,騰訊安全平臺部總監、Tencent Blade Team負責人胡珀在會上進行了分享。Tencent Blade Team近年來在智慧裝置安全研究方面積累了大量成果,包括髮現首個谷歌TensorFlow AI框架漏洞、遠端操控智慧家居與商業樓宇、破解亞馬遜智慧音箱Echo等。在胡珀看來,到了物聯網時代,被黑客攻擊,帶來的問題不單只是損失資料或財產,還很可能危害生命安全,而Tencent Blade Team的研究工作正是對IOT領域安全問題的事前佈局和未雨綢繆。
同時,胡珀也向參會嘉賓介紹了騰訊Tsrc平臺漏洞獎勵計劃。騰訊Tsrc作為全國首家企業自建的漏洞提交平臺,通過獎勵反饋系統漏洞的安全研究人員(俗稱“白帽子”),逐漸搭建出一個健康運轉、良性迴圈的生態系統,與“白帽子”們一同捍衛全球億萬使用者安全。
(騰訊安全平臺部總監、Tencent Blade Team負責人胡珀)
以下為胡珀發言全文:
胡珀:非常高興今天能到講臺上跟大家分享騰訊安全平臺部在IOT安全方面的工作,也非常榮幸。先做一個自我介紹,我是胡珀(外號lake2),在騰訊安全平臺部負責運維安全領域,簡單來說就是負責黑客攻防對抗。2007年加入騰訊安全平臺部後,我一直在從事騰訊平臺的安全工作。2007年到2010年,這段時間我們重點放在網址檢測、資料保護、反入侵,尤其是IDC的黑客入侵,以及漏洞的發現和檢查等。但隨著網際網路的發展,智慧家居、智慧樓宇等大範圍進入我們的生活,物聯網產業、IoT智慧裝置迎來巨大發展,這塊的安全問題在未來是非常重要的。
過去系統被黑客攻擊,頂多是損失資料。到了支付時代,損失的可能是真金白銀。到了物聯網時代,很可能危害生命安全。如果黑客控制了物聯網裝置,很可能會對我們的生命帶來威脅。今天我主要講的就是騰訊安全Blade團隊對智慧安全方面的研究工作。
Tencnet Blade Team成軍於去年,目前主要聚焦在AI安全、IOT、移動裝置安全這塊,大家也可以去我們的官網blade.tencent.com瞭解我們的研究成果。這次演講的大概框架是四方面。第一,介紹IOT時代。第二,介紹Tencent Blade Team的研究成果。第三,作為裝置廠商怎麼保證新興產品的安全,怎麼來做供應鏈。第四,總結。
首先說一下IOT時代。智慧手機剛普及時,可能我們從來沒有想過,幾年之後居然還有越來越多的智慧裝置出現,從路由器、智慧攝像頭、智慧樓宇、智慧家居等等,數不勝數。
但智慧裝置的安全問題也確實不容忽視。從我們的經驗來看,傳統商場以前黑客很難接觸到,但一旦裝置聯網之後,全球的黑客都可以嘗試進行攻擊,就容易出問題。就像看到現在新聞裡說的,路由器被黑客利用,裝上木馬攻擊別人。從2008年開始,這種黑客攻擊事件愈演愈烈。
我們對去年騰訊DDoS資料進行了分析,PC及傳統裝置的攻擊率是84%,新興IOT裝置的攻擊率是16%。現在有大量的IOT裝置可以上網,但對安全的重視不足,存在許多漏洞,導致大量裝置被黑客控制進行攻擊,趨勢明顯增加,大家有興趣可以關注我們今年年底的行業報告,有大量的攝像頭、路由器都被拿來做DooS攻擊。
同時,從這些案例和資料當中,我們也能由點到面分析出全域性形式。智慧裝置的鏈路經過演變,基本形成了穩定的架構。IOT裝置可以用手機APP控制,在雲端可能有互動,儲存資料,通過雲端下發指令。如果它出了問題,第一,手機APP可能會出問題;第二,IOT裝置本身會被黑客控制;第三,雲端出問題,可能是傳統的黑客攻擊,比如有一個命令注入,黑客就可以黑掉,然後逐步控制裝置。
另外比較重要的是APP和IOT裝置之間,或者IOT裝置和雲之間,通訊協議也可能有問題,黑客可以通過流量劫持監管許可權,我們分析的情況就是這樣的,接下來我講述的第二部分,Tencent Blade Team的研究成果裡,很多案例都是基於這個架構發現的問題。
第一個案例,2014年有一個智慧插座,可以用手機APP控制插座的開和關,還可以定時,有一系列的智慧功能。但實際在測試過程中我們發現,通訊協議有問題,簡單來說就是認證有問題,要直接通過網路傳輸,只要我知道這個裝置連結地址,就可以隨意控制拿到許可權,這個其實是有傳輸問題。
第二個案例,這是2015年的研究,可以通過手機APP控制烤箱的溫度和時間。我們對烤箱進行分析,發現它也存在兩個問題,一個是把金鑰直接寫在程式裡,對APP進行立項。傳輸是明文的,拿到金鑰就可以解開指令,用自己的指令控制它。還有一個邏輯問題,只要把傳輸控制溫度傳過去,就可以繞開溫度限制,使烤箱使用達到溫度極限。當然我們具體沒有進行測試,但烤箱如果空轉,溫度非常高,可能會導致機器的爆炸,這其實就是智慧裝置影響人身安全的案例。
還有POS機,這也是2015年的事。那時線上支付還沒有那麼先進,當時會用手機加上POS機的形式來刷卡。比較有意思的是,我們對比較火的POS機進行了分析,直接把包拿下來,就可以把包解開把引數改掉,比如轉一塊錢,可以改成轉一萬塊錢,賬號也可以改掉。只要他在這個POS機上刷過卡,我就可以把所有的錢轉到自己的賬號上,這就是一個真金白銀的案例。
還有智慧攝像頭,現在很多的攝像頭可能是通過Wifi把訊號儲存到雲端,再通過一些裝置回看和回放。實際它在這個過程中也會存在問題,比如做中間的劫持,把原有的視訊訊號替換掉,或者是提前錄一段沒有異常的視訊。這個圖就是把攝像頭投到手機裡,但實際我被中間人劫持攻擊了,直接把視訊的訊號替換掉,把QQ公仔就給換掉了。當時我們測了,市面上大部分的產品都有這種問題,也報給了廠商進行修復。
這個是無人機的案例,我們對當時國內某品牌無人機進行了分析,發現可以拿到協議並破解協議實現控制。我們的同事就做了一個無線電發射器,繞過該品牌無人機的防護。只要這個裝置靠近無人機,機器就不會聽機主的指令。當時我們也做了演示,其實就是無線電的訊號劫持。
還有剛剛講的Tencent Blade Team對智慧樓宇的研究。現在的樓宇跟傳統樓宇不一樣,裡面的電力、水、風、光都可以通過APP或入口端進行控制。這種智慧樓宇方便管理、很強大,甚至可以自己進行程式設計,比如遇到什麼觸發條件就可以自動執行某些動作,方便的同時也會帶來很大的問題,我們對騰訊最新的大樓——騰訊濱海大廈做了一個安全測試。濱海大廈裡面IOT裝置超過40多種,IOT節點也非常多,但我們分析,這個大廈使用的某品牌智慧樓宇框架存在漏洞。後來我們把幾個廠商拿來分析了一下,有一些問題,用了口令加密,甚至還有不加密的,還有不安全的重新加入機制,還可以使用舊版協議,這個也容易被破解,這些問題大部分我們都報給廠商進行了修復,
為了方便測試,我們結合了網上開源的一些測試工具進行了比較,現在的工具還不是特別完善,後續產品穩定,我們就會開源放出來,讓大家去測IOT的安全。當時我們對濱海大廈的某一層進行測試,這個節點正好就在比較高的某一樓層,我們想真正模擬黑客去測試,用無人機加訊號發射器飛到大廈高層的外面,只要公寓足夠大,樓層裡能接收到我的訊號,我就可以對它進行控制。
這是當時的測試截圖,紅點就是無人機,飛到大廈高層,然後把整層的燈光開啟,又發了一個訊號,把燈光熄滅了,然後把窗簾打開了。這個危害根據智慧樓宇的功能而定,比如智慧樓宇能控制插座,我就可以攻擊插座。能控制窗簾,就能攻擊窗簾。當時我們試了一下,可以把燈光開啟再熄滅,再按一定的頻率閃爍,我們把問題報給了廠商,目前已經修復了。像這種智慧系統,未來對我們的人身安全確實有可能帶來很大的影響。
這個是攻擊AI智慧裝置的。谷歌有一個機器學習框架,叫做TensorFlow,我們團隊進行研究時發現,這個框架有大量的人使用,但很少有人研究它的安全問題。我們做了一些研究發現,它存在安全問題。比較典型的是黑客可以自己構造惡意的虛擬檔案,把虛擬檔案給到框架,框架只要一讀取檔案就會被黑掉,黑客就可以控制整個系統。
還使用了一些第三方庫,處理協議時也會有溢位,導致框架被控制。我們當時做了一個demo,也報給了官方。當時谷歌還沒有漏洞的報告渠道,我們就協助他們建立並完善了這一機制。後續如果大家有發現漏洞,可以發給他們,他們現在建立了一系列的漏洞報告流程和機制。
這個是亞馬遜的智慧音箱,智慧音箱比較常用,很多人會放在臥室、客廳等地方。但大家有沒有想過,放在這種比較私密的位置,它有可能會變成竊聽器,或者半夜失控,播放恐怖聲音?亞馬遜音箱是全球最火的音箱,我們就拆開提取了裡面的韌體,把晶片取出來了。我們團隊之前也沒有做過硬體裝置的拆卸,特別是把晶片提取出來,為此我們還專門去了中國最大的電子市場——華強北,找了一個老師傅學習,怎樣把電子元器件取出來,後來也掌握了這門技能。
把晶片取出來之後,我們發現第三方元件存在溢位,又有一系列的漏洞,把幾個漏洞配合起來,就能成功地實現對亞馬遜音箱的攻擊。因為亞馬遜的音箱是,你可以在家裡放好幾個,如果拿到一臺,先修改韌體,獲得控制權限,把這臺音箱放到局域網裡,通過前面所說的一系列漏洞組合,就可以通過協議把其他的裝置全部進行控制。控制好了就有了許可權,等同於可以為所欲為。我們當時演示的是做成竊聽器。比如這個音箱原本有特定詞語才能喚醒,但在控制之下,不需要喚醒,只要有內容就可以全部傳到雲端。也可以把播放的內容替換掉,讓它播放國歌或其他的東西,都可以。這也證明智慧裝置對生活隱私的影響。後來我們也把漏洞報給了亞馬遜,亞馬遜官方也修改得比較快,目前漏洞已經修復了。
同樣,我們對小米產品也進行了測試,發現了一系列的問題,也報給了官方,現在也已經修復好了。
前面講了一些IOT裝置存在的安全問題以及對我們生活的影響,接下來我們進入第三部分,探討一下在設計IOT產品時,怎樣讓它更安全。
其實這也是參考了微軟的SDL,從產品需求設計開始到設計、驗證、編碼、上線、上線後響應,都有一系列的流程,在騰訊,重要的產品都是按照這個流程執行的。關鍵技術點可能不同,但整個流程是一致的。下面可以分享一下幾個流程中的核心點。
剛才我提到,整個智慧裝置架構有四個問題,這裡把四個問題列出來了。一是手機APP的問題,手機APP不能出問題。我們在分析的過程中發現,有好多問題在於研發階段安全意識不足,可能會把密碼、私鑰直接寫死在APP裡,黑客很容易提取出來。還存在一些其他的問題,比如使用明文來傳輸。
二是在雲端不加密傳輸,很容易被黑客進行攻擊。或者是選用的藍芽、Wifi有問題,這時候也很容易被黑客控制。
三是智慧裝置本身的硬體安全,韌體是不是很容易被提取出來做分析。
四是雲端的安全,Server有沒有漏洞,會不會被黑客控制,還有資料儲存是否精確。
這四個方面有大量的案例,包括前面講的case都可以證明。如果做IOT的安全,就可以從這四方面做規範設計。
規範有了,流程機制有了,但實現的時候還是會出問題。企業安全,不管是IOT或者是以前的移動APP或者是PC,甚至是外部的,都會遇到這種問題。比如使用的流程ok,使用的規範也有,也遵循了,但實現時會出問題。另外一個很重要的,在裝置上線之前,要做安全測試。
右邊是我們團隊對移動APP做的安全系統,上線前會做測試,發現使用了接入板的元件,一般來說就可以做成自動化和人工審計結合的形式。還有協議的審計,都有不同的測試。
下面是自動化測試的流程,先把程式提交,通過控制中心開始審計。上面是通過審計出來的報告。
我們接觸到很多IOT裝置,發現有一些廠商的安全能力或者說研發能力比較緊缺,這種時候如果你再讓他建立流程,其實比較複雜。比較好的方法是安全廠商提供SDK給到廠商,所有的安全問題由SDK負責。比如協議加密、演算法強度,直接呼叫SDK。我看到的不管是國內外,都有安全廠商做這方面的事情。接下來,我們Blade Team也會研究是否有SDK緩解這個問題,期待明年跟大家進行分享的時候,SDK會有一些開源,給到大家一些幫助。
前面講的是機制和流程,但除此之外,是在上線之後,也要有可執行、可落地的漏洞響應流程。我們最開始找不到谷歌漏洞報告的郵箱,因為它沒有這個機制,也沒有相關人員負責這個事情。後來我們協助它把流程打通,未來再有人發現漏洞,都可以通過這個流程反饋。
2012年,騰訊成立了騰訊安全應急響應中心,對騰訊所有的客戶端產品、網站甚至是系統,都有漏洞獎勵計劃,面向全球希望能發現其中的問題。這個獎勵計劃也是由我們團隊運營的,在運營過程中發現,比如Blade Team,可能會做很多針對性的測試,但實際一個團隊對安全的見解或思路是有限的。
我們發現,一個漏洞測完之後,但放到線上發現還是有問題,可能有非常巧妙的思路是我們沒想到的。所以後來我們就推出了漏洞獎勵計劃,希望全球的安全研究者能研究我們的問題,然後報給我們。我們一方面能修復產品問題,另一方面也能發現團隊自己的思路短板進行改善。
騰訊是互聯公司,網站業務居多,所以漏洞報告也是很多的。可以看到即使我們做了SDK流程,也做了很多的測試,但還是有一些問題會暴露在線上。為什麼?就是剛才我說的系統與短板,就是我們對安全的理解,或者說一些攻擊思路有問題,我們會通過獎勵計劃反哺系統,每一年通過外部報告漏洞對系統進行優化。漏洞獎勵計劃是2012年開始實施的,2012年之後我們的系統拿到了很多的優化,得到了很多改善。
為什麼我最後要講一下漏洞獎勵計劃?也是希望能呼籲廠商積極尋找漏洞問題,有些東西並不是能掩蓋住的,其實中國這塊現在做得也比較好,希望未來會更好,希望有能力的廠商嘗試一下漏洞獎勵計劃。
最後做一個總結。現在我們所處的時代可以理解為IOT安全元年,IOT很多裝置現在非常流行,未來也會有爆發式的增長。可以類比2010年、2011年左右,移動裝置大量增長,也帶來了嚴重的安全問題。我特別有感觸,當時有很多國內外廠商都對安卓進行了很多研究。其實到了現在,安卓的安全問題還是非常多,說明安全一定要走在產品的前面。現在既然我們知道IOT會爆發,那我們為什麼不提前做佈局呢?
從這幾年的趨勢中可以看到,越來越多的裝置上線,但越來越多的裝置存在問題,會被黑客控制,拿去做DOoS。最近比較有意思的是,以前我們可以看到,黑客拿你的裝置做DOoS攻擊別人,但現在他不做DOoS了,他拿去挖礦了,說明黑產也是與時俱進,所以未來的網路安全,我們認為是物聯網的安全,是一個大的廣義範圍。
未來安全可能會涉及隱私和人身安全。前面也提到,以前可能只是電腦被黑,資料丟失,或者是錢受了一些損失。但是到了未來,就像剛才我們演示的對音箱的控制,可以在你的臥室裡作為竊聽器,作為竊聽器的同時也可以實現音箱的功能,使用者毫無感知。還有其他的團隊,比如科恩,他們對車聯網上的安全研究也可以發現,未來的黑客攻擊可能會真正影響人的生命安全。
前段時間我們團隊也在對一些智慧駕駛系統使用的影象識別做研究,發現可以通過一些簡單的方法把交通路牌做一些人臉看不到的變更,從而影響汽車。比如這裡是限速80,我可以改為限速30,不能右轉改為可以右轉,人根本感知不到,但對機器裝置來說是有問題的,所以未來的IOT安全會上升到一定的高度,就像現在的網路安全一樣,也上升到了國家級高度。
最後打一個小廣告。歡迎大家參加騰訊漏洞獎勵計劃,這是網址。如果大家發現騰訊了一些安全問題,可以通過渠道報告給我們,騰訊會進行響應和處理。謝謝大家!