丁香五月天婷婷久久婷婷色综合91|国产传媒自偷自拍|久久影院亚洲精品|国产欧美VA天堂国产美女自慰视屏|免费黄色av网站|婷婷丁香五月激情四射|日韩AV一区二区中文字幕在线观看|亚洲欧美日本性爱|日日噜噜噜夜夜噜噜噜|中文Av日韩一区二区

您正在使用IE低版瀏覽器,為了您的雷峰網(wǎng)賬號(hào)安全和更好的產(chǎn)品體驗(yàn),強(qiáng)烈建議使用更快更安全的瀏覽器
此為臨時(shí)鏈接,僅用于文章預(yù)覽,將在時(shí)失效
政企安全 正文
發(fā)私信給李勤
發(fā)送

2

破解特斯拉車(chē)端的科恩實(shí)驗(yàn)室:下一步攻破它的云端

本文作者: 李勤 2016-11-11 18:46
導(dǎo)語(yǔ):11月10日,在北京國(guó)家會(huì)議中心的一間小會(huì)議室里,騰訊科恩實(shí)驗(yàn)室總監(jiān)呂一平接受了媒體采訪,對(duì),就是世界上首次千里外黑掉特斯拉的那個(gè)騰訊科恩實(shí)驗(yàn)室。

11月10日,在北京國(guó)家會(huì)議中心的一間小會(huì)議室里,騰訊科恩實(shí)驗(yàn)室總監(jiān)呂一平接受了媒體采訪,對(duì),就是世界上首次千里外黑掉特斯拉的那個(gè)騰訊科恩實(shí)驗(yàn)室。雷鋒網(wǎng)曾對(duì)此做過(guò)報(bào)道:獨(dú)家解析:特斯拉史上最大漏洞,騰訊科恩實(shí)驗(yàn)室如何從千里外黑掉你的車(chē)?

為什么會(huì)破解特斯拉?“黑”掉特斯拉后與特斯拉又要展開(kāi)哪些合作?接下要他們還要破解哪些酷炫的東西?以下為呂一平的采訪實(shí)錄,雷鋒網(wǎng)在不改變回答原意的基礎(chǔ)上進(jìn)行了整理。

Q:科恩實(shí)驗(yàn)室目前在騰訊公司內(nèi)部的定位是什么?

呂一平:科恩實(shí)驗(yàn)室其實(shí)是一個(gè)專注在信息按照研究研究的專業(yè)團(tuán)隊(duì),過(guò)去十幾年來(lái)我們一直在做桌面端的系統(tǒng)的比如說(shuō)國(guó)際主流的Windows或者是Mac OS,主流的軟件的研究,三四年前我們就開(kāi)始轉(zhuǎn)移動(dòng)方向了,所以我們對(duì)智能手機(jī)的iOS、安卓的系統(tǒng)和應(yīng)用有很多的研究和成果。

從兩年前開(kāi)始比較關(guān)注物聯(lián)安全,因?yàn)檎麄€(gè)互聯(lián)網(wǎng)進(jìn)入到了第三個(gè)周期,從PC互聯(lián)網(wǎng)、到移動(dòng)互聯(lián)網(wǎng)再到物聯(lián)車(chē)聯(lián)網(wǎng)的周期,所以我們兩年前就比較關(guān)注汽車(chē)聯(lián)網(wǎng)以后的安全的問(wèn)題。

今年9月,我們也發(fā)布了對(duì)特斯拉無(wú)接觸式的遠(yuǎn)程攻破,包括我們現(xiàn)在也在關(guān)注一些物聯(lián)網(wǎng)的,比如說(shuō)智能設(shè)備,包括通過(guò)移動(dòng)手機(jī)控制的智能家居、智能平衡車(chē),以及現(xiàn)在市面上的智能自行車(chē),都在普及。

像物聯(lián)形態(tài)會(huì)越來(lái)越多地進(jìn)入中國(guó),安全需要我們更好地保駕護(hù)航。舉一個(gè)例子,汽車(chē)的安全跟原來(lái)我們講的信息安全還不一樣,我們?cè)谧烂骐娔X上或者是手機(jī)上遇到的安全問(wèn)題最多引發(fā)的是用戶的隱私信息泄漏。

比如,支付的安全性得不到保障,會(huì)有資金的損失,譬如說(shuō)我的郵件和用戶賬號(hào)可能會(huì)被盜,遇到這類問(wèn)題還是虛擬世界的問(wèn)題,可是汽車(chē)如果真的有嚴(yán)重的漏洞,會(huì)直接導(dǎo)致人身安全的問(wèn)題,比如說(shuō)特斯拉的問(wèn)題,今后汽車(chē)無(wú)人駕駛引入的話,如果被黑客控制還可能會(huì)造成公共安全的問(wèn)題。今后物聯(lián)世界、萬(wàn)物物聯(lián)以后,安全問(wèn)題的形態(tài)會(huì)發(fā)生很大變化,造成的影響也會(huì)更大。

Q:科恩和特斯拉現(xiàn)在是什么樣的合作方式?是破解了它的網(wǎng)關(guān)嗎?

呂一平:特斯拉的案例并不是一個(gè)單獨(dú)的安全問(wèn)題導(dǎo)致的,而是由一系列的安全問(wèn)題,比如,在車(chē)載瀏覽器、車(chē)載操作系統(tǒng)、車(chē)載網(wǎng)關(guān)層面,一切的問(wèn)題組合起來(lái),形成了一條完整的攻擊鏈條。

通過(guò)遠(yuǎn)程的方式打到車(chē)輛里去,對(duì)車(chē)輛進(jìn)行一些未經(jīng)授權(quán)的控制,在新車(chē)模式下和注冊(cè)模式下都可以做,可以引發(fā)一些高危的人身安全問(wèn)題。

我們?cè)瓉?lái)做安全移動(dòng)的時(shí)候一直秉承這樣一個(gè)理念——不是要打擊廠商,不是要破壞新生事物,更多是要做到幫助廠商更好地發(fā)現(xiàn)問(wèn)題和解決問(wèn)題。

所以,在特斯拉的案例中,我們是遵循了國(guó)際的管理和行業(yè)的慣例,就是負(fù)責(zé)任的報(bào)告機(jī)制,之后我們?cè)诮衲?月8日把所有的發(fā)現(xiàn)的問(wèn)題全部打包,一對(duì)一、點(diǎn)對(duì)點(diǎn)地報(bào)告給特斯拉,特斯拉也非常給力,他們差不多是在10天內(nèi)就把所有我們報(bào)告的問(wèn)題給修復(fù)完了。

另外,他們還有在線升級(jí)的機(jī)制,3天內(nèi)就把90%的特斯拉的車(chē)全部升級(jí)到一個(gè)安全的版本??梢钥吹剑虻奶厮估?chē)主在三天內(nèi)都已經(jīng)升級(jí)到安全版本,現(xiàn)在已經(jīng)不再存在這樣的高危的安全問(wèn)題了。

我們跟特斯拉的合作是遵循國(guó)際慣例和行業(yè)慣例的合作,也得到了特斯拉的認(rèn)可。其實(shí),美國(guó)的媒體經(jīng)常對(duì)我們進(jìn)行報(bào)道,也采訪了特斯拉的CTO,特斯拉的CTO對(duì)我們這次發(fā)現(xiàn)問(wèn)題給予了很高評(píng)價(jià)。

另外,我們這次公開(kāi)展示特斯拉的安全問(wèn)題的時(shí)候,特斯拉已經(jīng)把所有的問(wèn)題都修復(fù)完了,用戶已經(jīng)被保護(hù)了。第二,我們這次發(fā)布也是得到了特斯拉的授權(quán)了,特斯拉是允許我們做這樣的報(bào)告的,從9月8日到9月17日這10幾天里做了很多的溝通,為了保證不要因?yàn)檫@個(gè)問(wèn)題導(dǎo)致特斯拉的品牌受到影響,特斯拉的用戶有恐慌。

Q:特斯拉是本身的技術(shù)團(tuán)隊(duì)來(lái)做網(wǎng)絡(luò)安全還是?對(duì)于中國(guó)的無(wú)人駕駛公司,騰訊有可能合作嗎?

呂一平:特斯拉與其他汽車(chē)行業(yè)企業(yè)不太一樣,他們有獨(dú)立的信息安全團(tuán)隊(duì),而且非常專業(yè)。他們的信息安全負(fù)責(zé)人是從 Google 過(guò)去的,與我們對(duì)接的處理特斯拉車(chē)載問(wèn)題的安全負(fù)責(zé)人是從蘋(píng)果過(guò)去的。

他們都是曾在蘋(píng)果、微軟、Google 等公司做專業(yè)軟件信息安全工作的資深研究人員和技術(shù)人員。這就是為什么我們提交了漏洞報(bào)告后,他們?cè)谝惶靸?nèi)就把我們所有的問(wèn)題分析完畢,確認(rèn)都是高危的問(wèn)題后就解決了。

特斯拉在安全領(lǐng)域投入了很多資源和代價(jià),來(lái)組建這樣的團(tuán)隊(duì),通過(guò)專業(yè)的人員來(lái)做專業(yè)的事情。剛剛您提到的合作關(guān)系——我們已經(jīng)關(guān)注汽車(chē)行業(yè)兩年多了,特斯拉的案例發(fā)布了以后,特斯拉的確也有意向和我們技術(shù)部門(mén)進(jìn)行深入合作,歡迎我們繼續(xù)研究特斯拉,來(lái)發(fā)現(xiàn)問(wèn)題。

他們應(yīng)該會(huì)在今年年底發(fā)布對(duì)我們的獎(jiǎng)勵(lì),因?yàn)檫@次我們發(fā)現(xiàn)的這些問(wèn)題是特斯拉有史以來(lái)最大的一次安全修復(fù),所以他們會(huì)給我們獎(jiǎng)勵(lì),具體是什么?他們說(shuō)會(huì)給我們驚喜,因此現(xiàn)在還不知道。

另外,汽車(chē)行業(yè)很大,全球的汽車(chē)品牌也有好幾百個(gè),特斯拉在全球汽車(chē)的保有量是很少的,在中國(guó)跑的1.5億輛汽車(chē)中,特斯拉最多就幾萬(wàn)輛,其實(shí)有更多車(chē)企和用戶需要我們關(guān)注和保護(hù)。

現(xiàn)在我們?cè)诤推渌镜氐?、全球的制造商以及給汽車(chē)提供關(guān)鍵模塊的供應(yīng)商形成合作關(guān)系,幫助他們研究信息安全問(wèn)題如何來(lái)解決。

Q:這是你們的主要業(yè)務(wù)嗎?

呂一平:這是我們業(yè)務(wù)中的一塊??贫鲗?shí)驗(yàn)室作為騰訊的一部分,還是要保護(hù)騰訊自己的產(chǎn)品,比如,微信、騰訊云、QQ,這些也是我們重點(diǎn)關(guān)注的領(lǐng)域。

Q:選擇特斯拉這個(gè)案例或者說(shuō)是想到無(wú)人駕駛,是不是也看好以后的市場(chǎng)發(fā)展?jié)撃?,覺(jué)得是自己可以拓展的?

呂一平:因?yàn)槠?chē)安全其實(shí)是一個(gè)藍(lán)海,汽車(chē)行業(yè)在信息安全方面是剛開(kāi)始啟蒙,剛開(kāi)始覺(jué)醒的一個(gè)階段,這個(gè)也會(huì)有很多的挑戰(zhàn),因?yàn)楸旧砥?chē)行業(yè)在這方面并沒(méi)有能力上的積累,也并沒(méi)有相關(guān)的知識(shí)和經(jīng)驗(yàn),所以需要依靠外界的幫助。

我們和很多汽車(chē)行業(yè)合作,不光是幫助他們像特斯拉一樣發(fā)現(xiàn)問(wèn)題和解決問(wèn)題,更重要的是——我們和車(chē)企談如何共建能力,我都可以開(kāi)一個(gè)獵頭公司幫汽車(chē)公司招信息安全的專業(yè)人才,開(kāi)玩笑了。

Q:為汽車(chē)專門(mén)做一個(gè)操作系統(tǒng)或者是基于云端的操作系統(tǒng),未來(lái)市場(chǎng)如何?

呂一平:你會(huì)看到現(xiàn)在越來(lái)越多的公司原來(lái)不做汽車(chē)行業(yè)的在關(guān)注汽車(chē)行業(yè),我們這次會(huì)議(編者注:CSS)把高通的副總裁也請(qǐng)過(guò)來(lái)了,高通的副總裁昨天的演講中有兩頁(yè)P(yáng)PT是專門(mén)談汽車(chē)的,高通在車(chē)規(guī)級(jí)方案的解決芯片,英特爾也在發(fā)布車(chē)規(guī)級(jí)的解決方案。

Google 和蘋(píng)果大家一直在傳要造 iCar,Google 一直在做無(wú)人駕駛的研究,你會(huì)發(fā)現(xiàn)很多的互聯(lián)網(wǎng)的軟件公司、硬件公司都在關(guān)注未來(lái)汽車(chē)的發(fā)展,你會(huì)看到汽車(chē)行業(yè)未來(lái)會(huì)有兩個(gè)趨勢(shì),在2020年前,2018年上市的國(guó)內(nèi)上基本所有的汽車(chē)都有網(wǎng)聯(lián)功能,不再封閉了。

到 2025 年,你會(huì)看到另外一個(gè)趨勢(shì),也就是輔助駕駛,現(xiàn)在人還是要參與的,或者是自動(dòng)駕駛,這個(gè)也不是全路段的,可能只是在高速上能做到自動(dòng)駕駛的功能,但在市區(qū)或者是市中心,行人、機(jī)人混合的情況下是做不到的。

最高的級(jí)別是full  self  driving automation,完全無(wú)人駕駛的情況。其實(shí)網(wǎng)聯(lián)還不能夠給汽車(chē)行業(yè)帶來(lái)革命性的變化,但無(wú)人駕駛和自動(dòng)駕駛的引入會(huì)給整個(gè)行業(yè)帶來(lái)革命性的變化,坐車(chē)人員的雙手雙腳會(huì)被解放出來(lái),今后他在車(chē)上的體驗(yàn)會(huì)是怎樣?

第二,你會(huì)看到絕大部分的車(chē)型都在考慮另外一件事,前年奔馳和寶馬已經(jīng)把公司愿景給改了——我不是一個(gè)制造和銷(xiāo)售汽車(chē)的公司,而是一個(gè)提供未來(lái)智能出行服務(wù)的公司。

他們已經(jīng)在考慮汽車(chē)保有量到達(dá)了一定的規(guī)模,再通過(guò)造車(chē)、賣(mài)車(chē),已經(jīng)賺不到很多的錢(qián)了,而且還有互聯(lián)網(wǎng)公司在虎視眈眈地封堵我,會(huì)有新的技術(shù)力量進(jìn)來(lái),而且技術(shù)迭代的速度會(huì)比汽車(chē)公司更快。

他們希望以出行服務(wù)的方式來(lái)做,這里就不光是車(chē)本身了,還有圍繞車(chē)對(duì)車(chē)主的服務(wù),今后大家會(huì)看到比較多的分時(shí)租賃,他們分享了這種方式。

目前大家看得比較多的是摩拜單車(chē),它的CEO是做汽車(chē)出身,他是把汽車(chē)的分時(shí)租賃概念在自行車(chē)上先實(shí)現(xiàn)了。但未來(lái)你會(huì)看到更多的汽車(chē)公司都會(huì)在考慮這點(diǎn)——今后還要不要買(mǎi)車(chē),因?yàn)橘I(mǎi)車(chē)的費(fèi)用是很高的。

一個(gè)家庭今后要花在車(chē)上的成本要達(dá)到2、3萬(wàn),可是如果你想用車(chē)的話在路邊找到一輛分時(shí)租賃的車(chē)開(kāi)著就走了,還需不需要再買(mǎi)車(chē)?

汽車(chē)互聯(lián)和智能化以后會(huì)帶來(lái)很多東西的變化,現(xiàn)在一邊開(kāi)車(chē)一邊在手機(jī)上看視頻,或者是用微信交流是很危險(xiǎn)的動(dòng)作,如果有自動(dòng)駕駛了,你在車(chē)?yán)镆墒裁矗?/p>

Q:科恩實(shí)驗(yàn)室除了在汽車(chē)方面有最新展示,在其他方面有沒(méi)有最新的技術(shù)成果?

呂一平:科恩是做桌面安全出身的,所以你會(huì)看到在過(guò)去10年內(nèi)我們?cè)赑C端有很多的成果,比如,Windows  Mac OS,我們很多的操作都是面向國(guó)際主流的應(yīng)用和成果展示。

科恩在3年前把重點(diǎn)精力放在移動(dòng)安全和智能手機(jī)安全領(lǐng)域,最近我們涉及到iOS、安卓,10月底我們東京參加了 Pwn 2 Own 比賽又拿了第一,拿到了世界破解大師的稱號(hào),最近有很多新的成果在對(duì)外展示。

我們也在關(guān)注未來(lái)的互聯(lián)網(wǎng)世界,是云、管、端。端上的安全我們的關(guān)注一直是比較多,無(wú)論是PC、移動(dòng)還是互聯(lián),我們現(xiàn)在也在關(guān)注云,因?yàn)樵茣?huì)成為未來(lái)的大趨勢(shì),所以云的通用基礎(chǔ)技術(shù),比如虛擬化技術(shù)。

Hyper-V、VMware、以及開(kāi)源的虛擬化技術(shù),國(guó)內(nèi)和國(guó)際的運(yùn)營(yíng)商都用得比較多,如果有通用的安全問(wèn)題,對(duì)整個(gè)云服務(wù)提供商或云計(jì)算服務(wù)都會(huì)有很大的影響,這也是目前我們?cè)谥攸c(diǎn)關(guān)注的領(lǐng)域,我們希望在未來(lái)一段時(shí)間內(nèi)有比較好的成果展出。

Q:如何實(shí)現(xiàn)對(duì)特斯拉的遠(yuǎn)程攻擊?

呂一平:汽車(chē)架構(gòu)有三塊,車(chē)端、車(chē)內(nèi)云還有移動(dòng)端。過(guò)去很多的安全團(tuán)隊(duì)在做攻破時(shí)并沒(méi)有對(duì)車(chē)輛進(jìn)行攻擊,而是攻擊了車(chē)輛的移動(dòng)端,移動(dòng)端本身有遠(yuǎn)程控制的功能,所以其實(shí)是做了汽車(chē) APP 的劫持,劫持了 APP 后就可以遠(yuǎn)程控制車(chē)聯(lián)網(wǎng),展示控制的功能。

但是,它的遠(yuǎn)程控制的功能只限于 APP 提供的功能,比如,能開(kāi)門(mén)、打開(kāi)車(chē)窗、空調(diào),但做不到控制剎車(chē)、油門(mén)和轉(zhuǎn)向,為什么我們這次攻擊特斯拉,大家的關(guān)注程度比較高,是因?yàn)槲覀兪枪舻能?chē)輛,最后攻擊了車(chē)的車(chē)聯(lián)網(wǎng)絡(luò),核心的車(chē)輛控制的網(wǎng)絡(luò),最后能夠?qū)μ厮估鋈我獾目刂啤?/p>

譬如,我能控制剎車(chē),能消除轉(zhuǎn)向的助力或者是剎車(chē)的助力,這樣方向盤(pán)轉(zhuǎn)不動(dòng),剎車(chē)是踩不住的,我們能在行駛的過(guò)程中打開(kāi)天窗和折疊鏡,這是劫持APP根本做不到的,這些是深入到車(chē)內(nèi)的車(chē)聯(lián)網(wǎng)以后才能做到的東西。

而且,這種攻擊方式是無(wú)接觸式的,不需要對(duì)這輛車(chē)做任何的物理改動(dòng),不需要物理接觸這輛車(chē)。對(duì)特斯拉來(lái)說(shuō),是影響全球已經(jīng)出售的和在售的特斯拉的車(chē),因此你們會(huì)看到研究成果的級(jí)別是不一樣的,造成的危害的程度也是不一樣的。

與特斯拉的合作是這樣的,他們對(duì)我們的評(píng)價(jià)也很高,未來(lái)我們也希望跟特斯拉有長(zhǎng)期的合作關(guān)系,特斯拉是全球范圍內(nèi)網(wǎng)聯(lián)汽車(chē)做得最安全的公司了,我們必須承認(rèn)這一點(diǎn)。

特斯拉其實(shí)是有自動(dòng)駕駛的模塊的,我們?cè)诘谝浑A段的研究中并沒(méi)有太多的涉及這塊,自動(dòng)駕駛的模塊其實(shí)也是聯(lián)在車(chē)聯(lián)網(wǎng)絡(luò)里面的。

我們這次攻擊的所有的問(wèn)題都在車(chē)端,并沒(méi)有去看特斯拉的云端,如果云端被搞定的話,影響也會(huì)很大的,也會(huì)對(duì)所有的車(chē)有影響,所以下一階段那個(gè)也是我們的重點(diǎn),我們會(huì) check 云端的東西。

Q:汽車(chē)和手機(jī)是兩個(gè)不同的端,相比手機(jī)來(lái)說(shuō),汽車(chē)端的難點(diǎn)是什么?

呂一平:我們?cè)谧銎?chē)安全時(shí)自己也畫(huà)了一個(gè)我們規(guī)劃的能力范圍,科恩先是要建立能力范圍。我們發(fā)現(xiàn)有八個(gè)不一樣的能力塊需要做,我們又反觀了過(guò)去積累的經(jīng)驗(yàn)、能力以及領(lǐng)域,發(fā)現(xiàn)這八個(gè)領(lǐng)域是不能完全覆蓋的,有些領(lǐng)域?qū)ξ覀儊?lái)說(shuō)是新的,需要探索和摸索。

在過(guò)去的一年里,我們?cè)诮M建團(tuán)隊(duì),在空白和能力基礎(chǔ)不是很好的領(lǐng)域里,做快速學(xué)習(xí)和人員的儲(chǔ)備和培養(yǎng)。所以,特斯拉的攻破是我們通過(guò)6個(gè)月的努力,把各個(gè)模塊的技術(shù)能力建立完以后才取得的成果。

的確,做汽車(chē)安全研究與做移動(dòng)安全研究有很大的區(qū)別,因?yàn)椤败浻病倍家芨愕枚?,我們甚至認(rèn)為,在某些能力塊上,比如,對(duì)車(chē)型的理解、對(duì)硬件的理解,還不是特別能達(dá)到期望的水平,所以這些領(lǐng)域的確有很多繼續(xù)補(bǔ)足的需要。

我們和國(guó)內(nèi)的汽車(chē)廠商已經(jīng)有很多合作了,我希望通過(guò)實(shí)際的實(shí)戰(zhàn)案例來(lái)提升能力,而不是自己做一個(gè)研究。

Q:科恩實(shí)驗(yàn)室下一步有什么新的研究產(chǎn)品和新計(jì)劃?

呂一平:我們還是會(huì)專注在技術(shù)研究方面,比如,車(chē)聯(lián)網(wǎng)如何繼續(xù)?汽車(chē)安全我們會(huì)繼續(xù)做,物聯(lián)的安全我們也慢慢地關(guān)注了起來(lái),我們也在開(kāi)發(fā)其他的智能硬件。我們也在看虛擬化以及云的東西,未來(lái)我對(duì)我們的能力是有信心的,我相信未來(lái) 6 個(gè)月之內(nèi)還會(huì)有新的成果出來(lái)。 

破解特斯拉車(chē)端的科恩實(shí)驗(yàn)室:下一步攻破它的云端

雷峰網(wǎng)原創(chuàng)文章,未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知

分享:
相關(guān)文章

編輯、作者

跟蹤互聯(lián)網(wǎng)安全、黑客、極客。微信:qinqin0511。
當(dāng)月熱門(mén)文章
最新文章
請(qǐng)?zhí)顚?xiě)申請(qǐng)人資料
姓名
電話
郵箱
微信號(hào)
作品鏈接
個(gè)人簡(jiǎn)介
為了您的賬戶安全,請(qǐng)驗(yàn)證郵箱
您的郵箱還未驗(yàn)證,完成可獲20積分喲!
請(qǐng)驗(yàn)證您的郵箱
立即驗(yàn)證
完善賬號(hào)信息
您的賬號(hào)已經(jīng)綁定,現(xiàn)在您可以設(shè)置密碼以方便用郵箱登錄
立即設(shè)置 以后再說(shuō)