腾讯Blade Team胡珀:IoT时代,“白帽子”以网为剑捍卫安全
10月10日至10月11日,第三届腾讯安全国际技术峰会(TenSec2018)在深圳顺利举办。由腾讯安全发起、腾讯安全科恩实验室与腾讯安全平台部联合主办,腾讯安全学院协办的TenSec 2018,邀请了来国内外业界技术大咖,共同探讨物联网、云计算、区块链等多领域的安全问题。
作为前沿技术安全研究团队代表,腾讯安全平台部总监、Tencent Blade Team负责人胡珀在会上进行了分享。TencentBlade Team近年来在智能设备安全研究方面积累了大量成果,包括发现首个谷歌TensorFlow AI框架漏洞、远程操控智能家居与商业楼宇、破解亚马逊智能音箱Echo等。在胡珀看来,到了物联网时代,被黑客攻击,带来的问题不但只是损失资料或财产,还很可能危害生命安全,而Tencent Blade Team的研究工作正是对IoT领域安全问题的事前布局和未雨绸缪。
同时,胡珀也向参会嘉宾介绍了腾讯TSRC平台漏洞奖励计划。腾讯TSRC作为全国首家企业自建的漏洞提交平台,通过奖励反馈系统漏洞的安全研究人员(俗称“白帽子”),逐渐搭建出一个健康运转、良性循环的生态系统,与“白帽子”们一同捍卫全球亿万用户安全。
腾讯安全平台部总监、Tencent Blade Team负责人胡珀
以下为胡珀发言全文:
非常高兴今天能到讲台上跟大家分享腾讯安全平台部在IoT安全方面的工作,也非常荣幸。先做一个自我介绍,我是胡珀(外号lake2),在腾讯安全平台部负责运维安全领域,简单来说就是负责黑客攻防对抗。2007年加入腾讯安全平台部后,我一直在从事腾讯平台的安全工作。2007年到2010年,这段时间我们重点放在网址检测、数据保护、反入侵,尤其是IDC的黑客入侵,以及漏洞的发现和检查等。但随着互联网的发展,智能家居、智慧楼宇等大范围进入我们的生活,物联网产业、IoT智能设备迎来巨大发展,这块的安全问题在未来是非常重要的。
过去系统被黑客攻击,顶多是损失资料。到了支付时代,损失的可能是真金白银。到了物联网时代,很可能危害生命安全。如果黑客控制了物联网设备,很可能会对我们的生命带来威胁。今天我主要讲的就是腾讯安全Blade团队对智能安全方面的研究工作。
Tencnet Blade Team成军于去年,目前主要聚焦在AI安全、IoT、移动设备安全这块,大家也可以去我们的官网blade.tencent.com了解我们的研究成果。这次演讲的大概框架是四方面。第一,介绍IoT时代。第二,介绍Tencent Blade Team的研究成果。第三,作为设备厂商怎么保证新兴产品的安全,怎么来做供应链。第四,总结。
首先说一下IoT时代。智能手机刚普及时,可能我们从来没有想过,几年之后居然还有越来越多的智能设备出现,从路由器、智能摄像头、智能楼宇、智能家居等等,数不胜数。
但智能设备的安全问题也确实不容忽视。从我们的经验来看,传统商场以前黑客很难接触到,但一旦设备联网之后,全球的黑客都可以尝试进行攻击,就容易出问题。就像看到现在新闻里说的,路由器被黑客利用,装上木马攻击别人。从2008年开始,这种黑客攻击事件愈演愈烈。
我们对去年腾讯DDoS数据进行了分析,PC及传统设备的攻击率是84%,新兴IOT设备的攻击率是16%。现在有大量的IoT设备可以上网,但对安全的重视不足,存在许多漏洞,导致大量设备被黑客控制进行攻击,趋势明显增加,大家有兴趣可以关注我们今年年底的行业报告,有大量的摄像头、路由器都被拿来做DooS攻击。
同时,从这些案例和数据当中,我们也能由点到面分析出全局形式。智能设备的链路经过演变,基本形成了稳定的架构。IoT设备可以用手机APP控制,在云端可能有交互,储存数据,通过云端下发指令。如果它出了问题,第一,手机APP可能会出问题;第二,IoT设备本身会被黑客控制;第三,云端出问题,可能是传统的黑客攻击,比如有一个命令注入,黑客就可以黑掉,然后逐步控制设备。
另外比较重要的是APP和IoT设备之间,或者IoT设备和云之间,通信协议也可能有问题,黑客可以通过流量劫持监管权限,我们分析的情况就是这样的,接下来我讲述的第二部分,Tencent Blade Team的研究成果里,很多案例都是基于这个架构发现的问题。
第一个案例,2014年有一个智能插座,可以用手机APP控制插座的开和关,还可以定时,有一系列的智能功能。但实际在测试过程中我们发现,通信协议有问题,简单来说就是认证有问题,要直接通过网络传输,只要我知道这个设备链接地址,就可以随意控制拿到权限,这个其实是有传输问题。
第二个案例,这是2015年的研究,可以通过手机APP控制烤箱的温度和时间。我们对烤箱进行分析,发现它也存在两个问题,一个是把密钥直接写在程序里,对APP进行立项。传输是明文的,拿到密钥就可以解开指令,用自己的指令控制它。还有一个逻辑问题,只要把传输控制温度传过去,就可以绕开温度限制,使烤箱使用达到温度极限。当然我们具体没有进行测试,但烤箱如果空转,温度非常高,可能会导致机器的爆炸,这其实就是智能设备影响人身安全的案例。
还有POS机,这也是2015年的事。那时在线支付还没有那么先进,当时会用手机加上POS机的形式来刷卡。比较有意思的是,我们对比较火的POS机进行了分析,直接把包拿下来,就可以把包解开把参数改掉,比如转一块钱,可以改成转一万块钱,账号也可以改掉。只要他在这个POS机上刷过卡,我就可以把所有的钱转到自己的账号上,这就是一个真金白银的案例。
还有智能摄像头,现在很多的摄像头可能是通过Wifi把信号存储到云端,再通过一些设备回看和回放。实际它在这个过程中也会存在问题,比如做中间的劫持,把原有的视频信号替换掉,或者是提前录一段没有异常的视频。这个图就是把摄像头投到手机里,但实际我被中间人劫持攻击了,直接把视频的信号替换掉,把QQ公仔就给换掉了。当时我们测了,市面上大部分的产品都有这种问题,也报给了厂商进行修复。
这个是无人机的案例,我们对当时国内某品牌无人机进行了分析,发现可以拿到协议并破解协议实现控制。我们的同事就做了一个无线电发射器,绕过该品牌无人机的防护。只要这个设备靠近无人机,机器就不会听机主的指令。当时我们也做了演示,其实就是无线电的信号劫持。
还有刚刚讲的Tencent Blade Team对智能楼宇的研究。现在的楼宇跟传统楼宇不一样,里面的电力、水、风、光都可以通过APP或入口端进行控制。这种智能楼宇方便管理、很强大,甚至可以自己进行编程,比如遇到什么触发条件就可以自动执行某些动作,方便的同时也会带来很大的问题,我们对腾讯最新的大楼——腾讯滨海大厦做了一个安全测试。滨海大厦里面IoT设备超过40多种,IoT节点也非常多,但我们分析,这个大厦使用的某品牌智能楼宇框架存在漏洞。后来我们把几个厂商拿来分析了一下,有一些问题,用了口令加密,甚至还有不加密的,还有不安全的重新加入机制,还可以使用旧版协议,这个也容易被破解,这些问题大部分我们都报给厂商进行了修复,为了方便测试,我们结合了网上开源的一些测试工具进行了比较,现在的工具还不是特别完善,后续产品稳定,我们就会开源放出来,让大家去测IoT的安全。当时我们对滨海大厦的某一层进行测试,这个节点正好就在比较高的某一楼层,我们想真正模拟黑客去测试,用无人机加信号发射器飞到大厦高层的外面,只要公寓足够大,楼层里能接收到我的信号,我就可以对它进行控制。
这是当时的测试截图,红点就是无人机,飞到大厦高层,然后把整层的灯光打开,又发了一个信号,把灯光熄灭了,然后把窗帘打开了。这个危害根据智能楼宇的功能而定,比如智能楼宇能控制插座,我就可以攻击插座。能控制窗帘,就能攻击窗帘。当时我们试了一下,可以把灯光打开再熄灭,再按一定的频率闪烁,我们把问题报给了厂商,目前已经修复了。像这种智能系统,未来对我们的人身安全确实有可能带来很大的影响。
这个是攻击AI智能设备的。谷歌有一个机器学习框架,叫做TensorFlow,我们团队进行研究时发现,这个框架有大量的人使用,但很少有人研究它的安全问题。我们做了一些研究发现,它存在安全问题。比较典型的是黑客可以自己构造恶意的虚拟文件,把虚拟文件给到框架,框架只要一读取文件就会被黑掉,黑客就可以控制整个系统。
还使用了一些第三方库,处理协议时也会有溢出,导致框架被控制。我们当时做了一个demo,也报给了官方。当时谷歌还没有漏洞的报告渠道,我们就协助他们建立并完善了这一机制。后续如果大家有发现漏洞,可以发给他们,他们现在建立了一系列的漏洞报告流程和机制。
这个是亚马逊的智能音箱,智能音箱比较常用,很多人会放在卧室、客厅等地方。但大家有没有想过,放在这种比较私密的位置,它有可能会变成窃听器,或者半夜失控,播放恐怖声音?
亚马逊音箱是全球最火的音箱,我们就拆开提取了里面的固件,把芯片取出来了。我们团队之前也没有做过硬件设备的拆卸,特别是把芯片提取出来,为此我们还专门去了中国最大的电子市场——华强北,找了一个老师傅学习,怎样把电子元器件取出来,后来也掌握了这门技能。
把芯片取出来之后,我们发现第三方组件存在溢出,又有一系列的漏洞,把几个漏洞配合起来,就能成功地实现对亚马逊音箱的攻击。因为亚马逊的音箱是,你可以在家里放好几个,如果拿到一台,先修改固件,获得控制权限,把这台音箱放到局域网里,通过前面所说的一系列漏洞组合,就可以通过协议把其他的设备全部进行控制。控制好了就有了权限,等同于可以为所欲为。我们当时演示的是做成窃听器。比如这个音箱原本有特定词语才能唤醒,但在控制之下,不需要唤醒,只要有内容就可以全部传到云端。也可以把播放的内容替换掉,让它播放国歌或其他的东西,都可以。这也证明智能设备对生活隐私的影响。后来我们也把漏洞报给了亚马逊,亚马逊官方也修改得比较快,目前漏洞已经修复了。
同样,我们对小米产品也进行了测试,发现了一系列的问题,也报给了官方,现在也已经修复好了。
前面讲了一些IoT设备存在的安全问题以及对我们生活的影响,接下来我们进入第三部分,探讨一下在设计IoT产品时,怎样让它更安全。
其实这也是参考了微软的SDL,从产品需求设计开始到设计、验证、编码、上线、上线后响应,都有一系列的流程,在腾讯,重要的产品都是按照这个流程执行的。关键技术点可能不同,但整个流程是一致的。下面可以分享一下几个流程中的核心点。
刚才我提到,整个智能设备架构有四个问题,这里把四个问题列出来了。一是手机APP的问题,手机APP不能出问题。我们在分析的过程中发现,有好多问题在于研发阶段安全意识不足,可能会把密码、私钥直接写死在APP里,黑客很容易提取出来。还存在一些其他的问题,比如使用明文来传输。
二是在云端不加密传输,很容易被黑客进行攻击。或者是选用的蓝牙、Wifi有问题,这时候也很容易被黑客控制。
三是智能设备本身的硬件安全,固件是不是很容易被提取出来做分析。
四是云端的安全,Server有没有漏洞,会不会被黑客控制,还有数据存储是否精确。
这四个方面有大量的案例,包括前面讲的case都可以证明。如果做IoT的安全,就可以从这四方面做规范设计。
规范有了,流程机制有了,但实现的时候还是会出问题。企业安全,不管是IoT或者是以前的移动APP或者是PC,甚至是外部的,都会遇到这种问题。比如使用的流程ok,使用的规范也有,也遵循了,但实现时会出问题。另外一个很重要的,在设备上线之前,要做安全测试。
右边是我们团队对移动APP做的安全系统,上线前会做测试,发现使用了接入板的组件,一般来说就可以做成自动化和人工审计结合的形式。还有协议的审计,都有不同的测试。
下面是自动化测试的流程,先把程序提交,通过控制中心开始审计。上面是通过审计出来的报告。
我们接触到很多IoT设备,发现有一些厂商的安全能力或者说研发能力比较紧缺,这种时候如果你再让他建立流程,其实比较复杂。比较好的方法是安全厂商提供SDK给到厂商,所有的安全问题由SDK负责。比如协议加密、算法强度,直接调用SDK。我看到的不管是国内外,都有安全厂商做这方面的事情。接下来,我们BladeTeam也会研究是否有SDK缓解这个问题,期待明年跟大家进行分享的时候,SDK会有一些开源,给到大家一些帮助。
前面讲的是机制和流程,但除此之外,是在上线之后,也要有可执行、可落地的漏洞响应流程。我们最开始找不到谷歌漏洞报告的邮箱,因为它没有这个机制,也没有相关人员负责这个事情。后来我们协助它把流程打通,未来再有人发现漏洞,都可以通过这个流程反馈。
2012年,腾讯成立了腾讯安全应急响应中心,对腾讯所有的客户端产品、网站甚至是系统,都有漏洞奖励计划,面向全球希望能发现其中的问题。这个奖励计划也是由我们团队运营的,在运营过程中发现,比如Blade Team,可能会做很多针对性的测试,但实际一个团队对安全的见解或思路是有限的。
我们发现,一个漏洞测完之后,但放到线上发现还是有问题,可能有非常巧妙的思路是我们没想到的。所以后来我们就推出了漏洞奖励计划,希望全球的安全研究者能研究我们的问题,然后报给我们。我们一方面能修复产品问题,另一方面也能发现团队自己的思路短板进行改善。
腾讯是互联公司,网站业务居多,所以漏洞报告也是很多的。可以看到即使我们做了SDK流程,也做了很多的测试,但还是有一些问题会暴露在线上。为什么?就是刚才我说的系统与短板,就是我们对安全的理解,或者说一些攻击思路有问题,我们会通过奖励计划反哺系统,每一年通过外部报告漏洞对系统进行优化。漏洞奖励计划是2012年开始实施的,2012年之后我们的系统拿到了很多的优化,得到了很多改善。
为什么我最后要讲一下漏洞奖励计划?也是希望能呼吁厂商积极寻找漏洞问题,有些东西并不是能掩盖住的,其实中国这块现在做得也比较好,希望未来会更好,希望有能力的厂商尝试一下漏洞奖励计划。
最后做一个总结。现在我们所处的时代可以理解为IoT安全元年,IoT很多设备现在非常流行,未来也会有爆发式的增长。可以类比2010年、2011年左右,移动设备大量增长,也带来了严重的安全问题。我特别有感触,当时有很多国内外厂商都对安卓进行了很多研究。其实到了现在,安卓的安全问题还是非常多,说明安全一定要走在产品的前面。现在既然我们知道IoT会爆发,那我们为什么不提前做布局呢?
从这几年的趋势中可以看到,越来越多的设备上线,但越来越多的设备存在问题,会被黑客控制,拿去做DOoS。最近比较有意思的是,以前我们可以看到,黑客拿你的设备做DOoS攻击别人,但现在他不做DOoS了,他拿去挖矿了,说明黑产也是与时俱进,所以未来的网络安全,我们认为是物联网的安全,是一个大的广义范围。
未来安全可能会涉及隐私和人身安全。前面也提到,以前可能只是电脑被黑,数据丢失,或者是钱受了一些损失。但是到了未来,就像刚才我们演示的对音箱的控制,可以在你的卧室里作为窃听器,作为窃听器的同时也可以实现音箱的功能,用户毫无感知。还有其他的团队,比如科恩,他们对车联网上的安全研究也可以发现,未来的黑客攻击可能会真正影响人的生命安全。
前段时间我们团队也在对一些智能驾驶系统使用的图像识别做研究,发现可以通过一些简单的方法把交通路牌做一些人脸看不到的变更,从而影响汽车。比如这里是限速80,我可以改为限速30,不能右转改为可以右转,人根本感知不到,但对机器设备来说是有问题的,所以未来的IOT安全会上升到一定的高度,就像现在的网络安全一样,也上升到了国家级高度。
最后打一个小广告。欢迎大家参加腾讯漏洞奖励计划,这是网址。如果大家发现腾讯了一些安全问题,可以通过渠道报告给我们,腾讯会进行响应和处理。谢谢大家!