以下內(nèi)容整理自談思AutoSec 8周年年會(huì)。

分享嘉賓：蘇牧辰 阿維塔科技數(shù)字安全-車(chē)輛安全負(fù)責(zé)人

本次的演講主題為《阿維塔在車(chē)輛安全中以攻促防實(shí)例》，內(nèi)容相較于此前在談思平臺(tái)上分享的日常安全運(yùn)營(yíng)工作，這次會(huì)更偏技術(shù)化。

分享內(nèi)容主要分成兩個(gè)方面，一是介紹阿維塔安全團(tuán)隊(duì)在攻擊上面的一些探索，可能大家會(huì)覺(jué)得甲方是更偏防守的一方，但阿維塔一直是以一個(gè)縱深防御、以攻促防的思路來(lái)建設(shè)日常的安全工作以及團(tuán)隊(duì)；二是基于IDPS的策略實(shí)例，介紹一下阿維塔是如何根據(jù)以攻促防進(jìn)行要塞的防守。

目前，阿維塔的數(shù)字安全團(tuán)隊(duì)有20多個(gè)人，在日常工作中，幾乎每個(gè)人每天都在寫(xiě)代碼、做紅藍(lán)對(duì)抗，大家最大的興趣愛(ài)好就是給公司挖一些車(chē)云安全或者車(chē)輛安全的漏洞。

阿維塔安全團(tuán)隊(duì)的工作原則是憑手藝說(shuō)話、憑事實(shí)定級(jí)、憑自省提高，也就是說(shuō)，無(wú)論是做TARA，還是做漏洞分析，都必須自己證明：我至少能找到這個(gè)漏洞。而不是憑空跟業(yè)務(wù)講：某個(gè)地方很危險(xiǎn)，某個(gè)漏洞不修的話會(huì)怎樣……很重要的一點(diǎn)在于，漏洞找到之后能不能利用，而不是拿掃描器掃出來(lái)一堆CVB，然后去找業(yè)務(wù)反饋。

01 阿維塔安全攻擊實(shí)例

首先，來(lái)介紹阿維塔的一些攻擊實(shí)例。圖1顯示的是一個(gè)非常簡(jiǎn)單的案例，尤其是做乙方的朋友可能會(huì)特別熟悉，當(dāng)接到甲方的滲透測(cè)試時(shí)，無(wú)論是智能座艙，還是智能駕駛，首先要做的就是nmap一輪掃，看是否有開(kāi)放端口，再比對(duì)業(yè)務(wù)的端口設(shè)計(jì)文件，一旦發(fā)現(xiàn)有在這個(gè)設(shè)計(jì)文件里面沒(méi)有的端口，就會(huì)去跟業(yè)務(wù)確認(rèn)。

圖1

當(dāng)然，也會(huì)先做一些嘗試指令的連接，比如說(shuō)“adb connect”，這些連接都嘗試一遍后，往往就會(huì)發(fā)現(xiàn)這樣開(kāi)放到車(chē)機(jī)里的端口不止一個(gè)，這是因?yàn)槲覀兡玫降耐且粋€(gè)測(cè)試版本，而在測(cè)試階段，研發(fā)是有合理的需求去保留這么一個(gè)端口去打印日志，或者是輸出一些CAN信號(hào)。

這時(shí)，我們就要先跟研發(fā)進(jìn)行一輪確認(rèn)，并且也要捋一下日志里面的內(nèi)容，CAN信號(hào)也會(huì)打印一份出來(lái)看，如果這是 CDC 跟 TBOX 之間的CAN信號(hào)，但捋出來(lái)發(fā)現(xiàn)里面有跟 MDC、或者有一些敏感信息，那就是超微傳輸CAN信號(hào)了，就要進(jìn)行一些限制，并且要留底，以提醒研發(fā)在實(shí)際的商用版本中，關(guān)閉這些暴露端口。有必要的話，還要再做一些強(qiáng)密碼的保存，以便后面的調(diào)試。

圖2是我們阿維塔安全團(tuán)隊(duì)的工程師挖到的另一個(gè)比較有意思的漏洞。在研究了一款很多主機(jī)廠都采用的一套通用代碼的座艙后，在里面發(fā)現(xiàn)了一串地址，這串地址光用肉眼去看的話，是不太能知道講的是什么，有些地方可能有一些英文符號(hào)如news，或weather，從而猜測(cè)它可能是連接到座艙里的天氣，或者是某個(gè)消息中心。

圖2

在訪問(wèn)這些地址的時(shí)候，都需要用戶(hù)名及密碼，或者是一個(gè)權(quán)限。這時(shí)，以黑客的視角來(lái)看，就要想辦法去登錄這個(gè)地址，所以一開(kāi)始找到的那串地址不算是成功利用，那就要倒回到系統(tǒng)里去找這個(gè)“xml”文件，它里面肯定有一份文件記錄著如何去探測(cè)和登錄這個(gè)地址。

然后，我們把系統(tǒng)里的“config”文件捋了一遍，發(fā)現(xiàn)有一部分記錄了類(lèi)似用戶(hù)名密碼的內(nèi)容，但未必第一個(gè)用戶(hù)名密碼就是準(zhǔn)確的，所以要寫(xiě)一個(gè)腳本依次去登錄嘗試，最后成功登到了里面的平臺(tái)，并發(fā)現(xiàn)，只要找對(duì)了一個(gè)用戶(hù)名和密碼，就可以用它登錄所有平臺(tái)，相當(dāng)于這一臺(tái)座艙的車(chē)機(jī)，可以訪問(wèn)多個(gè)地址，因?yàn)樗家眠@些應(yīng)用服務(wù)。

這里要說(shuō)明一點(diǎn)，并不是說(shuō)登陸了別人的消息中心就是一個(gè)漏洞利用了，這不算一個(gè)完整的利用鏈路。登錄后，我們會(huì)寫(xiě)腳本去嘗試發(fā)送一些語(yǔ)句，尤其是news。因?yàn)楹诳偷墓粢词抢骝?qū)動(dòng)，要么是政治導(dǎo)向驅(qū)動(dòng)，所以最怕TA給座艙發(fā)一些（惡意）消息。

一般來(lái)說(shuō)，座艙的展示屏幕前端會(huì)不停地調(diào)取后端接口發(fā)的數(shù)據(jù)，所以我們就一直去探測(cè)類(lèi)似于news這樣的自研地址，并發(fā)送一些文字，比如說(shuō)一開(kāi)始就發(fā)“hello”，后面再?lài)L試發(fā)一些可能不雅的言論，測(cè)試用戶(hù)是否真的會(huì)受到影響。

嚴(yán)格來(lái)講，這個(gè)漏洞不是那種掃描出來(lái)后很難修復(fù)的漏洞，而是大量的代碼導(dǎo)致的邏輯漏洞，這也是在車(chē)機(jī)里面大家最怕的一種，如果有黑客思維的話，能在很多通用代碼里找到大量類(lèi)似問(wèn)題，所以這里也提醒大家以后要注意。

最后一個(gè)漏洞案例比較偏合規(guī)和體系，叫座艙安全刷寫(xiě)無(wú)校驗(yàn)，如圖3所示。車(chē)聯(lián)網(wǎng)安全行業(yè)的同仁可能都知道所謂的安全刷寫(xiě)和安全啟動(dòng)，二者都是AUTOSAR里面寫(xiě)得很標(biāo)準(zhǔn)的東西，測(cè)試手法大家也都知道，通俗一點(diǎn)講就是篡改，那篡改的到底是什么？

圖3

這里我將其概括為“包身包頭包尾巴”。我看過(guò)很多家主機(jī)廠的滲透測(cè)試報(bào)告，也包括在跟乙方進(jìn)行交流時(shí)，他們給到的測(cè)試條例上面就只會(huì)寫(xiě)“我會(huì)篡改你這個(gè)包，然后重新刷到一個(gè)控制器上，看看能否成功做這個(gè)刷寫(xiě)”。

但研究后發(fā)現(xiàn)，篡改不同的位置證明的是不同的東西，并且，篡改的內(nèi)容也是有區(qū)分的，比如RXSWIN（Regulation X Software Identification Number），它是R156 里面的一個(gè)概念，這個(gè)概念跟R155有一定的重疊，然后我就發(fā)現(xiàn)，改的東西不同測(cè)的也不一樣。

對(duì)應(yīng)這個(gè)法律法規(guī)，我們一般去篡改這個(gè)包的版本號(hào)，對(duì)應(yīng)的是R156里面的這個(gè)版本號(hào)的唯一性，就是說(shuō)一個(gè)OTA版本只能有一個(gè)版本號(hào)，所以車(chē)企要去做歐標(biāo)認(rèn)證的話，這一條就不能只是簡(jiǎn)單的一個(gè)篡改就能證明的，而是一定要證明篡改的是它的版本號(hào)。因?yàn)榘⒕S塔正好在做歐洲出海的項(xiàng)目，所以這塊就捋得比較細(xì)。

還有R155，通俗來(lái)講，改的就是簽名值，這也是基于之前做測(cè)試時(shí)的經(jīng)驗(yàn)。我們團(tuán)隊(duì)把這個(gè)包整個(gè)拆開(kāi)來(lái)改，改了一個(gè)“.s19”的文件后發(fā)現(xiàn)刷不成功，當(dāng)時(shí)改的不是簽名，也不是版本號(hào)。我們就發(fā)現(xiàn)，不是隨便打開(kāi)這個(gè)包，改一個(gè)配置文件，就能證明這個(gè)實(shí)驗(yàn)是成功的。

這里提醒一下，改“.s19”文件的時(shí)候，是會(huì)影響它本身的完整性校驗(yàn)的。所以我們只知道篡改，但并不知道改了什么東西。所以現(xiàn)在就做了嚴(yán)格的要求，并且把它對(duì)應(yīng)得比較細(xì)化。

02 實(shí)戰(zhàn)漏洞分布

講完阿維塔的漏洞攻擊實(shí)例，接下來(lái)講一下實(shí)戰(zhàn)漏洞分布。這個(gè)數(shù)據(jù)是基于阿維塔的日常工作所調(diào)研出來(lái)的，跟中汽中心或一些國(guó)檢中心的不一樣，他們是車(chē)云漏洞的占比更高，但因?yàn)槲覀儓F(tuán)隊(duì)更偏零部件、車(chē)端的滲透，所以碰到的端上漏洞更多。此外，由于我們這個(gè)車(chē)依賴(lài)的云平臺(tái)是華為車(chē)云，所以確實(shí)沒(méi)什么漏洞，不得不說(shuō)，華為在這方面做得挺好的。

至于為什么要說(shuō)安全減負(fù)，因?yàn)楣糇龆嗔酥缶蜁?huì)發(fā)現(xiàn)，安全需求并沒(méi)有那么難做，它不需要下得那么全面。下圖是按照阿維塔的車(chē)型項(xiàng)目節(jié)點(diǎn)去計(jì)算的安全團(tuán)隊(duì)解決問(wèn)題的速率。首先，平均每個(gè)車(chē)上解決的漏洞是25個(gè)，這25個(gè)指的是把所有的組件漏洞合并之后，那些需要組件升級(jí)的往往會(huì)被我歸并成一個(gè)。

目前，阿維塔已經(jīng)把信息安全納入了質(zhì)量標(biāo)準(zhǔn)，即整車(chē)上市之前，在信息安全層面也要符合公司的質(zhì)量標(biāo)準(zhǔn)。其解決率為98%，即量產(chǎn)之前，車(chē)輛的高危及中規(guī)漏洞要消除為零，可能會(huì)有一、兩個(gè)屬于可以去澄清或沒(méi)有辦法解決的中危漏洞，但是它不可被利用，那這種情況是可以放過(guò)的。

圖4是卡點(diǎn)攻擊面的一些分析，首先是TARA分析，TARA在做的過(guò)程中很容易邊界模糊，把所有的功能錄進(jìn)去之后，有些時(shí)候會(huì)發(fā)現(xiàn)不知道自己在分析什么了。所以我們會(huì)采用幾個(gè)方法論，一個(gè)是定性，一個(gè)是定量，然后再用一個(gè)風(fēng)險(xiǎn)倒推。有的風(fēng)險(xiǎn)其實(shí)是能想象得到的，所以就能用這種倒推的形式完成整個(gè)TARA分析，這樣也能保證這個(gè)分析不是超出認(rèn)知和常識(shí)的。

圖4

舉個(gè)例子，我們經(jīng)常講SecOC，也都知道SecOC是一段 Mac 值加一段新鮮值，它上在任何一個(gè)信號(hào)上都會(huì)影響這個(gè)信號(hào)本身傳輸?shù)乃俾?，在讓電子電器架?gòu)設(shè)計(jì)的時(shí)候，他都會(huì)說(shuō)“Mac值加FA值得占多少個(gè)BT、影響私CAN的負(fù)載率……”所以我們往往就只能在那些所謂定級(jí)最高的信號(hào)上推這個(gè)防護(hù)措施，但是往往定級(jí)最高的信號(hào)，它的傳輸實(shí)時(shí)率要求又很高，所以在這方面，安全概念就成了一個(gè)悖論。

再比如，一些動(dòng)力域發(fā)到電驅(qū)的信號(hào)很重要、不能被篡改。但事實(shí)是，很多電驅(qū)是掛在動(dòng)力域下面，中間走的是私CAN，這個(gè)時(shí)候SecOC對(duì)這兩個(gè)控制器其實(shí)一點(diǎn)幫助都沒(méi)有，因?yàn)樗荒芙鉀Q跨域傳輸?shù)膯?wèn)題，對(duì)私CAN是完全不進(jìn)行校驗(yàn)的。所以我們就在原有的一套理論和方法論上面減了很多負(fù)，取消了私CAN上面的SecOC。

其次，安全的需求特性。還是剛才那個(gè)例子，保護(hù)不同的信號(hào)一定要定到非常細(xì)的方案上，一一對(duì)應(yīng)。再就是安全方案設(shè)計(jì)，我們團(tuán)隊(duì)中的任何一個(gè)工程師，都能指導(dǎo)SecOC代碼的編寫(xiě)，以及調(diào)庫(kù)。經(jīng)常會(huì)遇到一些供應(yīng)商，他可能是第一次寫(xiě)，我們會(huì)告訴他AES的算法哪個(gè)庫(kù)會(huì)比較好用，會(huì)剪裁得比較好，還會(huì)告訴他整個(gè)算法怎么去排這個(gè)邏輯。

最后就是我們能自己去閉環(huán)進(jìn)行符合性測(cè)試。符合性測(cè)試跟滲透測(cè)試的區(qū)別大家也知道，符合性就是下了需求后，有沒(méi)有給做；滲透就是在做了這個(gè)安全需求的基礎(chǔ)上，還能不能通過(guò)其他的黑客手段再進(jìn)入到這個(gè)體系內(nèi)造成一些威脅。這就是我們整個(gè)卡點(diǎn)的一個(gè)思路。

這里我理了一個(gè)簡(jiǎn)易的分類(lèi)，由于每家車(chē)企的電子電架構(gòu)不一樣，這個(gè)只是給大家做一個(gè)參考，如圖5。

圖5

首先，是智能座艙、網(wǎng)關(guān)、智駕、T-box分為一類(lèi)，這是所有信息安全方案基本都要上的一類(lèi)；第二類(lèi)是BLE等，上的安全方案也比較多，相對(duì)前一類(lèi)少一個(gè)TLS，因?yàn)樗恢苯痈贫诉M(jìn)行交互，而且有可能不跟其他三個(gè)件做間接的 TLS，因?yàn)樗粋鬏斆舾袛?shù)據(jù)；第三類(lèi)是轉(zhuǎn)向、電驅(qū)和無(wú)接觸充電。

最后一類(lèi)比較極端，什么安全方案都不用上，比如說(shuō)香氛。其實(shí)我們的業(yè)務(wù)很規(guī)范，做了體系之后，他們?cè)诿總€(gè)項(xiàng)目上都會(huì)來(lái)確認(rèn)“xx控制器有沒(méi)有信息安全的需求”，我會(huì)直接告訴他“沒(méi)有，你不要擔(dān)心。那上面既沒(méi)有代碼，也不OTA，做什么信息安全呢？”所以真正要實(shí)施信息安全方案的控制器并沒(méi)有那么多，而且有的控制器的方案還是重合的。

03 IDPS編寫(xiě)實(shí)例

最后給大家分享一下阿維塔的IDPS編寫(xiě)實(shí)例。雖然沒(méi)有任何一個(gè)強(qiáng)標(biāo)要求主機(jī)廠一定要買(mǎi)IDPS，但所有強(qiáng)標(biāo)的導(dǎo)向中都規(guī)定車(chē)企要具有車(chē)端的防護(hù)能力，以及實(shí)時(shí)監(jiān)測(cè)有沒(méi)有威脅入侵的能力，它對(duì)應(yīng)的其實(shí)就是IDPS。

相信大家都并不陌生IDPS，以前從事過(guò)互聯(lián)網(wǎng)的同仁會(huì)更熟悉，其實(shí)就是把主機(jī)安全的東西移到車(chē)上，把車(chē)當(dāng)做一臺(tái)電腦。基于這樣的思路，我們做了一些拆解。在跟華為合作的主機(jī)廠里面，阿維塔是第一個(gè)推動(dòng)華為共建 IDPS 能力的，雙方一起寫(xiě)了這版策略。

這里重點(diǎn)講下我們?cè)趺丛贗DPS的策略上面減負(fù)的。有的主機(jī)廠可能會(huì)讓咨詢(xún)公司出一套IDPS策略，但這種策略一般會(huì)比較粗糙，只會(huì)大概說(shuō)有哪幾個(gè)部署點(diǎn)，有哪些探針……但是對(duì)于這些探針的策略實(shí)際上要細(xì)化到通過(guò)采什么、計(jì)算什么，以及要去讀整個(gè)系統(tǒng)里的哪個(gè)配置文件。

或許大家可能沒(méi)有關(guān)心到那么底層，但我們團(tuán)隊(duì)對(duì)這個(gè)直接梳理到了底層，其中就有這么幾個(gè)案例。第一個(gè)是我們?cè)趦?yōu)化減負(fù)的時(shí)候，跟“網(wǎng)絡(luò)配置篡改檢測(cè)”這個(gè)問(wèn)題battle了很久，一開(kāi)始下的策略是對(duì)這個(gè)文件要進(jìn)行全面的監(jiān)測(cè)，無(wú)論是讀的權(quán)限還是寫(xiě)的權(quán)限，這個(gè)配置文件全都要較高頻率地監(jiān)聽(tīng)。

但在跟研發(fā)探討了幾輪后發(fā)現(xiàn)，這個(gè)文件本身權(quán)限就控得很死，是一個(gè)只讀，在只讀的前提下，又只有兩個(gè)進(jìn)程可以進(jìn)它的root，而且這兩個(gè)進(jìn)程的權(quán)限也幾乎就是最高的權(quán)限了。所以我們就把這些只讀文件的監(jiān)聽(tīng)范圍做了一輪縮小，畢竟安全團(tuán)隊(duì)自己都完全沒(méi)有辦法攻擊進(jìn)去，業(yè)內(nèi)黑客做了評(píng)估后發(fā)現(xiàn)，也沒(méi)辦法進(jìn)去，那就沒(méi)必要去監(jiān)聽(tīng)這些文件了，哪怕這些文件里面確實(shí)寫(xiě)的是非常高敏的東西，但這個(gè)時(shí)候要得放且放，畢竟，在甲方的工作里面，去防這些未知的攻擊手段其實(shí)是不現(xiàn)實(shí)的。

第二個(gè)案例是異常賬號(hào)檢測(cè)。其實(shí)和上面那個(gè)案例類(lèi)似，我們會(huì)去盤(pán)點(diǎn)這個(gè)賬號(hào)本身有沒(méi)有保護(hù)機(jī)制，有的話還需不需要做那么全面的監(jiān)聽(tīng)。最后一個(gè)案例是敏感文件監(jiān)控，大家都知道IDPS是要上傳日志到VSOC進(jìn)行分析的，我們一開(kāi)始是要求全量的日志都要上傳，但后來(lái)反思了一個(gè)問(wèn)題：安全運(yùn)營(yíng)排查的時(shí)候，真的要看日志的其他字段嗎？那些沒(méi)有用的字段為什么要上傳上來(lái)？有的字段在告警的階段已經(jīng)被用于記算了，還要它原本字段的這些內(nèi)容干嘛？所以我們就刪除了那些安全排查無(wú)用的字段，最后幫助性能整體提升了20%。

最后，我們也弄了一個(gè)閉環(huán)驗(yàn)證實(shí)驗(yàn)，這個(gè)是跟我們部門(mén)負(fù)責(zé)IDPS的同事一起寫(xiě)的文檔。研發(fā)在幫我們正向開(kāi)發(fā)的時(shí)候，我們就會(huì)直接把那個(gè)測(cè)試 ID 寫(xiě)出來(lái)給他。當(dāng)時(shí)研發(fā)質(zhì)疑一個(gè)只讀文件配置的時(shí)候，就說(shuō)“你自己能不能寫(xiě)出測(cè)試條例來(lái)？我都不知道這個(gè)怎么黑進(jìn)去，那相應(yīng)的安全日志也不會(huì)記錄下來(lái)”。

當(dāng)時(shí)，我們也battle了好幾輪，最后被說(shuō)服了，后來(lái)在出策略的同時(shí)，針對(duì)這個(gè)策略必須寫(xiě)一條測(cè)試用例出來(lái)，這樣才能閉環(huán)地給研發(fā)證明，這個(gè)東西是有用的，也是有實(shí)際研發(fā)價(jià)值的。還有就是端口掃描。端口掃描在策略上其實(shí)可以玩得很花，可以是強(qiáng)策略，也可以是弱策略。

阿維塔的安全團(tuán)隊(duì)一直秉持就是多搞技術(shù)，少說(shuō)空話、持續(xù)學(xué)習(xí)、開(kāi)放態(tài)度，這也是我們的延續(xù)之本。

完整演講PPT下載，可關(guān)注“談思汽車(chē)”公眾號(hào)，后臺(tái)回復(fù)關(guān)鍵詞“阿維塔演講PPT”，獲取下載鏈接。

- THE END -

審核編輯 黃宇