原标题:阿里安全侯客:“一分钟”打飞机|GeekPwn 2018
十月底的上海,带着凛冽前的温柔。
10月24日也算是个特殊日子——全球程序员节,GeekPwn(极棒)似乎给这个时间带来些许仪式感,属于白帽黑客们的仪式感。
这里有炫酷的灯光,暗黑的音效,绝杀的机器,逗乐的主持,牛X的评委(大佬)还有不知谁写的剧本。这是2018的极棒。
以过往参加极棒的经验,这场白帽黑客大赛毫无疑问属于闻者开心,厂商落泪的刺激战场。但始料未及,主办方这次开了个角色扮演的副本,故事背景是人工智能经过飞速的发展,以不断加速的状态重新设计自身,并在一场机器挑战人类的战争后取得了星球的统治权。这时候开始有一部分觉醒的白帽黑客对抗人工智能的虚拟世界,现场每一个破解秀都是觉醒白帽黑客为了突破人工智能统治的世界,突破重重阻碍、击败个个难关,拯救人类的科幻史诗。
(没错,就是这样的金手指剧情)
而阿里安全猎户座实验室资深专家侯客的故事开始在逃脱囚笼之后被无人机追踪路上。
一分钟“打飞机”
影视作品向来源于生活并高于生活。
身前是逃脱之门,身后是敌方追逐,神秘白帽黑客上演骚操作,回眸间,无人机垂直坠落,他双眸一闪,露出英气一笑,转身跑开。
以上只是编辑根据剧情完美想象,现实其实很朴实。
在事先进行设备检查并显示一切正常之后,主持人一声令下,挑战开始。侯客通过逻辑漏洞入侵无人机的智能电池,进而在智能电池里面植入恶意代码,在无人机起飞飞行一分钟后突然触发电池断电。
为了证明不存在作弊行为(其实也是增加看点),主办方特意找了其他操作手,在无人机飞到一定高度后,全场眼睁睁看着它像被某种神秘力量扯住,突然坠落。
时间刚好是1分钟。
相比从前各大挑战赛中看到的无人机劫持展示多是利用漏洞黑进内部系统进行操控,侯客的这次攻击显然另辟蹊径。
至于为什么会研究智能电池攻击,侯客告诉雷锋网编辑,在买到无人机以后,不进行破坏就能完整获取的就是遥控器,无人机主机,以及电池。其中电池是供电的基础能量单元,如果能对其实现攻击,对整个飞机的体系架构来讲是一种根本性的攻破。
而这些新的攻击方式也都可能被黑灰产或者不怀好意的攻击者利用,厂商需要提前知道这些可能存在的隐患和漏洞,提前修复,提升防御能力,这也是侯客研究这些攻击方式的重要意义。
在现场的演示中,侯客所做的就是绕过无人机电池固件升级的数字签名校验,将自制恶意固件植入到智能电池中,能够在指定条件下触发电池突然断电,让无人机坠机。
例如:在电池循环充电10次后,起飞触发坠机在飞机飞行高度达到500米高度后,触发电池使用5分钟坠机等。
智能电池存隐患
为什么到极棒现场分享自己的研究成果?
从技术角度来说,他认为这是一个具有代表性的,数字世界影响到物理世界的一种新型攻击形式。
在侯客此次的发现中,智能电池作为电子设备(例如手机,笔记本电脑,无人机,电动车)最流行也是最重要的能量补给单元,未来将会成为危害性非常大的攻击面,即利用数字态的漏洞来入侵电池将会对物理世界造成很大的危害。比如电动车被降低了电池使用寿命,或者使用过程中突然断电,又或更狠一点直接让电池发生爆炸起火?
总之,智能电池的数字态设计缺陷如果被攻击者利用可能导致非常严重后果。
这是种概念性的攻击,也就是未来这种攻击方式的一种概念——售后攻击。
怎么解释售后?
打个比方,一个攻击者买了一个很贵的电子产品,并且找到了里面的漏洞,然后他在产品中植入的恶意固件。
随后向产品售后部门谎称东西有问题,需要检测。售后部门拿到带有后面的产品,并且通过专门的调试工具啊和诊断工具进行检测。一旦将设备接入到调试环境中,后门代码就会起作用,可能窃取调试、诊断工具并存在设备中。
诊断完成后,售后部门的人觉得没有问题,将产品给对方发了回去。此时攻击者拿到的设备就变成了宝藏,里面存有某些公司的机密工具。
还有一种情况,可能在拿给售后的设备中植入了木马,一旦对方接受就感染对方电脑,进而通过控制一台电脑渗透整个企业网络,窃取公司机密。
“这种概念性的攻击我相信未来一定会出现,所以我觉得我的研究非常具有前瞻性,这也是我为什么要去做这方面的研究,这是一种基础设施的攻击,他在很多领域都会应用到,并不只针对无人机。”侯客表示。
独行侠
侯客不是一个理想主义白帽黑客,不喜欢为了挖洞而挖洞。
据说他的搞“机”史起源于2016年,起先只是个人兴趣,买了一台P4无人机玩,玩着玩着就想研究一下。白帽黑客的兴趣往往就是破解的开始。据侯客说,当时他把整个无人机拆机,去分析其中的系统固件、传感器、模块。
他从2017年开始独自研究智能电池了一年多,期间遇到过种种瓶颈。
“有很多东西都是我以前没有接触到接触到的,只能现学现用,要学习很多东西,比如电池芯片的分析调试,写恶意代码也需要调试,你又没有工厂的调试环境,所以很多情况下你还是需要靠人品依靠运气。即使你能保证代码一次协同成功,测试成功,还得观测里面的内存的一些变化,来判断这飞机是否正常运行,总之这是一个非常痛苦的过程。”
侯客也想过放弃,曾遇到一个电池校验的算法,那块芯片对于他来讲是个黑盒,而且也访问不到内部结构,实在没有办法搞定。“所以这个过程是非常痛苦的,我心里也没有底。最后花费了很多时间才搞定。”
另一件让侯客头疼的事就是自制恶意固件了。
他花费了几个月时间,去分析正常固件的样子以及通讯机制运行的过程。怎样在不破坏正常电池逻辑的条件下触发断电逻辑,断电时间多少也需要控制。
“我做这些其实是希望能够推动业界对这方面安全的重视,更加注重完善产品开发。”侯客说。
修复不易
当然,创新不易,修复也不易。
从整个智能电池产业来说,是不是需要与最底层芯片厂商沟通修复?但这种通过增加保护机制的推动缓慢而困难,毕竟如此一来修复不止是一个品牌事件,而需要整个行业承担。
如果想要快速解决相关问题,无人机厂商可以在产品中添加一些缓解机制。
“从安全的角度来看,这件事就是可信计算被绕过引发的问题,所以缓解机制就是在整个架构方面改善各个传感器之间的通讯安全,以及运行环境安全。这是一个逻辑性的问题,需要从产品上做一些更新迭代。”
这种更新相比传统的修复方式更难,因为覆盖面极广,所有产品线都用到这套方案,可以说在设计无人机之初就留有的隐患。
当然,对于读者来说,这种攻击方式离现实仍有一定距离。
首先这仍是一个概念性的问题,其次这种攻击存有一定的条件和门槛,且是很高的门槛。对于犯罪分子来讲,如果一项攻击投入要比产出多得多,他们未必会去做这件事情。
“但对于走在前沿的安全研究人员来讲,有责任向大众传递这样一个信息:这个世界没有想象中那么危险,但是这些危险的确存在,真正需要重视相关安全的是厂商。”
后记
当然,侯客搞“机”也很挑剔,要搞只搞知名的无人机厂商。用他的话来说,不喜欢挑软柿子捏。“我肯定会选择一些做得不错的去研究,他们市场覆盖率高、受众广,一旦有漏洞能被攻击,危害也最大,但要发现他们的漏洞也极具挑战性的。”
被一次又一次搞,这些厂商不会恨死你吗?
没有一个厂家希望被曝光这种信息,但是必须有人去顶住这些压力。
大牛蛙也在采访中心酸的回忆曾和一些厂商闹的不愉快。
为了保证安全我们添加了无数安全机制,但相应的这些安全机制本身也存在或多或少的问题,所以安全到底要如何保证?这个问题很难回答。
这些白帽黑客之于我们是什么?
主持人蒋昌建曾经说过一句话,黑夜给了我黑色的眼睛,我却注定要用它寻找白帽黑客,因为他们能带我走向光明。
这句土味情话在此处有些可爱,更可爱的是这些愿意为此努力的白帽子们。
雷锋网宅客频道(微信公众号:letshome),专注先锋技术,讲述黑客背后故事,欢迎关注雷锋网宅客频道。