標籤:

如何看待中國安全研究團隊多次獲得特斯拉致謝?

12-28

特斯拉為感謝信息安全人員在汽車安全研究上的貢獻,在官網上公布了白帽黑客的致謝名單

Product Security| Tesla Product Security

中國的安全研究團隊總共獲得三次致謝,2014年360的劉健皓入選,這是中國信息安全團隊首次獲得特斯拉致謝;2016年中國團隊兩次入選特斯拉名人堂,一次是騰訊的科恩實驗室首次實現了無物理接觸的遠程攻擊,還有一次是劉健皓的Skygo Team和浙江大學聯合提交了自動駕駛安全漏洞

360安全xxx實驗室,騰訊xxx安全實驗室

除了Google,全世界似乎也就中國這些大公司,花大錢養著一幫挖0day的人,然後免費通知相關廠家,得到了名聲,給人以 「我們公司的安全技術水準很高」 的感覺

大部分人都分不清,公司養著一批擅長挖0day的人,和其安全產品防護效果是否靠譜,這兩件事的相關度其實很低。一個能挖出別人挖不出的0day的黑客大牛,讓他去開發一個信息系統,也許漏洞百出呢。因為攻擊講究單點突破,防護則講究面面俱到

在某個訪談里看到,keen碁震團隊被騰訊收購了,錢賺到了。但是keen的老大說他其實不開心。他們本來挖0day只是為了獲得知名度,然後獲得資源,進而可以做自己心目中最好的安全產品,結果一挖就停不住了,現在到騰訊變成了全職挖洞師了

安全攻防,攻防實驗室,國內一堆打著攻防名義的安全實驗室,到最後還是在攻上面轉圈圈吧?

問題日誌出現太多次「帶領」「多次」等辭彙,提個問比回答的人還要專業,很是佩服匿名用戶的提問和回答,相得益彰

說兩個恆古不變的定律,
一個系統,做安全研究的人越少,漏洞越多。
一個系統,複雜程度越高,漏洞越多。
這叫凱文米特尼克二定律。(祖師爺在上)
特斯拉這兩點全佔了!
物聯網安全方向的人才本來就少,個人誰會有那財力買輛汽車研究,我買個路由器都心疼,所以研究門檻高,人少。
複雜程度不用我多說了吧。

2014年,劉健皓第一次破解了特斯拉,也是全世界第一次有人遠程攻破特斯拉。

劉健皓和團隊利用特斯拉App的漏洞,通過控制app實現了遠程控制汽車的車門、後備箱,還模擬汽車鑰匙的信號發動汽車。

健皓因此進入2014年特斯拉安全研究員名人堂。

14年的特斯拉致謝獎章

第二次破解,是劉健皓帶領360天行者團隊Skygo Team,和浙江大學聯合提交的自動駕駛安全漏洞,360的安全人員因此二度入選特斯拉名人堂。

自動駕駛技術是汽車工業與人工智慧的結合,這項處於風口的技術,也暗藏了一些系統風險,而對於特斯拉來說,任何風險都有可能威脅到駕駛員和乘客的生命安全

理想中的「自動駕駛」系統,應當是解放人類雙手雙腳的,「眼觀六路,耳聽八方」這樣的工作,都可以交給汽車去做。
自動駕駛系統的設計,就是從感官上,逐漸替代人類:
人類通過眼睛和耳朵來判斷周圍的危險,自動駕駛系統用感測器來判斷障礙物、識別車道和欄杆;
人類通過大腦向雙手雙腳下達指令,進行汽車駕駛的操作,自動駕駛系統通過演算法,處理感測器收集到的信息,進行汽車駕駛的操作。

自動駕駛系統再智能,也不能在「蒙著眼睛、失去思考能力」的時候開車,跟人不能酒後駕駛是一個道理。

劉健皓團隊就是發現了讓自動駕駛系統「蒙著眼睛開車」的潛在風險。
他們模擬攻擊了特斯拉車上的感測器(而且模擬攻擊的工具在淘寶上才賣二十塊錢),發現感測器是可以被「欺騙」的:讓特斯拉汽車在輔助駕駛狀態中突然「看到」前面有一輛車,從而緊急剎車,或者讓特斯拉汽車「看不到」本來存在於車前的障礙物,一頭撞上去。

他們還用一把手電筒「騙過」了特斯拉車上的攝像頭,只需要一個大功率手電筒,猛烈照射攝像頭,就會讓特斯拉短暫致盲。

去年9月,央視報道河北邯鄲的特斯拉自動駕駛功能致人死亡事件。一男子駕駛特斯拉在高速公路行駛,由於系統沒有識別出前方的清掃車直接撞了上去……這是舊有的特斯拉輔助駕駛系統,對於這種跨車道的「半輛車」誤判。
即使沒有遭到黑客攻擊,只要系統漏洞存在,現實生活的場景也會讓自動駕駛系統「被欺騙」,劉健皓團隊對於特斯拉的模擬攻擊完全有可能發生。針對劉健皓和全球黑客對於特斯拉安全的研究,特斯拉對輔助駕駛系統進行了大版本升級,這就是不久前剛剛宣布的輔助駕駛系統 2.0

好一個自問自答,不要臉的360現在都把水軍派到知乎了。

過了幾天我再看了看,原本的自問自答現在都變成了匿名了,不信大家看問題日誌,哈哈哈哈。。只可惜當時沒截圖。

特斯拉挺大方的。記得烏雲上曾經有一個抓包闊一塊錢買了輛80萬的特斯拉,然後報洞讓人撤回車子。結果人家直接打20萬獎金(不記得是不是現金)車也送人!

也許沒準人特斯拉還是給了money to 360的

這說明360的這些工作人員實力還是不錯的,期待他們還能在後邊有更好的表現。

還是門檻太高了,國內研究二進位太多了,但買得起特斯拉有幾個?

堅定了我不用360全家桶的信念。

開源系統安全機制更優

瀉藥,我集團捲尺部已正式接受整車測量工作,木工部已經做好交接準備

浙江大學好有錢啊!買得起斯特拉進行研究。

原本互聯網是沒有漏洞的,研究互聯網安全的人多了,就有了漏洞

你了解控制入口和攻擊向量(可以逆向),有什麼難度嗎,對未知的逆向並解析才叫牛逼,你不懂ecc
,但你可以逆向寫出ecc公式,那叫牛逼,用一些已知去蹂躪已知,有意思嗎,還不如操作系統設計有價值。不過安全還是有價值的,特斯拉這個也算0day了,價值多少看廠商,最終安全的價值取決於入侵多麼複雜東西,特斯拉只是更邊緣化了,入侵核動力航母試試。不管怎樣給個贊吧,是360的培養了一代安全人才,騰訊只是挖牆角吧

推薦閱讀:

怎樣才能更全面的刪除網路上與自己有關的信息?
全球互聯網治理聯盟是個什麼樣的組織?
為何網路安全法影響如此巨大沒有得到足夠的關注?
Gmail 密碼找回只需要曾用密碼即可,這不會很不安全嗎?
近期一系列用戶資料庫安全事件,背後是同一個團隊做的嗎?

TAG:網路安全 | 信息安全 | 自動駕駛 | 特斯拉汽車TeslaMotors |