你们搞的这么多产品,到底安不安全?
文 | 李勤
小米 CSO (首席安全官)陈洋家中有 74 个小米智能设备,小米生态链中有 2000 多个智能设备。
雷锋网报道过可以被黑客花式吊打的电子产品有摄像头、智能音箱、电视、空调、智能门锁等,还有一个“蓝牙肛塞被黑,全世界的菊花一紧”这种看上去无节操的黑操作。
所以,在小米做安全应该挺难的,因为小米以及小米生态链的消费级 IoT 产品足够多,用户足够广,这就面临一个天然的疑问:你们搞的这么多产品,到底安不安全?
小米除了要回答这个问题,它遇到的问题可能更难一些,一方面外界对小米的各类硬软件安全很关注,一方面小米还是个“国际米”,现在数据安全与隐私受到的关注越来越多,法律法规的要求越来越严格。
对2000多款IoT产品做安全
整体来看,小米分三步来保障自有产品、生态产品以及供应链的安全。
每一款小米的 IoT 产品在上市前要经历一套完整的安全流程,比如在需求设计、产品开发与质量检测阶段,都要通过一系列安全规范要求和严格的安全测试通过后才允许量产。
这是把发现安全隐患的机会前置的思路,这样在产品设计、开发阶段就可以规避很多安全和隐私问题。一款产品只有通过安全测试后才允许进入生产环节,经过小米内部一群资深用户的测评后才能发布,最后上市。
对于生态伙伴的产品,小米安全的整体思路是减少这些产品的攻击面,降低“小米的朋友们”做安全工作的成本。
雷锋网采访过曾经做过 IoT 安全产品的安全厂商,之所以说是“曾经”,是因为受访者当时是开了一家做IoT 安全产品的创业公司,但他“以为的客户”都告诉他,消费级 IoT 产品本来就很难赚钱,做安全更是拿不出预算,碰壁太多,这个创业者只好转型。
小米碰到了一样的问题,它还要说服“盟友”。
陈洋提出的思路是,生态伙伴的产品接入越简单,就越能降低做安全的成本。
小米的 IoT 平台是开放平台,他们他们把安全能力封装在模组中,以“米家”安全认证的方式提供给小米的合作伙伴。一款生态产品花不到十块钱的成本,就可以接入集成安全通讯等安全能力的智能模组,变成智能家电。
在小米把安全的门槛降低了的情况下,开发者只需关注自身的业务和功能。
还有供应链的安全。因为小米有上下游的元器件、第三方的 SDK 等供应商,除了对“队友”的每一款产品、第三方 SDK与服务进行控制流程和安全评估。在最容易泄露用户数据和隐私的物流、工厂环节上,小米做了“中间隐私号”的产品,在小米商城的物流体系中使用。
所谓“中间隐私号”,是指用户到这些仓储物流的手机号是临时手机号。如果你使用过外卖及叫车服务,会发现外卖小哥和司机师傅打过来的电话都是以一串“非真实”号码显示,而你打过去的电话号码也是以非真实号码的方式显示。
既然提到数据与隐私,那就离不开隐私合规。
小米集团副总裁崔宝秋首次披露,在安全与隐私委员会里,小米成立了一个隐私团队,这个隐私团队抽调了专职律师和安全人员,专门梳理与解读国内外的法律法规。
在过去一年中,安全与隐私委员会做的最重要的一项工作就是 GDPR 合规,这对小米在国外市场开拓的重要性不言而喻。
更多产品来了怎么办
现在,小米及生态链有 2000 多款产品,能预想到的是,这个盘子会越来越大。
尽管小米安全部有很多安全研究员,但要想让这些可能不停迭代和冒出的新产品接受时刻安全人员的检阅,是一个非常难完成的任务。
为了解决这个矛盾,小米采取了两种做法。
第一,请“外援”。小米在 2013 年上线了自己的 SRC(安全应急响应中心),并采用现金奖励。
给不熟悉安全行业的同学科普一下,成立SRC 的好处在于,白帽子可以为平台提交发现的漏洞,众人拾柴火焰高,这样做的目的就是尽可能的吸引更多有安全能力的“外援”发现自家的安全隐患。不过,SRC 这种模式基本也是由一些“有预算”的厂商创立,在一些没有安全预算的公司,很可能存在“一个人的安全部”的情况。
今年,小米请的“外援”对象已经拓宽到全球的白帽子。不过,不知道它对全球白帽子发的是人民币还是美元。
第二,让智能程序上马,这个智能程序也就是雷锋网之前提到的“MiEye”,把 IoT 产品引入这个平台之后,可以实现模拟不同国家、区域的法律、法规要求进行评估以及自动化调试。
“MiEye”的特点之一是可以进行大规模、分布式、不间断的检测。因为 IoT 设备非常特殊,可能会有一些低频操作,比如在一些特殊场景与状态下才会产生的联动行为,这是传统人工测试容易疏忽的地方。“MiEye”的作用就是 24 小时盯着这些“检测对象”的网络行为,及时处理。
一开始,陈洋他们没想做“MiEye”,因为大多数设备都是通过无线路由器连接互联网的,他们做了一个路由器,在路由器上做一些抓包、分析、检测、扫描等,通过 WiFi 链路通讯做一些自动化的检测。紧接着,他们发现光做路由器不够,小米还有很多基于蓝牙通讯的产品,于是他们又做了一个针对蓝牙通信安全的自动化检测平台 BlueEye。
后来,他们又做了基于手机端的检测引擎,也就是“APKScan”。
最后,这个 AIoT 安全与隐私自动化检测平台成型时,囊括了云端引擎、多国节点、路由引擎、BlueEye、手机引擎、APKScan、FirmwareScan。
独家问答
雷锋网:现在小米安全是怎么分配研究力量的?
陈洋:现在我们有两个重点实验室,每个实验室有10多人,一个是 AIoT 实验室,一个是移动安全实验室,后者负责手机端的软件产品。
实验室首先是保障自己产品的需求,然后在业余时间做一些其他研究。它还会承接渗透测试蓝军的工作,我会设想哪些地方可能有风险,设置一个攻击目标,然后由他们完成。其实,我们最早就是以攻防的方式在做安全,去年,蓝军的成立把攻防的难度加大,以前可能不会设计过高的目标,现在可以设置更专业化的攻击目标。
雷锋网:你提到要给小米构建一个纵深防御体系,如何理解?
陈洋:我们认为做安全不是“在某一个地方挡住”就行,以一个酒店为例,如果会议室是我们重点要保护的区域,在酒店大堂设一道安检肯定不够,酒店的门特别多,要守的出口越多,纵深防御的理念就是在每一个可以防御的地方设防,因为我们要假设每一层防御都可能被绕过、被攻破,但是后面的还有一些防御体系能够把之前漏掉的攻击再防住。
因此,我们要对这些威胁进行分析,构建攻击链,假定黑客攻击成功,需要满足什么样的攻击链,先把攻击路径先找出来,在这个攻击路径上层层设防。
雷锋网:你觉得哪些安全风险点是大家需要重点关注的?
陈洋:现在有很多危害很巨大的一些风险因为人尽皆知,反倒没人提起。
比如钓鱼邮件,这种形式已经出现几十年,到目前也没有解决由钓鱼邮件引发的问题。我们做了一些钓鱼测试,不管怎么测,总会有百分之二三十的人会把密码交出来。
我跟踪过一些很赚钱的黑产,他们用的技术手段是非常落后的,比如群发邮件,有人中招之后,黑产设置邮箱自动转发,天天看着邮件,如果涉及公司合同、投资往来等,他就伪造那家公司,把别人邮件里的付款方账号改掉,他就能赚很多钱。
雷锋网:对于 IoT,你关注哪些领域的安全?
陈洋:第一,个人消费设备产品,看起来它越来越安全,实际上关注的人也越来越多。第二,To B 的行业的解决方案,因为它相对是比较封闭的,普通的安全研究人员接触不到。
雷锋网:对于 5G 安全,你有什么思考可以分享吗?
陈洋:在我看来,5G 最大的风险是速度太快了,速度太快导致一些流氓软件可以更快地偷用户的数据。
以前,我们遇到的攻击是黑站,在网站上挂一个黑页。2008 年以后,流行的是拖库,为什么九几年、零几年很少有拖库的现象?因为网速慢,硬盘贵,拖库要很久,要花很多钱买硬盘存拖下来的数据。
比如,每个人手机相册里有很多照片,在网络速度有限的情况下,很少有流氓应用一下把手机里所有的照片偷走,不是它没有能力偷,而是传输这些照片需要很长时间,手机耗电很快,会发烫。但 5G 传得快,几秒钟、几分钟就能把几 G 的照片都偷走。偷走以后,攻击者再在云端去通过 AI 分析哪是你的家,哪是你的身份证,哪是你的银行卡。
声明:本文来自雷锋网,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。