2003年的夏天，午后蟬鳴陣陣。老李家的客人把車停在院子里面，進(jìn)門和朋友敘舊。賓主寒暄，尚未落座，耳聽得院子里引擎轟鳴。說時(shí)遲那時(shí)快，此車已然沖出大門，如一頭野獸狂奔消失在街角?？腿艘荒樸耎，摸摸后腰，本該掛鑰匙的褲帶上空空如也。

這是當(dāng)時(shí)只有15歲的李均第一次“黑”掉一輛車。什么，你問駕照？呵呵。

【李均】

野生“CTO”

汽車填滿了李均的年少時(shí)光。

開車對于我來說，是一種幾乎不用學(xué)就會的技術(shù)。

在到達(dá)法定駕駛年齡之前，李均就是一名不折不扣的“老司機(jī)”了。沒有特別的學(xué)習(xí)，只是坐在車上看過幾次家人開車，就順理成章地掌握了技巧。

說他生在汽車之家并不過分，因?yàn)樗绺玳_了一家汽車修理廠。初中畢業(yè)的他就成功進(jìn)入自家的汽修廠。在汽車的“海洋里”，李均體驗(yàn)到了如魚得水的感覺——不僅可以每天開不同的車，還可以拆不同的車。對于那些復(fù)雜的齒輪和皮帶傳動，他都可以過目不忘。樂此不疲地泡在各種汽車中間，讓他對汽車了如指掌，靠耳朵聽聲音就可以診斷大部分的機(jī)械故障。

如果修理廠有“CTO”，那么這個(gè)職位非李均莫屬。

有一次，有一輛自動擋索納塔的“自動換擋”電控系統(tǒng)出現(xiàn)了問題。李均竟然自己組裝了一套加減擋的按鈕，讓司機(jī)根據(jù)駕駛情況手動加減檔。而改裝汽車的警報(bào)器等等更是不在他的話下。種種異想天開的修車方式，讓李均閃耀出與眾不同的光芒。在他的世界里，自己搞不定的車也許還沒造出來。

直到那輛寶馬出現(xiàn)在他的生命中。

“皈依”名門

有一天，修理廠開來了一輛寶馬車，它的防盜器鑰匙丟了，要重新配。有個(gè)4S店的師傅過來幫車主配鑰匙。由于配這種鑰匙需要解碼，所以他使用了一個(gè)專業(yè)的診斷設(shè)備。我站在師傅的身后，津津有味地看著他調(diào)試。但也許是我盯得太緊，為了防止機(jī)密泄露，他居然把語言界面切換到了英文。我瞬間就傻眼了。

仿佛有什么東西重重地打到了李均的胸口。在自以為再熟悉不過的汽車世界里，李均第一次覺得這么無助。

汽車的齒輪和皮帶，我可以一眼就看出其中的規(guī)律；但是這些程序卻是在芯片里，我根本搞不懂，而且這種搭載電子系統(tǒng)的汽車顯然越來越多。

“受了刺激”的李均做出一個(gè)重大的決定——上大學(xué)。和其他渾渾噩噩的大學(xué)生不同，他有著非常明確的目的：

1、學(xué)習(xí)英文；

2、學(xué)習(xí)電子系統(tǒng)的工作原理——計(jì)算機(jī)。

這個(gè)學(xué)一上就剎不住車。在獲得了成都電子科技大學(xué)汽車電子專業(yè)和電子工程專業(yè)雙料學(xué)位之后，他又考取了成都信息工程大學(xué)信息安全學(xué)院的研究生。當(dāng)然，考慮到他無人能出其右的實(shí)操技巧，涉及汽車專業(yè)的實(shí)操課程，老師都默認(rèn)給李均滿分。

僅僅幾年時(shí)間，經(jīng)過專業(yè)訓(xùn)練的李均已經(jīng)再也不是那個(gè)野生的 CTO ，他已經(jīng)可以毫無障礙地閱讀海外的英語論文，并且完整掌握了汽車電子系統(tǒng)的工作原理，成為了信息安全方面的行家——一個(gè)真正意義上的黑客。

【汽車黑客簡史】

2010年，李均看到了華盛頓大學(xué)的一篇論文，在這篇論文里，研究者提出了遠(yuǎn)程控制汽車的可能性。但是處于自身的考慮，研究者并沒有在論文中公布細(xì)節(jié)。然而事實(shí)證明，這篇論文深刻地改變了世界汽車黑客的發(fā)展脈絡(luò)。

站在六年以后的今天回望，它啟發(fā)了美國著名黑客查理和克里斯攻破汽車，啟發(fā)了大牛馬克羅杰斯爆掉特斯拉，也讓還是學(xué)生的李均發(fā)現(xiàn)了“汽車破解”這個(gè)炫酷的新天地。

2014年，成績優(yōu)異的李均受中國計(jì)算機(jī)大會的邀請，赴鄭州參會。在那里，這個(gè)野生“CTO”遇到了一位正牌CTO——360公司的 CTO 譚曉生。正是這次“歷史性”的見面，讓李均得以成為這家頂級安全公司的一員。

玩壞汽車的N種方法

加入360的“獨(dú)角獸實(shí)驗(yàn)室”之后，李均的團(tuán)隊(duì)獲得了組織上贊助的兩輛汽車：一輛國內(nèi)知名品牌的汽車，還有一輛特斯拉電動汽車。

這時(shí)候，他終于放開手腳，“玩一票大的”。

這似乎是一個(gè)真理：你懂得越多，越發(fā)現(xiàn)這個(gè)世界不美好。經(jīng)過一段時(shí)間研究，李均和其他團(tuán)隊(duì)成員發(fā)現(xiàn)：目前的絕大部分汽車，都存在著各種各樣的安全漏洞。他脫口而出，向雷鋒網(wǎng)細(xì)數(shù)了“玩壞”汽車的N種方法。

【一輛汽車上汽車上可能被攻擊的入口】

遠(yuǎn)程操控

目前的主流汽車，發(fā)動機(jī)、變速器、車載多媒體等等每個(gè)部件上都配有一個(gè)控制電腦，而他們之間的協(xié)同工作通過一個(gè)名為“CAN協(xié)議”的方式進(jìn)行。一旦黑客攻破其中任何一個(gè)設(shè)備，就可以侵入“CAN 總線”，向其他設(shè)備發(fā)送指令。

例如：如果通過 Wi-Fi 攻擊，拿到車載多媒體系統(tǒng)的控制權(quán)，就可以直接向發(fā)動機(jī)、變速器、轉(zhuǎn)向器發(fā)送指令，從而造成汽車異常加減速、異常轉(zhuǎn)向，從而引發(fā)嚴(yán)重的事故。

這種攻擊可以直接對汽車進(jìn)行物理操縱，也是目前對智能汽車最大的威脅。

【李均提出的一種安全防御模型】

知識產(chǎn)權(quán)竊取

對于一輛車，尤其是像特斯拉一樣的智能汽車來說，其搭載的系統(tǒng)固件就如同 iOS 之于 iPhone 一樣重要，其中包含了非常多的科技成本和專利價(jià)值。如果通過逆向分析，可以得到控制軟件的源代碼。而這些源代碼對于黑客來說顯然價(jià)值不菲，他們會采用一切可能的手段截獲這些代碼。

在系統(tǒng)推送更新安裝的時(shí)候，會有一個(gè)解密的過程，這個(gè)過程正是黑客們破解固件的關(guān)鍵。

在2015年的時(shí)候，就有一個(gè)600M的特斯拉固件包被黑客馬克羅杰斯獲得。雖然他沒有公布這些代碼的細(xì)節(jié)，但是卻證明了破解特斯拉固件的可能性。

這就意味著，其他汽車廠商可以輕易剽竊特斯拉的技術(shù)。而第三方也可以通過改動固件的技術(shù)參數(shù)，修改掉系統(tǒng)的重要參數(shù)，例如限速，甚至植入木馬。

李均說。

隱私暴露

在一輛車上，存在著諸多傳感器。這些傳感器可以隨時(shí)捕捉車主的隱私信息。例如：

• 電話系統(tǒng)的麥克風(fēng)，可以收集車內(nèi)的對話；

• 車載GPS系統(tǒng)，則可以暴露汽車的實(shí)時(shí)位置。

如果這些重要的隱私信息被攻擊者拿到，則可能暴露車主的身份，隱私信息或者實(shí)時(shí)位置。這些都為敲詐、搶劫等犯罪提供重要的數(shù)據(jù)。

【V2X 車聯(lián)網(wǎng) 和 ITS 智能交通系統(tǒng)】

車聯(lián)網(wǎng)鬼魅

智能交通中有一個(gè)重要的領(lǐng)域，名為V2X。大概說來就是汽車之間、汽車和道路之間采用專用短距離無線通信，使得整個(gè)城市的交通得以被統(tǒng)一調(diào)度。

V2X 可以讓汽車感受到周邊的環(huán)境，如果前方有汽車并道，或者后方有汽車超車。系統(tǒng)都會根據(jù)兩輛車的實(shí)時(shí)運(yùn)動狀態(tài)進(jìn)行安全測算，從而提示駕駛員或者改變自動駕駛的速度。

雖然在我們身邊，V2X 的體系還沒有被大規(guī)模部署，但可以設(shè)想，在一個(gè)所有汽車都依靠V2X進(jìn)行自動駕駛/半自動駕駛的世界，如果攻破了這個(gè)體系，將會造成多大的混亂。

例如：

• 在倒車的過程中，黑客讓你的倒車?yán)走_(dá)“失明”，你就會很有可能撞到障礙物。

• 公路上正常行駛的車輛，如果被黑客干擾，可能會“感知”到面前的障礙物，從而被電腦下令急剎車。

• 黑客同樣可以通過V2X信號追蹤車輛。

李均介紹說，不久前澳大利亞就爆出智能交通系統(tǒng)存在漏洞，黑客可以攻擊城市的信號燈系統(tǒng)。這些攻擊都說明：汽車安全的范圍正在變得越來越廣。

在這些攻擊的可能性里，有些只是理論推演，而更多的已經(jīng)可以真實(shí)地作用于我們身邊的汽車上。例如黑客對 CAN 總線的攻擊，在這兩年已經(jīng)逐步成為“顯學(xué)”。李均說：“這兩年在國際黑客大會上，一直有破解汽車 CAN 總線的議題，有很多黑客還專門制作了 CAN 總線固件的分析工具。這些工具讓黑客研究智能汽車的門檻越來越低，甚至一個(gè)“腳本小子”也可以加入到“黑車”的行列。”

從小就修車的李均覺得，比起機(jī)械故障，顯然這種“電子攻擊”更加危險(xiǎn)。所以他為自己制定了的明確的研究方向：識別這種危險(xiǎn)的攻擊。

車中的上帝

李均告訴雷鋒網(wǎng)，攻擊一輛汽車，要邁過兩道重要的“關(guān)卡”：

1、攻破 Wi-Fi 或蜂窩網(wǎng)絡(luò)進(jìn)入汽車系統(tǒng)內(nèi)部；

2、繞過系統(tǒng)內(nèi)部的驗(yàn)證機(jī)制，對重要設(shè)備的發(fā)送指令。

如何由外網(wǎng)攻入內(nèi)網(wǎng)，并不算是李均的長項(xiàng)。不過，一旦進(jìn)入汽車的鐵甲范圍內(nèi)，他就成為了這片領(lǐng)土當(dāng)之無愧的“上帝”。

作為上帝，首先要做到的就是“全知全能”。要想做到全知全能，就要知道系統(tǒng)在什么情況下會被黑客“蒙蔽”。

美國黑客查理和克里斯對克萊斯勒旗下的 Jeep 汽車進(jìn)行攻擊，可以實(shí)現(xiàn)遠(yuǎn)程控制剎車和轉(zhuǎn)向。但是，他們的攻擊有一個(gè)非?？量痰臈l件，那就是汽車的速度要在5英里以下。在高速行駛的汽車中，系統(tǒng)的自我保護(hù)機(jī)制會自動忽略轉(zhuǎn)向的信號。

【查理和克瑞斯遠(yuǎn)程控制Jeep“入溝”】

如此一來，黑客想要造成巨大的破壞——例如高速行駛中突然控制汽車轉(zhuǎn)向——就必須讓轉(zhuǎn)向器誤以為汽車的速度在5英里以下。這個(gè)時(shí)候，黑客就需要偽造虛假的速度數(shù)據(jù)來欺騙轉(zhuǎn)向器。

而李均的任務(wù)，就是要用慧眼識別出這種類型的欺騙。他的出發(fā)點(diǎn)，是摸清楚一臺汽車的“性格”。

如果我知道你是一個(gè)性格非常溫和的人，而突然有一天，你發(fā)短信來對我大發(fā)雷霆，那么我就會懷疑這條信息不是你發(fā)來的。

他舉例說。

李均研究了國內(nèi)外很多的異常檢測方法，最終決定用機(jī)器學(xué)習(xí)的方法來解決這個(gè)問題。在請教了360天眼的王占一博士和人工智能研究院的顏水成等大牛之后，他認(rèn)定，這個(gè) idea 是可以實(shí)現(xiàn)的。最終，他利用機(jī)器學(xué)習(xí)的方法，為汽車不同數(shù)據(jù)之間的相關(guān)性建立了一個(gè)模型，這個(gè)模型包含了諸多有趣的規(guī)則：

如果發(fā)動機(jī)的轉(zhuǎn)速是5000轉(zhuǎn)，車速會穩(wěn)定在50邁左右，那么我就把這種相關(guān)性定義為一個(gè)正常的行為規(guī)則。如果有一天發(fā)動機(jī)的轉(zhuǎn)速還是5000轉(zhuǎn)，但是系統(tǒng)給出了120邁的速度數(shù)據(jù)，這條規(guī)則就會被觸碰，從而模型會給出報(bào)警。

此外，速度的變化應(yīng)該是一個(gè)連續(xù)的量。如果上一個(gè)瞬間車速是40，而這一個(gè)瞬間車速就變成了80，那么規(guī)則系統(tǒng)就應(yīng)該認(rèn)為這臺車出現(xiàn)了異常。

再有，汽車的加速度也有一個(gè)合理的區(qū)間值，如果系統(tǒng)顯示加速過于迅速，那么這個(gè)模型同樣應(yīng)該報(bào)告出現(xiàn)了異常行為。

事實(shí)上，這種依靠行為模式和數(shù)據(jù)相關(guān)性對黑客入侵的檢測方法目前在國際上還沒有人提出來。李均在這個(gè)領(lǐng)域，“不小心”做到了世界第一。

如果沒有大學(xué)這幾年對汽車?yán)碚摰南到y(tǒng)學(xué)習(xí)，我對于這種研究方法的可行性根本沒辦法確定，更不會想到使用機(jī)器學(xué)習(xí)的方法建立這些識別模型。如果沒有大學(xué)期間建立的英語基礎(chǔ)，我不可能看這么多的英文材料，進(jìn)而得知國際上其他的研究方法和我的不同之處。

就在這個(gè)月，李均將會帶著這個(gè)議題遠(yuǎn)赴荷蘭，在世界著名黑客大會HITB（Hack in the box）上發(fā)表主題演講。

“這是我第一次在世界級的黑客大會上講汽車安全的議題?！?/strong>

李均不無驕傲。

尾聲

李均告訴雷鋒網(wǎng)，安全研究工作，并不像人們想象的那樣酷，這其實(shí)是有一定“工作量”的。如果把黑客的工作拆解開來，就可以看到大量枯燥的數(shù)據(jù)比對，逆向分析，還要查看無止盡的圖表。“和著名的汽車黑客查理和克里斯交流之后，我知道他們在破解 Jeep 汽車的時(shí)候，也做了大量枯燥的工作，例如審計(jì)代碼，研究參數(shù)。從這一點(diǎn)上來看，大家可能都差不多。”他說。

【汽車黑客李均和同行查理、克里斯】

不過，這些枯燥和與汽車在一起的樂趣相比，變得不值一提。李均特地告訴雷鋒網(wǎng)，他最近正在寫一本書，名為《汽車攻防技術(shù)大揭秘》。寫書的理由很簡單：

很多汽車的研發(fā)人員都只關(guān)注氣囊、ABS，對汽車網(wǎng)絡(luò)安全的關(guān)注卻不足。而我，恰恰可以連接汽車和信息安全。

十年前那個(gè)趴在汽車底盤下不斷試錯(cuò)的毛頭小子，和十年后這個(gè)用代碼做武器保護(hù)汽車安全的黑客，至此合二為一。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。