這個官方名單最早可以追溯到2013,而且大部分都是國外黑客。直到2014壹個中國男人的出現,這種“壟斷”才被打破。這個人就是劉建浩。2016年,劉建浩再次以壹個團隊的身份登上這份榜單,成為唯壹的“2”得主。
01.第壹個破解特斯拉的人
2014,360?CEO周與特斯拉CEO馬斯克發生了爭執。
周弘毅問馬斯克,“妳說特斯拉很聰明,所以會被黑客破解嗎?”
馬斯克的回答是“肯定不會。”
▲特斯拉(進口)車型?s?2014
但從來不怕火的周卻不這麽認為。他認為特斯拉可能被破解了。
總之,特斯拉沒多久就被破解了,而破解特斯拉的人是剛剛加入360的劉建浩。
事實上,劉建偉曾兩次破解特斯拉。
有壹次,它在未經用戶主人授權的情況下,利用其APP安全漏洞進行破解,可以實現無鑰匙開窗、開門等操作,然後通過其無鑰匙系統信號漏洞啟動並駕駛特斯拉。
第二次是利用特斯拉autopilot傳感器的漏洞,實現車輛在行駛過程中的控制。
▲劉建偉在DEF?CON(極客大會)發表演講
劉建浩沒有描述具體的破解過程,但聽起來足夠驚心動魄。開門開窗沒問題,但是行駛中強行停車很可能造成人員傷亡,聽起來有點像美國大片裏的故事。
憑借以上兩條裂縫,劉建偉成功進入特斯拉安全名人堂。與此同時,在全球黑客圈,也掀起了壹股破解特斯拉的浪潮。
02.“黑客”的培養
“2000年,黑客不再是網絡專家的代名詞。很多黑客大概都是嘴裏含著棒棒糖,手裏拿著小學課本的孩子。”
壹篇名為《中國黑客超級絕密檔案》的文章是這樣描述“黑客崛起”的時代的。現實中,劉建浩就是這樣壹個“孩子”。
▲“黑客崛起”時代的代表性雜誌
“我從小就不喜歡學習。我從小學六年級開始迷戀網遊,初中的時候在網吧呆了很長時間。”
說到這裏,劉建浩似乎回憶起了當年的情景。
“有壹次我的遊戲裝備被壹個網吧老板偷了,我很好奇他是怎麽做到的。當時網上有壹些黑客技術的教程。通過學習這些教程,我把被偷的裝備拿了回來。”
當然,劉建浩的“光輝事跡”遠不止這些。由於種種原因,很多東西無法在紙面上說清楚,但正是那個“黑客野蠻生長”的時代,塑造了劉建浩在黑客技術上的積累。?
可以說是劉建浩上大學(信息網絡安全專業學校)時的“鬧劇”。
由於經驗豐富,劉建浩的信息安全技術知識遠遠超過他的老師,甚至很多教材都是他自己編寫的。這讓劉建浩感到無聊。直到上學期,劉建浩還用他的黑客技術和學校開了壹個不大不小的玩笑,間接顯示了他在網絡信息安全方面的造詣。其實這場“鬧劇”學校和他的老師都心知肚明。
“現在回想起來,那個時代是壹個非常混亂的時代。有關互聯網本身的法律法規並不完善。現在放是不可能了。這是反面教材。”
03.曾經登上主流車企的“黑名單”。
回到2014,在汽車圈成名,而周想借機進入汽車網絡安全領域。
但是想起來容易,做起來卻很難,幾乎不可能動起來。
劉建偉說,“那時候國內車企還不像特斯拉。如果妳向特斯拉提交漏洞,它會表彰妳,如果妳向國內OEM提交漏洞,它會把妳列入黑名單。”
▲特斯拉給劉建偉的獎?
劉建浩講了壹個他不知道比亞迪的故事。
2015年,在壹場名為“Hack?在Pwn2015”的線下活動中,試圖公開演示如何破解壹輛比亞迪秦。但在他破解秦之前,比亞迪已經緊急關閉了雲服務系統。
▲劉建偉在Hack?Pwn2015站點
“事件發生前,我已經破解了秦,我也第壹時間把相關漏洞提交給了比亞迪。”
除了比亞迪,另壹個自主品牌也上了劉建浩的“黑名單”。
劉建偉提到,2016年,他破解了上述自主品牌的車型,利用自己車上的安全漏洞,直接闖入了自主品牌的數據中心。這壹裂痕幾乎引發了上述品牌相關負責人的辭職。
“通過深入溝通,我們和比亞迪等車企達成了壹定的理解,但還是有很多車企不理解我在做什麽。其實我不只是破壞,而是希望通過尋找這些漏洞,幫助主機廠提升車聯網安全能力,從而提升用戶的安全體驗。”
提到這些,劉建浩有些無奈。
04.做汽車網絡信息安全的“舉報者”。
按照以前的逆流而上?Security發布的《全球汽車網絡安全報告2020》顯示,自2010以來,共發生367起公共汽車網絡攻擊事件,其中155僅在2019發生,攻擊頻率同比增長94%。
▲針對智能汽車的網絡攻擊愈演愈烈。
根據Juniper?根據Research發布的數據,到2023年,全球將有7.75億輛車聯網,是2018的兩倍。根據《2020年中國車聯網行業分析報告——市場運行狀況及發展前景研究》,2020年中國聯網汽車存量將達到6000萬輛,2025年國內車聯網普及率將達到77%左右。
但據劉建浩稱,截至目前,中國只有超過50萬輛智能汽車在使用他開發的網絡安全解決方案。即使有其他團隊在做同樣的事情,保護中的智能車數量增加了10倍,對於6000萬輛來說還是有點少。
“新壹代產品的研發需要網絡信息安全攻防體系,通過滲透人員和安全人員的對抗來提升產品在網絡信息安全方面的能力,是壹個非常具有前瞻性的領域。”劉建浩說,“但從壹個相對外圍的領域來看,很難真正影響到主機廠的思維模式,以及主機廠對汽車網絡信息安全的認識。”
“我現在更想做的是做壹個汽車網絡安全的舉報人,用自己的攻防技術去引導或者教育主機廠的認知,最終達到提升消費者安全體驗的目的。”這可能就是劉建浩離開360,選擇深入汽車行業的邏輯。
當然,劉建浩不是唯壹有這種想法的人。在國內,除了他,騰訊旗下的科恩實驗室、浙大等等都比較知名。劉建浩聲稱,中國汽車安全領域有近20名黑客,但這20名黑客能起到“告密者”的作用嗎?這是壹個很難回答的問題。
作者的筆記
如果妳不能領導它,那就加入它,領導它。
“打不過就加入吧。加入它,也許妳就有機會領導它。”
這是恩裏克嗎?T.Salem在2009年出任賽門鐵克CEO後所說的話,而賽門鐵克是全球知名的網絡信息安全提供商。
塞勒姆曾供職於軟件開發公司彼得?諾頓?計算作為壹名工程師工作,但該公司被賽門鐵克收購。隨後,塞勒姆在Brightmail擔任工程師,但這家公司也被賽門鐵克收購。經過兩次收購,塞勒姆留在賽門鐵克,直到他成為首席執行官。
我猜想,劉建浩當時的心態與塞勒姆頗為相似。從壹個“黑客”的攻防角度,是無法真正帶領主機廠了解汽車網絡信息安全的。那就幹脆深入背後,然後領導它,這可能是對劉建浩本人最恰當的解讀。(文/汽車故事)
更多車市分析和汽車圈故事,歡迎關註微信官方賬號,車市的故事——微信號:autostinger。