京东安全开源固件分析神器 终结自杀式硬件安全研究方法

近日，安全圈最神秘最前沿的黑客组织DEECON GROUP 010，登陆中国 互联网 安全大会ISC 2018，为白帽黑客带来一场酷炫的安全盛宴。作为黑客界的翘楚，京东安全技术专家KJ和于通也受邀参加了本次DEECON GROUP，在大咖分享环节介绍了京东在IoT安全领域的最新研究成果——没有硬件情况下的IoT固件分析，并宣布京东安全牧者实验室(The Shepherd Lab)正式成立，牧者实验室将致力于IoT安全和 区块链 安全研究。

固件：硬件的灵魂

固件听起来陌生，但在现实生活中，却无处不在，以至于我们常常把它忽略。比如 手机 、相机、显示器，这些都是我们常见的硬件。硬件能够遵循逻辑正常运转，比如手机能通话、相机能拍照……是因为，这些硬件内在的操作系统。这个操作系统，就是固件。

可以毫不夸张地说，固件就是整个硬件设备的灵魂。一直以来，它都担任着一个数码产品最基础的工作，一旦暴露安全隐患，将产生致命打击。因此，在IoT领域，固件的安全性便显得尤为重要。而针对于固件安全的分析，更是关键中的关键。

既然如此关键，那在此之前，就没人分析它吗?

现状：自杀式分析

当然不是，只不过以往的分析方式比较野蛮。以往白帽研究硬件，通常会买各种设备，然后暴力拆机，把硬件设备中的固件拆下来，再通过系统来驱动固件，加不同的外挂，不断试错，让固件崩溃，然后找到漏洞。

这就好比你拆了一个单反，把它的固件拆下来，原本它的固件逻辑是加一个镜头，但是你却给它加10个镜头的外挂操作，如此一来完全超出了固件本身的负荷，固件就会崩溃，崩溃后，你就能尝试在崩溃数据中找到单反的漏洞。然而，这样做无异于自杀，硬件本身也报废掉了。

难道就没有文明一点的方法吗?

固件分析神器带来两大突破

正是基于以上几点，京东安全研究了这个可以脱离硬件进行固件分析的工具，有了这个工具后，对于白帽研究可以带来两大突破。

一方面，不用买硬件、拆硬件，工具本身能够虚拟各类硬件环境，白帽在网上下载固件后就能在这个工具里驱动;另一方面，不用浪费太多给固件加外挂、试错的时间和精力，工具中有多种外挂程序，可以随意搭配调用。就好像古代的神医扁鹊，远远看一眼就知道你得了什么病，该怎么治，而不用现在必须开膛破肚抽血化验。

在DEECON GROUP现场，京东安全当即开源了这套工具，愿同所有白帽子一道，推动开源精神，共同捍卫网络安全。

京东的IoT大棋局

无人机送货、叮咚家庭助手、智慧物流、智慧供应链……近两年，主打“技术开启 商业 智能化”概念的京东，落地了众多IoT产品和应用，助力无界零售，而 IoT本身的安全保障将是京东安全工作的重中之重。

事实上，京东安全近年来一直着力于IoT安全领域研究，不仅建立了北美和国内安全实验室，还长期与国内外知名高校院所合作，不断推出针对性的安全研究成果。在业务平台，京东研发了一款“穿山甲”移动安全漏洞扫描平台，可自动化的给京东旗下的APP与协议进行定期评估与安全测试，此外，还会定期做人工的测试，确保产品的安全性。在技术研究方面，除了IoT固件分析工具，京东安全近期还开源了一款利用人工智能对抗黑产的利器——FUZE，这是全球第一个利用人工智能对漏洞进行评估分析的工具。通过这个工具，可以将成百上千个漏洞按重要程度排序，明确致命漏洞的处理顺序并尽快修复。

京东首席信息安全专家Tony Lee介绍，安全防御不能犯错一次，而黑产只需要成功一次。防守在明，黑客在暗，大部分企业连安全专业人员都没有，这是一场非对称对抗，唯有不遗余力的开源开放，才能倾斜抗击黑产力量天平，共同捍卫网络世界安全。