得益于AI技術(shù)的進(jìn)步和發(fā)展,網(wǎng)絡(luò)安全攻防戰(zhàn)中的矛與盾都得到了“加固”。究竟誰能勝出?
“長期一定是一個(gè)持續(xù)的對抗過程,階段性能說誰有優(yōu)勢。特別是在AI方面,我認(rèn)為階段性是攻擊者有優(yōu)勢,因?yàn)檎麄€(gè)防御體系還沒有建立起來。” 百度安全事業(yè)部總經(jīng)理馬杰接受采訪時(shí)表示。
新興生物識(shí)別技術(shù)存風(fēng)險(xiǎn)
萬物互聯(lián)正在變成現(xiàn)實(shí),“彈指一揮間”隔空操控N個(gè)終端提升了便利程度,但暴露的風(fēng)險(xiǎn)和問題也越來越多,網(wǎng)絡(luò)安全環(huán)境面臨了更加嚴(yán)峻的挑戰(zhàn)。為了安全,終端設(shè)備廠商們希望融入更加強(qiáng)大的加密技術(shù)比如生物識(shí)別,但這樣真的安全嗎?
“先放結(jié)論,經(jīng)我們研究測試,常見的生物特征識(shí)別,都存在易于獲取、易于偽造的風(fēng)險(xiǎn),反而變得更加不安全。” 百度安全實(shí)驗(yàn)室研究員“小灰灰”隨后在現(xiàn)場展示了他的研究成果:用一張紙輕易解鎖了蘋果手機(jī)的指紋識(shí)別。
這當(dāng)然不是一張簡單的紙,背后是一套復(fù)雜的攻擊流程。
這是對生物特征識(shí)別的“高仿”過程:經(jīng)過傳感器采集圖像,進(jìn)行算法優(yōu)化處理,并提取特征點(diǎn),最后進(jìn)行比對,攻擊方法是用其他設(shè)備捕獲到生物特征,尋找可以讓傳感器看到類似特征的介質(zhì),比如光敏墊等。通過優(yōu)化這些特征,實(shí)現(xiàn)對傳感器的欺騙。
在比對方面,可以通過圖像的增強(qiáng)算法以及特征點(diǎn)的選取和匹配讓傳感器看到正確的特征點(diǎn)。事實(shí)上,一些生物特征識(shí)別的獲得也并非難以獲取,比如,一些比出yeah手勢的照片,合同上的手印等等都能出賣你的生物信息,間接獲取的方式包括電影中的常見橋段,比如提取玻璃杯指紋模塊上的痕跡,把傳感器經(jīng)過偽裝成按鈕特制的門把手等等。
一邊是技術(shù)人員應(yīng)用神經(jīng)循環(huán)網(wǎng)絡(luò)等其他AI技術(shù)訓(xùn)練機(jī)器能夠多角度進(jìn)行身份驗(yàn)證和識(shí)別,但另一邊,這些先進(jìn)的識(shí)別技術(shù)同時(shí)可以被別有用心的人利用,潛藏著諸多風(fēng)險(xiǎn)。
“之所以攻擊能夠成功,主要是因?yàn)橐恍┒S的傳感器信息少,容易獲取和欺騙,而對于廠家所號稱的活體檢測來說,這一檢測實(shí)際太弱,甚至沒有。” “小灰灰”說。
從某種角度上來說,考慮到現(xiàn)代人對拍照的熱愛,指紋及虹膜信息都極容易被別有用心者獲得,使用密碼是更為安全的方式。
不過,小米首席安全官陳洋認(rèn)為,這尚不具備隔空的攻擊能力,攻擊需要有場景。
然而AI技術(shù)帶來的人臉識(shí)別、指紋等基于行為特征的生物識(shí)別等方面并不意味著萬無一失的風(fēng)險(xiǎn)。生物特征易被泄露,可能是更大的風(fēng)險(xiǎn),因?yàn)樯锾卣鞯臄?shù)量有限,且終生無法更改。
構(gòu)建網(wǎng)絡(luò)安全聯(lián)盟
攻擊難度高,有相應(yīng)技術(shù)水平的人絕對數(shù)量少,缺乏傳播性強(qiáng)的事件引爆,這三大原因讓網(wǎng)絡(luò)安全成為了科技界的“灰犀牛”。
“事實(shí)上,絕對的網(wǎng)絡(luò)安全也是不存在的。” 戴爾CTO Liam Lynn接受第一財(cái)經(jīng)記者專訪時(shí)曾表示。戴爾在進(jìn)行有關(guān)存儲(chǔ)和加密的研究,但他特別強(qiáng)調(diào)網(wǎng)絡(luò)安全是一個(gè)全產(chǎn)業(yè)鏈化面臨的挑戰(zhàn),必須要一同協(xié)作才能夠解決的問題。
近期英特爾的Meltdown和Spectre漏洞雖然尚未見到有黑客造成重大損失的新聞,但是引起了業(yè)界的重新思考:如何防患于未然?
馬杰提到,最近這十年大家沒有花很多的精力去了解底層的體系架構(gòu),因此當(dāng)英特爾這么大一個(gè)漏洞擺在面前的時(shí)候,其實(shí)真正看得懂、用得起來,并且能再進(jìn)一步改進(jìn)的人太少。百度安全實(shí)驗(yàn)室也給出了一些研究報(bào)告是之前的公開論文上沒有的,他們提出了幾個(gè)漏洞的一些組合的使用方法,是之前沒有人提到過的。
“一些白帽特別喜歡技巧型的東西,容易忽視一些基礎(chǔ),比方說基本的CPU的體系架構(gòu),到AI時(shí)代可能就是AI的基本原理,這些算法,你可能不用自己會(huì)寫,但大概你得明白他在干什么,你才能找到或者知道怎么繞過來。包括在AI時(shí)代還特別跟硬件直接相關(guān),剛才‘小灰灰’的分享里面有很多是要拆硬件,要去在那中間去尋找其弱點(diǎn)。”馬杰說。
還好,這些漏洞仍有預(yù)防和補(bǔ)救措施。以生物識(shí)別技術(shù)為例,對于廠商而言,可以增強(qiáng)模塊的活體檢測能力,對服務(wù)提供商而言,在進(jìn)行敏感操作時(shí)可采用多因素認(rèn)證,同時(shí)多使用基于風(fēng)控的識(shí)別方法。總體來講,普通用戶需要重新認(rèn)識(shí)生物特征識(shí)別的身份認(rèn)證和訪問控制中的風(fēng)險(xiǎn)。
“AI現(xiàn)在還在初期階段,沒有完全形成一個(gè)商業(yè)的利益,所以短期可能還不會(huì)出現(xiàn)單獨(dú)做AI(攻擊)的。但是我們發(fā)現(xiàn)很多黑灰產(chǎn)現(xiàn)在也開始在應(yīng)用AI的一些技術(shù),其實(shí)它就是一種生產(chǎn)力,對我們來講,更多的是把AI的能力放到安全里邊去,然后去改善安全的效率或者提升它的能力。” 百度安全事業(yè)部產(chǎn)品總經(jīng)理韓祖利在接受記者采訪時(shí)說。
針對具體的安全問題,憑借現(xiàn)有的能力,各大廠商總可以想辦法解決,真正讓業(yè)內(nèi)擔(dān)心的是如何打通行業(yè)產(chǎn)業(yè)鏈共同解決問題。
中國公司已經(jīng)開始了行動(dòng)。百度安全成立了OASES智能終端安全生態(tài)聯(lián)盟,這是國內(nèi)首個(gè)致力于AI時(shí)代提升智能終端生態(tài)安全的聯(lián)盟組織。百度安全向聯(lián)盟成員開放了包括四項(xiàng)關(guān)鍵技術(shù)的全面的安全方案,包含“云、管、端”的各個(gè)環(huán)節(jié),這些方案結(jié)合了百度安全的大數(shù)據(jù)安全能力,以及機(jī)器學(xué)習(xí)實(shí)踐經(jīng)驗(yàn)。
而就在幾天前,騰訊提出了從社會(huì)共治模式到探索構(gòu)建“網(wǎng)絡(luò)安全共同體”的倡議。2018年,“守護(hù)者計(jì)劃”將圍繞三個(gè)“新”進(jìn)行迭代:采用新科技來對抗新犯罪;擴(kuò)充新聯(lián)盟解決新問題;共建新生態(tài)防范新風(fēng)險(xiǎn),從根本上鏟除網(wǎng)絡(luò)黑產(chǎn)的滋生土壤。
“你別看一個(gè)小小的AI設(shè)備,從操作系統(tǒng)的底層到應(yīng)用層,到網(wǎng)絡(luò)的傳輸、認(rèn)證,到云端,再到算法,有非常長的一條戰(zhàn)線。如果要做安全,實(shí)際上這個(gè)戰(zhàn)線是非常非常長的。”馬杰說。
京公網(wǎng)安備 11010502049343號