指纹和虹膜识别还不如密码安全?我参与了首次进入中国的全球顶级黑客轰趴
☝我们负责报道杭州的未来,关注一个呗
大约在26年前,美国一个17岁的男孩准备在拉斯维加斯的一家赌场为朋友举办告别会。结果,朋友改变行程,告别会没了主角。好在这个男孩交友广泛,他干脆把在网上认识的黑客朋友都叫到“赌城”,最后聚集了100多名黑客。
这场轰趴后,小男孩把它定为了每年一场的常规活动,并取名为Defcon。现在,这位叫Jeff Moss的小男孩成了全球身价最高的黑客,Defcon也变成黑客界的奥斯卡,以及安全领域的奥运会。
Jeff Moss
用了26年、跨越12个时区,Defcon第一次把触角伸向海外,地点在北京,合作方是百度。
“安全问题从来都是全球性的问题,因为威胁不会待在那里一动不动。”Jeff Moss说,“我们把Defcon带到中国,为的是和中国的极客们建立友谊,了解他们的文化,一起让安全技术产生更大作用。”
没法入场的极客们通过大屏观看主论坛演讲
即使在遥远的中国黑客圈,Jeff Moss都是神一般的存在。传言他服务客户的订单都是以10亿美元算起。就算收取1%的服务费,一个项目也能赚取千万美元。
得知他来中国的消息后,一位超级粉丝就在知乎上提问,该为心中的偶像准备怎样的礼物。前天晚上,在百度的安排下,这位粉丝把亲手制作的一台电脑交给了Jeff。
这台电脑用的是老版IBM外壳,机箱被做成半透明的状态,里面装了最新的主板和CPU,还加了水冷系统。就算做了大幅改动,Jeff还是一眼就认出这是IBM的哪一款电脑,“当我13岁时,收到了第一台电脑,这是它的下一代版本”。
3年前,Jeff和现任百度总裁的张亚勤、百度安全事业部总经理马杰坐在一起聊天,在几个小时的长谈中萌生了把Defcon搬到中国来的想法。
“早在2013年,百度就组织团队参加Defcon上的安全竞赛。”马杰回忆,“现在,每年都有百度的同事飞去拉斯维加斯参加。把它引入国内,就是想让国内的黑客们近距离接触这项顶级盛会”。
百度牵头做这事的另一个原因是,随着人工智能时代的到来,互联网安全越来越重要,代码和数据安全已经升级成为金融、社会乃至人生安全。
马杰打了个比方:“如果说之前安全就是给一个小房间上锁,那现在我们要保护的是整个紫禁城。而且安全是整个社区的事,需要各方努力,特别是智能硬件的安全,涉及到算法、系统、传感器等各个环节,需要全产业链的力量来维护。”
除了超级粉丝送的礼物,Jeff印象最深的是“锁”。这次Defcon特设了机械锁破解专场,邀请黑客来现场破解各种各样的锁。现场还有个展位专门展示如何用简单且有效的方法,让指纹识别、虹膜识别等生物识别技术形同虚设。
撑起这个展位的,是在百度从事系统安全研究的灰灰(网名),他在大学时就对拆解和研究电子产品很感兴趣,毕业后从事安全方面的工作也使他额外关注各种锁的安全。
很快,他和小伙伴发现,目前市场上各个厂家极力推广的指纹和虹膜识别都存在很大漏洞。“经过我们研究测试,常见的生物特征识别都存在易获取、易伪造的风险,长远来看风险很大,不如密码安全”。
比如,获取虹膜的方式十分简单:在距离10米内,拿着可以捕捉红外线的单反长焦镜头对着人眼部位聚光拍摄,再把照片用激光打印打出来。拿着这张照片,就能破解大部分虹膜识别的手机。
灰灰称,从他们拆解的经验看,大多用虹膜识别的硬件,并没有设置活体检测,就算有也有绕开的办法。像是让眼球微动,只要抖一抖照片,想让瞳孔缩放,无非是将照片拉远拉近一些。
虹膜不靠谱,指纹呢?在许多间谍片里,复制指纹是常规桥段,看上去有点神秘。而灰灰仅用一些简单的材料和设备,几分钟内就复制出了一枚指纹,拿着它们无论是打开手机还是打开指纹锁都没有问题。
“采集这些指纹也很容易,比如一个人按的手印,拍照下来就能制作一枚指纹。”灰灰说。
Jeff表示,之前有个德国黑客团队就专门收集政客的指纹,还曾把德国总理默克尔的指纹放到网上,以此来提醒政府注意指纹的安全性,而最直接的收集方式,就是拿一个高倍的照相机拍照。
每年,Defcon上都会举行声势浩大的安全竞赛,成为黑客们尽情发挥才能的战场。与往年相比,今年Defcon首次引入人工智能机器人战队。
“我估计人工智能未必能赢。”马杰说道。但随后,他又补充了一句:“就像是早期的汽车跑不过马车一样。”在他看来,安全是一个比围棋更复杂的领域,人工智能未来肯定能发挥大的作用,比如利用它帮忙检查程序,寻找漏洞。
不过,随之也可能产生更新的问题,就像Jeff所说,短期来看,人工智能会让坏人更容易入侵他人计算机。
在马杰心里,安全人员都有一张“技能表”,对于找到漏洞至关重要。人工智能,很可能成为“技能表”中下一个重点。
在Jeff看来,Defcon举办至今,证明了最重要的资源是人而不是技术,所以懂得如何教育和培养人才,才能解决网络安全的问题。
历年的Defcon现场都会有公司现场设立奖金池,鼓励黑客查找软件漏洞。今年,来自智能门锁、车联网、区块链等领域中国的团队也开出重金,悬赏黑客中的高手,帮助自己寻找漏洞。
例如,来自北京的BOX团队为数字货币的保管提供解决方案,只要黑客能从他们的系统里“盗取”私钥并将数字货币转移,就能获得100万元奖金。
马杰透露,这种赏金计划在国外是很常规的做法,每年像微软、谷歌这样的企业都会花重金请高手来查看问题,百度也正在和一群白帽子(正面的黑客)合作,一起解决安全难题。
年初,百度将他们和一些厂商邀请到西双版纳,发放了近百万人民币的年终奖,并发出了联手共建AI安全战线的号召。
第二届杭州(国际)未来生活节早鸟票正式开抢!这可能是杭州今年最好玩的一场嘉年华
可识别85种皮肤病的人工智能来了,杭州这两家创业公司功不可没
杭州人的电子身份证来了!打开手机就能证明“我是我”,再也不怕忘带身份证
浙大首开的这门课程,将为杭州批量输出高端人才,网友:百万年薪有望了!
杭州今年将为近一半马路摄像头接入这个新功能,交通违章一抓一个准!
我们负责报道杭州的未来
都市快报出品
原创内容转载请评论区或后台留言