從手機掃碼支付、智慧穿戴設備, 到人臉識別的無人店、人工智慧機器人, 互聯網的應用日新月異, 深刻改變著我們每一個人的工作和生活。
但是, 如果有駭客瞄上了你的設備, 盜取資訊, 為所欲為, 那你的生活還能安全嗎?不僅是個人, 網路安全已經成為國家、社會、經濟安全的重要屏障。
震驚!白帽駭客分分鐘攻破科技漏洞
在GeekPwn2017國際安全極客大賽上, 白帽駭客們上演了一場與現代科技的巔峰對決, 攻擊物件包括當下最火的人臉識別, 以及聲紋識別、使用銀行卡在智慧POS機消費等場景, 令人驚歎的項目破解秀,
不靠整容、不換照片, 2分半鐘破解人臉識別門禁系統。
半月談記者在現場看到, 評委在一台人臉識別門禁系統中錄入自己的臉, 只有這張臉才能打開門禁。
然而, 畢業于浙江大學電腦專業的90後女選手“tyy”僅用時兩分半鐘就破解了門禁系統。
tyy解釋說, 人臉識別系統並不是萬無一失。
她通過wifi進入門禁系統, 利用系統漏洞直接獲取控制許可權、修改人臉資訊, 把設備中存儲的評委人臉換成了自己的臉。
這也意味著可以用任意人臉來“矇騙”人臉識別系統, 打開門禁。
“芝麻開門”變成“西瓜開門”, 你的聲音並非“唯一”。
數位資訊化的發展, 聲紋識別逐漸成為未來生物識別的主流, 而聲紋鑒定已成為刑事司法中的有效證據。
但化身語音合成“機械師”, 共同向聲紋驗證系統發起挑戰的選手們表示, 針對聲紋識別的攻擊已經成為新的安全威脅。
本次比賽的聲音樣本, 由遊戲《王者榮耀》裡的人物“妲己”的配音者提供。
根據比賽規則, 各位選手先學習了“妲己”聲音樣本的聲紋特徵, 合成語音音訊, 然後對若干語音驗證系統發起攻擊。
結果是, 五組選手成功實現了對語音驗證系統的突破, “欺騙”了目標系統, 使其無法做出正確的判斷。
“AI仿聲驗聲攻防賽”主評委鄭方表示, 就目前生物特徵識別技術的發展來看, 聲紋本身因語音信號所含信息量的豐富性, 是最安全的。
然而, 目前市面上所見的一些帶聲紋識別功能的智慧語音產品,
明明手捂著輸密碼, 銀行卡裡的錢卻“不翼而飛”。
與黑白屏的傳統POS機不同, 現在很多商家開始採用多合一的彩屏智慧POS機收單。 但智慧產品帶來了豐富功能, 也產生了許多問題。
評委在現場拿了一張銀行卡, 把帳號和密碼寫在一個白板上, 反扣在不透明的桌子上。 一名選手假裝成顧客使用智慧POS機, 另一名選手則在電腦上進行操作, 兩人相互配合, 利用後門開啟設備資料線調試介面及管理許可權控制了這台POS機。
當評委拿著準備好的銀行卡刷卡消費時, 選手就輕鬆獲取了在POS機上的刷卡資訊, 相當於盜取了這張銀行卡的卡號和密碼。
選手不僅在現場寫出了跟評委在白板上所寫的一模一樣的數字,
除了上述項目, 攻破賽中還上演了“機器人學會了握筆寫字, 但TA能夠代替你簽名嗎”“我請全國人民看電影的夢想, 能夠實現嗎”“有人在我車外貼了個東西, 汽車就失控了”……
GeekPwn大賽發起和創辦人、KEEN公司CEO王琦表示, 比賽所呈現的漏洞, 不是想造成公眾恐慌, 而是希望得到廠商和更多人的重視。
尤其是一提到人工智慧, 大家總是擔心機器人可能代替人類工作, 其實對技術人員來說, 更關心的是它會不會“學壞”。 未來機器出了問題後再去修復可能比今天補漏洞要困難很多。
因此, 比賽鼓勵全球頂尖AI相關領域的安全研究團隊積極參與,
新科技應用層出不窮, 要便利還是要安全
只需掃一眼螢幕, 蘋果最新款手機的原深感攝像頭就能瞬間識別主人, 解鎖設備乃至完成支付;
全球IT研究顧問與諮詢公司Gartner預測, 不管是軟體還是硬體, 到2020年30%的新開發專案裡面會含有人工智慧元素, 而今天大概不到5%。
可以預見, 未來人們的生活將與新興科技息息相關, 與此同時, 也可能面臨更多網路攻擊。
以人臉識別為例, 360公司安全技術人員表示, 技術的隱患主要在活體認證部分, 無特殊硬體支援的傳統手機端的支付存在更多安全隱患。
新的蘋果手機基於深度攝像頭, 在活體認證部分性能有了極大提升,但依然有利用假面具對其破解的報導見諸報端。
上海市資訊安全行業協會會長、眾人科技董事長談劍峰說:“每一種新技術都可能意味著新的個人權利讓渡。比如從指紋解鎖到人臉識別,手機廠商可能從收集用戶指紋到收集使用者臉部特徵資料。
生物特徵是唯一特徵,但這反而可能是不安全的。密碼丟失後可以設置一個新的,但有大量生物特徵資訊的伺服器一旦受到攻擊,資料庫被拿走,你不可能再有第二張臉。”
談劍峰表示,“鑒於目前還沒有完全保險的方式來保證生物資料的安全,減少攻擊面就變得非常重要,也就是說儘量少用生物資料,或僅僅將生物資料用在不太敏感的場合,不建議用於關鍵場合的身份認證、轉帳交易等。”
自動駕駛已是各大科技公司的兵家必爭之地。然而跟手握方向盤的可操控相比,無人駕駛的潛在風險仍然令人擔憂。
360公司安全技術人員表示,人工智慧新型技術帶來的安全潛在風險是多方位的:
感測器風險,不法分子可能通過干擾讓感測器失效,或者誤導感測器,比如誤導攝像頭將車跑出路面;
代碼風險,人工智慧演算法的代碼如果設計不周,可能讓駭客有機會篡改即時代碼,讓結果出現偏差;
產品風險,駭客可能遠端挾持智慧硬體或者植入惡意程式碼,可能對周圍的人帶來傷害。
加州大學伯克利分校電腦系教授宋曉冬說,她和同事研究發現,在實施一些技術干擾後,電腦在進行深度學習時容易被欺騙,比如一個“禁止停車”標誌,可能被電腦解讀為“限速”標誌。
而對於人工智慧用於醫療設備的安全問題,過去多年一直沒有引起重視,2016年度美國食品藥品監督管理局頒發的指南裡開始提及。
顯然,不能等到出現嚴重事件後才敲響警鐘,之前等安全事件出現後再面對問題的教訓已經夠多,未雨綢繆才是正確選擇。
沒有網路安全就沒有國家安全,而建設網路強國是一個長期的系統工程。關於網路安全怎麼保障,中國工程院院士沈昌祥建議用可信計算築牢網路安全防線。
“沒有免疫系統的孩子只能生活在無菌狀態,給電腦系統殺病毒、建防火牆,都是被動的,不解決根本問題,也是過時的。我們應該主動進行安全防護。”
據沈昌祥介紹,可信計算,是一種運算和防護並存的主動免疫的新計算模式,以密碼為基因,實施身份識別、狀態度量、保密存儲等功能。
及時識別“自己”和“非己”成分,從而破壞與排斥進入機體的有害物質,相當於為電腦資訊系統培育了免疫能力。
另外,中國工程院院士倪光南表示,由於目前我國大部分電腦所使用的作業系統等核心技術都不是自己研發的,所以在攻擊面前往往會處於被動狀態。
比如勒索病毒,我們經常是在發現攻擊之後才知道,而且發現了漏洞也得等別人給打補丁。
未來要實現網路強國,就必須把核心技術特別是作業系統這類核心技術掌握在自己手裡,使用自己的研發成果。
“奇點”加速駛近,人類如何安放自我
阿法元(AlphaGoZero)通過自我學習三天后就以100:0碾壓人類眼中神一樣的棋手阿法狗(AlphaGO);
穀歌和微軟宣佈正在研究用AI開發AI,特定任務AI甚至超越人類AI專家;
基因編輯技術和納米機器人或將幫助人類活到150歲……
種種跡象表明,未來學家和科幻小說中那個神秘的“奇點”正在到來。
黑科技帶領人類進入激動人心的嶄新時空,同時也給人類帶來恐慌:
人會被機器取代嗎?機器會統治人類嗎?或者,最讓人不安的就是人類自己?他們可能竊取他人隱私,攻擊自動駕駛,劫持智慧硬體,甚至成為利用基因技術製造“怪獸”的科學怪人?
迷人又危險的“奇點”加速駛近,人類該如何安放自我?
在科幻電影《我,機器人》中,機器人最終發展出高級智慧和獨立思考,並試圖控制、拘禁人類,進而成為人類的“機械公敵”。
雖然當前人工智慧技術離此尚遠,但其可能帶來的大規模失業,以及可能被用於網路及城市公共設施攻擊的潛在威脅,已不是天方夜譚。
相比於生物技術、核技術,目前人工智慧領域受到的監管和規範很少,幾乎處於空白,也容易忽略規劃網路空間安全的整體戰略佈局。
作為負責任大國和在人工智慧技術領域發展較快的國家,我國已率先開啟了人工智慧“社會治理”的探索實踐。
今年4月,由工信部宣導,國內多家企業聯合發佈了《人工智慧深圳宣言》,除了強調源頭技術創新、建立技術標準外,也提出積極探討人工智慧技術發展與倫理道德的平衡點,讓人工智慧更好地服務於人類。
7月,國務院頒佈了《新一代人工智慧發展規劃》,明確提出“建立人工智慧法律法規、倫理規範和政策體系,形成人工智慧安全評估和管控能力”。
在談劍峰看來,在人工智慧時代,點點滴滴的個人隱私彙集起來就是國家資訊安全。對於企業通過產品終端收集使用者資料,如何採集、存儲、傳輸、使用和銷毀,亟待立法予以規範。
西安電子科技大學網路與資訊安全學院教授、中央網信辦網路安全人才培養基地副主任楊超認為,當一個國家很多人的資訊被掌握在企業尤其是外資企業手裡,這確實是個令人擔心的問題。
大量公民的面部特徵、身份資訊、健康狀況、年齡特徵、流動特點等資料,從中可以分析出很多重要資訊。這些都應該屬於我們國家的關鍵基礎資料,其重要性等同於國家基礎設施,可以說屬於戰略資源。
事實上,讓法律長出牙齒,是捍衛個人隱私乃至公共安全的護城河。
我國網路安全法明確規定,網路運營者收集、使用個人資訊,應當遵循合法、正當、必要的原則,並經被收集者同意;網路運營者不得收集與其提供的服務無關的個人資訊,不得違反法律、行政法規的規定和雙方的約定收集、使用個人資訊。
但在實際生活中,網路巨頭屢屢過界甚至明顯違規,但鮮有被追責,消費者維權極為艱難。
對於普通人來說,也需要築起個人安全的護城河。
正如王琦所說:“不管是廠商還是消費者,都不要出於趕時髦或者追捧概念去使用一些尚未成熟的技術。”
在活體認證部分性能有了極大提升,但依然有利用假面具對其破解的報導見諸報端。上海市資訊安全行業協會會長、眾人科技董事長談劍峰說:“每一種新技術都可能意味著新的個人權利讓渡。比如從指紋解鎖到人臉識別,手機廠商可能從收集用戶指紋到收集使用者臉部特徵資料。
生物特徵是唯一特徵,但這反而可能是不安全的。密碼丟失後可以設置一個新的,但有大量生物特徵資訊的伺服器一旦受到攻擊,資料庫被拿走,你不可能再有第二張臉。”
談劍峰表示,“鑒於目前還沒有完全保險的方式來保證生物資料的安全,減少攻擊面就變得非常重要,也就是說儘量少用生物資料,或僅僅將生物資料用在不太敏感的場合,不建議用於關鍵場合的身份認證、轉帳交易等。”
自動駕駛已是各大科技公司的兵家必爭之地。然而跟手握方向盤的可操控相比,無人駕駛的潛在風險仍然令人擔憂。
360公司安全技術人員表示,人工智慧新型技術帶來的安全潛在風險是多方位的:
感測器風險,不法分子可能通過干擾讓感測器失效,或者誤導感測器,比如誤導攝像頭將車跑出路面;
代碼風險,人工智慧演算法的代碼如果設計不周,可能讓駭客有機會篡改即時代碼,讓結果出現偏差;
產品風險,駭客可能遠端挾持智慧硬體或者植入惡意程式碼,可能對周圍的人帶來傷害。
加州大學伯克利分校電腦系教授宋曉冬說,她和同事研究發現,在實施一些技術干擾後,電腦在進行深度學習時容易被欺騙,比如一個“禁止停車”標誌,可能被電腦解讀為“限速”標誌。
而對於人工智慧用於醫療設備的安全問題,過去多年一直沒有引起重視,2016年度美國食品藥品監督管理局頒發的指南裡開始提及。
顯然,不能等到出現嚴重事件後才敲響警鐘,之前等安全事件出現後再面對問題的教訓已經夠多,未雨綢繆才是正確選擇。
沒有網路安全就沒有國家安全,而建設網路強國是一個長期的系統工程。關於網路安全怎麼保障,中國工程院院士沈昌祥建議用可信計算築牢網路安全防線。
“沒有免疫系統的孩子只能生活在無菌狀態,給電腦系統殺病毒、建防火牆,都是被動的,不解決根本問題,也是過時的。我們應該主動進行安全防護。”
據沈昌祥介紹,可信計算,是一種運算和防護並存的主動免疫的新計算模式,以密碼為基因,實施身份識別、狀態度量、保密存儲等功能。
及時識別“自己”和“非己”成分,從而破壞與排斥進入機體的有害物質,相當於為電腦資訊系統培育了免疫能力。
另外,中國工程院院士倪光南表示,由於目前我國大部分電腦所使用的作業系統等核心技術都不是自己研發的,所以在攻擊面前往往會處於被動狀態。
比如勒索病毒,我們經常是在發現攻擊之後才知道,而且發現了漏洞也得等別人給打補丁。
未來要實現網路強國,就必須把核心技術特別是作業系統這類核心技術掌握在自己手裡,使用自己的研發成果。
“奇點”加速駛近,人類如何安放自我
阿法元(AlphaGoZero)通過自我學習三天后就以100:0碾壓人類眼中神一樣的棋手阿法狗(AlphaGO);
穀歌和微軟宣佈正在研究用AI開發AI,特定任務AI甚至超越人類AI專家;
基因編輯技術和納米機器人或將幫助人類活到150歲……
種種跡象表明,未來學家和科幻小說中那個神秘的“奇點”正在到來。
黑科技帶領人類進入激動人心的嶄新時空,同時也給人類帶來恐慌:
人會被機器取代嗎?機器會統治人類嗎?或者,最讓人不安的就是人類自己?他們可能竊取他人隱私,攻擊自動駕駛,劫持智慧硬體,甚至成為利用基因技術製造“怪獸”的科學怪人?
迷人又危險的“奇點”加速駛近,人類該如何安放自我?
在科幻電影《我,機器人》中,機器人最終發展出高級智慧和獨立思考,並試圖控制、拘禁人類,進而成為人類的“機械公敵”。
雖然當前人工智慧技術離此尚遠,但其可能帶來的大規模失業,以及可能被用於網路及城市公共設施攻擊的潛在威脅,已不是天方夜譚。
相比於生物技術、核技術,目前人工智慧領域受到的監管和規範很少,幾乎處於空白,也容易忽略規劃網路空間安全的整體戰略佈局。
作為負責任大國和在人工智慧技術領域發展較快的國家,我國已率先開啟了人工智慧“社會治理”的探索實踐。
今年4月,由工信部宣導,國內多家企業聯合發佈了《人工智慧深圳宣言》,除了強調源頭技術創新、建立技術標準外,也提出積極探討人工智慧技術發展與倫理道德的平衡點,讓人工智慧更好地服務於人類。
7月,國務院頒佈了《新一代人工智慧發展規劃》,明確提出“建立人工智慧法律法規、倫理規範和政策體系,形成人工智慧安全評估和管控能力”。
在談劍峰看來,在人工智慧時代,點點滴滴的個人隱私彙集起來就是國家資訊安全。對於企業通過產品終端收集使用者資料,如何採集、存儲、傳輸、使用和銷毀,亟待立法予以規範。
西安電子科技大學網路與資訊安全學院教授、中央網信辦網路安全人才培養基地副主任楊超認為,當一個國家很多人的資訊被掌握在企業尤其是外資企業手裡,這確實是個令人擔心的問題。
大量公民的面部特徵、身份資訊、健康狀況、年齡特徵、流動特點等資料,從中可以分析出很多重要資訊。這些都應該屬於我們國家的關鍵基礎資料,其重要性等同於國家基礎設施,可以說屬於戰略資源。
事實上,讓法律長出牙齒,是捍衛個人隱私乃至公共安全的護城河。
我國網路安全法明確規定,網路運營者收集、使用個人資訊,應當遵循合法、正當、必要的原則,並經被收集者同意;網路運營者不得收集與其提供的服務無關的個人資訊,不得違反法律、行政法規的規定和雙方的約定收集、使用個人資訊。
但在實際生活中,網路巨頭屢屢過界甚至明顯違規,但鮮有被追責,消費者維權極為艱難。
對於普通人來說,也需要築起個人安全的護城河。
正如王琦所說:“不管是廠商還是消費者,都不要出於趕時髦或者追捧概念去使用一些尚未成熟的技術。”