美國情報間諜人員利用生物特征辨別黑客

隨著(zhù)越來(lái)越多美國民眾開(kāi)始利用指紋識別功能進(jìn)行身份驗證——其具體應用范疇包括智能手機甚至是邊境檢查——利用頗具創(chuàng )造性的欺騙手段誤導生物識別讀取器也成為一種常態(tài)。

現在，間諜業(yè)界開(kāi)始做出反擊。一個(gè)剛剛發(fā)布的四年發(fā)展項目希望打造出一套人工智能方案，從而以自動(dòng)化方式檢測欺騙性指紋、面部圖像以及虹膜。

情報高級研究計劃局（簡(jiǎn)稱(chēng)IARPA）的研究人員們不僅需要識別出偽造的假肢型拇指、打印出或者利用其它方式構建的圖像，更需要教導人工智能預測前所未有的攻擊方式。

“我 們目前能夠采取的手段之一就是將人工方式加入進(jìn)來(lái)，”IARPA項目主管Chris Boehnen在接受采訪(fǎng)時(shí)指出。警察能夠輕松識別出使用了偽造指紋的嫌犯。在奧塔伊梅薩大道，美國海關(guān)與邊境保護局人員引入了一套新系統，旨在利用虹膜 與面部識別辨認外國游客。今年1月，CBP官員亦開(kāi)始在約翰·F·肯尼迪國際機場(chǎng)利用面部照片匹配技術(shù)減少護照偽造行為。

“是的，人工檢查確實(shí)能夠提高整個(gè)流程的安全性，但在其它一些場(chǎng)景下人為因素也可能成為其中的薄弱環(huán)節，”Boehnen表示。

理想的生物識別系統應該不僅僅能夠“找出目前存在的攻擊活動(dòng)”，同時(shí)也能夠遏制“我們還未經(jīng)歷過(guò)的偽造手段” ，他解釋稱(chēng)。用技術(shù)人員的行話(huà)來(lái)講，這意味著(zhù)相關(guān)技術(shù)不能屬于以已知攻擊模式為基礎的簽名識別工具。相反，其應該屬于“檢測異常狀況”的機制，即以可疑活動(dòng)為主要目標。

本月初，Boehnen會(huì )見(jiàn)了約100名相關(guān)技術(shù)的關(guān)注者，并向他們“演示了攻擊探測方案”——這一研發(fā)項目被命名為北歐的眾神之王，奧丁 。

作為該項目的第一階段——命名為托爾，代表和平與正義的奧丁長(cháng)子——將嘗試標記各類(lèi)已知與未知欺詐活動(dòng)。而最終階段則被稱(chēng)為洛基——在北歐神話(huà)中一直以招搖撞騙著(zhù)稱(chēng)——將試圖找出檢測系統自身的弱點(diǎn)。

Boehnen 同時(shí)提到，德國黑客研究小組混亂計算機俱樂(lè )部的技術(shù)成果就被作為面部生物識別的實(shí)際挑戰之一。2013年9月，這些安全技術(shù)分析師們演示了如何利用粉紅色 乳膠騙過(guò)iPhone的指紋安全系統——此時(shí)距離蘋(píng)果公司發(fā)布其首款具備Touch ID的智能手機剛剛過(guò)去兩天。

    歡迎國際 友人加入推進(jìn)該項目

“回想上世紀九十年代中期到末期的計算機安全狀況——幾乎每個(gè)人都擁有自己的個(gè)人計算機，但大部分用戶(hù)還沒(méi)有開(kāi)始使用殺毒軟件?！盉oehnen表示。

而現在，計算機用戶(hù)已經(jīng)進(jìn)入了同黑客之間的貓鼠游戲當中。

“其目標在于確保我們所使用的生物識別技術(shù)仍然值得信賴(lài)，”他解釋稱(chēng)。

生物識別技術(shù)帶來(lái)的威脅于2015年9月成為業(yè)界關(guān)注的焦點(diǎn)，當時(shí)美國政府透露稱(chēng)，懷疑有中國黑客從其人事管理辦公室處竊取到了約560萬(wàn)名國家安全人員的指紋數據。

盡管擔憂(yōu)民族國家可能會(huì )濫用這批個(gè)人數據，但美國政府仍然歡迎國際友人幫助其推進(jìn)生物識別欺詐檢測項目。

在 IARPA，“我們希望完成世界一流水平的研究。雖然我可以很驕傲地肯定，美國在這方面一直處于領(lǐng)先地位，但這種領(lǐng)先優(yōu)勢未必能夠一直保持下 去，”Boehnen指出。因此，“我們選擇的項目構建方式比較獨特，因為我們支持國外機構的參與。這意味著(zhù)此項目并非機密性質(zhì)，因此參與各方完全能夠盡 情施展?！?/span>

不過(guò)他再進(jìn)強調稱(chēng)，國外參與者不會(huì )因此獲得任何形式的偏向。另外，國外參與者不可接觸“洛基”階段，即由測試人員嘗試對這套欺詐檢測系統進(jìn)行攻擊。這部分內容具備保密屬性。

在經(jīng)歷了人事管理辦公室數據泄露之后，美國官方堅稱(chēng)“對指紋數據進(jìn)行濫用的能力非常有限”，但聯(lián)邦工作組仍將進(jìn)一步研究對手可能如何利用這些竊取到的指紋文件。

Boehnen表示，奧丁項目并不是對大規模數據泄露事件的響應?？傮w來(lái)講，“這項計劃的目標在于確保生物識別系統能夠正確判斷受驗者的真實(shí)身份，”他解釋道。

相關(guān)欺騙手段成本很低

不過(guò)……

就目前來(lái)講，欺騙智能手機所內置的指紋傳感器只需要相對較低的成本投入。

密歇根州立大學(xué)的研究人員在今年2月發(fā)表的一篇論文中，證明了如何利用具備一定精度水平的打印圖案輕松騙過(guò)指紋識別器。這項技術(shù)只需要利用導電油墨與特殊紙張即可，The Atlantic方面估計其總體成本僅在450美元左右。

“膠質(zhì)膩子與木材粘合劑都很便宜，”Boehnen表示，而這些素材可用于模擬手指的觸感。

目前項目資金來(lái)源尚不明確。各位潛在研究人員得到通知，其檢測組件在批量購買(mǎi)的情況下不會(huì )超過(guò)5000美元。

這樣的價(jià)格點(diǎn)要遠遠低于國家安全機構的維護費用，Boehnen強調稱(chēng)。不過(guò)該機構也確實(shí)不想讓可怕的成本門(mén)檻擋住參與者們的腳步，例如采購質(zhì)譜儀或者電子顯微鏡等。

其思路在于通過(guò)特殊算法及硬件捕捉人體的多個(gè)側面，例如紋理、光澤以及三維結構等等。相關(guān)硬件可能包括運動(dòng)檢測器、照相機或者超聲設備等。

提交的建議內容預計將在未來(lái)幾個(gè)月內陸續發(fā)布。

“我們選擇了一些就目前來(lái)看已經(jīng)非常嚴格的標準，并允許尖端人才參與其中以找出缺陷——當然，我們也樂(lè )于幫助參與各方拿出真正具備突破性的解決方案，”Boehnen總結道。