互联网界的”偷天换脸”

数字身份不仅仅只有社交媒体账号而已。随着科技的不断进步,越来越多的个人信息、数据或资料被作为在线身份使用,而这些东西往往会成为网络罪犯盗窃或伪造的目标。

网络犯罪分子对于各类个人数据可谓”来者不拒”:个人资料、照片、视频甚至是用户之间的交互方式;他们往往都是从社交网站上窃取这些数据。被盗的数据可能会出现在互联网的其它地方,并出售给其他犯罪分子以谋取利益。

这也就是说,数字身份不仅仅只有社交媒体账号而已。随着科技的不断进步,越来越多的个人信息、数据或资料被作为在线身份使用,而这些东西往往会成为网络罪犯盗窃或伪造的目标。

变脸


目前的科技水平已经能在视频电话中玩些”变脸的戏法”。只要方法得当,看起上就像真的一样且没有任何破绽。早在2011年,就出现了这样一款应用程序,能用静态照片上的脸完美覆盖你视频中移动的脸,且完全实时动态进行,几乎能以假乱真。你是否曾幻想过自己拥有安吉丽娜•朱莉的迷人双唇或布拉德•皮特的英俊面孔?不要再用PS软件了,这款神奇的应用程序就能帮您实现梦想。

当然,在2011年的时候相关的算法还不够完美。来自南加州大学的Facebook Oculus Rift头戴式显示器研发者们展示了如何追踪佩戴虚拟现实头盔的人的脸部表情,同时还能将这些表情运用到虚拟人物的脸上。这一技术有望运用于在线游戏等其他应用。你可以想象,如果《魔兽世界》或其它大型在线角色扮演游戏(MMORPG)中的虚拟人物用上你的表情会有怎样的效果!听起来就很好玩。

显然,人们还能在视频聊天中实现脸部表情的互换。来自斯坦福大学的研究人员最近就展示了这样一种解决方案。

这一技术听上去相当棒,但历史的经验告诉我们,任何一种新发明既能用在好的方面,同时也能用于各种犯罪目的—行骗、欺诈及非法获取收益。有一点可以肯定,网络犯罪分子一定会”使出十八般武艺”,通过对该技术进行漏洞利用从而谋取不法利益。

存在漏洞的生物测量技术

目前在美国,人们可以用自己的指纹作为钥匙进入全美流行的健身连锁中心24 Hour Fitness。此外,纽约大学医疗中心的病人们只需显示他们的手掌而不是保险卡就能看病就医,因为该中心的病人安全系统通过扫描每个人手掌上独一无二的静脉特征来识别身份。

但我们有时也需要换个角度看问题。我们一般使用密码访问互联网服务。一旦密码被盗,还可以很方便地再换一个。再比如说塑料信用卡,一旦不幸丢失或被盗,也能很快(1-2周时间)再换张新的。

再想象一下,你将身体的一部分作为身份识别,比如说指纹或虹膜扫描。而一旦网络犯罪分子复制了你的指纹或虹膜,你还能对自己的这些身体部位进行更改吗?

就目前的技术而言,生物识别身份被盗的受害人可能需要等上3-5年的时间才能解决这一问题。

一些案例的发生证明我们实在等不了那么长的时间了,相关研究显示DNA也可以被伪造,比如留在犯罪现场的DNA样本。

如何伪造生物测量数据

事实证明,盗取他人的生物测量数据(例如:指纹和虹膜扫描)其实并不难。最糟糕的是可以远程进行盗取。因黑客入侵苹果的TouchID而名声大噪的德国生物测量专家Jan Krisller最近就发现了从高分辨率照片中复制虹膜和指纹的方法。

Krissler从一次新闻发布会拍摄的照片中成功提取了德国总理安吉拉•默克尔的虹膜数据。犯罪分子完全可以从杂志的照片中”依样画葫芦”。他还证实不法分子完全可以将这一生物测量数据印在隐形眼镜上,能成功骗过虹膜扫描系统。

伪造指纹更是轻而易举。比如,Krissler只用了普通的单反相机和200mm镜头就成功进行伪造。只需借助受害人的手部照片,犯罪分子可轻而易举地伪造并成功通过指纹扫描。

生物测量技术依然有很大的提升空间。我们不应该在缺乏专门保护系统的情况下贸然使用新技术,这样将无法保护人们的个人数据安全。如若贸然推出市场,终将以失败而告终,同样对黑客入侵该项技术的调研也必不可少–我们到时一定会如实公布。就目前而言,我们强烈建议读者们提高警惕,采用老式的密码验证和双因素认证技术保护重要数据的安全。

终极任务:黑客入侵”老奶奶”:小菜一碟

许多人都会认为网络罪恶的真正根源是科技本身,一旦我们不再使用各种高科技的智能设备,所有那些犹如幽灵般可怕的网络威胁都会从我们眼前立即消失。如果你的家中不使用任何通过Wi-Fi联网的智能冰箱和智能洗衣机(或无线开关和控制系统)的话,你也同样能避免绝大部分的网络威胁。事实证明,每个人或多或少都有遭受黑客入侵的风险。 —对她进行黑客入侵。但Walsh明确表示,她没有任何可以黑客入侵的地方!两名安全研究专家同时也邀请了《纽约时报》的记者负责记录本次试验的整个过程。 Patsy Walsh就是那种我们常称的’时髦奶奶’:她有6个孙子孙女,一台笔记本电脑、卫星电视和一辆车,并且还拥有一个Facebook账号用来与她的亲朋好友联系。你应该能注意到,这与她自称的恰恰相反,她能被黑客入侵的地方实在不少! 首先,”黑客”需要做一些准备工作。他们访问了Walsh女士的Facebook主页,并发现她最近在change.org网站上签署了一份请愿书。研究人员花了总共10分钟写了一封伪造代表change.org网站的电邮发给Patsy,要求她签署另一份请愿书,内容是关于马林县的土地所有权,”恰巧”她就住在那个地方。 这位”时髦奶奶”当然经不住这样的”诱惑”,欣然签署了请愿书。然而,电邮中提供的链接是钓鱼网站而非change.org官网。”黑客”轻而易举地获得了Walsh的密码,她在之后亲口承认将这个密码用在了许多不同的网络服务。 事实证明,一封伪造的电邮就足以危害到Patsy Walsh的整个数字生活—如果是真的网络黑客攻击而不是所谓的”白帽”研究试验,其结果可想而知。真正的网络犯罪分子完全可以使用Patsy的个人数据用于各种不法活动。 随后,HackerOne研究小组还到访了Walsh女士的家中。一个半小时的时间足以暴力破解她家车库门的数字锁。他们还多花了点时间黑客入侵了她家里的DirecTV卫星电视—这两名”黑客”还忍不住搞了点小的恶作剧,为Walsh女士订阅了几个成人电视频道。 随后两名研究人员还得以有机会使用她的笔记本电脑。Walsh竟然将她的所有密码写在了便利贴上,并粘在了家里的路由器上,因此得到这些密码不费吹灰之力。通过偷偷潜入Walsh的笔记本电脑,两名”黑客”成功获取了Walsh的个人信息,包括:社会保险号、PayPal密码、航空公司飞行常客个人资料以及她个人的保险计划。他们甚至还得到了她的委任书。 “白帽”们还发现他们并不是第一个潜入到Walsh女士数字世界的”黑客”。她的笔记本电脑内早已装满了各种恶意程序:一些真正的网络黑客在上面已安装了其它恶意软件,同时还追踪浏览器历史记录并植入恶意广告等。那些缺乏基本网络安全知识的人,由于对自己笔记本电脑的安全保护较弱,因此往往会成为网络攻击者理想的目标。 其实,Walsh女士也从这次试验中收获了不少:首先她知道了自己极度缺乏基本的网络安全知识,其次她需要装一个新的车库锁并针对各种网络服务使用独一无二且更复杂的密码。 而且,两名研究专家承诺在感恩节的时候再到Walsh女士家来一次,将她笔记本内的所有恶意软件清理干净。总而言之,这个真实的试验告诉我们,对那些缺乏基本网络安全知识的人进行黑客入侵是何等容易,即便”受害者”本人觉得自己没有什么地方能被黑客入侵。 事实证明,我们身边的人都有可能成为黑客入侵的目标。目前,个人电脑几乎到了人手一台的地步,同样我们大多数人对智能手机也相当依赖。除了这些以外,许多人还使用路由器、智能手表、游戏机和智能电视,这些都可能会成为网络犯罪分子的目标。 许多东西通常被认为没有黑客入侵的可能,但历史的经验告诉我们,这些东西的安全保护程度远低于电脑—比方说上述提到的车库锁。带集成卫星导航系统且能实时下载流量数据的汽车呢?能被黑客入侵。没有安装卫星导航系统但配备遥控钥匙的汽车呢?更容易遭黑客入侵。 而且,就算你不用任何数字设备,都有可能遭受黑客入侵。任何政府或商业机构(医院、地方政府、航空公司、银行、商店和保险公司等)的数据库内都保存了你的个人数据。 这些数据都有可能成为黑客的攻击目标—一旦遭外泄每个人都将承受难以预计的严重后果。例如,近期发生的黑客事件证明:在一些西方国家,不法分子完全能将活人移入’过世的人’数据库,且无需黑客入侵任何设备—受害人却难以证明自己依然”活着”。 每个人都无法完全保证自己总能在互联网上平安无事— 就如同你无法保证出海的船就一定不会沉掉一个道理。但如果在出海前能看下天气预报,至少掌握基本的驾船技能并穿上安全背心的话—就能将威胁降到最低,这样才能更好地享受出海的乐趣。 网络安全问题也是一个道理。你必须知道其中的原理并做好最充分的安全保护措施来规避此类威胁。我们的建议是:使用强大的安全软件,当然,还有不要将密码写在便利贴上,更不要黏在路由器上。

提示