洞悉“黑科技”的背后 看百度安全如何破局
2018年10月24日,2018 GeekPwn 国际安全极客大赛(以下简称极客大赛)在上海拉开序幕,今年极客大赛以“人‘攻’智能,洞见未来”为主题,围绕人工智能安全问题探索展开。如果不是亲临现场,你可能想象不到,电影里那些酷炫的黑科技,分分钟都在我们身边上演。
一张纸解开手机指纹
你相信一张纸就能打开安卓手机屏下指纹锁吗?现场的一名黑客通过一张普通的卡片,可以让任何人对手机的屏下指纹进行解锁。其原理是利用光学技术捕捉用户的指纹影像,通过反射欺骗的方法,利用屏幕上残存的指纹痕迹,让屏下指纹传感器认为是手机的主人正在进行指纹验证。也就是说,如果你使用的是屏下指纹锁手机,那么任何人只要掌握了这个方法,都能打开你的手机,获取你的信息。
图示为主持人及“大牛蛙”现在示范解锁手机指纹
无需密码 获取手机加密相册内照片
如果你不担心手机指纹密码破解,因为你的照片都已经加密,那么这个技术的曝光你恐怕就要小心了。在大会现场,另一个黑客团队,在不到两分钟的时间里,便成功获取了主持人手机加密相册里的照片。据了解,他们是利用手机操作系统的漏洞,通过在手机中装一个恶意APP,root权限执行任意命令,从而实现在手机中安装木马盗取照片。对此选手还解释说,即便相册的密码再复杂再长,都抵不过操作系统存在的漏洞。
图示为主持人和评委讨论破解原理
指纹加密的U盘 信息照样被获取
随着人们对安全的重视,现在已经出现了指纹加密的U盘,但这也并不是万无一失的。现场的黑客在不破坏存储和主控芯片的情况下,移除原有的指纹识别模块,通过自制的伪造指纹模块设备,利用数学模型,计算出关键数据,获取了加密信息。
图示为指纹加密U盘破解挑战成功
两天时间里,极棒大会还展示了在不攻击机身和遥控器的情况下,通过植入恶意代码让无人机自由落体;破解智能门锁;遥控指挥智能音箱;破解路由器等等这些生活中无处不在的智能硬件的破解,正如安全人员常说的,魔鬼藏于细节之中。AI时代,安全隐患变得更加多样化和复杂化,过去的仅靠人力维护的网络安全认知已经无法满足新的需求,
AI安全 探索网络安全新出路
互联网发展至今,网络攻击不断演变,黑客攻击越来越密集,安全企业开始意识到,人的精力是有限的,利用AI技术进行攻防对抗,成为了行业探索的新方向。也许一个优秀的安全工作人员,一天工作8小时能查杀拦截2000条问题链接,但AI可以不吃不喝不休不眠的运行24小时拦截上百万条问题链接,甚至凭借其强大的运算能力,提前排查异常、风险和威胁的信号,大大提高了网络的安全性。
利用AI技术进行攻防对抗,成为了行业探索的新方向,越来越多的互联网公司正在利用自身AI技术优势和丰富的网络安全服务经验成为保障AI网络安全的重要参与成员。其中百度凭借在AI 上的领先优势,率先提出“有AI更安全”的口号,在发现和阻止黑客入侵设备、预防恶意软件和文件被执行、网络流量异常检测、检测恶意移动应用等前沿领域的研究成果,成为AI网络安全防护的领头羊。
此次极棒大会上,百度安全以"铸智慧战甲,拼安全未来"为主题,在现场用积木搭建了一座身披智慧战甲的“未来AI守护者”,组成战甲机身的若干板块均由现场合作伙伴和参会观众设计拼装完成。这次活动也表明了在AI时代,百度安全以开放的姿态,携手行业伙伴共同应对未来网络安全挑战的决心。
此外,百度安全还带来了针对网络安全首创的“七种武器”:KARMA系统自适应热修复、MesaLink TLS下一代安全通信库、MesaLock Linux内存安全操作系统、MesaTEE下一代可信安全计算服务、OpenRASP下一代云端安全防护系统、AdvBox对抗样本工具包和HugeGraph大规模图数据库,来应对云管端以及大数据和算法层面的一系列安全风险问题,为AI安全生态提供全方位技术保障。
同时,针对AI领域安全问题,以百度安全建立的基于深度学习的DDoS模型为例,对异常网络流量等数据进行收集、筛选、处理,并自动生成安全报告提供给客户,这一切AI都可以解决,而这仅仅是百度安全应用AI的冰山一角。
图示为此次极客大会的百度安全展台
积极行动 百度安全引领AI安全的创新发展
在今年5月,百度第一个把安全界的“奥斯卡”DEF CON从美国拉斯维加斯带到中国北京,明年这场世界极客盛宴将正式由DEF CON CHINA beta升格为DEF CON 2019。
百度安全不仅连续五年支持百度战队参加DEFCON大赛,还连续三届举办中国XCTF联赛;持续举办全球顶级黑客白帽交流会,搭建社区交流平台;组织白帽子游学DEFCON,开拓国际视野。以实际行动促进国内网络安全人才培养,提高国内安全方面的水平。
正如百度总裁张亚勤在演讲提到的:“AI时代,一个最大的挑战,就是安全的问题。”在全球网络安全威胁之下,没有人可以独善其身。未来,百度还会继续积极行动,联手各界合作伙伴搭建更加开放的国际化网络安全交流平台,为推动AI安全的创新发展而努力。