早在4年前,本人就寫了生物特征之別的巨大問題,文章發表于網絡、網絡安全會議和我的著作《網絡霸權》里面,當時是各大公司大力推廣,里面還有巨大的商業利益,對其風險視而不見,但現在這個問題真的出現了。所有人的財物安全都受到了威脅!
人臉識別被仿真,出現了巨大的風險,犯罪分子可以利用人臉識別,轉移你的財富了!已有報道:《人臉識別被破解,登錄微信就能轉賬,詐騙團伙將照片做成能眨眼的小動圖》
這樣的手段,獲得你的人像進行加工,遠遠比取得你的密碼要容易很多!生物特征識別的安全性,比密碼差很多的事實,應當讓公眾知道!而且生物特征信息是無法掛失重置的,與密碼完全不同,生物特征信息這個使用了以后,最終救濟手段沒有了,問題會比密碼泄露更嚴重!
現在各處還在使用生物特征識別替代密碼,生物特征識別泛化,造成巨大的風險隱患,尤其是我們政府部門也在大量使用生物特征識別,大量隱私信息上網,以后失控是更可怕的。
生物識別技術用于網絡的問題
現在各種生物識別技術被炒的很熱,但生物識別技術的真的那么美嗎?很多人是喜歡指紋識別、虹膜識別、面孔識別等等,認為這樣的識別非常準確、安全,但事實上卻是與你的美好感覺背道而馳的,我當年作為系統工程師,參與過某股份制銀行的指紋識別項目的,對此的問題,是有直接的了解的,真的要是生物識別技術泛濫了,你的感覺可能完全是不一樣的。
生物識別技術首先的問題就是存在一個系統性悖論,這與數字密碼是不同的,數字密碼是可以100%吻合的,而生物識別則不能100%的吻合,因為隨著你的生長老化會有變化,各種采集設備也有誤差,比如你的指紋就可能采集不完整等等,這些誤差和正常生理變化的差異必須在系統內排除的,因此系統里面不是數字密碼的100%,就是要有一個誤識率和拒識率,誤識率就是把不是的認為是,也就是把相像的人誤認了,拒識率就是把是的認為不是,把該認的人因為機器誤差和生理變化當作不認識了。但我們要知道的就是誤識率和拒識率這兩個參數是相悖的,是很難同步提高的,在誤識率極小化的時候,可能就會拒識率極大,也就是為了不認錯人,則熟人少量改變就可能被不認了;反之亦然,怕錯過熟人可能把生人誤認。這個系統性的悖論總體是一個小概率,我們如果是一個人而言可能很小,但系統大了就成了大數定律了,肯定是不成的;我們用指紋來確定犯罪沒有問題,因為百萬分之一的重復可能在刑偵上幾乎可以忽略,但我們用于銀行賬戶則問題很大,因為中國10億多人,百萬分之一的概率意味著每一個都要有1000個重復的,這怎么玩?其實即使是在刑偵上,也出現過因為特征值不夠多而鑒定出錯的情況。這就是當年銀行搞指紋系統出現的問題,你的手機是一對一針對你的,網絡的密碼可是一對多,罪犯拿他找到的人的指紋網絡計算機上搜索枚舉,很多人就要被攻破了。這與數字密碼完全不同的,百萬分之一的數字密碼只不過6位,為何現在網絡密碼都讓你強度好一點多設幾位?你設9位密碼就是10億分之一了,如果密碼還可以字母和數字的話,6位密碼就是10億分之一以上了。
生物識別技術還有一個巨大的問題就是仿真。各種生物識別技術都說仿真不了,你手指被砍下來與長在你手上不一樣等等……,但生命體本身難以仿真重構,但、生物特征信息是可以仿真重構的,尤其是變成網絡體系里面的電子信息信號就更容易了,我們這里且不說制作指模、臉模的技術進步很快,已經與人體健康狀態自然差別可比,更關鍵的是這個仿真不單單是仿真你生物體,其實很多時候是仿真你的電子信號!識別了你身體特征的電子信號是可以網絡仿真的,因為這些生物識別信息需要在網絡上傳播的,只要你傳播,就可被截取和仿真,生物特征的規律是自然規律大家都知道的。一些人就是可以以各種手段采集到你的生物特征數據,你的生物特征是公開的,采集器所形成的電子信號規則也是公開的這個電子信號很容易得到。而且黑客可以潛伏木馬在你的電腦里面,截獲你的生物識別信號存儲起來,以后網絡上仿真冒用你的身份,只要再度出具這些身份識別信號就可以了,不用你的生物體存在的。而數字密碼則不會,數字密碼不在系統內傳輸的,每一次的驗證,是雙方共同對一個相同的隨機數進行運算,比對運算的結果的,每一次傳輸的驗證數據都不一樣,你沒有密碼對這個數據根本無法解讀,下次也無法仿真,截獲這個結果毫無意義。
生物識別技術更大的一個問題在于不可撤銷!如果是數字密碼,我們發現有已經泄密的風險,我們更換一個就是了,對安全要求高的保密體系,密碼就是定期更換的,但你的生物特征能夠更換嗎?一旦你的這些特征泄密,你根本更換不了的!就算整容,一些根本性要素性的生物特征也改不了了!而如果大規模應用,網站的服務器被黑客非法進入的時有發生,到時候你的生物特征數據信息泄密,對泄了密的信息,你還無法更改更換,你必須與黑客共享,而且你今后的各種應用一直要與黑客共享,你情何以堪?更進一步的是一把這個信息給了某個網站某個應用,人家大數據一把可以進入你其他所有的應用,進入和了解你其他網站的賬戶,這多么可怕?再進一步的是如果我們都成為了透明人,個人的密碼再被別人掌握仿真等不能撤銷,這可怕的程度還要爆炸的。
綜上所述,生物特征識別技術用于網絡有巨大的不安全性不確定性,必須足夠的慎重。各種生物特征識別,只能用于國家安全保障的特別場合的特殊應用之上,或者是自己手機指紋識別、單位考勤打卡這樣的私有專用設備的簡單應用之上,在網絡上大規模的使用,被人網絡上大規模的收集國民相關數據,都是有巨大問題的,而掌握這些技術的公司,受其利益屁股的影響,對此大家一定要認清楚,這背后沒有大家想的那樣美麗。
可穿戴之冷暖
可穿戴設備在這幾年的投資領域是非常火爆,但最近這些設備的投資熱度大幅度下降了。背后就是可穿戴設備的潛規則被打破了。
Jawbone成立16年多,它號稱為智能手環鼻祖級公司,曾經是可穿戴之王。2015年初,憑借8億多美元的總融資額估值30億美元,大概是200億人民幣。1年后的今天,剛剛融完1.65億美元Jawbone,總融資額已超過10億美元,估值卻縮水到15億美元,相當于2011年時的水平。融資、縮水的同時,還有4%的裁員,和加入Jawbone只有8個月的公司董事長Sameer Samat的離職。更慘的消息是,據美國財富網站引述消息人士稱, Jawbone計劃對外轉讓無線音箱業務,并且可能會退出運動手環領域。Up系列手環已經全面停產,現有庫存全部出售給了第三方經銷商。一個估值高達200億人民幣公司,為何在一年時間就上演大潰敗?這里公司內部的經營問題很多,但與外部環境的變化關系也是很大的。
一個小設備是支持不了這樣大的估值的,可穿戴設備的火爆背后,潛規則是這個設備帶有的生物特征識別和各種個人信息的定位、收集等等,現在西方對這樣的行為可能涉及隱私是越來越警惕的,潛規則能夠走多久多遠,變得非常不確定了。這個擔憂,對投資界而言,是非常敏銳的捕捉到了,在全球只有中國對此認識是不足的,西方的各種勢力,都在中國認識清楚前大肆收集中國人的信息,對此我們的安全意識必須提高。
人臉語音透明之可怕
人的生物特征與人的身份結合了以后,尤其是這些特征再完全透明,對我們將是萬劫不復的可怕,你是不能改變你的生物學特征的,尤其是對你無法掩蓋的生物學特征更是如此,比如人臉就是,畢竟我們不是戴面紗的族群,即使是戴面紗也可以記錄虹膜,眼睛總要露出來。
建人臉庫的臉從哪來?我們的面部信息會被算法公司刷去做商用嗎?這樣的擔憂在人臉識別技術最發達的美國最先引發。今年6月,美國消費者權益組織退出了長達一年的面部識別技術監管研討會,原因就在于就“你的臉被刷走要不要你同意?”這一點上與技術方爭執不休。而這個人臉庫一旦建立起來,對我們是可怕的,美國可是網絡匿名的國家,我們如果透明了再結合上這個人臉,會怎樣?
據美國《大西洋月刊》報道,在實際操作中,對于在面部識別之前是否需要征求對方的同意,科技公司目前分成了兩派。Facebook表示,如果用戶不愿被納入該公司的面部信息數據庫,那么需要主動提出。這意味著,這些信息默認將會被納入數據庫。另一方面,微軟則表示,在進行面部識別之前,會征求用戶的同意。某人臉識別專家向記者分析稱,三維庫的來源一方面也是從機構買,另一方面,也不排除像人們猜測的那樣,從諸如高校之類的客戶那里獲得授權使用的可能。上述業內人士認為,隨著人們對隱私意識的提升,無論如何,人臉識別授權這個看似“很超前”的討論環節,都將成為人臉識別算法商們無法回避的話題。科技公司在這里本身已經是人臉識別的技術擁有者,是得利的利益集團尚且如此,那真實情況將更加堪憂。而在中國,網絡是實名制的,網站是知道你的實名信息的,這比美國將更加可怕。
我們現在對隱私還有一定的選擇權,比如你的位置信息,你可以選擇是否外面的軟件可以獲取,是那個軟件獲取,一旦你的人臉信息與你的身份結合起來,那么各種的攝像頭就不為你所控制了,到處是可以攝像然后識別的。別說公共攝像是國家安置的,其實你會走入很多私人空間的,比如各種店鋪就有防盜的攝像頭,所攝像的圖像可以上網的,有人要是收集,給他點錢就可以了。你的行蹤你根本不知道會被誰知道。
很多高檔場所的門童和接待有潛規則的灰色收入,就是盯著有人來了,有名人來與誰作伴來著,把這些信息可以賣給狗仔隊、黑社會等,現在網絡透明以后,不需要他們的眼線也不僅僅只盯住名人了,所有人都可能被盯住和記錄,變成被詐騙和隱私外泄、商業漁利的目標,這是多么可怕的事情?!
我們可以再進一步的想一下,我們的視頻音頻仿真技術飛速進步,可能不遠的將來,我們就能夠實現真人的視頻音頻仿真,也就是說可以完全仿真出一個視頻音頻的你,讓你的親人聽不出來看不出來,這個時候是多么的可怕?詐騙者仿真出來一個你家人的求救視頻,說你家人被綁架在他手上,同時定位了你的位置,讓你不掛斷電話立即付款否則家人挨刀,你能怎么辦?還可以仿真出你干壞事的錄像來污蔑你,可以仿真出你的親戚的不雅視頻敲詐你,可以仿真出你的商業伙伴來欺騙你。以后你接到親朋好友的電話,你都不能夠確定那人個就是你的朋友還是騙子等仿真出來的視頻音頻電子虛擬的,就如現在你已經不經過專業的技術分辨,不能看出來是不是PS的圖片了,這將多么可怕!這些仿真的內容與他們的身份信息對應,整個社會失去了通信公信力,社會會怎樣?
而更可怕的是以后做人工指紋的指模,還有人臉的面膜等技術也越來越成熟,成功的指模已經可以打開你的手機指紋密碼了,在2016中國網絡安全(上海)論壇上,公安部的有關部門做了現場的演示。這樣的結果就是你依靠指紋保護的系統全面崩潰,更進一步的是如果很方便可以通過黑客、黑市搞到我們公民的指紋等信息,可以指模制作黑市化,就如我們現在手機卡很容易被復制一樣,這結果的可怕是未來我們所有的刑偵系統將要癱瘓,我們采集的指紋證據要全面的不可信了,因為犯罪分子完全可以采集相關人的指模來作案,偽造出他人指紋來栽贓,而且在人臉數字信息外泄后,模擬出來的面膜假面,在你的攝像頭面前,也會讓你整個系統的監控失效。這是透明之下,假面和指模具體的對應于某個人,對應于罪犯需要對應的人,這才是問題的可怕,任何人都有可能被陷害,任何人的安全感全無!現代刑偵的各種生物識別都要限于困境。如果刑偵系統癱瘓,國家的社會秩序就要大亂,國家政權就要有巨大危機。
所以我們的人臉識別技術與身份識別的結合,是不能濫用的,是不能隨便給各種商業網站的,這個透明下來的危害,是無法彌補的。潘多拉魔盒一旦打開,后果將無法控制。
案例:趙薇老公被人臉仿真賣掉豪宅
趙薇老公遭司機假冒賣掉豪宅
2015-10-20 12:21 新浪娛樂
新浪娛樂訊 據中國法治報道,趙薇老公黃有龍被告上法庭,原因是有人買了他的房子,卻遲遲無法入住,因而提告,要求黃有龍騰退房屋。
看上去是黃有龍無理,可這房子卻不是黃有龍賣掉的,而是他的司機賣掉的。
司機為何能賣掉黃有龍的房產呢?究其原因,竟然是該司機冒充黃有龍到公證處,通過人臉識別技術辦理了委托公證證明,委托另一人將房屋賣給了武某。
事情敗露,該房屋自然無法騰退交付,黃有龍也就被武某告上了法庭,要求交付房屋。
到底什么是公證處的人臉識別技術?中國法治客戶端記者也是幫大家查了查,目前已有部分公證處引進了人臉識別技術,人臉識別系統采用最新人臉識別方法,結合最新第二代身份證閱讀器應用技術,通過攝像頭捕獲到的人像或是指定的人像與數據庫中已登記的某一對象作比對核實,確定其是否為同一人。
而有某品牌人臉識別系統的廣告稱,識別率高于98.3%。
看上去,要騙過人臉識別系統不是容易的事,但這位司機為何能冒充黃有龍通過人臉識別呢?難道他倆長得一模一樣?還是其中另有乾坤。
該案將于10月22日在北京市朝陽區人民法院開庭。(來源:中國法治作者 菩提)
背景閱讀:人臉識別已經被攻破
在我們不知不覺間,人臉識別等生物識別和圖像識別技術的規模化商業應用已初見端倪,行業巨頭紛紛入駐人臉識別領域。
由于金融與數據有著天然聯系,人臉識別大規模應用也將產生大量“人臉數據”。目前騰訊微眾銀行可以人臉開戶,馬云支付寶也開刷臉支付,人臉識別和金融系統的技術聯姻對金融生態影響深遠,例如金融遠程自助身份認證系統,通過智能終端辦理相關業務進行預設的人臉數據身份鑒權驗證,可替代線下網點或后臺人工驗證身份,極大地提升遠程業務辦理的安全性、時效性,使銀行服務更加精細化、專業化,且也簡化人工認證的程序,不但降低人眼識別失誤率,同時也可以大幅度節約人力成本,讓審核運作管理更加有效和便捷。
但是美國斯坦福大學的研究團隊近期研發出一款人臉跟蹤軟件Face2Face,它可以通過攝像頭捕捉用戶的動作和面部表情,然后使用Face2Face軟件驅動視頻中的目標人物做出一模一樣的動作和表情,效果極其逼真。
到底誰真誰假?難以辨認!這款軟件的根本原理是使用一種密集光度一致性方法(dense photometric consistency measure)來實時跟蹤源和目標視頻中的面部表情。研究人員們稱,由于源素材與被拍攝者之間快速而有效的變形傳遞,從而使復制面部表情成為可能。由于嘴形與其所說的內容高度匹配,因此可以產生非常準確、可信的契合。
此前有公司為防止網上身份冒用,采用人臉識別的方式進行網上身份識別,但是隨著科技發展,仿真頭套、全息投影、人臉跟蹤等高科技攻擊手段不斷出現,未來隨著高科技的普及,人臉識別的攻擊成本將不斷降低,在線上不可控的環境中,不法分子將很容易偽造人臉視頻通過身份認證。并且由于生物特征的不可撤銷性,一旦生物特征信息泄露,基于生物特征的身份識別系統將徹底崩潰,因此大規模的網上身份識別絕不能依靠人臉識別!
看看上圖人臉的高效仿真。
生物識別是最后救濟手段
生物識別現在網絡泛濫,問題極大,剛剛又有《公安部試點身份證“刷臉”住酒店不需要證件》http://news.sina.com.cn/c/2016-09-23/doc-ifxwevww1434170.shtml(自新浪新聞)——身份信息加入生物特征識別問題很大,因為生物特征是不可撤銷的,而且很容易仿真,這個要是假冒起來更可怕,而且網絡變得更透明,美國可是匿名制,這個信息不對稱未來會讓中國付出巨大代價的。
本人在2000年以前就參與了華夏銀行的指紋卡項目,對生物特征作為識別手段的問題有深刻認識,在這里很多人是似是而非的,比如有人說可能整容什么的,但其實人臉的模糊識別,外科整形還真的不容易逃避,反而是你整容后可以通過這個技術驗證是否是真的整容還是換人了。整容只不過是對某個某幾個特征值的改變,其他的不改。你變老都是可以識別的,特征值是很厲害的。真正的問題是信息泄露以后,可以針對性的做出來塑膠臉模套臉上的,搶劫犯也可以帶上,恐怖分子更容易了,這才可怕。
人臉識別信息是絕對不能上網和泛濫的,首先的關鍵因為這個信息不可撤銷。即使是我們的網絡強大現在足夠安全,但新技術日新月異發展極快,誰能夠說幾十年后不會被破解?一但被破解或者泄密,不是數字密碼和號碼那樣可以重新置換的,不是數字密碼那樣可以升級位數變得復雜而對抗的。
而問題更關鍵的是這個是我們最后的救濟手段!這才是核心!很多人說我們可以多種驗證嘛!可以密碼和生物特征同時使用嘛!這樣多重驗證,我們不就是安全了嗎?而問題恰恰不是那樣簡單,生物特征是我們最后的一道防線,是我們最后的救濟,一定要掌握在我們特別部門的手里,這才是問題的關鍵。
為何說最后一道救濟,那就是你真的密碼丟失,身份證丟失,別人盜用你的,給你造成巨大損失,或者別人假冒你的身份犯罪,你怎樣辦?現在不就是到公安部門處理嗎!公安部門有你的身份信息和生物識別信息,是人工比對的。如果這些信息外流,或者放到網絡之上,各種網絡處理都使用了正確的你的信息,而且現在的技術還可以仿真出你進行操作的視頻,那么你怎么辦?這個仿真視頻的技術已經開發成熟了,比如:美國斯坦福大學的研究團隊近期研發出一款人臉跟蹤軟件Face2Face,它可以通過攝像頭捕捉用戶的動作和面部表情,然后使用Face2Face軟件驅動視頻中的目標人物做出一模一樣的動作和表情,效果極其逼真。這個如何處理?
現在的網絡霸權,網絡資本極為發達,都希望政府的各種權力到網絡上,我們的這些生物特征信息一但到了網絡上,被網絡資本所掌握,背后就是他們擁有l和政權一樣社會公共管理能力,在你網絡上出現問題的時候,我們政府是沒有最后救濟手段的,有些事情看得很美,但也就是只能看不能做的。為何美國總是網絡匿名,禁止網站收集公民的線下社會福利號碼、駕照號碼等,為何實名制的歐盟數字化國家管理典范愛沙尼亞,采取的就是虛擬身份制而不是把公民生物特征信息上網和作為數字化社會的識別標志,這里面的問題其實早有結論,但就是有人裝糊涂罷了。
為了我們的隱私安全,這些生物特征信息不上網的斗爭是很殘酷的!我們是手機上是不是你使用你的指紋作為開機的密碼?你知道與否這個密碼他們后臺給誰共享和存儲了嗎?我們的手機是實名制的,背后不就是我們全社會的公民指紋被網站掌握控制了嗎?好在我只用國產手機,沒有使用與美國情報機構共享信息的蘋果,但中國有多少人的指紋在這個蘋果掌握呢?這些事真的是細思恐極啊!
因此我們需要提高認識,提高網絡安全的理解,生物信息是我們公民的隱私和國家公共安全最后的救濟手段,這個權柄我們的有關部門絕對不能放棄,要不斷立法加強才是。
最后在這里轉載引用自陳彪先生(上海防災安全策略研究中心常務副理事長(理事長是原公安大學校長公安部老領導柳曉川將軍)、上海市信息安全管理協會副會長、中國網絡空間安全(上海)論壇組委會執行主任。)的評論:
【商業手段替代國家頂層設計,必須謹慎】身份證管理上的混亂,已經是公開的事實。身份證治理,從何下手?是在上位入手還是下位入手,這是一個國家事權上的智慧問題,絕對不是技術問題,更不是一家研究所事業部可以擅自主張的。根據國家身份證法律規定,身份證是現實社會唯一的法定身份文件。這具有排他性也即安全性。公安部采取身份證后臺比對的技術,就是保障安全也保證便利。任何便利的商業手段,都不能允許以沖擊搖撼國家身份證管理制度。這次公安部第一研究所事業部,以使用市場上最新嘗試而且也很不成熟應用的刷臉技術,改變身份證管理的基石,這既沒有法律依據,也沒有實驗數據。公開宣布這一消息,直接搖撼國家身份證法律法規的嚴肅性,事涉國家安全大局。這是公安部第一研究所下屬事業部的實驗技術,不是公安部的決定,更沒有通過全國人大的法定程序。混亂再用混亂治,屋漏更遭連夜雨。說到底,還是利益驅使!媒體炒作吸睛,公安自毀長城,很笑話!我作為中國網絡空間安全(上海)論壇組委會執行主任的身份,發出上述呼吁的,希望國家重視頂層設計,要有智慧,不要為產業利益驅使!
「 支持烏有之鄉!」
烏有之鄉 WYZXWK.COM
您的打賞將用于網站日常運行與維護。
幫助我們辦好網站,宣傳紅色文化!
歡迎掃描下方二維碼,訂閱烏有之鄉網刊微信公眾號
