Bilgisayar korsanları açıklıyor: Wu Yanzu'yu saniyeler içinde değiştirip parasını nasıl alacaksınız
"Wu Yanzu" olmak ister misin?
Estetik ameliyattan sonra bile acı vericiydi, orijinal pasaportumla gümrükten geçmek zorunda kaldım ve doğrulama için gözaltına alınmak zorunda kaldım.
Daha basit bir yöntem de var: Wu Yanzu'nun parmak izlerini, irisini ve yüzünü "kopyalayın" ve makineyle doğrulayın. Tüm bunlar "Wu Yanzu" nun Wu Yanzu'nun doğrulama işareti olduğunu kanıtlayabilir. Sizin yan taraftaki Firavun olduğunuzu görmek kesinlikle imkansızdır.
Tamam, telafi edemem.
Gerçekten Daniel Wu olamazsınız, ancak makineyi aldatmak tamamen mümkündür.
2017 Geeky Konferansı'nda Geeky yargıç Xu Hao en zor işi yaptı: sadece bir projede kurban olarak arabaya fiziksel olarak girmek, bilgisayar korsanlarının saldırmasına izin vermek, uzaktan kumanda yapmak ve frene basmakla kalmadı, aynı zamanda parmak izlerini, irisleri ve buradaki insanları da kanıtladı. Yüz tanımanın güvensiz olduğu bir saldırı projesinde, tüm kimliklerin, yani mağdurun sağlayıcısı olarak hareket eder.
[Xu Hao parmak izlerine, irise, yüze girer]
Sunucu Huang Jianxiang, "Mission Impossible" da zor Atang vakasıyla Xu Hao'yu rahatlattı.
Huang Jianxiang: Kardeş Tom, "Mission Impossible" filmindeki gibi bir maske takacak mı, başka birine benziyor, biz konuşurken ona nasıl bakıyoruz ve sesi de o mu? Bu böyle mi olacak?
Xu Hao: Öyleyse, Big Bullfrog'un (Editörün Notu: Tencent KEEN'in kurucusu ve CEO'su Wang Qi) davetini reddederim ve bir kurban olmak istemiyorum.
Huang Jianxiang: Neden istemiyorsun, hala Wu Yanzu olabilirsin.
Xu Hao: O zaman Wu Yanzu'yu toplamalısın.Özelliklerin nerede olduğunu analiz edebilir ve özellik verilerini kopyalayabilirsin.
Bu sihir benzeri kırma projesini gerçekleştiren, kurt derisi küçük bir koyun olan Baidu Güvenlik Laboratuvarı'ndan bir güvenlik araştırmacısı olan Xiao Huihui: Görünüşe göre çatlaması son derece gerici ve banka kasasını bile aldatabilir. Aslında, bu araştırmacı kanıtlamak ve uyarılar yapmak için elinden gelenin en iyisini yaptı - şu andan itibaren, dışarıda yürüyen sizler yaşayan bir eylem kodusunuz, parmak izleri, iris ve yüz tanıma güvende değilsiniz.
Xiao Huihui, rüzgarın kırılma projesini çekerken, diğerleri 20 dakikada bir proje yapacaktı, dedi: "25 dakika, gel, üç yap."
Lei Feng'in ev konuk kanalı (WeChat ID: letshome) size ilk önce sonunu söyleyebilir: Sahada parmak izi tanıma kırma işlemi gürültü sorunu nedeniyle başarılı olamadı, ancak parmak izi tanımadan çok daha yüksek görünen iris ve yüz tanıma kırma işlemi başarılı oldu.
Son üç dakika içinde iris tanıma ve yüz tanıma tehlikeye atıldı Xiao Huihui, parmak izi toplama cihazının bir nedenden ötürü çok kötü bir şekilde bozulduğunu ve çok fazla gürültü olduğunu söyledi. Tekrar denemek istedi, Xu Hao kabul etti ve tekrar küçük bir başparmak verdi: "Bu oyuncu pes etmek istemiyor, tekrar denemek zorundayım." Ancak, zamanın yoğunluğundan dolayı, cihazın temizlenmesi için zaman yoktu ve gürültü paraziti hala ikinci kez kırılıyordu. ciddi.
İkna olmadım: Etkisi varmış gibi görünen bir şey yapmak istiyorum
Ancak yerinde parmak izi tanıma kırma işlemi başarılı olmasa bile seyirci çok heyecanlandı. Xiao Huihui'nin sunumu, editörün arka sırasında oturan iki erkek izleyicinin ilgisini çekti: "Xiao Huihui adı nasıl bu kadar sevimli olabilir."
Xiao Huihui'nin kendisi biraz depresyondaydı. En fazla ekipmana sahip en iyi oyuncu olabilir, hatta yazıcılardan biri bile Pekin'den Şangay'a trenle nakledildi.
Bu yazıcı çok önemlidir, çünkü birkaç A4 kağıda "sıradan olanı sihire dönüştürmek" için ona güvendi ve iris tanıma ve yüz tanımanın arkasındaki makineyi başarıyla fethetti ...
"Organizatör neden sizin için bir yazıcı hazırlamıyor?" Diye sordu Lei Fengwang alçak bir sesle, bir sonraki projeyi sahnede göstermeye başladı Ekipmanı topladı ve iki büyük çanta gerçekleştirdi.
Lei Feng.com ve Xiao Huihui'nin bir kadın meslektaşı, yazıcıyı kaldırmasına yardım etti. Xiao Huihui birçok başka ekipmanı tuttu ve sessizce cevap verdi: "Korkarım hazırladıkları aletler ellerime uymuyor ve çatlamayı etkilemiyor."
Konu seçiminin tamamlanmasından canlı gösteriye kadar hazırlık süresi bir aydan azdı. Güvenlik araştırmacısının çatlatma projesi, öğleden sonra sondan bir önceki gündemiydi. Öğle yemeği yemeye bile zahmet etmedi, durumu kontrol etmek için sabah toplantı yerine geldi ve saldırı sürecini kontrol etmek için otele döndü. Saat 17:00 civarında sunum tamamlandıktan sonra Xiao Huihui aletlerini birinci kattaki kafeye sürükledi, toparlanırken başını eğdi ve "Tükürük içiyorum ve bir şeyler yiyorum, çok açım" dedi.
Xiao Huihui ve Leifeng.com ilk tanıdık değiller. Bir ay önce XPwn'de, Baidu Güvenlik Laboratuvarı'ndan Huang Zheng ve Xiao Huihui, ünlü bir markanın ortak bisiklet kilidindeki boşlukları keşfetmek için bir araya geldi ve kilidi süslü bir şekilde açtı.
Güvenliği bilen herkes bilir ki, bu tür kırma rekabetinde güvenlik araştırmacıları hedef nesnenin açıklarını sunar, kırma sürecini yorumlar ve güvenlik açıklarının ayrıntılarını düzenleyiciye sunar.Ayrıca, diğer tarafı güvenlik açıklarını gidermenin normal bir süreç olduğu konusunda bilgilendirir. Bu şekilde üreticilerin güvenlik tehditlerini bulmalarına yardımcı olur.
Tüm satıcılar bu yaklaşımı kabul edemez ve herkes bu çatlamanın arkasındaki anlamı anlayamaz.
Bazı tanımlanamayan okuyucular, XPwn'ın yukarıda bahsedilen kırma projesiyle ilgili raporunun ardından bir mesaj bırakarak, "Bir ay boyunca bir dolar sürebilirsin. Bunu çözmek için neden bu kadar çaba harcıyorsun!"
Görünüşe göre akıllı kilitte bir boşluk keşfi sadece bir doları etkiliyor. Gerçekte, bir saldırgan, kullanıcının normal kilidinin açılmasına müdahale etmek, ağır durumlarda tüm bisikletleri kırmak ve tüm ekipmanı bir kuruş harcamadan elinden almak için bu boşluğu kullanırsa, üretici büyük kayıplara uğrayacaktır. Dahası, birden fazla üretici bu tür akıllı kilidi kullanıyor. Ciddi güvenlik kusurlarına sahip bu kilitler herhangi bir alanda kullanıldığında ciddi güvenlik risklerine neden olacaktır.
Etkilenenler sadece üreticiler değil, aynı zamanda paylaşılan bisikletler için yaş sınırının altında olan gençler de olabilir. Araba kilidi bir sızıntı nedeniyle normalde açıksa, beklenmedik bir kaza durumunda sonuçlar felaket olacaktır.
Mayıs 2017'de düzenlenen müthiş yarışmada Xiao Huihui, belirli bir akıllı cihaz markasının kırıldığını da gösterdi.Kırık akıllı cihaz üreticisi haberleri önceden biliyordu ve gösteri sırasında sunucuyu doğrudan kapatarak güvenliği engellemeye çalışıyor Personel sorunu ortaya çıkarır.
Gerçekler, üreticilerin devekuşu yaparak sorunu çözemeyeceğini kanıtladı.
Satıcı yine de bu güvenlik açığını düzeltmedi. Xiao Huihui, birkaç ay sonra güvenlik paylaşım toplantısında güvenlik açığına yönelik bir saldırı gösterimi gerçekleştirdi ve bu kırılma hala çalışıyor. Açıkların arkasında, çok sayıda kullanıcı gizlilik sızıntısı tehdidiyle karşı karşıyadır.
Son zamanlarda, Baidu Güvenlik Laboratuvarı akıllı cihazların güvenliği konusunda araştırma yapıyor. Xiao Huihui enerjisini geri çekiyor ve şunları söyledi: Her zaman birçok cihazı ve insanı etkileyebilecek bazı öğeler bulmak istedim, böylece insanlar bir güvenlik sorunu olduğunu fark edebilsinler. Sorun, etki gerçekten harika. "
Üç popüler biyometrik kimlik doğrulama teknolojisini aydınlatmak
Xiao Huihui, piyasadaki DNA dışındaki biyometriye ek olarak, çoğu cihazın parmak izlerinin (avuç içi izleri), iris, yüz ve damarların (parmak damarları) sensörler tarafından toplanabileceğini, sıfırlanabileceğini ve aldatılabileceğini söyledi.
Bu alandaki önceki çatlakların çoğu, tek bir ürün için belirli bir biyometrik problemin gösterilmesiyle sınırlıydı. Ve kırma tanıtım videolarının çoğu aslında aynı kaynaktan geliyor.Örneğin, Samsung'un iris tanıma kırmasının tanımlanması diğer kanallarda çoğaltılmadı.
Huang Zheng ile görüştükten sonra Xiao Huihui ve Huang Zheng, en olgun uygulama olan ve daha fazla kullanıcısı olan parmak izi tanıma ile başlamaya karar verdi.
1. Parmak izi tanıma
1 Ekim'de bir hazineden bir parmak izi tanıma modülü ve başka bir ekipman satın aldı.
Xiao Huawei'nin kırma fikri çok basit: Nasıl kırılacağını incelemek için önce parmak izi tanıma modülünün çalışma prensibini anlamalıyız. Parmak izinin en ilkel iki boyutlu görüntüsü toplanabildiği sürece, kırma yarıdan fazla başarılı olacaktır.Geri kalan iş, düzensiz dokuyu gerçekleştirmek, görüntüyü yeniden oluşturmak ve sensörü kandırmak için bir taşıyıcı bulmaktır.
Bunu görünce, aradığı şeyin belirli bir sistem zafiyeti olmadığını, daha çok bu tanıma kipinin sistem mekanizmasında bir "zafiyet" gibi göründüğünü görebilirsiniz.
Xiao Huihui, birkaç gün süren tamirden sonra parmağının bir parmak izi fotoğrafını çektiğini fark etti - özel bir programla ikiye ayırdı - parmak izini ışık geçirgen kağıtla bastırdı - damgalama aletleri ve flaş ile uyarıldı ve süngere benzer küçük bir süngerin üzerine yazdırdı. Blok "mühür" taşıyıcı - "parmak izi mühür" tamamlandı. Xiao Huihui, normal şartlar altında tüm sürecin 5 dakika içinde tamamlanabileceğini ve kırma maliyetinin 10.000 yuan içinde kontrol edilebileceğini söyledi.
Xiao Huihui, "Parmak izi damgasıyla basılan görüntü ile parmakla basılan görüntünün ayırt edilmesi zor. Bu harika el yazısı projesiyle birlikte kötü bir adamın sözleşme yapması hiç de zor değil." Dedi Xiao Huihui.
Bu büyük etkinlikte, parmak izi tanıma kırma projesi gürültü paraziti nedeniyle başarılı bir şekilde gösterilememiş olsa da, Lei Feng.com, Baidu Güvenlik Laboratuvarı'ndan kırma çalışmasını tanıtmak ve yakın gelecekte bir yeniden üretim videosu kaydetmek için özel bir teknik rapor yayınlayacaklarını öğrendi. .
2. İris tanıma
8 Ekim'de, mükemmel proje ekibi yarışmacıları konu seçiminin ayrıntılarını sunmaya çağırdı. Bu arada Xiao Huihui, operasyon yönteminin tanıma oranını sabitledi ve hala denemek istiyor - bu mod çalışabildiğinden, iris kırma ve yüz tanıma da çalışmalıdır.
Xiao Huihui, son derece iyi bir organizasyon komitesiyle yarıştı: "Denemek istiyorum, parmak izleri zaten nispeten sabit, tekrar denemek zarar vermez."
Çatlama parmak izi tanıma fikrine benzer şekilde, iris tanıma modülü ve yüz tanıma modülü tarafından tanınabilen görüntüleri toplama, taklit için malzeme ve canlı olmayan algılama yöntemlerini sürekli değiştirme ve taklit ürünün geçip geçmediğini tespit etme. Xiao Huihui daha önce bir fotoğrafçı olarak çalıştı ve kamera görüntüleme ilkesine aşinadır, ancak cep telefonu iris tanıma modülünü ve yüz tanıma modunu incelemeden önce arkasındaki görüntünün ne olduğunu bilmiyordu - normal şartlar altında, göremiyordu.
Eski yöntem, önce ekipman satın almaktır.
Xiao Huihui, Leifeng.com'un önünde, ikinci el pazarından satın aldığı dünyanın ilk iris onaylı cep telefonu ve belirli bir niş markanın ilk yerli iris onaylı cep telefonu da dahil olmak üzere 7 cep telefonunu yaydı. Cep telefonu üreticisinin adını açıklamayı reddetti, sonuçta, yukarıda bahsedilen üretici tarafından parçalanma deneyimi bir veya iki değil.
Araştırma sırasında, kızılötesi görüntü edinmenin iris tespiti için kullanıldığını keşfetti. Test için yüksek çözünürlüklü ve hassas kızılötesi görüntüler elde etmek için, sevilen bir tam çerçeve kamerayı geri döndürülemez bir şekilde değiştirdi: CMOS çıkarılmadan önceki kızılötesi kesme merceği ve yüksek şeffaflıklı bir kızılötesi mercek takıldı.
Bir "kızılötesi kamera" ve kızılötesini geliştirebilen bir aydınlatma cihazının yardımıyla, bir kişinin iris özelliklerini yakın veya uzun mesafelerde başarılı bir şekilde toplayabilirsiniz.
Leifeng.com editörü, bu iki cihazın opak bir kara kutuya yerleştirilebileceğini gördü - her halükarda kızılötesi fotoğraf, siyah kızılötesi camdan geçebilir. Sıradan sokak fotoğrafçılığının ve hatta kasıtsız görünen sıradan çekimlerin tamamen olduğu görülebilir. Gerekli iris görüntüsünü toplamak çok tehlikelidir.
Güneşli bir plajda, aydınlatma ekipmanına bile ihtiyacınız yoktur, kızılötesi kamera tutarak doğrudan görüntü alabilirsiniz. Xiao Huihui bana arkadaşlığı hatırlatıyor, Kızılötesi görüntülemenin de bir perspektif etkisi vardır ve ıslak naylon malzemeye nüfuz etmesi özellikle kolaydır.Bu malzeme genellikle mayo haline getirilir.Kızlar kumsalda oynarken bu tür gizli fotoğrafçılara karşı dikkatli olmalıdır.Gözlenen sadece iris değildir.
Yani "hayatla açıkça yüzleşmek", söylenecek fazla bir şey değil, biliyorsun.
[Sahne örneği olarak grafik alakasızdır]
Xiao Huihui tarafından seçilen iki telefonun iris tanıma teknolojisi geride kalmadı. Yerli cep telefonunun kötü yapılmış olmasına rağmen, iris tanıma modülünün Çin'de tanınmış bir araştırma enstitüsü tarafından geliştirildiğini ve teknolojinin çok iyi olduğunu söyledi.
Ancak, birçok gelişmiş tek biyometrik teknolojinin yeterli güvenlik önlemi yoktur. Bu iki telefonun canlı vücut tanıma tespiti güçlü değil.Sadece Xu Hao'nun iris kızılötesi görüntüsünü bir kağıt parçasına yazdırdı ve ardından göz küresinin üç boyutlu optik özelliklerini taklit etmek için görüntüye bir şeffaf kontakt lens katmanı ekledi veya hızlı bir şekilde Gözbebeklerinin mikro hareketinin etkisini yaratmak için ileri geri hareket etmek bu iki telefonun iris tanıma cihazlarını kandırdı.
[Sahada tanıtım için kullanılan basılı ürünler]
Xiao Huihui, irisin canlı beden tanıması gelecekte güçlendirilse bile, örneğin öğrencinin canlı bir beden olduğunu kanıtlamak için ışık altında kasılması gerekiyorsa, Xiao Huihui, onu atlamanın hala bir yolu olduğunu söyledi. Spesifik baypas teknolojisi burada gösterilmemiştir.
3. Yüz tanıma
Harika sahnede Xiao Huihui, Xu Hao'nun bir fotoğrafını bastırdı, loş bir kutuya koydu ve yan tarafına yerleştirerek Samsung S8'in yüz tanıma modülünü kandırdı.
Huang Jianxiang övdü: "Yanlamasına yerleştirildiğinde bile tanınabilir. Bu gerçekten harika."
Xiao Huihui cevap verdi: "Bunu bilerek yaptım."
Her şey, ekipmanın yüz tanıma modülünün bulanık bir tanıma ortamıyla karşılaşmasını sağlamak ve makineyi kullanım kolaylığı ve tanınmama konusunda teslim olmaya zorlamaktır.
Açıkladı, Yüz tanıma, yüzün bazı özel kısımlarının özellik noktalarına dayanır.Özellik noktalarının temel oranı ve konumu doğru olduğu sürece, tanıma modülü kandırılabilir. Farklı kameralar çekim sırasında yüzü uzatır, ancak bazı bilgisayar ekipmanı yüksek piksellere sahip değildir ve orantılı olarak doğrudur, bu da yüz fotoğrafları çekmek için çok uygundur. Farklı cihazlar tarafından çekilen yüzler uzatılmış olsa bile, ayarlamak için PS aracını yine de kullanabilirsiniz.
Güçlü aydınlatma, yüz tanıma modülünün canlı vücut algılama gerçekleştirmesine yardımcı olacaktır.Yüz fotoğrafları basıldıktan sonra, zayıf ışıkta yüz tanıma aldatmacası başarı oranını artırabilir. Ek olarak, Android cep telefonundaki mevcut yüz tanıma teknolojisi, bilgi işlem gücü sınırlamaları nedeniyle bulut tanıma teknolojisinden önemli ölçüde daha zayıftır ve çoğu hızla atlanabilmektedir.
Xiao Huihui, çatlama alanında veya takip görüşmelerinde bu noktayı her zaman vurguladı: Yansıtılan görüntü elde edildiği sürece, biyolojik bir özelliğin en ilkel bilgisi edinilir.
Ancak, herkesin bu bilgiden küçük bir miktarı vardır. Herkes için 10, 2 ve 1 parmak izi, iris ve yüz vardır ve ömür boyu değiştirilemezler.
En ilkel bilgileri alır ve sensörü resimlerle, kalıplarla, özel ışık ve gölge vb. İle aldatırsanız, sensörün doğru ve yanlışı tanıma yeteneği zayıftır.Sensörün gördüğü görüntü normal olduğu sürece testi geçebilir.Sensör genellikle canlı cisimlerin etkili bir şekilde algılanmasından yoksundur. Protezin yeteneği. Bununla birlikte, buluta dayanan karmaşık yaşam algılamasının sahne sınırlamaları vardır ve çoğu durumda birçok durumda uygulanamayan karmaşık güvenlik, gizlilik ve kullanılabilirlik sorunları ortaya çıkarır.
Bazı biyometrikleri içeren iki faktörlü kimlik doğrulama veya çok faktörlü kimlik doğrulama artık beğenilse bile, çok seviyeli sistematik güvenlik garantisi yoksa, düşündüğümüz kadar güvenli olmadığını kanıtlamak istiyor.
Editör, meydana gelebilecek veya gelecekte olacak bir senaryo tasarladı: Bir kişinin biyometrik bilgilerinin elde edildiğini ve evde güvenli bir şekilde yüz tanıma kapı kilidine bağlı olduğunu düşündüğünü, genellikle işe check-in yapmak için parmak izlerini kullandığını ve zaman zaman parmak izleri, iris ve yüz tanıma yoluyla güvenlik koruması için bazı çizgiler kullandığını varsayalım. Finansal ürünlerde.
Unut gitsin, bu sahne o kadar korkunç ki, artık düşünmeye cesaret edemiyorum.
Xiao Huihui'nin hala uğraştığı şey, sitede toplanan parmak izi tanıma görüntülerinde çok fazla gürültüye neden olan şey nedir?
Takip videosunda sebebi bulmasını ve sırrı açıklamasını bekleyin.
Paskalya yumurtaları
Son olarak, Xiao Huihui'nin üç çatlak için ekipman ve fiyat listesini ekleyin. İlgilenen okuyucular kendi başlarına deneyebilirler. Dostça bir hatırlatma: Kötü şeyler yapmayın, çünkü kötü şeyler yapmak kanun tarafından ciddi şekilde cezalandırılır.
Parmak izi: yazıcı 1000 yuan, ** lamba 174 yuan, ** ped 17 yuan, * tutkal 5 yuan
Iris: Yeniden kullanılabilir yazıcı + kontakt lensler: Günlük 15 RMB, kızılötesi lens için 53 RMB, kızılötesi ampul için RMB 2, Raspberry Pi geliştirme kartı için RMB 160
Yüz: Yazıcıyı yeniden kullanın
