Trong khi sự việc đang tiếp tục được các chuyên gia "mổ xẻ", PV Báo Giáo dục và Thời đại đã phỏng vấn ông Ngô Tuấn Anh (Phó Chủ tịch An ninh mạng của BKAV) về một số thắc mắc đang sôi lên ở nhiều diễn đàn công nghệ.
Kể từ khi Bkav công bố clip diễn tả khả năng dùng mặt nạ (tự chế) để mở khóa iPhone X, sự việc được giới công nghệ cả trong nước và quốc tế quan tâm, thậm chí những tranh cãi về công bố này của BKAV vẫn tiếp tục.
Ngay cả Marc Rogers (người đứng đầu hội nghị hacker lớn nhất thế giới Defcon) cũng bày tỏ quan điểm của mình trên mạng xã hội. BKAV có thể chia sẻ gì về những tranh cãi “tin”- “không tin” về khả năng “mở khoá iphone X” thực sự của BKAV?
- Cần phải nhấn mạnh rằng nghiên cứu này của Bkav là một PoC (Proof of Concept) - nghiên cứu nguyên lý gốc, không phải là một kịch bản khai thác. Dựa vào PoC này, sẽ có những kịch bản khai thác và cách khắc phục.
Bkav đã có sẵn một số kịch bản như vậy nhưng sẽ chỉ trao đổi với nhà sản xuất để không gây ảnh hưởng đến người sử dụng.
Với nghiên cứu này, Bkav đã chỉ ra công nghệ Face ID của Apple nói riêng và công nghệ về nhận diện khuôn mặt nói chung vẫn chưa đủ trưởng thành sau 10 năm phát triển. Khi ra mắt iPhone X, Apple từng tuyên bố Face ID không nhận diện mặt nạ. Công nghệ FaceID sẽ chỉ hỗ trợ duy nhất một khuôn mặt được đăng ký trên mỗi thiết bị.
Song thực tế, qua thử nghiệm của Bkav, Face ID trên iPhone X đã bị đánh lừa nhận diện mặt nạ để mở khóa, nhận diện mặt người với hai mắt được dán ảnh 2D và học mặt nạ rồi mở khóa bằng nạ.
Nếu Apple không có điều chỉnh thì Face ID trên iPhone X có lẽ còn kém hơn công nghệ nhận dạng mống mắt Iris Scanner của Samsung vì ít nhất công nghệ này, mặc dù có thể bị đánh lừa bởi mặt nạ, nhưng vẫn còn có thể phân biệt các cặp sinh đôi. Còn Face ID thì không.
Về nhà nghiên cứu Marc Rogers, ông cũng là một trong những chuyên gia được tạp chí Wired mời để thực hiện nghiên cứu công phu nhằm đánh lừa hệ thống nhận diện khuôn mặt của Apple bằng nhiều mặt nạ khác nhau. Nhưng cố gắng đó của cá nhóm lại chưa thành công. Chính bản thân chuyên gia bảo mật này cũng đã có đánh giá cao về kết quả qua mặt Face ID trên iPhone X của Bkav.
Ông là người trực tiếp thực hiện việc mở khoá iphone X bằng mặt nạ do BKAV tự chế trong clip công bố rộng rãi trên Internet. Ông có thể chia sẻ cảm giác và suy nghĩ khi cả giới công nghệ trong nước và quốc tế đang đặc biệt quan tâm đến công bố có thể nói là "dội nước lạnh" vào vấn đề bảo mật iphone (vốn đình đám hàng đầu thế giới) của "ông lớn" Apple? Điều này cũng nói lên hy vọng tốt đẹp gì về phát triển công nghệ bảo mật của Việt Nam không?
- Có thể nói, sự kiện qua mặt được Face ID trên iPhone X một lần nữa khẳng định được trí tuệ và năng lực về an ninh mạng của Việt Nam. Đây không phải là lần đầu tiên chúng ta phát hiện ra lỗ hổng về an ninh mạng nói chung hay cơ chế nhận diện khuôn mặt nói riêng.
Năm 2008, Bkav đã chứng minh rằng nhận dạng khuôn mặt không phải là một biện pháp an ninh hiệu quả cho máy tính xách tay, ngay sau khi Toshiba, Lenovo, Asus, v.v. sử dụng công nghệ này cho các sản phẩm của họ.
Hay năm 2009, các chuyên gia Việt Nam cũng là những người đầu tiên thế giới hay tìm ra nguồn gốc cuộc tấn công các website chính phủ Mỹ, Hàn Quốc.
Các chuyên gia an ninh mạng của Việt Nam cũng thường xuyên xuất hiện tại các Hội thảo uy tín như Black Hat. Việt Nam cũng là quốc gia hiếm hoi có phần mềm diệt virus hàng đầu thế giới.
Nhiều người trong và ngoài giới công nghệ (bao gồm cả người tiêu dùng, sùng bái iphone) sẽ không khỏi giật mình nếu khả năng mở khoá iphone X của BKAV là thật và khá dễ dàng như công bố của BKAV. Có một số câu hỏi đặt ra về mục đích việc làm này của BKAV?
- Nghiên cứu An mạng là một mảng công việc lớn của Bkav từ ngày đầu thành lập và như chúng tôi đã nhiều lần khẳng định, nghiên cứu về lỗ hổng an ninh của Face ID là một PoC (Proof of Concept) - nghiên cứu nguyên lý gốc. Đây là công việc thuộc lĩnh vực an ninh mạng của chúng tôi.
Bên cạnh những ý kiến trái chiều, nhiều người cho rằng dẫu mục đích "bẻ khoá" iphone X thế nào thì BKAV cũng đã cho thấy năng lực của mình cũng như chứng tỏ được về khả năng của giới công nghệ nước nhà . Điều này cũng nói lên hy vọng tốt đẹp gì về phát triển công nghệ bảo mật của Việt Nam không?
- Như đã nói ở trên, năng lực về an ninh mạng của Việt Nam được khẳng định từ lâu qua những sự kiện phát hiện lỗ hổng trên phần mềm nổi tiếng thế giới hay tìm ra nguồn gốc cuộc tấn công các website chính phủ Mỹ, Hàn Quốc...
Ông có thể chia sẻ với bạn đọc Báo Giáo dục và Thời đại (đặc biệt là các giảng viên, sinh viên đang theo học ngành công nghệ thông tin) về ý tưởng, quá trình làm mặt nạ đánh lừa hệ thống bảo mật face ID của iphone X?
- Có 3 điểm mấu chốt trong công nghệ Face ID:
Thứ nhất, một bức ảnh của người dùng được chụp để tạo ra hình ảnh bề mặt của khuôn mặt.
Thứ hai, một bức ảnh khác được chụp dưới dạng lưới điểm để tái tạo hình ảnh 3D của khuôn mặt. Cả hai bức ảnh này đều được chụp bởi camera hồng ngoại.
Thứ 3 là khả năng phân biệt mặt thật, mặt giả của Face ID thông qua công nghệ AI, trí thông minh nhân tạo.
Các kỹ sư của Bkav nhận thấy đối với các hình ảnh 2D và 3D có thể dễ dàng tạo vật thể đánh lừa. Phần AI có lẽ sẽ phức tạp hơn. Mặc dù vậy, lỗ hổng trong AI của Face ID vẫn được Bkav tiên đoán kể từ thời điểm Apple ra mắt, dựa trên các nghiên cứu và phân tích khoa học.
Ngay khi iPhone X được bán ra thị trường, Bkav đã lập tức tiến hành các thử nghiệm theo những phân tích trước đó đồng thời thực nghiệm để khẳng định điểm yếu đã "thấy trước".
Gót chân Asin ở đây là Apple đã cho AI học đồng thời rất nhiều mặt thật và mặt nạ do Hollywood và các nghệ sĩ chế tạo ra. Với cách như vậy, AI của Apple sẽ chỉ có thể phân biệt một khuôn mặt hoặc là thật, hoặc là giả hoàn toàn. Và như vậy, nếu tạo ra một khuôn mặt “nửa thật nửa giả” thì sẽ có thể đánh lừa AI của Apple.
Với triết lý này, thực nghiệm của Bkav đã khẳng định: Face ID đã bị đánh lừa bởi 1 mặt nạ. Cũng vì thế, chiếc mặt nạ do Bkav tạo ra nhìn rất khác biệt với những mặt nạ của các nhóm khác.
Chúng tôi đã sử dụng một chiếc máy in 3D phổ biến. Mũi được làm bởi một nghệ nhân làm thủ công. Chúng tôi sử dụng bản in 2D cho các bộ phận khác (tương tự như cách chúng tôi lừa Face Recognition 9 năm trước). Da cũng được làm bằng tay để lừa AI của Apple. Ban đầu chúng tôi nhờ một nghệ sĩ làm mũi bằng silicone.
Nhưng sau đó, khi chúng tôi thấy rằng mũi không giống thật, chúng tôi đã tự sửa một chút, sau đó thì vụ hack thành công. Đó là lý do tại sao một phần ở phía bên trái của mũi có màu khác. Vì vậy mà việc làm mặt nạ và đánh lừa Face ID thật dễ dàng
Những người đi trước có thể chia sẻ kinh nghiệm và ý tưởng gì với thế hệ sinh viên Việt Nam đang và sắp theo đuổi lĩnh vực công nghệ thông tin, nhất là lĩnh vực an ninh mạng?
- Những kết quả chúng ta đã đạt được đã khẳng định người Việt Nam có trí tuệ và năng lực đặc biệt trong lĩnh vực an ninh mạng. Vì thế, với thế hệ sinh viên Việt Nam, những người đang và sắp theo đuổi lĩnh vực công nghệ thông tin, nhất là lĩnh vực an ninh mạng, các bạn cần có sự quyết tâm, cùng với phương pháp đúng và một môi trường học tập trau dồi kiến thức thì chắc chắn thành công sẽ không xa. Thành công đó có thể không chỉ ở Việt Nam mà còn khẳng định trên thế giới.
Người người nhà nhà đang gần như không thể thiếu điện thoại thông minh mỗi ngày, cho công việc, cho cuộc sống, học tập, giải trí... BKAV có lời khuyên gì với người dùng điện thoại thông minh nói chung?
- Điện thoại thông minh đang trở thành phương tiện dần thay chỗ cho các máy tính. Vì vậy, trong quá trình sử dụng, người dùng cần cẩn trọng, tuyệt đối không cài phần mềm từ nguồn không rõ ràng.
Người dùng cũng không nên đưa điện thoại cho người khác sử dụng một cách tùy tiện, cần thiết lập mật khẩu cho màn hình khóa của điện thoại để tránh các rủi ro đáng tiếc. Tốt nhất bạn nên cài các phần mềm an ninh cho điện thoại để đảm bảo an toàn.
Xin cảm ơn ông về cuộc trao đổi này!