Shellshock

2010年，世界上最大的人脸图像库拥有者— Facebook — 学会了如何区分人像和风景画：社交网站搜索人脸照片并标记这些区域。但有时也会出错。4年后，Facebook识别人脸照片的准确率达到97%：区分是同一个人还是两个人。 尽管Facebook取得了重大进步，但其算法依然在某些方面输给了人脑3个百分点。如果需要在较低分辨率照片里识别熟人，人类一定比计算机做得好。就算这些照片是从非常规角度拍摄。 这的确有些不同寻常，因为通常来说计算机的精确度要远高于人脑。那么问题来了，人类为什么偏偏在这方面比计算机强呢？ 我们的大脑经过了严格的训练 科学研究证明，大脑的某个区域专门负责脸部识别。这一区域叫做”梭状回”，是”颞叶”和”枕叶”的一部分。婴儿从出生那一刻起便开始学习如何区分不同的脸，并不断练习这一技能。新生儿在4个月大的时候，大脑就能区分大伯和二伯—二舅妈和三舅妈。 眼睛、颧骨、鼻子、嘴巴和眉毛是面部的主要特征，能帮助我们相互辨认。皮肤也同样重要，尤其是纹理和颜色。值得注意的是，我们的大脑倾向于将面部作为一个整体来处理— 主要是因为无法专注于个别特征。因此，有一半脸用围巾或纸头遮住，我们也能轻松认出。但如果将不同人的照片拼贴到一起，并加入2个名人的人脸照片，观察者则往往需要一定时间才能认出。 上图是布拉德·皮特和安吉丽娜·朱莉的合成照 由于从出生那刻起大脑就开始存储人脸。我们慢慢开始创造出一个模版，用来进行人脸处理。如果将这一模版画下来的话，看上去就像这样： 一旦我们大脑开始将某个人的外貌和固定模版进行比较时，人脸处理即自动开始：这人的鼻子是否更宽些、嘴唇是否更丰满还有肤色是暖色还是冷色调等等。有些不太常出国旅行的人常常会说某个国家的人都长得差不多。之所以有这样的感觉，是因为他们大脑中的模版对脸部特征相当敏感，但对周遭环境却不那么敏感。 顺便提下，有些动物（比如：狗和猴子）同样能区分不同的脸。尽管通过嗅觉能带来许多信息，但视觉图像同样有助于识别其它动物。有趣的是，人类最好的朋友—狗—不仅能通过看我们的脸掌握人的情绪，还能学会如何微笑。 计算机是如何识别人脸的？ 微笑和脸部处理之间到底有何联系？这两个之间是不可分割的，因为任何表情的变化都会让我们的脸瞬间变样而无法识别，对于计算机算法而言更是如此。 软件可以将两张正面脸部照进行比较，并确定是否为同一人。这些解决方案的工作模式类似于人像画家：通过分析人脸上所谓的”节点”。这些点被用来确定每一张单独脸；不同的方法可以从一张脸上找出80-150个节点不等。 例如，无论是画家还是软件都会测量两眼之间的距离、鼻子的宽度、眼窝的深度、颧骨的形状以及下巴轮廓的长度等等。 一旦你改变视平线或要求模特转一下头，这些测量结果也会发生变化。由于许多脸部处理算法只能分析二维照片，因此视点成为了识别精确度的关键所在。你希望一直”隐姓埋名”吗？用太阳眼镜遮住自己的眼睛和颧骨，再用围巾盖住下巴和嘴巴，如此才能隐藏自己的身份。在我们测试名声不佳的FindFace服务时发现，它只能识别正面人像。 由于此类脸部识别服务只能辨认”平面照片”，因此你完全可以”愚弄”它们一番。但可谓好景不长，更加先进计算机算法正在研发之中。 未来发展动态 随着我们年龄的增长，大脑处理人脸的能力也在不断得到训练。区分”我们”和”他们”的能力，是人类生存的必要技能之一。最新计算机也能像人类一样学习，并自行编程。为了提高机器脸部处理的准确率，开发人员采用了自我学习算法，并将数百张人像照片打包编成教科书供计算机学习。这些照片其实并不难找到—互联网、社交媒体、照片寄存网站、图库和其它网络资源中都可以找到。 而随着计算机算法开始采用3D模型，脸部识别技术工作得以更加有效。通过将网格映射到面部并整合人头像的视频捕捉，软件就能得到某人多个角度的面部特征。顺便提下，人类大脑的模版也是三维的。尽管这一技术仍在开发之中，但目前市场上已出现了多个专利解决方案。 模拟研究也将从中受益。对人物情绪的真实渲染始终是电子游戏行业的一座金矿，许多工作都是在努力让自己的游戏角色看上去更加真实。事实上，许多工作已经在进行中。相同的技术对于脸部识别软件而言也同样重要—一旦这些解决方案需涉及模拟人类的方面，他们就会知道照片里男孩的笑脸，是因为在街上牵着女孩的手。 除了3D模型外，开发者还致力于其它方面的研发，例如：Identix公司就设计了一种用于脸部识别的生物认证技术- FaceIt Argus。它能分析皮肤纹理的独特性：线条、毛孔和疤痕等等。FaceIt Argus的作者们还宣称他们的研发成果还能用来区分双胞胎，但很可能不只使用了脸部识别软件。 据说这一系统对脸部表情变化并不敏感（比如：眨眼、皱眉或微笑），并且即使长胡子和戴眼镜也能成功分辨。如果将FaceIt Argus与其它脸部处理系统结合使用的话，准确率还可提高20-25个百分点。但另一方面，如果照片的分辨率和亮度都很低的话，这一技术就无法成功使用。

去年一整年，IT安全领域可谓纷繁复杂。众多安全事件不断接踵而至：从影响全球数百万台计算机的全球性漏洞到与本地网络犯罪分子的终极对决。几乎每一个事件在某种程度上都与社交网络有关–自从推特开始播报新闻以后，尤其成为了”重灾区”。为此，我们专门为您收集了2014年与IT安全领域有关的十大推文。 1. 2014年3月，一名’Pump Water Reboot’黑客小组成员针对多家俄罗斯网络服务发动了一系列DDoS（分布式拒绝服务）攻击—受害者包括多个在线社区和数家银行。每一个受害者被要求支付1000美元赎金以停止攻击。 在这片推文中写道，该网络犯罪分子还对在线专业银行Tinkoff Credit Systems的创始人，俄罗斯银行家Oleg Tinkov进行了威胁。 （从俄语翻译过来：你的网站正在遭受DDoS攻击。我们能为您提供解决问题的方案。如果你愿意支付1000美元的话我们就能停止这一攻击。） 直到去年夏天，这名网络犯罪分子终于被警方抓获，最终在几个月后被判处2年半的监禁并被罚款1200万卢布（约合40万美元）。对于年仅19岁的学生来说的确是一笔巨额罚款，而随后了解到他只是头脑一时发热。 2. Heartbleed漏洞在当时竟然对全球2/3的互联网造成了威胁。你可以从我们的博文中了解更多相关的详细内容。《xkcd》漫画作者将为您提供有关该事件最佳的简略版本： Heartbleed漏洞的影响深远，将在很长一段时间继续萦绕着我们：成千上万存在漏洞的服务器依然没有更新。而且其中许多将永久地处在Heartbleed漏洞的阴影之下。 3. 对我们来说，2014年最佳推文莫过于来自—你绝对不会相信的！—美国中央情报局。很高兴看到即使是这些硬汉都有幽默的一面。 4. 8月中旬，网络黑客事件甚至险些让俄罗斯总理梅德韦杰夫卷入政治风波：有黑客非法入侵（恶搞）他的推特账号。 （俄语翻译过来：我决定辞职。我为俄罗斯政府的行为感到羞耻。对此我非常抱歉。） 与此同时，梅德韦杰夫的其他账号也遭到了黑客入侵。这导致梅德韦杰夫移动设备上的大量私人照片和往来邮件遭到外泄。但随后所有黑客发布的推文都被一一删除。到底发生了什么–该黑客是否被捕了–依然未可知。 5. 就在两周后，又发生了另一起重大的外泄事件：有人将多名好莱坞明星的隐私裸照放到互联网上，其中就有詹妮弗•劳伦斯。 这一外泄事件迅速被冠以’The Fappening’（艳照）之名，并在全世界传播开来。之后，好莱坞明星们不得不加倍警惕，而发布这些艳照的网络服务网站则从广告商那儿获得了巨额利益。流行网站Reddit尤其从中大赚了一笔，足以支持一个月的项目。 6. 多事之秋可谓名副其实。9月，在Bash shell内发现了新的根本性漏洞。现在人们都将其称之为“Bashdoor”或”Shellshock“。这是一年中第二次发现重大漏洞，导致数百万台计算机和大部分服务器遭受病毒感染。发现这个bug的家伙并没有立即发布在他的推特账号上。但随后他发了一些有价值的推文并附带说明：这一漏洞可能最早在25年前（1989年）就已出现。 Bashdoor bug以及上述所提到的Heartbleed漏洞至少将在相当长的一段时间影响着我们。 7.

在网络安全播客改版后的首期节目中，来自Threatpost的Brian Donohue和Chris Brook对时下有关网络安全的热门话题展开了讨论，讨论内容包括：家得宝客户数据外泄事件；iCloud女星艳照门事件对iPhone 6推出造成的影响；微软trustworthy computing部门时代的终结；以及必不可少的，互联网广为传播的Bash bug（也叫做”Shellshock漏洞”），影响了Linux和Unix系统。 数据外泄 TripAdvisor的子公司Viator（于今夏以2亿美元被前者收购）告知了1400万客户其包括用户名和密码在内的个人数据遭到外泄。该事件还波及到了三明治连锁公司Jimmy John’s，它的216家分店和108家餐厅遭受影响，该连锁公司也同样在其官网上刊登了有关此次数据外泄事件的通知。Goodwill也确认公司遭受长达18个月的客户数据外泄，受影响客户数量尚未得知。家得宝则遭受到有史以来最为严重的一次数据外泄，竟然波及到5600万张支付卡，受影响范围远超Gmail数据外泄事件（于2013年爆发的该事件造成马萨诸塞州20%居民的个人数据遭到外泄）。 苹果 在9月，苹果终于揭开了其年度9月产品的神秘面纱。不幸的是，苹果新产品发布时间恰巧正值影响恶劣的iCloud入侵事件爆发不久，因此对其造成的影响可见一斑。在此次事件中，众多好莱坞女星的私密照片遭到曝光，并公然发布在互联网上。苹果随即采取措施，不仅扩大了iCloud双重认证的安全级别，并随即修复了显然会导致数据外泄的登陆限制漏洞。总部位于加利福尼亚州库比蒂诺的苹果公司还发布了iOS8系统，正如苹果首席执行官蒂姆•库克（Tim Cook）所宣称的那样，苹果无法查看用户的email或iMessage内容，也没有能力将此类内容信息交予执法机构。 Trustworthy Computing小组 微软宣布将解散trustworthy computing小组，该工作小组10年如一日始终奋战在网络安全领域的第一线。微软公司表示正在计划将其多个安全业务更完整地整合入公司，并将trustworthy computing小组的各成员安排到公司的其他各支团队中，共同致力于开发特定产品和项目。 Bash 一种在互联网上广泛传播的bug，也叫做”Shellshock漏洞”，在Bourne Again Shell bug（Bash）中出现。我们曾在近期写过一篇有关的文章，其中详细解释了什么是”Bash漏洞”及其影响甚广的原因。 # 网络安全播客#：@Threatpost #安全记者#@TheBrianDonohue和@Brokenfuses讨论#shellshock#和其它新闻。