Tôi cũng có đọc qua một số diễn đàn bình luận về sự kiện này, ví dụ như ddth và hva, đều thấy các tranh luận mang tính cảm tính khá nhiều. Ví dụ, khi cho rằng BKIS ko làm được gì đặc biệt, thì hầu như ko có lập luận nào đủ sức thuyết phục. Một ví dụ cảm tính khác đó là câu trong bài vnexpress:
Một chuyên gia bảo mật khác cũng khẳng định: Không riêng gì tôi mà tất cả mọi người đều có chung quan điểm: Thật ko thể tin được.
Nếu critical thinking một chút sẽ thấy đây là ý chủ quan của tác giả bài viết. Làm sao một người mà dám "lộng ngôn" cho rằng "tất cả mọi người khác đều có chung quan điểm" với mình được. Nếu là người đàng hoàng, tôi nghĩ, câu nói cửa miệng sẽ là, theo ý kiến của tôi (in my opinion), trước khi có ý kiến về cái gì đó. Ngoài ra, cũng cần phải xác định xem cái ông chuyên gia trên có đáng tin ở mức độ nào. Người đến dự Black Hat cũng thượng vàng hạ cám, ai cũng có thể xưng là chuyên gia bảo mật. Nếu ko nêu tên cụ thể, thì ko có gì để đáng tin cả.
Tôi nghĩ là nên đánh giá khách quan sự kiện này. Và dưới đây là cách nghĩ của tôi:
Thứ nhất, BKIS cho rằng, công nghệ nhận dạng được các hãng máy tính như Lenovo, Asus và Toshiba được quảng cáo là an toàn, khó có thể xâm nhập, là không chính xác. Bằng chứng là BKIS đã chứng minh được điều đó thông qua demo của họ. Lập luận này đã được không ít báo chí đưa tin (xem danh sách các site đăng tải ở đây). Do đó, nói BKIS gây tiếng vang tại Black Hat, cũng có thể chấp nhận được (nếu ko thì tại sao có nhiều người quan tâm, bình luận). Đó cũng chính là lí do mà trong bài trước tôi có nói, cảnh báo của BKIS là cần thiết cho người dùng quá tin vào quảng cáo về công nghệ nhận dạng.
Thứ hai, bàn về cái mà BKIS đã khám phá ra. Sự thật như tôi cũng đã nói trong bài trước, đó chỉ là cách bypass cách máy tính phân biệt đâu là ảnh nhận được từ người thật, đâu là ảnh nhận được từ ảnh tĩnh (cả 2 cách đều thông qua webcam). Nếu các bạn đọc bài báo cáo của các tác giả BKIS tại Black Hat, cũng sẽ thấy đúng là như vậy (Tiêu đề bài báo là: Your face is NOT your password - Face authentication bypassing Lenovo-Asus-Toshiba). Cách này không khác gì hơn các cách bẻ khóa khác, kiểu như bẻ khóa mật khẩu. Tùy vào đánh giá của mỗi người, cách bẻ khóa sẽ được cho là có ý nghĩa hoặc tầm thường. Tôi thì cho cách mà BKIS làm là tầm thường về mặt học thuật và công nghệ, bởi vì:
- Ảnh đưa vào cũng chính là ảnh của người đã đăng kí trước đó. Về mặt thuật toán nhận dạng, chắc chắn nó phải được hệ thống chấp nhận (nếu ko thì làm sao nó nhận ra trong trường hợp người thật). Do đó, chẳng có gì mới cả. Như thế nào có thể cho là mới. Ví dụ, các hệ thống nhận dạng thường đòi hỏi ảnh đầu vào phải ít có sự thay đổi so với ảnh đăng kí, ví dụ nếu đeo kính đen vào, hoặc ngoảnh mặt đi một tí (ví dụ chỉ còn 1 nửa mặt hiện lên camera), thì hầu như là máy tính ko nhận ra (xem 2 ví dụ ở bài trước). Nếu có cách nào đó mà làm cho máy tính nhận ra Mr. A dù có đeo kính hay ngoảnh mặt, thì đó mới là cái mới, đáng để nói.
- Các hãng Lenovo, Asus, Toshiba thừa hiểu hạn chế của công nghệ nhận dạng như đã nói ở trên (họ có không ít chuyên gia cỡ bự), nhưng khi marketing, chẳng lẽ họ nói về mấy thứ đó cho sản phẩm của mình? Tất nhiên là họ phải nói nhiều về cái tốt chứ. Do đó, đi chứng minh các hãng này nói không chính xác như quảng cáo kiểu này có phải là việc đáng làm hay không thì tùy vào quan niệm và hoàn cảnh của mỗi người. Tôi thì cho rằng việc này ko cần thiết, bởi vì tôi quan tâm nhiều đến việc làm ra cái ổ khóa, hơn là việc chăm chăm đợi người khác chế ra cái khóa rồi tìm cách bẻ khóa của họ. Nhưng các hãng tư vấn về bảo mật lại có thể cho rằng việc này cần thiết, vì họ cần phải tư vấn cho khách hàng của họ, cái khóa nào tốt, cái khóa nào không tốt, tốt và không tốt trong trường hợp nào để khách hàng tùy ý lựa chọn.
- Tiền nào của nấy. Bạn không thể bỏ tiền tương đương mua một máy desktop để đòi hỏi nó có tính năng của một máy server. Do đó sẽ rất ấu trĩ nếu cho rằng cái công nghệ nhận dạng dùng cho máy laptop của các hãng trên là siêu an toàn và không thể bẻ khóa; để rồi khi mình bẻ được nó, thì cho rằng mình đã làm được điều gì đó lớn lao.
Lê Đình Duy
Xem đầy đủ bài viết tại http://ledduy.blogspot.com/2009/02/nhan-su-kien-bkis-gay-tieng-vang-tai.html
No comments:
Post a Comment