Chuyên gia Nguyễn Minh Đức của Bkis, bằng một số thao tác kỹ thuật, đã vượt qua được tính năng bảo vệ bằng công nghệ nhận dạng khuôn mặt, lần lượt đăng nhập thành công vào máy tính xách tay Asus, Lenovo, Toshiba, dù chúng được thiết lập ở mức an ninh cao nhất. Mọi người có mặt trong khán phòng đã ồ lên ngỡ ngàng và tiếng vỗ tay vang lên không ngớt sau mỗi lần thử nghiệm thành công (Video có ở cuối bài) . Tất cả đều bất ngờ bởi khả năng bảo vệ của công nghệ, vốn được rất nhiều người sử dụng tin tưởng, lại bị “xuyên thủng” một cách dễ dàng.
Chuyên gia Nguyễn Minh Đức thử nghiệm tại Black Hat
Ông Jeff Moss, Chủ tịch của Black Hat, nói: “Tôi vô cùng ngạc nhiên khi công nghệ nhận dạng khuôn mặt lại có thể bị xuyên thủng một cách dễ dàng đến vậy”.
Một chuyên gia của Black Hat xin được giấu tên, phát biểu: “Không chỉ mình tôi ngạc nhiên trước nghiên cứu này, tôi thấy tất cả mọi người trong khán phòng đều có chung quan điểm với tôi. Thật không thể tin được”.
Các chuyên gia công nghệ, diễn giả và nhà báo tại hội thảo BlackHat
Còn Jacob Torrey, đến từ trường đại học Clarkson, New York, đã tự mình lên sân khấu trực tiếp tham gia thử nghiệm của Bkis và cũng thành công trong việc “qua mặt” hàng rào xác thực bằng khuôn mặt. Anh này cho biết: “Tôi vẫn nghĩ rằng công nghệ này sẽ bảo vệ an toàn được cho máy tính, nhưng kết quả tôi vừa thực hiện cho thấy nó không thể làm được điều đó”.
Tại hội thảo Black Hat, chuyên gia Nguyễn Minh Đức khẳng định: “Lỗ hổng không thể khắc phục được và các nhà sản xuất cần phải loại bỏ, dừng phát triển công nghệ này. Họ cũng cần phải đưa ra thông báo chính thức tới người sử dụng trên toàn cầu, ngừng sử dụng tính năng nhận diện khuôn mặt trên các máy tính xách tay”. Các chuyên gia có mặt tại Black Hat cũng đồng tình với quan điểm này.
Selven Veeraragoo, chuyên gia ngành Kinh tế - Tài chính tại Washington DC, sau khi chứng kiến các thử nghiệm của Bkis, bày tỏ: “Tôi cho rằng các nhà sản xuất Asus, Lenovo và Toshiba nên chú ý đến lỗ hổng này vì nó gây ảnh hưởng nghiêm trọng đến sự riêng tư, bí mật của người dùng. Tôi sẽ không sử dụng tính năng này, thay vào đó tôi chọn mật khẩu là các ký tự và phím CapsLock”.
Thông tin về sự kiện này cũng thu hút được sự quan tâm đặc biệt của các tờ báo công nghệ nổi tiếng trên thế giới. Trong số 25 bài báo quốc tế phản ánh sự kiện Black Hat tới thời điểm này, có tới 11 bài viết về kết quả nghiên cứu của Bkis như các báo: Computer World, InformationWeek, Daily Tech, The Register, The standard, Ars Technica, Computer Weekly, Third Factor… (Đường link của các bài viết này có ở cuối bản thông cáo.)
Chuyên gia Nguyễn Minh Đức trình bày tại hội thảo Black Hat
Trước đó, phóng viên của Cnet, sau khi chứng kiến các thử nghiệm của Bkis, đã bình luận: “Đây là một lỗi nghiêm trọng bởi lẽ nó ảnh hưởng trực tiếp đến người sử dụng máy tính. Nguy hiểm là có rất nhiều người lại quá tin vào công nghệ này mà không dùng thêm các biện pháp bảo vệ dự phòng khác”.
Công nghệ nhận dạng khuôn mặt được Asus, Lenovo và Toshiba cung cấp sẵn trong bộ phần mềm chuyên dụng đi kèm máy và đưa vào tất cả các dòng laptop có webcam, hỗ trợ hệ điều hành Windows Vista, XP. Chủ nhân, thay vì phải gõ mật khẩu hoặc xác thực bằng vân tay, chỉ cần ngồi trước máy tính là có thể đăng nhập được. Công nghệ nhận dạng khuôn mặt được các hãng giới thiệu là một tính năng nổi trội, giúp ngăn chặn người khác tiếp cận máy tính trái phép, đảm bảo an toàn thông tin cho chủ nhân.
Tuy nhiên, những nghiên cứu của Bkis cho thấy: tính năng xác thực bằng nhận dạng khuôn mặt của cả 3 hãng sản xuất laptop đều có thể bị vượt qua, mặc dù được thiết lập ở mức an ninh cao nhất. Trung tâm An ninh mạng Bkis đã gửi cảnh báo về lỗ hổng tới Asus tại Đài Loan, Lenovo tại Mỹ, Toshiba tại Mỹ để họ khắc phục những hạn chế của tính năng này.
Tháng 12/2008, Bkis đã có buổi công bố kết quả nghiên cứu này tại Hà Nội. Sự kiện đã gây ấn tượng đối với cộng đồng. Ngay sau đó, Hội đồng Black Hat đã chính thức mời nhóm nghiên cứu Bkis sang Mỹ thực hiện việc thử nghiệm và công bố một lần nữa trước toàn thế giới về lỗ hổng này.
Sự kiện các chuyên gia trong nước nghiên cứu và công bố lỗ hổng trong công nghệ nhận dạng ứng dụng trên máy tính xách tay tại Black Hat, một lần nữa khẳng định năng lực về nghiên cứu an ninh mạng của các chuyên gia Việt Nam trước cộng đồng quốc tế.
Trung tâm An ninh mạng Bkis