Estados Unidos. Los agentes maliciosos pueden usar el aprendizaje automático para lanzar poderosos ataques que roban información de maneras que son difíciles de prevenir y, a menudo, incluso más difíciles de estudiar.
Los atacantes pueden capturar datos que se “filtran” entre programas de software que se ejecutan en la misma computadora. Luego usan algoritmos de aprendizaje automático para decodificar esas señales, lo que les permite obtener contraseñas u otra información privada. Estos se denominan "ataques de canal lateral" porque la información se adquiere a través de un canal que no está destinado a la comunicación.
Los investigadores del MIT han demostrado que los ataques de canal lateral asistidos por aprendizaje automático son extremadamente sólidos y poco conocidos. El uso de algoritmos de aprendizaje automático, que a menudo son imposibles de comprender por completo debido a su complejidad, es un desafío particular. En un nuevo artículo, el equipo estudió un ataque documentado que se pensó que funcionaba capturando señales filtradas cuando una computadora accede a la memoria. Descubrieron que los mecanismos detrás de este ataque se identificaron erróneamente, lo que impediría a los investigadores elaborar defensas efectivas.
Para estudiar el ataque, eliminaron todos los accesos a la memoria y notaron que el ataque se volvió aún más poderoso. Luego buscaron fuentes de fuga de información y descubrieron que el ataque en realidad monitorea eventos que interrumpen otros procesos de una computadora. Muestran que un adversario puede usar este ataque asistido por aprendizaje automático para explotar una falla de seguridad y determinar el sitio web que está navegando un usuario con una precisión casi perfecta.
Con este conocimiento en la mano, desarrollaron dos estrategias que pueden frustrar este ataque.
“El enfoque de este trabajo está realmente en el análisis para encontrar la causa raíz del problema. Como investigadores, realmente deberíamos tratar de profundizar más y hacer más trabajo de análisis, en lugar de usar ciegamente tácticas de aprendizaje automático de caja negra para demostrar un ataque tras otro. La lección que aprendimos es que estos ataques asistidos por aprendizaje automático pueden ser extremadamente engañosos”, dice la autora principal, Mengjia Yan, Homer A. Burnell Career Development Assistant Professor of Electrical Engineering and Computer Science (EECS) y miembro de Computer Science y Laboratorio de Inteligencia Artificial (CSAIL).
Una sorpresa de canal lateral
Cook lanzó el proyecto mientras tomaba el curso de seminario avanzado de Yan. Para una tarea de clase, trató de replicar un ataque de canal lateral asistido por aprendizaje automático de la literatura. El trabajo anterior había concluido que este ataque cuenta cuántas veces la computadora accede a la memoria mientras carga un sitio web y luego usa el aprendizaje automático para identificar el sitio web. Esto se conoce como un ataque de huellas dactilares de sitios web.
Mostró que el trabajo anterior se basó en un análisis defectuoso basado en el aprendizaje automático para identificar incorrectamente la fuente del ataque. El aprendizaje automático no puede probar la causalidad en este tipo de ataques, dice Cook.
“Todo lo que hice fue eliminar el acceso a la memoria y el ataque funcionó igual de bien, o incluso mejor. Entonces, me pregunté, ¿qué es lo que realmente abre el canal lateral?”. él dice.
Esto condujo a un proyecto de investigación en el que Cook y sus colaboradores se embarcaron en un análisis cuidadoso del ataque. Diseñaron un ataque casi idéntico, pero sin accesos a la memoria, y lo estudiaron en detalle.
Descubrieron que el ataque en realidad registra los valores del temporizador de una computadora a intervalos fijos y usa esa información para inferir a qué sitio web se está accediendo. Esencialmente, el ataque mide cuán ocupada está la computadora a lo largo del tiempo.
Una fluctuación en el valor del temporizador significa que la computadora está procesando una cantidad diferente de información en ese intervalo. Esto se debe a interrupciones del sistema. Una interrupción del sistema ocurre cuando los procesos de la computadora son interrumpidos por solicitudes de dispositivos de hardware; la computadora debe pausar lo que está haciendo para manejar la nueva solicitud.
Cuando un sitio web se está cargando, envía instrucciones a un navegador web para ejecutar scripts, renderizar gráficos, cargar videos, etc. Cada uno de estos puede desencadenar muchas interrupciones del sistema.
Un atacante que monitorea el temporizador puede usar el aprendizaje automático para inferir información de alto nivel de estas interrupciones del sistema para determinar qué sitio web está visitando un usuario. Esto es posible porque la actividad de interrupción generada por un sitio web, como CNN.com, es muy similar cada vez que se carga, pero muy diferente de otros sitios web, como Wikipedia.com, explica Cook.
“Una de las cosas realmente aterradoras de este ataque es que lo escribimos en JavaScript, por lo que no es necesario que descargue ni instale ningún código. Todo lo que tienes que hacer es abrir un sitio web. Alguien podría incrustar esto en un sitio web y luego, teóricamente, podría espiar otras actividades en su computadora”, dice.
El ataque es extremadamente exitoso. Por ejemplo, cuando una computadora ejecuta Chrome en el sistema operativo macOS, el ataque pudo identificar sitios web con un 94 por ciento de precisión. Todos los navegadores comerciales y sistemas operativos que probaron dieron como resultado un ataque con más del 91 por ciento de precisión.
Hay muchos factores que pueden afectar el temporizador de una computadora, por lo que determinar qué condujo a un ataque con tanta precisión fue como encontrar una aguja en un pajar, dice Cook. Ejecutaron muchos experimentos controlados, eliminando una variable a la vez, hasta que se dieron cuenta de que la señal debía provenir de interrupciones del sistema, que a menudo no se pueden procesar por separado del código del atacante.
Defiéndete
Una vez que los investigadores entendieron el ataque, diseñaron estrategias de seguridad para prevenirlo.
Primero, crearon una extensión de navegador que genera interrupciones frecuentes, como hacer ping a sitios web aleatorios para crear ráfagas de actividad. El ruido añadido hace que sea mucho más difícil para el atacante decodificar las señales. Esto redujo la precisión del ataque del 96 % al 62 %, pero redujo el rendimiento de la computadora.
Para su segunda contramedida, modificaron el temporizador para devolver valores que están cerca, pero no el tiempo real. Esto hace que sea mucho más difícil para un atacante medir la actividad de la computadora durante un intervalo, explica Cook. Esta mitigación redujo la precisión del ataque del 96 % a solo el 1 %.
“Me sorprendió cómo una mitigación tan pequeña como agregar aleatoriedad al temporizador podría ser tan efectiva. Esta estrategia de mitigación realmente podría ponerse en práctica hoy. No afecta la forma en que usa la mayoría de los sitios web”, dice.
A partir de este trabajo, los investigadores planean desarrollar un marco de análisis sistemático para ataques de canal lateral asistidos por aprendizaje automático. Esto podría ayudar a los investigadores a llegar a la raíz de la causa de más ataques, dice Yan. También quieren ver cómo pueden usar el aprendizaje automático para descubrir otros tipos de vulnerabilidades.
“Este documento presenta un nuevo ataque de canal lateral basado en interrupciones y demuestra que puede usarse de manera efectiva para ataques de huellas dactilares de sitios web, mientras que anteriormente se creía que tales ataques eran posibles debido a los canales laterales de caché”, dice Yanjing Li, profesor asistente en el Departamento de Ciencias de la Computación de la Universidad de Chicago, que no participó en esta investigación. “Me gustó este documento inmediatamente después de leerlo por primera vez, no solo porque el nuevo ataque es interesante y desafía con éxito las nociones existentes, sino también porque señala una limitación clave de los ataques de canal lateral asistidos por ML: confiar ciegamente en el aprendizaje automático. los modelos sin un análisis cuidadoso no pueden proporcionar ninguna comprensión sobre las causas/fuentes reales de un ataque, e incluso pueden ser engañosos. Esto es muy perspicaz y creo que inspirará muchos trabajos futuros en esta dirección”.
Esta investigación fue financiada, en parte, por la Fundación Nacional de Ciencias, la Oficina de Investigación Científica de la Fuerza Aérea y el Laboratorio de IA MIT-IBM Watson.
Deje su comentario