Злоумышленники могут использовать машинное обучение для запуска мощных атак, которые крадут информацию способами, которые трудно предотвратить и часто еще труднее изучить.

Злоумышленники могут перехватывать данные, которые «просачиваются» между программами, работающими на одном компьютере. Затем они используют алгоритмы машинного обучения для декодирования этих сигналов, что позволяет им получать пароли или другую личную информацию . Их называют «атаками по сторонним каналам», потому что информация получена через канал, не предназначенный для связи.

Исследователи из Массачусетского технологического института показали, что атаки по сторонним каналам с помощью машинного обучения чрезвычайно надежны и плохо изучены. Использование алгоритмов машинного обучения, которые часто невозможно полностью понять из-за их сложности, представляет собой особую проблему. В новой статье команда изучила задокументированную атаку, которая, как предполагалось, работала путем перехвата сигналов, просочившихся при доступе компьютера к памяти. Они обнаружили, что механизмы, лежащие в основе этой атаки, были неправильно идентифицированы, что помешало исследователям создать эффективную защиту.

Чтобы изучить атаку, они удалили все обращения к памяти и заметили, что атака стала еще более мощной. Затем они искали источники утечки информации и обнаружили, что атака фактически отслеживает события, которые прерывают другие процессы компьютера. Они показывают, что злоумышленник может использовать эту атаку с помощью машинного обучения, чтобы использовать брешь в системе безопасности и определить веб-сайт, который просматривает пользователь, практически с идеальной точностью.

Обладая этими знаниями, они разработали две стратегии, которые могут предотвратить эту атаку.

«На самом деле основное внимание в этой работе уделяется анализу, чтобы найти первопричину проблемы. Как исследователи, мы действительно должны попытаться углубиться и провести больше аналитической работы, а не просто слепо использовать тактику машинного обучения «черный ящик», чтобы продемонстрировать одна атака за другой. Урок, который мы извлекли, заключается в том, что эти атаки с помощью машинного обучения могут вводить в заблуждение», — говорит старший автор Мэнцзя Ян, доцент Гомера А. Бернелла по развитию карьеры в области электротехники и компьютерных наук (EECS) и член Лаборатории компьютерных наук и искусственного интеллекта (CSAIL).

Ведущим автором статьи является Джек Кук 22 лет, недавний выпускник факультета компьютерных наук . Соавторами являются аспирант CSAIL Жюль Дрин и доктор философии Джонатан Беренс. 22 года. Исследование будет представлено на Международном симпозиуме по компьютерной архитектуре.

Сюрприз побочного канала

Кук запустил проект, проходя курс углубленного семинара Яна. Для классного задания он попытался воспроизвести атаку по сторонним каналам с помощью машинного обучения из литературы. Прошлые работы пришли к выводу, что эта атака подсчитывает, сколько раз компьютер обращается к памяти при загрузке веб-сайта, а затем использует машинное обучение для идентификации веб-сайта. Это известно как атака веб-сайта с отпечатками пальцев.

Он показал, что предыдущая работа основывалась на ошибочном анализе на основе машинного обучения, чтобы неправильно определить источник атаки. По словам Кука, машинное обучение не может доказать причинно-следственную связь в этих типах атак.

«Все, что я сделал, это удалил доступ к памяти, и атака по-прежнему работала так же хорошо или даже лучше. Итак, тогда я задался вопросом, что на самом деле открывает побочный канал?»

Это привело к исследовательскому проекту, в котором Кук и его сотрудники приступили к тщательному анализу атаки. Они спроектировали почти идентичную атаку, но без обращений к памяти, и подробно ее изучили.

Они обнаружили, что атака фактически записывает значения таймера компьютера через фиксированные интервалы и использует эту информацию, чтобы сделать вывод, к какому веб-сайту осуществляется доступ. По сути, атака измеряет, насколько занят компьютер с течением времени.

Колебание значения таймера означает, что компьютер обрабатывает другой объем информации в этот интервал. Это связано с системными прерываниями. Системное прерывание происходит, когда процессы компьютера прерываются запросами от аппаратных устройств; компьютер должен приостановить свои действия, чтобы обработать новый запрос.

Когда веб-сайт загружается, он отправляет веб-браузеру инструкции для запуска сценариев, рендеринга графики, загрузки видео и т. д. Каждое из этих действий может вызвать множество системных прерываний.

Злоумышленник, следящий за таймером, может использовать машинное обучение для извлечения высокоуровневой информации из этих системных прерываний, чтобы определить, какой веб-сайт посещает пользователь. Это возможно, потому что активность прерывания, создаваемая одним веб-сайтом, таким как CNN, очень похожа каждый раз при загрузке, но сильно отличается от других веб-сайтов, таких как Wikipedia, объясняет Кук.

«Одна из действительно страшных вещей в этой атаке заключается в том, что мы написали ее на JavaScript, поэтому вам не нужно загружать или устанавливать какой-либо код. Все, что вам нужно сделать, это открыть веб-сайт. Кто-то может встроить это в веб-сайт, а затем теоретически иметь возможность отслеживать другие действия на вашем компьютере», — говорит он.

Атака чрезвычайно успешна. Например, когда на компьютере запущен Chrome в операционной системе macOS, атака смогла идентифицировать веб-сайты с точностью 94%. Все протестированные ими коммерческие браузеры и операционные системы привели к атаке с точностью более 91%.

Есть много факторов, которые могут повлиять на таймер компьютера, поэтому определение того, что привело к атаке с такой высокой точностью, было сродни поиску иголки в стоге сена, говорит Кук. Они провели множество контролируемых экспериментов, удаляя по одной переменной за раз, пока не поняли, что сигнал должен поступать для системных прерываний, которые часто невозможно обработать отдельно от кода злоумышленника.

Отпор

Как только исследователи поняли суть атаки, они разработали стратегии безопасности для ее предотвращения.

Во-первых, они создали расширение для браузера, которое генерирует частые прерывания, такие как пингование случайных веб-сайтов для создания всплесков активности. Добавленный шум значительно затрудняет декодирование сигналов злоумышленником. Это снизило точность атаки с 96% до 62%, но снизило производительность компьютера.

В качестве второй контрмеры они модифицировали таймер, чтобы он возвращал значения, близкие, но не к фактическому времени. По словам Кука, злоумышленнику гораздо труднее измерить активность компьютера за определенный интервал времени. Это смягчение снизило точность атаки с 96% до всего 1%.

«Я был удивлен тем, как такое небольшое смягчение, как добавление случайности к таймеру, может быть настолько эффективным. Эту стратегию смягчения действительно можно использовать сегодня. Она не влияет на то, как вы используете большинство веб-сайтов», — говорит он.

Опираясь на эту работу, исследователи планируют разработать систему систематического анализа атак по сторонним каналам с помощью машинного обучения. По словам Яна, это может помочь исследователям выявить первопричину новых атак. Они также хотят увидеть, как они могут использовать машинное обучение для обнаружения других типов уязвимостей.

«В этой статье представлена ​​новая атака по побочному каналу на основе прерываний и показано, что ее можно эффективно использовать для атак по снятию отпечатков веб-сайтов, в то время как ранее считалось, что такие атаки возможны благодаря побочным каналам кэширования», — говорит Янцзин Ли, доцент в факультет компьютерных наук Чикагского университета, который не участвовал в этом исследовании. «Мне понравилась эта статья сразу после того, как я впервые прочитал ее, не только потому, что новая атака интересна и успешно бросает вызов существующим представлениям, но и потому, что она указывает на ключевое ограничение атак по сторонним каналам с помощью ML — слепо полагаясь на машинное обучение модели без тщательного анализа не могут дать никакого понимания действительных причин/источников атаки и даже могут ввести в заблуждение. Это очень познавательно, и я верю, что это вдохновит на многие будущие работы в этом направлении».