Agentes maliciosos podem usar o aprendizado de ma¡quina para lana§ar ataques poderosos que roubam informações de maneiras difa­ceis de prevenir e muitas vezes ainda mais difa­ceis de estudar.

Os invasores podem capturar dados que “vazam” entre programas de software executados no mesmo computador. Eles então usam algoritmos de aprendizado de ma¡quina para decodificar esses sinais, o que lhes permite obter senhas ou outras informações privadas. Esses são chamados de “ataques de canal lateral” porque as informações são adquiridas por meio de um canal não destinado a  comunicação.

Pesquisadores do MIT mostraram que os ataques de canal lateral assistidos por aprendizado de ma¡quina são extremamente robustos e mal compreendidos. O uso de algoritmos de aprendizado de ma¡quina, que muitas vezes são impossa­veis de compreender completamente devido a  sua complexidade, éum desafio particular. Em um novo artigo, a equipe estudou um ataque documentado que foi pensado para funcionar capturando sinais vazados quando um computador acessa a memória. Eles descobriram que os mecanismos por trás desse ataque foram identificados erroneamente, o que impediria os pesquisadores de criar defesas eficazes.

Para estudar o ataque, eles removeram todos os acessos a  memória e perceberam que o ataque ficou ainda mais poderoso. Em seguida, eles procuraram fontes de vazamento de informações e descobriram que o ataque realmente monitora eventos que interrompem outros processos de um computador. Eles mostram que um adversa¡rio pode usar esse ataque assistido por aprendizado de ma¡quina para explorar uma falha de segurança e determinar o site que um usua¡rio estãonavegando com precisão quase perfeita.

Com esse conhecimento em ma£os, eles desenvolveram duas estratanãgias que podem impedir esse ataque.

“O foco deste trabalho estãorealmente na análise para encontrar a causa raiz do problema. Como pesquisadores, devemos realmente tentar aprofundar e fazer mais trabalho de análise, em vez de usar cegamente ta¡ticas de aprendizado de ma¡quina de caixa preta para demonstrar um ataque após o outro. A lição que aprendemos éque esses ataques assistidos por aprendizado de ma¡quina podem ser extremamente enganosos”, diz o autor saªnior Mengjia Yan, Professor Assistente de Desenvolvimento de Carreira Homer A. Burnell de Engenharia Elanãtrica e Ciência da Computação (EECS) e membro do Departamento de Ciência da Computação. e Laborata³rio de Inteligaªncia Artificial (CSAIL).

O principal autor do artigo éJack Cook '22, recanãm-formado em ciência da computação. Os coautores incluem o estudante de pós-graduação CSAIL Jules Drean e Jonathan Behrens PhD '22. A pesquisa seráapresentada no Simpa³sio Internacional de Arquitetura de Computadores.

Cook lançou o projeto enquanto fazia o curso de semina¡rio avana§ado de Yan. Para uma tarefa de classe, ele tentou replicar um ataque de canal lateral assistido por aprendizado de ma¡quina da literatura. Trabalhos anteriores conclua­ram que esse ataque conta quantas vezes o computador acessa a memória enquanto carrega um site e, em seguida, usa o aprendizado de ma¡quina para identificar o site. Isso éconhecido como um ataque de impressão digital de site.

Ele mostrou que o trabalho anterior dependia de uma análise falha baseada em aprendizado de ma¡quina para identificar incorretamente a fonte do ataque. O aprendizado de ma¡quina não pode provar a causalidade nesses tipos de ataques, diz Cook.

“Tudo o que fiz foi remover o acesso a  memória e o ataque ainda funcionou tão bem ou atémelhor. Então, eu me perguntei, o que realmente abre o canal lateral?” ele diz.

Isso levou a um projeto de pesquisa no qual Cook e seus colaboradores embarcaram em uma análise cuidadosa do ataque. Eles projetaram um ataque quase idaªntico, mas sem acessos a  memória, e o estudaram em detalhes.

Eles descobriram que o ataque realmente registra os valores do temporizador de um computador em intervalos fixos e usa essas informações para inferir qual site estãosendo acessado. Essencialmente, o ataque mede o quanto o computador estãoocupado ao longo do tempo.

Uma flutuação no valor do temporizador significa que o computador estãoprocessando uma quantidade diferente de informações nesse intervalo. Isso ocorre devido a interrupções do sistema. Uma interrupção do sistema ocorre quando os processos do computador são interrompidos por solicitações de dispositivos de hardware; o computador deve pausar o que estãofazendo para lidar com a nova solicitação.

Quando um site estãocarregando, ele envia instruções para um navegador da Web para executar scripts, renderizar gra¡ficos, carregar va­deos, etc. Cada um deles pode acionar várias interrupções do sistema.

Um invasor que monitora o crona´metro pode usar o aprendizado de ma¡quina para inferir informações de altoníveldessas interrupções do sistema para determinar qual site um usua¡rio estãovisitando. Isso épossí­vel porque a atividade de interrupção gerada por um site, como CNN.com, émuito semelhante cada vez que carrega, mas muito diferente de outros sites, como Wikipedia.com, explica Cook.

“Uma das coisas realmente assustadoras sobre esse ataque éque o escrevemos em JavaScript, para que vocênão precise baixar ou instalar nenhum ca³digo. Tudo o que vocêprecisa fazer éabrir um site. Alguanãm poderia incorporar isso em um site e, teoricamente, ser capaz de bisbilhotar outras atividades em seu computador”, diz ele.

O ataque éextremamente bem sucedido. Por exemplo, quando um computador estãoexecutando o Chrome no sistema operacional macOS, o ataque conseguiu identificar sites com 94% de precisão. Todos os navegadores e sistemas operacionais comerciais testados resultaram em um ataque com mais de 91% de precisão.

Existem muitos fatores que podem afetar o crona´metro de um computador, então determinar o que levou a um ataque com uma precisão tão alta foi como encontrar uma agulha no palheiro, diz Cook. Eles executaram muitos experimentos controlados, removendo uma varia¡vel de cada vez, atéperceberem que o sinal deveria estar vindo para interrupções do sistema, que muitas vezes não podem ser processadas separadamente do ca³digo do invasor.

Depois que os pesquisadores entenderam o ataque, criaram estratanãgias de segurança para evita¡-lo.

Primeiro, eles criaram uma extensão de navegador que gera interrupções frequentes, como pingar sites aleata³rios para criar picos de atividade. O rua­do adicionado torna muito mais difa­cil para o invasor decodificar os sinais. Isso reduziu a precisão do ataque de 96% para 62%, mas diminuiu o desempenho do computador.

Para a segunda contramedida, eles modificaram o crona´metro para retornar valores pra³ximos, mas não o tempo real. Isso torna muito mais difa­cil para um invasor medir a atividade do computador em um intervalo, explica Cook. Essa mitigação reduziu a precisão do ataque de 96% para apenas 1%.

“Fiquei surpreso ao ver como uma mitigação tão pequena, como adicionar aleatoriedade ao crona´metro, pode ser tão eficaz. Esta estratanãgia de mitigação poderia realmente ser colocada em uso hoje. Isso não afeta como vocêusa a maioria dos sites”, diz ele.

Com base nesse trabalho, os pesquisadores planejam desenvolver uma estrutura de análise sistema¡tica para ataques de canal lateral assistidos por aprendizado de ma¡quina. Isso pode ajudar os pesquisadores a chegar a  causa raiz de mais ataques, diz Yan. Eles também querem ver como podem usar o aprendizado de ma¡quina para descobrir outros tipos de vulnerabilidades.

“Este artigo apresenta um novo ataque de canal lateral baseado em interrupção e demonstra que ele pode ser usado efetivamente para ataques de impressão digital de sites, enquanto anteriormente acreditava-se que esses ataques eram possa­veis devido a canais laterais de cache”, diz Yanjing Li, professor assistente na Departamento de Ciência da Computação da Universidade de Chicago, que não esteve envolvido com esta pesquisa. “Gostei deste artigo imediatamente após laª-lo pela primeira vez, não apenas porque o novo ataque éinteressante e desafia com sucesso as noções existentes, mas também porque aponta uma limitação importante dos ataques de canal lateral assistidos por ML osconfiando cegamente no aprendizado de ma¡quina modelos sem análise cuidadosa não podem fornecer qualquer entendimento sobre as causas/fontes reais de um ataque e podem atéser enganosos. 

Esta pesquisa foi financiada, em parte, pela National Science Foundation, pelo Air Force Office of Scientific Research e pelo MIT-IBM Watson AI Lab.