گویی مدافعان زنجیره تامین نرمافزار بردار حمله کافی برای نگرانی ندارند، اکنون بردار جدیدی دارند: مدلهای یادگیری ماشین.
مدلهای ML در قلب فناوریهایی مانند تشخیص چهره و رباتهای گفتگو قرار دارند. مانند مخازن نرمافزار متنباز، مدلها اغلب توسط توسعهدهندگان و دانشمندان داده دانلود و به اشتراک گذاشته میشوند، بنابراین یک مدل در معرض خطر میتواند به طور همزمان بر بسیاری از سازمانها تأثیر منفی بگذارد.
محققان HiddenLayer، یک شرکت امنیتی زبان ماشین، روز سهشنبه در وبلاگی فاش کردند که چگونه یک مهاجم میتواند از یک مدل محبوب ML برای استقرار باجافزار استفاده کند.
روش توصیف شده توسط محققان مشابه نحوه استفاده هکرها از استگانوگرافی برای پنهان کردن بارهای مخرب در تصاویر است. در مورد مدل ML، کد مخرب در داده های مدل پنهان می شود.
به گفته محققان، فرآیند استگانوگرافی نسبتاً عمومی است و می تواند در اکثر کتابخانه های ML اعمال شود. آنها اضافه کردند که این فرآیند نیازی به تعبیه کدهای مخرب در مدل ندارد و همچنین می تواند برای استخراج داده ها از یک سازمان استفاده شود.
تصویر از HiddenLayer
حملات نیز می توانند سیستم عامل را آگنوستیک باشند. محققان توضیح دادند که سیستمعامل و محمولههای خاص معماری را میتوان در مدل جاسازی کرد، جایی که میتوان آنها را به صورت پویا در زمان اجرا، بسته به پلتفرم، بارگذاری کرد.
پرواز زیر رادار
تام بونر، مدیر ارشد تحقیقات تهدیدات متخاصم در HiddenLayer مستقر در آستین، تگزاس، مشاهده کرد که جاسازی بدافزار در یک مدل ML مزایایی را برای دشمن ارائه میکند.
بونر به TechNewsWorld گفت: «این به آنها اجازه می دهد تا زیر رادار پرواز کنند. “این تکنیکی نیست که توسط آنتی ویروس یا نرم افزار EDR فعلی شناسایی شود.”
او گفت: “این همچنین اهداف جدیدی را برای آنها باز می کند.” “این یک مسیر مستقیم به سیستم های دانشمند داده است. این امکان وجود دارد که یک مدل یادگیری ماشینی که در یک مخزن عمومی میزبانی شده است را واژگون کرد. دانشمندان داده آن را پایین می کشند و بارگذاری می کنند، سپس در معرض خطر قرار می گیرند.
او ادامه داد: «این مدلها همچنین در پلتفرمهای مختلف عملیات یادگیری ماشینی دانلود میشوند، که میتواند بسیار ترسناک باشد زیرا میتوانند به سطلهای آمازون S3 دسترسی داشته باشند و دادههای آموزشی را سرقت کنند.»
“بیشتر [the] ماشینهایی که مدلهای یادگیری ماشینی را اجرا میکنند دارای پردازندههای گرافیکی بزرگ و چاق هستند، بنابراین استخراجکنندگان بیتکوین میتوانند روی این سیستمها نیز بسیار موثر باشند.»
HiddenLayer نشان میدهد که چگونه مدل ResNet از قبل آموزشدیده ربودهشده، یک نمونه باجافزار را در لحظه بارگذاری آن در حافظه توسط PyTorch در دستگاه آزمایشی خود اجرا میکند.
مزیت اولین حرکت دهنده
کریس کلمنتز، معاون معماری راه حل ها در Cerberus Sentinel، یک شرکت مشاوره امنیت سایبری و تست نفوذ در اسکاتسدیل، آریز، اشاره کرد که عوامل تهدید اغلب دوست دارند از آسیب پذیری های پیش بینی نشده در فناوری های جدید سوء استفاده کنند.
کلمنتز به TechNewsWorld گفت: مهاجمانی که به دنبال اولین مزیت محرک در این مرزها هستند، می توانند از آمادگی کمتر و محافظت فعال در برابر بهره برداری از فناوری های جدید برخوردار شوند.
او گفت: “به نظر می رسد این حمله به مدل های زبان ماشینی ممکن است گام بعدی در بازی موش و گربه بین مهاجمان و مدافعان باشد.”
مایک پارکین، مهندس فنی ارشد در Vulcan Cyber، ارائهدهنده SaaS برای اصلاح ریسک سایبری سازمانی در تل آویو، اسرائیل، خاطرنشان کرد که عوامل تهدید از هر عاملی که میتوانند برای اجرای حملات خود استفاده میکنند.
پارکین به TechNewsWorld گفت: «این یک بردار غیرمعمول است که اگر با دقت انجام شود، میتواند از کنار چند ابزار رایج عبور کند.
موری هابر، افسر ارشد امنیتی در توضیح داد: راه حل های سنتی ضد بدافزار و تشخیص و پاسخ نقطه پایانی برای شناسایی باج افزار بر اساس رفتارهای مبتنی بر الگو، از جمله امضای ویروس و نظارت بر API، فایل و درخواست های رجیستری کلیدی در ویندوز برای فعالیت های مخرب بالقوه طراحی شده اند. BeyondTrust، سازنده مدیریت حساب کاربری ممتاز و راه حل های مدیریت آسیب پذیری در Carlsbad، کالیفرنیا.
هابر به TechNewsWorld گفت: «اگر یادگیری ماشین برای تحویل بدافزارهایی مانند باجافزار اعمال شود، بردارهای حمله سنتی و حتی روشهای تشخیص را میتوان تغییر داد تا غیر مخرب به نظر برسند.
احتمال آسیب گسترده
کارن کرولی، مدیر راه حل های محصول در Deep Instinct، یک شرکت امنیت سایبری با یادگیری عمیق در شهر نیویورک، خاطرنشان کرد که حملات به مدل های زبان ماشینی در حال افزایش است.
کراولی به TechNewsWorld گفت: “این هنوز قابل توجه نیست، اما احتمال آسیب گسترده وجود دارد.”
او توضیح داد: «در زنجیره تأمین، اگر دادهها مسموم شوند به طوری که وقتی مدلها آموزش میبینند، سیستم نیز مسموم میشود، آن مدل میتواند تصمیمهایی بگیرد که امنیت را به جای تقویت آن کاهش دهد».
او گفت: «در موارد Log4j و SolarWinds، ما تأثیر آن را نه تنها بر سازمان صاحب نرمافزار، بلکه بر همه کاربران آن در آن زنجیره دیدیم. هنگامی که ML معرفی شود، این آسیب می تواند به سرعت چند برابر شود.
کیسی الیس، مدیر ارشد فناوری و بنیانگذار Bugcrowd، که یک پلتفرم پاداش باگ جمعسپاری شده را اداره میکند، خاطرنشان کرد که حملات به مدلهای ML میتواند بخشی از روند بزرگتر حملات به زنجیرههای تامین نرمافزار باشد.
الیس به TechNewsWorld گفت: «همانطور که دشمنان ممکن است سعی کنند زنجیره تأمین برنامههای نرمافزاری را برای وارد کردن کدهای مخرب یا آسیبپذیریها به خطر بیاندازند، ممکن است زنجیره تأمین مدلهای یادگیری ماشینی را نیز برای درج دادهها یا الگوریتمهای مخرب یا مغرضانه هدف قرار دهند.
او گفت: «این میتواند تأثیرات قابلتوجهی بر قابلیت اطمینان و یکپارچگی سیستمهای هوش مصنوعی داشته باشد و میتواند برای تضعیف اعتماد به این فناوری استفاده شود».
Pablum برای اسکریپت Kiddies
عوامل تهدید ممکن است علاقه بیشتری به مدلهای ماشین نشان دهند، زیرا آسیبپذیرتر از آن چیزی هستند که مردم فکر میکردند.
بونر گفت: «مردم برای مدتی میدانستند که این امکان وجود دارد، اما نمیدانستند که چقدر آسان است. “این کاملاً پیش پا افتاده است که یک حمله را با چند اسکریپت ساده در کنار هم قرار دهیم.”
او افزود: «اکنون که مردم میدانند چقدر آسان است، انجام آن در قلمرو بچههای فیلمنامه است.
کلمنتز موافقت کرد که محققان نشان دادهاند که برای وارد کردن دستورات مخرب در دادههای آموزشی که میتوانند توسط مدلهای ML در زمان اجرا راهاندازی شوند، به تخصص علوم داده ML/AI نیاز ندارد.
با این حال، او ادامه داد، این به پیچیدگی بیشتری نسبت به حملات باجافزاری معمولی نیاز دارد که عمدتاً برای راهاندازی به پر کردن اعتبار ساده یا فیشینگ متکی هستند.
او گفت: “در حال حاضر، من فکر می کنم محبوبیت بردار حمله خاص احتمالاً برای آینده قابل پیش بینی کم خواهد بود.”
استفاده از این امر مستلزم به خطر انداختن یک پروژه مدل ML بالادستی است که توسط توسعه دهندگان پایین دستی استفاده می شود، قربانی را فریب می دهد تا یک مدل ML از پیش آموزش دیده را با دستورات مخرب تعبیه شده از یک منبع غیر رسمی دانلود کند، یا مجموعه داده خصوصی مورد استفاده توسعه دهندگان ML را به خطر می اندازد. او توضیح داد.
او ادامه داد: «در هر یک از این سناریوها، به نظر میرسد که راههای بسیار سادهتر و سادهتری برای به خطر انداختن هدف وجود داشته باشد، جدای از درج اکسپلویتهای مبهم در دادههای آموزشی».