بونر گفت: «مردم برای مدتی میدانستند که این امکان وجود دارد، اما نمیدانستند که چقدر آسان است. “این کاملاً پیش پا افتاده است که یک حمله را با چند اسکریپت ساده در کنار هم قرار دهیم.”
با این حال، او ادامه داد، این به پیچیدگی بیشتری نسبت به حملات باجافزاری معمولی نیاز دارد که عمدتاً برای راهاندازی به پر کردن اعتبار ساده یا فیشینگ متکی هستند.
موری هابر، افسر ارشد امنیتی در توضیح داد: راه حل های سنتی ضد بدافزار و تشخیص و پاسخ نقطه پایانی برای شناسایی باج افزار بر اساس رفتارهای مبتنی بر الگو، از جمله امضای ویروس و نظارت بر API، فایل و درخواست های رجیستری کلیدی در ویندوز برای فعالیت های مخرب بالقوه طراحی شده اند. BeyondTrust، سازنده مدیریت حساب کاربری ممتاز و راه حل های مدیریت آسیب پذیری در Carlsbad، کالیفرنیا.
او افزود: «اکنون که مردم میدانند چقدر آسان است، انجام آن در قلمرو بچههای فیلمنامه است.
او ادامه داد: «این مدلها همچنین در پلتفرمهای مختلف عملیات یادگیری ماشینی دانلود میشوند، که میتواند بسیار ترسناک باشد زیرا میتوانند به سطلهای آمازون S3 دسترسی داشته باشند و دادههای آموزشی را سرقت کنند.»
کلمنتز موافقت کرد که محققان نشان دادهاند که برای وارد کردن دستورات مخرب در دادههای آموزشی که میتوانند توسط مدلهای ML در زمان اجرا راهاندازی شوند، به تخصص علوم داده ML/AI نیاز ندارد.
او گفت: «این میتواند تأثیرات قابلتوجهی بر قابلیت اطمینان و یکپارچگی سیستمهای هوش مصنوعی داشته باشد و میتواند برای تضعیف اعتماد به این فناوری استفاده شود».
Pablum برای اسکریپت Kiddies
پارکین به TechNewsWorld گفت: «این یک بردار غیرمعمول است که اگر با دقت انجام شود، میتواند از کنار چند ابزار رایج عبور کند.
مدلهای ML در قلب فناوریهایی مانند تشخیص چهره و رباتهای گفتگو قرار دارند. مانند مخازن نرمافزار متنباز، مدلها اغلب توسط توسعهدهندگان و دانشمندان داده دانلود و به اشتراک گذاشته میشوند، بنابراین یک مدل در معرض خطر میتواند به طور همزمان بر بسیاری از سازمانها تأثیر منفی بگذارد.
حملات نیز می توانند سیستم عامل را آگنوستیک باشند. محققان توضیح دادند که سیستمعامل و محمولههای خاص معماری را میتوان در مدل جاسازی کرد، جایی که میتوان آنها را به صورت پویا در زمان اجرا، بسته به پلتفرم، بارگذاری کرد.
پرواز زیر رادار
تصویر از HiddenLayer
روش توصیف شده توسط محققان مشابه نحوه استفاده هکرها از استگانوگرافی برای پنهان کردن بارهای مخرب در تصاویر است. در مورد مدل ML، کد مخرب در داده های مدل پنهان می شود.
کریس کلمنتز، معاون معماری راه حل ها در Cerberus Sentinel، یک شرکت مشاوره امنیت سایبری و تست نفوذ در اسکاتسدیل، آریز، اشاره کرد که عوامل تهدید اغلب دوست دارند از آسیب پذیری های پیش بینی نشده در فناوری های جدید سوء استفاده کنند.
تبلیغات
مایک پارکین، مهندس فنی ارشد در Vulcan Cyber، ارائهدهنده SaaS برای اصلاح ریسک سایبری سازمانی در تل آویو، اسرائیل، خاطرنشان کرد که عوامل تهدید از هر عاملی که میتوانند برای اجرای حملات خود استفاده میکنند.
کیسی الیس، مدیر ارشد فناوری و بنیانگذار Bugcrowd، که یک پلتفرم پاداش باگ جمعسپاری شده را اداره میکند، خاطرنشان کرد که حملات به مدلهای ML میتواند بخشی از روند بزرگتر حملات به زنجیرههای تامین نرمافزار باشد.
او گفت: «در موارد Log4j و SolarWinds، ما تأثیر آن را نه تنها بر سازمان صاحب نرمافزار، بلکه بر همه کاربران آن در آن زنجیره دیدیم. هنگامی که ML معرفی شود، این آسیب می تواند به سرعت چند برابر شود.
او ادامه داد: «در هر یک از این سناریوها، به نظر میرسد که راههای بسیار سادهتر و سادهتری برای به خطر انداختن هدف وجود داشته باشد، جدای از درج اکسپلویتهای مبهم در دادههای آموزشی».
کلمنتز به TechNewsWorld گفت: مهاجمانی که به دنبال اولین مزیت محرک در این مرزها هستند، می توانند از آمادگی کمتر و محافظت فعال در برابر بهره برداری از فناوری های جدید برخوردار شوند.
هابر به TechNewsWorld گفت: «اگر یادگیری ماشین برای تحویل بدافزارهایی مانند باجافزار اعمال شود، بردارهای حمله سنتی و حتی روشهای تشخیص را میتوان تغییر داد تا غیر مخرب به نظر برسند.
احتمال آسیب گسترده
محققان HiddenLayer، یک شرکت امنیتی زبان ماشین، روز سهشنبه در وبلاگی فاش کردند که چگونه یک مهاجم میتواند از یک مدل محبوب ML برای استقرار باجافزار استفاده کند.
تبلیغات
او گفت: “به نظر می رسد این حمله به مدل های زبان ماشینی ممکن است گام بعدی در بازی موش و گربه بین مهاجمان و مدافعان باشد.”
الیس به TechNewsWorld گفت: «همانطور که دشمنان ممکن است سعی کنند زنجیره تأمین برنامههای نرمافزاری را برای وارد کردن کدهای مخرب یا آسیبپذیریها به خطر بیاندازند، ممکن است زنجیره تأمین مدلهای یادگیری ماشینی را نیز برای درج دادهها یا الگوریتمهای مخرب یا مغرضانه هدف قرار دهند.
استفاده از این امر مستلزم به خطر انداختن یک پروژه مدل ML بالادستی است که توسط توسعه دهندگان پایین دستی استفاده می شود، قربانی را فریب می دهد تا یک مدل ML از پیش آموزش دیده را با دستورات مخرب تعبیه شده از یک منبع غیر رسمی دانلود کند، یا مجموعه داده خصوصی مورد استفاده توسعه دهندگان ML را به خطر می اندازد. او توضیح داد.
او توضیح داد: «در زنجیره تأمین، اگر دادهها مسموم شوند به طوری که وقتی مدلها آموزش میبینند، سیستم نیز مسموم میشود، آن مدل میتواند تصمیمهایی بگیرد که امنیت را به جای تقویت آن کاهش دهد».
گویی مدافعان زنجیره تامین نرمافزار بردار حمله کافی برای نگرانی ندارند، اکنون بردار جدیدی دارند: مدلهای یادگیری ماشین.
“بیشتر [the] ماشینهایی که مدلهای یادگیری ماشینی را اجرا میکنند دارای پردازندههای گرافیکی بزرگ و چاق هستند، بنابراین استخراجکنندگان بیتکوین میتوانند روی این سیستمها نیز بسیار موثر باشند.»
بونر به TechNewsWorld گفت: «این به آنها اجازه می دهد تا زیر رادار پرواز کنند. “این تکنیکی نیست که توسط آنتی ویروس یا نرم افزار EDR فعلی شناسایی شود.”
او گفت: “در حال حاضر، من فکر می کنم محبوبیت بردار حمله خاص احتمالاً برای آینده قابل پیش بینی کم خواهد بود.”
تام بونر، مدیر ارشد تحقیقات تهدیدات متخاصم در HiddenLayer مستقر در آستین، تگزاس، مشاهده کرد که جاسازی بدافزار در یک مدل ML مزایایی را برای دشمن ارائه میکند.
HiddenLayer نشان میدهد که چگونه مدل ResNet از قبل آموزشدیده ربودهشده، یک نمونه باجافزار را در لحظه بارگذاری آن در حافظه توسط PyTorch در دستگاه آزمایشی خود اجرا میکند.
مزیت اولین حرکت دهنده
کارن کرولی، مدیر راه حل های محصول در Deep Instinct، یک شرکت امنیت سایبری با یادگیری عمیق در شهر نیویورک، خاطرنشان کرد که حملات به مدل های زبان ماشینی در حال افزایش است.
عوامل تهدید ممکن است علاقه بیشتری به مدلهای ماشین نشان دهند، زیرا آسیبپذیرتر از آن چیزی هستند که مردم فکر میکردند.
به گفته محققان، فرآیند استگانوگرافی نسبتاً عمومی است و می تواند در اکثر کتابخانه های ML اعمال شود. آنها اضافه کردند که این فرآیند نیازی به تعبیه کدهای مخرب در مدل ندارد و همچنین می تواند برای استخراج داده ها از یک سازمان استفاده شود.
کراولی به TechNewsWorld گفت: “این هنوز قابل توجه نیست، اما احتمال آسیب گسترده وجود دارد.”
او گفت: “این همچنین اهداف جدیدی را برای آنها باز می کند.” “این یک مسیر مستقیم به سیستم های دانشمند داده است. این امکان وجود دارد که یک مدل یادگیری ماشینی که در یک مخزن عمومی میزبانی شده است را واژگون کرد. دانشمندان داده آن را پایین می کشند و بارگذاری می کنند، سپس در معرض خطر قرار می گیرند.