Ilustração: Cecília Marins
À medida que empresas adotam sistemas baseados em machine learning, as vulnerabilidades também aumentam, no que diz respeito à cibersegurança. Algumas tecnologias, como carros autônomos, biometria facial e até mesmo o 6G podem ser prejudicadas por meio dos chamados ataques adversariais, específicos a esse tipo de rede.
Essas investidas digitais são capazes de criar um ruído nos dados pequeno o suficiente para não ser percebido, mas grande o suficiente para comprometer o funcionamento de modelos de machine learning. Os ataques adversariais podem ser percebidos como informação verdadeira, quando na verdade se trata de algo falso.
“Ataques adversariais são um problema real nas mais diversas aplicações. Pode inviabilizar sistemas de detecção de pedestres de carros autônomos, a comunicação sem fio do 6G, a detecção de malwares e intrusões em ciberataques”, explicou Paulo Freitas, pesquisador de segurança na Tempest, em palestra no Tempest Talks, nesta quinta-feira, 27, em São Paulo. “Imagine que esse ruído pode ser adicionado a uma chamada de biometria facial utilizada para autenticar um sistema de um banco, por exemplo.”
Estudo
A companhia, especializada em cibersegurança, realizou estudos para avaliar a robustez de sistemas baseados em machine learning. A partir disso, conseguiu criar um ataque adversarial capaz de reduzir para menos de 40% a acurácia de um classificador, ferramenta que distingue dados em diferentes categorias, nesses modelos. Dessa forma, foi possível expor a fragilidade desses sistemas, cada vez mais utilizados em companhias como Spotify (Android, iOS) e Netflix (Android, iOS), por exemplo, que empregam machine learning nos dados dos seus usuários para otimizar a sugestão de conteúdos.
“Sistemas de detecção de obstáculos têm fundamental importância para os carros autônomos, pois eles precisam detectar outros veículos, pedestres e obstáculo, em geral. Um ruído como este pode ser adicionado a sistemas que carros autônomos utilizam para detectar obstáculos, para reconhecer se um sinal de trânsito está verde ou vermelho”, exemplificou.
Classificadores baseados em machine learning, usados para identificar fraudes, definem fronteiras, que separam os dados de acordo com alguma categorização, distinguindo os reais daqueles com ruído. O ataque adversarial busca burlar esses classificadores, de forma que o dado seja identificado incorretamente.
Para o estudo, os ataques adversariais criados na Tempest foram testados contra classificadores de modulação, que têm como objetivo reconhecer o esquema de modulação utilizado em transmissões sem fio. A técnica da empresa foi capaz de gerar perturbações imperceptíveis, comprometendo os resultados desses classificadores de modulação.
“Uma rede neural como esta, por exemplo, consegue identificar 0 esquema de modulação utilizado por um receptor de comunicação sem fio – em estações rádio-base e em torres de transmissão em uma rede 6G – e decodificar o sinal. O objetivo do nosso ataque, em nossa avaliação, é simplesmente comprometer o resultado desta rede neural, causando então a interrupção do serviço de comunicação sem fio”, esclareceu, sobre o estudo.
