Các chuyên gia về quyền riêng tư của Imperial đã tạo ra một thuật toán AI tự động kiểm tra các hệ thống bảo vệ quyền riêng tư để phát hiện khả năng rò rỉ dữ liệu.
Đây là lần đầu tiên AI được sử dụng để tự động phát hiện các lỗ hổng trong loại hệ thống này, ví dụ như đã được sử dụng bởi Google Maps và Facebook.
Các chuyên gia, từ Nhóm bảo mật tính toán của Imperial, đã xem xét các cuộc tấn công vào các hệ thống dựa trên truy vấn (QBS) — các giao diện được kiểm soát thông qua đó các nhà phân tích có thể truy vấn dữ liệu để trích xuất thông tin tổng hợp hữu ích về thế giới. Sau đó, họ đã phát triển một phương pháp hỗ trợ AI mới có tên là QuerySnout để phát hiện các cuộc tấn công vào QBS.
>> Tham khảo: Vật liệu thế hệ mới thay đổi hành vi dựa trên kinh nghiệm trước đó.
QBS cung cấp cho các nhà phân tích quyền truy cập vào các bộ sưu tập thống kê được thu thập từ dữ liệu cấp độ cá nhân như vị trí và nhân khẩu học. Chúng hiện được sử dụng trong Google Maps để hiển thị thông tin trực tiếp về mức độ bận rộn của một khu vực hoặc trong tính năng Đo lường đối tượng của Facebook để ước tính quy mô đối tượng ở một vị trí hoặc nhân khẩu học cụ thể để giúp quảng cáo.
Trong nghiên cứu mới của họ, được công bố như một phần của Hội nghị ACM lần thứ 29 về Bảo mật Máy tính và Truyền thông, nhóm bao gồm Ana Maria Cretu của Viện Khoa học Dữ liệu, Tiến sĩ Florimond Houssiau, Tiến sĩ Antoine Cully và Tiến sĩ Yves-Alexandre de Montjoye đã phát hiện ra rằng các cuộc tấn công mạnh mẽ và chính xác chống lại QBS có thể dễ dàng được phát hiện tự động khi nhấn nút.
Theo tác giả cao cấp, Tiến sĩ Yves-Alexandre de Montjoye: “Các cuộc tấn công cho đến nay vẫn được phát triển thủ công bằng cách sử dụng chuyên môn có tay nghề cao. Điều này có nghĩa là phải mất nhiều thời gian để phát hiện ra các lỗ hổng, khiến hệ thống gặp rủi ro.
“OuerySnout đã vượt trội so với con người trong việc phát hiện ra các lỗ hổng trong các hệ thống trong thế giới thực.”
Sự cần thiết của các hệ thống dựa trên truy vấn
Khả năng thu thập và lưu trữ dữ liệu của chúng tôi đã bùng nổ trong thập kỷ qua. Mặc dù dữ liệu này có thể giúp thúc đẩy các tiến bộ khoa học, nhưng hầu hết dữ liệu này là dữ liệu cá nhân và do đó việc sử dụng dữ liệu này gây ra những lo ngại nghiêm trọng về quyền riêng tư, được bảo vệ bởi các luật như Quy định bảo vệ dữ liệu chung của EU.
>> Tham khảo: Phương pháp mới cực nhanh để sản xuất các thiết bị nhiệt điện hiệu suất cao.
Do đó, cho phép dữ liệu được sử dụng cho mục đích tốt trong khi vẫn bảo vệ quyền cơ bản của chúng ta đối với quyền riêng tư là một câu hỏi kịp thời và quan trọng đối với các nhà khoa học dữ liệu và chuyên gia về quyền riêng tư.
QBS có tiềm năng cho phép phân tích dữ liệu ẩn danh bảo vệ quyền riêng tư trên quy mô lớn. Trong QBS, người quản lý giữ quyền kiểm soát dữ liệu và do đó có thể kiểm tra và xem xét các truy vấn do các nhà phân tích gửi để đảm bảo rằng các câu trả lời được trả về không tiết lộ thông tin cá nhân về các cá nhân.
Tuy nhiên, những kẻ tấn công bất hợp pháp có thể vượt qua các hệ thống như vậy bằng cách thiết kế các truy vấn để suy ra thông tin cá nhân về những người cụ thể bằng cách khai thác lỗ hổng hoặc lỗi triển khai của hệ thống.
thử nghiệm hệ thống
Rủi ro của các cuộc tấn công “zero-day” mạnh chưa biết, nơi những kẻ tấn công lợi dụng các lỗ hổng trong hệ thống đã làm đình trệ quá trình phát triển và triển khai QBS.
Để kiểm tra độ bền của các hệ thống này, theo cách tương tự như kiểm tra thâm nhập trong an ninh mạng, các cuộc tấn công vi phạm dữ liệu có thể được mô phỏng để phát hiện rò rỉ thông tin và xác định các lỗ hổng tiềm ẩn.
Tuy nhiên, thiết kế thủ công và thực hiện các cuộc tấn công này chống lại QBS phức tạp là một quá trình khó khăn và lâu dài.
Do đó, các nhà nghiên cứu cho biết, việc hạn chế khả năng xảy ra các cuộc tấn công mạnh mẽ là điều cần thiết để cho phép QBS được triển khai một cách hữu ích và an toàn trong khi vẫn bảo vệ quyền riêng tư của cá nhân.
Truy vấn Snout
Nhóm Imperial đã phát triển một phương pháp hỗ trợ AI mới có tên là QuerySnout, phương pháp này hoạt động bằng cách tìm hiểu những câu hỏi cần hỏi hệ thống để nhận được câu trả lời. Sau đó, nó học cách tự động kết hợp các câu trả lời để phát hiện các lỗ hổng bảo mật tiềm ẩn.
>> Tham khảo: Quá trình khử cacbon hoàn toàn của ngành hàng không Hoa Kỳ nằm trong tầm tay.
Bằng cách sử dụng máy học, mô hình có thể tạo ra một cuộc tấn công bao gồm một tập hợp các truy vấn kết hợp các câu trả lời để tiết lộ một phần thông tin cá nhân cụ thể. Quá trình này hoàn toàn tự động và sử dụng một kỹ thuật được gọi là ‘tìm kiếm tiến hóa’, cho phép mô hình QuerySnout khám phá các nhóm câu hỏi phù hợp để hỏi.
Điều này diễn ra trong một ‘cài đặt hộp đen’, nghĩa là AI chỉ cần truy cập vào hệ thống nhưng không cần biết hệ thống hoạt động như thế nào để phát hiện các lỗ hổng.
Đồng tác giả đầu tiên Ana-Maria Cretu cho biết: “Chúng tôi chứng minh rằng QuerySnout tìm thấy các cuộc tấn công mạnh mẽ hơn những cuộc tấn công hiện được biết đến trên các hệ thống trong thế giới thực. Điều này có nghĩa là mô hình AI của chúng tôi tốt hơn con người trong việc tìm kiếm các cuộc tấn công này.”
Bước tiếp theo
Hiện tại, QuerySnout chỉ kiểm tra một số chức năng nhỏ. Theo Tiến sĩ de Montjoye: “Thách thức chính trong tương lai sẽ là mở rộng quy mô tìm kiếm với số lượng chức năng lớn hơn nhiều để đảm bảo nó phát hiện ra ngay cả những cuộc tấn công tiên tiến nhất.”
Mặc dù vậy, mô hình này có thể cho phép các nhà phân tích kiểm tra tính mạnh mẽ của QBS trước các loại kẻ tấn công khác nhau. Sự phát triển của QuerySnout thể hiện một bước tiến quan trọng trong việc đảm bảo quyền riêng tư cá nhân liên quan đến các hệ thống dựa trên truy vấn.
>> Tham khảo: Bản in sinh học để sửa chữa xương được cải thiện bằng gen.
“QuerySnout: Tự động phát hiện các cuộc tấn công can thiệp thuộc tính chống lại các hệ thống dựa trên truy vấn” của A. M. Cretu, F. Houssiau, A. Cully và Y. A. de Montjoye, xuất bản vào ngày 7 tháng 11 năm 2022 trong Kỷ yếu của Hội nghị ACM SIGSAC 2022 về Bảo mật Máy tính và Truyền thông .
