Lompat ke konten Lompat ke sidebar Lompat ke footer

Menjaga data penjelajahan web tetap aman dari peretas

Menjaga data penjelajahan web tetap aman dari peretas

Agen jahat dapat menggunakan pembelajaran mesin untuk meluncurkan serangan kuat yang mencuri informasi dengan cara yang sulit dicegah dan seringkali bahkan lebih sulit untuk dipelajari.

Penyerang dapat menangkap data yang "bocor" antara program perangkat lunak yang berjalan di komputer yang sama. Mereka kemudian menggunakan algoritme pembelajaran mesin untuk memecahkan kode sinyal tersebut, yang memungkinkan mereka memperoleh kata sandi atau informasi pribadi lainnya. Ini disebut "serangan saluran samping" karena informasi diperoleh melalui saluran yang tidak dimaksudkan untuk komunikasi.

Para peneliti di MIT telah menunjukkan bahwa serangan saluran samping yang dibantu pembelajaran mesin sangat kuat dan kurang dipahami. Penggunaan algoritme pembelajaran mesin, yang seringkali tidak mungkin dipahami sepenuhnya karena kerumitannya, merupakan tantangan khusus. Dalam sebuah makalah baru, tim mempelajari serangan terdokumentasi yang dianggap berhasil dengan menangkap sinyal yang bocor saat komputer mengakses memori. Mereka menemukan bahwa mekanisme di balik serangan ini salah diidentifikasi, yang akan mencegah para peneliti membuat pertahanan yang efektif.

Untuk mempelajari serangan itu, mereka menghapus semua akses memori dan melihat serangan itu menjadi lebih kuat. Kemudian mereka mencari sumber kebocoran informasi dan menemukan bahwa serangan tersebut benar-benar memonitor kejadian yang mengganggu proses komputer lainnya. Mereka menunjukkan bahwa musuh dapat menggunakan serangan yang dibantu pembelajaran mesin ini untuk mengeksploitasi kelemahan keamanan dan menentukan situs web yang dijelajahi pengguna dengan akurasi yang hampir sempurna.

Dengan pengetahuan ini di tangan, mereka mengembangkan dua strategi yang dapat menggagalkan serangan ini.

“Fokus pekerjaan ini benar-benar pada analisis untuk menemukan akar penyebab masalah. Sebagai peneliti, kita harus benar-benar mencoba untuk menggali lebih dalam dan melakukan lebih banyak pekerjaan analisis, daripada hanya secara membabi buta menggunakan taktik pembelajaran mesin kotak hitam untuk menunjukkan satu serangan demi satu. Pelajaran yang kami pelajari adalah bahwa serangan yang dibantu pembelajaran mesin ini bisa sangat menyesatkan, ”kata penulis senior Mengjia Yan, Asisten Profesor Pengembangan Karir Homer A. Burnell Teknik Elektro dan Ilmu Komputer (EECS) dan anggota Ilmu Komputer dan Laboratorium Kecerdasan Buatan (CSAIL).

Penulis utama makalah ini adalah Jack Cook '22, lulusan baru dalam ilmu komputer. Rekan penulis termasuk mahasiswa pascasarjana CSAIL Jules Drean dan Jonathan Behrens PhD '22. Penelitian ini akan dipresentasikan pada Simposium Internasional tentang Arsitektur Komputer.

 

A side-channel surprise

Cook meluncurkan proyek tersebut saat mengikuti kursus seminar lanjutan Yan. Untuk tugas kelas, dia mencoba meniru serangan saluran samping berbantuan pembelajaran mesin dari literatur. Pekerjaan sebelumnya telah menyimpulkan bahwa serangan ini menghitung berapa kali komputer mengakses memori saat memuat situs web dan kemudian menggunakan pembelajaran mesin untuk mengidentifikasi situs web. Ini dikenal sebagai serangan sidik jari situs web.

Dia menunjukkan bahwa pekerjaan sebelumnya mengandalkan analisis berbasis pembelajaran mesin yang cacat untuk salah menentukan sumber serangan. Pembelajaran mesin tidak dapat membuktikan kausalitas dalam jenis serangan ini, kata Cook.

“Yang saya lakukan hanyalah menghapus akses memori dan serangan itu masih berfungsi dengan baik, atau bahkan lebih baik. Jadi, kemudian saya bertanya-tanya, apa sebenarnya yang membuka saluran samping?” dia berkata.

Hal ini menyebabkan proyek penelitian di mana Cook dan rekan-rekannya memulai analisis yang cermat terhadap serangan tersebut. Mereka merancang serangan yang hampir sama, tetapi tanpa akses memori, dan mempelajarinya secara detail.

Mereka menemukan bahwa serangan itu sebenarnya merekam nilai pengatur waktu komputer pada interval tetap dan menggunakan informasi itu untuk menyimpulkan situs web apa yang sedang diakses. Pada dasarnya, serangan itu mengukur seberapa sibuk komputer dari waktu ke waktu.

Fluktuasi nilai pengatur waktu berarti komputer memproses sejumlah informasi yang berbeda dalam interval tersebut. Ini karena gangguan sistem. Interupsi sistem terjadi ketika proses komputer diinterupsi oleh permintaan dari perangkat keras; komputer harus menghentikan sementara apa yang dilakukannya untuk menangani permintaan baru.

Ketika sebuah situs web sedang memuat, ia mengirimkan instruksi ke browser web untuk menjalankan skrip, membuat grafik, memuat video, dll. Masing-masing dapat memicu banyak interupsi sistem.

Penyerang yang memantau pengatur waktu dapat menggunakan pembelajaran mesin untuk menyimpulkan informasi tingkat tinggi dari interupsi sistem ini untuk menentukan situs web apa yang dikunjungi pengguna. Ini dimungkinkan karena aktivitas interupsi yang dihasilkan oleh satu situs web, seperti CNN.com, sangat mirip setiap kali dimuat, tetapi sangat berbeda dari situs web lain, seperti Wikipedia.com, jelas Cook.

“Salah satu hal yang sangat menakutkan tentang serangan ini adalah kami menulisnya dalam JavaScript, jadi Anda tidak perlu mengunduh atau menginstal kode apa pun. Yang harus Anda lakukan adalah membuka situs web. Seseorang dapat menyematkan ini ke situs web dan kemudian secara teoritis dapat mengintip aktivitas lain di komputer Anda, ”katanya.

Serangannya sangat sukses. Misalnya, ketika komputer menjalankan Chrome di sistem operasi macOS, serangan tersebut mampu mengidentifikasi situs web dengan akurasi 94 persen. Semua browser komersial dan sistem operasi yang mereka uji menghasilkan serangan dengan akurasi lebih dari 91 persen.

Ada banyak faktor yang dapat mempengaruhi pengatur waktu komputer, jadi menentukan apa yang menyebabkan serangan dengan akurasi tinggi seperti menemukan jarum di tumpukan jerami, kata Cook. Mereka menjalankan banyak eksperimen terkontrol, menghapus satu variabel pada satu waktu, sampai mereka menyadari sinyal pasti datang untuk interupsi sistem, yang seringkali tidak dapat diproses secara terpisah dari kode penyerang.

 


Fighting back

Setelah para peneliti memahami serangan itu, mereka menyusun strategi keamanan untuk mencegahnya.

Pertama, mereka membuat ekstensi browser yang sering menghasilkan interupsi, seperti melakukan ping ke situs web acak untuk membuat ledakan aktivitas. Kebisingan tambahan membuat lebih sulit bagi penyerang untuk memecahkan kode sinyal. Ini menurunkan akurasi serangan dari 96 persen menjadi 62 persen, tetapi memperlambat kinerja komputer.

Untuk penanggulangan kedua, mereka memodifikasi timer untuk mengembalikan nilai yang mendekati, tetapi bukan waktu sebenarnya. Ini mempersulit penyerang untuk mengukur aktivitas komputer dalam suatu interval, jelas Cook. Mitigasi ini memangkas akurasi serangan dari 96 persen menjadi hanya 1 persen.

“Saya terkejut dengan bagaimana mitigasi kecil seperti menambahkan keacakan ke pengatur waktu bisa sangat efektif. Strategi mitigasi ini benar-benar dapat digunakan saat ini. Itu tidak memengaruhi cara Anda menggunakan sebagian besar situs web,” katanya.

Membangun dari pekerjaan ini, para peneliti berencana untuk mengembangkan kerangka kerja analisis sistematis untuk serangan saluran samping yang dibantu pembelajaran mesin. Ini bisa membantu para peneliti menemukan akar penyebab lebih banyak serangan, kata Yan. Mereka juga ingin melihat bagaimana mereka dapat menggunakan pembelajaran mesin untuk menemukan jenis kerentanan lainnya.

“Makalah ini menyajikan serangan saluran samping berbasis interupsi baru dan menunjukkan bahwa itu dapat digunakan secara efektif untuk serangan sidik jari situs web, sementara sebelumnya, serangan seperti itu diyakini mungkin terjadi karena saluran samping cache,” kata Yanjing Li, asisten profesor di Departemen Ilmu Komputer di University of Chicago, yang tidak terlibat dalam penelitian ini. “Saya menyukai makalah ini segera setelah saya pertama kali membacanya, bukan hanya karena serangan baru itu menarik dan berhasil menantang gagasan yang ada, tetapi juga karena makalah ini menunjukkan batasan utama dari serangan saluran samping berbantuan ML — secara membabi buta mengandalkan pembelajaran mesin model tanpa analisis yang cermat tidak dapat memberikan pemahaman tentang penyebab/sumber serangan yang sebenarnya, dan bahkan dapat menyesatkan.

Penelitian ini didanai, sebagian, oleh National Science Foundation, Air Force Office of Scientific Research, dan MIT-IBM Watson AI Lab.


Posting Komentar untuk "Menjaga data penjelajahan web tetap aman dari peretas"