Οι κίνδυνοι ασφαλείας που συνοδεύουν τη μορφή Pickle ήρθαν ξανά στο προσκήνιο με την ανακάλυψη μιας νέας «τεχνικής εκμετάλλευσης υβριδικών μοντέλων μηχανικής μάθησης (ML)» με το όνομα Sleepy Pickle.
Σύμφωνα με την Trail of Bits, η μέθοδος επίθεσης αξιοποιεί την πανταχού παρούσα μορφή που χρησιμοποιείται για τη συσκευασία και τη διανομή μοντέλων μηχανικής μάθησης (ML), προκειμένου να καταστρέψει το ίδιο το μοντέλο, θέτοντας σοβαρούς κινδύνους για την εφοδιαστική αλυσίδα των εκάστοτε πελατών ενός οργανισμού.
Δείτε ακόμα: Malware εκστρατεία στοχεύει Windows, Android και macOS
«Το Sleepy Pickle είναι μια κρυφή και καινοτόμος τεχνική επίθεσης που στοχεύει το ίδιο το μοντέλο ML και όχι το υποκείμενο σύστημα», δήλωσε ο ερευνητής ασφαλείας Boyan Milanov.
Αν και το pickle είναι μια ευρέως χρησιμοποιούμενη μορφή σειριοποίησης από βιβλιοθήκες ML όπως η PyTorch, μπορεί να χρησιμοποιηθεί για την εκτέλεση αυθαίρετου κώδικα απλά φορτώνοντας ένα αρχείο pickle (δηλαδή, κατά τη διάρκεια της αποσειροποίησης).
«Προτείνουμε τη φόρτωση μοντέλων από αξιόπιστους χρήστες και οργανισμούς, βασιζόμενοι σε υπογεγραμμένες παραχωρήσεις ή/και φόρτωση μοντέλων από μορφές [TensorFlow] ή Jax με τον μηχανισμό αυτόματης μετατροπής from_tf=True», αναφέρει το Hugging Face στη δήλωσή του.
Το Sleepy Pickle λειτουργεί εισάγοντας ένα ωφέλιμο φορτίο σε ένα αρχείο pickle χρησιμοποιώντας εργαλεία ανοιχτού κώδικα όπως το Fickling και στη συνέχεια το παραδίδει σε έναν κεντρικό υπολογιστή-στόχο μέσω μίας από τις τέσσερις τεχνικές: επίθεση αντιπάλου στη μέση (AitM), phishing, συμβιβασμός της εφοδιαστικής αλυσίδας ή εκμετάλλευση αδυναμίας συστήματος.
«Όταν το αρχείο αποσειροποιείται στο σύστημα του θύματος, το ωφέλιμο φορτίο εκτελείται και τροποποιεί το μοντέλο, εισάγοντας backdoors, ελέγχοντας τα δεδομένα ή αλλοιώνοντας τα επεξεργασμένα δεδομένα πριν τα επιστρέψει στον χρήστη», ανέφερε ο Milanov.
Δείτε επίσης: Διανομή του SSLoad malware μέσω του PhantomLoader loader
Με άλλα λόγια, το ωφέλιμο φορτίο που εισάγεται στο αρχείο pickle που περιέχει το σειριακό μοντέλο ML μπορεί να γίνει αντικείμενο κατάχρησης, αλλοιώνοντας τη συμπεριφορά του μοντέλου, παραβιάζοντας τα βάρη του ή τα δεδομένα εισόδου και εξόδου που αυτό επεξεργάζεται.
Σε ένα υποθετικό σενάριο επίθεσης, η προσέγγιση αυτή θα μπορούσε να χρησιμοποιηθεί για τη δημιουργία επιβλαβών αποτελεσμάτων ή παραπληροφόρησης, που μπορεί να έχουν καταστροφικές συνέπειες για την ασφάλεια των χρηστών (π.χ. προτροπή να πιουν λευκαντικό για τη θεραπεία της γρίπης), την κλοπή δεδομένων χρήστη υπό συγκεκριμένες προϋποθέσεις, και την έμμεση επίθεση στους χρήστες μέσω χειραγωγημένων περιλήψεων άρθρων ειδήσεων με συνδέσμους που οδηγούν σε σελίδες phishing.
Η Trail of Bits δήλωσε ότι το Sleepy Pickle μπορεί να χρησιμοποιηθεί από παράγοντες απειλών για να διατηρήσουν κρυφή πρόσβαση σε συστήματα ML με τρόπο που αποφεύγει την ανίχνευση, δεδομένου ότι το μοντέλο παραβιάζεται όταν το αρχείο pickle φορτώνεται στη διαδικασία Python.
Διαβάστε ακόμη: Η Life360 αναφέρει απόπειρα εκβιασμού μετά από παραβίαση δεδομένων της Tile
Αυτό είναι επίσης πιο αποτελεσματικό από την απευθείας μεταφόρτωση ενός κακόβουλου μοντέλου στο Hugging Face, καθώς μπορεί να τροποποιήσει δυναμικά τη συμπεριφορά ή την έξοδο του μοντέλου χωρίς να χρειάζεται να δελεάσει τους στόχους να τα κατεβάσουν και να τα εκτελέσουν.
“Με το Sleepy Pickle, οι χάκερς μπορούν να δημιουργήσουν αρχεία pickle που δεν είναι μοντέλα ML, αλλά μπορούν να καταστρέψουν τοπικά μοντέλα εάν φορτωθούν μαζί,” είπε ο Milanov. “Η επιφάνεια επίθεσης είναι επομένως πολύ ευρύτερη, επειδή ο έλεγχος σε οποιοδήποτε αρχείο pickle στην αλυσίδα εφοδιασμού του οργανισμού-στόχου είναι αρκετός για να επιτεθεί στα μοντέλα τους.”
“Το Sleepy Pickle αποδεικνύει ότι οι προηγμένες επιθέσεις σε επίπεδο μοντέλου μπορούν να εκμεταλλευτούν τις αδυναμίες της αλυσίδας εφοδιασμού χαμηλότερου επιπέδου, μέσω των συνδέσεων μεταξύ των υποκείμενων στοιχείων λογισμικού και της τελικής εφαρμογής.”
Διαβάστε περισσότερα: Το malware Warmcookie προωθείται μέσω ψεύτικων προσφορών εργασίας
Πηγή: thehackernews
» με το όνομα Sleepy Pickle.){kind=link}