Criptografie #6: Iluzie optică sau breșă de securitate? 16 min read

Mesajele ascunse în imagini ne-au păcălit atenția și ochii vreme de secole. O nouă amenințare vine acum în (con)textul digital.

Ochiul uman are multe slăbiciuni care par inofensive, până când se găsesc aplicații periculoase. Iluziile optice, de exemplu, sunt fenomene binecunoscute de secole, folosite în artă de mai mulți pictori, încât au primit și o denumire specifică: trompe l’oeil.// În franceză, „păcălește ochiul“, wikipedia.org // 

În modernitate, poate cel mai cunoscut artist care a folosit perspectiva și motive geometrice pentru a crea lucrări imposibil de descifrat este Maurits C. Escher (1898-1972). Un alt exemplu, propus de psihiatrul Lionel Penrose, împreună cu fiul său, care avea să devină celebrul fizician Roger Penrose, este „triunghiul imposibil“ sau „triunghi Penrose“. Figura labirintică se obține cu un amestec subtil de geometrie și perspectivă.

Lucrările și obiectele statice nu sunt singurul mod în care îți sunt păcăliți ochii. Desenele animate creează iluzia de continuitate, de mișcare fluidă care schimbă numai 24 de imagini pe secundă. Pe parcurs ce tehnologia a avansat, televizoarele și monitoarele au dus această frecvență de redare a imaginilor (numită tehnic rată de refresh) până la 360 hertzi, adică 360 de modificări pe secundă.

Dar uneori nici nu e nevoie să păcălești designul biologic și poți folosi mesaje codificate, ascunse la vedere. Descifrarea nu cere dotări supraomenești, ci o combinație de matematică și tehnologie. Așa a apărut steganografia, o ramură spectaculoasă a criptografiei, prin care stochezi sau transmiți mesaje ascunse în imagini. Alte aplicații folosesc diverse tipuri de fișiere multimedia – înregistrări audio sau video, de exemplu – sau combinații ale acestora.

Istoria steganografiei este milenară. Dacă mesajele text criptate au printre pionieri pe împăratul roman Caesar, se pare că mesajele ascunse de tip imagine sunt menționate în Istoriile lui Herodot (sec. V î.e.n.), într-o formă cel puțin amuzantă. Histieu, conducătorul Miletului în secolul al VI-lea î.e.n., ar fi trimis un mesaj către unul dintre vasalii săi înscris în scalpul ras al unui servitor credincios. Tiranul milesian a așteptat să crească părul servului până ce mesajul a fost acoperit, apoi l-a trimis solie, cu indicația de a se rade pe cap chiar înainte să ajungă la destinatar.

Ascunzișuri digitale

Mulți caligrafi și artiști au contribuit, de-a lungul secolelor, la dezvoltarea steganografiei, cu metode cel puțin ingenioase. Însă tehnologia avea să se schimbe semnificativ odată cu apariția electronicii și computerelor digitale. Cum informația stocată de un computer este, în definitiv, alcătuită doar din biți (0 și 1), indiferent de natura conținutului, ajungi la o matematică binară. 

Mai mult decât atât, imaginile și celelalte fișiere de tip multimedia sunt un mediu perfect pentru a ascunde mesaje, pentru că sunt generoase cu spațiul ocupat. Un mesaj text, chiar și când este salvat într-un fișier simplu .txt, necesită mult mai puțin spațiu de stocare decât o imagine. În consecință, imaginile, videoclipurile și fișierele audio oferă mai multă flexibilitate celor care vor să ascundă informație.

Există diverși algoritmi de compresie, procesare și digitalizare a imaginilor, indiferent că vorbim despre fotografii, capturi de ecran sau tablouri. Dar toate au în comun utilizarea unui spațiu de culoare, corespunzător, de obicei, culorilor primare din mediul digital: roșu, verde și albastru (așa-numitul spațiu RGB). Imaginile sunt alcătuite din pixeli, iar fiecare pixel conține informații numerice despre cantitățile de roșu, verde și albastru care trebuie folosite pentru a reda culoarea și, în definitiv, aspectul dorit.

Fiindcă este vorba de atât de multe numere, schimbarea câtorva pixeli, de exemplu a cantității de roșu, nu va afecta aspectul imaginii – din punctul de vedere al ochiului uman. Un computer, totuși, poate scana individual pixelii și canalele de culoare, iar odată ce a identificat modificările, recuperează și mesajul. Practic, e nevoie doar de câțiva biți alterați pentru a codifica un mesaj text. Ba chiar mai mult, prin schimbarea doar a ultimilor doi biți din canalele de culoare ale unei imagini, se poate ascunde o întreagă imagine nouă.

Cum orice introduci în computer ajunge stocat sub formă de biți, înseamnă că orice mediu poate ascunde mesaje, prin modificarea subtilă a câtorva astfel de biți. Exemplul surprinzător: textul formatat (rich text).

Literelor și simbolurilor uzuale li se asociază numere cu ajutorul sistemului ASCII.// American Standard Code for Information Exchange, ascii-code.org // Pe parcurs ce computerele au ajuns în tot mai multe părți ale lumii și odată cu dezvoltarea culturii Internetului, au fost necesare metode pentru a codifica numeric și alte alfabete și, desigur, simboluri emoji. 

Din anii 1980, câțiva ingineri de la Xerox și Apple au început lucrul la un sistem care astăzi a devenit universal: Unicode.// Mai multe detalii pe home.unicode.org // Sistemul a fost extins treptat și, ori de câte ori apare un simbol nou, precum emoji-urile pe care le lansează Apple în update-urile de iOS, se asociază coduri numerice noi în sistemul Unicode. În prezent, standarde Unicode precum UTF-8 sau UTF-16 se ocupă de codificarea numerică a tuturor caracterelor și simbolurilor, indiferent de alfabet, inclusiv toate seturile de emoji.

Sistemele Unicode sunt suficient de permisive încât au loc și pentru milioane de simboluri care ar mai putea apărea. Însă intervalul mare de valori numerice permise de codurile UTF înseamnă, totodată, și un spațiu de stocare mai mare asociat fiecărui caracter, deci mai mulți biți. Iar unde e spațiu mai mult, e și loc mai mult pentru exploatare subtilă.

Injectarea AI

O descoperire recentă// „Invisible text that AI chatbots understand and humans can’t? Yep, it’s a thing”, arstechnica.com // duce lucrurile la un alt nivel. Cercetătorul american Johann Rehberger este un profesionist al securității informatice care face parte din așa-numita echipă roșie. În jargonul hacking-ului, echipa roșie imită atacatorii reali și alcătuiește scheme prin care testează sisteme informatice. Profesioniștii acestor grupări sunt angajați de institute de cercetare sau de companii private tocmai pentru a le testa robustețea infrastructurii digitale.

Rehberger a gândit două atacuri prin care, într-o conversație aparent normală cu Microsoft Copilot și Anthropic Claude, două dintre cele mai dezvoltate modele de tip LLM, introduce instrucțiuni malițioase prin care convinge AI-ul să divulge informații private. Mai mult decât atât, atacul poate fi lansat astfel încât modelul AI să răspundă tot într-o metodă steganografică, ceea ce face ca întreaga conversație să pară complet inofensivă.

Surpriza este că nici nu e nevoie să folosească imagini în adevăratul sens al cuvântului. Caracterele speciale și emoji-urile pot transporta și ele mesaje codificate. De exemplu, într-o simplă adresă URL modificată steganografic, Rehberger a cerut Copilot să caute informații private în email-uri, iar AI-ul a răspuns prin ceea ce părea aceeași adresă URL, dar care conținea informațiile cerute, ascunse. Intrase, așadar, în jocul propus de atacator: se achitase de sarcină și răspundea tot criptat.

Compania din care face parte Rehberger, Embrace the Red, demonstrase atacuri lansate prin mesaje ascunse în conversații cu modelele de inteligență artificială încă din 2023. Tehnica se numește injectare (injection) și a fost aplicată mai multor sisteme, chiar înainte de apariția modelelor AI. De exemplu, cel mai cunoscut atac asupra bazelor de date se numește SQL injection, prin care introducerea unor instrucțiuni aparent inofensive sau eronate pot „convinge“ sistemul să ofere secrete sau să șteargă informații. La fel sunt atacurile asupra conținutului web, denumite XSS (cross-site scripting), tot o formă de injectare.

O altă vulnerabilitate// „iMessage: malformed message bricks iPhone”, project-zero.issues.chromium.org // a fost descoperită în 2019 de echipa de securitate Google Project Zero, în sistemul iOS 12: un mesaj aparent fără sens transmis ca SMS făcea iPhone-urile care rulau această versiune de sistem de operare inutilizabile.

Astfel de amenințări rămân valide, dar, dacă sistemele web și cele de gestionare a bazelor de date au evoluat cu protecție tot mai bună sau chiar au înlocuit complet modelul (ca în cazul bazelor de date de tip noSQL), iar sistemele de operare primesc actualizări de securitate regulate, modelele AI ridică gradul de alertă.

Vulnerabilitățile trebuie tratate cu maximum de seriozitate, dar, din păcate, nu pot fi rezolvate complet fără pierderea unor funcții utile ale AI-ului. Amploarea atacurilor este spectaculoasă, dacă ne gândim că se pot scurge informații prin înseși literele pe care le scriem de la tastatură (sarcastic, echipa Embrace the Red a lui Rehberger a denumit atacul ASCII smuggling).

Un prim filtru poate să verifice dacă printre informațiile de intrare, adică instrucțiunile utilizatorului sub formă de prompt, precum și în răspunsul modelului, există conținut sensibil sau malițios, însă termenii sunt flexibili și subiectivi.

În plus, un fapt care nu se poate schimba în interacțiunea cu tehnologia este că majoritatea computerelor au capacități care le depășesc pe cele umane – viteza și puterea de calcul fiind unele dintre cele mai evidente. Rezultă că moderatorul interacțiunii cu o astfel de tehnologie este tot omul, adevăr asumat ca o încurajare, nu ca o resemnare.

Apelul la responsabilitate răsună tot mai puternic, în timp ce vulnerabilitățile ies la iveală în valuri. Realitatea este că ele implică o combinație specială între ingeniozitate din partea cercetătorilor și slăbiciuni by design ale computerelor în general și ale modelelor de inteligență artificială în particular.