I Deepfake sono il futuro del cybercrimine?
Nel 2020 ne sentiremo parlare sempre di più. All'inizio innocenti dimostrazioni tecnologiche, ma oggi sempre più spauracchio futuro della Cyber Security.
Nel 2020 sentiremo parlare sempre di più dei Deepfake, soprattutto per quanto riguarda il mondo della Cyber Security.
Certo l’arte del fotomontaggio non è nulla di nuovo, ma l’avanzare inesorabile della tecnologia e – soprattutto – il sempre più massiccio impiego della biometria come strumento di autenticazione in moltissimi ambiti avrà un impatto sempre più significativo nella sfera della sicurezza informatica.
Sono già stati registrati i primi tentativi di utilizzare l’intelligenza artificiale per perfezionare i deepfake e renderli convincenti a tal punto da offuscare il confine tra truffa o messaggio legittimo per le vittime. Non c’è dubbio che questa tecnologia renderà ancora più complesso l’ambito applicativo e il vero riconoscimento facciale, situazione paradossale e potenzialmente rischiosa, vista la sempre più ampia diffusione, come accennato, della tecnologia in ambiti che variano dalla tecnologia consumer – si pensi agli Smartphone – a quella più propriamente orientata alla sicurezza vera e propria come gli scan aeroportuali per l’identificazione dei viaggiatori. Non è difficile speculare come l’adozione di queste soluzioni poterà all’emergere di contro di un nuovo vettore di attacco a esso legate: l’utilizzo dei deepfake per bypassare il riconoscimento facciale. Questo è stato già messo in conto, visto l’incremento continuo della capacità dei computer di elaborare rapidamente numerosi dati biometrici di un volto e di ricostruire matematicamente le fattezze umane. Per fare questo i Criminal Hacker hanno cominciato a sperimentare con l’utilizzo di una tecnologia nota come GAN (generative adversarial networks) per creare questi volti iperrealistici e rendere ancora più complesso il distinguere tra realtà e truffa.
Il riconoscimento facciale ha già un grosso problema
Nonostante la sua crescente adozione, il riconoscimento facciale è afflitto da alcuni problemi di sicurezza che esulano dal problema emergente dei deepfake, ma che potrebbero potenzialmente favorirlo. Secondo uno studio condotto dal Governo degli Stati Uniti d’America la maggior parte dei sistemi presenta forti limitazioni nell’utilizzo legate alla sensibile diminuzione della precisione nel riconoscimento quando si tratta persone di colore, generi diversi e fasce d’età. Il National Institute of Standards and Technology (NIST), che ha portato avanti la ricerca ha dimostrato questo con prove empiriche.
Un metodo facilmente replicabile
Come tantissimi metodi di hacking anche l’utilizzo del Deepfake a fini di truffa – è facile speculare – conoscerà una sua democratizzazione. Certo, sarà sempre richiesta una certa esperienza con l’informatica per creare dei Deepfake, ma gli strumenti saranno in breve tempo in mano anche ai neofiti, aumentando di conseguenza il rischio legato a questa minaccia.
Uno studioso di un’università americana, per dimostrare questo assunto, ha sperimentato facendo un corso accelerato per capire come funzionano i software in grado di generare i Deepfake. In sole due settimane è riuscito a ricreare un Deepfake che sostituiva il volto di Mark Zuckerberg con un quello di un noto personaggio di Star Trek. Materialmente il tutto è costato poco più di 500 dollari e l’appoggio di un computer con una discreta potenza, ma nient’altro; e questo era solo il primo tentativo…
Le possibilità dell’insorgere di un’ondata di attacchi che fanno leva sul Deepfake è tutt’altro che remota; e non solo da parte di attori esterni, ma anche come strumento utilizzato da possibili insider threat come dipendenti scontenti o contractor. C’è anche il rischio concreto che i Deepfake vengano trasformati in armi nel mondo della guerra di informazione. Basti pensare alla quantità di video prodotti ogni giorno da media e team social – per esempio – di un candidato politico. Utilizzando gli algoritmi di Machine-Learning alla base dei Deepfake potrebbero essere create intere campagne diffamatorie per screditare un partito politico o un Paese intero!
Il pericolo è vicino, ma non ancora qui
Anche se il pericolo è dietro l’angolo gli attacchi che fanno leva sul Deepfake non si stanno ancora verificando, almeno non ad alto livello e di certo non con grande frequenza. In questo momento stiamo vedendo cosa potrebbe accadere, soprattutto con esempi ed esperimenti.
Quindi si tratta di un Cyber attacco che stiamo ancora osservando e affrontando in maniera preventiva piuttosto che in reazione, con la speranza che gli strumenti siano pronti al più presto.
Ma anche gli aggressori e la tecnologia non sono ancora arrivati, fortunatamente, al giusto punto di maturazione.
Anche se un aggressore può utilizzare tecniche di Deepfake per emulare in modo convincente le sembianze di un individuo, è ancora difficile impersonare digitalmente la voce senza imperfezioni abbastanza evidenti.
Inoltre, al momento, l'audio o il video Deepfake non può essere elaborato in tempo reale senza che un aggressore disponga di un grande volume di risorse computazionali e di molto materiale audio e video di alta qualità per addestrare gli algoritmi di apprendimento dei computer.
Anche se i deepfake possono essere convincenti per gli altri esseri umani, non sono, al momento, in grado di superare la verifica biometrica fisica o passiva.
Quindi la combinazione della rilevazione di liveness (la tecnica utilizzata per determinare se il soggetto in video è realmente una persona) insieme alla raccolta di segnali biometrici passivi e fisici per verificare l'identità di un utente, riesce per il momento a mitigare i rischi presentati, per esempio, nelle transazioni bancarie.
Ciononostante il rischio è comunque dietro l’angolo, sottovalutarlo sarebbe sciocco quanto potenzialmente catastrofico…