20 de de setembre de 2016

El pixelat ha sigut durant molt de temps la tècnica per amagar la majoria de les parts privades dels mitjans visuals. Les parts borroses de text o cares i matrícules obscurides apareixen en les notícies, en documents escrits i en línia. No és elegant, però ha funcionat suficientment bé perquè la gent no pot veure o llegar a través de la distorsió. No obstant, el problema és que els humans ja no som els únics que podem reconéixer magistralment les imatges. A mesura que la visió per ordinador es fa cada vegada més forta, està començant a vore coses que nosaltres no podem.

Investigadors de la Universitat de Texas en Austin i Cornell Tech diuen que han entrenat una peça de software que pot posar en perill els beneficis de la privacitat de les tècniques d’emmascarament de contingut estàndard, com la distorsió i el pixelat, en haver aprés a llegar o vore el que es suposa que està amagat en les imatges (des del número borrós d’una casa fins a la imatge d’una cara pixelada en el fons d’una foto).

L’equip va descobrir que els mètodes d’aprenentatge automàtic de les màquines (el procés d’entrenar un ordinador amb una sèrie de dades com exemple, en lloc de programar-lo) s’han prestat fàcilment a aquest tipus d’atac.

Els investigadors han sigut capaços de derrotar tres tecnologies de protecció de privacitat, començant amb la pròpia ferramenta de distorsionar de YouTube. YouTube permet als seus usuaris seleccionar objectes o figures que vulguen desdibuixar, però l’equip utilitzà el seu atac per a identificar cares distorsionades en els vídeos. Un altre exemple del seu mètode és quan els investigadors atacaren el pixelat. Per a crear diferents nivells de pixelat, utilitzaren la seua pròpia aplicació d’una tècnica de pixelat estàndard que els investigadors digueren que es podia trobar en Photoshop i en altres programes comuns. I, finalment, atacaren una ferramenta anomenada Privacy Preserving Photo Sharing (P3), que encripta les dades d’identificació en fotos .JPEG per a que els humans no poguem vore la imatge general, mentre deixen altres components nítids per a que els ordinadors puguen fer coses amb els arxius, com comprimir-los.

Per a executar els atacs, l’equip entrenà xarxes neuronals per al reconeixement d’imatge proporcionant, per al seu anàlisi, dades de quatre conjunts d’imatges grans i conegudes. Quantes més paraules, cares u objectes “veja” una xarxa neuronal, millor és a l’hora de localitzar el blanc. Una volta que les xarxes neuronals han aconseguit un 90% de precisió o han millorat en identificar objectes rellevants en les imatges, els investigadors obscuriren les imatges utilitzant les tres ferramentes de privacitat i, després, entrenaren les seus xarxes neuronals per a interpretar les imatges borroses i pixelades basades en el coneixement de les originals.

Finalment utilitzaren proves d’imatges obscurides a les que les xarxes neuronals encara no havien sigut exposades de ninguna forma per vore si el reconeixement d’imatge podia reconéixer cares, objectes i números escrits a mà. Si els ordinadors hagueren identificat mitjançant l’endevinalla de forma aleatòria les cares, formes i nombres, els investigadors calcularen que la mitjana d’èxit de cada test hauria sigut del 10% com a molt i, com a poc, un 5%. El que significa que fins i tot un índex d’èxit baix en la identificació era millor que esbrinar.

Fins i tot si el mètode d’aprenentatge de la màquina del grup no sempre accedirà als efectes de redacció d’una imatge, encara representa un fort colp per al pixelat i la distorsió com a ferramenta de privacitat, diu Lawrence Saul, un investigador d’aprenentatge automàtic en la Universitat de California, San Diego. “Amb l’objectiu de derrotar la privacitat, no necessites en realitat mostrar que el 99,9% de les voltes pots reconstruir una imatge o un tros de text”, diu Saul. “Si el 40% o el 50% de les voltes poden endevinar la cara o esbrinar què és el text, aleshores és suficient per a dictaminar que el mètode de privacitat és obsolet”.

El principal objectiu dels investigadors és avisar a les comunitats de privacitat i seguretat de que els avanços en aprenentatge automàtic com a ferramenta per a la identificació i col·lecció de dades no es pot ignorar. Saul indica que hi ha formes de defensar-se d’este tipus d’atacs, com usar caixes negres que ofereixen una cobertura total en lloc de distorsions d’imatges que deixen contingut darrere.

Article original publicat a Wired.