Systemy rozpoznawania twarzy są w użyciu od pewnego czasu. Dotychczas uchodziły za skuteczny sposób identyfikowania tożsamości użytkowników – na przykład pracowników albo hotelowych gości. Niestety hakerzy rozpoczęli wzmożone prace zmierzające do obejścia tego rodzaju zabezpieczeń. Choć eksperci od lat ostrzegali przed słabymi stronami tej technologii, dopiero ostatnio tak bardzo oczywistą stała się potrzeba jej udoskonalenia.
Zajmująca się weryfikowaniem tożsamości firma ID.me twierdzi, że przez ostatni rok w samych Stanach Zjednoczonych podjęto tysiące prób oszukania systemu identyfikacji twarzy, aby wyłudzić od stanowych agencji pracy zasiłek dla bezrobotnych. ID.me pracuje dla 26 amerykańskich stanów, dostarczając oprogramowanie służące identyfikacji twarzy. Od czerwca 2020 roku do stycznia 2021 odnotowała przeszło 80 tysięcy prób oszustwa w rządowych agencjach stosujących jej systemy. Szef firmy Blake Hall wskazał, że wśród podejmowanych sposobów były specjalne maski, deepfakes – czyli żywe obrazy generowane przez sztuczną inteligencję, a także mniej zaawansowane technologicznie podstawianie zdjęć lub nagrań innych ludzi.
Rozpoznawanie twarzy to obecnie jedno z częstszych zastosowań sztucznej inteligencji. Identyfikacja na tej podstawie umożliwia między innymi płacenie za pomocą telefonu komórkowego, przechodzenie przez kontrolę paszportową czy identyfikowanie pracowników. Firma Uber Technologies stosuje system rozpoznawania twarzy Microsoftu, by sprawdzać swoich kierowców na podstawie ich zdjęć telefonem. Taki system identyfikacji wprowadzono z powodu wcześniejszych procederów udostępniania swoich kont innym użytkownikom/kierowcom. Jednak Uber nie chce komentować swoich posunięć.
Systemy identyfikacji twarzy sprzedaje zarówno amerykański gigant Amazon, jak i mniejsi dostawcy: Idemia Group S.A.S., Thales Group i AnyVision Interactive Technologies Ltd. Technologia ta polega na mapowaniu twarzy, by uzyskać tak zwany biometryczny odcisk twarzy. W przypadku pojedynczych osób identyfikacja bywa całkiem dokładna, mniejszą sprawdzalność wykazuje identyfikacja osób z tłumu. Naukowcy przestrzegają jednak, że ten sposób identyfikacji ma pewne ograniczenia.
Po co oszukiwać systemy rozpoznawania twarzy?
Sztuczna inteligencja potrafi obecnie tworzyć zupełnie nowe twarze poprzez połączenie cech budowy różnych osób. Niektórzy nazywają rezultaty takiej pracy „twarzami Frankensteina”. Służą one – między innymi – oszukiwaniu systemów identyfikacji twarzy.
Analitycy firmy Experian PLC, która zajmuje się oceną wiarygodności kredytowej, opublikowali w marcu raport dotyczący bezpieczeństwa. Stwierdzili w nim, że „twarze Frankensteina” coraz częściej stają się elementem różnych strategii przestępstw finansowych. Łącząc prawdziwe i fałszywe informacje, przestępcy tworzą nową, syntetyczną tożsamość, która służy im do wyłudzania pieniędzy.
Oszukiwanie systemu rozpoznawania twarzy było do niedawna celem aktywistów, którzy w ten sposób występowali przeciwko rządowej i korporacyjnej inwigilacji. W Wielkiej Brytanii, gdzie rozpoznawanie twarzy powiązane jest z miejskim monitoringiem, grupy aktywistów protestowały, używając specjalnego, asymetrycznego makijażu, mającego zmylić oprogramowanie.
Alex Polyakov, dyrektor generalny firmy zajmującej się badaniami nad bezpieczeństwem sztucznej inteligencji – Adversa.ai, uważa jednak, że to przestępcy mają obecnie więcej powodów, by zainteresować się oszukiwaniem takich systemów. Podszywanie się pod cudze twarze może dać im dostęp do cyfrowych portfeli zainstalowanych na smartfonach, a także umożliwić wejścia do strzeżonych części hoteli, szpitali czy centrów biznesowych. Choć przedsiębiorcy ochoczo zastępują ochroniarzy kamerami rozpoznającymi twarze, Polyakov przestrzega, że rozwiązanie to nie jest do końca bezpieczne, a jemu samemu udało się oszukać takie systemy, zakładając specjalne okulary czy zwykły opatrunek.
Zagrożenie jest coraz większe
Pomysł oszukiwania systemów identyfikujących twarze nie jest nowy. W 2017 roku klient firmy ubezpieczeniowej Lemonade przebrał się w blond perukę, pomalował usta szminką i na podstawie nagrania wideo próbował oszukać sztuczną inteligencję, twierdząc, że skradziono mu kamerę o wartości 5 tysięcy dolarów. Oparty na sztucznej inteligencji system firmy Lemonade przeanalizował nagranie i uznał, że film mógł zostać spreparowany, a mężczyzna próbował przybrać fałszywą tożsamość. Firma opublikowała wyniki swojego dochodzenia na blogu, zaznaczając też, że mężczyźnie już wcześniej udało się dzięki przebraniu oszukać ubezpieczyciela.
To jednak wydaje się drobną sprawą wobec oskarżenia przez chińską prokuraturę dwóch osób o kradzież ponad 77 milionów dolarów. Oszustwo miało opierać się na fałszywej firmie sprzedającej skórzane torby i wystawiającej lewe faktury. W marcu „Xinhua Daily Telegraph” tłumaczyło, że faktury wyglądały na wiarygodne dzięki systemowi rozpoznawania twarzy lokalnego urzędu podatkowego, który parze udało się oszukać. System w zamierzeniu miał umożliwić śledzenie płatności i walkę z uchylaniem się od nich. Prokuratorzy informowali, że przestępcy oszukali system za pomocą sfabrykowanych filmów. Najpierw zakupili zdjęcia autentycznych twarzy w wysokiej rozdzielczości na czarnym rynku, a później użyli aplikacji deep fake, za pomocą której można wyprodukować filmy ze zdjęć – dodać do nich ruchy głową, mruganie czy otwieranie ust. Wykorzystywali też specjalny telefon komórkowy, który wyłączał faktyczny obraz z przedniej kamery i podpinał pod niego spreparowane filmy, robiąc fałszywe selfie, wprowadzili je do bazy danych szanghajskiego systemu podatkowego. Według tamtejszej prokuratury duet Wu i Zhou działał w ten sposób od 2018 roku.
John Spencer, główny strateg zajmującej się biometryką firmy Veridium LLC, uważa jednak, że skomplikowane oprogramowanie czy zmodyfikowany sprzęt nie zawsze są konieczne, by oszukać system rozpoznawania twarzy. Najczęściej wykorzystuje się do tego tak zwany atak prezentacyjny. Polega on na wydrukowaniu zdjęcia czyjejś twarzy i wycięcia w nim otworów w miejscu oczu. Tak przygotowane zdjęcie używane jest, jak maska. Sporo systemów rozpoznawania twarzy – w tym te używane przez platformy finansowe – bada mrugnięcia lub ruchy oczu, by sprawdzić, czy mają do czynienia z faktyczną osobą, a nie tylko z jej zdjęciem. Jeśli zdjęcie się zgadza, a do tego na nagraniu widać ruchy oczu, zabezpieczenia można ominąć. Zespół Spencera w ten właśnie sposób testował słabe punkty systemów rozpoznawania twarzy, niekiedy nawet zaginając papierową maskę tak, by przypominała ludzką twarz w trójwymiarze. „Złamanie niemal każdego z tych systemów zajmuje nam najwyżej godzinę” – przyznaje.
Eksperci uważają, że najtrudniej oszukać Face ID od Apple. Technologię tę wprowadzono w roku 2017, instalując ją w nowym wówczas iPhonie X. Wykorzystuje ona między innymi podczerwień. Ponad 30 tysięcy niewidzialnych punktów rzutowanych jest na twarz, a następnie jej głębia mapowana przez system. W kolejnym etapie uzyskane dane porównywane są z zapisaną na urządzeniu bazą danych. Apple twierdzi, że ze względu na ochronę prywatności użytkowników, dane z Face ID nie są gromadzone ani przechowywane przez firmę, pozostają wyłącznie w pamięci telefonu.
Spencer zaznacza jednak, że niektóre banki i firmy z sektora finansowego, których aplikacje działają na iPhone’ach, korzystają z zewnętrznych systemów identyfikacji twarzy, a nie ze wbudowanego Face ID. Naraża to użytkowników na zmniejszenie bezpieczeństwa. „W takim wypadku patrzysz w zwykłą kamerę telefonu. Bez podczerwieni, bez projektora kropek”.
Wiele banków podczas zawierania umów i transakcji online prosi użytkowników o przesłanie zdjęcia prawa jazdy albo paszportu oraz wideo z widoczną twarzą, a następnie za pomocą programów porównuje nadesłane wideo z dokumentem. W przypadku błędów czy niejednoznacznego wyniku w programie materiały czasem weryfikowane są przez pracowników.
Co można z tym zrobić?
Polyakov ma duże doświadczenie z systemami rozpoznawania twarzy, regularnie testuje je dla swoich klientów. Jego zdaniem można zabezpieczyć je przed oszustwem na dwa sposoby. Pierwszy polega na aktualizacji sztucznej inteligencji, zmianie algorytmów, na których się opiera. Drugi sposób to uczenie SI rozpoznawania także zmienionych twarzy – właśnie jako zmienionych i dzięki temu nauczenie systemu sytuacji, w których ktoś chce go oszukać.
Drugi sposób wydaje się obiecujący, ale do jego uskutecznienia potrzeba bardzo dużej liczby obrazów, do czego potrzeba czasu i środków finansowych. „Aby system mógł poznać wszystkie kombinacje, dla każdego człowieka trzeba dodać osobę w innych okularach, w innym kapeluszu itd.” – mówi Polyakov.
Firma Polyakova przeprowadziła drobiazgową analizę ponad 2 tysięcy prac naukowych dotyczących bezpieczeństwa technologii sztucznych inteligencji. Na jej podstawie Google, Facebook, Apple i inne firmy prowadzą prace nad zapobieganiem atakom prezentacyjnym. Facebook już zapowiedział implementację nowej technologii wykrywania deep fake’ów.
Hall z ID.me uważa, że jego firma w lutym zatrzymała niemal wszystkie próby podrabiania selfie na amerykańskich stronach rządowych. Podjęto miliony takich prób, a liczba udanych szacowana jest raptem na kilka. Do podniesienia wykrywalności oszustw przyczynić się miało oznaczanie zdjęć jako fałszywych oraz śledzenie urządzeń, adresów IP i numerów telefonów, które powtarzały się na wielu fałszywych kontach. Obecnie dodano jeszcze system oceniający prawidłowe odbicie światła smartfona od skóry lub innego materiału widocznego na zdjęciu. Ilość podejmowanych prób fałszowania twarzy wydaje się maleć. „Przestępcy zwykle nie chcą pokazywać swojej prawdziwej twarzy, gdy popełniają przestępstwo” – podsumowuje Hall.
