CycleGAN: Bildübersetzungsalgorithmus täuscht Gesichtserkennung

CycleGAN: Sicherheitsforscher haben eine Studie veröffentlicht, in der sie aufzeigen, wie man Gesichtserkennungssysteme umgehen kann.

face recognition, CycleGAN
face recognition, CycleGAN Foto Ryan Somma, thx! (CC BY 2.0)

Sicherheitsforscher von McAfee haben eine Studie veröffentlicht. In der zeigen sie auf, wie moderne Gesichtserkennungssysteme umgangen werden können. Hierbei werden Schwachstellen in Algorithmen für maschinelles Lernen ausgenutzt. Der in der Forschung verwendete Bildübersetzungsalgorithmus CycleGAN verleitet das System zu der Annahme, dass es eine völlig andere Person sieht. In der Praxis könnte man sich auf diese Weise einer automatisierten Personenkontrolle am Flughafen entziehen.

Der Forschungsartikel trägt den Titel „Dopple-Ganging Up on Facial Recognition System“. Die Verfasser sind Steve Povolny, Leiter der McAfee Advanced Threat Research, und Jesse Chick, OSU Senior. Beide hatten sich eingehend mit modernsten Algorithmen für maschinelles Lernen befasst und eng mit dem Advanced Analytics-Team von McAfee zusammengearbeitet, um einen Ansatz zu entwickeln, mit dem sich Gesichtserkennungssysteme täuschen lassen.

Gesichtserkennungssysteme lassen sich austricksen

Zu Forschungszwecken entwickelte McAfee ein fortschrittliches Gesichtserkennungssystem, das genau auf die auf Flughäfen eingesetzten Passüberprüfungssysteme abgestimmt ist. Die Forscher verwendeten Bilder von zwei Personen (den Projektleitern) – A (Steve) und B (Jesse). Das Ziel war es, Jesse auf seinem Passfoto wie Jesse aussehen zu lassen und dennoch als Steve eingestuft zu werden und umgekehrt.

Mittels solcher Methoden, wie „Model Hacking“ oder „Adversarial Machine Learning“ (AML), versuchten sie, KI-Modelle durch die Bereitstellung täuschender Eingaben auszutricksen. Das Forschungsteam verwendete ein GAN-Framework namens CycleGAN. Damit gelang es problemlos, ein Bild in das andere zu übersetzen.

In der Umsetzung speiste das Team jeweils 1.500 Fotos der beiden Projektleiter in das CycleGAN-System ein. Gleichzeitig verwendeten sie den Gesichtserkennungsalgorithmus, um die generierten Bilder des CycleGAN zu überprüfen und festzustellen, wen es erkannt hat. Infolge erzeugten sie nun Hunderte von Bildern und sie hatten schließlich Erfolg. Das System erkannte ein solches Mischbild als Jesse, obwohl es für einen Menschen wie Steve aussah und umgekehrt. Das angestrebte Ziel hat man somit erreicht.


Resumee der Forscher

Mit diesen Mischbildern war McAfee letztendlich in der Lage, das Gesichtserkennungssystem zu „modellieren“, wodurch eine Person als völlig andere Person falsch klassifiziert wurde, ohne das fotorealistische Erscheinungsbild der ursprünglichen Person zu beeinträchtigen.

Steve Povolny führt zum Thema CycleGAN aus:

„Wenn wir vor eine Live-Kamera treten, die Gesichtserkennung verwendet, um zu identifizieren und zu interpretieren, wen sie betrachtet, und diese mit einem Passfoto vergleicht, können wir diese Art der gezielten Fehlklassifizierung realistisch und wiederholt verursachen“.

„Der Rückgriff auf automatisierte Systeme und maschinelles Lernen ohne Berücksichtigung der inhärenten Sicherheitsmängel, die in der inneren Mechanik der Gesichtserkennungsmodelle vorhanden sind, könnte Cyberkriminellen einzigartige Möglichkeiten bieten, kritische Systeme, wie die automatisierte Passkontrolle zu umgehen“, so die Forscher.

Nachdem sie den Nachweis erbracht haben, suchen sie künftig nach einer engen Zusammenarbeit mit den System-Anbietern, um deren Sicherheit zu verbessern.

Wegen Covid-19 kommen aktuell tatsächlich auf Flughäfen verstärkt Gesichtserkennungssysteme zum Einsatz. Allerdings haben die Forscher auf Praxistests mit auf Flughäfen eingesetzten Gesichtserkennungssystemen verzichtet.

Weitere Ansätze

Es gibt zudem noch andere technische Versuche als CycleGAN, die Gesichtserkennung zu untergraben. Forscher des Sand Lab der Universität von Chicago haben eine Technik entwickelt, mit der Fotos von Menschen unmerklich so verändert werden können, dass sie die Funktionsweise von Gesichtserkennungssystemen sabotieren. Dieses Projekt trägt den Namen Fawkes in Anlehnung an die Anonymous-Maske im Graphic Novel und Film V for Vendetta. Es handelt sich um ein Tool, mit dem man Gesichter „tarnen“ kann, indem man eigene Fotos leicht verändert, um die KI-Systeme zu täuschen.

Tarnkappe.info

Ich bin bereits seit Januar 2016 Tarnkappen-Autor. Eingestiegen bin ich zunächst mit Buch-Rezensionen. Inzwischen schreibe ich bevorzugt über juristische Themen, wie P2P-Fälle, greife aber auch andere Netzthemen, wie Cybercrime, auf. Meine Interessen beziehen sich hauptsächlich auf Literatur.