Nunca podemos pensar que estamos seguros com as medidas que, supostamente, foram criadas para nos ajudar. Aliás, a internet todos os dias nos mostra isso. Por exemplo, quer publicar no seu Facebook, ou no seu blog, uma imagem com o seu novo cartão de crédito que tem o símbolo do seu clube lá estampado. Tira a foto, faz um desfocar ou coloca um borrão em cima dos números do cartão e publica. Pois é, mas isso pode ser apenas o princípio da sua dor de cabeça.
Quem diz os números de um cartão, diz o rosto numa fotografia ou um qualquer dado privilegiado. Agora há uma nova técnica, que recorre à aprendizagem automática, que consegue decifrar as imagens desfocadas ou pixelizadas da internet.
IA pode adivinhar o que está desfocado numa imagem
Já sabemos que nunca podemos dar nada como adquirido na internet. Muito menos no que toca à segurança. É profundamente utópico pensarmos em total segurança na internet. Um exemplo, a acrescentar a tantos outros que já sabemos, chega-nos para nos mostrar que as ações de “desfocar ou borrata”, com a intenção de esconder algo, podem não servir para nada.
Segundo o que veio agora a público, utilizando ferramentas simples de aprendizagem profunda, uma equipa da Universidade do Texas em Austin e da Universidade de Cornell, conseguiu identificar rostos e números desfocados com uma precisão alarmante. Num conjunto de dados padrão da indústria em que os humanos tinham 0,19% de probabilidade de identificar um rosto, o algoritmo tinha 71% de precisão (ou 83% se permitido adivinhar cinco vezes).
O algoritmo não produz uma imagem sem o desfocado – simplesmente identifica o que vê na foto obscurecida, com base em informação que já conhece. A abordagem funciona com imagens desfocadas e pixelizadas, assim como P3, um tipo de encriptação JPEG usado como uma forma segura de esconder informação.
Conforme é referido, desde há uns anos que estas ferramentas especializadas para ver através de desfocagem e pixelização têm aparecido. Um exemplo é o trabalho do Instituto Max Planck na identificação de pessoas em fotos desfocadas do Facebook. O que distingue a investigação da equipa do Universidade do Texas e da Universidade de Cornell é a sua simplicidade.
O ataque utiliza Torch (uma biblioteca de código aberto de aprendizagem profunda), modelos Torch para redes neuronais, e dados padrão de código aberto.
Como funciona este “ataque” à informação escondida?
Para construir os ataques que identificaram rostos em vídeos do YouTube, os investigadores tiraram fotografias disponíveis ao público e desfocaram os rostos com a ferramenta de vídeo do YouTube. Em seguida, alimentaram o algoritmo de ambos os conjuntos de imagens, para que pudesse aprender a correlacionar os padrões de desfocagem com os rostos desobstruídos.
Quando dadas imagens diferentes das mesmas pessoas, o algoritmo podia determinar a sua identidade com 57% de precisão, ou 85% quando se lhes davam cinco hipóteses.
Basicamente este processo é semelhante ao ataque de palavras-passe de dicionário ou, como é trivialmente conhecido, um ataque de força-bruta. Isto é, o algoritmo tentará usar todas as palavras de um idioma, mesmo com derivações conhecidas, para tentar acertar na palavra-passe, como é ilustrado pelo site Sudo null.
Segundo referem dois dos alunos envolvidos no trabalho, Richard McPherson e Vitaly Shmatikov, empresas como o YouTube, que recomendam técnicas de desfocagem, devem deixar claro que as suas medidas de privacidade protegem apenas as informações de humanos, não de máquinas ou adversários determinados.
Então como se pode esconder algo para não ser identificado?
Já que o desfocar dá pistas sobre o que está por trás, a melhor forma é colocar barrar opacas. Desta forma, a máquina não terá forma de procurar um padrão, uma imagem de comparação.
Se colocar um cartão, um bilhete de um concerto, de avião, ou simplesmente a sua identificação, coloque por cima uma barra sólida, conforme imagem a cima. Ou melhor, evite essas publicações, não se exponha.