Audio-hacking: wanneer de film werkelijkheid wordt

Andermans stemmen klonen zoals in Mission:Impossible? Geen gekke gedachte sinds AI-tools die binnen 3 seconden een akelig goede imitatie ten beste geven van een willekeurige stem. Een robot die concludeert dat de mensheid een gevaar voor zichzelf vormt en ingrijpt zoals in I, Robot? De huidige black box van veel AI-oplossingen maakt dit minder fictief dan we zouden willen.

En soms lees je nieuwsberichten die niet zouden misstaan in een film. Bijvoorbeeld over Britse onderzoekers die met behulp van AI op basis van typegeluid konden achterhalen wat er precies getikt werd: Acoustic Side Channel Attacks. Je kunt je voorstellen wat hiervan de gevolgen kunnen zijn voor bijvoorbeeld bedrijfsspionage. Tom Cruise, kom er maar in…

Maar voordat we in de paniekmodus schieten, is het goed om rustig adem te halen en van een afstandje te bekijken hoe groot deze dreiging daadwerkelijk is. En dan blijkt dat audio-hacking voor veel bedrijven waarschijnlijk een Hollywood-scenario zal blijven.

Lab versus kantoortuin

Om het typegeluid te kunnen afluisteren, zijn er namelijk ideale omstandigheden nodig. Iets dat in een laboratorium eenvoudiger te realiseren is dan in een kantoortuin. Vervolgens moet een hacker niet alleen op de een of andere manier het geluid weten af te luisteren, hij moet deze geluiden ook kunnen matchen met wat er wordt getikt. Anders is er geen vertaling van getikt geluid naar geschreven tekst mogelijk.

En let wel: het principe van audio-hacking bestaat al sinds 1950, het is de toevoeging van AI die het nu effectief maakt.

Maar AI of geen AI, het vergt nogal wat inspanning om audio-hacking voor elkaar te krijgen. Inspanning die bij het gros van de huis-, tuin- en keukengebruikers (no offense) teveel moeite is voor een hacker. Wat niet wegneemt dat er wel degelijk werknemers en organisaties zijn die voor hackers wel de investering waard zijn. Denk aan politici, bestuurders, ambtenaren, noem maar op. Voor het achterhalen van contextuele informatie vormt deze nieuwe vorm immers wel degelijk een potentieel gevaar. Interne mailwisselingen over gevoelige onderwerpen, onderzoeksrapporten die niet voor de buitenwacht bedoeld zijn of bedrijfskritische informatie – daarvan wil je niet dat anderen dit mee kunnen lezen.

Basisprincipes

Maar voor ons eenvoudige gebruikers lijkt het erop dat het in acht nemen van de basisprincipes van security op dit moment nog voldoende bescherming biedt, mocht een hacker toch een poging willen wagen. Denk daarbij aan multi-factorauthenticatie, een goede back-upstrategie en sterke wachtwoorden.

Met name dat laatste kan vervelende verrassingen voorkomen. Wanneer een hacker denkt te ‘horen’ dat een wachtwoord ‘Pessword01!’ is, zal het weinig fantasie kosten om het echte wachtwoord te achterhalen.

Het eerste slachtoffer van een audio-hack moet nog komen, voorlopig is dat nog iets dat je alleen in films ziet (Guus Meeuwis, kom er maar in…). Maar dat betekent niet dat je de aandacht kunt laten verslappen en basismaatregelen achterwege kan laten. Ook hackers kijken graag films namelijk.