GIF-Afbeelding: Sam Woolley/Gizmodo
Vorig jaar twee data-onderzoekers van beveiligingsbedrijf ZeroFOX voerde een experiment uit om te zien wie is beter in staat om Twitter-gebruikers om te klikken op kwaadaardige links, de mens of een kunstmatige intelligentie. De onderzoekers leerden een AI te bestuderen van het gedrag van gebruikers van sociale netwerken en het ontwerpen en de uitvoering van haar eigen phishing aas. In de tests, de kunstmatige hacker was substantieel beter dan de menselijke concurrenten, samenstellen en verspreiden van meer phishing tweets dan de mens, en met een aanzienlijk betere conversieratio.
De AI, de naam SNAP_R, verzonden gesimuleerde spear-phishing tweets van meer dan 800 gebruikers op een tarief van 6,75 tweets per minuut, lokken 275 slachtoffers. Door contrast, Forbes schrijver Thomas Vos-Brewster, die hebben deelgenomen aan het experiment, was alleen in staat om de pomp uit 1.075 tweets per minuut, waardoor slechts 129 pogingen en lokken in slechts 49 gebruikers.
Gelukkig was dit slechts een experiment, maar de oefening bleek dat hackers zijn al in een positie om het gebruik van AI voor hun snode eindigt. En in feite, zijn ze waarschijnlijk al gebruik van, maar het is moeilijk te bewijzen. In juli, op de Black Hat USA 2017, honderden toonaangevende cybersecurity-experts verzameld in Las Vegas om dit probleem bespreken en andere dreigende dreiging van opkomende technologieën. In een Cylance poll gehouden tijdens de confab, de deelnemers is gevraagd of criminele hackers gebruiken AI voor offensieve doeleinden, in het komende jaar, waarvan 62 procent antwoordde bevestigend.
Het tijdperk van kunstmatige intelligentie is op ons, maar als dit informele Cylance poll is om geloofd te worden, een verrassend groot aantal van infosec professionals weigeren te erkennen het potentieel voor AI te worden bewapende door hackers in de nabije toekomst. Het is een verbijsterende standpunt gezien het feit dat veel van de cybersecurity-experts die we spraken, zei machine-intelligentie wordt al gebruikt door hackers en criminelen zijn meer geavanceerde in hun gebruik van deze opkomende technologie dan veel mensen zich realiseren.
“Hackers zijn met behulp van kunstmatige intelligentie als een wapen voor geruime tijd,” zei Brian Wallace, Cylance Leiden Beveiliging Gegevens Wetenschapper, in een interview met de Vlieger. “Het maakt totaal gevoel omdat hackers hebben een probleem van schaal, proberen aan te vallen als veel mensen als ze kunnen, raken zo veel doelen mogelijk, en al die tijd proberen om het verminderen van risico’ s voor zichzelf. Kunstmatige intelligentie en machine learning in het bijzonder, is een perfecte tool om te gebruiken op hun einde.” Deze tools, zegt hij, kan beslissingen nemen over de aan te vallen, die aan te vallen, als om aan te vallen, en zo verder.
Schalen van intelligentie
Marc Goodman, auteur van Toekomstige Misdrijven: Alles Is Verbonden, Iedereen Is Kwetsbaar en Wat We eraan Kunnen Doen, zegt hij, is niet verbaasd dat zo veel Zwarte Hoed deelnemers zien bewapende AI als dreigend, want het is een onderdeel van cyberaanvallen voor jaren.
“Wat doet lijkt me een beetje vreemd is dat 62 procent van infosec professionals zijn het maken van een AI-voorspelling,” Goodman vertelde Gizmodo. “AI wordt bepaald door veel verschillende mensen op verschillende manieren. Ik zou dus willen meer duidelijkheid over specifiek wat ze bedoelen met AI.”
Inderdaad, het is waarschijnlijk op dit onderwerp, waar de meningen van deskundigen uiteen.
Het grappige ding over de kunstmatige intelligentie is dat onze opvatting van het verandert naarmate de tijd verstrijkt, en als onze technologieën in toenemende mate overeen met de menselijke intelligentie in vele belangrijke opzichten. Op het meest fundamentele niveau, intelligentie beschrijft de mogelijkheid van een agent, of het nu biologisch of mechanisch, voor het oplossen van complexe problemen. We hebben veel tools met deze mogelijkheden, en we hebben al geruime tijd, maar wij zijn vrijwel direct beginnen te nemen van deze hulpmiddelen voor verleend zodra ze verschijnen.
Eeuwen geleden, bijvoorbeeld, het vooruitzicht van een rekenmachine die kon crunch nummers miljoenen keren sneller dan een mens zou hebben zeker beschouwd als een radicale technologische vooruitgang, maar nog weinig vandaag zou overwegen het verhaal van de rekenmachine als iets bijzonder. Ook de mogelijkheid om te winnen met schaken werd ooit beschouwd als een hoge merk van de menselijke intelligentie, maar sinds Deep Blue verslagen Garry Kasparov in 1997, deze cognitieve vaardigheid heeft verloren zijn vroegere glans. En zo en zo voort met elk voorbijgaand doorbraak in de AI.
Vergis je niet—moderne tools zoals machine-intelligentie en neurale netwerken zijn een vorm van kunstmatige intelligentie, en om iets anders te geloven is iets wat we doen op onze eigen risico.
Vandaag, snelle-het-vuren ontwikkelingen in machine learning (waarbij systemen leren van data en verbeteren met de ervaring, zonder dat expliciet geprogrammeerd), de verwerking van natuurlijke taal, neurale netwerken (systemen gebaseerd op de menselijke hersenen), en vele andere gebieden zijn ook het verlagen van de bar op onze perceptie van machine-intelligentie. In een paar jaar, kunstmatige persoonlijke assistenten (zoals Siri of Alexa), zelf-rijdende auto ‘ s, en ziekte-diagnose algoritmes ook zal verliezen, ten onrechte, hun AI allure. We starten om deze dingen voor lief en kleineren van deze vormen van AI voor het niet perfect menselijk. Maar vergis je niet—moderne tools zoals machine-intelligentie en neurale netwerken zijn een vorm van kunstmatige intelligentie, en om iets anders te geloven is iets wat we doen op onze eigen risico; als we verwerpen of negeren van de kracht van deze tools kunnen we worden overrompeld door mensen die staan te popelen om te exploiteren AI van het volledige potentieel, hackers opgenomen.
Een gerelateerd probleem is dat de term kunstmatige intelligentie roept futuristische visioenen en sci-fi fantasieën die ver verwijderd zijn van onze huidige realiteit.
“De term AI is vaak verkeerd geïnterpreteerd, met veel mensen denken van Terminator robots proberen te jagen John Connor—maar dat is niet wat AI is,” zei Wallace. “Integendeel, het is een breed onderwerp van studie rond de creatie van verschillende vormen van intelligentie die toevallig een kunstmatige taal.”
Wallace zegt dat er vele verschillende gebieden van AI, met machine learning wordt een bijzonder belangrijke deelverzameling van AI op het huidige moment.
“In onze lijn van het werk, we gebruiken smalle machine learning—dat is een vorm van AI—wanneer het proberen om het toepassen van intelligence een specifiek probleem,” vertelde hij aan Gizmodo. “Zo maken we bijvoorbeeld gebruik van’ machine learning ‘ wanneer het proberen om te bepalen of een bestand of proces nu schadelijk is of niet. We zijn niet proberen om een systeem te maken dat op uit zou draaien naar SkyNet. Kunstmatige intelligentie is niet altijd wat de media en science fiction is afgebeeld als en wanneer we [infosec professionals] praten over AI, we praten over een breed terrein van onderzoek dat veel eenvoudiger en veel minder angstaanjagend.”
Boze overleggingen
Deze moderne hulpmiddelen kan het minder beangstigend dan clichématige Terminator visioenen, maar in de handen van de verkeerde personen, kunnen ze nog steeds behoorlijk eng.
Deepak Dutt, oprichter en CEO van Zighra, een mobile security opstarten, zegt er is een grote kans dat geavanceerde AI zal gebruikt worden voor cyberaanvallen in de nabije toekomst, en dat het misschien al in gebruik is door landen als Rusland, China en enkele Oost-Europese landen. In termen van hoe de AI kan worden gebruikt in de snode manieren, Dutt heeft geen tekort aan ideeën.
“Kunstmatige intelligentie kan worden gebruikt tot mijn grote hoeveelheden van het openbaar domein en het sociale netwerk data te extraheren persoonlijk identificeerbare informatie zoals geboortedatum, geslacht, locatie, telefoonnummers, e-mailadressen, enzovoort, die kan worden gebruikt voor het hacken van [een persoon] – accounts,” Dutt vertelde Gizmodo. “Het kan ook worden gebruikt voor het automatisch controleren van e-mails en sms-berichten, en maak gepersonaliseerde phishing-mails is voor social engineering-aanvallen [phishing-berichten zijn een illegale poging tot het verkrijgen van gevoelige informatie van een nietsvermoedende gebruiker]. AI kan worden gebruikt voor het muteren malware en ransomware meer gemakkelijk, en te zoeken naar meer intelligente en uit te graven en van het uitbuiten van kwetsbaarheden in een systeem.”
Dutt vermoedt dat de AI is al gebruikt voor cyberaanvallen, en die criminelen zijn al met een soort van machine learning mogelijkheden, bijvoorbeeld door het automatisch aanmaken van gepersonaliseerde phishing e-mails.
“Maar wat nieuw is, is de verfijning van AI in termen van de nieuwe machine learning technieken als Deep Learning, die kan worden gebruikt om de scenario’ s die ik zojuist noemde, met een hoger niveau van nauwkeurigheid en efficiëntie,” zei hij. Diep Leren, ook wel bekend als hiërarchische leren, is een subfield van machine learning die gebruik maakt van grote neurale netwerken. Deze is toegepast op computer vision, spraakherkenning, een sociaal netwerk te filteren, en vele andere complexe taken, vaak met het produceren van resultaten superieur aan de menselijke experts.
“Ook de beschikbaarheid van grote hoeveelheden van het sociale netwerk en openbare verzamelingen gegevens (Big Data) helpt. Geavanceerde machine learning en Diep Leren technieken en tools zijn gemakkelijk verkrijgbaar is op open source platformen—dit in combinatie met de relatief goedkope computerinfrastructuur effectief kunt cyberaanvallen met een hogere verfijning.”
Deze dagen, het overweldigende aantal van de cyber-aanvallen is geautomatiseerd, volgens Goodman. De menselijke hacker gaat na een individuele target is veel zeldzamer, en de meer algemene aanpak nu is het automatiseren van aanvallen met tools van AI en machine learning—alles van scripted Distributed Denial of Service (DDoS) – aanvallen om ransomware, criminele chatbots, enzovoort. Hoewel betoogd kan worden dat de automatisering is fundamenteel dom (omgekeerd, een zaak kan worden gemaakt dat sommige vormen van automatisering, met name die waarbij de grote sets van complexe taken, zijn inderdaad een vorm van intelligentie), met het vooruitzicht van een machine-intelligentie orkestreren van deze geautomatiseerde taken dat is bijzonder verontrustend. Een AI kan leiden tot complexe en zeer gerichte scripts in een tempo en niveau van verfijning ver boven elk individueel menselijk hacker.
Inderdaad, de mogelijkheden lijken bijna eindeloos. Naast de criminele activiteiten reeds beschreven, AIs kan worden gebruikt voor het doel kwetsbare populaties, het uitvoeren van een snelle-het-vuren hacks, het ontwikkelen van intelligente malware, enzovoort.
Staffan Truvé, CEO van het zweedse Instituut voor informatica (SICS) en Chief Scientist bij Opgenomen Toekomst zegt dat, als AI rijpt en wordt het meer een commodity, de “bad guys”, zoals hij het stelt, zal gebruik gaan maken van het verbeteren van de prestaties van de aanvallen, terwijl ook het snijden in de kosten. In tegenstelling tot veel van zijn collega ‘ s, echter, Truvé zegt dat de AI is niet echt te worden gebruikt door hackers op dit moment beweren dat eenvoudiger algoritmen (bijvoorbeeld voor self-modifying code) en automatisering stelsels (bv. inschakelen van phishing) werkt prima.
“Ik denk niet dat de AI heeft nog een standaard onderdeel van de gereedschapskist van de slechteriken,” Truvé vertelde Gizmodo. “Ik denk dat de reden dat we nog niet gezien meer ‘AI’ in aanvallen al is dat de traditionele methodes werken nog steeds—als je krijgt wat je nodig hebt van een goede oude ouderwetse brute force aanpak waarom dan neem het geld en de tijd om over te schakelen naar iets nieuws?”
Over AI AI
Met de AI, nu onderdeel van de moderne hacker-toolkit, verdedigers hebben om te komen met nieuwe manieren van verdedigen van kwetsbare systemen. Gelukkig, security professionals hebben een vrij krachtige en voor de hand liggende oplossingen tot hun beschikking, namelijk kunstmatige intelligentie zelf. Probleem is, dit zal produceren een wapenwedloop tussen de rivaliserende kampen. Geen van beide partijen heeft echt een keuze, als de enige manier om tegen de ander te vertrouwen steeds meer op het ontwerpen van intelligente systemen.
“Heb je eenmaal de slag te gaan met een tegenstander, heb je geen keuze, maar om te gebruiken bewapende AI jezelf.”
“Voor security-experts, dit is Big Data-probleem—we te maken hebben met ton van de gegevens—meer dan een enkel mens zou eventueel kunnen produceren,” zei Wallace. “Heb je eenmaal de slag te gaan met een tegenstander, heb je geen keuze, maar om te gebruiken bewapende AI jezelf.”
Om de concurrentie voor te blijven, Wallace raadt security bedrijven voeren hun eigen onderzoek, en het ontwikkelen van hun eigen bewapende AI om te vechten en het testen van hun verdediging. Hij noemt het “een ijzer scherpt ijzer’ – benadering van computer beveiliging. Het Pentagon ‘ s advanced research vleugel, DARPA, heeft al deze aanpak, het organiseren van de grote uitdagingen in die AI ontwikkelaars pit van hun creaties tegen elkaar op in een virtuele spel van Capture the Flag. Het proces is zeer Darwinistische, en doet denken aan nog een andere benadering van AI ontwikkeling—evolutionaire algoritmen. Voor hackers en infosec professionals, het is survival van de fittest AI.
Goodman gaat akkoord, zeggen: “zullen wij uit noodzaak” worden met behulp van een toenemende mate van AI “voor alles, van het opsporen van fraude tegengaan van cyberaanvallen.” En in feite, een aantal start-ups zijn al bezig met dit, in samenwerking met IBM Watson ter bestrijding van cyber bedreigingen, aldus Goodman.
“AI technieken worden vandaag de dag gebruikt door de verdedigers om te zoeken naar patronen—de antivirus bedrijven doen dit al decennia—en te doen anomalie detectie als een manier om automatisch detecteren of van een systeem is aangevallen en in het gedrang,” zei Truvé.
Op zijn bedrijf, Opgenomen Toekomst, Truvé is het gebruik van AI technieken verwerking van natuurlijke taal om bijvoorbeeld automatisch detecteren wanneer een aanval gepland en besproken op de strafrechtelijke forums, en voor het voorspellen van toekomstige bedreigingen.
“Bad guys [AI] gebruik blijven maken van dezelfde aanval vectoren als vandaag, alleen op een meer efficiënte manier, en daarom is de AI gebaseerd afweermechanismen nu ontwikkeld wordt voor een groot deel mogelijk om die ook te gebruiken tegen AI gebaseerde aanvallen,” zei hij.
Dutt raadt infosec teams voortdurend toezicht houden op de cyber-aanval activiteiten van hackers en van hen leren, voortdurend “innoveren met een combinatie van begeleid en onbegeleid leren gebaseerd verdediging strategieën op te sporen en te dwarsbomen aanvallen op het eerste teken,” en zoals in elke oorlog, nemen superieure verdediging en strategie.
Het omstander-effect
Dus onze dappere nieuwe wereld van AI-enabled hacken wacht, met criminelen steeds in staat om van zich te richten op kwetsbare gebruikers en systemen. Computer security bedrijven zal ook leunen op een AI in een nooit eindigende werk te houden. Uiteindelijk, deze tools zullen ontsnappen menselijk begrip en controle, werken op met razendsnelle snelheden in een opkomende digitale ecosysteem. Het zal je naar een punt waar zowel hackers en infosec professionals hebben geen andere keuze, maar om druk op de “go” knop op hun respectieve systemen, en gewoon het beste ervan hopen. Een gevolg van de AI is dat mensen steeds vaker worden gehouden van de lus.