GIF Illustration: Sam Woolley/Gizmodo
Im letzten Jahr, zwei Daten-Wissenschaftler von der Sicherheitsfirma ZeroFOX ein experiment durchgeführt, um zu sehen, wer besser war, auf immer Twitter-Nutzer zum klicken auf bösartige links, Mensch oder eine künstliche Intelligenz. Die Forscher gelehrt, die eine KI zu studieren das Verhalten der Nutzer sozialer Netzwerke, und dann entwerfen und implementieren Ihre eigenen phishing-Köder. In tests, die künstliche hacker war wesentlich besser als seine menschlichen Wettbewerber, Komponieren und verteilen weitere phishing-tweets als der Mensch, und mit einer deutlich besseren conversion-rate.
Die KI namens SNAP_R, geschickt simuliert spear-phishing-tweets an über 800 Teilnehmer bei einer rate von 6,75 tweets pro minute, locken 275 Opfer. Dagegen Forbes-Redakteur Thomas Fox-Brewster,, die an das experiment, war nur in der Lage heraus zu Pumpen 1.075 tweets pro minute, wodurch nur 129 versuche und locken in nur 49 Benutzer.
Zum Glück war dies nur ein experiment, aber die übung zeigte, dass Hacker, die bereits in einer position zu verwenden, die KI für Ihre schändlichen enden. Und in der Tat, sind Sie wahrscheinlich bereits verwenden, obwohl es schwer zu beweisen ist. Im Juli auf der Black Hat USA 2017, Hunderte von führenden cybersecurity-Experten versammelten sich in Las Vegas um dieses Thema zu diskutieren und anderen drohenden Gefahren, die durch neue Technologien. In Cylance eine Umfrage statt, während der confab, die Teilnehmer wurden gefragt, ob kriminelle Hacker verwenden AI für offensive Zwecke im kommenden Jahr, zu denen 62 Prozent mit ja beantwortet.
Das Zeitalter der künstlichen Intelligenz ist auf uns, aber wenn dieses informelle Cylance Umfrage ist, um geglaubt zu werden, eine überraschend hohe Zahl von infosec-Profis werden sich weigern, zu erkennen das Potenzial für die KI zu waffenfähigem von Hackern in der unmittelbaren Zukunft. Es ist eine verwirrende Haltung gegeben, dass viele der cybersecurity-Experten wir gesprochen haben, sagte die Intelligenz an der Maschine wird bereits von Hackern und kriminellen sind anspruchsvoller in der Nutzung dieser neuen Technologie, als viele Menschen erkennen.
“Hacker wurden mit künstlicher Intelligenz als eine Waffe für einige Zeit,” sagte Brian Wallace, Cylance Führen Sicherheits-Daten, die Wissenschaftler in einem interview mit Gizmodo. “Es macht total Sinn, denn Hacker haben ein problem der Skala, versuchen, angreifen, so viele Menschen wie Sie können, schlagen Sie so viele Ziele wie möglich, und all das, während Sie versuchen, die Risiken auf sich. Künstliche Intelligenz und maschinelles lernen in allem, sind die perfekten Werkzeuge zu verwenden, die auf Ihr Ende.” Diese Werkzeuge, sagt er, die Entscheidungen treffen können über das, was angreifen, die angreifen, wenn Sie angreifen, und so weiter.
Skalen von Intelligenz
Marc Goodman, Autor von Zukünftigen Verbrechen: Alles Ist miteinander Verbunden, Jeder Ist Anfällig, und Was Wir dagegen Tun Können, sagt, er ist nicht überrascht, dass so viele Black-Hat-Teilnehmer sehen waffenfähige AI so unmittelbar bevorsteht, wie es war Teil der cyber-Angriffe seit Jahren.
“Was schlagen Sie mir da ein bisschen seltsam ist, dass 62 Prozent der infosec-Profis machen eine AI-Vorhersage,” Goodman sagte Gizmodo. “AI definiert ist durch viele verschiedene Menschen, viele verschiedene Möglichkeiten. So möchte ich weitere Klarheit über konkret, was Sie bedeuten, von AI.”
In der Tat, es ist wahrscheinlich bei diesem Thema, wo die Experten-Meinungen auseinander.
Die lustige Sache über künstliche Intelligenz, die unsere Vorstellung von it-änderungen wie die Zeit vergeht, und wie unsere Technologien immer übereinstimmen, die menschliche Intelligenz in vielen wichtigen Punkten. Auf der grundlegendsten Ebene, Intelligenz beschreibt die Fähigkeit eines Agenten, ob es biologisch oder mechanisch, um komplexe Probleme zu lösen. Wir verfügen über viele tools, die mit dieser Fähigkeit, und wir haben seit geraumer Zeit, aber wir fast sofort beginnen zu nehmen, diese Werkzeuge für selbstverständlich, sobald Sie erscheinen.
Vor Jahrhunderten, zum Beispiel, die Aussicht auf eine Berechnung der Maschine, konnte crunch zahlen Millionen mal schneller als ein Mensch wäre, haben die meisten sicherlich schon als einen radikalen technologischen Fortschritt, aber nur wenigen ist heute die niedrig-Rechner als etwas besonderes. Ebenso die Fähigkeit zu gewinnen im Schach wurde einmal als eine Messlatte der menschlichen Intelligenz, aber seit Deep Blue besiegt Garry Kasparov im Jahr 1997, diese kognitive Fähigkeit verloren hat, seinen ehemaligen Glanz. Und so und und so weiter mit jedem Durchbruch in der KI.
Machen Sie keinen Fehler—moderne Werkzeuge, wie Maschinen-Intelligenz und neuronale Netze sind eine form der künstlichen Intelligenz, und etwas anderes zu glauben, ist etwas, was wir tun, auf unsere eigene Gefahr.
Heute, rasanten Entwicklungen im maschinellen lernen (wobei Systeme lernen von Daten und verbessern Sie die Erfahrung mit, ohne explizit programmiert), Natürliche Sprachverarbeitung, neuronale Netze (Systeme modelliert auf das menschliche Gehirn), und vielen anderen Feldern sind ebenfalls eine Senkung der bar auf unsere Wahrnehmung, was die Intelligenz an der Maschine. In ein paar Jahren künstliche persönlichen Assistenten wie Siri oder Alexa), self-driving cars und Krankheit-die Diagnose-algorithmen werden ebenso verlieren, zu Unrecht, Ihre AI Reiz. Wir werden beginnen, nehmen diese Dinge für selbstverständlich, und verunglimpfen diese Formen der KI nicht perfekt Menschen. Aber keinen Fehler machen—moderne Werkzeuge, wie Maschinen-Intelligenz und neuronale Netze sind eine form der künstlichen Intelligenz, und etwas anderes zu glauben, ist etwas, was wir tun, auf unsere eigenen Gefahr; wenn wir entlassen oder zu ignorieren, die macht dieser Werkzeuge können wir blindsided durch diejenigen, die begierig sind, zu nutzen AI, das volle Potenzial, Hacker enthalten.
Ein damit verbundenes problem ist, dass der Begriff der künstlichen Intelligenz zaubert futuristische Visionen und Science-Fiction-Phantasien, die weit entfernt von unserer aktuellen Realität.
“Der Begriff KI wird oft verkannt, mit viele Leute denken, des Terminator-Roboter, die versuchen, auf die Jagd nach John Connor—aber das ist nicht das, was AI ist”, sagte Wallace. “Vielmehr ist es ein breites Thema der Studie um die Schaffung von verschiedenen Formen von Intelligenz, die geschehen, zu künstlich.”
Wallace sagt, es gibt viele verschiedene Bereiche der KI, maschinelles lernen als eine besonders wichtige Teilmenge von AI auf den gegenwärtigen moment.
“In unserer Linie der Arbeit, die wir verwenden, schmalen machine learning—das ist eine form von AI—wenn man versucht, Intelligenz zu einem bestimmten problem”, sagte er Gizmodo. “Zum Beispiel, verwenden wir maschinelles lernen, wenn Sie versuchen zu bestimmen, ob eine Datei oder ein Prozess schädlich ist oder nicht. Wir versuchen nicht, ein system zu schaffen, das würde zu SkyNet. Künstliche Intelligenz ist nicht immer das, was die Medien und science-fiction hat es dargestellt, und wenn wir [infosec-Profis] sprechen Sie über die KI reden wir über weite Bereiche der Studie, die viel einfacher sind und viel weniger erschreckend.”
Böse Absichten
Diese modernen Werkzeuge sind möglicherweise weniger erschreckend als klischeehaft Terminator-Visionen, sondern in die Hände der falschen Personen, kann man Sie noch ziemlich schreckhaft.
Deepak Dutt, Gründer und CEO von Zighra, eine mobile security-startup, sagt, dass es eine hohe Wahrscheinlichkeit, dass anspruchsvolle KI verwendet werden für Cyber-Attacken in der nahen Zukunft, und dass es vielleicht bereits von Ländern wie Russland, China und einigen osteuropäischen Ländern. Im Hinblick darauf, wie die KI könnte verwendet werden, in ruchlosen Möglichkeiten, Dutt hat keinen Mangel an Ideen.
“Künstliche Intelligenz kann verwendet werden, um die mine große Mengen an public-domain-und social-network-Daten zu extrahieren personenbezogene Informationen wie Geburtsdatum, Geschlecht, Standort, Telefon-Nummern, e-mail-Adressen, und so weiter, die kann verwendet werden, für Hacker [einer person] – Konten,” Dutt sagte Gizmodo. “Es kann auch verwendet werden, um automatisch zu überwachen, e-mails und text-Nachrichten, und erstellen Sie personalisierte phishing-E-mails für social-engineering-Angriffe [phishing-Betrügereien sind ein illegaler Versuch, an vertrauliche Informationen von einem ahnungslosen Benutzer]. AI kann eingesetzt werden für mutierende malware und ransomware weitere leicht, und die Suche intelligenter und ausgraben und nutzen Schwachstellen in einem system.”
Dutt vermutet, dass AI bereits für Cyber-Attacken, und, dass die kriminellen bereits eine Art von machine learning-Funktionen, zum Beispiel durch die automatische Erstellung von personalisierten phishing-e-mails.
“Aber was neu ist, ist die Komplexität von AI in Bezug auf die neue machine-learning-Techniken wie” Deep Learning, die genutzt werden können, erreichen die Szenarien, die ich gerade erwähnt mit einem höheren Maß an Genauigkeit und Effizienz”, sagte er. Deep Learning, auch bekannt als hierarchische lernen, ist ein Teilbereich des maschinellen Lernens, nutzt die große neuronale Netzwerke. Es wurde angewandt, um computer vision, Spracherkennung, social network filtern, und viele andere komplexe Aufgaben, die oft zu Ergebnissen überlegen menschlichen Experten.
“Auch die Verfügbarkeit von großen Mengen von social-network-und öffentlichen Datensätzen (Big Data) hilft. Advanced machine learning und Deep Learning Techniken und tools sind leicht erhältlich, die nun auf open-source-Plattformen—kombiniert mit der relativ günstigen computational Infrastruktur effektiv ermöglicht es Cyber-Attacken mit höherer Komplexität.”
In diesen Tagen die überwiegende Zahl der cyber-Angriffe ist automatisiert, nach Goodman. Die menschlichen hacker gehen nach einer individuellen Ziel-ist weit seltener, und je mehr gemeinsame Ansatz ist jetzt zum automatisieren von Angriffen mit Werkzeugen der KI und dem maschinellen lernen—alles, was von scripted Distributed Denial of Service (DDoS) – Attacken zu ransomware, Straf-chatbots, und so weiter. Während es kann argumentiert werden, dass die Automatisierung ist grundsätzlich unintelligent (Umgekehrt, ein Fall kann gemacht werden, dass einige Formen der automation, besonders jene, die große Mengen an komplexen Aufgaben, sind in der Tat eine form von Intelligenz), es ist die Aussicht auf eine maschinelle Intelligenz zu orchestrieren diese automatisierte Aufgaben das ist besonders alarmierend. Eine KI kann die Herstellung komplexer und sehr gezielte scripts in Höhe und Komplexität weit über jede individuelle menschliche hacker.
In der Tat, die Möglichkeiten scheinen fast endlos. Zusätzlich zu den kriminellen Aktivitäten bereits beschrieben, AIs verwendet werden könnte, um verletzliche Bevölkerungsgruppen, führen rapid-fire hacks, entwickeln intelligente malware, und so weiter.
Staffan Truvé, CEO der Swedish Institute of Computer Science (SICS) und leitender Wissenschaftler am Recorded Future sagt, dass, als AI reift und wird mehr von einer Ware, die “bad guys”, wie er es ausdrückt, wird Sie beginnen, es zu verbessern, die Leistung von Angriffen, gleichzeitig die Kosten senken. Im Gegensatz zu vielen seiner Kollegen, jedoch Truvé sagt, die KI ist nicht wirklich von Hackern verwendet, um in dem moment, Sie behaupten, dass einfachere algorithmen (z.B. für self-modifying-code) und Automatisierung Systeme (z.B. zum aktivieren des phishing Schemen) funktioniert ganz gut.
“Ich glaube nicht, dass AI hat durchaus noch zu einem Teil der standard-toolbox von den bösen Jungs,” Truvé sagte Gizmodo. “Ich denke, der Grund, warum wir noch nicht mehr gesehen, das” AI ” in Angriffe bereits, dass die traditionellen Methoden immer noch funktionieren—wenn Sie das bekommen, was Sie benötigen, aus einer guten alten brute-force-Ansatz dann, warum nehmen Sie das Geld und die Zeit zu wechseln, um etwas neues?”
AI auf AI
Mit AI ist jetzt Teil der modernen hacker-toolkit, Verteidiger haben zu kommen mit neuen Möglichkeiten, die Verteidigung von gefährdeten Systemen. Zum Glück, security-Experten haben eine ziemlich starke und offensichtliche Gegenmaßnahme zur Verfügung steht, nämlich die künstliche Intelligenz selbst. Das Problem ist, das gebunden ist, um zu produzieren ein Wettrüsten zwischen den rivalisierenden lagern. Keine Seite hat wirklich eine Wahl, da die einzige Möglichkeit gegen die andere setzen verstärkt auf intelligente Systeme.
“Nachdem Sie begonnen haben, der Umgang mit einem Widersacher, Sie haben keine andere Wahl, als offensiver AI sich selbst.”
“Für security-Experten, das ist Big-Data-problem—befassen wir uns mit Tonnen von Daten—mehr als ein einzelner Mensch könnte möglicherweise produzieren”, sagte Wallace. “Nachdem Sie begonnen haben, der Umgang mit einem Widersacher, Sie haben keine andere Wahl, als offensiver AI sich selbst.”
Um vor der Kurve bleiben, Wallace empfiehlt, dass die Sicherheit von Unternehmen führen Ihre eigenen internen Forschung, und entwickeln Ihre eigene waffenfähige AI zu kämpfen und testen Sie Ihre Abwehrkräfte. Er nennt es ein “Eisen schärft Eisen” – Ansatz, um computer-Sicherheit. Das Pentagon ‘ s advanced research Flügel, DARPA, hat bereits diesen Ansatz, die Organisation grand challenges in die AI-Entwickler mal Ihre Kreationen gegeneinander in einem virtuellen Spiel von Capture the Flag. Der Prozess ist sehr darwinistisch, und erinnert an noch ein anderer Ansatz zur KI-Entwicklung—evolutionäre algorithmen. Für Hacker und infosec-Profis, es ist survival of the fittest AI.
Goodman stimmt zu, sagt: “wir werden aus der not heraus” mit steigenden Mengen AI “für alles, aus der fraud detection zur Bekämpfung der Cyberangriffe.” Und in der Tat, mehrere start-ups sind bereits dabei, die Partnerschaft mit IBM Watson zur Bekämpfung von cyber-Bedrohungen, sagt Goodman.
“AI-Techniken wird heute durch die Verteidiger, um nach mustern zu suchen—der antivirus-Hersteller haben dies seit Jahrzehnten—und Anomalie-Erkennung als einen Weg, um automatisch erkennen, wenn ein system angegriffen und kompromittiert”, sagte Truvé.
Mit seiner Firma Recorded Future, Truvé ist mit KI-Techniken zu tun, mit der Verarbeitung natürlicher Sprache, um, zum Beispiel, automatisch erkennen, wenn ein Angriff wird geplant und diskutiert, die auf kriminellen Foren, und zur Vorhersage künftiger Bedrohungen.
“Bad guys [AI] wird weiterhin die gleichen Angriffsvektoren wie heute, nur in einer effizienteren Weise, und daher die KI-basierten Abwehrmechanismen entwickelt, wird nun zu einem großen Teil möglich sein, auch gegen die KI-basierte Angriffe”, sagte er.
Dutt empfiehlt, dass infosec-teams kontinuierlich zu überwachen, die cyber-Attacke Aktivitäten von Hackern und von Ihnen zu lernen, ständig “Innovation mit einer Kombination von überwachten und unüberwachten Lernens basiert Abwehrstrategien zu erkennen und zu vereiteln Angriffe auf das erste Zeichen,” und, wie in jedem Krieg, beschließen, eine überragende Verteidigung und Strategie.
Der bystander-Effekt
Also, unsere schöne neue Welt der AI-aktiviert hacking erwartet, mit kriminellen zunehmend in der Lage, zielt auf anfällige Anwender und Systeme. Computer-security-Unternehmen, wird ebenfalls stützen Sie sich auf eine AI in einem nie endenden Anstrengung zu halten. Schließlich werden diese tools entweichen der menschlichen Einsicht und Kontrolle, arbeiten bei blitzschnellen Geschwindigkeiten in einer neuen digitalen ökosystem. Es zu einem Punkt kommen, wo die beiden Hacker-und infosec-Profis haben keine Wahl aber, auf den “go” – Taste auf Ihrer jeweiligen Systeme, und einfach das beste hoffen. Eine Folge der AI ist, dass die Menschen sind zunehmend gehalten, aus der Schleife.