zurück zur Übersicht

The Machines Strike Back: Artificial Intelligence from the Dark Side

A long time ago, in a galaxy far, far away….

Na ja, vielleicht nicht ganz so lange her. Und auch in keiner weit entfernten Galaxie, da die Menschheit aktuell eher damit beschäftigt ist Elektroautos zum Mars zu befördern, als neue Welten zu erkunden. Daher werden wir noch ein Weilchen benötigen, bis wir diesen Satz wahrheitsgemäß zitieren dürfen, ohne dabei sofort an eine sehr bekannte Reihe von Science-Fiction-Filmen zu denken.

Also müssten wir schreiben:

Es war einmal vor gar nicht allzu langer Zeit (gestern Abend), in einer uns noch größtenteils unbekannten Galaxie (Milchstraße), in einem uns sehr sehr bekannten Sonnensystem auf einem blauen Planeten, der sich ca. 149.600.000 km vom Zentrum entfernt befindet.

Darth Hacker, der talentierteste aller Bösewichte, sitzt grinsend vor der Steuerzentrale seines digitalen Todessterns. Sein aktuelles Opfer hatte die neueste (seit drei Monaten weltweit bekannte, Anm. der Redaktion) WordPress-Schwachstelle nicht gepatched, daher war es ein Leichtes, über das Web den Zugriff ins Intranet zu erlangen. Nun den Trojaner mit Hintertürchen an einem, oder noch besser mehreren kompromittierten Hosts installieren und ein Weilchen warten, bis erstmal Gras über den Angriff gewachsen ist und keine verdächtigen Events mehr im SIEM kursieren.

Gut, dass er diese Malware selbst entwickelt hat und noch von keinem altbackenen Virenscanner erkannt wird. Wofür hat Darth Hacker jahrelange Erfahrung mit Malware Evasion-Techniken. Local Admin Rechte zu erlangen ist für ihn sowieso an der Tagesordnung und stellt für ihn keine großen Herausforderung dar. Script geladen, ausgeführt, und los geht‘s….doch was ist das? Die Ausführung wird blockiert. Wie kann das sein?

Nach genauerer Analyse wird klar, dass alle Hosts von einer Next Generation Endpoint Protection Lösung mit Artificial Intelligence (AI) oder Machine Learning (ML) Komponenten geschützt werden, denen es ziemlich egal ist, ob der Hashwert des Files bereits bekannt ist oder nicht. „Diese elenden Spielverderber, dann muss ich wohl doch gleich das Netzwerk analysieren, bevor das Einfallstor mit einem neuen Patch gestopft wird“, denkt sich Darth Hacker und macht sich sogleich ans Werk.

Er hüpft von Host zu Host, von VLAN zu VLAN. Und zack, wurde die Verbindung unterbrochen. Da hat er wohl nicht an die modernen mit AI/ML versehenen Intrusion Detection Systeme mit Response gedacht, die gleich die IP an der Firewall blockieren lassen. Wie unfair! Für lange Zeit sah es eher so aus, als ob sich die Midi-Chlorianer überwiegend auf die dunkle Seite konzentriert haben. Doch nun haben sich die Jedi Tempel dieser Welt (Security Operations Center, SOCs, Anm. der Redaktion) einer neuen Technologie bedient und das Ungleichgewicht zu ihrem Vorteil umgebogen. „Na warte…das kann ich auch“ denkt sich Darth Hacker und klappt seine geheime Steuereinheit für den neuen Superlaser aus, um die Verteidigung der Gegenseite hinwegzufegen…

Erste Einsätze von hackenden Computern

Sommer 2016 – Las Vegas. Sieben von Menschen entwickelte Maschinen nehmen an der von DARPA gesponserten Cyber Grand Challenge Teil. Dieser Wettbewerb wurde speziell für Computer ausgeschrieben, welche in der Lage sind andere Maschinen zu hacken. Der Wettbewerb lief über mehrere Runden. In jeder Runde versuchten die Teilnehmer Schwachstellen zu entdecken, diese auszunutzen und im Gegenzug die entdeckte Schwachstelle zu patchen, um nicht selbst Opfer der Entdeckung zu werden. Der Gewinner Mayhem ist die erste „non-human entity“, die den „DEFCON Black Badge“ gewonnen hat – eine der angesehensten Auszeichnungen in Hackerkreisen. Die nächste Herausforderung für Mayhem war ein Wettkampf im August 2017 gegen ein Team von menschlichen Hackern, welchen der Computer verlor. Obwohl es für einen Computer möglich ist, 24/7 ohne Pause Ziele zu attackieren, fehlte jedoch die menschliche Kreativität und die Möglichkeit komplexe Zusammenhänge, über die programmierten Algorithmen hinaus, zu erkennen.

Nächste Generation der Angriffe – AI/ML

Neue Entwicklungen in Hard- und Software ermöglichen ein bisher noch unausgeschöpftes Potenzial, auch wenn die Projekte sich teilweise noch in den Kinderschuhen befinden. Neue theoretische und praktische Modelle in der Forschung über Künstliche Intelligenz bringen viele ungenutzte Möglichkeiten mit sich. Diese Modelle werden bereits in der IT-Sicherheit aktiv eingesetzt, z.B. bei IDS-Systemen oder Next Generation Endpoint Protection Lösungen. Jedoch schläft auch die Gegenseite nicht. 62% der Security Professionals sind sich einig, dass momentan eine Weaponization mit AI stattfindet und in kürzester Zeit AI/ML unterstützte Angriffswerkzeuge zur Verfügung stehen werden. 2017 wurde auf der DEFCON beispielsweise eine Malwaremanipulationsumgebung für OpenAI Gym vorgestellt. Dieses Tool wandte automatisiert Malware Evasion-Techniken an, um eine Erkennung von schadhaften Dateien mit traditionellen, signaturbasierten Antivirenlösungen zu verhindern. Neben der erschwerten Erkennung von Malware können auch weitere Einsatzgebieten in Betracht gezogen werden, beispielsweise smarte Botnets oder Social Engineering Methoden wie Phishing. In einem Experiment der Security Firma ZeroFOX wurden Phishing Tweets einerseits von AI als auch von Menschenhand erzeugt. Die künstliche Intelligenz SNAP_R konnte sechsmal so viele Tweets pro Minute verteilen und hatte umgerechnet eine höhere Erfolgsrate pro Tweet.

Alles in allem ist noch ungewiss, wie zukünftig von AI/ML gesteuerte Angriffe aussehen können und werden. Sicher ist jedoch, dass diese eine neuartige und unbekannte Bedrohung darstellen. Angriffe können schneller sowie angepasster durchgeführt werden und versprechen eine höhere Erfolgsrate. Um diese zu verhindern, werden AI/ML-Konzepte ebenfalls in der Verteidigung eingesetzt. Ob schließlich jeder Angriff mit einem Patt der Maschinen enden wird oder wer die Oberhand behält, ist wie immer in der IT-Security nicht abzusehen. Fakt ist, dass uns diese Entwicklungen die nächsten Jahre beschäftigen und herausfordern werden und wir entsprechend vorbereitet sein müssen.


Links:
http://www.wired.co.uk/article/hackers-ai-cyberattack-offensive
https://gizmodo.com/hackers-have-already-started-to-weaponize-artificial-in-1797688425

Schreibe einen Kommentar

Wir nehmen Datenschutz ernst! Deshalb informieren wir Sie, was mit Ihren Daten geschieht:

  • Daten aus Formularen und Webseiten-Tracking können von uns zur Analyse gespeichert werden
  • Die Daten können zur Optimierung der Webseite ausgewertet werden. Das ermöglicht es uns, besser zu verstehen, wo das Interesse unserer Besucher liegt. Wir benutzen primär Hubspot für dieses Tracking (mehr dazu finden Sie in der Erklärung auf unserer Datenschutzseite, siehe unten)
  • Wir geben Ihre Daten nicht an Dritte weiter. Im Rahmen von Veranstaltungen, an denen Sie teilnehmen möchten, kann es nötig sein, dass Ihre Daten an Vertragspartner übermittelt werden.
  • Sie haben jederzeit ein Recht auf die Herausgabe, Berichtigung oder Löschung persönlicher Daten.
  • Sie können Ihre Einwilligung, mit uns in Kontakt zu treten, jederzeit mit sofortiger Wirkung widerrufen.

Weitere Details dazu, was wir mit den Daten tun und nicht tun finden Sie auf unserer Datenschutzseite, oder schreiben Sie mich bei Fragen direkt an!

Felix Möckel
Data Protection Officer