Intelligens támadás és védekezés

Várom a pillanatot, amikor mesterséges intelligenciával felokosított (felfegyverzett) robotok fognak egymással harcolni a kibertérben.

Vajon ez a távoli jövő zenéje, vagy hamarosan elkezdődik, vagy már folyamatban is van?

Source: SecureWorks Counter Threat Unit

Nem tudom, de talán a cikk végére többet tudunk majd a témáról…

Hogy jutott ez ma az eszembe? Nemrég olvastam (és röviden írtam is) a Mia Ash által (inkább nevében) megtervezett és felépített adathalászással egybekötött kibertámadásról. Mi volt ennek az érdekessége? A támadó hónapokat töltött azzal, hogy felépítsen egy vonzó és nagyon hihető online személyiséget.

Ez a Mia Ash Londonban élő fényképész, a húszas évei közepén járó fiatal nő, akinek hiteles online jelenléte van sok helyen (LinkedIn, Facebook, Blogger, WhatsApp), és rendszeresen ír is mindenhova. A szövegei rendes angolsággal, az adott hely szokásainak megfelelően íródnak. Fényképei is vannak, és elsőre teljesen rendben lévőnek látszanak. Természetesen, ezek „újrahasznosított” szövegek és képek, vagyis más (valódi) személyektől származnak, és kissé át vannak alakítva, hogy ne lehessen egyszerű kereséssel megtalálni az eredetit. (Nem is egy helyről szerezte őket.)

A LinkedIn adatai között ötszáznál több szakmai kapcsolatot találunk. Ezeknek nagyjából fele szintén fényképész. A másik fele viszont a feltételezett célközönségből kerül ki: középvezetők, műszaki vagy informatikai szakterületen, a technológiai, energetikai, egészségügyi, légügyi és tanácsadási szektorokban. Olyan emberek, akiknek tipikusan értékes hozzáférési jogaik vannak a cégük hálózatához.

A LinkedIn csak a kiindulópont és a bizalom felépítésének színtere. Később kapcsolatba lép az áldozattal a Facebookon, majd segítséget kér, egy kérdőív kitöltését. Ez egy Excel táblázat, amit „a megfelelő működés érdekében” a céges számítógépükön kell megnyitnia. Itt el is akadhatna a támadás, hiszen egy ilyen kérés gyanút ébreszthetne az áldozatban. Valamiért mégsem ébresztett gyanút, amiben szerepe lehetett a szépen lassan kiépített bizalomnak és esetleges vonzalomnak. Egy ilyen letöltés indította el a vizsgálatot, mert a megcélzott cég védelmi rendszere észlelte a PupyRAT kódot. Sőt, nem tértek napirendre az ügy fölött, hanem ki is vizsgáltatták külső szakértővel. Így került képbe a Dell SecureWorks Counter Threat Unit (CTU) csapata, akik később közzé is tették vizsgálatuk eredményeit. Érdemes elolvasni!

Nem megyek bele a többi részletbe, minden elolvasható a fent hivatkozott elemzésben (és még sokan mások is írtak az ügyről). A tanulság is viszonylag egyszerű: még a hozzáértő embereket is át lehet verni, ha elég sokat és elég jól dolgozunk. Az egyik átvert ember egy nagy tanácsadó cég informatikai biztonsági vezetője!

Hogy jön ide a mesterséges intelligencia? Ebben a támadásban valószínűleg sok emberi munka ölt testet. Ha elemezzük a sikeres és a kevésbé sikeres elemeit és tanulunk belőle, akkor ugyanezt meg tudjuk csináltatni egy géppel is, sőt akár egy kicsivel jobban is. Mit lehetne javítani? Például a szövegek és a képek lopottak voltak, és csak minimálisan változtattak rajtuk, így megfelelő keresési módszerrel meg lehetett találni az eredetijüket.

Ha az egészet automatizáljuk, akkor ugyanannyi idő és munka ráfordításával rengeteg ilyen célú online „személyt” tudunk létrehozni. Miért lenne ez jó? Ha a létrehozott identitást nem használjuk egyidejűleg több célpont elleni támadásra, akkor kisebb az esélye a lebukásnak. Az senkiben sem kelt gyanút, ha egy egyébként jól felépített „személy” egyetlen célszeméllyel lép kapcsolatba. Ha le is bukik az egyik, a többi száz vagy ezer gond nélkül dolgozhat tovább a többi célszeméllyel.

Természetesen, nem csak a létrehozásukat, hanem az üzemeltetésüket is lehet automatizálni. A robot számára nem probléma több száz vagy ezer „személy” nevében rendszeresen írni. Az se nehéz feladat, hogy más és más témákról írjon, és nyilván válaszolni is tud a hozzászólásokra. Talán még a Watsonra sincs szükség ehhez, de az egész biztosan meg tudja csinálni.

A legsikeresebb támadás az, amiben nincs „rendszer”, hiszen a védelem „minták” felismerésén alapszik. Az igazán sikeres támadó minden egyes áldozatot másképp támad meg, testre szabja a módszereit a célpontnak megfelelően. Az ilyet nagyon nehéz felfedezni. Vannak már ilyenek? Igen, vannak: a „ProjectSauron” névre keresztelt támadás öt évig működött szépen csendben, mire felfedezték. Ezt még valószínűleg hagyományos módszerekkel, sok-sok emberi munkával hozták létre, és finomították folyamatosan, éveken keresztül. A tanulási képességekkel felruházott robot még jobbat tud majd alkotni!

Ha már az előbb szóba jött a Watson: vajon használják már támadások létrehozására és levezénylésére? Valószínűleg nem, hiszen csak egy van belőle, az is az IBM tulajdonában, és a felhőből lehet használni, bérelni. Nyilván alaposan ellenőrzik, hogy ki és mire használja. A használat főleg orvosi, de megjelenik játékokban, lakások automatizálásában és városi utcák karbantartásában is.  Vajon becsúszik egy-egy rosszindulatú felhasználó is? Aligha.

Source BakerHostetler

Az IBM azt viszont már kitűzte maga elé, hogy a támadások észlelésében és elhárításában kapjon szerepet a Watson. Azt tervezik, hogy a nagyvállalati rendszerekben keletkező iszonyú sok információt fogja feldolgozni és elemezni. Köztudott, hogy a túlterhelt biztonsági szakértők és rendszerek nem tudnak mindennel időben foglalkozni, és az információ tengerében eltűnik az a néhány csepp, amire fel kellene figyelni. Sok felmérés készül arról, hogy mennyi ideig tart egy informatikai támadás észlelése, és nem szívderítőek az eredmények. Kisebbségben vannak azok a vállalatok, amelyek egy napon belül észreveszik, hogy történt valami, és sok helyen tart hetekig vagy hónapokig. És ez csak az észleléshez szükséges idő! A támadás megállítása, a károk elhárítása még csak ezután következik…

Mit várnak Watsontól? Gyorsan, egy szempillantás alatt elemezze információk tömkelegét, és találja meg az összefüggéseket a különböző rendszerekben észlelt és nehezen összekapcsolható események között. Ha sikerül ezeket a kapcsolatokat felfedezni, akkor azonnal kiderül, hogy önmagukban ártalmatlannak tűnő események együttesen támadásra utalnak.

Source: Kaspersky

Jelenleg az a legnehezebben kezelhető feladat, hogy a sok-sok helyen keletkező, és sokszor semmilyen riasztást sem generáló események közötti összefüggéseket felfedezzük. Mire gondolok? Teljesen ártalmatlan dolgokra, például felhasználó sikeres bejelentkezése, hozzáférés valamihez, amihez van joga, program elindítása, levelezés stb. Ilyen események milliói történnek naponta egy nagyvállalati rendszerben, és szinte mindig ártalmatlanok, de egyszer-egyszer valamilyen támadás van mögöttük, a felhasználó nevében a vírus (vagy hasonló) tevékenykedik. Észre lehetne venni? Igen! A támadó nem ismerheti olyan mélységben a rendszereinket és a felhasználóinkat, mint mi magunk. Nem tudhatja tökéletesen utánozni a felhasználó munkáját, viselkedését. (Egyelőre nem is kell ezzel törődniük, mert az informatikai biztonsági rendszerek sehol se tartanak ezen a területen – néhány kezdeti próbálkozástól eltekintve.)

Talán most egyszer, kivételesen eljön az az idő, hogy a védekezési módszerek fejlesztése nem kullog a támadási módszerek fejlesztése mögött, hanem előtte jár, és a még ki sem talált módszerek ellen is véd! Ez megvalósulhat, ha a Watson tényleg beül az üzemeltetők és a biztonsági szakemberek mellé, és segít nekik:

  • kiszűrni a hasznos információt a sok lényegtelen közül, és
  • megtalálni a rejtett összefüggéseket a látszólag ártalmatlan események között.

Milyen lesz, amikor mindkét oldalon mesterséges intelligenciával felfegyverzett robot áll? Ez lesz az igazi megmérettetés! Nem a Watson az egyetlen „intelligens” szupergép, ott van az AlphaGo és a D-Wave kvantumszámítógép.

Melyikre (vagy milyen még ismeretlen technikára) teszik rá a „rossz fiúk” vagy inkább az államilag támogatott támadók a kezüket először? Sok országnak van már ütőképes kiberhadserege…

 

 

Halászgatunk? Horogra akadunk?

Itt a nyár, ugye mindenki észrevette már? Most kicsit hűvösebb, de így is tökéletes a vízparti pihenésre, időtöltésre – közte a horgászatra. Nos: nem a horgászatról fogok írni, pontosabban: nem arról a formájáról, amihez horgászbot, csali, víz és hal kell.

yay-4852596

Ismerős az „adathalászat” (angolul phishing) kifejezés? Tömören megfogalmazva, arról van szó, hogy kisebb-nagyobb átverések és megtévesztések útján a rossz fiúk megszerzik fontos adatainkat. Ezt nem kíváncsiságból teszik, hanem haszonszerzés reményében. Többnyire a bankszámlánkhoz igyekeznek hozzáférni.

Ha mélyebben érdekel, javaslom az angol nyelvű Wikipédia cikk elolvasását (a magyar nyelvű hiányos és pontatlan). Az angol viszont nagyon szakszerű, hosszú és nehezen olvasható.

Miről akarok írni? Az adathalászatról, az ellene való védekezésről – kifejezetten nem szakembereknek. Remélem, sikerül, mert szerintem fontos a téma és kevés a közérthető információ.

Kezdjük egy nagyon rövid összefoglalóval arról, hogy mi is történik, hogyan halásszák az adatainkat. A tipikus és triviális módszer egy email, ami hasonlít egy bank, biztosító, üzlet vagy hatóság leveléhez, van benne egy-két link, de azok nem az eredeti helyre visznek el, hanem egy ahhoz hasonlóra. Ott, azután, adatokat kérnek, pl.: jelszót, számlaszámot. Ez ellen a legegyszerűbb védekezés az, ha nem klikkelünk semmire, ami levélben jött. Írjuk be szépen a bank, a biztosító, stb. weblapjának a címét! Apró kényelmetlenség, de megéri.

Adathalászat lehet a háttérben akkor is, amikor nagyszerű és érdekes képeket és videókat ajánlanak, és csak egy FB like-ot kérnek cserébe. Hipp-hopp, máris tudnak rólam egy keveset, és indulhatnak további adatokért. A legtöbb esetben nem csak a like kell, hanem még kattintani kell egyet a lejátszásért. Na, akkor fut le valami a gépemen. Ó, biztos nincs benne semmi rossz, csak egy kis adatgyűjtés. Sose tudjuk meg, hogy mire és hogyan használták fel! A legtöbb esetben tényleg csak marketing céljára kell, vagy egyszerűen eladják. Minden személyes adat pénzt ér!

Nemrégiben olvastam egy érdekes esetről, amiben az adatgyűjtés több módszere jelent meg. A teljes leírás (hosszú és angolul van) a ZDNet-en található. Leírom tömörítve, mert érdekes és tanulságos.

Két brit, akik az USA-ban élnek és felületesen ismerik egymást fogadott (hiszen britek). Az egyiknek hozzá kellett jutnia a másik bankszámlájához. Mit tudott kiindulásul? A keresztnevét, a cégcsoportot, ahol dolgozik és az államot, ahol él. Nem valami sok, de gyorsan több lett. Hogyan?

  • A szokásos indulás: Google keresés. Eredménye: a LinkedIn profilja, ebből meglett a vezetékneve, munkahelye, a beosztása, sok egyéb adata és a Twitter profilja.
  • Twitter nézelődés: itt helyeket keresett, hogy megtudja a címét. A célszemély sokat utazott, fényképezett, a feltöltött fényképekben ott volt a GPS információ. Végül talált egyet abból az államból, ahol lakik, és ez éppen a háza volt. Google segítségével meglett a pontos címe, sőt egy utcaképen a bejárati ajtó is látszott.
  • Ez eddig fél óra volt, és már lehetett is sokkolni az illetőt a pontos címével és az ajtaja színével.
  • Egy kis további keresgélés után, amiben a Twitter mellett a Facebook is segített (sok információ nyilvános volt), megvolt a felesége és a gyereke neve, a saját születésnapja és a gyereküké, a házassági évfordulójuk napja. Ezek hasznos adatok lehetnek, hiszen előfordulhatnak a telefonos banki azonosítás kérdései között.
  • Kellett még a születési éve, ezt háromórányi próbálgatással megszerezte, mert a személyes email címe a keresztneve + a vezetéknév első betűje + az év utolsó két számjegye volt. Csak találgatni kellett… Na, meg kellett hozzá az, hogy a Facebooktól megtudja az email cím hosszát és pár betűjét.
  • Ha már megvolt a gmail címe, bejutott a postafiókjába is, mert az ellenőrző kérdésre korábban megszerezte a választ a sok személyes adat között.
  • Következő célpont: telefonszám. Hogyan? Na, itt jött egy kis klasszikus adathalászat. Létrehozott egy jól hangzó email címet, és ajánlatkérő levelet írt a céges email címére. Hamarosan kapott is választ, és a levél végén ott volt az áldozat mobil száma is (ezt tipikusan beleírjuk a szabványos céges aláírásunkba).

Hol tartunk most? Teljes neve, születési dátuma, feleség és gyerek neve, gyerek születésnapja, házassági évforduló, pontos lakcím, céges és személyes email, Facebook és Google adatok tömkelege, munkahelyi adatok a LinkedIn-ről, telefonszám. Ez már könnyen elég lehet egy telefonos banki ügyintézővel való beszélgetés során.

Ezen a ponton beszélték meg, hogy abbahagyja.

Tegyük hozzá, hogy nem hacker, nem IT biztonsági szakember, hanem egy IT-s újságíró volt a „tettes”, és nem használt semmilyen különleges eszközt, újságírói információs csatornáit sem. Egyszerűen csak keresgélt, próbálgatott, gondolkozott, kombinált és írt egy megtévesztő levelet. Azok, akik ebből élnek, sokkal gyorsabban és sokkal több adatot tudnak begyűjteni.

A történetből látszik, hogy a célszemélynek nagyon fontos szerepe van egy ilyen adatgyűjtésben, és egy-két apró kis figyelmetlenség is sikerre segítheti a célzott támadást. Ne gondoljuk azt, hogy reménytelen a helyzetünk! Nem kell nagy trükköket bevetni annak érdekében, hogy az itt leírt módszerek ne működjenek!

Megnyugtatásul: ritka a célzott támadás, általában csak „halászgatnak” a nagyvilágban, és igyekeznek sok halat fogni. Az ilyen halászok ellen viszonylag jól lehet védekezni. Azt nem állítom, hogy a teljes védelem lehetséges, de sokat tehetünk a saját érdekünkben.

Folytatom majd egyszerűen követhető tanácsokkal…

Addig is: érdekel, hogy mi foglalkoztat a saját informatikai biztonságoddal kapcsolatban, Kedves Olvasó!

 

Tanítás után. Horgászat előtt.

Szép nyári napok vannak mögöttünk és előttünk is, a nyár leghosszabb napjait élvezzük 🙂

Én meg jövök itt a kis írásaimmal…

A múlt héten visszatekintettem az elmúlt iskolai félévre. Két főiskolán tanítottam IT-ról (nappali, levelező és MBA hallgatóknak). Nekem is érdekes és tanulságos volt, és most összefoglaltam a tapasztalataimat és a terveimet a jövő félévre. De nem csak nekem van véleményem, a hallgatók is megírták a saját értékítéletüket és javaslataikat. Szerintem érdemes megkérdezni őket!

Ezen a héten egy kicsit más témáról írok. Már régen mondogatom, hogy írok majd az informatikai biztonságról – felhasználói szemmel. Nos, eljött az ideje! Megígérem, hogy nem lesz nagyon technikai, és a szakértők nem fognak sok újat tanulni belőle. Nem nekik szól majd 🙂

A többieket viszont várom!