Webaanvallen? Zet ki in

Schaakcomputer Deep Blue van IBM

Schaakcomputer Deep Blue van IBM (afb: WikiMedia Commons)

Webaanvallen worden als steeds grotere dreiging gezien. Die hebben het in zich grote delen van de maatschappij lam te leggen. Aanvallers hoeven maar het netwerk van de plaatselijke elektriciteitsmaatschappij te kraken en de verlamming is een feit. Meestal vinden die aanvallen plaats via, soms, heel onnozele, lekken in de programmatuur of in kwetsbaarheden van het netwerk zelf. Sommige webbeveiligingsbedrijven denken dat kunstmatige intelligentie (ki) de oplossing zou kunnen zijn. Als, bijvoorbeeld, plots van aard/patroon verandert, dan zou dat kunnen duiden op ongeoorloofde activiteit. Maar de ‘vijand’ slaapt natuurlijk ook niet…

Wat je doet is een ki-systeem voeden met een hoop gegevens om dat te leren hoe de patronen er uit zien in normaal bedrijf. Als het systeem dat door heeft dan kan dat continu het webverkeer meten en analyseren en als het iets vreemds tegenkomt alarm slaan. Dat vreemde zou wel eens op webaanvallers kunnen duiden. Als het ki-systeem de tijd krijgt om de patronen te leren onderkennen dan pikt dat de aanvallen en kwaadaardige protuur er na die leerperiode zó uit.
Er zijn mensen die beweren dat krakers kwaadaardige protuur kunnen schrijven die ki voor de gek kunnen houden. Zo ki-systeem leert weliswaar snel, maar kan aanlopen tegen een progtype dat de makers niet hadden voorzien. Denk bijvoorbeeld aan de manier waarop de robottwitteraarster Tay van Microsoft door kwettertrollen werd veranderd in een volbloedraciste. Dat pleit tegen ki als poortwachter tegen webaanvallen.
Toch zegt Mike Sherwood, hoofd innovatie en technologie van de gemeente Las Vegas, dat hij vertrouwen heeft de de ki-software van Darktrace (verkoopt naar eigen zeggen ‘bedrijfsafweersystemen’) die het netwerk van de stad, inclusief duizenden sensoren, de laatste anderhalf jaar beschermt tegen ongeoorloofde aanvallen van derden, 24 uur per dag. Dat is natuurlijk wel handig als je maar drie medewerkers hebt die zich met webbeveiliging bezighouden, in een stad met meer dan 630 000 inwoners, 3000 ambtenaren en duizenden apparaten die aan dat netwerk hangen.
Twee jaar geleden toen Sherwood die baan kreeg zou het slechter zijn geweest. “Toen hadden we daarvoor nog maar een man. Toen dacht ik: Ik heb hulp nodig en ik kan niet meer mensen aannemen.” Hij had al ervaring met Darktrace uit zijn vorige baan bij de Californische stad Irvine en hij dacht dat die protuur ook Las Vegas zou kunnen helpen. Binnen twee weken vond Darktrace kwaadaardige protuur op het netwerk van Las Vegas die gegevens verstuurde naar zijn ‘baasjes’. “We wisten dat niet. Gewone scanners misten dat.”

Het deel van Las Vegas waar Sherwood is gehuisvest in het innovatiecentrum is veel ‘slimmer’ dan de wat sjofele omgeving doet vermoeden. Verborgen in straatlantarens, verkeerslichten en leidingen zijn duizenden sensoren aangebracht. Die houden de luchtkwaliteit in de gaten, sturen de verkeerslichten en de watervoorziening aan. Ze houden ook de verkeersintensiteit bij en leveren wifi. Las Vegas koos deze wat aggenebbisj vestigingsplaats om de omgeving te reactiveren, vertelt Sherwood.

Er is een groot probleem: al die verbonden apparaten zijn potentiële doelwitten van webaanvallers. Daar komt Darktrace binnen. De meeste ki-systemen moeten het hebben van brute rekenkracht en zijn eigenlijk allesbehalve intelligent. Zo werkte, bijvoorbeeld, Deep Blue van IBM, de computer die schaakwereldkampioen Garri Kasparov wist te verslaan in 1997.
In de webbeveiliging wordt de programmatuur zo ingericht dat ze malwaar’handtekeningen’ kunnen herkennen. Dat zijn in feite algoritmes die virussen of wormen kunnen identificeren en geen computers die van elke situatie alle mogelijkheden doorrekenen en dan de meest beloftevolle voortzetting kiezen zoals Deep Blue deed.

Menselijk gedrag

Darktrace houdt zich niet bezig met het doorworstelen van grote hoeveelheden gegevens van een databank met kwaadaardige protuur die tot dan toe in omloop is (geweest). Dat systeem leert in een week wat normaal gedrag is van het te beveiligen netwerk. Het slaat alarm als die patronen worden doorbroken, als, bijvoorbeeld, ineens grote hoeveelheden bestanden worden versleuteld.

Toch is het waarschijnlijk nog te vroeg om Darktrace de vrije hand te geven en rustig achterover te leunen (als dat ooit mogelijk wordt), zegt David Brumley, hoogleraar webveiligheid aan de Carnegie Mellon-universiteit. Hij denkt dat die tijd nog minstens tien jaar in de toekomst ligt. “Ki mist makkelijk dingen. Het is geen perfecte oplossing en je hebt nog steeds mensen nodig om belangrijke keuzes te maken.” Brumley en zijn medewerkers bouwden vorig jaar een ki-machine die in een wedstrijd van defensieonderzoeksorganisatie DARPA alle concurrenten versloeg. Een paar dagen later ronselde een concurrent een paar van de beste krakers op het kraakcongres Defcon. Zij kwamen als laatste.

Voorlopig kunnen de ki-systemen dus nog niet zonder mensen, omdat ki-beveiliging toch nog steeds vooral berust op het razendsnel verwerken van veel gegevens. Tamelijk dom, dus. Dat is goed genoeg om Kasparov te verslaan. Kasparov, aanwezig bij het Defcon-congres in Las Vegas, legt er de nadruk op dat het de tweede poging van Deep Blue was. “Ik won de eerste match.” Tegenwoordig is hij ambassadeur van het beveiligingsbedrijf Avast.
Hij houdt op Defcon, de 25ste, namens Avast een praatje over de noodzaak van ki bij webbeveiliging. Volgens hem kunnen machines nu zo snel leren dat mensen het niet meer kunnen bijbenen, of het nu gaat om schaken of webveiligheid. “Het vrijwel onmogelijk dat mensen de waakzaamheid en nauwkeurigheid van machines kunnen verslaan”, zegt de oud-schaakkampioen.

Darktrace

Bij Darktrace in New York tonen medewerkers een netwerk van computers en printers terwijl Darktrace (het programma, niet het bedrijf) de wacht houdt. “Sue, bijvoorbeeld, heeft nooit zoveel interne gegevens nodig”, zegt verkoopleider Nancy Karches. “Dit wijkt af van haar normale patroon.” Zo voorkomt Darktrace hoogstwaarschijnlijk een aanval door een andere machine. “Als je een geautomatiseerde aanval hebt, dan beweegt die zich met de snelheid van een machine van de ene computer naar de andere”, zegt Darktrace-baas Nicole Eagan. “Voor mensen is dat heel lastig te volgen.”

De vraag is wat er gebeurt als ki de norm wordt. Brumley: “Dan zullen krakers hun aandacht verleggen naar fouten en kwetsbaarheden in de machine. Dat doen ze nu nog niet. We zien het elke keer weer. Nieuwe oplossingen lijken beter te werken omdat aanvallers daar nog niet hun tanden in hebben kunnen zetten. Als die oplossingen populair worden dan werken die steeds slechter.” Zo’n 60% van de veiligheidsexperts op Defcon (georganiseerd door de Zwarte Hoeden) denken dat krakers in 2018 ki zullen gebruiken voor hun aanvallen.
“Ki, machineleren, is niet onfeilbaar”, zegt Hyrum Anderson van Endgame. Hij houdt zich bezig met ki-systemen die digitale inbrekers moeten ‘pakken’. De strijd in de toekomst zal ki tegen ki worden, verwacht hij. “De menselijke aanvaller kan het door proberen aan de weet komen. Dat kost hem maanden. Een bot, een automatisch systeem, kan dat ook leren. In uren.”

Veilig

Sherwood voelt zich nu in Las Vegas veilig met Darktrace aan zijn zij. Hij beseft wel dat op een dag ook de ‘vijand’ zich zal wapenen met ki. Daarom is hij ook op Defcon, om te leren om menselijk beoordelingsvermogen en creativiteit te paren aan de snelheid en accuratesse van ki-systemen. Dat is ook Kasparovs verhaal: machines zullen 80, 90% van het werk doen, maar hij denkt dat ze nooit die laatste 10, 20% zullen halen. “Je ziet steeds meer geavanceerde vernietiging aan de ene kant en dat dwingt je om aan de andere, de positieve kant om creatiever te worden. Menselijke creativiteit maakt het verschil.”

Bron: CNet

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *