- Anzeigen -


Sie sind hier: Home » Fachbeiträge » Grundlagen

KI-Anwendungen missbraucht


Wenn künstliche Intelligenz schief geht: Wie man Science Fiction von der Realität trennt
Die meisten der gängigen IoT-Geräte werden ohne Privatsphäre- oder Sicherheitseinrichtungen ausgeliefert



Malwarebytes veröffentlichte ihren Hintergrundbericht zum Einsatz Künstlicher Intelligenz (KI) innerhalb der Malware-Branche. In diesem Bericht wirft Malwarebytes dabei einen Blick zurück auf die Anfänge von KI, gibt einen Einblick in die Vorteile von KI und Machine Learning innerhalb der Cybersicherheitsbranche, definiert Einsatzgebiete mit Beispielen von KI bei Malware-Angriffen und gibt einen Ausblick, wozu bösartige Angriffe auf KI-Basis in Zukunft im Stande sind. Der komplette (englischsprachige) Hintergrundbericht ist unter diesem Link verfügbar.

Als Gesellschaft nutzen wir künstliche Intelligenz bereits in einer Vielzahl von Branchen: Spracherkennung, Wortvervollständigung, Biometrie, maschinelle Lernplattformen. KI ist über den Hype hinaus und wir werden bald feststellen, dass sie mittlerweile weit verbreitet ist. Malwarebytes geht davon aus, dass es einen entscheidenden Zeitraum in der Entwicklung der künstlichen Intelligenz gibt, in dem diejenigen, die diese relativ neue Technologie in die Welt bringen, die Wahl haben, sie verantwortungsbewusst zu nutzen oder ihre Entwicklung einfach um jeden Preis zu beschleunigen. Es ist jetzt an der Zeit, darüber nachdenken, bevor es Cyberkriminelle tun werden.

Was also, wenn jemand herausfindet, wie man KI-Anwendungen missbraucht? In den letzten Jahren haben wir erlebt, wie der Markt für intelligente Heimassistenten und Internet der Dinge (IoT) förmlich explodierte und damit die Aufmerksamkeit von Cyberkriminellen weckte, die schnell erkannten, dass sie mit geringem Aufwand in Heimnetze eindringen konnten. Die meisten der gängigen IoT-Geräte werden ohne Privatsphäre- oder Sicherheitseinrichtungen ausgeliefert.

Um zu verstehen, wie KI und maschinelles Lernen (ML) für kriminelle Zwecke genutzt werden könnten, hilft es, in die jüngere Vergangenheit zu blicken. In den letzten 20 Jahren haben wir massive Zwischenfälle durch die Einführung von Touch-Technologie, Social Media, Smartphones und sogar MP3s erlebt. In allen Fällen folgten auf die erste freudige Annahme von Technologie zeitnah Beispiele für ihren Missbrauch.

Werfen wir also einen Blick darauf, wie KI und ML heute eingesetzt werden, welchen Nutzen unsere Anliegen haben, sowie darauf, welche echte Missbrauchsmöglichkeiten wir in naher Zukunft sehen, so dass Entwickler, Sicherheitsexperten und andere Organisationen die KI verantwortungsbewusst integrieren und sich vor möglichen Angriffen schützen können.

Welche Vorteile hat der Einsatz von KI und ML in der Cyber-Sicherheit?
Die Cyber-Sicherheitsbranche – insbesondere Lösungsanbieter – benötigt eine technische Lösung, um der wachsenden Zahl neuer Malware-Varianten zu begegnen, die täglich eingesetzt werden. Angesichts des bekannten Mangels an qualifizierten IT-Mitarbeitern und Malware-Analysten und der rasanten Veränderungen in der Bedrohungslandschaft können KI-gestützte Technologien Prozesse einleiten und automatisieren, die den Menschen viel länger in Anspruch nehmen würden. Die Verwendung von KI in Cyber-Sicherheitslösungen ist nicht nur zur Zusammenstellung von Malware-Samples für Erkennungsmaschinen von Vorteil, sondern auch bei der Erstellung intelligenter Analysemechanismen, die zukünftige Versionen derselben Malware oder anderer Varianten derselben Malware-Familie erfassen können. Dadurch, dass KI Bedrohungsvarianten evaluiert, zusammenfasst und alltägliche Aufgaben skaliert, gibt sie Sicherheitsforschern die Möglichkeit, sich auf eine tiefere Analyse interessanterer, neuartiger Bedrohungen zu konzentrieren.

KI-gestützte Automatisierung hilft Unternehmen, Bedrohungen mit verbesserten Erkennungsfunktionen zu bekämpfen, indem Cyber-Sicherheitsprodukte Malware und andere Bedrohungen besser identifizieren, isolieren und beseitigen können, ohne dabei IT-Ressourcen belasten zu müssen. So nutzt Malwarebytes beispielsweise das maschinelle Lernen in seiner Anomalie-Erkennungsmaschine, um zusätzliche Bedrohungen zu identifizieren, die über die von anderen Technologieschichten bekannten hinausgehen, wie z.B. Anti-Ransomware oder die Blockierung bösartiger Websites. Von den fast 94 Millionen Nicht-PUPs, die von Januar bis Mai 2019 protokolliert wurden, waren 4,5 Millionen der Anomalieerkennung zugeordnet.

Welche Bedenken gibt es bei KI und ML?
Eines der Hauptprobleme von KI ist ihre Stabilität. Während KI meist eine sinnvolle Ergänzung zu Sicherheitslösungen ist, kann eine fehlerhafte Implementierung zu unzufriedenstellenden Ergebnissen führen. Der Einsatz von KI und ML in der Malware-Detektion erfordert eine ständige Feinabstimmung. Die heutige KI verfügt nicht über das notwendige Wissen, um gutartige Dateien zu ignorieren, die nicht den erwarteten Mustern entsprechen. Wenn das Geflecht eines neuronalen Netzes zu breit ist, kann Malware der Erkennung entgehen; zu fein, und die Sicherheitslösung löst ständig Fehlalarm aus.

Mit der überfallartigen Einführung von KI in der Sicherheitstechnologie wird auch für Cyber-Kriminelle eine Chance geschaffen, die Schwächen der derzeit eingesetzten KI gegen Sicherheitsanbieter und -nutzer zu verwenden. Sobald Bedrohungsakteure herausgefunden haben, wonach ein Sicherheitsprogramm sucht, können sie Lösungen finden, die ihnen helfen, die Erkennung zu umgehen und ihre eigenen bösartigen Dateien unter Verschluss zu halten.

Ein weiteres Feld, in dem wir bereits einen moralisch fragwürdigen Einsatz von KI und ML sehen, ist das Social Engineering, insbesondere im Bereich Fake News. In einem Blog-Post auf Malwarebytes Labs diskutierten wir die möglichen Auswirkungen von DeepFakes, einer Methode zur Erstellung gefälschter Videos von echten Menschen auf der Grundlage künstlicher Intelligenz. Die Autoren füttern einen Computer mit Informationen aus vielen Gesichtsausdrücken einer Person und finden jemanden, der die Stimme dieser Person nachahmen kann. Der KI-Algorithmus ist dann in der Lage, Mund und Gesicht aufeinander abzustimmen, um sich mit gesprochenen Worten zu synchronisieren. Das Endergebnis ist im Wesentlichen ein Face-Swap; das Transformieren des Kopfes einer Person auf den Körper einer anderen Person mit nahezu unauffälligen Veränderungen. Während sie hauptsächlich in Pornovideos in Underground-Foren verwendet werden, sind mit dieser Technologie bereits Beispiele für Fake News aufgetaucht.

Stellen Sie sich jetzt vor, Sie bekommen einen Videoanruf von Ihrem Chef, der Ihnen sagt, dass Sie Bargeld auf ein Konto für eine Geschäftsreise überweisen müssen, das das Unternehmen später zurückerstatten wird. DeepFakes könnte in unglaublich überzeugenden Speer-Phishing-Angriffen eingesetzt werden, die die Benutzer schwer als falsch zu identifizieren wären. Laut dem Jahresbericht der Sicherheitsfirma Mimecast nehmen Angriffe basierend auf Imitationen bereits zu. Etwa zwei Drittel der Unternehmen verzeichneten in den letzten 12 Monaten einen Anstieg von Imitationsangriffen. Von den Opfern erlitten 73 Prozent einen direkten Schaden.

Bösartige KI in Malware
Es gibt derzeit noch keine konkreten Beispiele für KI-fähige Malware. Einige realistische Szenarien sind jedoch:

Würmer
Stellen Sie sich Würmer vor, die in der Lage sind, die Erkennung zu umgehen, indem sie aus jedem Erkennungsereignis lernen. Wenn eine solche Familie von Würmern in der Lage ist, herauszufinden, was sie entdeckt hat, werden sie dieses Verhalten oder diese Eigenschaft beim nächsten Infektionsversuch vermeiden. Wenn der Code zum Beispiel bekannt wurde, könnten Wurmautoren den Code ändern oder wenn sein Verhalten markiert ist, könnten sie den Regeln zur Mustererkennung Zufälligkeiten hinzufügen.

Trojaner
Es gibt bereits Trojaner-Malware-Varianten wie Swizzor, die ständig neue Dateiversionen von sich selbst erzeugen, um Erkennungsroutinen zu täuschen. Die Verbesserung dieser Methode durch die Verwendung von KI ist vielleicht nicht so weit hergeholt, wie man denken könnte.

DeepLocker
Als Fallstudie entwickelte IBM Research ein Angriffs-Tool namens DeepLocker, das auf künstlicher Intelligenz basiert. DeepLocker wurde auf der Black Hat USA 2018 vorgestellt, um besser zu verstehen, wie einige bereits vorhandene KI-Modelle mit modernen Malware-Techniken kombiniert werden können, um eine neue Art von Malware zu entwickeln. Die IBM-Sicherheitsexperten Jiyong Jang und Dhilung Kirat erklärten: "DeepLocker ist so konzipiert, dass es heimlich arbeitet. Es fliegt unter dem Radar und vermeidet die Erkennung, bis es ein bestimmtes Ziel erfasst." Als Videokonferenzsoftware getarnt, wartet DeepLocker geduldig, bis er ein System erreicht, in dem eine bestimmte Bedingung erfüllt ist (das Ziel), und setzt dann seine schädliche Nutzlast ein. Dies macht es schwierig, den bösartigen Code zu finden und fast unmöglich, ihn zurück zu entwickeln. Malware, die mit diesen Spezifikationen entwickelt wurde, könnte viele Computer infizieren, ohne erkannt zu werden, und dann auf den Zielcomputern gemäß dem Befehl des Bedrohungsakteurs eingesetzt werden.

Welche Probleme können wir vorhersehen, wenn KI in Malware implementiert wird?
Wenn KI mit böswilliger Absicht verwendet wird, wird es einige alarmierende Folgen haben. Da KI-fähige Malware besser in der Lage ist, sich mit ihrer Umgebung vertraut zu machen, bevor sie zuschlägt, könnten wir schwer zu erkennende Malware, präzisere Bedrohungen, Phishing, destruktivere, netzwerkweite Malware-Infektionen, effektivere Verbreitungsmethoden, überzeugendere Fake News und Clickbait und mehr plattformübergreifende Malware erwarten.

Methoden, die Malware einsetzen könnte, um ihre Erkennung durch Sicherheitslösungen zu verhindern, umfassen etwa die Änderung des eigenen Verhaltens und der Eigenschaften basierend auf der Umgebung, das Löschen von sich selbst, wenn der Verdacht entstehet, dass sie analysiert wird, die Änderung ihres Erscheinungsbilds und die Bereitstellung bösartiger Aktivitäten nur auf bestimmten Systemen. Darüber hinaus könnten Malware-Autoren Sicherheitslösungen trainieren, die auf maschinellem Lernen basieren, um bestimmte bösartige Dateien in Ruhe außen vor zu lassen oder, wie bereits erwähnt, eine große Anzahl von Fehlalarmen zu erzeugen.

Die kombinierte Verwendung von KI und Big Data könnte die jetzt schon unzureichend geschützte Privatsphäre zunichtemachen. Malware-Autoren wüssten Details über ihre Ziele, die seit Jahren nicht mehr entdeckt wurden oder die sogar für Nutzer selbst unbekannt sind. Wenn man sich über die Macht von Cyberkriminellen im Klaren ist, ist der Weg zu sich schnell verbreitenden Speer-Phishing-Kampagnen nicht mehr weit, die kaum als bösartig erkannt werden können. Selbst erfahrenste Nutzer können auf solche personalisierten Angriffe hereinfallen. Wir haben bereits gesehen, wie die Verwendung exponierter personenbezogener Daten bei Fällen sogenannten "Sextortion-Betrug" verwendet wird, um die Nutzer zu täuschen, große Summen an den "Hacker" zahlen, der angeblich einen Videobeweis für potentiell schlüpfrige Aktionen hat. Darüber hinaus ahmen Betrüger, die Aktionen über WhatsApp oder Messenger durchführen, das Verhalten und den Wortlaut von Verwandten so genau nach, dass sie Nutzer davon überzeugen, große Geldbeträge zu senden, weil sie denken, dass sie ihren Liebsten dadurch helfen können.

Es gibt viele andere mögliche Szenarien, aber die oben genannten sind Techniken, die bereits heute im Einsatz sind und leicht aber auch rapide verbessert durch die Verwendung von KI eingesetzt werden können. (Malwarebytes: ra)

eingetragen: 08.07.19
Newsletterlauf: 02.08.19

Malwarebytes: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Grundlagen

  • Zertifikat ist allerdings nicht gleich Zertifikat

    Für Hunderte von Jahren war die Originalunterschrift so etwas wie der De-facto-Standard um unterschiedlichste Vertragsdokumente und Vereinbarungen aller Art rechtskräftig zu unterzeichnen. Vor inzwischen mehr als einem Jahrzehnt verlagerten sich immer mehr Geschäftstätigkeiten und mit ihnen die zugehörigen Prozesse ins Internet. Es hat zwar eine Weile gedauert, aber mit dem Zeitalter der digitalen Transformation beginnen handgeschriebene Unterschriften auf papierbasierten Dokumenten zunehmend zu verschwinden und digitale Signaturen werden weltweit mehr und mehr akzeptiert.

  • Datensicherheit und -kontrolle mit CASBs

    Egal ob Start-up oder Konzern: Collaboration Tools sind auch in deutschen Unternehmen überaus beliebt. Sie lassen sich besonders leicht in individuelle Workflows integrieren und sind auf verschiedenen Endgeräten nutzbar. Zu den weltweit meistgenutzten Collaboration Tools gehört derzeit Slack. Die Cloudanwendung stellt allerdings eine Herausforderung für die Datensicherheit dar, die nur mit speziellen Cloud Security-Lösungen zuverlässig bewältigt werden kann. In wenigen Jahren hat sich Slack von einer relativ unbekannten Cloud-Anwendung zu einer der beliebtesten Team Collaboration-Lösungen der Welt entwickelt. Ihr Siegeszug in den meisten Unternehmen beginnt häufig mit einem Dasein als Schatten-Anwendung, die zunächst nur von einzelnen unternehmensinternen Arbeitsgruppen genutzt wird. Von dort aus entwickelt sie sich in der Regel schnell zum beliebtesten Collaboration-Tool in der gesamten Organisation.

  • KI: Neue Spielregeln für IT-Sicherheit

    Gerade in jüngster Zeit haben automatisierte Phishing-Angriffe relativ plötzlich stark zugenommen. Dank künstlicher Intelligenz (KI), maschinellem Lernen und Big Data sind die Inhalte deutlich überzeugender und die Angriffsmethodik überaus präzise. Mit traditionellen Phishing-Angriffen haben die Attacken nicht mehr viel gemein. Während IT-Verantwortliche KI einsetzen, um Sicherheit auf die nächste Stufe zu bringen, darf man sich getrost fragen, was passiert, wenn diese Technologie in die falschen Hände, die der Bad Guys, gerät? Die Weiterentwicklung des Internets und die Fortschritte beim Computing haben uns in die Lage versetzt auch für komplexe Probleme exakte Lösungen zu finden. Von der Astrophysik über biologische Systeme bis hin zu Automatisierung und Präzision. Allerdings sind alle diese Systeme inhärent anfällig für Cyber-Bedrohungen. Gerade in unserer schnelllebigen Welt, in der Innovationen im kommen und gehen muss Cybersicherheit weiterhin im Vordergrund stehen. Insbesondere was die durch das Internet der Dinge (IoT) erzeugte Datenflut anbelangt. Beim Identifizieren von Malware hat man sich in hohem Maße darauf verlassen, bestimmte Dateisignaturen zu erkennen. Oder auf regelbasierte Systeme die Netzwerkanomalitäten aufdecken.

  • DDoS-Angriffe nehmen weiter Fahrt auf

    DDoS-Attacken nehmen in Anzahl und Dauer deutlich zu, sie werden komplexer und raffinierter. Darauf machen die IT-Sicherheitsexperten der PSW Group unter Berufung auf den Lagebericht zur IT-Sicherheit 2018 des Bundesamtes für Sicherheit in der Informationstechnik (BSI) aufmerksam. Demnach gehörten DDoS-Attacken 2017 und 2018 zu den häufigsten beobachteten Sicherheitsvorfällen. Im dritten Quartal 2018 hat sich das durchschnittliche DDoS-Angriffsvolumen im Vergleich zum ersten Quartal mehr als verdoppelt. Durchschnittlich 175 Angriffen pro Tag wurden zwischen Juli und September 2018 gestartet. Die Opfer waren vor allem Service-Provider in Deutschland, in Österreich und in der Schweiz: 87 Prozent aller Provider wurden 2018 angegriffen. Und bereits für das 1. Quartal dieses Jahres registrierte Link11 schon 11.177 DDoS-Angriffe.

  • Fluch und Segen des Darkwebs

    Strengere Gesetzesnormen für Betreiber von Internet-Plattformen, die Straftaten ermöglichen und zugangsbeschränkt sind - das forderte das BMI in einem in Q1 2019 eingebrachten Gesetzesantrag. Was zunächst durchweg positiv klingt, wird vor allem von Seiten der Bundesdatenschützer scharf kritisiert. Denn hinter dieser Forderung verbirgt sich mehr als nur das Verbot von Webseiten, die ein Tummelplatz für illegale Aktivitäten sind. Auch Darkweb-Plattformen, die lediglich unzugänglichen und anonymen Speicherplatz zur Verfügung stellen, unterlägen der Verordnung. Da diese nicht nur von kriminellen Akteuren genutzt werden, sehen Kritiker in dem Gesetzesentwurf einen starken Eingriff in die bürgerlichen Rechte. Aber welche Rolle spielt das Darkweb grundsätzlich? Und wie wird sich das "verborgene Netz" in Zukunft weiterentwickeln? Sivan Nir, Threat Analysis Team Leader bei Skybox Security, äußert sich zu den zwei Gesichtern des Darkwebs und seiner Zukunft.