Da je umjetna inteligencija (UI) dobila epitet zloćudne, pobrinuli su se posljednjih mjeseci kibernetički zlikovci koji je upotrebljavaju za ciljane napade golemim brzinama i neviđenih razmjera. A tko se zloćudnoj umjetnoj inteligenciji može suprotstaviti nego svojevrsna dobroćudna umjetna inteligencija, odnosno tehnologija autonomnog odgovora koja upotrebljava UI za poticanje reakcije na kibernetičke napade čim se pojave. Rat je počeo
Za mnoge se od nas strah od umjetne inteligencije (UI ili AI) i pametnih robota krije u slikama starog nam i dobro poznatog 'Terminatora'. Taj je film među prvima pokazao što bi se moglo dogoditi ako zlonamjerna umjetna inteligencija potpomognuta robotima preuzme kontrolu. No, to je još uvijek samo stvar znanstvene fantastike i među mnogim kibernetičkim prijetnjama s kojima ćemo se suočiti idućih godina, osjećajni UI (Arnold) nije jedna od njih.
Ali umjetna inteligencija koja osnažuje kibernetičke kriminalce je vrlo ozbiljna stvarnost, čak i kada uvažavamo blagodati umjetne inteligencije u kibernetičkoj sigurnosti. Tijekom proteklog desetljeća napredak tehnologije smanjio je vrijeme koje je kriminalcima potrebno za modificiranje uzoraka zlonamjernog softvera ili prepoznavanje ranjivosti. Ti su alati postali lako dostupni, što je povećalo razvoj i distribuciju redovnih prijetnji, poput adwarea, trojanaca i ransomwarea. Kao rezultat napretka u obrani od napada vidjet ćemo i sve sofisticiranije prijetnje koje će dolaziti osnažene umjetnom inteligencijom i pitanje je hoće li se sigurnosne kontrole koje trenutačno štite razne mreže prilagoditi poplavi naprednih AI napada.
Microsoft i Google već sada primjenjuju alate za zbunjivanje napada – to u osnovi znači da automatizirano otkrivaju ranjivosti sustava strojnim učenjem i pronalaze programske pogreške prije negoli to učine, tj. otkriju ih, kibernetički kriminalci.
Automatizirani odgovor
Najlakša meta za napade ojačane umjetnom inteligencijom nisu nužno ranjivi sustavi, već ljudski korisnici koji stoje iza tih sustava. Primjerice, tehnologija UI koja može prikupljati (eng. scraping – strugati) osobne podatke s internetskih stranica ili društvenih mreža te sve važno o potencijalnoj žrtvi proslijediti kibernetičkim kriminalcima ne zvuči nimalo dobro. Strugači podataka vrsta su softvera koji vodi do web-stranica i pronalazi sve relevantne podatke hostirane na toj stranici.
Podaci se zatim pohranjuju u bazu podataka, gdje ih ljudi mogu katalogizirati, organizirati i analizirati kako bi zadovoljili potrebe skupljača podataka. Tako postupaju svi, od obavještajnih analitičara do oglašivača. Napadači mogu upotrijebiti alate za automatsko povezivanje dijelova tih podataka kako bi stvorili profil potencijalne mete. S tim profilom mogu upotrijebiti AI za izradu specijaliziranih e-adresa koje povećavaju vjerojatnost da se korisnik zarazi ili postane žrtvom napada.
Kibernetički napadi dolaze u različitim formama, a tip napada o kojem najčešće slušamo je kada zainteresirana grupa ili pojedinac pokušavaju upasti u računalni sustav neke kompanije ili institucije putem interneta, dakle upotrebljava neki od postojećih izlaza tog entiteta na internetu da bi se probili kroz njega u unutarnju mrežu sustava i potom počeli raditi što god im je već namjera – krasti, kopirati ili mijenjati podatke i slično. Najčešće iza napada stoji stjecanje financijske koristi, a nekad su cilj podaci koji imaju neku vrijednost onome tko je meta napada.
Tino Šokić, stručnjak za kibernetičku sigurnost i privatnost, kaže da su prošlu i početak ove godine obilježili napadi na zdravstvene podatke, tj. zdravstvene ustanove, bolnice i klinike.
– Prošle se godine dogodio i prvi smrtni slučaj u kojem je kibernetički napad bio neizravan uzrok. U Njemačkoj je pacijent koji je trebao biti prevezen u jednu bolnicu, zbog kibernetičkog napada na tu bolnicu prevezen u drugu udaljeniju te je zbog vremena izgubljenog u prijevozu preminuo. To više nije samo ilustracija, već ozbiljna i izravna ugroza života ljudi – govori Šokić.
No u praksi, kaže Marko Rakar, politički konzultant i IT stručnjak, najčešći napadi kojima svjedočimo su različiti cryptolockeri koji enkriptiraju sadržaj diskova i potom traže otkupninu.
– Osim toga, najčešći napad se događa uz pomoć samih korisnika, dakle s unutarnje strane sustava, i to na način da korisnici koji nisu educirani otvore ili pokrenu program koji su dobili elektroničkom poštom, iskoriste zaraženi USB stick ili hard disk i jednom kada je zlonamjerni softver pokrenut s unutarnje strane mreže hakeri s njime ostvare kontakt i počnu tražiti slabosti unutar mreže. Vrlo čest tip kibernetičkog napada je i provala u različite web-sustave, koji jednom kada su kompromitirani, budu iskorišteni da se s njih downloadaju osobni podaci njihovih korisnika, adrese elektroničke pošte, zaporke, brojevi kreditnih kartica i slično – objašnjava Rakar.
Najmekša meta
Generalno, korisnici informatičkog sustava redovito su najslabija karika informatičke sigurnosti i redovito su i najlošije educirani o potencijalnim prijetnjama i kako one mogu nastati. Da su najmekša meta ljudi slaže se i Šokić, koji dodaje da je kod tog problema jedino rješenje edukacija.
– Obrana od takvih napada je kompleksna jer se sastoji od mnogo elemenata u lancu i ako jedna karika pukne, cijeli je lanac probijen. Često je ta karika upravo čovjek, pa smatram da je edukacija jedna od najboljih obrambenih metoda. Druga po redu bila bi redovita revizija i analiza sustava, što uključuje programski i računalni kod – ističe Šokić.
Rakar napominje da je računalni kod veliki izvor kompromitacije, a njega proizvode same organizacije i institucije kako bi obavljao neki posao. Dodaje da je česta situacija da interni razvoj u procesu kontrole kvalitete ne uključuje provjere sigurnosti računalnoga koda.
– Redovna je pojava da se lošim programiranjem putem različitih oblika SQL injectiona ili buffer overflowa omogući zlonamjernim korisnicima da preuzmu kontrolu ili podatke sustava kojem pristupaju. Iako postoje alati koji se bave provjerama računalnoga koda, iznenađujuće je koliko ih malo tvrtki upotrebljava, a jedna od prepoznato najboljih tvrtki na svijetu u tom segmentu je domaći DefenseCode – kaže Rakar.
Svojevrsna UI obrana
Umjetna inteligencija može se upotrijebiti za dobrobit, sve ovisi tko se i u kojem obliku njome koristi, a jedan od najboljih primjera kako umjetna inteligencija, odnosno njezin podsustav strojno učenje može raditi za nas i obranu testiranje je ranjivosti sustava, ali i detekcija napada.
– Jedna od osnovnih metodologija kibernetičkih kriminalaca pronalazak je ranjivosti na meti sustava i njezino iskorištavanje. To se može izvesti tako da se pronađe ranjivost ili pogreška u programskom kodu nekog sustava te se putem njih protupravno pristupi tom sustavu – kaže Šokić.
Rakar dodaje da kod korištenja UI-ja u detekciji napada ipak treba biti oprezan jer je većina rješenja UI-ja u biti malo kompleksnija statistička metoda koja služi za detekciju neuobičajenih ponašanja informatičke opreme, stanja na mreži ili ponašanja korisnika.
– UI, ako ga tako možemo nazvati, vrlo je dobar u uočavanju neuobičajene aktivnosti jer je u stanju promatrati milijune izdvojenih aktivnosti istodobno, i ono što bi se lagano izgubilo u šumi redovnih događaja za nekog sistemskog administratora vrlo je jasan alarm za sustav detekcije informatičkih prijetnji zasnovan na umjetnoj inteligenciji pa se može pretpostaviti da će se ovakvi sustavi sve više upotrebljavati u budućnosti – smatra Rakar.
Kada pričamo o obrani, iste metode mogu se upotrijebiti kako bi se zaštitio sustav, odnosno kako bi se pronašle ranjivosti prije nego što to učine kibernetički kriminalci. To može biti programsko rješenje, aplikacija koja radi analizu i testiranja na ranjivost određene mete te nas naravno izvještava o pronađenim propustima ili potencijalnim propustima. Šokić kaže da je za korištenje strojnog učenja potrebna enormna količina podataka kako bi takav sustav prepoznao obrasce među tim podacima te na kraju pružio pretpostavke na temelju kojih mi, ljudi, možemo poduzeti određene radnje.
– Dobar primjer takvih ranjivosti su zero-day ranjivosti. To su propusti u računalnom sustavu koje je netko otkrio prije proizvođača tog sustava ili rješenja. Za takve ranjivosti još ne postoji zakrpa koja uklanja sigurnosni problem te su svaki sustav i svako računalo koji posjeduju takvu ranjivost potencijal za zlonamjerne napade – veli Šokić.
Čovjek na ciljniku
Domaće tvrtke i institucije generalno nemaju dedicirane timove ili čak i stručnjake koji bi se mogli adekvatno boriti protiv napada na informatičku infrastrukturu. Naravno, postoje pojedine tvrtke i institucije kojima je to posao pa je generalizacija nespretna, ali u nekom prosjeku većina je nepripremljena za bilo koji oblik informatičkog napada.
– Računalna sigurnost uglavnom se smatra troškom i ne postoji sustavna ili imalo temeljita edukacija osoblja koje upravlja informatičkim sustavima, a ponajmanje među korisnicima. Generalne iznimke su financijski sektor, kojem je to sastavni dio procjene rizike, te naravno telekomi, kojima je sigurnost sustava kritičan faktor funkcioniranja. U ostalim segmentima, uključivo i državu, svijest o računalnoj sigurnosti i kako se boriti protiv napada na infrastrukturu de facto ne postoji. Alata je vrlo malo, stručnih ljudi još manje, a sustavi ako i postoje rijetko kada su iskorišteni – ističe Rakar.
Što nas očekuje u budućnosti teško je prognozirati, ali sigurno je da će napadi biti sve kreativniji, a posljedično i obrana, iako ona često kaska za motiviranim hakerima. Šokić smatra da će u budućnosti hakerski napadi biti fokusirani na čovjeka kao metu bilo metodom društvenog inženjeringa bilo nekom sofisticiranijom metodom profiliranja uz pomoć strojnog učenja i UI-ja.
S tim se slaže i Rakar, koji dodaje kako će se osim uobičajenih smjerova napada pojaviti do sada nekorištene i nepoznate metode kompromitacije, pa će postati izrazito teško znati gdje uopće treba gledati i na što paziti u sustavima.
– Kolektivno iskustvo i alati koji nam stoje na raspolaganju, ako se upotrebljavaju, mogu znatno otežati kompromitaciju računalnih sustava, ali kupiti dobar firewall ili softver za detekciju napada ne rješava problem, riječ je o tome da treba imati kontinuiran i sustavan pristup računalnoj sigurnosti koji se redovito preispituje, nadograđuje i testira – zaključuje Rakar.