Segurança > Ciberguerra, I.A.

Como cibercriminosos estão usando machine learning para ataques

Fique atento: conheça cinco técnicas de machine learning para ataques cibernéticos

05 de Fevereiro de 2018 - 11h05

Definido como a "capacidade do computador aprender sem ser explicitamente programado", machine learning já é apontada como grande aliada do setor de segurança da informação. É uma tecnologia que pode ajudar os analistas de segurança em praticamente tudo, desde auxiliar os profissionais na triagem das ameaças, até na análise de logs para rápida identificação e correção de vulnerabilidades. Há estudos também para uso de ML para melhorar a segurança dos end-points, automatizar tarefas repetitivas e até mesmo reduzir a probabilidade de ataques que resultem em vazamentos de dados.

Naturalmente, isso levou à crença de que essas soluções de segurança inteligentes irão detectar - e parar - o próximo ataque WannaCry, muito mais rápido do que as ferramentas tradicionais. "Ainda é um campo nascente, mas é claramente o caminho a seguir. A inteligência artificial e o machine learning mudarão radicalmente a forma como a segurança é feita ", disse Jack Gold, presidente e analista da J.Gold Associates, quando falou recentemente para a CSO.

"Com a rápida explosão de dados e aplicativos, não há realmente nenhuma outra maneira de fazer segurança que não seja através do uso de sistemas automatizados construídos com base na IA para analisar o tráfego de rede e as interações dos usuários", completou.

O problema é que os hackers sabem disso e esperam construir suas próprias ferramentas de machine learning e outras técnicas de IA para lançar ataques.

Como os cibercriminosos usam a aprendizagem de máquinas?

Cibercriminosos - organizados e oferecendo serviços abrangentes na Dark Web - estão inovando mais rápido do que as companhias especializadas em defesas de segurança. E isso é preocupante, dado o potencial inexplorado de tecnologias como machine e deep learning para este fim.

"Devemos reconhecer que, embora as tecnologias como IA e seus subgrupos, machine learning e deep learning, sejam pedras angulares das defesas cibernéticas do futuro, nossos adversários estão trabalhando mais intensa,ente que qualquer um de nós para implementar e inovar em torno delas", disse Steve Grobman , diretor de tecnologia da McAfee, em comentários recentes à mídia. "Como é frequentemente o caso da segurança cibernética, a inteligência humana ampliada pela tecnologia será o fator vencedor na corrida armamentista entre atacantes e defensores".

Isso tem levado naturalmente a temores de que logo logo estaremos diante de u confronto IA versus IA na área de segurança, no melhor estilo "O Exterminador do Futuro". Nick Savvides, CTO da Symantec, diz que este será "o primeiro ano em que veremos IA versus IA em um contexto de segurança cibernética", com os invasores mais capazes de explorar efetivamente redes comprometidas, o que claramente coloca a responsabilidade nos fornecedores de segurança para construir soluções mais automatizados e inteligentes.

"A resposta autônoma é o futuro da segurança cibernética", destacou Dave Palmer, diretor de tecnologia da Darktrace. "Algoritmos que podem tomar medidas corretivas inteligentes e direcionadas, abrandando ou mesmo interrompendo os ataques em andamento, enquanto ainda permitem que a atividade comercial normal continue como de costume, serão empregados em larga escala".

Sua aposta é a de que os ataques baseados em aprendizagem de máquinas, embora possam permanecer inéditos no momento, estão usando técnicas já alavancadas por grupos criminosos. O que pode facilitar a construção de defesas.

E quais seriam essas técnicas?

1. Malware cada vez mais evasivo

A criação de malware é, em grande parte, um processo manual. Os cibercriminosos escrevem scripts para criar vírus e trojans de computador e alavancar rootkits e outras ferramentas para ajudar a distribuição e execução desses códigos maliciosos.

Mas e se eles pudessem acelerar esse processo? O machine learning poderia ajudar a criar malware?

O primeiro exemplo conhecido de uso de machine learning para criação de malware foi apresentado no ano passadom em um artigo intitulado “Generating Adversarial Malware Examples for Black-Box Attacks Based on GAN”. No relatório, os autores revelaram como eles construíram uma rede adversária generativa (GAN) com base em algoritmos para gerar amostras de malware adversários que, criticamente, foram capazes de ignorar os sistemas de detecção baseados em Machine Learning.

Em outro exemplo, na conferência DEFCON, a empresa de segurança Endgame revelou como criou malware personalizado usando a estrutura OpenAI, de Elon Musk, para criar malware que os mecanismos de segurança não conseguiram detectar. A pesquisa do Endgame baseou-se na obtenção de binários que pareciam mal-intencionados. Alterando algumas partes, o código pareceria benigno e confiável para os mecanismos antivírus.

Outros pesquisadores, entretanto, previram que o Machine Learning pode e será usado para "modificar o código com base em como foi detectado no laboratório". Seria uma extensão do malware polimórfico.

2. Botnets inteligentes para ataques escaláveis

A Fortinet acredita que 2018 será o ano dos "hivenets" e "swarmbots" de auto-aprendizagem , em essência, marcando a crença de que os dispositivos inteligentes de "IoT" podem ser comandados a atacar sistemas vulneráveis ​​em escala. "Eles serão capazes de conversar uns com os outros e agir com base na inteligência compartilhada", disse Derek Manky, estrategista de segurança global da Fortinet. "Além disso, os zumbis tornar-se-ão inteligentes, agindo sem a necessidade de botnets instruindo-os o que fazer. Como resultado, os hivenets serão capazes de crescer exponencialmente como enxames, ampliando sua capacidade de atacar simultaneamente várias vítimas e impedir significativamente a mitigação e a resposta ".

Curiosamente, Manky diz que esses ataques ainda não estão usando Swarm Technology, o que poderia permitir que esses hivenets aprendessem com seu comportamento passado. Um subcampo da IA, a Swarm Technology é definida como o "comportamento coletivo de sistemas descentralizados e auto-organizados, naturais ou artificiais" e hoje já é usado em drones e dispositivos de robótica.

3. E-mails de phishing mais sofisticados e verossímeis

Uma das aplicações mais óbvias do Machine Learning para o crime é o uso de algoritmos de text-to-speech, reconhecimento de fala e processamento de linguagem natural (PNL) para engenharia social mais inteligente. Afinal, através de redes neurais recorrentes, você já pode ensinar estilos de escrita de software. Então, em teoria, os e-mails de phishing podem se tornar mais sofisticados e verossímeis.

Em particular, o Machine Learning pode facilitar o envio de e-mails avançados de phishing para atingir figuras de alto perfil, acomo executivos, ao mesmo tempo em que automatiza o processo como um todo. Os sistemas poderiam ser treinados em e-mails genuínos e aprender a fazer algo que pareça convincente.

Nas previsões do McAfee Labs para 2017, a empresa disse que os criminosos procurariam cada vez mais utilizar Machine Learning para analisar enormes quantidades de registros roubados, identificar potenciais vítimas e criar emails contextualmente detalhados que manipulariam esses indivíduos de forma muito eficaz.

Além disso, no Black Hat USA 2016, John Seymour e Philip Tully apresentaram um artigo intitulado "Weaponizing science de dados para engenharia social: automatizado E2E spear phishing no Twitter", que apresentou uma rede neuronal recorrente aprendendo a enviar mensagens de phishing para segmentar usuários. No documento, eles contam que a rede neural SNAP_R foi treinada para criar phishing dinamicamente com tópicos tirados dos posts da linha de tempo dos usuários-alvo, para aumentar a probabilidade de phishing.

Posteriormente, o sistema foi extraordinariamente eficaz. Em testes envolvendo 90 usuários, apresentou uma taxa de sucesso variando entre 30 e 60 por cento, uma melhoria considerável para o phishing manual e para os resultados de phishing em massa.

4. A inteligência da ameaça não é ruim

A inteligência da ameaça é indiscutivelmente uma benção quando se trata de machine learning. Por um lado, é universalmente aceito que, em uma era de falsos positivos, os sistemas de ML irão ajudar os analistas a identificar as ameaças reais provenientes de múltiplos sistemas. "A aplicação do aprendizado da máquina oferece dois ganhos significativos no domínio da inteligência de ameaças", disse Recorded Future CTO e co-fundador Staffan Truvé em um documento técnico recente .

"Primeiro, o processamento e a estruturação de volumes tão grandes de dados, incluindo a análise das relações complexas dentro deles, é um problema quase impossível de lidar somente com o uso de mão de obra especializada. Ampliar o que uma pessoal é razoavelmente capaz de fazer, usando ML, significa que você está mais efetivamente armado do que nunca para revelar e responder a ameaças emergentes ", escreveu Truvé. "O segundo é a automação - assumindo todas essas tarefas, que nós, como seres humanos, podemos realizar sem um problema, e usando a tecnologia para aumentar até um volume muito maior que possamos lidar".

No entanto, há a crença, também, de que os criminosos se adaptarão para simplesmente sobrecarregar esses alertas mais uma vez. Grobman, da McAfee, Já havia apontado para uma técnica conhecida como "raising the noise floor". Um cibercriminoso usará essa técnica para bombardear um ambiente de forma a gerar muitos falsos positivos para os modelos comuns de machine learning. Uma vez que um alvo recalibre o seu sistema para filtrar os falsos alarmes, o invasor poderá iniciar um ataque real que pode ser obtido pelo sistema de machine learning.

5. Acesso não autorizado

Um primeiro machine learning para ataques de segurança foi publicado em 2012 , pelos pesquisadores Claudia Cruz, Fernando Uceda e Leobardo Reyes. Eles usaram Support Vector Machines (SVM) para quebrar um sistema rodando em imagens reCAPTCHA com uma precisão de 82%. Todos os mecanismos de captcha foram subsequentemente melhorados, apenas para que os pesquisadores usassem aprendizagem profunda para quebrar o CAPTCHA mais uma vez. Em 2016, foi publicado um artigo que detalha como quebrar um simples captcha com uma precisão de 92 por cento usando Deep Learning.

Separadamente, a pesquisa "Eu sou robô", da BlackHat, no ano passado, revelou como os pesquisadores quebraram a última imagem semântica do CAPTCHA e compararam diversos algoritmos de Machine Learning. O documento prometeu uma precisão de 98 por cento ao quebrar o reCAPTCHA do Google.