Mit Machine Learning gehackt?

Wie maschinelles Lernen zum Verhängnis wird

12.02.2018 von Doug Drinkwater und Florian Maier
Machine-Learning-Algorithmen könnten die IT Security maßgeblich voranbringen. Doch auch kriminelle Hacker haben das maschinelle Lernen für sich entdeckt.

Definiert wird Machine Learning (ML) als "Fähigkeit (eines Computers), ohne entsprechende Programmierung zu lernen". Für die IT-Sicherheitsbranche ist das ein großer Wurf. Schließlich hat die Technologie das Potenzial, den menschlichen Sicherheitsanalysten unter die Arme zu greifen, um Schwachstellen und Einfallstore in der IT schnellstmöglich zu identifizieren und schließen zu können. Neben der Malware-Detektion und dem Auswerten von Logfiles könnte sich maschinelles Lernen im Security-Bereich auch positiv auf die Sicherheit von Endpoints auswirken und zur Automatisierung repetitiver Aufgaben zum Einsatz kommen.

Diese Entwicklung hat vielerorts zu der Überzeugung geführt, dass mit Hilfe von Machine-Learning-Lösungen (im Gegensatz zu Legacy Tools) auch die nächste WannaCry-Attacke postwendend entdeckt und verhindert wird. Fakt ist: Die explosionsartige Vermehrung von Daten und Apps machen den Einsatz von Automatisierungslösungen unumgänglich - vielerorts braucht man maschinelles Lernen und Künstliche Intelligenz, um dem Netzwerk-Traffic und den User-Interaktionen überhaupt noch Herr werden zu können.

Wenn Machine Learning ein böses Ende nimmt: Wir sagen Ihnen, wie kriminelle Hacker die Technologie für ihre Zwecke nutzen könnten.
Foto: Bas Nastassia - shutterstock.com

Das Problem an der Sache: Kriminelle Hacker wissen das. Und werkeln fleißig an ihren eigenen KI- und Machine-Learning-Tools, die künftig für Angriffe bisher nicht gekannter Komplexität sorgen könnten.

Wie nutzen Hacker Machine Learning?

Durch einen zunehmenden Organisationsgrad und eine blühende Darknet-Servicelandschaft treiben kriminelle Hacker inzwischen ihre Innovationen so schnell voran, dass die IT-Sicherheit kaum mehr Schritt halten kann. Das Szenario wird umso bedrohlicher, wenn man bedenkt, dass sich sowohl die Machine-Learning-, als auch die KI-Technologie erst am Anfang ihrer Entwicklung befindet.

"Machine Learning, Deep Learning und KI werden die Grundpfeiler der IT-Sicherheit von morgen sein. Dennoch müssen wir erkennen, dass unsere Gegner ebenso enthusiastisch arbeiten und Innovationen auf den Weg bringen", meint Steve Grobman, CTO bei McAfee. "Wie so oft wenn es um die IT Security geht, liegt der Schlüssel zum Sieg im Rennen zwischen Angreifern und Verteidigern darin, menschliche Intelligenz gezielt mit Technologie zu erweitern."

Eine Entwicklung, die eine menschliche Urangst auf den Plan ruft: KI bekämpft KI á la "Terminator 2". "Wir werden 2018 erstmals miterleben, dass es im Cybersecurity-Umfeld Künstliche Intelligenzen miteinander zu tun bekommen", offenbart Nick Savvides, CTO bei Symantec. "Die Angreifer werden künftig viel effektiver kompromittierte Netzwerke durchsuchen können. Deshalb sind jetzt die Security-Provider gefragt, darauf mit intelligenten, automatisierten Lösungen zu antworten."

"Autonome Gegenmaßnahmen sind die Zukunft der IT-Sicherheit", unterstreicht Dave Palmer, Director of Technology bei Darktrace. "Algorithmen, die intelligente und gezielte Rehabilitationsmaßnahmen durchführen können und laufende Hackerangriffe verlangsamen oder gar stoppen können, während der Betrieb normal weiterlaufen kann, werden zum Standard."

Von Hackerangriffen mit Machine-Learning-Tools war bislang zwar noch nicht viel zu hören oder zu lesen, doch einige Angriffs-Techniken werden bereits von Cyberkriminellen adaptiert. Wir zeigen Ihnen sechs Wege, wie Machine Learning zum Verhängnis werden kann.

Zum Video: Wie maschinelles Lernen zum Verhängnis wird

1. Malware

Die "Kreation" von Malware stellt für kriminelle Hacker in der Regel einen manuellen Prozess dar: Sie schreiben Scripts, erdenken Viren und Trojaner und nutzen Rootkits, Passwort-Scraper und andere Tools, um ihr schadhaftes Werk an den Mann zu bringen. Was aber, wenn die Cyberkriminellen diesen Prozess massiv beschleunigen könnten? Gibt es einen Weg, wie maschinelles Lernen bei der Malware-Erstellung und -Verbreitung helfen kann?

Das erste bekannte Beispiel für ML-unterstütze Malware-Erstellung wurde bereits 2017 präsentiert. Die Erkenntnisse wurden im Rahmen eines Forschungspapiers veröffentlicht. Die Autoren beschreiben hier, wie sie mit Hilfe eines GAN ("Generative Adversarial Networks") -Algorithmus Malware-Samples erstellt haben, die pikanterweise auch ML-basierte Detection-Systeme umgehen konnten.

Ein weiteres Beispiel: Der Sicherheitsanbieter Endgame enthüllte auf der DEFCON 2017 "maßgeschneiderte" Malware, die mit Elon Musks OpenAI-Framework erstellt wurde und ebenfalls nicht von gängigen Sicherheitslösungen erkannt wurde. Um das zu bewerkstelligen, bedienten sich die Security-Experten eines einfachen Tricks: Binärdateien, die den Anschein machten maliziös zu sein, wurden in Details modifiziert - schon hielten die Antivirus-Engines sie für vertrauenswürdig.

Einige Experten rechnen auch damit, dass kriminelle Hacker Machine Learning dazu nutzen werden, ihren Schadcode "on the fly" zu verändern - polymorphe Malware 2.0 sozusagen.

Zum Video: Wie maschinelles Lernen zum Verhängnis wird

2. Botnetze

Der US-Sicherheitsanbieter Fortinet rechnet fest damit, dass 2018 das Jahr der selbstlernenden "hivenets" und "swarmbots" wird. Enden könnte das Ganze damit, dass IoT-Devices benutzt werden, um die Größenordnung von Attacken skalieren zu können. "Die Devices werden in der Lage sein, miteinander zu kommunizieren und auf Basis gemeinsam genutzter Intelligenz Maßnahmen ergreifen", erklärt Derek Manky, Sicherheitsforscher bei Fortinet.

"Darüber hinaus werden die Zombie-Rechner innerhalb von Botnetzen künftig ‚smart‘ und werden in der Lage sein, selbständig zu ‚handeln‘. Das wird ein exponentielles, schwarmartiges Wachstum von ‚hivenets‘ in Gang setzen, die mehrere Ziel zeitgleich angreifen können und Gegenmaßnahmen so drastisch erschweren."

Interessanterweise nutzen solche Attacken nach den Worten von Manky noch gar keine Schwarmintelligenz, die die "hivenets" dazu befähigen würde, aus dem Verhalten der Vergangenheit zu lernen. Die Schwarmtechnologie ist ein Teilfeld der Künstlichen Intelligenz und kommt heute bereits bei Drohnen und Robotern zum Einsatz.

3. Phishing

Eines der offensichtlicheren Anwendungsfelder von kriminell motiviertem Machine Learning istSocial Engineering. Mit Hilfe von Algorithmen könnte das in Zukunft deutlich smarter ablaufen. Speziell die Technologie des maschinellen Lernens könnte Spear-Phishing-Attacken auf hochrangige Ziele - beispielsweise mit Hilfe von NLP-Algorithmen - deutlich einfacher machen und darüber hinaus den gesamten, zugrundeliegenden Prozess automatisieren.

Auf der Black Hat USA im Jahr 2016 präsentierten die Sicherheitsforscher John Seymour und Philip Tully, wie sie ein rekurrentes, neuronales Netzwerk dazu nutzten, Phishing-Posts auf Twitter an ganz bestimmte Zielgruppen "auszuliefern". Dazu trainierten die Forscher das Netzwerk mit Hilfe einer Spear-Phishing-Pentesting-Datenbank. Das Ergebnis war bemerkenswert effektiv: Im Rahmen eines Tests mit 90 Usern lieferte das Framework eine Erfolgsquote zwischen 30 und 60 Prozent. Das klingt vielleicht nach wenig, ist aber ein gewaltiger Fortschritt im Vergleich zu manuell angestoßenen Phishing-Versuchen.

4. Threat Intelligence

Geht es umMachine Learning, ist Threat Intelligence ein zweischneidiges Schwert. Einerseits steht außer Frage, dass die Technologie im Zeitalter der IT-Fehlalarme maßgeblich bei der Identifizierung von Bedrohungen und der Automatisierung repetitiver Aufgaben unterstützen kann.

Andererseits steht aber auch die Befürchtung im Raum, dass kriminelle Hacker sich an die neuen Gegebenheiten allzu leicht anpassen könnten. So könnte ein Cyberkrimineller eine IT-Umgebung mit Fehlalarmen im Überfluss bombardieren, um eine Neukalibrierung des Systems zu erzwingen. Wenn das geschieht, könnte der Angreifer eine "echte" Attacke starten und so das ML-getriebene Abwehrsystem umgehen.

Security Automation 2017
Alexander Haugk, Senior Consultant / Trainer bei der baramundi Software AG:
"Unternehmen dürfen die Komplexität von Security Automation nicht unterschätzen. Zudem setzen viele Unternehmen zu komplizierte Automatisierungslösungen ein – mit der Folge, dass Nutzer bei der praktischen Anwendung Probleme haben."
Alexander Haugk, Senior Consultant / Trainer bei der baramundi Software AG:
Alexander Haugk, Senior Consultant / Trainer bei der baramundi Software AG: "Es ist geradezu erschreckend, welch geringen Stellenwert IT-Fachleute dem Thema Patch-Management einräumen. Dadurch erhöht sich die Gefahr erheblich, dass Hacker bekannte Sicherheitslücken für ihre Zwecke ausnutzen können."
Mike Hart, Vice President Central and Eastern Europe bei FireEye:
"Nach unseren Erfahrungswerten für den Raum Europa, Mittlerer Osten und Afrika können sich Angreifer im Durchschnitt 106 Tage lang unbemerkt in einem Netzwerk bewegen."
Mike Hart, Vice President Central and Eastern Europe bei FireEye:
"Ein betroffenes Unternehmen weiß normalerweise nicht, wie lange ein Angreifer bereits Zugang zu seinen IT-Systemen hat. Daher ist Threat Intelligence unverzichtbar, um Attacken möglichst frühzeitig zu erkennen."
Matthias Straub, Director Consulting für Deutschland und Österreich, NTT Security (Germany):
"Das Automatisieren von IT-Sicherheitsprozessen und der Einsatz entsprechender Lösungen kann maßgeblich dazu beitragen, die Reaktion auf Angriffe erheblich zu reduzieren."
Matthias Straub, Director Consulting für Deutschland und Österreich, NTT Security (Germany):
"IoT wird die Angriffsfläche in Unternehmen und öffentlichen Einrichtungen deutlich erhöhen. Wichtig ist es daher, dass die Nutzer von den Anbietern von IoT-Lösungen fordern, dass diese IT-Sicherheit in ihre Lösungen integrieren."
Unternehmen setzen auf Security Automation:
An die 83 Prozent der Unternehmen und Organisationen in Deutschland setzen laut der Studie von IDG Research Security-Automation-Lösungen ein oder wollen dies tun.
Vorteile von IT Security Automation:
Zwei Drittel der Unternehmen erhoffen sich von automatisierten Prozessen im Bereich IT-Sicherheit eine kürzere Reaktionszeit bei Angriffen.
Problem Reaktionszeiten:
Die Automatisierung von IT-Sicherheitsfunktionen kann nach Einschätzung von IT-Fachleuten nachhaltig dazu beitragen, Bedrohungen schneller zu erkennen und auszuschalten.
Noch Luft nach oben:
IT-Abteilungen betrachten Security Automation als wichtiges Hilfsmittel im Kampf gegen Cyber-Bedrohungen. Dennoch bevorzugen viele Unternehmen derzeit noch konventionelle Maßnahmen, etwa eine bessere Schulung der Mitarbeiter.

5. Unbefugter Zugriff

Bereits im Jahr 2012 wurde von Sicherheitsforschern ein Beispiel für einen Hackerangriff mit Machine Learningveröffentlicht. Die Wissenschaftler nutzten "Support vector machines", um ein System zum Einsturz zu bringen, das auf Grundlage von reCaptcha-Bildern lief.

In der Folge wurden die Captcha-Mechanismen grundlegend überarbeitet - nur um ein weiteres Mal von denselben Forschern geknackt zu werden, diesmal mit Hilfe von Deep Learning.

6. ML-Direkteinspritzung

Eine wesentlich simplere - aber nicht weniger effektive - Methode, maschinelles Lernen für einen Cyberangriff zu nutzen, ist die Infizierung der ML-Engine selbst. Ganz ähnlich also, wie kriminelle Hacker Antivirus-Lösungen außer Kraft setzen.

Das Vorgehen ist dabei denkbar einfach: Das Machine-Learning-Modell lernt aus den eingegebenen Daten. Wenn dieser Datenpool kompromittiert ist, ist es auch der daraus resultierende Output. Wissenschaftler der Universität von New Yorkhaben bereits demonstriert, wie sich konvolutionale neuronale Netze mit Hintertüren ausstatten lassen, um solche gefälschten Daten zu injizieren.

Dieser Artikel basiert auf einem Beitrag unserer US-Schwesterpublikation CSO Online.