Wielkość współczesnych aplikacji i stopień ich skomplikowania sprawiają, że pojawienie się luk w zabezpieczeniach jest praktycznie nieuniknione. W obrębie jednego urządzenia czy programu występuje wiele zależności, nawet kod uruchamiany w tzw. piaskownicy posiada ograniczone możliwości interakcji ze światem zewnętrznym. Co zatem można zrobić, aby uchronić się przed potencjalnym atakiem?
Paradoks Zenona
Achilles i żółw stają na linii startu w wyścigu. Ten pierwszy potrafi biegać dwukrotnie szybciej, zatem pozwala gadowi oddalić się o połowę trasy zanim sam wyruszy. Gdy więc Achilles wystartuje, żółw pokona ½ odległości. Nim heros dobiegnie do tego miejsca, gad zdąży już przebyć kolejne ¼ dystansu. Przez cały czas będzie wyprzedzać Achillesa, nawet gdy różnice będą nieskończenie małe.
Podobną sytuację można zaobserwować w dziedzinie cybersecurity. Gdy luka w zabezpieczeniach zostanie wykryta, rozpoczyna się proces tworzenia łat (patchy) – ale zanim one powstaną, przestępcy już wyszukują kolejnych podatności. Można by pomyśleć, że czarne kapelusze (black hats, hackerzy dokonujący ataków na systemy informatyczne, łamiąc prawo) przez cały czas są o krok przed zespołami odpowiadającymi za bezpieczeństwo.
Cyberzagrożenia powodowane przez AI
Współczesne systemy informatyczne są pisane w taki sposób, by wykrywać ruch generowany sztucznie, rozróżniać maszyny i botnety od ludzi. Przykładem takiego mechanizmu zabezpieczającego jest choćby CAPTCHA, czyli test polegający na odczytaniu ciągu znaków umieszczonego na grafice. Problem w tym, że współczesne algorytmy AI, takie jak omawiany na naszym blogu ChatGPT w świecie IT, są w stanie dość umiejętnie manipulować ludźmi. W dokumentacji opisującej GPT-4 wspomniano o sytuacji, gdy model językowy podczas rozmowy prowadzonej na serwisie TaskRabbit podał się za osobę posiadającą wadę wzroku, w co uwierzył człowiek po drugiej stronie i wskutek prośby rozwiązał CAPTCHA.
Informacja o tym zdarzeniu została upubliczniona w marcu 2023 roku. Minęło 7 miesięcy i sytuacja stała się jeszcze ciekawsza. Otóż, oparta na modelu GPT usługa Bing Chat na początku października rzekomo pokazała, że bez problemu radzi sobie z rozwiązywaniem CAPTCHA’y, dopóki są one umieszczone w odpowiednim kontekście. Konkretniej, model odmówił podania wyniku testu z obrazka rozpoznając, z czym ma do czynienia – ale gdy ta sama grafika została wklejona w zdjęcie medalionu i w poleceniu poproszono o odczytanie wiadomości od rzekomo zmarłej babci, model podał rozwiązanie.
CAPTCHA tłumaczy się jako Completely Automated Public Turing Test to tell Computers and Humans Apart. Oznacza to, że gdy poprzednio pisałem o Chacie GPT, nie miałem racji. Obecnie ten model językowy jest w stanie pokonać test Turinga.
To tylko wierzchołek góry lodowej. Sztuczna inteligencja może zagrażać cyberbezpieczeństwu na wiele sposobów. Ogromne możliwości obliczeniowe sprawiają, że jest ona w stanie nie tylko ominąć zabezpieczenia, na których zatrzymywały się dotychczasowe botnety. Prawdziwym problemem jest to, że AI może do woli analizować mniej i bardziej udane próby ataków, a następnie wyciągać z nich wnioskiwykraczające poza zdolności analityczne ludzi. Ma to niebagatelny wpływ na wzrost skuteczności cyberprzestępców.
Wykorzystanie AI w służbie cyberbezpieczeństwu
Wiemy już, że sztuczna inteligencja może zostać wykorzystana w celu obchodzenia różnych zabezpieczeń czy planowania ataków. A gdyby tak zadziałać w drugą stronę?
Wśród rzeczy, w których AI radzi sobie zdecydowanie lepiej niż człowiek, nie sposób nie wymienić choćby zdolności do przetwarzania dużych wolumenów danych. Ma to ogromne znaczenie w kontekście cyberbezpieczeństwa. Ilość ruchu sieciowego, zarówno tego lokalnego niewydostającego się poza serwery firmy, jak i tego globalnego, jest w przypadku wielu systemów zbyt wielka by skończona ilość ludzi mogła go samodzielnie prześledzić i znaleźć podejrzane działania. Dotychczasowe narzędzia oparte na prostych algorytmach są natomiast zbyt mało elastyczne, nie nadążają za zmieniającymi się co chwilę taktykami ataków. Tutaj z pomocą przychodzi uczenie maszynowe, za pomocą którego możliwe jest nie tylko reagowanie na znane zagrania cyberprzestępców (takie jak choćby ataki ransomware przez pocztę), ale też rozpoznawanie zagrożeń, które jeszcze nie zyskały popularności wśród indywidualnych użytkowników komputerów. Co więcej, dzięki zastosowaniu AI możliwe jest zniwelowanie powszechnego problemu systemów kładących duży nacisk na bezpieczeństwo – nadgorliwości ujawniającej się poprzez blokowanie dostępu do danych zaufanym programom i ludziom.
Sztuczna inteligencja może się przysłużyć bezpieczeństwu niekoniecznie wprost, jako stróż. Popularną metodą jest delegowanie algorytmów AI do wykonywania zadań powtarzalnych, nierzadko nudnych i długotrwałych. Wynika to z faktu, że maszyna nie traci uważności pod natłokiem podobnych danych. W przeciwieństwie do ludzi, nie obniża się jej poziom spostrzegawczości. Dzięki temu idealnie nadaje się do ciągłej obserwacji ruchu sieciowego i automatycznego wykrywania i blokowania prostych ataków, które bywają tak oczywiste, że ludzki umysł je ignoruje.
Nie rozpoznano odcisku palca. Spróbuj ponownie.
Czy można napisać artykuł dotyczący zastosowania AI w branży cybersecurity bez wspomnienia o tak oczywistej rzeczy, jak używane przez większość z nas usługi rozpoznawania twarzy lub linii papilarnych? Obecnie każdy liczący się system operacyjny posiada zaimplementowaną obsługę biometrii, która może służyć nie tylko do odblokowania urządzenia, ale też na przykład do autoryzacji transakcji kartą czy dostępu do menedżera haseł. Mogłoby się wydawać, że sztuczna inteligencja nie jest w ogóle potrzebna do stworzenia za pomocą skanera wzorca odcisku palca i następnie porównywania go z obrazem odczytywanym za każdym razem przy próbie uzyskania dostępu. Nic bardziej mylnego.
Współczesne algorytmy odpowiadające za biometrię potrafią przede wszystkim przyspieszyć proces weryfikacji. Dziś nie trzeba już, jak przed laty, kłaść opuszka na sensor dokładnie w tym samym miejscu i pod ty samym kątem. Zeskanowanie całego palca pozwala na rozpoznanie cech charakterystycznych niezależnie od tego, w jaki sposób zostanie przyłożony do czytnika. Dodatkowo, dzięki AI oprogramowanie sprawdzające zgodność odczytu ze wzorem może znacznie przyspieszyć proces weryfikacji bez utraty bezpieczeństwa, ponieważ potrafi wykrywać istotne punkty charakterystyczne i szukać ich zamiast sprawdzać cały obraz piksel po pikselu.
Podobnie działa mechanizm skanowania twarzy. Dzięki stworzeniu mapy 3D w wysokiej rozdzielczości możliwe jest nie tylko wykrycie cech szczególnych, ale także zniwelowanie podatności na atak za pomocą zdjęć pokazywanych przed obiektywem. Nie to jest jednak najistotniejszym powodem stosowania AI do identyfikacji biometrycznej.
Sprzężenie skanerów z pulsometrami i oprogramowaniem do śledzenia wzroku sprawia, że odczyt odcisku palca czy twarzy śpiącej osoby jest praktycznie niewykonalny – urządzenie wymaga skupienia wzroku na sobie, co jest niemożliwe z zamkniętymi oczyma. Dodatkowo, nie da się oszukać skanera za pomocą nakładki na opuszek, gdyż uniemożliwi ona odczyt pulsu. Dzięki uczeniu maszynowemu można natomiast uniknąć konieczności dodawania skanu swojej twarzy od nowa za każdym razem, gdy zmienimy fryzurę, założymy okulary czy pojawi się u nas jakieś znamię.
Nie tylko wielkie korporacje
Mam nadzieję, że niniejszy tekst przedstawił w przystępnej formie kilka możliwych zastosowań dla AI w kontekście cyberbezpieczeństwa. Niezależnie od tego, jaki kapelusz nosicie, myślę, że warto wiedzieć, co sztuczna inteligencja potrafi. Zwłaszcza że większość z nas powierzyło jej bezpieczeństwo swoich danych w momencie, gdy uznaliśmy, że przyłożenia palca do przycisku blokady jest wygodniejsze niż wpisywanie choćby czterocyfrowego PINu.
Źródła:
https://arstechnica.com/information-technology/2023/10/sob-story-about-dead-grandma-tricks-microsoft-ai-into-solving-captcha/
https://spidersweb.pl/2023/03/gpt-4-openai-captcha.htm
