Een technische kijk op hoe criminelen AI gebruiken

Machine learning is een van de meest opwindende nieuwe functies die tegenwoordig in de technologie worden gebruikt. Het is echter ongetwijfeld ook controversieel. Op dit moment komt deze controverse niet echt voort uit het vooruitzicht van ultra-intelligente robots die het menselijk ras dramatisch overnemen; in plaats daarvan is het omdat krachtige technologie zoals deze net zo negatief kan worden gebruikt door criminelen, als het positief kan worden gebruikt door mensen met een goede intentie. In dit stuk wil ik de duistere kant verkennen: hoe criminelen AI illegaal gebruiken.

Voordat computers heuristische problemen konden oplossen, waren veel beveiligingssystemen ontworpen met het principe dat dit niet zou veranderen. Het idee dat een computer een wachtwoord kon raden, een grafische Captcha kon lezen of kon leren hoe echt verkeer zich gedraagt, werd eenvoudigweg niet in overweging genomen. Nu zijn we omringd door beveiliging die door AI is verouderd.

Captchas en beeldclassificatie

Er zijn heel, heel vaak een systeem nodig om te bevestigen dat een gebruiker daadwerkelijk een mens is. Dit komt omdat alle functionaliteit die een computer een mens biedt, ook kan worden gebruikt of gesimuleerd door een computerprogramma. Als je meer dan drie keer probeert in te loggen op Facebook, zul je merken dat Facebook vraagt ​​om te bevestigen dat je een mens bent, en niet een computerprogramma dat probeert miljoenen wachtwoorden per seconde in te voeren. De manier waarop Facebook en veel services dit doen, is via een captcha-methode:

Jarenlang scheiden deze met succes programma's van mensen, totdat AI kwam. Nu kunnen basale convolutionele neurale netwerken worden gebruikt, waar een enorme dataset van captcha-afbeeldingen wordt gebruikt. Elke captcha heeft een specifiek doel en bij het trainen van een convnet kunnen ze in de toekomst voorgestelde captcha's uitwerken. Dit is een meer triviaal voorbeeld, waar de basisprincipes van neurale netwerken voldoende zijn. Nu captcha's kunnen worden omzeild, zijn brute force-aanvallen veel meer mogelijk. U bent misschien ook het type 'Selecteer alle foto's met een bus' tegengekomen, dat voor AI even gemakkelijk te omzeilen is. We weten allemaal hoe goed objectdetectie is - Google, zelfs als het in hun zoekmachine is geïntegreerd als een zeer fundamentele en succesvolle functie.

Wachtwoorden met generatieve tegenstandersnetwerken

Weinigen van ons hebben wachtwoorden die er zo uitzien: 5f2 # V0 ”P? Oz3

Meer van ons hebben wachtwoorden die er zo uitzien: Kronenbourg1664

En de rest van ons heeft zelfs wachtwoorden die er zo uitzien: wachtwoord

Het is nog steeds zo dat degenen die mijn eerste voorbeeld volgen, erg veilig zijn tegen het raden van hun wachtwoorden, door een mens of een GTX 1080 GPU. Alle anderen zijn echter kwetsbaar. Dus, hoe kunnen deze wachtwoorden worden geraden? Eenvoudig gezegd zouden we een woordenboek kunnen gebruiken en elk woord op een wachtwoordinvoer kunnen toepassen. We kunnen misschien slagen met een heel klein percentage van onze pogingen - vanwege die mensen die mijn laatste voorbeeld volgen. Als u een van die mensen bent, heb ik er alle vertrouwen in dat u uw wachtwoord aan het einde van dit artikel zult wijzigen.

Laten we nu eens kijken naar de modernere en zelfs sinistere aanpak (uiteraard met AI). In plaats van een woordenboek te gebruiken, worden neurale netwerken gebruikt om een ​​enorme lijst met waarschijnlijke wachtwoorden te produceren. Het is deze lijst die wordt gebruikt voor een authenticatieformulier. Genomen uit PassGAN: een diepgaande leerbenadering voor wachtwoord raden, hier is hoe die lijst kan worden geproduceerd:

Als u bekend bent met neurale netwerken (wat voor de volgende paar paragrafen heel belangrijk is), kan dit er nog steeds ongewoon uitzien. In plaats van eenvoudig een item te voorspellen op basis van een invoer, leren we van gegevens en leren we vervolgens een generator om verschillende verdere voorbeelden te produceren. Dit staat bekend als een generatief tegenstandersnetwerk, waarbij twee neurale netwerken worden gebruikt; één om correcte en onjuiste invoer te onderscheiden, en vervolgens één die hiervan leert om nieuwe willekeurige gegevens te produceren via willekeurige ruis.

Ten eerste gebruiken we een bestaande dataset die echte menselijke wachtwoorden bevat, misschien van een historisch wachtwoordlek dat sindsdien beschikbaar is gesteld. Deze zullen gezamenlijk aantonen hoe menselijke wachtwoorden eruit zien (een paar hoofdletters, een datum, een willekeurig nummer, een naam, enz.).

Ten tweede gebruiken we een ruisgenerator (G) die (in eerste instantie) willekeurige gegevens uitvoert. Deze twee mogelijke ingangen (nep en echte wachtwoorden) zijn de ingangen naar het neurale netwerk (of Discriminator D). De doelen zijn ontworpen als eenvoudige binaire uitgangen. Dit betekent dat tijdens de training aan het neurale netwerk wordt verteld of het ingevoerde wachtwoord nep of echt is. Op elke feed forward wordt de geproduceerde outputwaarde vervolgens vergeleken met de doelwaarde (de waarheid) en vervolgens terug gepropageerd om de gewichtswaarden aan te passen op basis van de foutmarge. De Generator wordt hier ook door beïnvloed, omdat de willekeurige invoerruis dichter bij de wachtwoorduitgangen gaat optimaliseren.

Als de generator eenmaal is gewijzigd, zal elke verdere ruis die in het netwerk wordt ingevoerd, resulteren in tekenreeksen die eruitzien als wachtwoorden. Dus als we het een paar uur laten werken, kunnen we een enorme lijst met intelligent gecompileerde wachtwoorden samenstellen.

phishing

Phishing is een veel voorkomende vorm van hacken. Heb je ooit een e-mail ontvangen die er niet helemaal goed uitziet, maar beweert je bank, telefoonservice of social media-platform te zijn? Elke beginnende programmeur, die een beetje HTML weet in combinatie met slechts een vleugje backend-code zoals PHP, kan dit voor elkaar krijgen. Het gaat om het verzenden van een e-mail die visueel is ontworpen om eruit te zien als bijvoorbeeld Facebook en een vergelijkbare formele taal te gebruiken. Er wordt beweerd dat u iets moet bijwerken, bekijken of wijzigen en u moet om uw inloggegevens vragen. Wat u ook typt, wordt naar de server van de crimineel gestuurd. Hoe dan ook, hoe komt AI hierin?

Machine learning kan phishing verbeteren, door elk platform te doorzoeken, te leren hoe ze eruit zien en taal communiceren, en vervolgens massale nep-e-mails te produceren op basis van bepaalde observaties die automatisch op grote schaal worden verzonden. Dit is echter niet de enige manier. Hackers kunnen ook dezelfde eerder beschreven principes gebruiken om wachtwoorden te raden, om e-mailadressen te raden. Miljoenen e-mailadressen kunnen worden geproduceerd, wat de kans vergroot om technisch goedgelovige mensen te vinden.

Veel e-mailservices, namelijk Gmail, hebben geavanceerde systemen om phishing-e-mails te detecteren, maar machine learning kan worden gebruikt om e-mails te maken die niet door deze systemen worden gedetecteerd. De trainingsset zou een compilatie van e-mails zijn, waarvan sommige de gebruiker niet konden bereiken vanwege phishing-detectie en andere die succesvol waren. een neuraal netwerk kan leren hoe phishing wordt gedetecteerd, door te begrijpen welke zijn gevangen en welke niet. In de toekomst kunnen e-mails worden gegenereerd op basis van regels die niet worden gepakt door detectie van phishing, zie hier voor referentie.

Gevolgtrekking

Ten eerste zijn dit slechts drie gevallen. Zorgwekkend is dat er nog veel meer is op andere gebieden, zoals frauduleuze advertenties, nepverkeer simuleren en meer. Ik denk echter dat het gebruik van AI in de juridische wereld veel zwaarder weegt dan de criminele wereld. Ironisch genoeg wordt AI gebruikt om criminele activiteiten op veel verbazingwekkende manieren te detecteren, van straatpolitie tot online fraude. Om te besluiten, verander uw wachtwoord als een generatief tegenstandersnetwerk het zou kunnen raden; volg alstublieft geen links die naar u zijn verzonden, tenzij u de identificatie van de afzender dubbel hebt gecontroleerd; en ten slotte, gebruik geen van deze technieken zelf om de wet te overtreden!

- - - - - - - - - - - - - - - - - - -

Lees meer data science-artikelen op OpenDataScience.com, inclusief tutorials en handleidingen van beginners tot gevorderden! Abonneer u hier op onze wekelijkse nieuwsbrief en ontvang elke donderdag het laatste nieuws.