A nagy nyelvi modelleken (LLM) alapuló ChatGPT és társaik révén mindennapi témává vált a mesterséges intelligencia (MI) használata a munkában, információkeresésben. Arról talán kevesebb szó esik, hogy a mesterséges intelligencia által támogatott kártevők, fájlmentes támadások és kriptovaluta-bányász szkriptek – a kiberbűnözők lehetséges és használt eszközei is egyre jobban terjednek. A szegmentált kiberbiztonsági megoldások piaca ezekkel a fenyegetettségekkel is szembesült az elmúlt években.
Nem vitás, hogy a kiberbűnözés mára komoly iparággá nőtte ki magát. A politikai indíttatású számítógépes akciókat félretéve a legtöbb hacker gazdasági okokból adja fejét a kiberbűnözésre: relatív kis befektetéssel, egy jó ötlettel, nem túl mély számítógépes tudással tömegek számára elérhető a hackerkedés (ami ettől még törvénytelen és szabadságvesztéssel büntetik). Ha az online kiberbűnözés ország lenne, akkor a 13. legmagasabb GDP-je lenne a világon.
A Bromium biztonsági cég becslése szerint éves szinten több mint 1,5 trillió dollárnyi bevételt hoz a kiberbűnözés. Ezen belül a legpénzesebb tevékenység az illegális online piacterek fenntartása, ami 860 milliárd dollár bevétellel jár, a második helyezett a kereskedelmi titkok ellopása, 500 milliárd dolláros bevétellel, az adatkereskedelem 160 milliárd dollárt ér, a crimeware-as-a-service (igen, bérelni is lehet a hacker eszközöket) 1,6 milliárdot, míg a zsarolóvírus iparág 1 milliárd dollárt hoz a konyhára.
Szegmentált a megoldások piaca
Gölcz Dénes szerint a biztonsági megoldások piacán gondot jelent, hogy nagyon szegmentált területről van szó: 600 gyártó versenyez ezen a területen, a becslések szerint jövőre további 500 új szereplő jelenik meg, tehát messze vagyunk még a konszolidált megoldások piacától. Az sem segíti az iparágat, hogy biztonsági szakértőkből nagy a hiány szerte a világon, 2023-ban a becslések szerint 3,4 millió security jellegű állás lesz betöltetlen.
A biztonsági megoldások generálta riasztási zaj már szinte feldolgozhatatlan – véli Gölcz Dénes. Egy nagy cégnél naponta 17 ezer riasztás keletkezik, és nincs az az emberi kapacitás, ami mindezt fel tudná dolgozni. Így nem meglepő, hogy a riasztások csupán 4 százalékát képesek kivizsgálni a szakértők, a drága szakemberek ideje meg a téves, felesleges riasztások kivizsgálására megy el. Ezen a téren a mesterséges intelligencia nyújthat segítséget a szakembereknek, mely csak a releváns, valós riasztásokat juttatja el a célzott szakemberhez, a nagy részét meg ő maga oldja meg.
A fenti adat egy következőt is előrevetít: egyre nyílik az olló a célba jutott és a felfedezett támadások között, becslések szerint a valós támadások 20 százalékát fedezik fel csupán. Gölcz Dénes szerint az is aggasztó, hogy a támadáskor kihasznált biztonsági rések 99 százalékára egy éve van már frissítés – a vállalatok tehát nem fordítanak kellő gondot az IT-rendszerek frissítésére, holott ennek is a vállalati biztonsági előírások részének kellene lennie. Arról is meg kellene győződniük a cégeknek, hogy a biztonsági mentés tényleg működik, ehhez rendszeres adatvisszaállítási gyakorlatokra volna szükség, hogy adatveszteség esetén rövid időn belül vissza tudják állítani az adatokat.
Percenként kilenc új támadás
A kiberbűnözők folyamatosan igyekeznek új technológiákat, technikákat bevetni. Az kibertámadásokat elemző céges statisztikái szerint a 2013-ban született, 2-4 milliónyi új kártevő adta a támadások zömét: a top 10-es listában már csak egy olyan vírus szerepel, amely előző évben is benne volt a felsorolásban. Bár a szám elrettentő, az évente születő új kártevők száma csökkenő tendenciát mutat.). A számok azonban nem mondanak el mindent. Szakértőik szerint a támadások kifinomultabbak, célozottabbak lettek.
A fájlmentes kártevő az elmúlt évek egyik (visszatérő) újdonsága. A támadás már a 2000-es évek elején is napirenden volt, 2018 első felében azonban visszatért. A fájlmentes megnevezés elsőre akár félrevezető lehet, mert a számítógépeken esetenként mégis kimutatható a nem odaillő, kártékony fájlok jelenléte. Hiszen, a támadás során a kártevő sokszor egy e-mail csatolmányban érkezik. Ugyanakkor a fájlmentes elnevezés megállja a helyét, mert aktiválódásuk után a kártevők ismert sérülékenységeket kihasználva, legitim eszközök segítségével a memóriából indulnak. A kártevő ezután kizárólag a memóriában található meg, a merevlemezen nem marad nyoma. A Rozena kártevő például a legitim Windows Powershell.exe szkriptet módosítja, segítségével fertőzi meg a kiszemelt számítógépet. Szerencsére a vezető vírusellenes szoftverek különböző heurisztikus és proaktív technológiák, vagy éppen a memória felügyeletének a segítségével felismerik ezeket a kártevőket is.
A kriptovaluták népszerűségének növekedésével megjelentek azok a weboldalakon futó kártevők, melyek a felhasználó tudta és beleegyezése nélkül saját célra bányásszák a különböző kriptovalutákat. A felhasználó ebből csak annyit érez, hogy gyakrabban hűti a processzort a számítógép, mert az egyébként processzorigényes bányászati művelet felmelegíti azt. Olyan esetet is regisztráltak már, amikor egy androidos készülék fizikailag is károsodott az engedély nélküli kriptovaluta bányászat következtében: a telefon akkumulátora annyira felforrósodott, hogy el is deformálódott
Személyre szabott vírus
A személyre szabott hirdetéseket már kezdjük megszokni, ezekkel fizetünk az ingyenes szolgáltatásokért. Az adatokat azonban nemcsak a hirdetés, hanem a személyre szabott vírus is használhatja ahhoz, hogy igény szerint aktiválja magát. A mesterséges intelligenciát ugyanis a kártevők fejlesztésére is kihasználhatják. Kibervédelmi kutatók már évekkel ezelőtt létrehozták a Deeplocker kártevőt, amelyet mesterséges intelligencia működtet. A szakemberek ezzel hívták fel a figyelmet arra, hogy a mesterséges intelligencia, a neurális hálók, az öntanuló rendszerek körében végzett kutatások és fejlesztések a kiberbűnözők érdekeit is szolgálhatják.
Egy mesterséges intelligencia által kialakított vírus mindaddig elrejtheti szándékait, míg a kiszemelt célszemélyhez vagy célszámítógéphez el nem ér. A kárt okozó tevékenység csak akkor kezdődik, ha a célpont arca vagy hangja alapján a vírus azonosítja a megtámadni kívánt személyt. Míg a hagyományos megközelítésű kártevők általában mindenre lőnek, ami mozog (és remélik, hogy valamit el is találnak), az MI működtette vírus nem aprózza el, és mesterlövészként egyet lő, de akkor célba talál. Vagyis a vírus aggasztó aprólékossággal személyre szabható.
Támadható pénzügyi adatok
Már a 2018-as INSIDE ITB konferencián is külön kerekasztal-beszélgetés foglalkozott az IT-biztonság kérdésével. Csinos Tamás, a Clico Hungary country managere szerint a kibertámadások többnyire hasonlóak, és az erőforrásokon múlik, hogy mennyire lesznek sikeresek. A hackerek régi sérülékenységekre írnak új támadási metódusokat, ezekből viszont eléggé kevés van, így a biztonsági szakemberek tudják, hol lehet őket megállítani. Meglátása szerint az adatvédelmi rendelet (GDPR) elfogadása az embereket, vállalatokat gondolkodásra késztette IT-security szempontból, ezért is van jó hatással az IT-biztonsági szint javulására. A szakember szerint azonban a pénzügyi tranzakciók liberalizálása nagy veszélyt rejt magában. Egy harmadik fél alkalmazása hozzájuthat a pénzügyi adatokhoz, amit a kiberbűnözők is kihasználhatnak, és így szaporodhat a csalások, támadások száma. „Szinte nincs is már az életnek olyan része, amit a kiberbűnözők nem támadhatnának” – mondta Vereckei Béla. A Nemzeti Kibervédelmi Intézet Hatósági Főosztály vezetője szerint hosszú távú stratégia, széleskörű rátekintés kell a folyamatokra ahhoz, hogy hosszú távon ennek a kibertérben folyó harcnak győztesei lehessünk.
Rajnai Zoltán, Magyarország kiberkoordintátora és az Óbudai Egyetem egyetemi tanára szerint a GDPR sok időt hagyott a felkészülésre, de mindenki az utolsó fél évre halasztotta a tennivalókat. A szakember szerint is az adatvédelem kapcsán a vállalatok elkezdtek szétnézni, hogy milyen teendőjük van még GDPR és IT-biztonság kapcsán, elkezdték jobban védeni a végponti felhasználókat, az adatok kezelőit. Ám szerinte még mindig van hely javításra, hiszen az EU-ban a nagyvállalatok felének nincs adatszabályzata, a jelszókezelés rendszerességéről is megfeledkeznek – hazánkban nagy valószínűséggel még rosszabb ez az arány. Hazánk eddig relatíve védett volt a kibertámadásokkal szemben, ám Krasznay Csaba, a Nemzeti Közszolgálati Egyetem adjunktusa, az egyetem Kiberbiztonsági Akadémiájának programigazgatója úgy véli, ennek a védelemnek vége. A magyar piacban is van üzleti potenciál, egyre többen és szélesebb körben interneteznek, így sokasodik az online elkövetett csalások mennyisége is. Szerinte robbanás előtt állunk, 2019-ben nagy mennyiségű támadásnak és online csalásnak lehetünk majd a tanúi.
Vass Enikő
A blogbejegyzés az IT Business 2018. október 8-i cikkének átdolgozott változata