SG.hu·
A Black Hat konferencia betekintést ad a digitális védelem jövőjébe
A világ egyik legkeményebb hacker konferenciája megmutatja hogyan alakítja át az MI a kiberbiztonság szabályait. Az automatizált támadások és védekezések versenye egyre gyorsabb és összetettebb fenyegetéseket hoz.
Elég egy rövid beszélgetés a Black Hat Asia szervezőivel, hogy kiderüljön, ez nem egy átlagos konferencia. Míg a legtöbb szakmai rendezvény a szállodai Wi-Fi használatára invitálja vendégeit, a Black Hat saját hálózatot épít az éves konferenciáira Las Vegasban, Londonban és Szingapúrban, még a megnyitó előtt routereket, hozzáférési pontokat, tűzfalakat és megfigyelő szenzorokat telepítve. A Network Operations Centre-nek (NOC, magyarul Hálózati Műveleti Központ) valós időben kell megvédenie ezt a rendszert a világ legjobb hackereinek ezreitől, nemcsak a konferencia ellenfeleitől, hanem a résztvevőktől is, akiknek kifejezett feladata az infrastruktúra megtámadása.
Az idei szingapúri eseményt április 21. és 24. között tartottak, nagy technológiai vállalatok bejelentéseinek árnyékában zajlott, miszerint a mesterséges intelligencia modellek már a legjobb hackereken kívül mindenkit felülmúlhatnak. Az Anthropic Mythos nevű modellje például, amely a legjelentősebb ilyen rendszer, állítólag már súlyos sebezhetőségeket azonosított „minden jelentős operációs rendszerben és webböngészőben”. A legtöbb technológiai felhasználó számára ez korszakhatárt jelent. A Black Hat résztvevői számára azonban inkább annak megerősítése, amit már régóta vártak.
A Black Hat védelme „nagyságrendekkel” nehezebb, mint egy átlagos vállalati kiberbiztonsági feladat - mondja Neil „Grifter” Wyler, aki 24 éve vezeti a NOC-ot, ebből mindössze hat évet nem Bart Stump kollégájával együtt. Amikor a párizsi olimpia kiberbiztonsági vezetője mintát keresett saját műveleti központjához, egy hetet töltött a Black Hat londoni NOC-jával. A kihívás egyik része a méret: egy átlagos cég egyszerre egy vagy két támadóval szembesül, míg a Black Hat több ezerrel, akik közül sokan éppen világszínvonalú oktatóktól tanult támadási módszereket tesztelnek. A másik kihívás a szűrés: a NOC csapatának engednie kell ezeket a gyakorlatokat, miközben meg kell különböztetnie azokat a valódi támadásoktól.
Amit látnak, az a jelentéktelentől a nyugtalanítóig terjed. Egyes résztvevők például olyan időjárás-alkalmazást használtak, amely kiszivárogtatta a GPS-koordinátáikat. Mások egy alkalmazáson keresztül etették a macskájukat távolról, amelyet mások átvehettek volna. Nyolcvanegy különböző felnőtt tartalmú weboldal látogatását rögzítették. Ugyanazok az eszközök azonban, amelyek a feltört állatetetőket észlelik, a rosszindulatú tevékenységeket is elkapják. Néhány évvel ezelőtt egy résztvevő a konferencia hálózatát használta arra, hogy feltörjön egy amerikai vízkezelő létesítményt, bár a részletekről Wyler és Stump szűkszavúan nyilatkoznak. Egy másik személy a legitim hackerforgalom zaját kihasználva kormányzati weboldalakat és fizetési rendszereket támadott. A NOC csapata azonosította, üzenetet küldött neki, emlékeztetve, hogy az illegális tevékenység a Black Hatről is illegális, majd figyelte, ahogy becsukja a laptopját és elsétál.
A világ másik feléről érkező hackerek is próbálkoznak. Amikor a regisztrációs szervert bekapcsolták, azonnal megindultak a támadások, köztük olyan forgalom is, amely Romániából származónak tűnt. „Nagy dicsőség lenne számukra, ha sikerülne megbénítani a Black Hatet” - mondja Wyler. A csapat már évek óta használ MI-t a hálózat védelmére, nemcsak emberek, hanem botok ellen is - mondja Wyler. A botok azonban egyre ügyesebbek. „A probléma az, hogy a támadások egy hét helyett egy nap, majd órák vagy percek alatt zajlanak le.” A NOC ezért egy teljes MI-eszközkészletet épített ki, hogy hasonló eszközökkel védekezzen.
Például Trevor, egy MI chatbot képes a hétköznapi nyelven megfogalmazott kérdéseket olyan kóddá alakítani, amely eligazodik a NOC összetett adatbázisában. Ez segít abban, hogy a csapat tagjai, akik közül sokan szabadúszók, gyorsabban felzárkózzanak. Egy másik eszköz a titkosított jeladások mintázatait figyeli, ezek azok a kis, rendszeres visszajelzések, amelyeket a feltört eszközök küldenek a támadók szervereire, és gépi tanulással különbözteti meg őket a napi több millió legitim kapcsolattól. Ennek az eszköznek a segítségével derült ki, hogy egy tajvani újságíró számítógépe, aki részt vett a Black Haten, rosszindulatú szoftverrel fertőzött. A normál forgalom zajában a gép egy ismeretlen szerverhez kapcsolódott metronóm pontosságú ütemben, olyan időközönként ismételve, amelyet egyetlen legitim alkalmazás sem produkálna.
Egy harmadik eszköz egy MI-ügynököt használ arra, hogy minden eszközt profilozzon a hálózaton, és jelezze a szokatlan viselkedést. Amikor a NOC gyanús forgalmat észlelt az újságíró laptopján, az ügynök a hálózatból származó nyomokat az interneten elérhető információkkal vetette össze, hogy gyorsan azonosítsa a tulajdonost. A csapat a konferencia regisztrációs adatbázisával erősítette meg az egyezést, majd jelentést készített, és értesítette az újságírót és szervezetét.
A NOC több Black Hat konferencián is megfigyelt egy mintát, amely szerint a tajvani résztvevők gyakran feltört eszközökkel érkeznek. „A forgalom nagy része Kínába vezet vissza” - mondja Stump. Az államok vagy kiberbűnözők által végrehajtott, MI-vel támogatott támadások valószínűleg erősödni fognak. A csapat úgy véli, az MI-verseny még csak most kezdődik. Wyler számára a Mythos által feltárt sebezhetőségek, köztük olyanok is, amelyek évtizedekig rejtve maradtak, inkább örömteli fejleményt jelentenek, mintsem félelmeteset. „Most már tudjuk, hogy léteznek.”
Stump ugyanakkor óvatosságra int, szerinte a következő két év viharos lesz, mivel egyre több hibát tárnak fel, több adatvédelmi incidens történik, ahogy a vállalatok érzékeny adatokat táplálnak MI-rendszerekbe, és egyre több nem biztonságos kód születik. Ha ezt az átmeneti időszakot felelősen kezelik, kialakulhat egy új egyensúly, amely hasonlít arra, amelyet most hagynak maguk mögött. Egy dolog azonban biztos - mondja Stump. „Egy éven belül lesz egy új MI modell, amely mellett a Mythos úgy fog kinézni, mint egy billentyűzetet nyomkodó kisgyerek.”
Elég egy rövid beszélgetés a Black Hat Asia szervezőivel, hogy kiderüljön, ez nem egy átlagos konferencia. Míg a legtöbb szakmai rendezvény a szállodai Wi-Fi használatára invitálja vendégeit, a Black Hat saját hálózatot épít az éves konferenciáira Las Vegasban, Londonban és Szingapúrban, még a megnyitó előtt routereket, hozzáférési pontokat, tűzfalakat és megfigyelő szenzorokat telepítve. A Network Operations Centre-nek (NOC, magyarul Hálózati Műveleti Központ) valós időben kell megvédenie ezt a rendszert a világ legjobb hackereinek ezreitől, nemcsak a konferencia ellenfeleitől, hanem a résztvevőktől is, akiknek kifejezett feladata az infrastruktúra megtámadása.
Az idei szingapúri eseményt április 21. és 24. között tartottak, nagy technológiai vállalatok bejelentéseinek árnyékában zajlott, miszerint a mesterséges intelligencia modellek már a legjobb hackereken kívül mindenkit felülmúlhatnak. Az Anthropic Mythos nevű modellje például, amely a legjelentősebb ilyen rendszer, állítólag már súlyos sebezhetőségeket azonosított „minden jelentős operációs rendszerben és webböngészőben”. A legtöbb technológiai felhasználó számára ez korszakhatárt jelent. A Black Hat résztvevői számára azonban inkább annak megerősítése, amit már régóta vártak.
A Black Hat védelme „nagyságrendekkel” nehezebb, mint egy átlagos vállalati kiberbiztonsági feladat - mondja Neil „Grifter” Wyler, aki 24 éve vezeti a NOC-ot, ebből mindössze hat évet nem Bart Stump kollégájával együtt. Amikor a párizsi olimpia kiberbiztonsági vezetője mintát keresett saját műveleti központjához, egy hetet töltött a Black Hat londoni NOC-jával. A kihívás egyik része a méret: egy átlagos cég egyszerre egy vagy két támadóval szembesül, míg a Black Hat több ezerrel, akik közül sokan éppen világszínvonalú oktatóktól tanult támadási módszereket tesztelnek. A másik kihívás a szűrés: a NOC csapatának engednie kell ezeket a gyakorlatokat, miközben meg kell különböztetnie azokat a valódi támadásoktól.
Amit látnak, az a jelentéktelentől a nyugtalanítóig terjed. Egyes résztvevők például olyan időjárás-alkalmazást használtak, amely kiszivárogtatta a GPS-koordinátáikat. Mások egy alkalmazáson keresztül etették a macskájukat távolról, amelyet mások átvehettek volna. Nyolcvanegy különböző felnőtt tartalmú weboldal látogatását rögzítették. Ugyanazok az eszközök azonban, amelyek a feltört állatetetőket észlelik, a rosszindulatú tevékenységeket is elkapják. Néhány évvel ezelőtt egy résztvevő a konferencia hálózatát használta arra, hogy feltörjön egy amerikai vízkezelő létesítményt, bár a részletekről Wyler és Stump szűkszavúan nyilatkoznak. Egy másik személy a legitim hackerforgalom zaját kihasználva kormányzati weboldalakat és fizetési rendszereket támadott. A NOC csapata azonosította, üzenetet küldött neki, emlékeztetve, hogy az illegális tevékenység a Black Hatről is illegális, majd figyelte, ahogy becsukja a laptopját és elsétál.
A világ másik feléről érkező hackerek is próbálkoznak. Amikor a regisztrációs szervert bekapcsolták, azonnal megindultak a támadások, köztük olyan forgalom is, amely Romániából származónak tűnt. „Nagy dicsőség lenne számukra, ha sikerülne megbénítani a Black Hatet” - mondja Wyler. A csapat már évek óta használ MI-t a hálózat védelmére, nemcsak emberek, hanem botok ellen is - mondja Wyler. A botok azonban egyre ügyesebbek. „A probléma az, hogy a támadások egy hét helyett egy nap, majd órák vagy percek alatt zajlanak le.” A NOC ezért egy teljes MI-eszközkészletet épített ki, hogy hasonló eszközökkel védekezzen.
Például Trevor, egy MI chatbot képes a hétköznapi nyelven megfogalmazott kérdéseket olyan kóddá alakítani, amely eligazodik a NOC összetett adatbázisában. Ez segít abban, hogy a csapat tagjai, akik közül sokan szabadúszók, gyorsabban felzárkózzanak. Egy másik eszköz a titkosított jeladások mintázatait figyeli, ezek azok a kis, rendszeres visszajelzések, amelyeket a feltört eszközök küldenek a támadók szervereire, és gépi tanulással különbözteti meg őket a napi több millió legitim kapcsolattól. Ennek az eszköznek a segítségével derült ki, hogy egy tajvani újságíró számítógépe, aki részt vett a Black Haten, rosszindulatú szoftverrel fertőzött. A normál forgalom zajában a gép egy ismeretlen szerverhez kapcsolódott metronóm pontosságú ütemben, olyan időközönként ismételve, amelyet egyetlen legitim alkalmazás sem produkálna.
Egy harmadik eszköz egy MI-ügynököt használ arra, hogy minden eszközt profilozzon a hálózaton, és jelezze a szokatlan viselkedést. Amikor a NOC gyanús forgalmat észlelt az újságíró laptopján, az ügynök a hálózatból származó nyomokat az interneten elérhető információkkal vetette össze, hogy gyorsan azonosítsa a tulajdonost. A csapat a konferencia regisztrációs adatbázisával erősítette meg az egyezést, majd jelentést készített, és értesítette az újságírót és szervezetét.
A NOC több Black Hat konferencián is megfigyelt egy mintát, amely szerint a tajvani résztvevők gyakran feltört eszközökkel érkeznek. „A forgalom nagy része Kínába vezet vissza” - mondja Stump. Az államok vagy kiberbűnözők által végrehajtott, MI-vel támogatott támadások valószínűleg erősödni fognak. A csapat úgy véli, az MI-verseny még csak most kezdődik. Wyler számára a Mythos által feltárt sebezhetőségek, köztük olyanok is, amelyek évtizedekig rejtve maradtak, inkább örömteli fejleményt jelentenek, mintsem félelmeteset. „Most már tudjuk, hogy léteznek.”
Stump ugyanakkor óvatosságra int, szerinte a következő két év viharos lesz, mivel egyre több hibát tárnak fel, több adatvédelmi incidens történik, ahogy a vállalatok érzékeny adatokat táplálnak MI-rendszerekbe, és egyre több nem biztonságos kód születik. Ha ezt az átmeneti időszakot felelősen kezelik, kialakulhat egy új egyensúly, amely hasonlít arra, amelyet most hagynak maguk mögött. Egy dolog azonban biztos - mondja Stump. „Egy éven belül lesz egy új MI modell, amely mellett a Mythos úgy fog kinézni, mint egy billentyűzetet nyomkodó kisgyerek.”