Af Aksel Brinck, Alt om Data
Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.
Hackerne elsker os it-brugere, for vi er gode til at klikke på de inficerede links, som de lokker med. Men nu skal hackerne have kamp til stregen på en smartere måde.
Forskere fra DTU og Aalborg Universitet er sammen med it-sikkerhedsvirksomheden CSIS Security Group i gang med at finde nye løsninger, der skal forhindre, at it-brugere utilsigtet kommer til at give oplysninger til kriminelle eller besøger skadelige hjemmesider, som er inficeret med virus.
Løsningerne skal ifølge partnerne udnytte kunstig intelligens til at opdage og blokere de skadelige hjemmesider og mails, allerede inden brugerne når at klikke på dem. Forskningsprojektet hedder SecDNS og har fået en bevilling på 11,3 millioner kroner fra Innovationsfonden.
Forsvar mod zero-day-angreb
Hidtil har man brugt historiske data til at finde ud af, hvilke hjemmesider der skal blokeres, men den tilgang er ikke tilstrækkeligt beskyttende, forklarer Christian D. Jensen, der er leder af sektionen for cybersikkerhed på DTU Compute og deltager i SecDNS-projektet.
”I sikkerhedskredse taler man om zero-day-angreb – som er angreb, man aldrig har set før. Den type angreb bliver aldrig fanget, når man kun har historiske data,” siger han.
Gardering i frontserverne
For at komme på forkant med de cyberkriminelle vil forskerne sætte ind helt ude på de navneservere, som sidder helt fremme ved "fronten" og dirigerer trafikken på internettet.
Forskerne vil udvikle et system, der er baseret på kunstig intelligens, og som ude på serverne kan gennemgå de såkaldte DNS-opslag, der oversætter de hjemmesidenavne (domænenavne), som vi taster ind på vores computere, til de IP-adressers talkoder, computerne rent faktisk bruger.
”Jeg ser et stort behov for at øge cybersikkerheden. Alle former for kriminalitet er for nedadgående – undtagen cyberkriminalitet. Derfor håber jeg, at den viden, vi opbygger, vil komme alle til gode,” siger Christian D. Jensen.Via disse DNS-opslag vil systemet tjekke, om links til hjemmesider er skadelige, eller om en e-mail indeholder et skadeligt link, og hvis det er tilfældet, vil systemet blokere dem. Derved vil brugeren enten aldrig modtage mailen, eller hvis brugeren modtager mailen og trykker på linket, vil systemet fremvise en advarselsskærm, der samtidig forhindrer det skadelige indhold i at blive eksponeret for brugeren.
For at få systemet til at opdage de skadelige hjemmesider, links og mails vil forskerne træne algoritmerne til at genkende mønstre, der kendetegner skadelige hjemmesider, ud fra store mængder data fra blandt andet brugsmønstre, kendte inficerede hjemmesider og cyberangreb, som universiteterne og CSIS Security Group har observeret.
Første gang metoden anvendes
Det er første gang, at man arbejder så systematisk med maskinlæring på navneserverne. Forskerne deler deres data op i positiv og negativ trafik og lærer algoritmerne, hvad der er godt og dårligt. For at lære algoritmerne at genkende mønstre på virusinficerede hjemmesider kigger forskerne på eksempelvis server- og domænenavne. Her undersøger de, hvornår navnene er registreret, hvem der har registreret dem, hvor længe de har været registreret, og om det er steder, som jævnligt bliver besøgt.
”Udviklingen inden for kunstig intelligens har givet os langt bedre muligheder for at opdage cyberangreb end tidligere. Men hackerne bliver også bedre og bedre,” siger Christian D. Jensen.
”I dag ser vi eksempler på, at angriberne snyder algoritmer med maskinlæring. Derfor bliver det spændende at se, hvordan de begynder at bruge AI til at sløre og forvirre den kunstige intelligens, som vi sætter i spil. For at kunne hacke vores løsninger skal de lave mønstre, der ikke bliver genkendt af vores mønstergenkendelsessystemer. Det kan de gøre, hvis vores algoritmer ikke er gode nok.”
Botnets og phishing
I dag ser Christian D. Jensen forskellige typer af skadelige hjemmesider, der bruges til at franarre os data eller installere skadelige koder.
En af dem er botnets, der er en sammenskrivning af ordene ’robot’ og ’netværk’. Her bryder hackere sikkerheden på flere brugeres computere, hvorefter de overtager styringen af hver computer og organiserer alle de inficerede maskiner i et netværk, som den kriminelle kan fjernstyre.
Som eksempel blev malwaren Mirai i 2016 brugt til at lave nogle af de største overbelastningsangreb (DDoS-angreb), der hidtil er set. Et angreb, der gjorde en række store internettjenester utilgængelige.
Phishing er en anden form for bedrageri, som projektet har fokus på. Her forsøger kriminelle at narre offeret til at udlevere følsomme oplysninger ved at udgive sig for at være for eksempel en myndighed. Mange phishing-mails misbruger i øjeblikket covid-19 for at øge sandsynligheden for, at modtageren læser mailen og klikker på links eller vedhæftede filer, forklarer Christian D. Jensen
