Analyse Cybercriminelen en kunstmatige intelligentie

Ook cybercrimineel ontdekt aantrekkelijke kant van kunstmatige intelligentie – hoe zorgwekkend is dat?

Beeld Getty Images

Kwaadaardige hackers en verdedigers zijn permanent in een kat-en-muis-spel verwikkeld. Kunstmatige intelligentie speelt hierin een steeds belangrijker rol. Maar de rol van de mens is niet uitgespeeld. 

De cybercrimineel – volgens het clichébeeld getooid met een hoodie te midden van rondzwevende groene cijfertjes in een donkere ruimte – en de dappere beveiligers die hij poogt te omzeilen, zouden in de toekomst weleens kunnen plaatsmaken voor geheel geautomatiseerde systemen die de strijd tegen elkaar aangaan. In de verdediging is die vervanging al volop gaande. Een van de zaken waarin kunstmatige intelligentie (AI) namelijk uitblinkt: het ontdekken van afwijkingen in grote bergen gegevens. Een listig gepland virus dat verdachte activiteiten ontplooit, zou op deze manier moeten kunnen worden ontdekt. Logisch dus dat bedrijven die zich bezighouden met cyberbeveiliging steeds vaker AI inzetten om aanvallers tegen te houden. Een hele reeks nieuwe startups biedt dit soort oplossingen, terwijl ook de bestaande grote beveiligers hierop inzetten. Een voorbeeld daarvan is G-Data, dat in november een zelflerend systeem – genaamd DeepRay – lanceerde dat ‘automatisch een kwaadaardige code kan detecteren’.

Klinkt goed en veelbelovend, maar tegelijk waarschuwen experts voor overspannen verwachtingen. AI is géén tovermiddel, stelt bijvoorbeeld Fred Streefland, Chief Security Officer van beveiliger Palo Alto Networks, in een recent blog. AI is nooit ontworpen om te werken in snel veranderende en onvoorspelbare omgevingen, zegt hij. In de cybersecurity zijn er geen strak gedefinieerde regels en passen de ‘bad guys’ voortdurend hun technieken aan. Volgens hem is er nog een ‘lange weg te gaan’ voordat beveiligers volledig kunnen vertrouwen op AI.

Bram Cappers, onlangs aan de TU Eindhoven gepromoveerd op een studie over interactieve visualisaties voor cybersecurity, gaat nog een stap verder: de mens zal altijd nodig zijn. Omdat aanvallers inderdaad precies weten hoe ze onder de radar kunnen blijven. En ook omdat AI in veel gevallen juist onnodig alarm slaat. Maar vooral: ‘Machines zijn heel goed in het doorakkeren van gigantische hoeveelheden data. Ze worden nooit moe en kunnen veel meer aan dan mensen ooit kunnen. Maar ze kunnen alleen vertellen wát er is gebeurd. Ze hebben geen idee wat er achter zit en waarom. Het inzicht in data is en blijft mensenwerk.’

Kleurige blokjes

Om de mens te helpen, heeft Cappers een systeem ontwikkeld – Eventpad – dat cijfers en letters uit eindeloze Excel-bestanden vertaalt naar kleurige blokjes die de geoefende kijker in één oogopslag laten zien waar interessante afwijkingen ontstaan. Gezeten achter zijn laptop op de campus in Eindhoven laat hij zien hoe zijn visualisaties kunnen worden gebruikt. Om hackpogingen op het spoor te komen, maar ook om telefoonfraude te detecteren. Of om patiënt-artscontacten in kaart te brengen. Kortom: ze zijn toe te passen overal waar veel data gebruikt worden. ‘Ik wil de twee werelden combineren: de intelligentie van de mens met de snelheid van AI. Het gevaar is dat bedrijven blind geloven in AI en dat vervolgens even blind toepassen. Maar het begint met inzicht en dat inzicht komt van de mens.’ 

Cappers promoveerde niet alleen op deze vinding, maar presenteerde die ook al met succes op ’s werelds bekendste hackersconferentie, Black Hat USA. Nu zijn systeem op meerdere plekken met enthousiasme is onthaald, wil hij er commercieel mee de boer op. Inmiddels heeft hij een startup opgericht, AnalyzeData, die de kleurige blokjes op de markt moet brengen.

Maar aanvallers zitten natuurlijk ook niet stil. Ook cybercriminelen beginnen de aantrekkelijke kanten van AI te ontdekken. AI is namelijk voor iedere handige programmeur binnen handbereik omdat het via kant-en-klaar-modules beschikbaar is. Dit zorgt er volgens beveiligingsbedrijf McAfee voor dat cybercriminelen aanvallen kunnen ontwikkelen die steeds moeilijker zijn op te sporen en af te slaan. ‘Dankzij AI hebben cybercriminelen de gelegenheid om de selectie van doelwitten te automatiseren, kunnen ze een potentieel doelnetwerk scannen op zwakheden, en de verdediging van geïnfecteerde netwerken onderzoeken. Zo voorkomen ze dat ze opgespoord worden voor ze de volgende stadia van een aanval inzetten’, stelde McAfee onlangs nog in zijn jaarlijkse rapport met voorspellingen voor het nieuwe jaar.

‘Zo weinig mogelijk inspanning’

Die voorspellingen werden een jaar eerder, eind 2017, ook al gedaan, onder andere in Wired. Met de broodnodige kanttekeningen overigens: ‘Een machine kan niet out of the box denken en beschikt nog niet over die vonk van creativiteit, intuïtie en lef die menselijke hackers in staat hebben gesteld om te winnen.’ Maar, waarschuwde het technologiemagazine, ‘dat gaat in 2018 veranderen’. Die voorspelling lijkt niet helemaal te zijn uitgekomen. Verdedigers maken weliswaar in toenemende mate gebruik van de voordelen van kunstmatige intelligentie, bij kwaadwillende hackers is het nog stil, ondanks alle waarschuwende woorden. Volgens Zulfikar Ramzan van beveiliger RSA is er ‘weinig bewijs’ dat onlinecriminelen nu al grootschalig gebruik maken van AI. ‘Hackers doen het liefst zo weinig mogelijk inspanning om een systeem binnen te komen. Er zijn zoveel eenvoudiger middelen om dat te doen dan geavanceerde AI-technieken te gebruiken’, aldus de expert afgelopen zomer tegenover The Financial Times. Dat wil niet zeggen dat dit toch niet gaat gebeuren. De ontwikkelingen gaan hard en kunstmatige intelligentie wordt in rap tempo breed beschikbaar. Ramzan verwacht dat staathackers de eerste zullen zijn die AI gaan inzetten voor hun aanvallen. De rest zal vermoedelijk vrij snel daarna volgen.

Ook Marc Stöcklin, ethisch hacker in dienst van IBM, is er niet gerust op. In het permanente kat-en-muis-spel tussen aanvallers en verdedigers is volgens hem nu het AI-tijdperk aangebroken. ‘Veel AI-gereedschap is als open source beschikbaar. Iedereen met een beetje verstand van zaken kan het dus gebruiken. Criminelen niet uitgezonderd.’ Dat soort gereedschap kan door hen voor verschillende zaken worden gebruikt. Een voorbeeld is het opstellen van phishing mails. Mailprogramma’s als Gmail zijn steeds beter in staat om dat soort mails eruit te pikken en te blokkeren, maar met de hulp van AI proberen aanvallers de verdedigingslinies van Gmail weer te omzeilen. Hetzelfde gebeurt voor het ontwijken van antivirusmaatregelen van beveiligingsbedrijven. ‘In de malware zit dan AI ingebakken. Alsof er een brein in zit. De malware kan zichzelf aanpassen op het moment dat de omstandigheden dat vereisen. Dat is echt een nieuwe stap, extreem opdringerig.’ 

AI kan ook worden gebruikt om aanvallen veel gerichter uit te voeren door alleen in actie te komen bij specifieke doelwitten. IBM heeft zo’n AI-aanval ontworpen om aan te tonen wat ons te wachten staat. Stöcklin laat het in actie zien: op het moment dat het doelwit door de webcam wordt herkend en wordt gematcht met zijn LinkedIn-profiel, komt de malware in actie. Zo niet, dan gebeurt er niets en worden beveiligingsbedrijven niets wijzer. ‘Onze huidige verdedigingstechnieken zullen niet meer voldoen. We zullen daar met de hele industrie aan moeten werken.’ Voor Stöcklin staat het als een paal boven water: de toekomst is AI versus AI.

Lange weg

Cybercriminelen hebben een lange weg afgelegd om uit te komen bij AI-aangedreven aanvallen. De negatieve associatie met de term ‘hacking’ vindt haar oorsprong in de jaren ’70, toen telefooncentrales werden gehackt. Weer een decennium later dook het Morris worm-virus op, een virus dat van computer naar computer sprong. Daarna ging het hard. Andere succesvolle, bekende virussen zijn Mellissa (1999), I Love You (2000), Stuxnet (2010) en de ransomware WannaCry (2017).

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@volkskrant.nl.