Egyértelmű, hogy a hagyományos módszerek mellett és helyett új, a mesterségesintelligencia-kutatások egyre több eredményét magukba integráló megoldások szükségesek, amelyek akár nyílt forráskódúak is lehetnek. Hogyan derítheti fel időben egy szervezet a számítógépes hálózata elleni támadást, miként reagáljon gyorsan, és állítson le bármilyen rossz szándékú behatolást, adatrongálást? Mert hiába a sok tűzfal és más biztonsági megoldások, a pusztítást felettébb nehéz megakadályozni; ismert hálózatok szinte minden hónapban szenvednek el nagyobb volumenű attakokat.
Információbiztonság és játékelmélet
Heechang Shin, az Iona College (New Rochelle, New York állam) szakembere a játékelméletet segítségével dolgozott ki a korábbi megközelítéseknél hatékonyabbnak tűnő hálózatvédelmi mechanizmust. Úgy véli, a támadások nemcsak felhasználók tízezreit érintő szolgáltatás-kimaradást okoznak, de a kereskedelemben el is viszik az éves eladás egy százalékát, ami átlagos amerikai vállalatok esetében tízmillió dollárnál magasabb összeg.
Shin játékelméleti modellen alapuló, a behatolást valós időben felfedező hatékony programot fejlesztett. Lényege az úgynevezett „védekező előrejelzés.” A program valóság kontra előrejelzést játszik, és akkor győz, ha a valóság megegyezik az előrejelzéssel. Ilyen esetekben a behatolás blokkolását javasló figyelmeztetést küld a rendszernek. Előnye, hogy a támadást már csak utólag felfedező módszer, a logok elemzése helyett valós időben figyeli a hálózat kimenő és bejövő adatforgalmát. A tipikus behatolási kísérletek és a belső támadások mintáit mesterségesintelligencia-módszerrel, folyamatos tanulás eredményeként ismeri fel.
Hatékonyságát tesztelve Shin arra a következtetésre jutott, hogy a játékelméleti megközelítés legalább annyira jó, de (a valós idő miatt) talán jobb is, mint a hálózati behatolások detektálására használt más, hagyományosabb módszerek.
Hogyan védekezzünk a következőgenerációs vírusok ellen?
A Texas Egyetem (Dallas) Kiberbiztonsági Kutatóközpontjában dolgozó Kevin Hamlen számítógépes vírusok tevékenységét prognosztizáló új eljárást dolgozott ki, amely a malware-ek elleni küzdelemben használt eszközök és stratégiák következő generációját vetíti előre. Ezek a megoldások szerencsére hasznosítani tudják a legtöbb jelenlegi gép számítási adottságait, a működésükhöz szükséges utasításokat.
A vírusok általában véletlenszerűen terjednek, szaporodnak a hálózaton; mutációjuk szintén random jellegű, megakadályozva, hogy azonos másolatuk legyen, azaz nehezebb felfedezni őket. Hamlen és munkatársai vizsgálták, hogy random helyett képesek-e közvetlen mutációra, rájönni a megfertőzött gép által használt védelmi eljárásokra, és fejlett gépitanulás-módszerek segítségével hálózati szinten hatástalanítani ezeket a védelmi megoldásokat.
Javaslatuk: proaktívan ki kellene találni, mi várható a jövőben. A programozási nyelvek kutatását, az ott használt programok aktivitását, hibáikat prognosztizáló algoritmusokat próbálják a szoftverbiztonságra alkalmazni. Tapasztalataik alapján ugyanezzel a módszerrel az utasítások kivitelezése és a mutáció előtti mikroszekundumokban a malware-ek tevékenysége is előrejelezhető.
Hamlen biztatónak tartja, hogy a laptopoktól a felhőszámítások hálózati szervereiig a legszélesebb skálán használt CPU-chipeket nem kell újakra cserélni, hanem különböző tulajdonságaikat kell szinkronba hozni, kompatibilissé tenni egymással. A közeljövőben arra szeretne választ kapni, hogy mely algoritmusokkal hozhatók létre minden eddiginél masszívabb antivírus-programok.
Botnet az égből
A telekommunikációs hálózatok elleni támadások szintén egyre kifinomultabbak, ráadásul onnan is jöhetnek, ahonnan eddig senki nem számított rájuk.
Képzeljük el, hogy egy pilóta nélküli, távirányított légi járművet vezeték nélküli hálózatok felderítésére és veszélyeztetésére alkalmas technológiákkal szerelünk fel, majd a drón a légtérből vezérli a megfertőzött számítógépekből kialakuló, további gépeket, rendszereket támadó botnetet.
Sven Dietrich, a Stevens Technológiai Intézet (Hoboken, New Jersey) kutatója e célra felépített tökéletes szerkezettel: alig 400 dollárért vásárolt, majd vezeték nélküli hálózatokat detektáló és támadó szoftverrel rendelkező ultrakönnyű számítógéppel felszerelt, kamerákkal és 3G-s modemmel irányított kvadrokopterrel szemléltette egy tavalyi szakkonferencián, hogy a művelet 600 dollárból kivitelezhető. A drón a célhelyszínhez közel landol, ha napenergiával működik, újratölti magát, aztán folytatja a körülötte lévő összes hálózat elleni támadást. A vezeték nélküli hálózat gyenge pontjait kihasználó hacker internetes irányítószerver helyett közvetlenül a drónon keresztül vezérli a botnetet, azaz gyakorlatilag azonosíthatatlan marad.
A szinte hangtalanul közlekedő apró légi járművek más veszélyeket is tartogatnak számunkra: észlelik, majd nyomon követik a mobiltelefonokat, amelyek alapján célszemélyeket azonosítanak be, és megtámadják otthoni hálózatuk legsebezhetőbb pontját.
Tanulságos, és a jövőre nézve elgondolkoztató, hogy egyik esetben sem az információs hálózat féltve őrzött „főkapuja”, hanem a vezeték nélküli rendszerek kevésbé védett hátsó bejáratai, belső hálózatok hozzáférési pontjai szolgálnak célpontként.
Önvédő hálózatok
Talán a hátsó kapun támadók ellen is megoldást jelenthet a Kansasi Állami Egyetem az amerikai légierő kutatási központja által támogatott projektje. A kutatók ugyanis az önmagát beállításainak és konfigurációjának automatikus változtatásaival hackertámadásoktól megvédő intelligens hálózat kivitelezésének lehetőségeit tanulmányozzák.
A légierő elvárása, hogy a tudósok mutassák ki, milyen hatásai lennének egy számítógépes rendszerben annak, ha a támadók célpontjai mozognának. A jelenlegi állapotban az üzemeltetők képtelenek megvédeni rendszereiket, és ha legalább ideig-óráig előnybe akarnak kerülni a támadókkal szemben, a kiberbiztonság egészét érintő koncepcionális változtatásokra van szükség.
Ha az eredmények kimutatják, hogy a „mozgócélpont-védekezés” (moving-target defense) hatékony, a későbbiekben megvizsgálják a rendszer kiépítéséhez szükséges befektetéseket és a várható előnyöket: arányban állnak-e egymással, megéri-e kivitelezni a hálózatot?
A „mozgócélpont-védekezés” kifejezés 2008-as, ötlete azonban már az ezredforduló környékén felmerült, lényege, hogy a számítógépes hálózatok statikus konfigurációit érdemes lenne dinamikussá alakítani, mert így hatékonyabban lehetne védekezni a támadókkal szemben. A hálózat automatizáltan és véletlenszerűen változtatná konfigurációs beállításait: cserélgetné a szoftverek hálózati címeit, időnként áthelyezné a kritikusnak számító rendszeradatokat stb.
A legfontosabb, hogy a változtatások a támadónak kaotikusnak tűnjenek, de az üzemeltetők számára átláthatók maradjanak. Egy mai támadás tipikus forgatókönyve: a hacker felderíti például a webszervert, hogy hol található, milyen szoftver fut rajta. Ezt követően alaposan átvizsgálja, szoftveres és konfigurációs gyenge pontokat keres rajta, majd kiválasztja az ideális időpontot, és a biztonsági résen bejuttat egy kártékony kódot. Dinamikus hálózattal szemben nem működne ez a módszer.
Levélszemét-szűrés közösségi alapon
Egyre sűrűbben érik támadások a nem megfelelően védett elektronikus levelezőládákat is. A gyanútlan felhasználót levélszeméttel (spam) bombázzák, adathalászatnak (phishing) és más csalásoknak eshet áldozatul. A védekezés hatékonyabb, mint néhány esztendeje, optimálisnak azonban távolról sem nevezhető…
A legtöbb spamszűrő minden egyes elektronikus levelet elemezve próbálja kiszűrni a kéretlen üzeneteket: fejlécet, tartalmat, a feladó domainjét és egyéb elemeket egyaránt vizsgálnak. Nagyjából ugyanaz történik, mint a vírusellenes küzdelemben: a fejlesztők új technológiákkal próbálják azonosítani a legfrissebb levélszemét-típusokat, az „ellenoldal” kidolgozza az e technikákat kivédő módszereket, aztán a „jók” lépnek, és így tovább.
A spamszűrők többsége vagy túl „szigorú” és valódi üzeneteket, főként hírleveleket is kiselejtez, vagy – a „hamis pozitívok” elkerülésével – egyszerűen nem végzi elég jól a munkát, és a levélszemét-küldemények mintegy negyede postaládánkban köt ki.
A mindenféle fiókot (POP3, IMAP, Exchange) és webalapú maileket is filterező Cloudmark DesktopOne különösen azért tűnik komoly előrelépésnek, mert egyrészt eltávolítja a szemetet, másrészt meghagyja a nehezen megkülönböztethető tényleges üzeneteket.
A spamet egymilliárdnál több felhasználó tapasztalatai alapján azonosítja: ha bárki gyanúsnak talál egy levelet, annak „ujjlenyomatával” ellátott üzenetet küld a központi adatbázisba. Ha ugyanazt az üzenetet sokan felcímkézik, a Cloudmark kiszűri a többi közül. A folyamatosan „jól teljesítő” felhasználók bónuszpontokat kapnak, a rendszer jobban megbízik bennük, ráadásul a módszerrel a magukat segítőkész usernek álcázó spamküldők megtévesztő tevékenysége is könnyebben felismerhető.
A Cloudmark ugyan nem végez 100 százalékos munkát, de a tapasztalatok alapján sokkal ritkábban hibázik, mint a többi a spamszűrő.
Védjegyzett vagy nyílt forráskódú programok?
Az információbiztonsági problémák egy érdekes kérdést is felvetnek: mennyire bízzunk a nyílt forráskódú megoldásokban?
Az egészségügy-informatikai rendszerek eladása világviszonylatban sokmilliárd dolláros iparág és üzlet.
A magas költségek, a gyakran csődöt mondó, egymással kommunikációképtelen rendszerek ellenére a szakterület döntéshozói egyelőre idegenkednek a problémák nagy részére megoldást jelentő nyílt forráskódú szoftverektől (OSS – Open Source Software). Aggályaik legfőbb oka a biztonság és a megbízhatóság. Az angliai Warwick Egyetem Digitális Egészségügy Intézetének és a londoni UCL Egészségügyi Informatika és Multiprofesszionális Oktatás Központjának szakemberei arra a következtetésre jutottak, hogy a nyílt forráskódú alternatívák valójában biztonságosabbak, mint a drágább, védjegyzett (proprietary) programok.
Carl Reynolds (UCL) szerint ha a kód nyilvános és több fejlesztői közösség dolgozik rajta, a szoftver jobb minőségű lesz. Jeremy Wyatt (Warwick Egyetem) szerint kutatásaik megdöntik azt az elterjedt véleményt, hogy „mivel a kód nyilvános, a támadók könnyebben megtalálják és kihasználják a gyengeségeit.” Bebizonyították, hogy nincs így, sőt, az OSS biztonságosabb más rendszereknél. A védjegyzett szoftverek gyakran az úgynevezett „biztonságos, mert homályos” érvelésen alapulnak, azaz mivel a rendszerek működése nem látható át, védettebbek a potenciális támadókkal szemben. Igen ám, de léteznek olyan eszközök, amelyekkel a kód felderíthető, módosítható. Még rosszabb, hogy ez az alapkoncepció gyakran eredményez gyenge minőségű kódot. Viszont ha a kód nyílt, a biztonsági rendszerhez független szakértők is hozzáférhetnek, többen több energiát fordítanak a hibák korrigálására.
A kutatók azt az érvelést is visszautasítják, mely szerint az OSS – mivel a szoftver bármely hibájára megbízhatatlanná válik – alapvetően sokkal kockázatosabb megoldás. A nagyvállalatok ugyanis az OSS implementálásáért és a supportcsomagért ugyanúgy fizetnek a beszállítóknak, mintha védjegyzett szoftvert használnának.
