Trí tuệ nhân tạo đang giúp phát hiện các lỗ hổng nghiêm trọng trước khi các hacker kịp tận dụng nó

Việc phát hiện ra các lỗ hổng an ninh trước khi chúng bị những hacker tìm ra và khai thác sẽ giúp các chuyên gia an ninh mạng đi trước một bước trong cuộc chiến này.

• Hacker tự tạo mã QR Code để được phục vụ như khách VIP tại sân bay
• Chúng ta sẽ vô cùng tự hào khi biết có hai hacker Việt đã đoạt giải nhì cuộc thi hack bằng AI của DARPA

Vào tháng Hai năm 2015, Microsoft xác định được một lỗ hổng nghiêm trọng trong hệ điều hành Windows của mình, có thể cho phép một kẻ tấn công đầy ác ý chiếm quyền điều khiển máy tính từ xa đối với máy tính mục tiêu. Lỗ hổng này ảnh hưởng đến hàng loạt phiên bản hệ điều hành Windows từ Vista, Windows 7, 8 và các phiên bản khác dành cho máy chủ và máy tính di động.
Công ty đã ngay lập tức phát hành một bản sửa lỗi này. Nhưng những chi tiết về lỗ hổng cũng không mất quá nhiều thời gian để lan rộng trong cộng đồng hacker.

Vào tháng Tư 2015, các chuyên gia an ninh mạng tìm thấy một lỗi khai thác dựa trên lỗ hổng này được rao bán trên thị trường web đen, với cái giá mà người bán yêu cầu là 15.000 USD. Vào tháng Bảy, malware đầu tiên sử dụng lỗ hổng này xuất hiện. Một phần của malware, trojan Dyre Banking, được thiết kế để nhắm đến mục tiêu là người dùng trên toàn thế giới, nhằm ăn cắp số thẻ tín dụng từ các máy tính bị nhiễm virus này.
Các mốc sự kiện này cho ta một cái nhìn sâu sắc về cách malware ngày nay tiến hóa như thế nào. Trong thời gian chỉ vài tháng, các hacker đã chuyển từ một lỗ hổng thành một lỗi khai thác, đem rao bán nó, và sau đó ung dung ngồi nhìn nó phát triển thành malware khi lọt vào tay những kẻ hacker.
Trong trường hợp này, Microsoft đã nhận thức được lỗ hổng này trước khi nó có thể bị khai thác và vì vậy họ có thể phát hành một bản vá cho nó. Nhưng khi malware khai thác các lỗ hổng chưa từng được biết tới trước đây, những người sở hữu phần mềm phải phát triển một bản vá ngay lập tức, ngay trong ngày zero day (ngày số không), vì vậy nó được đặt tên “các cuộc tấn công zero-day”.
Mục tiêu quan trọng của các chuyên gia an ninh mạng là xác định các lỗi khai thác zero-day trước khi chúng chuyển thành malware. Với Eric Nunes và các bạn của mình tại Đại học bang Arizona, trường hợp trojan Dyre Banking mang đến một nguồn cảm hứng quan trọng cho một cách tiếp cận mới về an ninh mạng.

Vào thứ Sáu tuần trước, những chàng trai này đã tiết lộ về một hệ thống thu thập một cách thông minh mối đe dọa về an ninh mạng, bằng cách sử dụng trí tuệ nhân tạo để nghiên cứu các diễn đàn về hacker và các sàn giao dịch trên các web đen cũng như web ngầm. Hệ thống này săn tìm các manh mối về các lỗ hổng mới xuất hiện.
Và ngay sau đó, hệ thống mới của họ đã có một khởi đầu khá ấn tượng. “Hiện tại, hệ thống này đang thu thập trung bình 305 các cảnh báo chất lượng cao về an ninh mạng mỗi tuần.”
Đầu tiên hãy xét đến bối cảnh hiện tại. Các hacker và những tên tội phạm bất chính khác có xu hướng che giấu các diễn đàn của họ và các sàn giao dịch của chúng theo một trong hai cách. Đầu tiên, họ sử dụng rộng rãi phần mềm Tor để ẩn giấu băng thông từ các trang web này, khi chúng di chuyển trên Internet và ngăn chặn chúng có thể bị lần ra. Cách làm này còn được biết đến với tên gọi “dark net” (mạng lưới đen).
Một sự lựa chọn khác của trang web này là sử dụng các website được đặt trên những phần mở của Web nhưng chúng không được lập chỉ mục bởi các engine tìm kiếm. Các trang này được gọi là “deep net” (mạng lưới ngầm), và cách này sẽ làm cho việc điều hướng đến các trang web này trở nên tương đối khó.

Để kiểm soát các hoạt động của hacker trong những khu vực này, Nunes và nhóm của anh đã phát triển một crawler (một phần mềm phân tích dữ liệu) nhằm thu thập thông tin từ các trang HTML đặt trên deep net và dark net. Rõ ràng đây là một phần rất quan trọng của hệ thống này, khi họ khởi đầu bằng việc đặt các crawler vào các trang tốt nhất về lĩnh vực này, một tác vụ được làm thủ công bởi những người vốn quen thuộc với các trang web này. Sau đó nhóm nghiên cứu trích xuất thông tin cụ thể về hoạt động hack, trong khi loại bỏ tất cả các thông tin có liên quan đến ma túy, vũ khí và những thứ tương tự như vậy.
Cuối cùng, họ sử dụng một thuật toán máy học để phát hiện các sản phẩm có liên quan và các chủ đề đang được thảo luận trên những trang này. Họ làm được điều này bằng cách gắn nhãn cho 25% dữ liệu bằng tay, chỉ ra dữ liệu nào liên quan và dữ liệu nào không. Sau đó họ đào tạo cho thuật toán sử dụng bộ dữ liệu được gắn nhãn và kiểm tra phần dữ liệu còn lại. Bình thường một người sẽ mất một phút để gắn nhãn 5 sản phẩm trên sàn giao dịch hoặc hai chủ đề trên một diễn đàn, nhưng thời gian này sẽ được giảm xuống khi máy tính học được cách gắn nhãn và phân loại.

Kết quả thu được rất thú vị. “Với việc sử dụng các mô hình máy học, chúng tôi có thể nhận ra 92% số sản phẩm trên các sàn giao dịch và 80% cuộc thảo luận trên các diễn đàn liên quan đến việc tấn công ác ý với độ chính xác cao.” Nunes cho biết.
Kỹ thuật này đã tiết lộ một số hoạt động bất chính. “Trong suốt 4 tuần, chúng tôi phát hiện 16 lỗi khai thác zero-day từ dữ liệu trên sàn giao dịch.” Nhóm cho biết. Các phát hiện này cũng bao gồm một lỗi khai thác nghiêm trọng của Android, đang được rao bán với giá khoảng 20.000 USD và một lỗi liên quan đến Internet Explorer 11 với giá khoảng 10.000 USD.
Nhóm nghiên cứu cũng tìm kiếm các tài khoản trên mạng xã hội có liên quan đến các hacker sử dụng những diễn đàn và sàn giao dịch này. Họ cho biết có 751 người dùng đã xuất hiện trên nhiều hơn một sàn giao dịch và đưa ra ví dụ về một nhà cung cấp, người đang hoạt động trên 7 sàn giao dịch khác nhau và một diễn đàn, để cung cấp khoảng 80 sản phẩm liên quan đến việc chiếm quyền đầy ác ý.
Đây rõ ràng là một ngành kinh doanh béo bở. “Nhà cung cấp này có điểm đánh giá trung bình là 4,7/5,0, được đánh giá bởi người dùng trên sàn giao dịch với hơn 7.000 giao dịch thành công, cho thấy độ tin cậy của những sản phẩm và độ phổ biến của nhà cung cấp này.” Nunes cho biết.
Đây là một bước tiến hữu ích trong cuộc chiến chống lại tội phạm mạng. Với việc hệ thống này hiện phát hiện hơn 300 mối đe dọa mạng mỗi tuần, nó cũng thu hút sự chú ý từ thị trường thương mại. Quả thật, nhóm của Nunes cho biết hiện họ đang chuyển đổi hệ thống cho một đối tác thương mại.
Nếu nhóm này có thể phát hiện các lỗ hổng zero-day trước khi chúng được phát triển thành các sản phẩm độc hại, họ có thể giúp những người sở hữu phần mềm phát triển các bản vá một cách nhanh chóng. Và đó sẽ là một sự giúp đỡ đáng kể cho các chuyên gia an ninh mạng.
Tất nhiên, đây sẽ là một phần của trò chơi mèo đuổi chuột trong an ninh mạng. Vì vậy, sẽ rất thú vị để xem các hacker sẽ thay đổi hành vi của họ như thế nào khi hiện tại họ đã biết rằng mình đang bị theo dõi một cách có hệ thống. Và khi điều đó xảy ra, trò chơi đuổi bắt sẽ lại được bắt đầu một lần nữa.

Tham khảo Technologyreview