Mobiilse pahavara plahvatusele võib pakkuda leevendust masinõpe
Nutiseadmetest kubisevas maailmas pakuvad mobiilsed seadmed ja asjade internet kurjategijatele üha suuremat huvi. Tallinna Tehnikaülikoolis kaitstud doktoritöö osutab, et küberohtude tõrjumisel ning ennetamisel võiks tõusta märkimisväärset kasu masinõppest ja tehisintellektist.
"Öeldakse, et ärimaailmas läbi löömiseks ja investeeringute saamiseks peab olema tänapäeval ettevõtte nimes kaks sõna: "krüpto" ja "masinõpe". Pahavara tuvastamise vallas saab aga masinõppega päriselt midagi kasulikku ära teha," märkis Alejandro Guerra Manzanares, Tallinna Tehnikaülikooli nooremteadur.
Praegu kasutatakse viirusetõrjetarkvarades eeskätt sõrmejäljel põhinevat lähenemist. Igale programmile määratakse ainulaadne räsi ja kui see peaks sattuma musta nimekirja, annabki viirusetõrje teada, et arvuti on ilmselt nakatunud.
"Masinõpe aitaks meil avastada sarnasuse alusel uut pahavara enne, kui inimestest analüütikud sellele jälile jõuavad. Pääseksime sellega vajadusest selle jaoks täiendavaid reegleid kirjutada," selgitas nooremteadur. Piltlikult tähendaks see, et pahavaraloojad poleks ees mitte enam kaks, vaid pool sammu.
Samas nentis Guerra Manzanares, et lõpptarbijate arvutitesse ega nutitelefonidesse taolised lahendused ilmselt ei jõua. Selleks on tarbijad liiga pirtsakad. Isegi kui iseõppiv algoritm liigitab sajast programmist ühe või kaks ekslikult pahavaraks, tähendaks see võimalikule kasutajaarvule mõeldes liiga palju rahulolematuid inimesi.
Küll aga võimaldaks see analüütikutel suunata oma tähelepanu nendele uutele rakendustele, mille näol on tegu tõenäoliselt pahavaraga.
Androidi võlud ja vaevad
Kitsamalt keskendus Alejandro Guerra Manzanares oma doktoritöös Androidi operatsioonisüsteemile. Hinnanguliselt on selle erinevad variatsioonid kasutusel ligi 72 protsendis nutitelefonides. Ülejäänud 28-protsendiline turuosa kuulub iOS-i näol peaaegu täielikult Apple'ile. Androidi ökosüsteemi eripärad tähendavad, et küberkurjategijad eelistavad otsida uusi võimalusi just seda jooksutavate telefonide ründamiseks.
"Esiteks juhib seda puhtalt majandusloogika. Androidil põhinevaid telefone on kordades rohkem. Kuna tegu on vabavaraga, saavad kasutada seda tahtmise korral kõik telefonitootjad. Isegi kui nad teevad seal omi kohendusi, on need enamasti vaid kosmeetilised," selgitas värske doktor.
Avatud ökosüsteem tähendab ühtlasi, et selle aluseks olevast koodist saavad nõrkusi otsida kõik huvilised. Kuigi see kiirendab ka vigade leidmist, võib jätta see kurjategijatele ajaakna, mille jooksul turvaauku enda huvides ära kasutada.
Viimaks on võimalik paigaldada erinevalt Apple'ist Androidi platvormile rakendusi valimatult, mitte vaid ametlikus veebipoes pakutavat. "Ma ei ütle otseselt, et Androidi kasutajad peavad olema nutikamad, kuid nad võiksid olla oma tegemistega ettevaatlikumad. Apple'i disain võib olla parem ja selle operatsioonisüsteemi on lihtsam kasutada, kuid su valikud on seal märksa piiratumad," sõnas Guerra Manzanares.
Uut sorti lähenemine
Alejandro Guerra Manzanares leidis oma doktoritöös, et praegu Androidi pahavara tuvastamiseks kasutatavatel masinõppel rajanevatel lahendustel on mitmeid puudusi. Hakatuseks ei arvesta need kontseptuaalse triiviga. See tähendab, et pahavara tuvastamiseks kasutatavate mudelitele õpetatakse, milline on praegu olukord, kuid mitte seda, kuidas kurjategijate kasutatavad lahendused aja jooksul muutuvad.
"Sellega arvestades ei vananeks mudelid enam sedavõrd kiiresti. Meil avaneks võimalus pahavara arenguga sammu pidada. Me ei suuda selles võidujooksus kurjategijatest küll kunagi ette jõuda, ent vähemalt ei langeks aja jooksul mudeli sooritusvõime," sõnas nooremteadur. Võtmerolli mängivad selle juures mudelite treenimiseks kasutatavad andmed.
Nõnda lõi Guerra Manzanares kolleegidega ühe esinduslikuma pahavara-andmekogu Kronodroid. Erinevalt praegu teadlaste seas laialt kasutust leidvastest andmebaasidest võimaldab see jälgida, kuidas pahavara aja jooksul areneb. Ühtlasi leiab sellest pahavaranäiteid 2020. aastani.
Võrdlusena sisaldavad populaarsed andmebaasid Drebin ja Malgenom vastavalt 2012. ja 2011. aastani ringelnud pahavara. "Neid oma mudelite treenimiseks kasutavad teadlased võivad teatada, kuidas nende mudel suudab avastada 99,9 protsenti pahavarast. Otseloomulikult on see võimalik, kui sa jätad sellega kõrvale suure osa praegu ringlevast pahavarast. Kasvõi suurem plahvatus lunavara levikus toimus alles 2014. aastal," sõnas nooremteadur.
Kuigi Kronodroidil võiks olla seeläbi mitmeid eeliseid, oletas Guerra Manzanares, et kuigi populaarseks see teadlaste hulgas ei saa. Teaduskirjandusest leiab tema sõnul vaid 20–30 tööd, mis kontseptuaalse triiviga tõsiselt arvestavad.
"Mõned ei mõtle sellele ilmselt üldse. Teisalt tähendaks probleemi teadvustamine, et staatilistel andmetel põhinevate mudelite kohta teadustööde avaldamine muutuks märksa raskemaks. Praeguse kultuuri juures, kus sa pidevalt midagi uut avaldama pead, teeksid sa endale karuteene. Ühtlasi näitaks see kaudu, et kogu su eelnev töö oli mõttetu," selgitas nooremteadur. Lihtsalt öeldes võimaldaks see sama aja jooksul vähem korda saata.
Masinõppega robotite vastu
Muu hulgas uuris Alejandro Guerra Manzanares sedagi, kas masinõppest võiks tõusta kasu küberkurjategijate orjastatud kodumasinate vastu. Tänu tehnika odavnemisele ja mugavusihalusele lisatakse neist paljudele piisavalt võimsad protsessorid, et need oleks olnud omal ajal tõsised arvutid. Juhul kui need on ühendatud internetti, tekib kurjategijatel võimalus neid häkkida. Nõnda moodustuvad asjade internetis ajapikku tuhandetest robotitest koosnevad parved, mida saab häkker raha eest sobival hetkel enda tahte allutada.
Kiuslikult tuhandete inimeste piima hapuks ajamise asemel kasutatakse neid valdavalt DDoS-rünnakute korraldamiseks. Sellisel juhul pannakse kodumasinad saatma koodijupi mõjul rünnaku alla sattunud veebilehele nii palju päringuid, kuni selle haldaja serverid koormusele ei vastu pea. Veebilehele kaob sellega ligipääs.
Enamasti võimaldab nutiseadmeid taoliselt häkkida tarbijate hoolimatus ja mugavus. Tehaseseadete muutmata jätmisel saavad häkkerid kasutada selleks näiteks ruuterite puhul teadaolevaid PIN-koode. "Kui taolised robotiparved juba kord loodud on, saab piltlikult häkker lihtsalt arvutiekraanil nuppu vajutada," tõdes nooremteadur.
Guerra Manzanaresi töötas kolleegidega oma doktoritöö raames välja tehnika, kuidas tuvastada nakatatud seadmeid juba enne rünnaku algust. Katsete käigus suutsid loodud mudelid liigitada õigesti 97-99,9 protsenti võrguliiklusest. Lisaks võimaldasid need enamasti tuvastada, millise pahavaraga seadet nakatati.
"Mingi määramatus jääb, aga vähemalt aitab juhtida see meie tähelepanu kahtlaselt töötavatele seadmetele enne, kui midagi päriselt juhtub," lisas Guerra Manzanares. Nooremteadur nentis samas, et enamasti jäävad taolised tööriistad vaid teadlaste mänguasjadeks ja küberturvalisusega tegelevad ettevõtted neid sirgjooneliselt oma arsenali ei lisa.
"Loodetavasti teevad nad seda siiski tulevikus rohkem, sest masinõppest on kõik elevile läinud. Praegu kasutavad sellel põhinevaid lähenemisi aga veel võrdlemisi vähesed," tõdes Guerra Manzanares.
Vahepeal võiksid Androidi platvormi kasutajad arvestada aga järgnevaga:
- nutitelefon on sisuliselt arvuti. Nõnda tuleks paigaldada sellele ka viirusetõrje, kui telefonitootja seda juba eos ei paku.
- midagi veebist allalaadides veendu, et see pärineb usaldusväärsest allikast. Tasuta lõunaid ei ole olemas.
- vaata, milliseid lubasid rakendus taotleb. Kalkulaator ei pea ilmselt su kontaktide numbreid ja SMS-ide sisu teadma.
- isegi Google'i ametlikust veebipoest pärit rakendused võivad olla pahatahtliku iseloomuga.
- kasuta kainet mõistust.
Tutvu väitekirjaga Tallinna Tehnikaülikooli digikogus. Guerra Manzanaresi juhendasid Hayretdin Bahsi ja Sven Nõmm.