Cloud-AI که یک سیستم هوش مصنوعی است، ۱۰ آسیب‌پذیری امنیتی را در LinkedIn پیدا کرد.

سال ۲۰۱۷، سال هوش مصنوعی^(۱)، داده‌های عظیم^(۲)، واقعیت مجازی^(۳) و امنیت سایبری است و شرکت‌های بزرگ مانند گوگل، فیس‌بوک، اپل، IBM و Salesforce و پیشگامان فناوری مانند بنیان‌گذار SpaceX در حال سرمایه‌گذاری بر روی این فناوری‌ها هستند.

ازاین‌رو، همگی در حال بحث در مورد داغ‌ترین موضوع از بین مباحث بالا یعنی هوش مصنوعی و دانش ماشینی هستند. بر طبق یک گزارش که توسط Narrative Science منتشر شده است، ۶۲ درصد از تشکیلات اقتصادی بزرگ تا سال ۲۰۱۸ به‌طور گستره از هوش مصنوعی استفاده خواهند کرد[۱].

اما چرا هوش مصنوعی به عنوان بزرگ‌ترین فناوری در حال پیشرفت در نظر گرفته می‌شود؟ زیرا این فناوری می‌تواند روش فکر کردن، تعامل، تولید و ارائه ما را به‌کلی تغییر دهد و بهبود بخشد.

سال گذشته، ما شاهد تعداد زیادی تهاجم علیه سازمان‌های بزرگ، دولت‌ها و شرکت‌های خصوصی بودیم. این خبرِ واقعاً نگران‌کننده‌ای است و چه چیزی وضع را بدتر می‌کند؟ این مسئله که وضعیت همچنان ادامه دارد و ما شاهد افزایش تعداد حملات هستیم؛ در حقیقت ما نیاز به کمک داریم.

بدون شک، ما انسان‌ها، می‌توانیم آسیب‌پذیری‌ها را کشف کنیم اما نمی‌توانیم میلیون‌ها برنامه که دارای میلیاردها خط کد هستند را به صورت‌ یکجا آنالیز کنیم.

اما تصور کنید اگر ما یک سیستم مستقل در اختیار داشته باشیم که بدون دخالت انسان، آسیب‌پذیری‌ها را در سیستم‌های کامپیوتری قبل از اینکه توسط مجرمان اینترنتی مورد بهره‌برداری قرار گیرد، کشف و اصلاح کند؛ چه تحولی عظیمی در دنیای امنیت سایبری رخ خواهد داد؟

سیستم Cloud-AI که با دنیای وب درست مانند انسان‌ها در تعامل است.

یک استارتاپ هندی به نام Cloudsek که متعلق به شرکت ارزیابی ریسک infosec است[۲]، در همین جهت در حال فعالیت است که ماشین‌های داری هوش مصنوعی تولید کند که بر پایه راه‌حل‌های مبنی بر یادگیری کار کنند تا به سازمان‌ها کمک کند تا تهدیدات آنلاین را شناسایی و بلافاصله از بین ببرد.

این شرکت فناوری Cloud-AI را توسعه داده است که یک سیستم هوش مصنوعی است که بر پایه مدل یادگیری نیمه-نظارتی^(۴) است که می‌تواند در اینترنت بچرخد و درست مانند هوش انسان با اینترنت تعامل داشته باشد.

Cloud-AI به گونه‌ای طراحی شده است که خودش به یادگیری خودش کمک کند و با این توانایی که داده‌های در ارتباط با جعبه‌های ورودی^(۵)، دکمه‌ها و لینک‌های هدایت^(۶) را با حداقل خطای ممکن به صورت خودکار جمع‌آوری کند.

Rahul Sasi، مؤسس و CTO برنامه CloudSek در یک پست در وبلاگ خود که در روز سه‌شنبه (۲۴ ژانویه ۲۰۱۷) منتشر شده است، می‌نویسد: “این امر به این علت است که انسان‌ها داده‌های بسیار زیادی را در ارتباط بااینکه چگونه با وب در تعامل باشند تولید کرده‌اند. ما از این داده‌ها استفاده می‌کنیم تا مدل‌های خود را آموزش دهیم تا به‌طور موفقیت‌آمیزی به اهداف ما برسند. همچنین این روش به ما کمک می‌کند تا به اهداف چالش‌برانگیز خود برسیم که این اهداف برای دیگر مدل‌های تقویت شده بسیار وقت‌گیر خواهند بود.”

فناوری Cloud-AI این دو محصول تولید شده را نیرومند می‌کند:

CloudMon: یک سیستم که زیرساخت‌های مختلف در معرض اینترنت را به منظور مشکلات امنیتی خیلی مهم، مونیتور می‌کند که شامل برنامه‌ها و وب‌سایت‌های بر پایه Cloud هستند.

x-Vigil: یک سیستم که منابع اینترنتی، وبلاگ‌های بحث و تبادل نظر زیرزمینی، پلتفرم‌های رسانه اجتماعی و داده‌‌های فاش شده مختلف را مانیتور می‌کند و همچنین بسیاری را تهدیداتِ موجود را کشف کرده و اخطارهای مورد نیاز را بدون هیچ‌گونه مداخله انسان منتشر می‌کند.

علاوه بر این، محققان امنیتی در Cloudsek همچنین در حال کار بر روی افزایش کارایی فناوری Cloud-AI توسط افزودن ویژگی کشف آسیب‌پذیری‌های جدید قبل از یافت شدن آن‌ها توسط انسان‌ها، هستند.

Cloud-AI آسیب‌پذیری‌ها را مانند مهاجمان هوش مصنوعی کشف می‌کند.

به منظور اثبات موفقیت فناوری Cloud-AI در زمینه کشف آسیب‌پذیری‌ها، محققان ۱۰ آسیب‌پذیری Direct Object Reference ناامن را در بزرگ‌ترین شبکه حرفه‌ای آنلاین دنیا یعنی LinkedIn پیدا کردند.

عیب direct object reference ناامن هنگامی اتفاق می‌افتد که هر برنامه‌ای به صورت مکرر از نام واقعی یا کلید یک object در هنگام ایجاد کردن صفحات وب استفاده می‌کند؛ اما درصورتی‌که کاربر به عنوان object هدف دارای اختیار باشد، همیشه مورد تأیید قرار نمی‌گیرد.

مشکلاتی که در LinkedIn برطرف شد شامل موارد زیر بودند:

• فاش شدن ID مربوط به پست الکترونیک هر کاربر در LinkedIn
• فاش شدن پست‌های الکترونیک کاربران و شماره تلفن و رزومه آن‌ها
• پاک شدن درخواست‌های ارسال شده توسط کاربران LinkedIn
• دانلود کردن تمامی رونوشت ویدیوها از Lynda
• دانلود کردن تمامی فایل‌های تمرینی Lynda بدون داشتن عضویت دارای درجه بالا

برای تشخیص دادن چنین آسیب‌پذیری‌هایی، تمام چیزی که یک مهاجم نیاز دارد تا انجام دهد دست‌کاری کردن مقادیر پارامترهاست. اما پیدا کردن چنین نقص امنیتی که به راحتی قابل شناسایی باشد برای یک ابزار خودکار به علت سختی دسترسی به نقطه پایانی^(۷) ناقص، غیرممکن است ازآنجاکه انجام دادن دستی این فرآیند بسیار وقت‌گیر است.

Cloudsek توضیح می‌دهد: “سیستم Cloud-AI باید چندین فرم را تکمیل کند و از الگوهای معتبر پیروی کند تا به نقاط پایانی آسیب‌پذیری دسترسی پیدا کند. این نقاط پایانی اغلب توسط وجود ابزارهای خودکار یا آنالیزهای دستی از قلم می‌افتند.”

هوش مصنوعی برای شکستن کدهای CAPTCHA مناسب است، اما پیش‌بینی می‌شود که ممکن است این سیستم توانایی شکستن سیستم reCAPTCHA مربوط به گوگل را نیز داشته باشد، که این سیستم نیز توسط یک سیستم پیچیده هوش مصنوعی تولید شده است تا از وب‌سایت‌ها در برابر ربات‌ها محافظت کند.

چگونه فناوری هوش مصنوعی آینده امنیت سایبری را شکل می‌دهد؟

امنیت سایبری در میان بزرگ‌ترین تهدیدات امروزی در جهان قرار دارد و این یک حقیقت شناخته شده است که افراد حرفه‌ای و با مهارت بالا برای مقابله با چنین تهدیدات اینترنتی به اندازه کافی وجود ندارند.

اینترنت در حال حاضر در حال تلاش برای دفاع در برابر جنایات سازمان‌یافته، مهاجمین تحت حمایت دولت‌ها و تروریسم  است؛ اما کارشناسان معتقدند که فناوری هوش مصنوعی می‌تواند به ما در زمینه محافظت از داده‌های حساس و زیرساخت‌های حیاتی در برابر مهاجمان کمک کند.

Cloud-AI که متعلق به شرکت CloudSec است یا OpenAI که توسط Tesla و بنیان‌گذار Space X یعنیElon Musk حمایت می‌شود یا هر شخص یا شرکتی که در این زمینه در حال فعالیت است می‌خواهد یک فناوری تولید کند تا در نهایت منجر به ایجاد یک هوش دیجیتال شود تا تمام بشریت از آن سود ببرند.

Sasi به وب‌سایت خبری Hacker News گفته است: “در آینده‌ای نزدیک، Cloud-AI به گونه‌ای به‌روزرسانی می‌شود تا به هنگام سفارش هر چیزی بر روی اینترنت، به کاربران کمک کند. همچنین می‌تواند وظایف پیچیده را نیز انجام دهد که منجر به صرفه‌جویی در وقت می‌شود.”

علاوه بر این، با توجه به افزایش روزافزون دستگاه‌های  اینترنت اشیاء[۳]، تهدیدات امنیت سایبری به طور قابل‌توجهی افزایش یافته است؛ بنابراین تحقیقات گسترده بر روی طرح‌های جلوگیری و تشخیص به منظور بهبود این فناوری، قویاً در سراسر جهان در حال انجام است.

ازآنجاکه هوش مصنوعی یک بخش اساسی از مفهوم اینترنت اشیاست، که در آن ماشین‌ها و دستگاه‌ها با یکدیگر در ارتباط هستند تا یک کار به خصوص را انجام دهند؛ تنها هوش مصنوعی و یادگیری ماشینی است که به طور قابل‌توجهی به منظور محافظت شبکه قبل از مورد بهره‌برداری قرار گرفتن توسط مهاجمان، مفید واقع خواهد شد.

سال گذشته، محققان امنیتی در MIT یک پلتفرم امنیت سایبری را بر پایه هوش مصنوعی توسعه دادند که نام آن را AI2 گذاشتند که توانایی پیش‌بینی، تشخیص و متوقف کردن ۸۵ درصد از حملات سایبری را با دقت بالایی داشت.

هم‌زمان، ما نباید فراموش کنیم که فناوری‌های با هوش بیشتر، همراه با خطراتی نیز هستند. همچنان که هوش مصنوعی می‌تواند به عنوان یک سلاح قدرتمند برای سازمان‌ها باشد، این خطر هم وجود دارد که این فناوری در دستان افراد نادرست قرار گیرد.

منابع

[۱] https://www.narrativescience.com/press-release-outlook-on-ai-2016

[۲] https://www.cloudsek.com/

[۳] https://apa.aut.ac.ir/?p=1902

[۴] http://thehackernews.com/2017/01/artificial-Intelligence-cybersecurity.html

(۱) Artificial Intelligence (A.I.)
(۲) Big Data
(۳) Virtual Reality (VR)
(۴) semi-supervised learning model
(۵) input boxes
(۶) navigation links
(۷) endpoint