»Nok et af de største luftkasteller inden for IT-sikkerhed«: Ph.d. kaster kritisk blik på phishing-filtre

Illustration: Agung.sptr | Bigstock
Generelt er de videnskabelige metoder til at fange phishing-angreb alt for nemme at snyde, påpeger ph.d.-studerende om metoder, der også ligger bag kommercielle sikkerhedsløsninger.

Machine learning er en central del af flere videnskabelige modeller, der lover høje detektionsrater på op mod 99 procent i kampen mod phishing. Men som inden for alle andre områder er machine learning nem at snyde, og det efterlader metoderne næsten virkningsløse. Det gælder også de metoder, der danner grundlag for store, kommercielle antivirus-produkter,

»Detektion af angreb med kompleks maskinlæring er nok et af de største luftkasteller inden for IT-sikkerhed, som er skabt for nylig,« lyder det fra Thomas Kobber Panum, der som en del af sin ph.d. inden for it-sikkerhed har undersøgt og efterprøvet flere af maskinlærings-algoritmerne.

»Komplekse maskinlæringsmodeller har kendte sårbarheder, som stort set altid kan udnyttes, og vi har efter ti års forskning stadig ikke fundet løsningen.«

Fra 99 procents detektion til næsten 0

Ved at lave ganske små ændringer i angrebene fandt han og kollegerne på Aalborg Universitet ud af, at selv de mest velansete og citerede metoder til at opdage phishing-angreb havde en detektionsrate på tæt på nul procent, når man gik lidt til dem.

»Den store forskel i detektionen skyldes blandt andet, at de 99 procent nøjagtighed er målt på kendte angreb,« siger Thomas Kobber Panum.

»Vi omtaler tit it-sikkerhed som en katten-efter-musen-jagt. Men alligevel ser vi,at folk glemmer, at musen kan lave nye tricks. Det er den "uopmærksomhed" som vi har udnyttet i vores eksperimenter.«

Sår tvivl om effekten af kommercielle produkter

Thomas Kobber Panum fortæller, at de endnu ikke har haft mulighed for at se på nogle af de kommercielle løsninger, der bygger på de udfordrede teorier.

»Men vi kan se, at de fleste kommercielle løsninger til at opdage phishing generelt set er baseret på eller inspireret af de metoder vi har undersøgt,« siger Thomas Kobber Panum og nævner i den forbindelse WebShield fra Avast som et af flere eksempler.

»Det udbredte produkt er inspireret meget kraftigt af de metoder vi har angrebet og snydt,« lyder det fra den ph.d.-studerende, der henviser til en præsentation af WebShield på en sikkerhedskonference i Prag.

De sårbare algoritmer

Thomas Kobber Panums eksperimenter lægger sig i forlængelse af lignende forskning, som viser letheden ved at manipulere maskinlæringssystemer.

Algoritmer er generelt set meget sensitive over for små ubetydelige ændringer, som får algoritmerne til at overse det egentlige angreb eller problem, fortæller Thomas Kobber Panum:

»For eksempel er mørkerød og rød to næsten ens farver for mennesker, men for en computer findes der ikke, som udgangspunkt, nuancer.«

»Det er simpelthen enormt svært at genskabe den menneskelige opfattelse i en computer.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (20)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Jonas Iversen

Blacklist vil nu engang altid have stor værdiløshed. Vil man havde effektiv beskyttelse skal man bruge whitelist i stedet. Ja, der er bøvlet med ajourføring af disse, men sikkerhed har altid en pris og det er altid en afvejning.

Men har man en infrastruktur som absolut skal beskyttes maksimalt, så er der kun én vej og det er whitelistning. (f.eks. div. nationale instrastrukturer og hvad har vi af andet skrammel)

Så lad værd med at piv hvis du bliver ramt når din sikkerhed er baseret på blacklists (såsom 99,99% af alle anti-virus, web-filtrerings gateways, spam protection løsninger)!

Dermed ikke sagt at whitelistning er 100% sikker, men det er et helt andet niveau end blacklists, som ja, er tæt på at værdiløst!

  • 7
  • 1
#3 Kjeld Flarup Christensen

Min oplevelse, er at spammere netop ikke er intelligente i deres spam-run, så derfor vil selv den mest åbne ladeport så ubenyttet hen, hvis spammeren får sine mails ud.

Ja filtrene virker overfor en stor del af angrebene.

Dog ikke overfor professionel industrispionage, og statsaktører.

Naturligvis kan man snyde en machine learning algoritme. Ligesom man kan snyde hjernen, der jo reelt bruger samme strategi.

Fortrolige oplysninger skal derfor beskyttes af multifaktor authentication, så skaden begrænses når phising angrebet lykkes.

  • 7
  • 2
#4 Maciej Szeliga

Min oplevelse, er at spammere netop ikke er intelligente i deres spam-run, så derfor vil selv den mest åbne ladeport så ubenyttet hen, hvis spammeren får sine mails ud.

Problemet er at der er meget stor forskel mellem de 85% "dumme" spammere og de 15% kriminelle som arbejder med phishing.

Et phishing angreb ser for 75% ~ 80% af modtafgerne ud som helt reelt mail fra chefen - hvis man ikke lige tænder hjernen og nærlæser mailen.

  • 9
  • 0
#5 Lasse Mølgaard

Der findes 2 regler for spammere:

1) Spammere er dumme

2) I tvivlstilfælde se regel 1

Til semi-professionelle vil jeg mene man kommer langt med greylisting, ClamAV og SpamAssassin.

Når man så samtidigt har nogle hr og fru Jensen brugere, som kommer til at tilmelde deres email adresser til tvivlsomme mailinglister og de er henter deres mail via IMAP, så bliver man rigtig glad, når de er gode til at sortere deres indkomne mail hvad der er spam og hvad der er ham.

... fordi så kan man sende disse specifikke mail bakker efter SpamAssassin med besked om hvad der er hvad.

Efter en måneds træning er serveren stort set selvkørende med hensyn til filtrering af mails. :-)

Derudover har jeg endnu en regel:

Hvis en ip-adresse har forsøgt at bruge min mailserver som open relay eller alternativt prøvet at brute-force passwordet til en af mine brugere, så bliver alle mails fra den ip-adresse til mine mail adresser kylet ud til højre.

Oven i alt dette kan man så tillægge DMARC, DANE, TLS Reporting og hvad i ellers kan finde på, men jeg har ikke rigtigt set nogle fejlrapporter på den konto...

  • 0
  • 0
#6 Ditlev Petersen

Der er også det andet problem: Jeg er jævnligt nødt til at glo i spam-boksen, da der af og til havner noget vigtigt der. Det kan være sådan noget som at en og samme bruger sender mig 12 mails med vedhæftede filer (for ikke at få en for stor mail), de 11 havner i indbakken, men en af dem i spam. Der er også helt legitime nyhedsbreve, der af og til ryger i spam, men normalt ikke. Det er næsten værre. Det kan måske ramme en regning?

Der er tre klasser (plus den jeg har glemt)

irriterende men harmløs spam

reelle mails fejklassificeret som spam

farlig spam (phishing og veltillavede trojanere og den slags), der IKKE filtreres eller markeres.

Så uanset hvad går det galt.

  • 1
  • 0
#7 Kristian Christensen

Jeg tænker lidt at man burde kigge på hvilket domæne der sendes fra ( reelt ) og hvilke links der er til. Hvis du påstår at sende fra microsoft.com ( eller rettere, hvis du samtidigt påstår at sende fra microsoft.com men reelt sender fra microsoftcom.xyz og har links til hackethjemmeside.com/herladerjegsomomjegermicrosoft.html) så er der en statistisk sansynlighed for at der er tale om en falsk mail.

  • 1
  • 1
#11 Jens D Madsen

Dermed ikke sagt at whitelistning er 100% sikker, men det er et helt andet niveau end blacklists, som ja, er tæt på at værdiløst!

Måske skal man kombinere både white og black lists.

For en del år siden, var der ikke problemer med spam filtrene i min email. De opsamlede fint spam posts, og den ønskede post havnede ikke i spam. I dag er det modsat: 99% af alt spampost detekteres IKKE som spam. Og 80% af alt ønsket post, går i spam filteret! Selvom jeg går ind og makere ikke spam, så går post fra de pågældende stadigt i spam filteret. Og selvom jeg markere post som spam, så vedbliver det at ikke gå i spam postkassen. Mon, det er maskinlæring som står bag, og at det er lykkedes at snyde systemet? Umiddelbart ser ud til, at hvis jeg får post fra samme person mere end 3 gange, så havner det i spam. Mens, at den uønskede post går lige igennem, fordi at de afsender posten fra forskellige addresser, der ikke er på spam lister endnu.

Måske vil det være en fordel med både white lists og black lists. White-lists er mest sikker, og der kan evt. også bruges forskellige former for sikker autorisering. Sikker autorisering kan stadigt kombineres med blacklists, så hvis der eventuelt er givet en autorisering på forkert grundlag, at det opdages hurtigt.

  • 0
  • 0
#12 Henrik Schack

Måske skal man kombinere både white og black lists.

En ganske stor del af de fejl detekteringer der sker i diverse spam & phishing filtre skyldes elendig (eller slet ingen) konfiguration hos afsenderen.

Kan det løses med white/blacklists hos modtageren? Tja tjoo, det er bare en uendelig opgave. Skal vi gribe tingene lidt smart an sørger afsenderen for at whiteliste sin email ved at anvende de email authentication standarder vi har haft til rådighed i mange år, så skal tingene kun gøres en gang, istedet for hos alle modtagere af ens email.

Den daglige spammængde er iøvrigt nærmest astronomisk, 290+ mia spam emails/dag. https://talosintelligence.com/

  • 1
  • 0
#13 Jonas Iversen

Det har du selvfølgelig ret i. MEN man bliver altså nød til at tage bestik af virkeligheden og ikke et ønskeligt drømme-scenarie. Og virkeligheden er nu engang at afsendere ikke får det gjort.

Jeg siger netop ajourføring af whitelistning ikke er en nemt opgave, men vil man være "sikker", så er det den eneste vej, som jeg også siger det er en afvejning.

Men der er nogen få organisationer hvor man SKAL være sikker, e.g. militærer- og infrastruktur-relateret organisationer, og skal den IT sikkerheds ansvarlige ikke basere sikkerheden på blacklist.

  • 0
  • 0
#14 Lasse Mølgaard

Men der er nogen få organisationer hvor man SKAL være sikker, e.g. militærer- og infrastruktur-relateret organisationer, og skal den IT sikkerheds ansvarlige ikke basere sikkerheden på blacklist.

Tjah der hvor jeg arbejder HAR de taget konsekvensen af phising forsøg.

Alle mails fra domæner, der er ikke under firmaets kontrol, bliver flagget i Outlook med "ekstern mail - pas på hvem afsenderen er".

Det kan så give diverse støj, når firmaet eksrmpelvis sender info mails om nye it-værktøjer på arbejdspladsen via eksterne partnere...

Fik f.eks. en mail fra et ekstern domæne den anden dag, som så ud i stil med dette:

"Hej dit nye midlertidige password til denne hjemmeside er gA6vQN92. Tryk her for at logge ind".

Det kom så fra et firma jeg havde ikke hørt noget om før, så der gik jeg i stå i et par minutter for at vurdere om dette var en phising mail. :-)

Jeg kunne slappe af, da min chef fortalte at det var en legitim mail. :-)

  • 0
  • 0
#16 Henrik Schack
  • 0
  • 0
#17 Ditlev Petersen

Der er lige kommet en mail "fra" en plastfabrik i nærheden. Den gik ikke i mit spamfilter, lige som min AV ikke har reageret på den. "Desværre" er den på engelsk (og jeg kender ikke nogen på den fabrik). Der er helt givet nogen, der falder i på sådan en.

  • 0
  • 0
#19 Kjeld Flarup Christensen

DMARC nævnes som en teknisk løsning. Der er blot en begrænsning som kan få en phising mail til at gå igennem det hele

Jeg arbejder for DEIF der bruger deif.com

Men hvis, nu der var nogen som købte delf.com og satte DMARC og hele svineriet på. Den vil gå direkte igennem, og tilhørende websites vil kunne komme på med grønne hængelåse.

  • 1
  • 0
Log ind eller Opret konto for at kommentere