Security Future: Wenn Algorithmen unsere Texte schreiben wird es interessant

Willkommen zu meinem ersten Beitrag aus einer neuen Beitragsreihe Security Future. In der Regel versuche ich so oft wie möglich die nützlichen und praktischen Dinge auf den Blog zu bringen, aber manchmal möchte ich euch ein wenig über die Dinge informieren, die bald zu uns kommen könnten. Also lasst euch mit mir auf ein kleines Abenteuer ein und schauen wir uns an was passiert, wenn Software beginnt Texte zu schreiben, und welche Auswirkungen eine mangelnde Security an der Stelle mit sich bringt. Die folgenden Texte, Zusammenhänge und Behauptungen sind frei erfunden.

Wer den Artikel in kurzen Stichpunkten samt Lösungsansätze lesen möchte, kann direkt zum Kapitel Kurzgesagt weiterspringen.

 Algorithmen schreiben jetzt schon Texte

Bereits heute werden Texte mit Hilfe von Software verfasst. Das spart dies die Arbeitszeit von Journalisten und bringt die News in unglaublicher Geschwindigkeit heraus (siehe Artikel Algorithmic Authors von Alex Wright, Communication of the ACM November 2015), . Die Vorteile liegen ganz klar auf der Hand. Gerade Sportnachrichten eignen sich sehr gut, da hier viele Zahlen und Statistiken verknüpft werden können. Ein Produkt in diesem Bereich ist Quill von NarrativeScience. Die Anwendungen können aber viel interessanter werden. Es wäre auch interessant Kurznews zu schreiben, ähnlich wie Eilmeldungen.

Prolog

Das Jahr 2016 ist wieder ein Jahr der Innovationen, die aus den USA zu uns schwappen. So auch die Firma NarrativeScience, mit ihrem Produkt Quill. Auch wir in Europa wollen an der Moderne teilhaben und nutzen unsere Chance. Jede News Seite im Netz benutzt mittlerweile Quill oder ähnliche Software. Die Repositories aus denen sich das Tool bedient liegen, wie so oft, bei uns, und nicht in der Cloud, da wir das anders handhaben als die Amerikaner. Wir wollen alles On-Premise, damit wir Herr über unsere Daten sind. Somit ist auch die Frage der richtigen Security Strategie bei den Administratoren der jeweiligen Systeme.

Daten sind nicht immer das Ziel

In vielen Foren verbreitet sich nun langsam die Information, dass News teilweise über Software erstellt und publiziert wird. Kreative Hacker wissen sofort, wie man dies ausnutzen kann, denn eine Maschine bedient sich blind seiner Informationen. Sie nimmt die Daten entgegen und erstellt gemäß der Programmierung einen Text, der dann publiziert wird. Ist der Datenspeicher aber durch einen Angreifer manipuliet, so können beliebige Informationen eingeschleust werden wie folgendes Beispiel zeigt:

Spiegel.de berichtet in einer Eilmeldung über das Interesse von Google am Kauf von Apple.

Diese Meldung wird nun durch eine Software auf Grund von fehlerhaften Informationen veröffentlicht!

Der Angreifer will sich bereichern und weiß, dass Kaufabsichten bei Unternehmenskäufen die Aktienkurse, meistens sehr weit, hoch treiben. So auch in diesem Fall. Spiegel ist ein rennomiertes Blatt. Die Börsen reagieren darauf und die Aktienkurse bewegen sich entsprechend. Wer das ganze vorbereitet hat, besitzt die nötigen Apple Aktien bereits und verkauft mit 200% und mehr Gewinn, bevor der Schwindel auffällt und der Markt sich wieder beruhigt, oder auch nicht.

Blog aktiv unterstützen

Fazit

Mein Beispiel ist überspitzt, aber ich bin mir sicher, dass solche Angriffe die Regel werden, wenn Quill und andere Systeme, wichtige Inhalte automatisch veröffentlichen. Ich halte die Entwicklung in diese Richtung prinzipiell für richtig. Es gibt Dinge, die Maschinen schneller und besser erledigen. Aber die Wartung und die Bereitstellung bleibt nach wie vor in unserer Hand und damit auch die Gewährleistung, dass Daten nicht manipuliert werden.

Wie denkt ihr darüber? Ist es eine Gefahr oder eher nicht? Schreibt mir in den Kommentaren!

Kurzgesagt

  • Artikel werden durch Software verfasst
  • Input von Software ist semantisch schwierig zu prüfen
  • Systeme von Newsseiten und Medienportalen werden aufgebrochen
  • Inputdaten für die “künstlichen Autoren” werden durch Hacker zu ihrem Vorteil manipuliert

Lösung

  • Prozesse für das automatische Berichtschreiben definieren
  • Threat Modelling auf Prozessen durchführen, also Angriffsvektoren finden (Kreativität!)
  • Systematisch alle ausgearbeiteten Threats abarbeiten und Securityprobleme angehen
  • Validierung von Inputdaten über einen menschlichen Akteur
  • Penetrationstests durchführen, um herauszufinden wie einfach Inputdaten manipuliert werden können

Bücher zum Thema

 

Beitrags Bild von Jon S – Newspapers B&W verändert wieder verwendet gemäß Creative Commons License (CC-BY 2.0)

Artikel teilen:

Kommentar verfassen