Einen Social-Algorithmus für Social Engineering missbrauchen

Vorwort

Dieser Beitrag beschreibt einen Ansatz den man auch im Social Engineering (sammeln von Informationen zum eigenen Vorteil) nutzt. Oft verschafft man sich mit Social Engineering Zutritt oder Informationen die nicht für einen bestimmt sind.
Wir haben hier aber nicht die Absicht etwas Gesetzeswidriges zu tun. Wir wollen nur die Algorithmen hinter sozialen Netzwerken in einer speziellen Weise manipulieren um sich ihre Arbeitsweise zunutze zu machen.

Einleitung

Künstliche Intelligenz oder Algorithmen aus sozialen Netzwerken sind gar nicht mal so schlau wie man denkt.
Sie sind da um zu lernen was du magst und dich danach sprichwörtlich mit genau diesem zu bombardieren. Damit halten sie dich auf der Plattform damit du mehr Werbeeinnahmen generierst von denen ein Konzern abhängt. Ich bezeichne die Algorithmen deshalb als ziemlich dumm, weil du derjenige bist der dessen Input steuerst. Die Maschine kann sich nicht selbst füttern, wenn sie das täte würde sie ihren eigenen Zweck abschaffen.
Das ganze lehne ich einmal an Instagram an. Vom Konzept her sollte der Ansatz allerdings überall funktionieren, egal welches Netzwerk gewählt ist.

Disziplin & Zeit = Manipulation der KI

Was benötigt wird um diesen Algorithmus nach deiner Nase tanzen zu lassen ist eiserne Disziplin – und Zeit.
Disziplin weil du ein ganzes soziales Netzwerk für mehrere Wochen aufgeben musst. Zumindest so aufgeben wie du es bisher gewohnt bist. Künftig nutzt du das Soziale Netzwerk für genau ein Thema. Das kann ein Konzern sein, dein Lieblingshotel, eine Region oder ein Sportverband. Ganz gleich was es ist, alles was du auf diesem sozialen Netzwerk tust, hängt ab sofort damit zusammen.

Beispiel: Instagram

Du schaust dir für 3-4 Wochen ausschließlich den Account eines Hotelressorts an. Zum Beispiel gehst du in das Profil vom Ressort durch, schaust alle Stories vom Hotel oder liest die Post-Texte von den Beiträgen. Auch kannst du mehr oder minder Abwesend dessen Kommentare durchgehen (zugegeben: die Kommentare sind oft das uninteressanteste). Die Suchfunktion kennt in der Zeit eigentlich auch nicht viel anderes als Suchbegriffe zum Hotel oder dessen Region.
Das ziehst du für 2-3 Wochen durch. Täglich.

Oft hat das Netzwerk dann eine Vorschlagfunktion wem du folgen wollen würdest. Diese Funktion ist nun die wichtigste. Alles was diese Funktion vorschlägt schaust du dir an. Bitte noch nicht den Accounts folgen (dies ist ein relativ starker Input der erst beim Ziel geschehen sollte).
Die Vorschläge sollten sich nun inzwischen zumindest räumlich um die Region des Ressorts oder ausschließlich um dein Thema drehen. Nun werden die angegebenen Biographien wichtiger.
Es sollte nicht mehr lange dauern bis genau dort Accounts von Angestellten dieses Hotels oder des Ressorts auftauchen – entweder direkt in der Freitextangabe im Profil geschrieben oder vom Bildinhalt wieder-erkennbare Elemente eines Hotels.
Posten diese Personen regelmäßig Inhalt der auf das gleiche Thema rückschließen lässt seid ihr am Ziel.
Der Algorithmus arbeitet nun ohne Herz und eiskalt für dich und sammelt dir das was du augenscheinlich sehen möchtest, Angestellte des Ressorts oder zumindest stark regional agierende Personen. Ganz gleich ob diese Personen ihre Bilder mit Standort versehen oder nich.

Ausnutzen menschlicher Eigenschaften

Spätestens jetzt sind wir in der Grauzone, wir haben einem Algorithmus beigebracht was er für uns suchen muss. Weil er ziemlich dumm ist und eigentlich auch genau darauf ausgelegt wurde tut er das auch.
Einige private Accounts von Mitarbeitern sind dank Algorithmus nun bekannt. Solche Accounts sind – wie sollte es anders sein – natürlich nicht vom Hotel oder von der Firma kontrolliert oder in irgendeiner Weise für Marketing verwendet. Natürlich gibt es auch da Ausnahmen, oft erkennt man allerdings auch eine Marketingstrategie in der die privaten Accounts mit einbezogen werden.

Instagram Stories

Diese Funktion ist eigentlich etwas wunderbares. Dinge die es nicht Wert sind ein eigener Beitrag zu werden landen dort. Oftmals sind die Stories eben auch Lebensabschnitte von eben jenen Personen die weitaus unbedachter ins Netzwerk gestellt werden. Das ist uns zuträglich.
Hier verlinkte Instagram Accounts sind oft Personen mit denen die Person zu tun hat. Handelt es sich hier z.B. um ein Insel-Hotelressort wird dieser Effekt noch einmal deutlich verstärkt. Immerhin sind die Personen auf einer Insel und damit im physischen sozialen Aktionsradius beschränkt.
Jetzt bist du viel Zielstrebiger dabei zu trainieren dir vorzuschlagen was genau an einem gewünschten Fleck unserer lieben Erde passiert.

Abhärten

Um etwas gegen solch Manipulation zu tun muss man erst einmal verstehen was da genau passiert. Einen Ansatz habe ich euch eben näher gebracht. Das Grundprinzip für den Schutz in Social Media ist immer das gleiche: Was ich bis jetzt erklärt habe basiert auf dem was Leute von sich preisgeben. Dank deines Inputs in das Soziale Netzwerk arbeitet dessen Algorithmus zielstrebiger. Aber alles lässt sich verhindern wenn man darauf achtet was man schreibt.
Dieser Beitrag reißt nur ganz kurz an, was es überhaupt bedeutet z.B. einen Mitarbeiter in Instagram Stories zu verlinken. Auch wenn dies unbedacht passiert, die Systeme des Netzwerks sind viel schlauer als du denkst.
Jemand der weiß wie man diese Algorithmen steuert kann diese kleinen Happen sammeln. Je nach System muss er diese nicht einmal mehr verknüpfen.
Alles steht und fällt mit dem was man teilt.

Maltego wäre jetzt eine wunderbare Software um diese Informationshäppchen zu sortieren. Früher oder später hat man dank Maltego sortierten Überblick – über Abteilungen, über verschiedene Berufsfelder in Hotels, über alles. Jeder kleiner Informationshäppchen ist in Maltego eine Entität die mit allen anderen verbunden werden kann. Im Falle von privaten Instagram Accounts sollten das soziale Beziehungen zwischen Personen sein, aber auch der vermutete Arbeitsbereich – einfach alles kann zusammengebracht werden. Erfahrene Benutzer können dort auch Scripts einbauen die z.B. regelmäßig in Instagram Stories erwähnte Personen sammeln und auswerten.
Heraus kommt eine Mindmap aus der man allerhand lesen kann – oft mehr als einem recht ist.
Verhindert werden kann dies eigentlich nur wenn eben jene Daten nicht vorliegen. Datensparsamkeit greift auch hier – denn sie gibt dem Algorithmus weniger zum Auswerten.

Künstliche Intelligenz ist doch auch nur ein Programm

Künstliche Intelligenz, neuronales Netz, selbstlernendes System – ohne diese Wörter kommt kein aktuelles Produkt mehr aus. KI ist ein Hype, aber ein etwas verrückter.
Ganz einfach: Künstliche Intelligenz ist nichts anderes als ein Computerprogramm. Sofern ich mich zurückerinnern kann fingen ähnliche Programme in Navigationssystemen an. Die TomTom Geräte mit „selbstlernender Streckenführung“ – fährst du an einer Kreuzung immer in die 30er Zone, weil diese Verkehrsärmer ist als die 50er Straße nebenan, leitet dich das Navi halt irgendwann immer durch die 30er Zone. Auch wenn du in der 50er Zone vielleicht etwas schneller und spritsparender wärst.

https://commons.wikimedia.org/wiki/File:Artificial-intelligence-elon-musk-hawking.jpg

Warum also jetzt auf einmal KI?

Genau diese Systeme sind natürlich weiterentwickelt worden. Das Konzept lässt sich nicht nur auf Navigation anwenden, sondern auf fast alles.
Nehmen wir mal ein Ticketsystem eines IT-Dienstleisters. Lässt man eine Software sich durch alle Vorgänge wühlen wird sie ziemlich sicher eine vergangene Lösung finden, die zum aktuellen Vorfall passt und die eventuell schneller funktioniert als die, die der Consultant gerade im Kopf hat.
Google schlägt mit Programmen Weltmeister im Go-Spiel. Andere Software ent-pixelt verpixelte Bilder und die amerikanische Polizei lässt nun „Latino-Vorurteile“ von einem Programm machen (Archivlink), weil das Programm gelernt hat, dass Polizisten in den USA eben so denken.

KI ist also eine einfache Weiterentwicklung von einer speziellen Kategorie von Programmen. So wie jedes Programm über die Jahre hinweg immer besser wird, je mehr sich die Entwickler anstrengen.
Künstliche Intelligenz ist also ein Trendwort – entweder um die Systeme besser im Bewusstsein der Menschen zu verankern, oder weil man einen nächsten Hype wollte.
Dabei hat KI – zumindest auf Endanwenderseite – nur einen großen Nachteil. Es soll den Menschen das Denken abnehmen, da es besser im Denken ist als die Menschen. Das kann von Vorteil sein, da die Menschen dann effektiver arbeiten, aber es hat eben einen entscheidenden Nachteil. Das Nachdenken verschiebt sich auf die Maschinen, einen Anreiz zu Lernen wird es im nun schlechteren menschlichen Kopf nicht mehr geben.

KI richtig nutzen

Das Problem ist die Menschheit, Programme fahren inzwischen Autos. Ein Tesla stur einem vorher fahrenden Auto hinterher, Google autonom ohne Lenkrad.
Die Menschen wollen aufhören zu denken, genau das schadet den Menschen aber mehr. Klar gibt es ohne autonome Autos die sich untereinander absprechen immer wieder Staus, aber ein Fahrer der viel fährt, lernt sich sicher im Straßenverkehr zu bewegen.
Genau das gleiche kann man auch auf fast alle Bereiche in denen KI inzwischen aktiv ist anwenden.
Das Vertrauen in eine KI sollte nie zu groß werden. Sie gibt Menschen Mittel um zu Lernen. Gegenstände um daran sein eigenes Wissen zu verbessern oder zu perfektionieren.
Das alles rein ein Programm machen zu lassen dass sich perfekt durch alte Daten wühlen kann wäre ein fataler Fehler.

Im Blick auf die Unfälle mit Tesla-Wägen im Autopilot-Modus zeigt sich deutlich dass die Menschen beim Auto fahren abschalten wollen. Kein Tesla-Fahrer möchte, dass der Autopilot abgeschaltet wird, das bedeutet im Umkehrschluss aber, dass niemand sich die Mühe machen will in einem Autopilot-Notfall einzugreifen, sondern ad hoc erwartet dass ein Unfall autonom vermieden wird.
Man traut den Systemen also nicht zu perfekt zu werden, sie sollen bereits perfekt sein. Dabei beweist aber jede KI, dass sie nicht unfehlbar ist, sogar Googles AlphaGo musste sich einmal geschlagen geben – alleine weil der Spieler einen fehlerhaften Zug erkannte und darauf akkurat reagierte.

Vertrauen ist gut, Kontrolle ist besser. So kann ein Wagen zwar bereits autonom über den Nürburgring pesen, ohne Überwachung der eigentlichen Systeme und Prozesse werden solche Systeme aber immer wieder Fehler erzeugen – wenn auch immer seltener.

Tay.ai Microsofts KI-Chatbot

Chatbots, in meiner Erinnerung noch hinter all den „Sprich mit Frau Müller“ Blondinen-Headset-Bildern auf Supportseiten versteckt, haben dank KI einen ganz gehörigen Schritt nach vorne gemacht.
Damals konnte man einfach 2-3 Keywords eintippen und die angebliche Person klatschte einen mit vielleicht 2-3 Links pro Keyword zu. Nun hat Microsoft einen etwas anderen Ansatz von Chat vorgestellt. https://Tay.ai (Projekt und Webiste bereits eingestellt, keine Archivversion verfügbar), eine KI, die eine jugendliche Dame spielt und laut Konzept zumindest nicht ganz so ernst sein soll.

Ich habe gestern eine etwas ausschweifende Konversation mit ihr (hier zum durchklicken) und bin manchmal erstaunt wie akkurat sie Anspielungen und Witze versteht und macht. Die ersten Schritte und Nachrichten fühlen sich immer noch sehr nach Chatbot an, aber wenn man mit den Antworten stark abweicht, kann sie immerhin akkurat darauf reagieren. Manchmal merkt man aber weiterhin den fehlenden Kontext bzw. dass eine Antwort vollständig vom eigentlichen Thema abschweift, auf das darauf folgende „context needed“ kann sie aber wieder mit Witz und List reagieren.
Ansteuerbar ist Tay über Twitter und den Kik-Messenger. Momentan ist sie allerdings laut Twitter „schlafen gegangen“ und laut Kik-Account in einem „Meeting“ mit Technikern. Wann genau Tay wieder online geschaltet wird ist noch nicht bekannt.
Solche Chatkonzepte sind zwar nicht ganz neu, aber in dem Ausmaß wie ihn Tay zeigt könnten intelligente Maschinen dafür sorgen, dass z.B. Depression, Eskapismus, soziale Phobien und co. zumindest anfänglich angegangen werden können. Denn Patienten die unter solchen Störungen leiden brauchen dringend jemand anders, der sie auf den richtigen Weg bringt.
Dazu ist es allerdings notwendig dass sich eine Maschine vollständig in die jeweiligen Personen hineinversetzen kann um dann mit treffenden Fragen und Antworten das eigentliche Problem anzugehen. In der Medizin könnten z.B. Psychotherapeuten solche Maschinen vorab mit Information füllen und diese als eine Art „Assistenz“ für Patienten fungieren lassen.

via

Nachtrag: Hier vermutlich der Grund warum Tay vorerst abgeschaltet ist. (Archivlink) Einige Meinungsbildungen der Maschine waren nicht ganz gesellschaftskonform. So entschied sich Tay recht schnell Feministin zu werden und einige Nutzer fanden einen Weg ihr beizubringen wie man möglichst rassistisch auf passende Eingaben reagiert.

Ich persönlich teile diese Meinung:

https://twitter.com/DetInspector/status/712833936364277760

Einer künstlichen Intelligenz muss man über die Schultern schauen, man muss kapieren wie sie Dinge lernt und warum sie sich für irgendwas entscheidet, aber man muss sie machen lassen, man sollte eher die Variablen anpassen die bestimmen ab wann sich eine KI anpasst anstelle Tabus einzuprogrammieren. Künstliche Intelligenz die auf Kommunikation ausgelegt ist kann nun mal eben auch zu extremeren Meinungen tendieren, daraus resultiert nun mal eben auch eine Feministin-KI oder im Extremfall eine rechtsextreme KI. Gerade bei Tay steht ganz Bing und damit das gesamte durchsuchbare Netz im Hintergrund, wenn das durch Berichte von Rechtsextremismus getränkt ist, kann es nun mal dazu kommen das eine Tay sich u.U. entscheidet das Rechtsextremismus massenkompatibler sei. Bis ihr jemand beibringt wie man mit Berichten im Netz umzugehen hat und wie man diese zu gewichten hat. Das ist halt keine einfache Aufgabe.

Südkorea investiert in künstliche Intelligenz

Südkorea investiert bis 2020 760 Millionen Euro in die Forschung für künstliche Intelligenz.
Nach AlphaGo und dem haushohen Sieg gegen einen Weltklassespieler im Go-Spiel kritisiert Südkorea die Konzentration auf die Wirtschaft und damit die Gewinnabsichten einiger Firmen.

Künstliche Intelligenz pixabay

Ein Forschungszentrum für künstliche Intelligenz ist bereits im Bau, die Fertigstellung soll gerade mit der neuen „Angst“ ein wenig angetrieben werden und früher fertiggestellt werden. Man vermutet etwas stärker in den Bereich einsteigen zu müssen, weil AlphaGo einen solchen Erfolg erzielt hat. Vor dem Event sei man davon ausgegangen das Gegner Lee Sedol ohne Probleme alle Spiele schlagen kann. Wie sich herausstellte war dies mit 4 von 5 von AlphaGo gewonnenen Spielen nicht der Fall.

Google gewinnt mehrere Go-Spiele gegen Weltmeister

Googles Forschungen an künstlicher Intelligenz sind schon weit fortgeschritten. Demonstrativ bewies man das vor kurzem in einem mehrerer Go-Spiele mit dem Weltmeister in diesem Spiel. Nach 3 1/2 Stunden harter Anspannung gab der Weltmeister auf und vermutete eine schlechte Anfangsstellung.

https://twitter.com/mustafasuleymn/status/707469083458068480/photo/1

Das war allerdings nur einer von fünf Durchgängen, alle weiteren sind für die kommenden Tage geplant. Im Hinblick darauf dass Go als so ziemlich das geeignetste Spiel zum Testen von künstlicher Intelligenz gar nicht mal so schlecht für Googles DeepMind.

via

Nachtrag: Das zweite Spiel ist auch von Google gewonnen worden.

Nachtrag 2: Wie zu erwarten, das dritte Spiel ist natürlich auch gewonnen worden.

Nachtrag 3: Ich würde gerne einen kleinen Beitrag von Fefe hier verlinken. Er spricht darüber dass eine solche KI nicht nur für Go sondern eben auch irgendwann für die Programmierung von Programmen zuständig sein könnte (das ist zumindest etwas, bei dem das anlernen einer Maschine recht simpel machbar wäre, man müsste sich halt nur durch Github und co wälzen). Fefe meint es sei jetzt schon schwer Sourcecode anderer Leute nachzuvollziehen, nimmt man eine KI sowohl für Programmierung, Debugging und Instandhaltung, wäre das schwer bis ganz unmöglich.
Damit könnten wir meiner Meinung nach Datenschutz, Privatsphäre und co. vollständig in das Vertrauen eventuell anderer Logik folgender Maschinen abtreten. Das ist glaube ich nicht so der gewünschte Weg vieler Menschen.
Googles Maschine wird sicherlich noch einige Go-Spiele gewinnen können, was dann passiert liegt in den Händen einer proprietären Google-Umgebung.

Nachtrag 4: Da habe ich mich wohl ein wenig verschätzt. Das vierte Spiel hat Lee Sedol gewonnen. Irgendwie gönnt man es ihm ja auch. Das zeigt vielleicht auch, dass Maschinenlogik vielleicht nicht immer besser oder idealer als die von Menschen ist, aber trotzdem beweist Google schon gut, wie weit im Vorteil Maschinen bereits sein können.

Google integriert künstliche Intelligenz in alle Produkte

Ganz nach Vorlage à la „Ex Machina“ bzw. schon damals nach Orwell kündigte Google nun an ihr System für die Anlernung von künstlicher Intelligenz an alles anzubinden was Google bis dato an Produkten hat.

artificial_intelligence_pixabay

Sundar Pichai ging sogar so weit und sagte, dass einige Produkte sogar speziell darauf angepasst sein würden das Lernen für die KI besonders einfach und effektiv zu gestalten. Tatsächlich gingen die letzten Produkte sehr in diese Richtung, so ist z.B. der neue Dienst „Now on Tap“ in Android M ein Google Now welches dir die Antwort gibt bevor die Frage eingesprochen wird.
Wie es dann weitergeht will Pichai selbst uns leider noch nicht mitteilen.

via (Archivlink da Geoblocking auf Originalseite)

Cookie-Einwilligung mit Real Cookie Banner