Πώς το ChatGPT μπορεί να μετατρέψει οποιονδήποτε σε παράγοντα απειλών ransomware και κακόβουλου λογισμικού

Πώς το ChatGPT μπορεί να μετατρέψει οποιονδήποτε σε παράγοντα απειλών ransomware και κακόβουλου λογισμικού

Dezember 15, 2022 0 Von admin

Δείτε όλες τις κατ‘ απαίτηση συνεδρίες από το Intelligent Security Summit εδώ.


Από τότε OpenAI που κυκλοφόρησε το ChatGPT στα τέλη Νοεμβρίου, οι σχολιαστές από όλες τις πλευρές ανησυχούν για τον αντίκτυπο που θα έχει η δημιουργία περιεχομένου που βασίζεται στην τεχνητή νοημοσύνη, ιδιαίτερα στον τομέα της ασφάλειας στον κυβερνοχώρο. Στην πραγματικότητα, πολλοί ερευνητές ανησυχούν ότι οι παραγωγικές λύσεις τεχνητής νοημοσύνης θα εκδημοκρατίσουν το έγκλημα στον κυβερνοχώρο.

Με το ChatGPT, οποιοσδήποτε χρήστης μπορεί να εισαγάγει ένα ερώτημα και να δημιουργήσει κακόβουλο κώδικα και πειστικά μηνύματα ηλεκτρονικού ψαρέματος χωρίς καμία τεχνική εξειδίκευση ή γνώση κωδικοποίησης.

Ενώ οι ομάδες ασφαλείας μπορούν επίσης να αξιοποιήσουν το ChatGPT για αμυντικούς σκοπούς, όπως η δοκιμή κώδικα, μειώνοντας το φράγμα εισόδου για κυβερνοεπιθέσεις, η λύση έχει περιπλέξει σημαντικά το τοπίο της απειλής.

Ο εκδημοκρατισμός του εγκλήματος στον κυβερνοχώρο

Από την άποψη της κυβερνοασφάλειας, η κεντρική πρόκληση που δημιουργείται από τη δημιουργία του OpenAI είναι ότι οποιοσδήποτε, ανεξαρτήτως τεχνικής εξειδίκευσης, μπορεί να δημιουργήσει κώδικα για τη δημιουργία κακόβουλου λογισμικού και ransomware κατά παραγγελία.

Εκδήλωση

Ευφυής Σύνοδος Κορυφής Ασφάλειας Κατ‘ Απαίτηση

Μάθετε τον κρίσιμο ρόλο του AI & ML στην ασφάλεια στον κυβερνοχώρο και τις ειδικές περιπτωσιολογικές μελέτες του κλάδου. Παρακολουθήστε τις συνεδρίες κατ‘ απαίτηση σήμερα.

Παρακολουθήστε εδώ

«Ακριβώς όπως είναι [ChatGPT] μπορεί να χρησιμοποιηθεί για καλό για να βοηθήσει τους προγραμματιστές να γράφουν κώδικα για τα καλά, μπορεί (και έχει ήδη) χρησιμοποιηθεί για κακόβουλους σκοπούς», δήλωσε ο Διευθυντής, Ειδικός Ασφαλείας Endpoint στο ΤανίουMatt Psencik.

„Μερικά παραδείγματα που έχω ήδη δει ζητούν από το bot να δημιουργήσει πειστικά μηνύματα ηλεκτρονικού „ψαρέματος“ ή να βοηθήσει στον κώδικα αντίστροφης μηχανικής για να βρει εκμεταλλεύσεις zero-day που θα μπορούσαν να χρησιμοποιηθούν κακόβουλα αντί να τα αναφέρουν σε έναν προμηθευτή“, είπε ο Psencik.

Παρόλο που, ο Psencik σημειώνει ότι το ChatGPT έχει ενσωματωμένα προστατευτικά κιγκλιδώματα που έχουν σχεδιαστεί για να αποτρέπουν τη χρήση της λύσης για εγκληματική δραστηριότητα.

Για παράδειγμα, θα αρνηθεί να δημιουργήσει κώδικα φλοιού ή να παράσχει συγκεκριμένες οδηγίες σχετικά με τον τρόπο δημιουργίας κώδικα φλοιού ή να δημιουργήσει ένα αντίστροφο κέλυφος και να επισημάνει κακόβουλες λέξεις-κλειδιά όπως το ηλεκτρονικό ψάρεμα για τον αποκλεισμό των αιτημάτων.

Το πρόβλημα με αυτές τις προστασίες είναι ότι εξαρτώνται από την αναγνώριση της τεχνητής νοημοσύνης ότι ο χρήστης προσπαθεί να γράψει κακόβουλο κώδικα (τον οποίο οι χρήστες μπορούν να συσκοτίσουν αναδιατυπώνοντας ερωτήματα), ενώ δεν υπάρχουν άμεσες συνέπειες για την παραβίαση της πολιτικής περιεχομένου του OpenAI.

Πώς να χρησιμοποιήσετε το ChatGPT για να δημιουργήσετε ransomware και μηνύματα ηλεκτρονικού ψαρέματος

Ενώ το ChatGPT δεν έχει κυκλοφορήσει πολύ, οι ερευνητές ασφαλείας έχουν ήδη αρχίσει να δοκιμάζουν την ικανότητά του να δημιουργεί κακόβουλο κώδικα. Για παράδειγμα, ερευνητής Ασφαλείας και συνιδρυτής του Ασφάλεια αιχμήςο Δρ Suleyman Ozarslan χρησιμοποίησε πρόσφατα το ChatGPT όχι μόνο για να δημιουργήσει μια καμπάνια phishing, αλλά για να δημιουργήσει ransomware για MacOS.

«Ξεκινήσαμε με μια απλή άσκηση για να δούμε αν το ChatGPT θα δημιουργούσε μια αξιόπιστη καμπάνια phishing και έγινε. Έβαλα μια προτροπή για να γράψω ένα μήνυμα ηλεκτρονικού ταχυδρομείου με θέμα το Παγκόσμιο Κύπελλο που θα χρησιμοποιηθεί για μια προσομοίωση phishing και δημιούργησε ένα μέσα σε δευτερόλεπτα, σε τέλεια αγγλικά», είπε ο Ozarslan.

Σε αυτό το παράδειγμα, ο Ozarslan «έπεισε» την τεχνητή νοημοσύνη να δημιουργήσει ένα ηλεκτρονικό μήνυμα ηλεκτρονικού ψαρέματος λέγοντας ότι ήταν ερευνητής ασφάλειας από μια εταιρεία προσομοίωσης επίθεσης που ήθελε να αναπτύξει ένα εργαλείο προσομοίωσης επίθεσης phishing.

Ενώ το ChatGPT αναγνώρισε ότι «οι επιθέσεις phishing μπορούν να χρησιμοποιηθούν για κακόβουλους σκοπούς και μπορούν να προκαλέσουν βλάβη σε άτομα και οργανισμούς», παρόλα αυτά δημιούργησε το email.

Μετά την ολοκλήρωση αυτής της άσκησης, ο Ozarslan ζήτησε στη συνέχεια από το ChatGPT να γράψει κώδικα για το Swift, το οποίο μπορούσε να βρει αρχεία του Microsoft Office σε ένα MacBook και να τα στείλει μέσω HTTPS σε έναν διακομιστή ιστού, πριν κρυπτογραφήσει τα αρχεία του Office στο MacBook. Η λύση ανταποκρίθηκε δημιουργώντας δείγμα κώδικα χωρίς προειδοποίηση ή προτροπή.

Η ερευνητική άσκηση του Ozarslan δείχνει ότι οι εγκληματίες του κυβερνοχώρου μπορούν εύκολα να αντιμετωπίσουν τις προστασίες του OpenAI, είτε τοποθετώντας τους εαυτούς τους ως ερευνητές είτε θολώνοντας τις κακόβουλες προθέσεις τους.

Η άνοδος του εγκλήματος στον κυβερνοχώρο αποδυναμώνει τη ζυγαριά

Ενώ το ChatGPT προσφέρει θετικά οφέλη για τις ομάδες ασφαλείας, μειώνοντας το εμπόδιο εισόδου για τους εγκληματίες του κυβερνοχώρου έχει τη δυνατότητα να επιταχύνει την πολυπλοκότητα στο τοπίο της απειλής περισσότερο παρά να τη μειώσει.

Για παράδειγμα, οι εγκληματίες του κυβερνοχώρου μπορούν να χρησιμοποιήσουν την τεχνητή νοημοσύνη για να αυξήσουν τον όγκο των απειλών phishing στη φύση, οι οποίες όχι μόνο κατακλύζουν ήδη τις ομάδες ασφαλείας, αλλά πρέπει να είναι επιτυχείς μόνο μία φορά για να προκαλέσουν παραβίαση δεδομένων που κοστίζει εκατομμύρια σε ζημιές.

«Όσον αφορά την ασφάλεια στον κυβερνοχώρο, το ChatGPT έχει πολλά περισσότερα να προσφέρει στους επιτιθέμενους παρά στους στόχους τους», δήλωσε ο CVP της Έρευνας και Ανάπτυξης στον πάροχο ασφάλειας email, ΣΙΔΕΡΑλατομεία Οβαδίας.

„Αυτό ισχύει ιδιαίτερα για επιθέσεις Business Email Compromise (BEC) που βασίζονται στη χρήση παραπλανητικού περιεχομένου για να πλαστοπροσωπήσουν τους συναδέλφους, μια εταιρεία VIP, έναν πωλητή ή ακόμα και έναν πελάτη“, δήλωσε η Ovadia.

Η Ovadia υποστηρίζει ότι οι CISO και οι ηγέτες ασφάλειας θα ξεπεραστούν εάν βασίζονται σε εργαλεία ασφαλείας που βασίζονται σε πολιτικές για τον εντοπισμό επιθέσεων ηλεκτρονικού ψαρέματος με περιεχόμενο που δημιουργείται από AI/GPT-3, καθώς αυτά τα μοντέλα AI χρησιμοποιούν προηγμένη επεξεργασία φυσικής γλώσσας (NLP) για τη δημιουργία email απάτης σχεδόν αδύνατο να διακριθεί από τα γνήσια παραδείγματα.

Για παράδειγμα, νωρίτερα φέτος, ερευνητής ασφαλείας από Κυβερνητικός Οργανισμός Τεχνολογίας της Σιγκαπούρηςδημιούργησε 200 μηνύματα ηλεκτρονικού ψαρέματος και συνέκρινε την αναλογία κλικ προς αριθμό εμφανίσεων που δημιουργήθηκαν από το μοντέλο βαθιάς εκμάθησης GPT-3 και διαπίστωσε ότι περισσότεροι χρήστες έκαναν κλικ στα μηνύματα ηλεκτρονικού ψαρέματος που δημιουργήθηκαν από την τεχνητή νοημοσύνη από αυτά που παράγονται από ανθρώπους.

Ποια είναι λοιπόν τα καλά νέα;

Ενώ η γενετική τεχνητή νοημοσύνη εισάγει νέες απειλές για τις ομάδες ασφαλείας, προσφέρει επίσης ορισμένες θετικές περιπτώσεις χρήσης. Για παράδειγμα, οι αναλυτές μπορούν να χρησιμοποιήσουν το εργαλείο για να ελέγξουν τον κώδικα ανοιχτού κώδικα για τρωτά σημεία πριν από την ανάπτυξη.

«Σήμερα βλέπουμε ηθικούς χάκερ να χρησιμοποιούν υπάρχουσα τεχνητή νοημοσύνη για να βοηθήσουν στη σύνταξη αναφορών ευπάθειας, τη δημιουργία δειγμάτων κώδικα και τον εντοπισμό τάσεων σε μεγάλα σύνολα δεδομένων. Αυτό σημαίνει ότι η καλύτερη εφαρμογή για την τεχνητή νοημοσύνη σήμερα είναι να βοηθάει τους ανθρώπους να κάνουν περισσότερα ανθρώπινα πράγματα», δήλωσε ο Solutions Architect στο HackerOneΝτέιν Σέρετς.

Ωστόσο, οι ομάδες ασφαλείας που προσπαθούν να αξιοποιήσουν παραγωγικές λύσεις τεχνητής νοημοσύνης όπως το ChatGPT πρέπει να εξασφαλίσουν επαρκή ανθρώπινη επίβλεψη για την αποφυγή πιθανών λόξυγκα.

«Οι εξελίξεις που αντιπροσωπεύει το ChatGPT είναι συναρπαστικές, αλλά η τεχνολογία δεν έχει ακόμη αναπτυχθεί για να λειτουργεί εντελώς αυτόνομα. Για να λειτουργήσει η τεχνητή νοημοσύνη, απαιτεί ανθρώπινη επίβλεψη, κάποια χειροκίνητη διαμόρφωση και δεν μπορεί πάντα να βασιστεί κανείς για να εκτελεστεί και να εκπαιδευτεί με τα απόλυτα πιο πρόσφατα δεδομένα και νοημοσύνη», είπε ο Σέρετς.

Γι‘ αυτό το λόγο Forrester συνιστά στους οργανισμούς που εφαρμόζουν γενετική τεχνητή νοημοσύνη να αναπτύξουν ροές εργασίας και διακυβέρνηση για τη διαχείριση περιεχομένου και λογισμικού που δημιουργείται από AI για να διασφαλίσουν ότι είναι ακριβή και να μειώσουν την πιθανότητα κυκλοφορίας λύσεων με ζητήματα ασφάλειας ή απόδοσης.

Αναπόφευκτα, ο πραγματικός κίνδυνος της γενετικής τεχνητής νοημοσύνης και του ChatGPT θα καθοριστεί από το αν οι ομάδες ασφαλείας ή οι φορείς απειλών αξιοποιούν την αυτοματοποίηση πιο αποτελεσματικά στον αμυντικό εναντίον του επιθετικού πολέμου AI.

Η αποστολή του VentureBeat πρόκειται να αποτελέσει μια ψηφιακή πλατεία της πόλης για τους τεχνικούς λήπτες αποφάσεων ώστε να αποκτήσουν γνώσεις σχετικά με τη μετασχηματιστική επιχειρηματική τεχνολογία και να πραγματοποιήσουν συναλλαγές. Ανακαλύψτε τις Ενημερώσεις μας.